超级会员免费看
新兴全球PKI中认证路径发现的建模与评估
1. 认证路径发现基础
在PKI(公钥基础设施)系统中,认证路径发现是一个关键过程。目录中的交叉证书对(crossCertificatePair)属性有两个元素,issuedToThisCA元素存储所有颁发给该CA的证书,包括远程域中CA颁发的证书;issuedByThisCA元素可能包含该CA颁发给其他CA的证书子集。目录中的所有对象都按名称和属性进行索引,检索请求的响应将返回满足条件的对象列表。
此外,一些私有证书扩展可用于指示如何访问与证书相关的服务。例如,权威信息访问(AIA)扩展指示如何访问证书颁发者的服务,可用于指定用户可以检索颁发者目录条目的目录地址,也可以指定向该颁发者颁发证书的CA列表。类似地,主题信息访问(SIA)扩展指示如何访问证书主题的服务。然而,在实践中,这些目录属性和证书扩展并未完全填充,这给发现算法在路径构建过程中定位合适的证书带来了困难。
2. 优化技术
发现算法在证书拓扑中构建候选路径时,常常会面临分支选择的问题。为了减少错误选择并加快过程,提出了几种优化技术:
- 早期检查签名和撤销状态 :在使用证书构建候选路径之前,尽早检查其签名和撤销状态,有助于提前排除不良证书。但这样做也存在权衡,因为算法需要花费额外的时间和资源进行这些操作。
- 分支优先级排序 :为分支设置优先级,以最大化成功发现的机会。例如,证书仲裁器模块(CAM)使用的证书路径库(CPL)定义了一系列标准来设置分支优先级。另外,有人提出在本地PKI域中,主题DN和颁发者DN匹配更多相对可区分名称(RDN)的证书应具有优先级。不过,这种优
订阅专栏 解锁全文
扫一扫
36
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
