16、QPKI：基于QoS的公钥基础设施（PKI）架构解析

QPKI：基于QoS的公钥基础设施（PKI）架构解析

1. 主动证书的特性与交互

主动证书具有以下特性：
- 能够与依赖方进行通信。
- 可以和其颁发证书的认证机构（CA）通信。
- 能与证书所有者进行交互。
- 其代码和数据是安全的。
- 证书具备自我暂停、恢复和撤销的能力。

当用户向依赖方提交请求时，依赖方可能希望使用证书对用户进行身份验证。此时，用户将证书的位置信息提交给依赖方，依赖方就可以直接与证书通信，获取验证用户所需的所有信息。在这个过程中，依赖方可能会要求证书首先提供验证证明，还可以指定证明的新鲜度。例如，要求证书提供新鲜度为1小时或更短时间的验证证明。证书代理负责获取所需信息并提交给依赖方，有时证书可能已在本地缓存了这些信息，可立即提供；其他时候则可能需要联系CA、注册机构（RA）或目录服务器来获取验证证明。

用户也可以与自己的证书进行通信。例如，若用户希望暂停证书，可将信息传达给本地证书，证书会采取相应行动；若用户希望延长证书的有效期，也可通过与证书本身通信来实现。

主动证书是可执行代码和数据，具有多种角色。作为证书所有者的代理，它向依赖方提供必要信息；作为CA的代理，它可以处理证书所有者关于证书的服务请求。此外，它还能保护自身（代码和数据）免受包括用户在内的其他方的影响。

2. QPKI架构概述

QPKI架构将重新认证和主动证书的概念与传统PKI架构相结合，兼容现有的PKI系统。该架构包含六个主要模块：
| 模块名称 | 功能描述 |
| ---- | ---- |
| CA/RA模块 | 验证用户凭证后颁发证书，包含