论文部分内容阅读
Internet及其它形式的电子网络为我们进行信息交流与信息共享提供了一种方便、快捷、高效的途径。由于通过网络进行的电子商务、电子政务、电子事务等诸多活动缺少直接的物理接触,因此迫切要求解决网上身份认证、信息完整性和抗抵赖等安全问题。公钥基础设施和数字认证机构(PKI/CA ,Public Key Infrastructure and Certification Authorities)体系正是为了解决这些安全问题而被广泛应用的。PKI/CA体系是一种基于公开密钥理论和技术建立起来的安全体系,它的核心是要确认信息网络空间中的信任关系。与互联网建设的初衷相似,PKI的信任服务是没有地域和行业界限的。但是不同的CA体系及不同的PKI产品却人为的形成了不同的安全信任域。于是人们在使用电子方式验证信任关系时面临一个难题,即能否信任由另一个CA所发放的“外部”证书。因此如何解决不同PKI体系之间的互联互通,已经成为目前PKI建设亟待解决的重要问题,开展CA互操作研究对促进我国的经济发展、保障国家的利益具有重大意义。本文是针对目前因技术实现和安全策略广泛存在的差异而造成不同CA之间很难兼容和互操作的现状,所开展的PKI/CA系统互操作技术实现模型的技术应用基础研究。文中首先介绍了有关信息安全的基本含义和要求,陈述了有关密码技术的基础知识,详细说明了公钥基础设施和数字认证机构的基本概念、功能、组成及应用。并且对国内外互操作技术及实现模型进行了全面分析,探讨了这些模型的优点及不足。在此基础上,笔者提出了一种新型的CA之间实现互操作的结构模型——基于CA逆向上溯形成新树结构的互操作模型(以下称为逆向树模型)。笔者在文中详细说明了这种模型的基本思想,分析了该模型的可行性,并重点讨论了模型实现的关键问题及相应的实现方案。同时,还就该模型的可应用性进行了研究。逆向树模型具有构造良好、模块化、易于扩展,且信任关系的查找更加快捷等优点。它可以降低实施互操作的费用,减少对已有PKI的改造且易于实现,并能在不限制应用功能的情况下保证其安全性。这对解决我国目前CA建设中的实际问题有建设性的作用。