对大规模PKI中CRL分发机制的分析和比较

CRL是PKI中处理证书撤销的最常用方法。通过分析X.509v1CRL存在的问题，提出了在大规模PKI中评价CRL分发机制的5个准则。一种好的分发机制应该尽可能减小信任方所需下载的CRL大小，降低CRL库的峰值负荷和/或平均负荷，减轻CRL的时间碎片问题，同时可以根据信任方的不同需求提供不同的服务，可以动态更新CRL的分割策略。如果还可以不对原客户端程序做很大改动，甚至不需要改动，那就更好了。另外利用这些评价准则，对当前主要的几种CRL分发机制的改进方法，包括CRL分发点、Delta－CRL、重叠发布CRL、最新撤销信息指针和重定向指针，详细地进行了分析和比较。

基于国产加密产品的CA安全认证系统的研究与实现

本文分析了CA安全认证系统功能模型,提出并阐述了CA系统总体架构,包括CA子系统和RA子系统。详细阐述了关键技术实现,包括应用软件功能模块结构设计,以及一种通过控制进程数来优化服务器软件性能的方法。

公钥基础设施CPKI系统的设计与实现

一个完善的PKI系统应该具有安全性、易用性、可扩展性和互操作性等性质。本文介绍了一个自主版权CPKI系统的体系结构 ,重点讨论了在该系统开发过程中怎样通过分层服务、双密钥对机制、自动CRL验证等技术来满足这些性质。