基于数字证书的访问控制研究

在公钥基础设施的应用系统中,对数字证书有效性的验证只涉及证书的完整性、有效期和是否被撤销等几个方面,并不规定其具体应用,不能实现有效的访问控制,从而造成一份有效证书能够登陆多个应用系统的情况,带来安全隐患。从增加数字证书扩展项、新建权限管理基础设施、设置应用系统黑白名单三个方面提出了基于数字证书的访问控制解决方案,并对这些方法的优缺点和适用情况进行了分析。

混合信任模型中证书路径构造的研究与实现

分析研究了X.509和RFC3280中一些证书扩展项与目录属性在证书路径构造过程中的应用,这些证书扩展项与目录属性包括KeyIdentifier,CertificatePolicy,AIA,SIA,pkiPath,issueToThisCA和issueByThisCA等。提出了一个在混合信任模型下证书路径构造实现方法,并且分析了其优越性。文中的方法充分利用了证书扩展项与目录属性,可以有效、快速地构造证书路径。该方法可应用于不同PKI信任域中各CA的相互认证。