基于OCSP的在線證書狀態(tài)驗(yàn)證系統(tǒng)的研究與應(yīng)用.pdf

1、數(shù)字證書狀態(tài)驗(yàn)證是PKI的核心組成部分，用于為數(shù)字證書使用者提供相關(guān)證書的撤銷信息。OCSP是一種常見的數(shù)字證書狀態(tài)驗(yàn)證機(jī)制，可以通過簡單的查詢向用戶提供即時的數(shù)字證書狀態(tài)信息。但由于OCSP在PKIX協(xié)議族中是一個比較年輕的成員，因此仍具有一定的局限性。 本文首先在深入研究0CSP協(xié)議的基礎(chǔ)上，針對目前OCSP協(xié)議存在的問題，提出了一種改進(jìn)型OCSP協(xié)議，該協(xié)議對0CSP響應(yīng)消息進(jìn)行改進(jìn)，使之包括基本類型OCSP響應(yīng)和A類型0

2、CSP響應(yīng)。其次，在該改進(jìn)型OCSP協(xié)議基礎(chǔ)上，設(shè)計(jì)并實(shí)現(xiàn)了一個高效的在線證書狀態(tài)驗(yàn)證系統(tǒng)，該系統(tǒng)中的改進(jìn)型OCSP響應(yīng)器利用CA的證書庫作為響應(yīng)器的信息源，為用戶返回最新的證書狀態(tài)信息；同時，響應(yīng)器采用Hash表緩存機(jī)制、預(yù)簽名技術(shù)和多線程機(jī)制，較好地提高了其性能，并能有效抵御重傳攻擊和拒絕服務(wù)攻擊。然后，基于此驗(yàn)證系統(tǒng)，提出了其在交叉認(rèn)證中的應(yīng)用方案，使得響應(yīng)器不僅可以檢測出證書的撤銷狀態(tài)，實(shí)現(xiàn)不同信任域間的證書狀態(tài)查詢，同時還能建

3、立證書路徑并驗(yàn)證其有效性，從而解決了交叉認(rèn)證中構(gòu)建跨信任域的證書路徑難的問題。最后，分別對基于改進(jìn)型OCSP的在線證書狀態(tài)驗(yàn)證系統(tǒng)及其在交叉認(rèn)證中的應(yīng)用進(jìn)行測試，并對測試結(jié)果進(jìn)行分析。 本文設(shè)計(jì)的高性能0CSP系統(tǒng)降低了平均響應(yīng)時間，確保了響應(yīng)數(shù)據(jù)的正確性和即時性，對于促進(jìn)電子商務(wù)乃至電子政務(wù)的發(fā)展有著重要意義。同時本文實(shí)現(xiàn)的該系統(tǒng)在交叉認(rèn)證中的應(yīng)用方案，進(jìn)一步完善了OCSP響應(yīng)器的功能，減輕了客戶端的負(fù)擔(dān)，對數(shù)字證書的研究具有