论文部分内容阅读
随着计算机技术的飞速发展,信息安全问题日益得到更加普遍的关注,信息安全技术也正在被广泛的重视和推广。信息安全已经成为维持互联网秩序的重要保证。而PKI技术作为信息安全技术的核心,被广泛的应用到日常生活的各个部分,例如电子商务、电子政务、证券交易等等行业。CA作为数字证书的签发者和第三方信任机构,成为PKI体系的核心。现阶段,每个CA机构只能信任自己签发的数字证书,也就是说,每个CA机构有一个自己的信任域,超出了信任域的数字证书就不能被信任。随着数字证书在各种系统中的广泛应用,同一个用户可能会拥有很多不同的CA签发的数字证书,这给用户和CA都带来了很多的不便和压力,因此,实现应用系统对不同的CA机构签发的数字证书的认证,已经成为PKI技术发展中一个迫切需要解决的问题,这也是本文要解决的核心问题。本文提出的基于网关的数字证书跨CA信任系统的主要目标是实现应用系统对不同的CA机构签发的数字证书的认证。本文提出了边界网关和信任网关的概念,其中边界网关是系统的接入点,负责将可信的CA机构接入到该跨CA信任系统中;信任网关是跨CA信任系统的核心,它负责传递CA机构的证书信任链,通过在系统中传播证书信任链,使得证书信任链可以扩展到整个跨CA系统的任何一个角落。同时,应用系统也是通过信任网关接入到整个信任系统中,通过和信任网关相连,应用系统可以很方便的获取到整个跨CA信任系统中任何一个可信的CA机构的证书信任链,从而可以自主选择本应用系统可信的CA机构,将其证书信任链存放到应用系统的证书信任库中,从而实现对不同的CA机构签发的数字证书的认证。本文同时提出了信任网关传递证书信任链的三种方式。信任网关的网络结构对证书信任链的传播起到至关重要的作用,因此,如何避免证书信任链在传递过程中出现环路和不能完全传播到每个信任网关的情况,本文提出了三种解决方案,并且通过对比,指出了这三种方式的优缺点和适用的条件。最后,本文提出了下一步的研究方向,并且针对基于网关的跨CA信任系统,提出了一些需要改进的地方,比如增加系统的审计功能、增加管理员的权限管理、优化证书信任链的传播方式等等。