论文部分内容阅读
随着Internet及电子商务的发展,人们对信息安全的需求越来越迫切,基于公钥体制的PKI(Public Key Infrastructure)可以为网络的各种应用提供保密性、完整性、防止抵赖和身份鉴别等安全保证,是迄今为止解决信息安全问题诸多方法中最全面的解决方案。PKI的核心是证书,所以证书的管理是PKI的首要任务,而证书状态信息发布又是大规模PKI系统实施中潜在耗费成本最高的部分。所以,本文针对传统的PKI证书信息发布方法中采用的C/S架构的不足,引入P2P(Peer to Peer)技术思想,提出一种分布式的证书状态信息发布模型,即采用分散化的混合P2P架构代替传统证书CRL发布的C/S架构,每一台设备既是下载CRL的终端,又是提供CRL的“服务器”。针对该模型,本文主要做了以下几个方面的工作:通过对传统的证书状态信息发布方法的研究和深入分析,引入P2P技术的概念,在原来的证书撤消机制的基础上,提出分布式的证书撤消方法。即客户机在从证书指定的撤消列表库中下载了相关的撤消列表文件后,可以充当“种子”把这些文件共享出来供其它用户下载,这样可以有效地降低撤消列表库服务器和联接它的网络的工作负载,也分散了整个网络的流量,而且在撤消列表库服务器发生单点故障时也能保证撤消列表的分发。深入分析不同的周期发布证书状态信息的机制对证书撤消列表存储库峰值请求率的影响,针对P2P网络的信息分散化、边缘化的特点,提出采用分区Over-Issued机制作为本文所提的分布式CRL模型的证书状态信息发布机制,并给出数学理论分析。深入研究P2P动态网络里的对等节点和资源检索、身份标识和在线状态、路由信息扩散等相关技术,特别是JXTA技术,针对PKI系统常用的层次结构特点,提出采用Super-Peer型的混合P2P网络模型。并在该模型的基础上,针对共享的资源仅限于CRL文件的特点,对该P2P网络模型在安全性、资源的发现定位等重要问题进行了深入研究。综合上述研究,分析设计了本文所提的分布式CRL模型的CRL分发模块。