PKI中證書撤銷機(jī)制和具有前向安全性的數(shù)字簽名研究.pdf

1、公開密鑰基礎(chǔ)設(shè)施(Public Key Infrastructure，PKI)是以公鑰密碼系統(tǒng)為基礎(chǔ)、提供安全服務(wù)的通用性安全基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)傳輸與信息保密過(guò)程中提供密鑰的產(chǎn)生、分發(fā)、管理、撤銷的服務(wù)，也提供身份鑒別、信息完整性、不可否認(rèn)性和機(jī)密性的信息安全服務(wù)。公鑰證書通過(guò)數(shù)字簽名和加密方式把用戶身份信息與公鑰綁定在一起，確保持證者身份真實(shí)、合法、有效，這樣就可以降低網(wǎng)絡(luò)環(huán)境下信息傳輸?shù)娘L(fēng)險(xiǎn)。 證書在發(fā)布后，其合法性會(huì)隨著時(shí)間

2、的推移以及突發(fā)的特殊原因而成為無(wú)效的證書。因此，證書在發(fā)行之后，CA須為用戶提供證書撤銷服務(wù)供查詢以驗(yàn)證證書的有效性。如何實(shí)施并維護(hù)一個(gè)高效的證書撤銷機(jī)制成為PKI中的一個(gè)重要研究課題。 在分析了傳統(tǒng)的證書撤銷機(jī)制的基礎(chǔ)上，提出了自根向下壓縮的二叉排序樹的證書撤銷方案，為PKI的實(shí)現(xiàn)提供了幾種高效可行的證書撤銷方案，使用我們的證書撤銷方案可以有效的減少通信代價(jià)和維護(hù)證書撤銷后數(shù)據(jù)的工作量。這樣就可以構(gòu)建一個(gè)迅速、準(zhǔn)確和安全的證書

3、撤銷信息的檢查機(jī)制，以適應(yīng)不同規(guī)模的PKI應(yīng)用的需求。 前向安全的數(shù)字簽名方案可以解決普通數(shù)字簽名密鑰泄露后對(duì)系統(tǒng)的影響，將損失降低到最小程度。它將密鑰有效期劃分為若干個(gè)時(shí)間段，不同的時(shí)間段所用的秘密鑰由前一個(gè)時(shí)間段的秘密鑰經(jīng)一個(gè)單向函數(shù)運(yùn)算生成，而公鑰在整個(gè)簽名過(guò)程中保持不變，既保證了系統(tǒng)的前向安全性，又簡(jiǎn)化了驗(yàn)證過(guò)程。在對(duì)已有的方案進(jìn)行分析之后，發(fā)現(xiàn)了其中的安全漏洞，總結(jié)得出具有前向安全性質(zhì)的簽名方案應(yīng)具備的特征。依此提出了