一种新型在线证书状态响应方案

证书撤销信息的发布成为了PKI系统大规模化的瓶颈,传统的证书撤销方案因为存在可扩展性差、实时性不强、交换数据量大等原因,不能适用于大型PKI系统中。针对以上问题,从理论上提出了一种新的证书撤销方案OLMiniCRL,新方案使用在线查询响应模式,采用MiniCRL压缩策略和NOVOMODO预签名方案,以精简的证书段的状态作为一个证书状态查询的响应。与传统的在线查询响应模式相比,新方案使用数字签名保障了数据的安全完整性,使用单向的Hash函数链保证了通信的实时性,大量减少数字签名的次数和数据处理量,降低服务器资源消耗,采用预签名方案能够提高用户查询的响应速度,具有较好的实时性、精简性和可扩展性,能够适用于对实效要求较高的大型PKI系统中。

证书撤销机制可扩展性定量评估模型

证书撤销是PKI系统中消耗资源最大的操作,它是PKI系统扩大化和普遍化的重点问题,证书撤销机制的可扩展性是评价其方案优劣的重要部分。为了解决PKI系统普遍化、大规模化的过程中存在的问题,许多证书撤销机制被提出和使用。一、证书撤销机制可扩展性分析对于证书撤销机制而言,可扩展性可以看做是该机制能够支持的最大PKI规模。