分布式在线证书状态协议剖析.docVIP

分布式在线证书状态协议剖析 　　摘 要 公钥基础设施（PKI）是现有网络中支持电子商务和数字通信的重要技术手段。在线证书状态协议（OCSP）是PKI中用于检索证书撤销信息的标准协议。本文介绍了一种基于隔离密钥签名模式的，使用单一公钥的新分布式OCSP，每个响应服务器都有不同的私钥，但对应的公钥是固定的。用户只需获得并保管一个证书，就可以使用这个单一公钥验证所有响应服务器。 　　关键词 公钥基础设施；认证中心；分布式在线证书状态协议；隔离密钥签名模式 　　中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2013）11-0000-00 　　1 背景 　　在公钥基础设施（PKI）中，证书将一个实体的身份资料与相应的公钥绑定在一起。然而在失效日期前，证书会因为绑定关系破坏而被撤销。因此，验证证书不仅必须检查失效日期，还应检查证书的撤销信息。 　　常用的机制是能提供证书实时状态的在线证书状态协议（OCSP）。OCSP为证书状态查询不断提供新的应答，证书的状态由一个作为OCSP响应服务器的可信实体返回。在移动环境下，OCSP是一个不错的选择，因为用户可以仅使用适度的资源就能实时检索证书状态。不过，还存在以下两种威胁： 　　1）拒绝服务（DoS）攻击：在OCSP中，响应服务器对每个用户的请求产生一个签名响应。即对于每个攻击者发出的简单请求，响应服务器必须生成