數(shù)字證書跨CA信任技術(shù)研究.pdf

1、隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息安全問題日益得到更加普遍的關(guān)注，信息安全技術(shù)也正在被廣泛的重視和推廣。信息安全已經(jīng)成為維持互聯(lián)網(wǎng)秩序的重要保證。而PKI技術(shù)作為信息安全技術(shù)的核心，被廣泛的應(yīng)用到日常生活的各個(gè)部分，例如電子商務(wù)、電子政務(wù)、證券交易等等行業(yè)。CA作為數(shù)字證書的簽發(fā)者和第三方信任機(jī)構(gòu)，成為PKI體系的核心。現(xiàn)階段，每個(gè)CA機(jī)構(gòu)只能信任自己簽發(fā)的數(shù)字證書，也就是說，每個(gè)CA機(jī)構(gòu)有一個(gè)自己的信任域，超出了信任域的數(shù)字證書就不能被信

2、任。隨著數(shù)字證書在各種系統(tǒng)中的廣泛應(yīng)用，同一個(gè)用戶可能會擁有很多不同的CA簽發(fā)的數(shù)字證書，這給用戶和CA都帶來了很多的不便和壓力，因此，實(shí)現(xiàn)應(yīng)用系統(tǒng)對不同的CA機(jī)構(gòu)簽發(fā)的數(shù)字證書的認(rèn)證，已經(jīng)成為PKI技術(shù)發(fā)展中一個(gè)迫切需要解決的問題，這也是本文要解決的核心問題。 本文提出的基于網(wǎng)關(guān)的數(shù)字證書跨CA信任系統(tǒng)的主要目標(biāo)是實(shí)現(xiàn)應(yīng)用系統(tǒng)對不同的CA機(jī)構(gòu)簽發(fā)的數(shù)字證書的認(rèn)證。本文提出了邊界網(wǎng)關(guān)和信任網(wǎng)關(guān)的概念，其中邊界網(wǎng)關(guān)是系統(tǒng)的接入點(diǎn)，

3、負(fù)責(zé)將可信的CA機(jī)構(gòu)接入到該跨CA信任系統(tǒng)中；信任網(wǎng)關(guān)是跨CA信任系統(tǒng)的核心，它負(fù)責(zé)傳遞CA機(jī)構(gòu)的證書信任鏈，通過在系統(tǒng)中傳播證書信任鏈，使得證書信任鏈可以擴(kuò)展到整個(gè)跨CA系統(tǒng)的任何一個(gè)角落。同時(shí)，應(yīng)用系統(tǒng)也是通過信任網(wǎng)關(guān)接入到整個(gè)信任系統(tǒng)中，通過和信任網(wǎng)關(guān)相連，應(yīng)用系統(tǒng)可以很方便的獲取到整個(gè)跨CA信任系統(tǒng)中任何一個(gè)可信的CA機(jī)構(gòu)的證書信任鏈，從而可以自主選擇本應(yīng)用系統(tǒng)可信的CA機(jī)構(gòu)，將其證書信任鏈存放到應(yīng)用系統(tǒng)的證書信任庫中，從而實(shí)現(xiàn)

4、對不同的CA機(jī)構(gòu)簽發(fā)的數(shù)字證書的認(rèn)證。 本文同時(shí)提出了信任網(wǎng)關(guān)傳遞證書信任鏈的三種方式。信任網(wǎng)關(guān)的網(wǎng)絡(luò)結(jié)構(gòu)對證書信任鏈的傳播起到至關(guān)重要的作用，因此，如何避免證書信任鏈在傳遞過程中出現(xiàn)環(huán)路和不能完全傳播到每個(gè)信任網(wǎng)關(guān)的情況，本文提出了三種解決方案，并且通過對比，指出了這三種方式的優(yōu)缺點(diǎn)和適用的條件。 最后，本文提出了下一步的研究方向，并且針對基于網(wǎng)關(guān)的跨CA信任系統(tǒng)，提出了一些需要改進(jìn)的地方，比如增加系統(tǒng)的審計(jì)功能、增加