PKI技术的近年研究综述

公钥基础设施(Public Key Infrastructure,PKI)是典型的密码应用技术.在PKI系统中,由证书认证机构(Certification Authority,CA)签发数字证书、绑定PKI用户的身份信息和公钥.PKI依赖方(Relying Party)预先存储有自己所信任的根CA自签名证书,用来验证与之通信的PKI用户的证书链,从而可信地获得该用户的公钥、用于各种安全服务.近5年来,随着PKI系统的深入应用,围绕各种应用场景、出现了新的技术研究成果,主要包括:SSL/TLS协议过程中的证书验证和证书管理、PKI系统的大规模实施部署、以及新的证书撤销方案.首先,在SSL/TLS协议的相关研究上,主要包括了客户端证书验证漏洞而导致的中间人攻击和相应解决方案;Certificate Transparency技术及其改进,则是考虑了被攻击CA签发虚假网站证书的威胁,公开地审计CA的证书签发过程、及时发现虚假证书;此外,通过依赖方客户端的CA证书管理,也可以有效降低CA被攻击情况下的危害.其次,PKI系统的大规模实施部署研究,主要包括跨国/跨域互操作、ICAO电子护照、互联网路由安全、互联网DNS安全等应用场景.第三,近年来的证书撤销相关研究集中在特定需求场景(RFID、电子护照、密钥托管和浏览器隐身模式等)的方案设计和分析.本文对上述PKI技术研究进展进行了详细的分析和总结.