超级会员免费看
公钥基础设施(PKI)认证路径发现与验证权威机构的应用
1. 引言
在当今数字化时代,公钥基础设施(PKI)是保护信息安全的强大工具。随着PKI系统朝着全球互联的方向发展,不同政府、机构和企业的PKI域通过交叉认证技术建立信任关系,这使得PKI变得日益复杂。在这样的背景下,验证单个证书的工作也变得更具挑战性,其中认证路径发现是关键的第一步。同时,为了解决PKI证书和数字签名的国际互操作性问题,独立可信的验证权威机构(VA)被提出。
2. PKI与认证路径发现
PKI最初是为安全分发公钥而提出的,如今已发展成为提供公钥证书综合服务的架构,包括证书的存储、检索、状态维护和验证等。在传统的X.509 PKI系统中:
- 证书存储服务 :由支持轻量级目录访问协议(LDAP)的存储库提供,用户可通过该协议存储和检索目录信息。
- 证书状态信息(CSI)服务 :用于传达证书的有效性状态,证书通常被认为是“有效”、“撤销”或“未知”。经典的CSI方法包括定期更新的数据结构(如证书撤销列表CRL)和在线协议(如在线证书状态协议OCSP)。
2.1 认证路径发现
认证路径发现是构建连接目标证书与信任锚的“证书链”的过程。尝试验证证书的用户被称为依赖方,证书验证服务包括认证路径发现和认证路径验证两个阶段。认证路径验证阶段有明确的算法(RFC3280定义),但认证路径发现的实际构建算法并不明确,受以下因素影响:
- PKI架构 :PKI架构的复杂性不断增加,典型的PKI域有自己的认证策略,多个认证机构(CA)可能
订阅专栏 解锁全文
扫一扫
27
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
