共查询到16条相似文献,搜索用时 171 毫秒
1.
分析研究了X.509和RFC3280中一些证书扩展项与目录属性在证书路径构造过程中的应用,这些证书扩展项与目录属性包括Key Identifier,Certificate Policy,AIA,SIA,pkiPath,issueToThisCA和issueByThisCA等.提出了一个在混合信任模型下证书路径构造实现方法,并且分析了其优越性.文中的方法充分利用了证书扩展项与目录属性,可以有效、快速地构造证书路径.该方法可应用于不同PKI信任域中各CA的相互认证. 相似文献
2.
3.
分析了严格层次信任模型及其证书路径的特点和性质,在此基础上设计了一个基于树结构的证书验证模型。该模型利用证书路径的复用技术,并通过证书路径有效期和证书路径状态的概念,简化了证书验证的处理过程。该模型还给出了证书路径的扩展方法。 相似文献
4.
5.
对跨越多个管理域的系统而言,dRBAC是一个可升级的、分散的信任管理和访问控制机制。属性证书本质上是面向授权使用PKI的一种扩展方法,以支持与授权相关的任务。本文提出了用证书来实现dRBAC的思想,详细阐述了如何使用属性证书在动态结盟环境下实现dRBAC模型。 相似文献
6.
公钥基础设施的多路径构造方法 总被引:1,自引:1,他引:1
现有的证书路径构造方法不能进行多路径的构造。文中提出了一个多路径构造方法,该方法通过CA之间传播路径构造请求信息从而构造出所有的证书路径。同时,采用该方法能够方便地在路径构造的过程中进行路径验证,从而提高了路径处理的效率。 相似文献
7.
8.
分析了公钥基础设施PKI(Public Key Infrastructure)中公钥证书撤销的主要方法.提出了证书撤销平衡二叉排序Hash树的解决方案,从而克服了证书撤销树CRT(certification revocation tree)在更新时需要对整个树重新构造的缺点,新方案在更新时只需计算相关部分路径上的Hash值,缩短了平均查找路径长度,减小了目录服务器对提出证书查询成员的响应时间,减少了证书有效性验证的计算量. 相似文献
9.
10.
PKI与PMI联合安全认证系统及其设计 总被引:12,自引:0,他引:12
文章在研究X.509 V3所定义的公钥证书和属性证书的基础上,分析了PKI和PMI的系统组织结构,设计了一个PKI和PMI联合安全认证系统,给出了证书存储与管理目录服务器的配置与管理程序设计,系统使用公钥证书进行身份认证,使用属性证书进行角色控制,可以方便灵活地实现网络资源的安全访问控制。 相似文献
11.
信任管理是一种适用于大规模的、开放的分布式系统的授权机制。信任管理问题方面包括形式化安全策略和安全凭证,决定是否特定的凭证集合是否可以满足相关的策略以及委托信任给第三方。在信任管理问题中一致性证明是关键而证书链发现问题又是一致性证明的关键。对信任管理中证书链发现问题进行研究,分析了证书的存储和证书链发现算法并指出证书链发现的研究方向。 相似文献
12.
The X.509 certificate stored in a Lightweight Directory Access Protocol (LDAP) certificate repository requires secure and flexible means to make assertions against its component values such as the identity of its owner, issuer, and the intended usage of the public key contained therein. LDAP has traditionally lacked this ability because its string‐based encodings do not have a standardized way of carrying structural information of complex syntaxes as in X.500. The traditional remedies to this limitation are (1) to provide certificate‐specific matching for a limited set of components and their combinations and (2) to extract and store the certificate components in separate searchable attributes. Neither of these remedies is considered complete, because the former lacks flexibility while the latter heightens complexity in managing the integrity of the certificate repository and doubles storage requirements. Owing to the significant downside of these remedies, we investigate the possibility of an Abstract Syntax Notation One‐based Component Matching alternative. In this paper, we present (1) the design and implementation of the LDAP Component Matching for an OpenLDAP directory server to facilitate its use as the certificate repository in Public Key Infrastructure (PKI), (2) various optimization mechanisms to increase the performance of the Component Matching and their implementation in OpenLDAP, and (3) the detailed performance analysis of the LDAP directory server as a certificate repository in comparison with the traditional certificate‐specific matching and the attribute extraction approaches. We show that Component Matching, if equipped with the optimization techniques proposed in this paper, outperforms the traditional approaches. Copyright © 2007 John Wiley & Sons, Ltd. 相似文献
13.
阐述了一种用于减轻客户端负担的证书验证代理服务器的设计,描述了该代理服务器的总体框架.该设计在支持分布式交叉认证的混合信任模型的基础上,提出了一种优化的路径构建方法,给出了详细算法和主要数据结构,并对路径验证过程进行了描述.该代理服务器的应用将使得客户端与繁琐复杂的证书验证处理相分离,构建出真正的瘦客户端,提高客户端应用程序效率. 相似文献
14.
15.
对短期证书方案的改进及其实现 总被引:4,自引:1,他引:3
文章对短期证书方案在安全性、灵活性和证书失效管理方面存在的问题进行了分析,提出了一种改进方案,用
固定证书体现员工角色及其固定职责,在Intranet外使用临时证书提高安全性,利用目录服务进行证书失效和访问控制管理。 相似文献
16.
证书撤销机制的分析与研究 总被引:1,自引:1,他引:0
邓晓军 《计算机工程与设计》2007,28(7):1538-1540
数字证书是实现电子政务和电子商务中实体的信任及信任验证的关键元素.CA实际可能会根据不同的情况而导致证书的意外作废或撤销,那么应使要使用证书的用户尽可能获知最新的证书情况,这对于实现PKI系统的可信性至关重要.通过分析国内外通常采用的CRL和OCSP这两种基本的证书撤销、查询方法,总结了它们的优缺点以及在实际应用过程中遇到的难点.最后提出了相应的改进措施,使用户能及时获得最新的证书状况,为电子政务和电子商务提供更可靠的安全性. 相似文献