基于OCSP協(xié)議的PKI-CA系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展改變著人們交流和交易的方式.Internet在早期設(shè)計(jì)時(shí)沒有詳細(xì)的考慮安全問題,使網(wǎng)絡(luò)上各種新業(yè)務(wù)的發(fā)展受到了限制.隨著電子商務(wù)的發(fā)展,信息安全已經(jīng)成為電子貿(mào)易進(jìn)一步發(fā)展的重要因素.隨之而來的一個(gè)重要問題是如何保證網(wǎng)絡(luò)上應(yīng)用的安全性.公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)技術(shù)可以為網(wǎng)絡(luò)上的各種應(yīng)用提供機(jī)密性、完整性、身份鑒別和不可否認(rèn)性的安全保障,PKI技術(shù)已經(jīng)成為信息安全中最可

2、行的一項(xiàng).PKI是一個(gè)動(dòng)態(tài)的系統(tǒng),它融合了各種安全技術(shù),涉及到加密、數(shù)字簽名、數(shù)據(jù)完整性、數(shù)字信封等技術(shù).PKI的核心是數(shù)字證書,數(shù)字證書可以在網(wǎng)上建立一種信任機(jī)制,實(shí)現(xiàn)網(wǎng)上用戶身份的識別.PKI中的認(rèn)證中心(Certificate Authority,CA)是所有合法注冊用戶所信賴的具有權(quán)威性、信賴性及公證性的第三方機(jī)構(gòu),負(fù)責(zé)為網(wǎng)絡(luò)環(huán)境中的各個(gè)實(shí)體頒發(fā)數(shù)字證書,以證明各實(shí)體電子身份的真實(shí)性,并負(fù)責(zé)檢驗(yàn)和管理證書.該文探討了CA中兩種驗(yàn)

3、證證書狀態(tài)的方式.一是周期發(fā)布證書狀態(tài)方式,在傳統(tǒng)的證書撤銷列表(Certificate Revocation List,CRL)發(fā)布機(jī)制的基礎(chǔ)上又介紹了分段CRL、增量CRL、重疊發(fā)布的CRL、證書撤銷樹,這些不同的證書撤銷方式在一定程度上避免了惡意攻擊;二是在線查詢證書狀態(tài)方式,在線證書狀態(tài)協(xié)議(Online Certificate Status Protocol,OCSP)是這種方式的主流協(xié)議,它實(shí)時(shí)的查看證書狀態(tài),在證書狀態(tài)發(fā)布