一种基于分段的CRL改进方案

分析了有序顺序表和二叉排序树表的证书撤销列表方案的不足,提出了一种基于分段的证书撤销列表CRL（Certificate Revocation List）改进方案,给出了按撤销证书到期的时间间隔的分段策略,并对CRL结构进行了改进。通过分析表明,缩短了证书用户查找撤销证书的平均搜索长度,在CRL更新时,不但减少了其它已撤销证书的移动次数,而且还减少了CA对CRL重新签名的计算量。     

CRL的一种改进方案

提出了一种改进的CRL方案,通过对CRL结构的改进,大大减少了证书用户查找撤销证书的时间。方案使用的基于排序的折半查找算法比较成熟,整体方案易于实现。     

基于局部签名Hash表的证书撤销列表方案

在大规模应用环境中,不合理的证书撤销方案会带来巨大的运算量和网络传输负担。该文分析几类主要的证书撤销列表（CRL）机制,提出PSHT—CRL方案,综合分段CRL、重定向CRL和重复颁发CRL方案的特点,采用Hash表、局部签名和链接等方法,在确保安全性的基础上,提高用户查询和证书更新时的效率,以解决其他证书撤销方案中遇到的问题。对PSHT-CRL方案的安全性和效率进行分析,与其他CRL方案作了比较。     

基于CRL的证书状态信息发布机制的研究

随着数字证书不断的被接受和使用，人们从中获得了更大的动力寻找各种方法来撤销已停止使用的数字证书，并及时通知终端用户，避免他们使用已被撤销的证书。证书撤销的问题在广域网的PKI产品开发中愈加显得关键。文中阐述了证书撤销的需求与重要性，分析了目前被采用的各种基于CRL的证书状态信息发布机制，并着重讨论了MYPKI中Delta CRL的实现。     

车载Ad Hoc网络中证书快速撤销机制研究

证书撤销是保障车载Ad Hoc网络安全的难点问题之一,但传统的CRL发布方式由于网络规模大,车辆机动性强等原因并不适用。结合车载Ad Hoc网络中节点移动规律和速度等特性,在提出降解CRL规模的方法的基础上,进一步提出一种基于车辆速度证书快速撤销方案。分析表明在证书有效期较短的情况下,该方案要优于传统方案。     

基于Over-Issued增量CRL发布机制的研究

目前关于公钥基础设施（public key infrastructure）中证书撤销问题的主要解决方案是使用X．509证书撤销列表（CRL）来定期发布证书状态信息；现有的发布机制主要针对提高处理时间，而对存储库性能的优化仍然存在一些问题——CRL存储库峰值负荷过大；通过对增量CRL和Over—Issued CRL模型的分析，给出了一种基于Over—Issued增量CRL机制的证书状态信息发布方法;它结合了上述两种模型的优点，通过改变Over- IssuedCRL发布的时间间隔和增量CRL发布窗口大小，有效降低了存储库峰值负荷。     

一种基于P2P共享下载模式的证书撤销机制

基于增量CRL证书撤销机制,提出了基于P2P共享下载模式的证书撤销机制。在Delta-CRL的发布周期内,CA发布Base-CRL和Delta-CRL,用户除初始化外,其他时刻只需下载Delta-CRL即可。当用户提出请求,通过洪泛机制查询相应节点和资源的信誉度记录,找到最优记录节点,建立P2P连接。然后,将下载的CRL模块在客户端重构以获得完整的CRL。与其他CRL相比,该方法能够有效减少CRL的下载尺寸,真正降低通信载荷以及系统的峰值请求率,提供更为及时的证书撤销信息。     

证书撤销机制的分析与设计*

证书撤销管理是大规模公钥基础设施PKI中十分重要且耗费最多的操作。分析了在PKI实施中应用的证书撤销机制,比较了证书撤销列表CRL、增量CRL、分段CRL与重复颁发CRL在峰值请求大小、网络带宽影响、用户查询代价等方面的性能,指出了各种机制的优缺点,最后对不同PKI规模中的证书撤销系统进行了设计和性能分析。     

分段CRL的一种改进方案

证书撤销列表（CRL）是公开密钥基础设施中应用最为广泛的一种证书撤销机制。通过对基本CRL及分段CRL的分析,在分段CPL的基础上,提出了二次分段CRL。对于分段CRL中的尺寸越来越大以至于影响性能的分段,二次分段CRL根据不同于第一次的分段标准对其进行再次分段,改善了分段CRL中由于证书分类不平衡导致的性能下降问题,同时采用将各分段错开更新的方案,降低了CRL的峰值请求率。二次分段CRL由于通信量小,峰值请求率低,可扩展性好,适合于大规模的PKI系统。     

基于排队模型的证书撤销机制分析

证书撤销机制是影响PKI服务可靠度的关键技术之一。根据撤销机制是否含有CRL服务器建立了两个基于排队论的数学模型，指出在较大规模下应用短周期证书策略是不合适的，并对分段CRL的优越性给出理论证明，最后，结合模型导出参数对实际应用中缓冲器容量的选取进行定性分析。     

基于P2P网络的Over-Issued CRL机制研究

目前关于公钥基础设施（public key infrastructure）中证书撤销问题的主要解决方案是使用X.509证书撤销列表（Certificate Revocation List）来定期发布证书状态信息。现有的发布机制存在CRL存储库峰值负荷过重,导致PKI部署成本过高的问题。通过对Over-Issued CRL模型和P2P技术的分析,给出一种基于P2P网络和Over-Issued CRL发布机制,它结合了上述两种技术的优点,有效降低了CRL存储库峰值负荷。     

基于单向哈希函数的证书撤销机制

证书撤销是公钥基础设施PKI(Public Key Infrastructure)研究和应用的难点问题.首先讨论了当前应用最广泛的两类证书撤销机制:证书撤销列表CRL(Certificate Revocation List)和在线证书状态协议OCSP(0nline Certificate Status Protoco1),剖析了这两种机制各自存在的不足.在此基础上,提出了一种基于单向哈希函数的证书撤销机制.     

基于入侵容忍的证书撤销列表机制研究

公钥基础设施(PKI)系统中,认证机构(CA)签名不易伪造,对基于证书撤销列表(CRL)的证书撤销系统的入侵通常是破坏系统的可用性和数据的完整性,针对这一特点,设计了入侵容忍CRL服务系统。系统利用冗余的多台服务器存储CRL,在进行多机之间的数据复制和使用时,采取随机选择主服务器的被动复制算法及选择最近更新的CRL简单表决算法。在实验给定的入侵攻击条件下,入侵容忍的CRL系统比无容忍系统的证书撤销查询正确率提高了近20%,但也增加了系统的开销。实验结果表明,适当地增加CRL服务器的数量能够提高证书撤销查询的正确率且控制系统的开销。     

证书吊销的线索二叉排序Hash树解决方案

提出了公钥基础设施(publickeyinfrastructure,简称PKI)中证书吊销问题的一个新的解决方案--线索二叉排序Hash树(certificaterevocationthreadedbinarysortedhashtree,简称CRTBSHT)解决方案.目前关于证书吊销问题的主要解决方案有X.509证书系统的证书吊销列表(certificaterevocationlist,简称CRL)、Micali的证书吊销系统(certificaterevocationsystem,简称CRS)、Kocher的证书吊销树(certificaterevocationtree,简称CRT)及Naor-Nissm的2-3证书吊销树(2-3CRT),这些方案均不完善.在CRT系统思想的基础上,利用线索化二叉排序树及Hash树给出的新方案,既继承了CRT证明一个证书的状态(是否被吊销)不需要整个线索二叉树,而只与其中部分相关路径有关的优点,又克服了CRT在更新时几乎需要对整个树重新构造的缺点,新方案在更新时仅需计算相关部分路径的数值.新方案对工程实现具有一定的参考价值.     

一个新的证书吊销列表设计方案

通过对证书员销列表中吊销证书条目字段重新编码在，结合分段的思想，提出一个新的证书吊销信息分发方案Compact CRL，新方案大大简化了CRL的大小，节省了证书吊销信息分发所需要的带宽。     

CRL增量-过量发布综合模型研究

针对当前PKI应用规模的变化,提出了一种新模型：增量-过量发布综合模型。该模型采用将Delta-CRLs的Base CRL过量发布来实现。通过比较表明,该方式既可以减小信任方下载的CRL大小,改善了响应时间,减少时间碎片;又可以降低对Base CRL峰值请求率,从而降低对存储库的峰值带宽和平均负荷。文中同时指出,增量．过量发布综合模型优于传统模型和增量模型,但其发布性能依赖于PKI系统的证书有效期、证书吊销率、Delta CRL的颁发周期和时间跨度。Delta CRL的颁发周期越长,时间跨度越大,证书吊销率越高,证书有效期越短,过量发布Base CRL所带来的性能优化就越小。因此,增量-过量模型适合于在Delta CRL的颁发周期和时间跨度较短、证书吊销率不高、证书有效期较长的大型PKI系统中。