PKI问题的断言检查和提出的方案.pdf

《PKI问题的断言检查和提出的方案.pdf》由会员分享，可在线阅读，更多相关《PKI问题的断言检查和提出的方案.pdf（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、PKI 问题的断言检查和提出的方案 PKI 问题的断言检查和提出的方案 John Linn,RSA Laboratories,Bedford,MA,USA Marc Branchaud,RSA Security Inc.,Vancouver,BC,Canada 15 March 2004 1 引言 20 世纪 80 年代以来，公共密钥基础设施(PKI)已被广泛预期，使实体密钥提供给别人一个可信的方式的主要手段，从而使一个质的提高，通信和交易在互联网上开展的保障。基于认证在某些情况下，已成为普遍的实践证明，特别是在SSL 保护的网站连接。然而，近年来，许多评论员感叹，PKI 没有达到更广泛的采用

2、和部署。一些，像 clar01，elsc00，和 gutt02，得出的结论是，PKI 是失败或不解决用户的基本安全需求。对这些结果的原因各有不同，但大多数可以简化为一个通用类型:,相信所提供的 PKI 服务的需求，在 PKI 集成应用程序和/或安 全性使用的情况下，这些应用方面，尚未出现一定程度足以激励 的部署信任的基础设施。,认为当前 PKI 体系结构和实现的特点，使他们不必要的困难，部署，和/或那些特征使它们不能提供值的方法可以实现。,一个信任，PKI技术部署的本质意味着执行许多操作的上下文 中，较高的保证环境比是适当的和具有成本效益的。2003 的一项调查由 OASIS PKI 技术委员

3、会 hann03 的障碍进行了 PKI 的部署和使用提出的混合生成这些类别中的每一个因素。如果通过增加 PKI 作为一个目标，第一个解释提出了推广应用和使用模 式，利用证书策略。现有的 PKI 技术将随时准备满足需求如果和它的出现。而增量变化可能仍然需要满足集成要求，基本 PKI 架构可以安全地保持完整。对 PKI 技术的候选应用和使用问题是有趣的和重要的，但不在本文的讨论范围之内。第二和第三的解释意味着批评的元素内的 PKI 技术基础，和动机的重新审视和修改这些方面的 PKI 被认为是有争议的或有问题的。不同的评论家们表达了对 PKI技术的不同元素的问题，并提出了不同方案的结果;本文的目的是

4、审查范围的感知问题和建议的方法，不是说都是同样有效的或适当的。然后，我们研究的几个方法，寻求他们的特点在他们的目标地址，并和他们提供的价值特征。我们可以断定断言的问题和贡献，对这些问题做出解决方案建议。本文对 PKI 的体系结构和功能方面。它不是主要关注的编码方案，如选择之间的 ASN。1 协议的对象和 XML 的表示。讨论的目的，我们假设以下元素作为当代PKI 基线方面，因此不考虑他们的候选人未来变化的范畴:,进行分层和非分层信任模型的支持 ,通过证书撤销列表(CRL)和证书撤销支持通过基本的在线 状态查询机制如 OCSP ,句法支持在证书的范围内的名称形式，如 X.500 可分辨名称，名称

5、在网络形成 altname 扩展，和假名。在特定的增强功能可以在多方面的考虑，他们一般房屋被广泛介绍和采用，所以不构成定性从目前公认的做法。2 PKI 有争议的内容 在本节中，我们讨论了 PKI 技术的几个方面及其操作吸引了批评和争议。2.1 在检索密钥和证书的困难 使用公共密钥的公钥进行操作，必须在现有的业务进行点。在基于 PKI 的传统的证书，这意味着发送者不能加密一个消息收件人除非接受者已经获得了证书和证书提供给发送者(无论是直接转让或张贴访问存储库)。如果离线操作是必需的，适当的证书必须事先得到，当连接可用。由于大型目录没有成为作为证书发布车辆广泛使用，有兴趣的方法，使公共密钥加密在不

6、满足这些条件的第一个生长。2.2 注册键表示可疑值 证书的使用实践，反映了它们最初被开发的环境特征，它被认为是不适当的或不切实际的依靠可信服务器上线的可用性。一个证书的设计的主要目标是代表键及其绑定在一个完整的保护形式命名原则，其内容可以安全地存放在未受保护的资料库或在无保护的渠道转移。证书的检索要求一个合适的库可用，但使用的签名表示抽象出来的需要取决于安全性能比其他可用的库。如果，相反，密钥存储和检索从受信任的服务器，一些理代表他们在签署证书对象变得多余。渠道层次机制可以防止攻击者一个键的同时在服务器和客户端之间的运输，并 能保证客户端，它是从一个源接收的一个关键安全鉴定。2.3 证书的处理

7、复杂度 PKI 技术已被批评为不易与应用，可以利用他们的服务整合，对作家和维护应用部分需要大量的 PKI 的特定安全技术。今天的 X.509 证书，例如，已经演变成复杂的结构，以处理语义是微不足道的;这主要是由他们所携带的信息，虽然它也涉及到它的表示和编码。这些语义的形式化和简化可能代表一个宝贵的地区的调查。一些从一个证书，包括一套全面的辅助信息，以便它可以用于离线处理的愿望在认证结果的复杂性，没有咨询其他信任的实体一个互动的基础上的。越来越多的，然而，PKI 模型发展到包括在线组件，可以提供的其他信息来源补充证明自己。撤销机制早已被公认为在 PKI 中的复杂元素，和道路建设也引入了复杂性 e

8、lle01。尽管设计的关注已支付的撤销，看来今天，只有一小部分接受证书实际上是检查在一个持续的和及时的撤销状态。2.4 昂贵的证书 关于证书使用许多假设都是基于一个前提，证书是昂贵的，因此他们只能发出难却。一些招生方法努力提供高价值的交易和信心保证客户端实现相称，导致高的货币成本和/或繁琐的注册流程。虽然这种做法对某些类型的技术是适当的(例如，一次性安置一个用户的长期证插入智能卡)，并可能需要提供高水平的责任，它不需要使用 PKI 的使用方法有关的固有特性。想象一下，相比之下，如何计算可能已 经开发了如果它已经成为普遍的做法，一个独立的组织机构需要咨询(和，可能是，支付)每当一个文件被创建。最

9、有可能的是，只有信息的一个子集，与关键用户的一个子集是相关的，将被视为授权文件表示。其他数据将被存储和共享使用不同的对象没有相关文件的约束。对于一个 PKI，即使在高水平的管理保证不需要认证的范例，可以保留和适应而不是开发或应用基础设施的不同类型绑定的校长，钥匙，和属性。证书的动态发布，这可能是短暂的避免单独撤销基础设施的需要，允许新的和创新的 PKI 模型构建。在安全断言标记语言(SAML)male03，例如，断言轴承关键确认方法可以带签名的对象进行公钥的形式，用于使相应的私钥的持有者获得资源。服务器发布这样的断言频繁，来支持认证或资源的访问操作;不费力的程序时所需的断言是杜撰的。此外，一些

10、在线的 PKI 密钥注册协议(例如，CMP adfa99，XKMS 的 xkrss w3c03)已经被定义，它可以用于交互式认证提供依据。结果对象的形式，无论是 X.509，XML，或另一种格式，不需要暗示或决定的范围是合适的对象前发布的程序处理。2.5 跨域信任管理问题 应用 PKI 技术建立跨异构域的信任可以艰巨的前景，无论是在行政和技术条件。一些 PKI 架构试图允许在不同的司法管辖区方与另一个人从事高价值的交易提供了充分的依据，没有先验知识共享的超越，体现在 PKI。一些其他的技术已经试图这样雄心勃勃的目标，这是值 得商榷的其他方法一定会解决这样一个根本性的挑战性的问题，取得更大的成功

11、。在有些情况下，需要保证水平可以约束，它可能变得更容易实现(和利益)PKI功能的互操作性。PKI 技术可以应用到清单的信任关系植根于远程实体。一些(例如，doel02)辩称，然而，用户的信任主要是局部的，并应根据其他个体直接的个人知识。如果这个前提是接受的，远程的依赖是不考虑实际的根或有用的，并表示这种信任关系的能力只提供不相关的复杂性。跨域边界的政策意义的算法翻译是一个重大的挑战;通常，不同组织的策略元素之间的映射可以基于行政实践和解释是难以编码。管理域间的信任关系的验证，在一个相对较小的实体的集合(例如，桥 CA，域级别的授权路径验证(DPV)与他们的同行代表其它结构域相互作用服务器)可能

12、有助于遏制和简化问题的某些方面。2.6 命名语义 命名是 PKI 的一个重要的角色，作为公共密钥通常绑定到命名实体。传统的PKI 被批评为寻求显化一个全局命名结构，一些人认为根本不现实。与信任，一些视图的名称为本质的地方;进一步，给定的人类个体的名字之间的重复，在确定一个特定的基于他或她的位置在一个分布式的命名空间的人会产生歧义。在一些替代方法，例如，rila96 SDSI ，实体在一个从一个主延伸的相对的方式命名，然后可以通过中介与其他校长跳。PKI 实体名称的另一个方面是在何种程度上的名称或类似的名称形式匹配软件与人们经常使用的基础上。这直接关系到用户的名字或是如何有用，应用程序试图实现一

13、个安全的目标。一些 PKI如不错的隐私(PGP)和call98 DNS 安全扩展(DNSSEC)east99 使用的名称形式符合他们的环境(或，相反，他们采取他们的环境的名称形式)。X.509 是 PKI，开始采用其环境的名称形式例(X.500 可分辨名称)，然后逐渐适应应用程序特定的名称(通过替代的扩展名)。一名SDSI“明确的”一个链接的局部名字空间的一个特定的主，如(使用 SDSI 的“语法糖”)吉姆的约翰乔的杰克SDSI PKI 是唯一有意义的。然而，每个地方的名称是任意的字符串，因此可以对应用程序有意义。例如，IP 可能是当地的 SDSI 名字分配到的IP 地址，IP VPN 服务器

14、可能。公钥基础设施 PKI 专业名称表要求的应用将他们的本地名称形式与 PKI 之间，这一过程可以容易出错，引起安全风险。PKI 的名字三分之一财产是实用的名字已经对 PKI 本身的程度。以“效用度”指的是效率与 PKI 可以使用名称获取和验证公钥。PKI 提供关键的发现和验证的实体之间的路径，所以名字的 PKI 效率可以用路径信息量，它编码。定义的名字是一个叫 SDSI 的形式，几乎完全致力于表达路径信息的一个极端的例子，以至于(非全局)SDSI 名字通常是一个单一的实体，唯一有意义的。DNSSEC 的名字还编码大量的路径信息。相反，PGP 的名字是电子邮件地址，这是完全没有任何的 PGP

15、公钥基础设施 PKI 路径数据。X.509 的名字都也不含任何 X.509 路径信息。表 1 总结了不同 PKI 命名属性。SDSI 名字形式分数高的 PKI 实用因为它明确定义的名称，但只有适度的应用虽然因为个人的本地名称可以是一个应用程序有意义的字符串，应用程序有可靠地从 SDSI 证书提取出了有意义的地方的名字没有公约。VPN 客户端，例如，10.1.1.1 有没有办法知道在 SDSI 证书 IP 的名字应该是一个 VPN 服务器的 IP 地址。最近建议强调 PKI 证书处理和加密的方法，而不是命名。一个可行的命名策略似乎在 PKI 的成功的一个因素，但它是不清楚什么属性的组合(每桌 1

16、)提供最有价值的。命名策略都需要考虑，但他们仍然相对未开发的。目前出现的一些问题，包括:,是否有任何其他有用的命名属性,这是必要的或可取的在所有这些性能等级高吗,有方法来命名了 PKI 部署的影响吗,我们注意到，例如，其实 有两个名字X.509 证书发行者和主体一起提供少量的路径信 息。将更多(或更少)的证书路径信息帮助或阻碍 X.509 PKI 部 署,2.7 使用不安全的客户 一些房产开发的 PKI 体系的广泛的安全特性预测用户的客户，例如，智能卡封装用户的私人密钥和加密处理能力使钥匙永远不需要暴露在别处。这样的实现是特别理想的按键时介导获得特别敏感数据或资源，或当强烈的责任(即，非否认服

17、务)与他们的使用。在这样的环境中逐渐变得更为常见(如使用 SIMS 和其他卡)，大多数候选人 PKI 用户应用程序继续驻留在平台，提供有限的安全性。从攻击者的角度来看，强度的加密算法可以如果键可以通过攻击一个较弱的平台上获得变得无关紧要。在高可靠性要求，这些参数激励的方法执行加密处理的其他实体，无论是保护装置或共享服务，和/或分发与这些实体的处理。但是很多情况下，都有，那里的商业平台，保证水平是足够的基础支持有用的，可互操作的安全。使用 PKI 也意味着不需要使用专门的客户，更高的安全技术;高保证的要求，可能需要在中国科学院，作为一个单一的 CA 的私钥可以妥协的整个社区的误用。今天，它是常见

18、的做法来存储用户密钥的密码加密的形式。这是值得商榷的，用来解锁密码可以保证高质量的私人密钥或是更严格的比其他的密码保护，作为他们释放键可以使直接认证的多个实体而不是一个单一的系统，但用户的便利可能与这些措施的冲突。2.8 隐私的妥协 已经观察到，例如，在 bran99，传统的 PKI 是不友好的隐私权，作为其证书提供持久的，广泛的可见的钥匙和主标识符之间的联系。此属性在授权或签名取决于个人的身份验证身份的情况下是适当的，但公开密钥技术不是所有可能的用途符合这个模型。即使数据信息进行加密，证书的获取和使用的模式可以揭示的校长和他们的通信节点的身份;证书验证服务器可能尤其能够收集这类信息。注册笔名

19、可以提供部分的对策，但并不能满足所有的隐私的目标;如果一个固定的假名是用来表示一个主要的多个站点在较长一段时间内，网站可以使用它作为收集广泛的行为模式，然后可以与个人有关的基础。使用 X.509 证书持有主属性以外的标识符已被提出，考虑了一段时间，最近在 faho02，但尚未取得广泛采用。属性声明 SAML 断言在签署委托相应的对象的另一种形式的属性表示。都有他们的认证机构和认证的对象，依靠当事人披露属性集合设置的属性，即使不是所有的这些实体的必然要求全套资料。3 提出的方法 在这一部分中，我们已经提出了扩展或替代传统的 PKI 技术的方法，解决一个或更多的前一节中确定的问题。3.1 IBE

20、和相关工作 基于身份的加密(IBE)的概念已经有一段时间在密码学界认为，最近的工作已经产生了各种各样的方法实现对概念的变化。一些，但 不是所有的，在这组的方法允许发送者准备一个没有首先获得收件人证书受保护的消息。本节讨论它们的一些性质。3.1.1 基于身份加密 IBE，gagn03 在调查，使发送加密邮件的收件人没有要求收件人的关键首先建立，注册，并公布。基本的 IBE 范式允许发送方确定用来加密的基础上的一个特定收件人收件人标识符的关键;收件人导出相应的解密密钥的私钥生成器(PKG)系统的相互作用。当发送方必须确定对应于一个特定的收件人的 PKG，必须获得域级别的参数，包相关的，它不需要获得

21、特定的单个收件人之前加密消息的信息。基本的IBE 方法意味着固有的密钥托管，因为 PKG 可以解密代表用户。不同的方法(alpa03 gent03)以下将 IBE 的某些方面，但寻求避免托管的特点。3.1.2 无证书公钥密码体制 这种方法，在 alpa03 提出的，结合了 IBE 方法，使用部分私钥，PKG 无法解密代表用户。这些结合的秘密信息的收件人举行，产生一个公钥，收件人可以发布和/或直接转换，但没有证书是必需的。将发件人必须，然而，第一个取得主要通过一些手段为收件人信息加密。对这种方法的一个重要出版物不能证明比传统的PKI 证书更容易出版。事实上，出版问题可能会成为显着恶化，因为使用的

22、方法可能意味着在撤销机制代替需要频繁地。3.1.3 基于证书的加密 这种方法，在 gent03 提出的，结合了 IBE 方法，但采用双重加密，CA 不能解密代表用户。发送者必须为收件人的证书为收件人的邮件加密。为了一个收件人解密成功，他/她必须有一个当前的 CA 颁发的证书和私人密钥;使用的证书生成IBE 方法意味着使用相同的证书发送方加密也使用收件人的解密过程的一部分。频繁的证书进行更新，使发送者不需要单独检查他们获取的证书撤销状态。3.2 PKI增强在线 TTP 一些类似性质的 IBE 可以通过在线可信第三方(TTP)增强传统的 PKI 系统实现。两类 TTP 基于操作可以考虑:,使用一个

23、 TTP 的公钥而不是一个个体接收者关联的加密;在这 种情况下，接收方可以请求，TTP 执行解密服务，他/她的代表，或一个消息可以路由到 TTP 然后将解密和远期结果给收件人。这 消除了收件人登记个人密钥对的需要，和发送者获得每个收件人 的钥匙;这意味着 TTP 可以解密所有收件人的交通需要通过 TTP 参与过程的每一个他们的消息。【DeOt01】提供的例子，这种类 型的方法的探讨。,使用一个单独的收件人的公钥加密，发送方会从 TTP 的要求。已经注册的收件人，TTP(如显示在 dier03)将提供他们现有 的密钥或证书。此外，这样一个 TTP 可以撤销密钥或证书删除它 们从商店。如果没有公共

24、密钥或证书的存在，在时间的要求收件 人，TTP 会生成一个动态的，其请求提供公共组件，并做出相应 的私有密钥提供给收件人。在这个模型中，TTP 的拥有者的私钥 不必超过临时性质，待检索由相应的受体。第二种类型可以作为一个通用类先前已在各种情况下考虑的例子还没有成为PKI 主流的一部分，即“对飞 PKI”的方法在证书签名的需要而不是由 CA 预先产生，作为一个先决条件，安全操作的动态。这样的证书和密钥证明他们可以是短暂的，使特定的操作或使用会话而成为一次性之后。其他的例子包括证书代表的登录会话在数字设备公司的分布式系统的安全体系结构(DSSA)提出约 1990 gamcd90，和最近的代理证书

25、tuec03 ietf-pkix 贡献。3.3 分布式计算 已开发的方法(见，例如，gold02)，分发加密操作使一些实体的合作贡献是为了执行操作，如签名或解密。使用这样的措施可能有助于改善不安全的客户端平台相关的风险;即使这样的客户的钥匙是妥协，他们将不足以模拟客户端的用户。类似于用 IBE 的情况下，一些相似的属性也可以没有专门的密码保持用户的密钥在服务器中实现，它将执行的操作的用户代表在接到请求的身份验证。这种策略可以在服务器与客户端利用严格的保护，但意味着用户必须完全信任的服务器应用适当的钥匙。3.4 替代的验证策略 PKI 的证书撤销列表(CRL)机制意味着显着的存储，通信带宽，和处

26、理开销，但只能提供具有明显的时间延迟撤销。新上线的方法，如 OCSP，SCVP，XKMS，解决了许多问题，但引入可信在线服务 器进程证书要求和服务器之间的连接和它们的依赖方。他们有效的撤销潜伏期各不相同，由于缓存和信息更新时仅在周期性的基础上。这些方法的能力，以及在何种程度上的客户端必须信任服务器作为服务器的处理，从单一的证书和证书路径验证的收购完全撤销检查范围扩大和增加，从独立的，独立的验证服务器验证的分布式网络的合作。更广泛地说，然而，信任所要求的程度应该对应的信息，相关证书保护价值。验证方案和他们的前景和影响进一步讨论可以在 brli02 发现。哈希树的方法(例如，mica02 nani

27、98)已经被提出，提供紧凑的，大量的证书状态的保护表示。他们的价值是最明显的 PKI 在非常大的规模经营;在较小的情况下，如在典型的企业，他们的利益相对 CRL 似乎不太引人注目。像 CRL，它们反映了证书状态信息只在固定的时间间隔，而不是直接在线状态查询可以提供。利维和恰拉扬 leca00 提出了嵌套的证书”，为了避免一些长的证书路径验证相关的性能负担”的概念。提出了若干变化，但一般的前提是，层次结构中的更高级别的 CAS 认证不仅是他们的直系后裔也直接证明成员更遥远的后代。虽然这种方法确实可以减少在验证证书路径的数目，它似乎有一个很严重的缺点。在其他原因中，CA 层次构建以分配证明责任，并

28、把它们放在手接近校长他们证明。在极限情况下，CA 层次结构可以被压扁到一个单一的钙，使任何层次之下的实际意义，但这种方法是不太可能有吸引力，从技术和政策的角度来看。3.5 密钥服务器 今天的一般高层次的连接，和广泛的兴趣，简化了客户端的操作，一个新兴的方法是使用服务器执行一些，或全部，证书的处理。客户将委托证书路径发现和/或验证的可信服务器(参见 piho02)。DPV，特别是，改变基本的 PKI 模型。一个由服务器承担传统的 CA 的首要职责，从客户端的角度来看。那是，客户机依靠服务器来确保正确的对应原则和公共密钥之间的。这种方法为保证和可用性的影响，特别是当 DPV 服务器依赖其他 DPV

29、 服务器(参见 brli02)。然而，一旦信任证书检索和验证的在线服务器接受的前提下，这仅仅是一个增量步依靠服务器通过安全通道，消除客户过程需要提供证书格式完全赤裸的关键。这种方法是一种支撑在 XKMS 的 x-kiss w3c03 模型。授权密钥验证和采集服务器的全面影响尚待调查。PKI 客户端应用程序对小的好处，简单的代码是显而易见的，但它是不清楚什么影响授权密钥服务器会对PKI的政策和程序，或是保证水平是启用(或禁用)。3.6 隐私权的保护 一些 PKI 的隐私问题可以通过减少量主要相关信息绑定在一个单一的证书或其他符号对象的改进。注册笔名可以支持，并在许多业务环境中适当和充分的。进一步

30、，利用属性证书(ACS)可以提供隐私的优势在公共密钥身份证书属性放置在(蛋白)。即使在 一般情况下，交流是绑定到一个 PKC 的使用，这意味着一个联动，PKC 在交流，PKC 的内容不需要披露所有可能使用它的 ACS。这个模块允许属性在 ACS 是公开的选择性，在需要的时候，以支持一个特定的访问请求，并保持机密，否则。利用这种能力，为访问器目前 ACS 选择性随着请求，而不是把他们一般访问在一个目录或其他存储库，它是可取的。使用在线证书验证服务让用户跟踪的前景，如果验证服务可以识别的位置从一个证书状态查询。状态请求的聚集和/或匿名可以帮助减轻这个问题。斯特凡品牌，在 bran99，有密码认证技

31、术，解决隐私的目标在传统的 PKI模型的范围，这意味着不同的假设和范式的 PKI 协议和相互作用。品牌的技术寻求让证书持有人披露选择性地以一般的方式注册属性，并限制在何种程度上注册属性表示可以证明第三方的收件人。密码致盲用于证书的颁发，所以并不是所有在一个证书代表的属性需要一个特定的发行约这些方法可以提供隐私保障传统 PKI 不可见，特别是在约束信任一个注册用户必须从范围 在 CA 和打击使用证书作为一种手段来汇总数据的地方。他们的经营模式，将需要在基于证书的协议的一个因素的变化，这可能会使他们的部署。4 结论 任何具体的系统可以在一个假设的比较理想的替代受苦。PKI 是一 个特别有吸引力的目

32、标，可能是因为它有时被认为与推广为一般的灵丹妙药，旨在解决组织问题技术以外的领域，而不是作为一个技术回答清楚地理解和实际达到的要求。PKI 的许多方面的变化是可能的和值得考虑的，但实践和建议之间的适当的比较需要特定的替代和其对系统的影响的理解，作为一个整体。证书已被批评为各种各样的原因，特别是:,处理的复杂性和开销，包括内容的证书和签名表示使用进行这 些内容;这些特征从设计假设假定离线证书不受信任的服务器中 处理的依赖，和使用这些服务器可以允许显着的简化。,操作模式，意味着证书发行成本高的关联;在这里，一个签署 的关键承载对象的使用应正确区分一个特定类型的部署。公共密 钥的方法可以用来构建各种

33、有用的方法与不同的保证，语义，和 动力学。基于 PKI 也被批评未能使问题的安全互连不同实体的信任域的简单。这些问题从根本上说是困难的，因为组织以及技术的原因。在PKI 领域一些建议，试图满足这些问题全面，但信任管理研究 blaz99 提出了各种支持机制。通常，PKI 的信任管理的能力应该是在他们的支持分布式安全方面做出的贡献进行评价，而不是对期望所有这些要求应完全由 PKI 或其他技术满意。多密码研究活动有关的 IBE 应用形式，以避免发件人证书库检索的需要。不幸的是，许多提出的替代方案替代不同的出版要求，或采用 隐式密钥托管性质。其他的计算方法可以分发处理，减轻一些关键妥协的影响弱保护的客

34、户。这些密码学创新提供优雅的方法，但它们的许多属性也可以通过使用受信任的第三方，与传统的加密算法的实现。从根本上说，PKI 存在提供公共密钥对应的原则，以使其他党派依靠他们的通信方式。这个功能是一个重要的基础上构建安全的分布式计算环境，必然意味着某种形式的基础设施。许多 PKI 提供高水平的技术和程序保障，特别是在中国，但这些措施可能不必要的环境中，至少有一定程度的保护优先于特别强大的安全保证沟通的能力。命名是 PKI 的核心要素，并进一步的研究集中于交替的命名方法方面可能值得关注。证书是一个方便的，自给自足的代表键的方式，但它们的使用可能在服务器为中心的环境成为多余。此外，新的 PKI 模型

35、发展的基础上签署的关键承载断言;这些对象可以提供相同的功能，证书，而是出现无存在的假设如何证书必须被创造，处理，和管理。一般来说，似乎 PKI 患有一种观念，可以假设只有一个特定的，整体形成了今天;以满足广泛的应用和环境，它必须有可能是由其基本方法和应用在各种不同的方式。5 感谢 作者要感谢本文的匿名审稿人的意见帮助改善其最后的版本。6 工具书类 AdFa99 C.Adams,S.Farrell,“Internet X.509 Public Key Infrastructure Certificate Management Protocols”,Internet RFC-2510,March

36、1999.AlPa03 S.S.Al-Riyami and K.G.Paterson,“Certificateless Public Key Cryptog-raphy”,IACR Cryptology ePrint Archive paper 2003/126,2 July 2003.Blaz99 M.Blaze,J.Feigenbaum,J.Ioannidis,A.D.Keromytis,“The Role of Trust Management in Distributed System Security”,in Secure Internet Programming:Issues in

37、 Distributed and Mobile Object Systems,Springer-Verlag Lecture Notes in Computer Science State-of-the-Art Series,pp.185-210,Berlin,1999.Bran99 S.Brands,“Rethinking Public Key Infrastructures and Digital Certificates Building in Privacy”,PhD Dissertation,University of Utrecht,October 1999.BrLi02 M.Br

38、anchaud,J.Linn,“Extended Validation Models in PKI:Alternatives and Implications”,1st PKI Research Workshop,Gaithersburg,MD,April 2002.Call98 J.Callas,et al.,“OpenPGP Message Format”,Internet RFC-2440,No-vember 1998.Clar01 R.Clarke,“The Fundamental Inadequacies of Conventional Public Key Infrastructu

39、re”,Proceedings,ECIS2001,Bled,Slovenia,June 2001.Available at (Date of access:26 November 2003.)DeOt01 T.Dean,W.Ottaway,“Domain Security Services Using S/MIME”,Inter-net RFC-3183,October 2001.Dier03 T.Dierks,“Re:Fwd:IP A Simpler,Mo re Personal Key to Protect Online Messages”.Message posted to Crypto

40、graphy electronic mailing list,archived at of ac-cess:4 December 2003.)DoEl02 S.Dohrmann,C.Ellison,“Public-key Support for Collaborative Groups”,1st PKI Research Workshop,Gaithersburg,MD,April 2002.East99 D.Eastlake,“Domain Name System Security Extensions”,Internet RFC-2535,March 1999.Elle01 Y.Elley

41、,et al.,“Building Certification Paths:Forward vs.Reverse”,NDSS-01,San Diego,2001.ElSc00 C.Ellison,B.Schneier,“Ten Risks of PKI:What Youre Not Being Told about Public Key Infrastructure”,Computer Security Journal,Vol.XVI,No.1,2000.Available at(Date of access:4 March 2004.)FaHo02 S.Farrell,R.Housley,“

42、An Internet Attribute Certificate Profile for Au-thorization”,Internet RFC-3281,April 2002.GaMcD90 M.Gasser,E.McDermott,“An Architecture for Practical Delegation in a Distributed System”,Proceedings,IEEE Computer Society Symposium on Research in Security and Privacy,Oakland,CA,May 1990.Gagn03 M.Gagn

43、,“Identity-Based Encryption:a Survey”,RSA Laboratories Cryptobytes,Vol.6,No.1,Spring 2003.Gent03 C.Gentry,“Certificate-Based Encryption and the Certificate Revocation Problem”,EUROCRYPT 2003,LNCS 2656,pp.272-293,2003.Gold02 O.Goldreich,“Secure Multi-Party Computation(Final(Incomplete)Draft Version 1

44、.4)”,27 October 2002.Available at oded/pp.html.(Date of access:19 December 2003.)Gutt02 P.Guttman,“PKI:Its Not Dead,Just Resting”.Available at pgut001/pubs/notdead.pdf.(Date of ac-cess:5 March 2004.)Hann03 S.Hanna,ed.,“Analysis of August 2003 Follow-up Survey on Obstacles to PKI Deployment and Usage

45、”,OASIS PKI Technical Committee,1 Oc-tober 2003.Available at open.org/committees/pki/pkiobstaclesaugust2003surveyreport.pdf.(Date of access:4 March 2004.)LeCa00 A.Levi,M.Caglayan,“An Efficient,Dynamic,and Trust Preserving Pub-lic Key Infrastructure”,Proceedings,IEEE Computer Society Symposium on Res

46、earch in Security and Privacy 2000.IEEE,Piscataway,NJ,USA,pp.203-214.Male03 E.Maler,P.Mishra,R.Philpott,eds.(2003),“Assertions and Protocol for the OASIS Security Assertion Markup Language(SAML)V1.1.”OASIS Standard.Mica02 S.Micali,“Novomodo:Scalable Certificate Validation and Simplified PKI Manageme

47、nt”,1st PKI Research Workshop,Gaithersburg,MD,April 2002.NaNi98 M.Naor,K.Nissim,“Certificate Revocation and Certificate Update”,8th USENIX Security Symposium,San Antonio,January 1998.PiHo02 D.Pinkas,R.Housley,“Delegated Path Validation and Delegated Path Discovery Protocol Requirements”,Internet RFC

48、-3379,September 2002.RiLa96 R.Rivest,B.Lampson,“SDSI A Simple Distributed Security Infrastruc-ture”,30 April 1996.Tuec03 S.Tuecke,V.Welch,D.Engert,L.Pearlman,M.Thompson,“Internet X.509 Public Key Infrastructure Proxy Certificate Profile”,work in pro-gress,IETF PKIX working group,2003.W3C03 World Wide Web Consortium,“XML Key Management Specification (XKMS)”,Version 2.0,W3C Working Draft,18 April 2003.