PKI问题的断言检查和提出的方案.docVIP

PKI问题的断言检查提出的方案 John Linn, RSA Laboratories, Bedford, MA, USA Marc Branchaud, RSA Security Inc., Vancouver, BC, Canada 15 March 2004 1引言 20世纪80年代以来，公共密钥基础设施（PKI）已被广泛预期，使实体密钥提供给别人一个可信的方式的主要手段，从而使一个质的提高，通信和交易在互联网上开展的保障。 Certificate-based authentication has become common practice in certain contexts, particularly in conjunction with SSL-protected web sites. In recent years, however, many commentators have lamented the fact that PKI has 基于认证在某些情况下，已成为普遍的实践证明，特别是在SSL保护的网站连接。然而，近年来，许多评论员感叹，PKI没有达到更广泛的采用和部署。一些，像[ clar01 ]，[ elsc00 ]，和[ gutt02 ]，得出的结论是，PKI是失败或不解决用户的基本安全需求。对这些结果的原因各有不同，但大多数可以简化为一个通用类型： 相信所提供的PKI服务的需求，在PKI集成应用程序和/或安全性使用的情况下，这些应用方面，尚未出现一定程度足以激励的部署信任的基础设施。 认为当前PKI体系结构和实现的特点，使他们不必要的困难，部署，和/或那些特征使它们不能提供值的方法可以实现。 一个，PKI技术部署的本质意味着执行许多操作的上下文中，较高的保证环境比是适当的和具有成本效益的。 2003的一项调查由OASIS PKI技术委员会[ hann03 ]的障碍进行了PKI的部署和使用提出的混合生成这些类别中的每一个因素。如果通过增加PKI作为一个目标，第一个解释提出了推广应用和使用模式，利用证书策略。 Existing PKI technologies would stand ready to satisfy the demand if and as it emerges. While incremental changes might remain necessary to satisfy integration requirements, fundamental PKI architectures could safely remain intact. Questions of candidate applications and usages for PKI technology are interesting and important, but lie outside this paper’s scope. 现有的PKI技术将随时准备满足需求如果和它的出现。而增量变化可能仍然需要满足集成要求，基本PKI架构可以安全地保持完整。对PKI技术的候选应用和使用问题是有趣的和重要的，但不在本文的讨论范围之内。 第二和第三的解释意味着批评的元素内的PKI技术基础，和动机的重新审视和修改这些方面的PKI被认为是有争议的或有问题的。不同的评论家们表达了对PKI技术的不同元素的问题，并提出了不同方案的结果；本文的目的是审查范围的感知问题和建议的方法，不是说都是同样有效的或适当的。然后，我们研究的几个方法，寻求他们的特点在他们的目标地址，并和他们提供的价值特征。我们可以断定断言的问题和贡献，对这些问题做出解决方案建议。 本文对PKI的体系结构和功能方面。它不是主要关注的编码方案，如选择之间的ASN。1协议的对象和XML的表示。讨论的目的，我们假设以下元素作为当代PKI基线方面，因此不考虑他们的候选人未来变化的范畴： 进行分层和非分层信任模型的支持 Support for certificate revocation via Certificate Revocation Lists (CRLs) and via basic on-line status query mechanisms such as OCSP 通过证书撤销列表（CRL）和证书撤销支持通过基本的在线状态查询机制如OCSP Syntactic support within certificates for a range of name forms, such as X.500 Distinguished Names, Internet-form names within AltName extensions, and pseu