分布式环境中基于服务器的证书路径处理的研究

摘要

依赖方对证书的有效验证是公钥基础设施(PKI)在安全通信中能够广泛应用的基础。在大规模分布式环境中需要有效、安全构建证书路径来获得证书。本文介绍了证书路径处理的基本原理，并对比分析了现有的几种典型的证书路径处理机制，指出各自的缺陷，总结得出使用服务器可以有效简化客户端的运行和维护，另一方面在客户端进行证书路径构建和验证可以增加整个PKI系统抵抗拒绝服务攻击和欺骗攻击的能力。 本文针对动态证书路径处理机制存在的问题：动态证书路径处理是基于交叉认证技术实现不同信任域间的联系，交叉认证证书数目会以平方的速度增加，不利于管理和维护。对此，本文提出了基于证书收集服务器的动态证书路径构建机制，新的机制是基于桥CA技术实现不同信任域间的联系，交叉证书和证书路径的数目以线性速度增加。对此为了简化客户端，本文使用证书收集服务器，支持多种目录访问协议，使客户端在证书路径构建和验证时不需要频繁访问目录服务器；使用新的路径构建算法处理桥CA模型下多条证书路径的情况。本文还对此进行了比较和分析，以及模拟实验分析了改进方案的性能。 分析介绍BBK主观信任模型，针对其推荐信任合成算法采用简单的算术平均，平等的对待恶意推荐路径和善意推荐路径。注意到推荐路径中善意推荐路径数量远大于恶意推荐路径数量，恶意推荐信任值和善意推荐信任值相差很大，采用相似程度参数Sdegree对推荐信任值分类，选择其中所占比例最大的一类信任值进行合成，有效地排除占少数的恶意推荐，从而有效抵制恶意推荐带来的影响。 针对证书路径构建中现采用的优化措施，主要是针对于证书中的信息，为证书路径验证挑选最有可能通过的证书路径，但是现有的优化措施存在最高优先级与较高优先级之间如何取值可能无法确定，不能再在0到最高分值之间细分。本文引入改进的BBK主观信任模型，首先通过信任计算引擎得到信任值，把得到的信任值乘以最高分，这样为证书路径构建的优化提供进一步细化的方法。

目录

文摘

英文文摘

论文说明：插图索引、附表索引

湖南大学学位论文原创性声明及版权使用授权书

第1章 绪言

1.1分布式环境下证书路径处理问题

1.2证书路径处理研究现状

1.2.1基于客户端的证书路径处理

1.2.2基于服务器的证书路径处理

1.3本文的主要工作

1.4本文的内容结构

第2章 证书路径处理的基本原理

2.1引 言

2.2基本概念

2.2.1证书路径

2.2.2证书策略

2.2.3证书存储

2.3证书路径构建

2.3.1严格层次信任模型中证书路径构建

2.3.2网状信任模型中证书路径构建

2.3.3 桥CA模型中证书路径构建

2.3.4证书路径构建优化

2.4证书路径验证

2.4.1 参数输入

2.4.2初始化

2.4.3证书处理

2.4.4准备下个证书

2.4.5封装

2.4.6结果输出

2.5小节

第3章 BBK主观信任模型中推荐信任合成算法的改进

3.1引言

3.2信任关系的形式化描述

3.3信任关系的推导

3.4信任值的合成计算

3.4.1推荐信任合成改进算法

3.4.2直接信任合成

3.5比较分析

3.6模拟实验性能比较

3.7小结

第4章 BBK在证书路径构建优化中的应用

4.1引 言

4.2信任计算引擎

4.3 BBK主观信任模型的应用

4.4小结

第5章基于证书收集服务器的动态证书路径处理

5.1引言

5.2策略描述

5.3证书路径处理过程

5.4 证书收集

5.5 证书路径构建算法

5.6安全性分析

5.7比较与分析

5.8性能分析

5.9小结

结束语

参考文献

致 谢

附录A硕士期间工作