分布式環(huán)境中基于服務(wù)器的證書路徑處理的研究.pdf

1、依賴方對證書的有效驗證是公鑰基礎(chǔ)設(shè)施(PKI)在安全通信中能夠廣泛應(yīng)用的基礎(chǔ)。在大規(guī)模分布式環(huán)境中需要有效、安全構(gòu)建證書路徑來獲得證書。本文介紹了證書路徑處理的基本原理，并對比分析了現(xiàn)有的幾種典型的證書路徑處理機制，指出各自的缺陷，總結(jié)得出使用服務(wù)器可以有效簡化客戶端的運行和維護，另一方面在客戶端進行證書路徑構(gòu)建和驗證可以增加整個PKI系統(tǒng)抵抗拒絕服務(wù)攻擊和欺騙攻擊的能力。 本文針對動態(tài)證書路徑處理機制存在的問題：動態(tài)證書路徑處

2、理是基于交叉認證技術(shù)實現(xiàn)不同信任域間的聯(lián)系，交叉認證證書數(shù)目會以平方的速度增加，不利于管理和維護。對此，本文提出了基于證書收集服務(wù)器的動態(tài)證書路徑構(gòu)建機制，新的機制是基于橋CA技術(shù)實現(xiàn)不同信任域間的聯(lián)系，交叉證書和證書路徑的數(shù)目以線性速度增加。對此為了簡化客戶端，本文使用證書收集服務(wù)器，支持多種目錄訪問協(xié)議，使客戶端在證書路徑構(gòu)建和驗證時不需要頻繁訪問目錄服務(wù)器；使用新的路徑構(gòu)建算法處理橋CA模型下多條證書路徑的情況。本文還對此進行了比

3、較和分析，以及模擬實驗分析了改進方案的性能。 分析介紹BBK主觀信任模型，針對其推薦信任合成算法采用簡單的算術(shù)平均，平等的對待惡意推薦路徑和善意推薦路徑。注意到推薦路徑中善意推薦路徑數(shù)量遠大于惡意推薦路徑數(shù)量，惡意推薦信任值和善意推薦信任值相差很大，采用相似程度參數(shù)Sdegree對推薦信任值分類，選擇其中所占比例最大的一類信任值進行合成，有效地排除占少數(shù)的惡意推薦，從而有效抵制惡意推薦帶來的影響。 針對證書路徑構(gòu)建中現(xiàn)采