论文部分内容阅读
互联网和电子商务的发展改变着人们交流和交易的方式。Internet在早期设计时没有详细的考虑安全问题,使网络上各种新业务的发展受到了限制。随着电子商务的发展,信息安全已经成为电子贸易进一步发展的重要因素。随之而来的一个重要问题是如何保证网络上应用的安全性。 公钥基础设施(Public Key Infrastructure, PKI)技术可以为网络上的各种应用提供机密性、完整性、身份鉴别和不可否认性的安全保障,PKI技术已经成为信息安全中最可行的一项。PKI是一个动态的系统,它融合了各种安全技术,涉及到加密、数字签名、数据完整性、数字信封等技术。PKI的核心是数字证书,数字证书可以在网上建立一种信任机制,实现网上用户身份的识别。 PKI 中的认证中心(Certificate Authority, CA)是所有合法注册用户所信赖的具有权威性、信赖性及公证性的第三方机构,负责为网络环境中的各个实体颁发数字证书,以证明各实体电子身份的真实性,并负责检验和管理证书。 本文探讨了CA中两种验证证书状态的方式。一是周期发布证书状态方式,在传统的证书撤销列表(Certificate Revocation List, CRL) 发布机制的基础上又介绍了分段CRL、增量CRL、重叠发布的CRL、证书撤销树,这些不同的证书撤销方式在一定程度上避免了恶意攻击;二是存线查询证书状态方式,在线证书状态协议(Online Certificate Status Protocol, OCSP)是这种方式的主流协议,它实时的查看证书状态,在证书状态发布机制方面可以保证PKI系统的有效正常运行。 通过对相关PKI文档和资料的研究和总结,本文提出了一个PKI/CA的实现模型,在其中加入了PKI基本结构中未定义的OCSP响应器和时间戳服务器,并在实验室环境下实现了这个PKI/CA模型的一个实例。