基于OCSP協(xié)議的PKI-CA系統(tǒng)的研究與實現(xiàn).pdf

1、互聯(lián)網和電子商務的發(fā)展改變著人們交流和交易的方式.Internet在早期設計時沒有詳細的考慮安全問題,使網絡上各種新業(yè)務的發(fā)展受到了限制.隨著電子商務的發(fā)展,信息安全已經成為電子貿易進一步發(fā)展的重要因素.隨之而來的一個重要問題是如何保證網絡上應用的安全性.公鑰基礎設施(Public Key Infrastructure,PKI)技術可以為網絡上的各種應用提供機密性、完整性、身份鑒別和不可否認性的安全保障,PKI技術已經成為信息安全中最可

2、行的一項.PKI是一個動態(tài)的系統(tǒng),它融合了各種安全技術,涉及到加密、數(shù)字簽名、數(shù)據(jù)完整性、數(shù)字信封等技術.PKI的核心是數(shù)字證書,數(shù)字證書可以在網上建立一種信任機制,實現(xiàn)網上用戶身份的識別.PKI中的認證中心(Certificate Authority,CA)是所有合法注冊用戶所信賴的具有權威性、信賴性及公證性的第三方機構,負責為網絡環(huán)境中的各個實體頒發(fā)數(shù)字證書,以證明各實體電子身份的真實性,并負責檢驗和管理證書.該文探討了CA中兩種驗

3、證證書狀態(tài)的方式.一是周期發(fā)布證書狀態(tài)方式,在傳統(tǒng)的證書撤銷列表(Certificate Revocation List,CRL)發(fā)布機制的基礎上又介紹了分段CRL、增量CRL、重疊發(fā)布的CRL、證書撤銷樹,這些不同的證書撤銷方式在一定程度上避免了惡意攻擊;二是在線查詢證書狀態(tài)方式,在線證書狀態(tài)協(xié)議(Online Certificate Status Protocol,OCSP)是這種方式的主流協(xié)議,它實時的查看證書狀態(tài),在證書狀態(tài)發(fā)布