对大规模PKI中CRL分发机制的分析和比较

CRL是PKI中处理证书撤销的最常用方法。通过分析X.509v1CRL存在的问题，提出了在大规模PKI中评价CRL分发机制的5个准则。一种好的分发机制应该尽可能减小信任方所需下载的CRL大小，降低CRL库的峰值负荷和/或平均负荷，减轻CRL的时间碎片问题，同时可以根据信任方的不同需求提供不同的服务，可以动态更新CRL的分割策略。如果还可以不对原客户端程序做很大改动，甚至不需要改动，那就更好了。另外利用这些评价准则，对当前主要的几种CRL分发机制的改进方法，包括CRL分发点、Delta－CRL、重叠发布CRL、最新撤销信息指针和重定向指针，详细地进行了分析和比较。

CRL增量-过量发布综合模型研究

针对当前PKI应用规模的变化,提出了一种新模型:增量-过量发布综合模型。该模型采用将Delta-CRLs的Base CRL过量发布来实现。通过比较表明,该方式既可以减小信任方下载的CRL大小,改善了响应时间,减少时间碎片;又可以降低对Base CRL峰值请求率,从而降低对存储库的峰值带宽和平均负荷。文中同时指出,增量-过量发布综合模型优于传统模型和增量模型,但其发布性能依赖于PKI系统的证书有效期、证书吊销率、Delta CRL的颁发周期和时间跨度。Delta CRL的颁发周期越长,时间跨度越大,证书吊销率越高,证书有效期越短,过量发布Base CRL所带来的性能优化就越小。因此,增量-过量模型适合于在Delta CRL的颁发周期和时间跨度较短、证书吊销率不高、证书有效期较长的大型PKI系统中。

基于CRL的证书状态信息发布机制的研究

随着数字证书不断的被接受和使用,人们从中获得了更大的动力寻找各种方法来撤销已停止使用的数字证书,并及时通知终端用户,避免他们使用已被撤销的证书。证书撤销的问题在广域网的PKI产品开发中愈加显得关键。文中阐述了证书撤销的需求与重要性,分析了目前被采用的各种基于CRL的证书状态信息发布机制,并着重讨论了MYPKI中DeltaCRL的实现。

基于增量CRL证书撤销机制的改进

文章提出了改进的增量CRL机制,在Delta-CRL的发布周期内,CA发布Base-CRL和Delta-CRL,用户除初始化外,其他时刻只下载Delta-CRL即可,可在客户端重构完整的CRL。与传统增量CRL相比,能够有效减少CRL的下载尺寸,降低通信载荷,提供更为及时的证书撤销信息,而不会增加平均请求率。

基于P2P网络的Over-Issued CRL机制研究

目前关于公钥基础设施(public key infrastructure)中证书撤销问题的主要解决方案是使用X.509证书撤销列表(Certifi-cate Revocation List)来定期发布证书状态信息。现有的发布机制存在CRL存储库峰值负荷过重,导致PKI部署成本过高的问题。通过对Over-Issued CRL模型和P2P技术的分析,给出一种基于P2P网络和Over-Issued CRL发布机制,它结合了上述两种技术的优点,有效降低了CRL存储库峰值负荷。

基于Over-Issued CRL机制证书状态信息分发方法研究

商用 CA或 PKI系统中主要使用定期颁布证书撤消列表 (CRL )来分发证书状态信息 ,但现有方法主要侧重于对 CRL的时间和空间特性改进 ,而对存储库性能的优化 ,尤其是如何有效降低存储库峰值负荷方面仍有一些未解决的问题 .本文通过对现有方法在存储库性能改进不力的分析 ,提出一个新的基于 Over- Issued CRL机制的证书状态信息分发方法 .它通过改变 Over- Issue发放的时间间隔 ,使得 CRL请求率大幅降低并迅速达到稳态 。

基于Over-Issued增量CRL发布机制的研究

目前关于公钥基础设施(public key infrastructure)中证书撤销问题的主要解决方案是使用X.509证书撤销列表(CRL)来定期发布证书状态信息;现有的发布机制主要针对提高处理时间,而对存储库性能的优化仍然存在一些问题———CRL存储库峰值负荷过大;通过对增量CRL和Over-Issued CRL模型的分析,给出了一种基于Over-Issued增量CRL机制的证书状态信息发布方法;它结合了上述两种模型的优点,通过改变Over-Issued CRL发布的时间间隔和增量CRL发布窗口大小,有效降低了存储库峰值负荷。

随机CRL证书撤销机制研究

提出了一种随机CRL(corit certificate revocation list)证书撤销机制,能够在PKI环境下有效降低系统的CRL峰值请求率,均衡系统负载,而不会增加系统的平均请求率.

一种评估过量发布CRL机制的模型

分析了应用证书撤消列表 (CRL)发布公共密钥基础设施 (PKI)证书状态信息的传统模型 .在此基础上 ,提出了一个评估回收策略的模型 ,该模型通过分析确认过程中的系统带宽和用户请求率等最重要的指标参数 ,对过量发布CRL的系统性能进行评估 .本模型具有简单易用的特点 ,能对证书撤消机制进行高效的系统评估 .

分段CRL的一种改进方案

证书撤销列表(CRL)是公开密钥基础设施中应用最为广泛的一种证书撤销机制。通过对基本CRL及分段CRL的分析,在分段CRL的基础上,提出了二次分段CRL。对于分段CRL中的尺寸越来越大以至于影响性能的分段,二次分段CRL根据不同于第一次的分段标准对其进行再次分段,改善了分段CRL中由于证书分类不平衡导致的性能下降问题,同时采用将各分段错开更新的方案,降低了CRL的峰值请求率。二次分段CRL由于通信量小,峰值请求率低,可扩展性好,适合于大规模的PKI系统。

CRL的一种改进方案

提出了一种改进的CRL方案,通过对CRL结构的改进,大大减少了证书用户查找撤销证书的时间。方案使用的基于排序的折半查找算法比较成熟,整体方案易于实现。

基于CRL的证书撤销模型研究

分析了应用证书撤销列表(CRL)发布公共密钥基础设施(PKI)证书状态信息的传统模型,并提出了两种改善的模型:过量发布CRL,模型和分段CRL模型。通过比较,改善后的模型相对于传统模型在一定程度上降低了CRL储存库峰值请求率,缩短了响应时间,使储存库在性能上有很大的提高。

一种基于分段的CRL改进方案

分析了有序顺序表和二叉排序树表的证书撤销列表方案的不足,提出了一种基于分段的证书撤销列表CRL(Certificate Revocation List)改进方案,给出了按撤销证书到期的时间间隔的分段策略,并对CRL结构进行了改进。通过分析表明,缩短了证书用户查找撤销证书的平均搜索长度,在CRL更新时,不但减少了其它已撤销证书的移动次数,而且还减少了CA对CRL重新签名的计算量。

证书撤销机制的分析与设计

证书撤销管理是大规模公钥基础设施PKI中十分重要且耗费最多的操作。分析了在PKI实施中应用的证书撤销机制,比较了证书撤销列表CRL、增量CRL、分段CRL与重复颁发CRL在峰值请求大小、网络带宽影响、用户查询代价等方面的性能,指出了各种机制的优缺点,最后对不同PKI规模中的证书撤销系统进行了设计和性能分析。

PKI中的证书和发证机构

1 引言 Internet从诞生之日起就是一个开放的系统,把许许多多的计算机系统互联起来形成一个庞大的通信网络,但是这种开放性使得Internet中的信息很容易被拦截、监视和窜改,导致人们不愿意使用Internet交流一些敏感或机密信息,如商业信息等。这在一定程度上阻碍了Internet的发展进程。 Internet用户所面临的问题可以归为两大类:信息保密和身份验证。信息保密要求传送的信息在途中不得被修改,而身份验证要求通信的双方确认对方的身份。解决的方法之一是加密,确保信息的保密和安全;二是认证(certification),保证通信是在预期的两者之间进行。公钥加密机制非常适合于In-

基于局部签名Hash表的证书撤销列表方案

在大规模应用环境中,不合理的证书撤销方案会带来巨大的运算量和网络传输负担。该文分析几类主要的证书撤销列表(CRL)机制,提出PSHT-CRL方案,综合分段CRL、重定向CRL和重复颁发CRL方案的特点,采用Hash表、局部签名和链接等方法,在确保安全性的基础上,提高用户查询和证书更新时的效率,以解决其他证书撤销方案中遇到的问题。对PSHT-CRL方案的安全性和效率进行分析,与其他CRL方案作了比较。

公钥证书撤消机制综述

如何撤消证书一直是公钥基础设施(PKI)研究和应用中的一个难点问题。本文对目前应用和研究中的证书撤消机制进行了综述,详细描述了各种机制的工作原理,并对各种机制的优缺点进行了详细剖析。

自根向下压缩的二叉排序证书吊销树方案

在二叉排序证书吊销树的基础上,利用了树中的叶子结点的空链域,在已有的树结构中毋需增加结点,就可建立一种新的线性表结构。树中结点信息采用"自根向下"压缩方法,将整个树的信息汇集到叶结点中,可信中心签名线性表最后一个结点。在该CRT方案中,树结点发生变化后,毋需重新建立树,降低了维护代价,减少了名录服务器至查询者的通信代价。

证书撤销机制的改进

证书撤销机制是影响PKI服务可靠度的关键因素之一。针对制约CRL机制有效性的两个要素，提出了两种改进方案：CRL缓存服务用于降低证书验证所引起的全局流量；CRL分组用于减小CRL的长度。并以一些实例说明了改进后的CRL机制的工作过程。

园区网PKI的设计与实现

大多数的安全应用现在都引入公钥密码算法,而公钥密码算法需要公钥基础设施PKI来支持公钥的分发。该文提出一种适合于园区网的单CA多RA加交叉认证的PKI模型的设计及实现。为了研究公钥证书管理流程,引进了证书生命周期,并讨论了园区网公钥管理中的交叉认证和证书撤销列表问题。