應(yīng)用主導(dǎo)的CA互通技術(shù)研究.pdf

1、PKI作為解決信息安全問題的一種重要的安全技術(shù)體系，可以解決網(wǎng)絡(luò)虛擬環(huán)境中的身份認(rèn)證、保密性、真實(shí)性、不可抵賴性等問題，因此受到了極大的關(guān)注。PKI的核心組成部分—CA中心，更是成為建設(shè)的熱點(diǎn)。在CA中心建設(shè)熱潮之后，形成了一個(gè)個(gè)互相隔離的信任“孤島”，制約了信息化的發(fā)展。PKI/CA的互聯(lián)互通成為了當(dāng)前研究和建設(shè)的新熱點(diǎn)。 現(xiàn)有的互聯(lián)互通技術(shù)主要包括嚴(yán)格層次結(jié)構(gòu)、信任列表、交叉認(rèn)證、橋CA、相互承認(rèn)等。國(guó)內(nèi)外也有一些互聯(lián)互通的

2、項(xiàng)目投入建設(shè)運(yùn)行。但這些技術(shù)和已啟動(dòng)建設(shè)的工程存在著一些問題，很難跟上應(yīng)用發(fā)展的需要。 本文提出了一種新的互通模式：本地認(rèn)證模式。這種模式的基本思想是，從應(yīng)用的角度來(lái)解決互通的問題。通過(guò)在應(yīng)用網(wǎng)絡(luò)環(huán)境中部署一臺(tái)“證書本地認(rèn)證”服務(wù)器，完成所有與證書校驗(yàn)相關(guān)的工作。不論這個(gè)環(huán)境中有多少CA頒發(fā)的證書，無(wú)論這些CA是否已經(jīng)實(shí)現(xiàn)互通，都可以在本地認(rèn)證服務(wù)器上完成證書校驗(yàn)；支持CRL等常用的證書廢除校驗(yàn)；通過(guò)本地的緩存/同步機(jī)制，有效減

3、輕外部網(wǎng)絡(luò)流量，提高證書驗(yàn)證效率，也減輕CA服務(wù)器負(fù)擔(dān)；可以在完全離線，脫離CA的黑名單發(fā)布服務(wù)器的內(nèi)部網(wǎng)絡(luò)環(huán)境下，驗(yàn)證客戶證書，增強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性。 在本地認(rèn)證互通模式理論研究的基礎(chǔ)上，設(shè)計(jì)并實(shí)現(xiàn)了本地認(rèn)證系統(tǒng)，具有標(biāo)準(zhǔn)化，高度集成，易管理，跨平臺(tái)，易移植，高可用性，高安全性等特點(diǎn)，并已有了一些成功的應(yīng)用。 在當(dāng)前CA格局相對(duì)混亂的環(huán)境下，本地認(rèn)證系統(tǒng)作為一種實(shí)用、輕便的產(chǎn)品和解決方案，具有較大的實(shí)用價(jià)值，有比較廣的