论文摘要
为提供分布式的访问控制并克服传统X.509 PKI复杂的全局命名机制和集中式部署等问题,MIT大学的Carl Ellison,Ronald Rivest等学者提出了SPKI。SPKI自提出以来受到国内外学者的广泛关注,并将其应用到Web服务、P2P应用、网格应用以及无线局域网等领域中。但对于大型分布式网络,SPKI还存在着证书查找、信任建立和系统使用等方面的不足。本文针对SPKI在大型分布式网络中应用存在的不足,提出了一个基于SPKI的协作组信任模型,为实体提供了信任建立机制、证书管理方法和证书搜索功能;针对证书管理和系统使用问题,引入XKMS设计实现了模型中的证书管理系统;针对协作组间证书搜索问题,研究设计了一种组间证书搜索算法。本文的主要工作包括:①分析SPKI在大型分布式网络中应用存在的不足,结合协作组思想和SPKI证书原理,提出基于SPKI的协作组信任模型。通过模型建立了分散实体间的信任关系,提供了可行的证书管理方法和证书搜索机制。②对协作组信任模型中的证书管理系统进行总体设计,建立了证书管理系统的体系结构,划分了不同的功能模块。遵循XML密钥管理规范设计实现证书管理系统中的XKMS服务模块,为用户提供了简单、方便的使用方式,并且不会对现有SPKI系统造成影响。③对协作组间的证书搜索问题进行分析,研究了P2P搜索算法解决证书搜索问题的可行性,在证书搜索上下文中对可用的P2P算法进行了对比分析。在此基础上设计了一种基于关联度的动态选择查询算法并改进了已有算法的性能,实验结果验证了算法的有效性。