● 摘要
公钥基础设施(Public Key Infrastructure,PKI)是基于公开密钥技术实现的一种网络安全与保密的解决方案,它提出了一种有效保证 Internet 安全应用和安全管理的体系架构。PKI正成为网络安全体系结构的核心部分,为安全管理问题的各个方面提供了一种解决办法,也使许多标准和安全应用成为可能。尽管PKI在相当程度上解决了网络应用中的许多安全问题,但是互操作问题多、系统可维护性差、开销大、部署应用难度大等因素制约了PKI应用的发展。为解决上述问题,本文在深入研究PKI技术的基础上,针对现有PKI系统实现的不足,对PKI的核心组成部分――认证机构(Certificate Authority ,CA)系统的实现进行改进,提出了一种使CA系统可以定制证书的解决方案。在该方案中,可以根据应用的需要来定制证书模板,通过证书模板来定义需要添加的证书扩展项,用户只需将证书模板实例化,即可达到定制证书的目的。本文同时设计了一个用ASN.1语法描述的通用证书模板,确保证书模板的规范化。这样,在保障证书标准化的同时,使CA更好的与应用结合起来,同时又确保CA对证书模板的集中控制。在此基础之上,本文以安全、易用、易扩展、易维护、可移植为设计目标,设计并实现了一个符合PKCS标准的CA系统――信达CA。系统在实现时使用XML直观的表示证书模板,既保证了证书模板组织的灵活性,表示的通用性;又保证了证书模板存储、传输的方便性,并且便于签名保护。信达CA系统能更好的面对应用,实现与应用无缝结合,并降低了PKI应用的实现难度和系统维护的复杂性。