基于优化算法CA认证路径构建问题分析.docVIP

基于优化算法CA认证路径构建问题分析 　　【摘 要】在分析和比较四种常见的CA认证信任模型的基础上,提出了基于优化算法的认证路径构建方法。在规模不大的电子商务活动中,可用最短路径法构建两个实体间的认证路径,获得最优解;在大规模的电子商务和电子支付活动中,可用捕食搜索算法构建认证路径,获得最优或近优解。 　　【关键词】认证路径 最短路径算法 捕食搜索算法 　　【中图分类号】G642 【文献标识码】A 【文章编号】1674-4810(2010)09-0013-02 　　 　　【Abstract】The certification path construction methods based on optimization algorithm is proposed by analyzing and comparing four common CA authentication model. In the small e-commerce activities, the optimal solution of certification path between the two entities can be obtained by the shortest path method; In the large-scale e-commerce and electronic payment activities, the optimal or near optimal solution of certification path can be gained by predatory search algorithm. 　　【Key words】Certification path The shortest path method Predatory search algorithm 　　 　　一 概述 　　PKI体系结构采用证书管理密钥,通过第三方认证机构,把用户的公钥与用户其他信息捆绑在一起,以便于在互联网上验证用户信息,该技术已成为电子商务安全的技术基础。随着该技术的需求不断深入,不同CA之间的相互认证已成为一个亟待解决的问题。本文通过对目前常见的几种认证模型的分析,结合优化算法构建新的认证路径,以缓解CA认证的瓶颈。 　　二 常见的CA认证路径构建模型 　　当前使用的CA信任模型有很多,主要介绍以下四种常见的信任模型。 　　1.严格层次结构模型 　　严格层次结构模型的证书链始于根CA,该模型结构清晰明了,便于全局管理。但是对于大范围的商贸行为,很难建立一个所有用户都信任的根CA,而且一旦根CA出现安全问题,将导致整个PKI系统崩溃。图1为严格层次结构模型的示意图。 　　2.分布式信任结构模型 　　分布式信任结构模型类似于森林结构,根CA有多个,相对上一种结构模型,具有较好的灵活性,缓解了根CA的工作,即使一个根目录出现安全问题,也不会造成整个认证体系的崩溃。但是根CA之间需要交互认证,通常采用网状配置和中心辐射配置两种方法。图2是分布式信任结构模型的示意图。 　　3.Web模型 　　Web模型的根CA是浏览器厂商,终端用户的浏览器上都预装了部分CA公钥,因此验证过程更容易。但是如果其中有一个根CA存在安全问题或者其私钥泄露,不能保证所有浏览器上都自动废除该根CA的公钥。同时,用户对该技术还不是非常了解,CA和用户之间缺乏有效的协议,使用过程中存在的风险需要用户承担责任。图3是Web信任模型的示意图。 　　4.以用户为中心的信任模型 　　假设有四个用户A、B、C、D,A收到声称属于B的证书,该证书由C签署,而A不认识C,但C证书是由D签署的,而D是A认识并信任的,这时候A决定信任B的证书。该模型即以用户为中心的信任模型,用户信任哪些证书由自己决定。 　　综上所述的各种CA认证模型,都是比较单一的,随着电子商务应用的深入,单一的信任模型显然已不能适应实际的应用,因此需要将各种信任模型混合使用,混合的信任模型图就类似于无方向的图结构。 　　三 基于优化算法的CA认证路径构建 　　1.最短路径算法 　　混合模型下两个实体之间的认证路径有多条,可用最短路径算法找到两个实体之间的最短认证路径。如起点为A,首先用path[v]和dist[v]表示从起点A到点v的最短路径和长度,求解过程如下: 　　Step1对A以外的各顶点vi,若存在,则将其作为A到vi的最短路径存放在path[v]中,将其权值作为路径长度存放在dist[v]中。 　　Step2从未解顶点中选择一个dist值最小的顶点v,则当前的path[v]和dist[v]就是顶点v的最终解(v成为已解顶点)。 　　Step3由于某些