基于Over-Issued增量CRL发布机制的研究

目前关于公钥基础设施(public key infrastructure)中证书撤销问题的主要解决方案是使用X.509证书撤销列表(CRL)来定期发布证书状态信息;现有的发布机制主要针对提高处理时间,而对存储库性能的优化仍然存在一些问题———CRL存储库峰值负荷过大;通过对增量CRL和Over-Issued CRL模型的分析,给出了一种基于Over-Issued增量CRL机制的证书状态信息发布方法;它结合了上述两种模型的优点,通过改变Over-Issued CRL发布的时间间隔和增量CRL发布窗口大小,有效降低了存储库峰值负荷。

基于Over-Issued CRL机制证书状态信息分发方法研究

商用 CA或 PKI系统中主要使用定期颁布证书撤消列表 (CRL )来分发证书状态信息 ,但现有方法主要侧重于对 CRL的时间和空间特性改进 ,而对存储库性能的优化 ,尤其是如何有效降低存储库峰值负荷方面仍有一些未解决的问题 .本文通过对现有方法在存储库性能改进不力的分析 ,提出一个新的基于 Over- Issued CRL机制的证书状态信息分发方法 .它通过改变 Over- Issue发放的时间间隔 ,使得 CRL请求率大幅降低并迅速达到稳态 。

对大规模PKI中CRL分发机制的分析和比较

CRL是PKI中处理证书撤销的最常用方法。通过分析X.509v1CRL存在的问题，提出了在大规模PKI中评价CRL分发机制的5个准则。一种好的分发机制应该尽可能减小信任方所需下载的CRL大小，降低CRL库的峰值负荷和/或平均负荷，减轻CRL的时间碎片问题，同时可以根据信任方的不同需求提供不同的服务，可以动态更新CRL的分割策略。如果还可以不对原客户端程序做很大改动，甚至不需要改动，那就更好了。另外利用这些评价准则，对当前主要的几种CRL分发机制的改进方法，包括CRL分发点、Delta－CRL、重叠发布CRL、最新撤销信息指针和重定向指针，详细地进行了分析和比较。

CRL增量-过量发布综合模型研究

针对当前PKI应用规模的变化,提出了一种新模型:增量-过量发布综合模型。该模型采用将Delta-CRLs的Base CRL过量发布来实现。通过比较表明,该方式既可以减小信任方下载的CRL大小,改善了响应时间,减少时间碎片;又可以降低对Base CRL峰值请求率,从而降低对存储库的峰值带宽和平均负荷。文中同时指出,增量-过量发布综合模型优于传统模型和增量模型,但其发布性能依赖于PKI系统的证书有效期、证书吊销率、Delta CRL的颁发周期和时间跨度。Delta CRL的颁发周期越长,时间跨度越大,证书吊销率越高,证书有效期越短,过量发布Base CRL所带来的性能优化就越小。因此,增量-过量模型适合于在Delta CRL的颁发周期和时间跨度较短、证书吊销率不高、证书有效期较长的大型PKI系统中。

基于增量CRL证书撤销机制的改进

文章提出了改进的增量CRL机制,在Delta-CRL的发布周期内,CA发布Base-CRL和Delta-CRL,用户除初始化外,其他时刻只下载Delta-CRL即可,可在客户端重构完整的CRL。与传统增量CRL相比,能够有效减少CRL的下载尺寸,降低通信载荷,提供更为及时的证书撤销信息,而不会增加平均请求率。

对增量CRL应用的一些研究

本文对PKIX依从系统中增量CRLs的应用进行了一些研究 ,包括 :增量CRL的时间跨度对性能的影响及其最优选择 ;基于完全CRL与增量CRL检查证书状态以及构造新的完全CRL的算法。

一种新的PKI证书撤销机制

根据PKI证书撤销机制的评价标准 ,对当前几种证书撤销机制———分段式CRLs ,Delta CRLs和重叠发布CRLs进行了分析比较 .针对这几种机制的优缺点 ,提出了一种新的PKI证书撤销机制———重叠发布滑动窗口分段式Delta CRLs ,分析了该机制的性能 .该机制减小了信任方所需下载的CRL大小 ,降低了CRL库的峰值负荷和平均负荷 ,改善了时间碎片问题和可扩展性问题 .