基于PKI的PMI技術(shù)研究.pdf

1、PMI(Privilege Management Infrastructure)是權(quán)限管理基礎(chǔ)設(shè)施或授權(quán)管理基礎(chǔ)設(shè)施，它由屬性證書(shū)、屬性權(quán)威、屬性證書(shū)庫(kù)等組成，用來(lái)實(shí)現(xiàn)權(quán)限和證書(shū)的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷等功能，以向用戶和應(yīng)用程序提供權(quán)限管理和授權(quán)服務(wù)為目標(biāo)。本文針對(duì)PMI中的若干技術(shù)進(jìn)行了研究。 論文主要做了如下的工作： 在詳細(xì)分析證書(shū)后，提出和實(shí)現(xiàn)了以XML作為證書(shū)的表現(xiàn)形式。證書(shū)以XML作為表現(xiàn)形式可以簡(jiǎn)化互操

2、作問(wèn)題，可以直接利用XML的相關(guān)協(xié)議實(shí)現(xiàn)證書(shū)的交換等管理功能，簡(jiǎn)化證書(shū)解析接口。傳統(tǒng)的屬性證書(shū)中的屬性都是不可變的，不能滿足一些實(shí)際應(yīng)用需要，例如，預(yù)交費(fèi)信用卡需要在使用過(guò)程中周期性的更新信用卡的余額，電子商務(wù)中的個(gè)人信譽(yù)值也會(huì)隨著交易的進(jìn)行而變化。因此本文提出了屬性可變的可變屬性證書(shū)，可變屬性證書(shū)包括了可以變化的屬性和不可以變化的屬性。 當(dāng)前應(yīng)用最廣泛的證書(shū)撤銷機(jī)制：證書(shū)撤銷列表(CRL)和在線證書(shū)狀態(tài)查詢協(xié)議(OCSP)，都

3、存在一些不足。證書(shū)撤銷列表是下載查詢方式，查詢證書(shū)狀態(tài)時(shí)的通信負(fù)荷比較重，針對(duì)CRL機(jī)制的不足，提出了AVL樹(shù)證書(shū)撤銷機(jī)制，新機(jī)制相對(duì)CRL機(jī)制在檢驗(yàn)證書(shū)有效性時(shí)，通信量有較大幅度的下降；OCSP是在線查詢方式，它的及時(shí)性依賴于證書(shū)撤銷數(shù)據(jù)庫(kù)的更新頻度，證書(shū)的撤銷只能由證書(shū)中心控制，每次查詢的安全性必須通過(guò)數(shù)字簽名來(lái)保證。針對(duì)這些不足，提出了基于單向哈希函數(shù)的證書(shū)撤銷機(jī)制，新機(jī)制的證書(shū)撤銷可以由證書(shū)中心或者用戶控制，在查詢證書(shū)狀態(tài)時(shí)能很