分布式认证系统互联的信任路径构建分析和实现
简要说明pki系统中多个ca间建立信任的方法。 -回复
简要说明pki系统中多个ca间建立信任的方法。
-回复PKI(Public Key Infrastructure,公钥基础设施)系统中,信任是确保数字证书的有效性和安全性的关键因素。
在PKI系统中,多个CA (Certification Authority,认证机构)之间建立信任是一项重要的任务。
本文将一步一步回答如何在PKI系统中建立多个CA之间的信任。
第一步:了解PKI系统中的认证机构(CA)PKI系统中的认证机构(CA)是负责验证和签发数字证书的可信机构。
每个CA都有自己的根证书(Root Certificate),该根证书用于验证和签发下级CA的证书。
因此,CA在PKI系统中扮演着至关重要的角色。
多个CA之间建立信任需要确保它们之间的根证书是有效和可信的。
第二步:验证和签发CA的根证书在PKI系统中,首先需要验证和签发每个CA的根证书。
这可以通过以下步骤来完成:1. 验证CA的身份:对于每个CA,其他CA需要验证其身份,确保其符合PKI规范和安全要求。
2. 验证根证书的有效性:其他CA需要验证根证书的有效性,包括根证书的签名是否有效和根证书的完整性是否受到破坏。
3. 签发信任证书:一旦验证通过,其他CA将签发一个信任证书,证明它们对该CA的信任。
该信任证书包含验证通过的根证书信息和对该CA的信任声明。
第三步:更新信任证书和根证书PKI系统中的根证书和信任证书可能会需要定期更新。
更新根证书和信任证书的目的是增加信任的有效期限,以确保PKI系统的连续性和安全性。
以下是更新证书的步骤:1. 根证书的更新:如果根证书过期或被撤销,则需要生成新的根证书。
其他CA通过验证新根证书的有效性来更新对该CA的信任。
2. 信任证书的更新:信任证书也需要定期更新,以确保对其他CA的信任仍然有效。
更新的信任证书将包含新的根证书信息和对该CA的信任声明。
第四步:建立信任链在PKI系统中,信任链是将根证书和信任证书连接在一起的关键。
计算机网络安全教程课后答案-整理
计算机网络安全教程复习资料一、选择题第1章(P27)1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。
2. 信息安全从总体上可以分成5个层次,密码技术是信息安全中研究的关键点。
3. 信息安全的目标CIA指的是机密性,完整性,可用性。
4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。
第2章(P56)1. OSI参考模型是国际标准化组织制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层。
2. 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。
3. 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。
4. 通过ICMP协议,主机和路由器可以报告错误并交换相关的状态信息。
5. 常用的网络服务中,DNS使用UDP协议。
第4章(P124)1. 踩点就是通过各种途径对所要攻击的目标进行多方面的了解(包括任何可得到的蛛丝马迹,但要确保信息的准确),确定攻击的时间和地点。
2. 对非连续端口进行的,并且源地址不一致、时间间隔长而没有规律的扫描,称之为慢速扫描。
第5章(P157)1. 打电话请求密码属于社会工程学攻击方式。
2. 一次字典攻击能否成功,很大因素上决定于字典文件。
3. SYN风暴属于拒绝服务攻击攻击。
4. 下面不属于DoS攻击的是TFN攻击。
第6章(P192)1. 网络后门的功能是保持对目标主机长久控制。
2. 终端服务是Windows操作系统自带的,可以通过图形界面远程操纵服务器。
在默认的情况下,终端服务的端口号是3389。
3. 木马是一种可以驻留在对方服务器系统中的一种程序。
第7章(P208)1. 黑客们在编写编写扰乱社会和他人的计算机程序,这些代码统称为恶意代码。
2. 2003 年,SLammer 蠕虫在10 分钟内导致90%互联网脆弱主机受到感染。
3. 造成广泛影响的1988年Morris蠕虫事件,就是利用邮件系统的脆弱性作为其入侵的最初突破点的。
分布式系统认证中心实现原理和思路
分布式系统认证中心的实现原理和思路主要涉及以下几个方面:
1. 身份标识:在分布式系统中,每个节点和用户都需要有一个唯一身份标识。
这通常是通过证书形式实现,证书包含公钥和用户信息,由可信的认证中心发放。
2. 公钥基础设施(PKI):分布式系统认证中心通常基于PKI实现。
PKI包含了一系列生成、分发、管理、使用数字证书的规则和程序。
3. 数字证书:数字证书是由认证中心(CA)发放的,包含了用户身份信息和公钥,用于证明用户身份和公钥的对应关系。
数字证书可以通过网络分发。
4. 双向认证:在分布式系统中,不仅客户端需要验证服务端的身份,服务端也需要验证客户端的身份。
双向认证就是通过数字证书进行身份验证的过程。
5. 加密通信:在确认双方身份后,就可以进行加密通信了。
加密通信可以保证通信内容的安全,防止数据被截获和篡改。
6. 信任链:为了实现不同域之间的互信,分布式系统认证中心可以建立信任链。
信任链是一系列认证中心的集合,每个认证中心都信任前一个认证中心。
通过建立信任链,可以将认证范围扩大到不同的域。
7. 日志和审计:为了保证系统的安全性,需要记录所有的认证和授权活动,并定期审计。
这可以帮助发现潜在的安全问题和进行故障排查。
实现分布式系统认证中心需要考虑的因素有很多,包括但不限于系统的规模、安全性要求、性能要求等。
在实际操作中,还需要根据具体的场景和需求进行详细的设计和实现。
分布式应用架构的实现和监控方法
分布式应用架构的实现和监控方法分布式应用架构的实现与监控方法随着互联网的快速发展,分布式应用架构越来越成为互联网应用的主流技术。
它不仅可以提高系统的可用性和可靠性,还可以提高系统的扩展性和性能。
因此,本文将探讨分布式应用架构的实现和监控方法。
一、分布式应用架构的实现1. 分布式应用架构的概念分布式应用架构是指将一个应用拆分成多个部分,并将这些部分分别部署到不同的服务器上运行。
当一个客户端请求一个特定的服务时,这个服务需要从不同的服务器上获取数据,最后合并得到结果,再返回给客户端。
这样做可以提高系统的可用性和可靠性,因为即使其中一个服务器出现故障,其它服务器仍然可以继续提供服务。
2. 分布式应用架构的优势分布式应用架构的优势主要有以下几个方面:(1)可扩展性:可以通过增加服务器数量来提高系统的性能和容量,而不需要修改系统的代码。
(2)可靠性:即使其中一个服务器出现故障,其它服务器仍然可以继续提供服务。
(3)性能:可以通过将数据分散处理,从而提高系统的性能。
(4)灵活性:可以通过将不同的业务逻辑部署到不同的服务器上,从而提高系统的灵活性。
3. 分布式应用架构的实现方式实现分布式应用架构有很多方式,常见的方式包括:(1)RPC:远程过程调用是一种分布式应用架构的实现方式。
它使用特定的协议来在不同的服务器之间传递数据,并且可以自动将多个调用合并为一个调用。
(2)消息队列:消息队列是一种用于异步消息传递的机制。
当一个服务产生一个消息时,它将这个消息发送到队列中,并且等待另一个服务来处理这个消息。
(3)微服务:微服务是一种将应用划分为多个小型服务的方式。
每个服务只负责一个独立的业务逻辑,这样可以让系统更加灵活和可扩展。
二、分布式应用架构的监控方法1. 分布式应用架构的监控概念分布式应用架构的监控是指对系统运行状态和性能进行监控,以便及时发现问题并进行解决。
分布式应用架构的监控需要对整个系统进行监控,包括服务器、数据库、网络等各个方面。
2020-2021年工业区块链应用指南
24
(一)场景选择
24
1.选景准备
24
2.头脑风暴
24
3.场景甄选
25
4.排序定位
25
(二)实施基础
25
1.先行条件
25
2.基础要素
26
3.有力保障
26
4.安全保障
26
(三)联盟共赢
27
1.企业竞争走向生态竞争
27
2.联盟链实现信任互联
27
3.联盟链助力供应链协作共赢
28
(四)技术规范
28
1.区块链网络与商业网络匹配
4
(一)区块链概念
4
(二)区块链技术带来的机遇
5
二、工业互联网概述
6
(一)工业互联网的背景
6
(二)工业互联网体系架构
7
(三)工业互联网发展存在痛点
8
1.网络安全存在威胁
8
2.数据孤岛仍存在
8
3.数据无法自信任
8
4.无法执行高度细微化协同
8
三、工业区块链概述
9
(一)工业区块链内涵
9
(二)区块链对工业互联网发展带来的价值 9
上海交通大学:构建高校应用系统级别的信任机制
样 , es n e将作为Ivk r rvdr 过一定方式跳过 。 此Ssi K y o no e和Poie 4马 证参数摘要 A gmet intr。 . 佥 ru ns gaue s 如果验证通过 ,则此次服务调用将被
密钥 ( i K y St e ,参见 1 节 ) 以统一授 之间通讯 的唯一共享 的秘密 。 e . 2 ,所 权 服务将采 用统一认 证系统系统所持有 的 服务调用者将 T k n oe 再重组为 Tc e i t k 站点 密钥 ,从 而最大程度地降低对遗 留系 统 的影 响和新应用开发的代价 。 的具体机制可 以分为三个步骤 。
N u a 设计 ,在 19 年作为 R C 1 1 em n 93 F 50颁 问使用 了统一授权 的第三 方应用
布 ( 20 在 0 5年 由 R C 4 2 F 1 0取代 ) 。 系统 时 ,第三方 应用系统 通过调 该协议 的思想被广泛地应用 于各种认 用统一授权系统提供 的 We e— bS r 证 系统 ,其 中包括上海交通大学 的统一 身 v e 口,获取特定 的jco n用 i接 c acu t 份认证 系统 ,用 以实现在上海交通 大学 校 户在该应 用 中的相应权 限 、角色 内各应用 系统 的单点登 录。
等认 证信 息。 本研 究将基 于统一授 权系统
上海交通大学统 一身份认证
上 海 交 通 大 学 统 一 身 份 认 证 系 统 进行扩展 ,试 图使统一授 权系统 ( J UJ co n ) ST A cu t ,是上海交通 大学 网络 信 提供 类K reo 的认证服务 , eb rs 使高 息 中心 开发 的用户认证体系 ,以实现校 内 校 内各个 应用 系统问 的服 务调用 的单点登 录。上海交通大学 网络信息 中心 可信 。 为每个 注册 的交大校 园网用户提供一个 统 OAu t h开放授 权
信息安全复习试题
信息安全复习试题一、填空题1、信息系统安全的五个特性是保密性、完整性、不可否认性、可用性和可控性.(网络安全特性:保密性,完整性,可用性,可控性,可审查性)2、信息在通信过程中面临着4中威胁:中断、截获、篡改、伪造。
其中主动攻击有伪造、篡改、中断,被动攻击有威胁。
(主动攻击破坏信息完整性,被动攻击不对数据做修改)3、身份认证和消息认证存在差别,身份认证只证实主体的真实身份与其所称的身份是否符合,消息认证要证实消息的真实性和完整性,消息的顺序性和时间性。
实现身份认证的有效途径是数字签名。
4、Kerberos是20世纪80年代由麻省理工设计的一种完全基于(可信任第三方且通过对称DES)加密体制的认证系统。
Kerberos系统包括认证服务器AS和授权服务器TGS,认证服务对用户进行身份认证,授权服务器实现产生会话密钥功能。
5、PKI采用证书管理公钥,通过第三方的可信任机构认证中心CA把用户的公钥和用户的其它信息捆绑在一起,在INTERNET上验证用户身份。
PKI公钥基础设施就是提供公钥加密和数字签名服务的系统6、防火墙的结构主要有包过滤防火墙,双宿网关防火墙,屏蔽主机防火墙和屏蔽子网防火墙。
7、在防火墙所采用的技术中,包过滤技术是在网络层和传输层拦截所有的信息流,代理是针对每一个特定的应用都有一个程序,代理是企图在应用层实现防火墙的功能。
代理的主要特点是状态性。
8、VPN的基本原理是利用隧道技术对数据进行封装,在互联网中建立虚拟的专用通道,使数据在具有认证和加密机制的隧道中穿越,从而实现点到点或端到端的安全连接9、CIDF根据IDS系统的通用需求以及现有IDS的系统结构,将IDS系统构成划分如下部分:事件发生器、事件分析器、事件数据库和响应单元。
10、恶意程序的存在形式有病毒、蠕虫、特洛伊木马、逻辑炸弹、细菌和陷门等。
其中蠕虫是通过系统漏洞、自身复制在网络上传播的14、在密码学中我们通常将源信息成为明文,将加密后的信息成为密文。
面向网络安全的分布式系统设计与实践
面向网络安全的分布式系统设计与实践随着互联网的快速发展,网络安全问题日益凸显。
面对日益复杂的网络环境和恶意攻击,传统的中心化系统已经不再适应当前的网络安全需求。
分布式系统的在网络安全领域的应用,成为保障网络安全的一种重要策略。
本文将围绕面向网络安全的分布式系统设计与实践展开讨论。
1. 引言随着互联网的普及和网络环境的复杂化,网络安全问题日益成为全球关注的焦点。
传统的中心化系统容易成为攻击目标,一旦中心节点被攻破,整个系统将面临巨大的风险。
分布式系统弱化了系统的中心节点,从而提高了系统的安全性和容错性。
2. 分布式系统的基本原理在分布式系统中,任务被分解为多个子任务,并分配给多个节点进行处理。
节点之间通过网络进行通信和数据传输。
由于系统的分布特性,单个节点的崩溃或被攻击不会影响整个系统的运行。
同时,节点之间的数据共享和备份也提高了系统的容错性和可用性。
3. 面向网络安全的分布式系统设计面向网络安全的分布式系统设计应考虑以下几个方面。
3.1 安全通信在分布式系统中,节点之间的通信是关键。
为了确保通信的安全性,应使用加密和认证机制来保护通信数据的机密性和完整性。
使用公钥基础设施(PKI)可以为节点提供数字证书,用于认证节点的身份。
3.2 分布式身份认证在传统的中心化系统中,身份认证通常由中心服务提供。
然而,在分布式系统中,由于节点的分散性,需要设计一种分布式身份认证机制。
可以使用基于区块链的去中心化身份验证方案来确保节点的身份可信和不可篡改。
3.3 分布式访问控制分布式系统中的节点通常具有不同的权限和访问需求。
为了保护系统的安全,需要设计一套分布式访问控制机制,确保只有具有合法权限的节点能够访问相应的资源。
可以采用基于角色的访问控制(RBAC)模型来管理节点的权限和角色。
3.4 分布式数据安全分布式系统中的数据安全是一个重要的问题。
数据的传输和存储应采用加密算法来保护数据的机密性。
此外,为了防止数据丢失或损坏,需要在分布式系统中进行数据备份和容灾。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1引言随着电子商务的迅速发展,信息安全已成为焦点问题之一,尤其是网上支付和网络银行对信息安全的要求显得更为突出。
为了能在因特网上开展安全的电子商务活动,学术界和有关厂商在经过多年研究后,初步形成了一套完整的解决方案,即目前被国外广泛应用的公开密钥基础设施(PKI,Public Key Infrastructure)。
PKI的基本机制是定义和建立身份、认证和授权技术,然后分发、交换这些技术,在网络之间解释和管理这些信息。
PKI 对数据加密、数字签字、防抵赖、数据完整性以及身份鉴别所需的密钥和认证实施统一的集中化管理,支持电子商务的参与者在网络环境下建立和维护平等的信任关系,保证网上在线交易的安全。
数字证书认证中心(Certificate Authority,CA)是PKI的主要组成部件,也是整个电子商务安全的关键环节。
它主要负责产生、分配并管理所有参与网上交易的个体所需的身份认证数字证书。
每一份数字证书都与上一级的数字签名证书相关联,最终通过信任路径追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构。
参与电子商务的各方都必须拥有合法的身份,即由数字证书认证中心机构(CA)签发的数字证书,在交易的各个环节,交易的各方都需检验对方数字证书的有效性,从而解决了用户信任问题。
CA涉及到电子交易中各交易方的身份信息、严格的加密技术和认证程序。
基于其牢固的安全机制,CA应用可扩大到一切有安全要求的网上数据传输服务。
现有的CA有很多,在中国就有好几十家,例如:中国电信认证中心(CTCA),中国金融认证中心(CFCA)等,随着企业级CA的普及,各个CA信任域间的互操作性需求将日益增加,其中一个核心问题就是分布式环境下,跨信任域信任路径的建立,文章对此进行了分析,指出了信任路径的构建不能脱离具体所采用的信任模型,并针对当前企业级CA众多,急需进行互操作的情况,提出了一种新的信任模型,对现有的PKI系统进行互联,并给出了一种对于该模型来说,空间和时间相均衡,效率和安全性都比较优化的信任路径构建方案,并给出了相应的数据结构和实现的流程图。
2信任路径的概念和构建过程所谓的信任路径是指当一个实体认证另一个实体时,构成两者之间信任链的证书的集合。
以最简单的附属层次信任模型为例,如图1,U为根CA,由于根认证中心U的证书对于Alice 和Bob来说是预装的,即对Alice来讲可以直接信任U,当Al-ice和Bob的发证中心不同时(Alice的证书由X颁发,而Bob 的证书由Z颁发),则Alice可由以下证书链实现对Bob的认证:U<<V>>V<<Y>>Y<<Z>>Z<<B>>其中U<<V>>表示V的证书由U来颁发,所以V可以得分布式认证系统互联的信任路径构建分析和实现卢震宇戴英侠胡艳(中国科学院研究生院信息安全国家重点实验室,北京100039)E-mail:lulu_zy@摘要公钥基础设施(PKI)已成为现代电子商务安全的核心平台,证书中心(CA)是其核心的部件,随着企业级CA的发展,多个信任域的互联已成为大势所趋,而信任路径的建立和验证是实现信任域互操作的核心技术,文章对PKI中的核心技术信任路径的构建方法进行了分析,指出了信任路径的构建不能脱离具体所采用的信任模型,并针对当前企业级CA众多,急需进行互操作的情况,提出了一种新的信任模型,对现有的PKI系统进行互联,并给出了一种对于该模型来说,空间和时间相均衡,效率和安全性都比较优化的信任路径构建方案,并给出了相应的数据结构和流程图。
关键词电子商务数字证书公开密钥基础设施认证中心信任路径构建文章编号1002-8331-(2002)10-0155-04文献标识码A中图分类号TP393.08Analysis and Construction of Multi-level Trust Center which isBased of Subordinated Hierarchies Trust ModeLu Zhenyu Dai Yingxia Hu Yan(National Key Lab.of Information Security,Chinese Academy of Sciences,Beijing100039)Abstract:Public Key Infrastructures(PKIs)are becoming a central part of enterprising security architecture,in which the Certificate Authority(CA)is the Center Part.with the development of the enterprise CAs,the existing trust fileds need to be integrated.So how to process the trust path has been the main difficuty of it.This Paper discusses the existing means to construct the trust path and puts forward a new scheme to process the trust path.Keywords:Electronic,Commerce Digital Certificate,PKI,CA,Trust Path Processing基金项目:国家重点基础研究发展规划项目(编号:G1999035801)作者简介:卢震宇(1976~),男,研究生,研究方向:计算机网络安全。
戴英侠,教授。
胡艳,研究生。
155计算机工程与应用2002.102002.10计算机工程与应用到U 的公钥从而认证U 。
在得到信任路径后,就要取回信任路径上的所有证书进行完整性验证。
图1认证路径的概念由上可以看出,构建信任路径由两个过程组成:从目录服务中获取证书并且构建证书路径;验证每个证书的完整性及其相关的策略是否正确。
以下,对四种路径构建的方法进行介绍,并对其在分布式环境中的效率和安全性进行分析。
3信任路径构建的几种方法3.1证书链这种方法被商业CA 和大多数SSL 所采用,还有S /MIME 也是采用的这种认证方式。
证书链由一系列从根CA 到用户的证书所组成。
为了能够认证不同信任域内的用户证书,客户端要保存所有需要的自签根证书,还要能够验证其它域CA 自签证书所用到的签名算法。
大多数情况下可以通过目录服务器来访问分布式的数据库,或用S /MIME 电子邮件消息来发布和得到证书链,还有一种是将证书链的构建过程放到发证和做数字信封当中,这样做使得客户端变得十分简单而且易于实现,因为剩下的工作只是做签名验证就可以了。
但是,在大规模的分布式环境中,维护和管理本地每一个用户的数个根CA 证书链,而且还要实施密钥保护和维持证书安全策略是很困难的。
用户必须经常地从系统管理员那里更新自签证书,一旦用户没有得到正确及时的更新信息,使用了不可信任的根证书所带来的风险是难以估量的。
3.2路径图这种实施方法是指,客户端程序通过检查并存储用户所属信任域所有的层次关系,产生一幅节点路径图,节点代表了CA 和用户,证书是弧。
根据某种算法,可以将包含节点的新的路径图和原有的路径图相合并,来产生新的路径图。
对于每一个插入新的路径图的节点都要进行完整性校验,在整个路径构建完毕后,就可以进行路径验证了。
在这种方法下可能会有多重路径,所以要有相应的算法来决定最短路径。
如果最短路径无效,那么就要对次短路径进行检测,从最短路径到最长路径的序列中找到可以通过验证的最短路径。
层次路径图是一种通用的,适应性强的确定证书信任路径的方法,它独立于证书策略所决定的层次结构的形式。
另外,如果在层次结构中只有一个自签的证书,那么路径图这种方法对于直接对用户的欺骗攻击的抵御性是很强的。
当然本地层次结构中的CA 也可以通过交叉认证来与其它的PKI 信任域中的节点建立信任。
但是,当信任域增加时,由于图的复杂性也大大增加,证书的获得,路径图的查找,最短路径的选择的复杂性将会大大增加。
在许多拥有大量节点的路径图互相直接或间接的相连时,客户端会将所有的证书取回本地,这样客户端实施路径图的计算量将会比真正执行其主要功能的运算量还要大。
一种解决方案是将经常用到的信任域的证书存储到本地的缓存当中,但是,维护和管理缓存也会降低客户端的运行效率。
另外一种可选的方法是将缓存和PKI 信息服务器相结合,以保证客户端证书信息的更新。
这种方法的缺点是:在系统出现意外事故或受到拒绝服务攻击时,会使得客户端无法连接到PKI 信息服务器,会损害到所有用户间信任的建立。
3.3证书路径验证服务用一个专用的服务器DCS (data certification server )来处理证书信任路径的构建和验证,并提供证书的更新信息。
为了认证一个PKI 用户,客户端将一个认证请求连同自己的证书发送给DCS ,DCS 负责从目录服务器获取所有需要的证书,构建证书信任路径并加以验证,将结果发送回用户。
在这种情况下,客户端是极其简单的,因为它不需要构建证书路径,也不需要验证证书,但从另外一方面看,整个系统的安全性依赖于一个服务器,如果受到拒绝服务攻击,或者是欺骗攻击,所有的用户和实体都将受到损害,所以要实施DCS ,必须要使用附加的强大的安全手段来保护服务器,另外,要实施DCS ,肯定需要一个高性能的服务器,这样无疑增加了系统成本。
图2证书路径验证服务3.4目录服务器路径构建由目录服务器来进行路径的构建,在接收到请求之后,目录服务器负责构建证书路径,并将路径上的所有证书都发回给客户端,客户端负责对证书路径进行验证。
因为验证操作是在客户端完成的,对于目录服务器自身的安全性没有什么损害。
在大规模分布式环境下,在目录服务器上实施这样的方法,将会给目录服务器造成极大的负担,从而损害了目录服务器的主要功能:提供对分布式存储的访问。
另外,要想在目录服务器中实施这项功能,那么就必须对已有的目录服务器的协议进行修改,这势必会对其开放性和互操作性造成损害。
图3目录服务器路径构建4信任路径构建的新思路及其实现流程4.1总体分析分析以上的信任路径构建方法,实际上是考虑将路径构建和验证这两个过程放在哪一端的问题,能够在空间和时间,效率和安全性上得到均衡。
如路径图的方法,是将这两个过程都放到客户端,对于路径验证服务,则把这两个工作都放到了一个专门的服务器DCS 上,而目录服务器构建,则是把信任路径156的生成放到了服务器端,而把验证的任务放到客户端。