论文部分内容阅读
PKI正迅速成为一种为开放网络环境下的应用提供机密性、完整性、抗抵赖性、身份认证和访问授权等安全功能的安全基础设施。目前PKI得到了广泛的关注,但是它还有很多理论上和工程上的问题阻碍了它获得进一步的应用。本文针对PKI中的若干关键技术问题进行了研究,本文的工作主要包括:本文提出了PKI系统应该侧重考虑在分布式网络环境下的安全服务,因为分布式的网络计算是发展趋势。当前PKI系统主要应该解决的问题就是互操作问题和在PKI系统中引入信任评价标准。使依托于PKI系统的资源的管理者可以根据自身的安全策略实现对资源的访问控制、权限管理、信任管理等。本文提出在网络环境下,主要是实体、权限、条件和资源四者之间相互作用,所以证书应该能够体现出这种相互作用的关系和内容。所以本文重新定义了证书内容,认为证书应该包括:实体(名字、公钥或公钥的hash值,实体的属性)、权限、条件和资源,分析了他们各自的组成和作用。本文也指出信任是PKI的一个重要组成部分,提出应该在证书中附加信任评价标准。本文提出用面向对象的技术来重新审视证书。以往的证书都是只含有数据,当把证书作为一个对象看待后,证书不仅可以携带数据,还有数据的处理方法。证书就象一个“rights agent”一样在网络中流动,携带着公钥以及权限信息等,应用可以利用此来实现安全功能。本文提出用XML作为证书的表现形式。XML作为一种网络的标准数据交换格式,是一种趋势。证书以XML作为表现形式可以简化互操作问题,可以直接利用XML的相关协议实现证书的交换等管理功能,客户端也有广泛的XML的处理器对证书进行操作。通过采用XML技术,可以对普通用户屏蔽PKI的复杂性,实现了对具体的PKI厂商产品和实现技术的松耦合,有利于解决PKI的互操作问题。本文提出用“关系(relationship)”来重新审视网络实体间的安全作用,关系就象现实社会的合同,确定了双方的权利和义务。在网络上关系可以用来表示信任、策略信息、约束等。本文提出的新型证书就可以体现这种关系,通过基于关系的驱动,可以获得一对一、一对多、多对一以及多对多等多种与安全相关的联系,以获得安全控制的良好粒度。本文提出了基于新型证书的PKI系统,此PKI系统具有可扩展性,简化互操作问题,易于与其他应用集成。本文从应用和系统结构角度分析了此PKI系统的特性和优点。也介绍了其信任模型与其他PKI系统的信任模型的比较。最后,本文论述了基于此PKI系统的应用。特别是基于此系统的数字版权保护系统对比传统的数字版权保护技术有很大的优势。这证明了此PKI系统完全可以为众多的应用提供安全服务,而且易于与传统应用集成。相信PKI有巨大的潜力在网络安全特别是电子商务安全方面起到决定性的作用。