基于LDAP的在线证书状态验证实现技术研究

摘要

公钥基础设施PKI以非对称加密技术为基础，为网络信息安全提供保障。PKI以数字证书为密钥管理工具，终端实体之间进行通信之前必须要验证使用的数字证书是否已经被撤销，即验证证书当前状态的有效性。
　　目录服务作为一种特殊的数据服务，它的应用为互联网中的数据资源提供了分布式的存储与发布方式。本文比较深入地阐述了LDAP目录服务，详细分析了LDAP目录协议的信息模型、分布式模型、功能模型和安全模型；介绍了LDAP目录服务在PKI中的应用。
　　在线证书状态协议(OCSP)允许客户通过简单的查询获得实时的证书状态信息，目前在大部分PKI的实现中，OCSP已经成为证书撤销列表(CRL)的替代或补充机制，克服了基于CRL机制的延时、可扩展性差、难于管理等缺陷。但是，OCSP的每个响应都必须签名，如果OCSP用户请求过多，响应器需要做大量的签名运算，这将影响到响应产生的及时性，从而降低证书撤销验证的服务性能。
　　基于LDAP目录服务机制，本文提出一种OCSP实现模型。新模型使用LDAP目录数据库存储OCSP响应器中的证书撤销数据，同时记录实体间证书验证关系；响应器为服务的实体提前收集验证证书的撤销信息，提前准备签名，部分减少了OCSP响应器对撤销数据库的搜索范围和签名时间。实验结果表明，这一方法降低了OCSP平均响应时间，提高了响应器的性能。