基于Over-Issued增量CRL发布机制的研究

目前关于公钥基础设施（public key infrastructure）中证书撤销问题的主要解决方案是使用X．509证书撤销列表（CRL）来定期发布证书状态信息；现有的发布机制主要针对提高处理时间，而对存储库性能的优化仍然存在一些问题——CRL存储库峰值负荷过大；通过对增量CRL和Over—Issued CRL模型的分析，给出了一种基于Over—Issued增量CRL机制的证书状态信息发布方法;它结合了上述两种模型的优点，通过改变Over- IssuedCRL发布的时间间隔和增量CRL发布窗口大小，有效降低了存储库峰值负荷。     

一种分布式的分段增量CRL机制

在分析分段增量CRL证书撤销机制的基础上,针对网络稳定性差、带宽有限的环境,提出了一种分布式的分段增量CRL机制。新机制能有效降低信任实体对CRL库的请求率、分散网络中CRL传输的数据流、保证用户及时获取最新的证书撤销信息,并且实现容易。     

CRL增量-过量发布综合模型研究

针对当前PKI应用规模的变化,提出了一种新模型：增量-过量发布综合模型。该模型采用将Delta-CRLs的Base CRL过量发布来实现。通过比较表明,该方式既可以减小信任方下载的CRL大小,改善了响应时间,减少时间碎片;又可以降低对Base CRL峰值请求率,从而降低对存储库的峰值带宽和平均负荷。文中同时指出,增量．过量发布综合模型优于传统模型和增量模型,但其发布性能依赖于PKI系统的证书有效期、证书吊销率、Delta CRL的颁发周期和时间跨度。Delta CRL的颁发周期越长,时间跨度越大,证书吊销率越高,证书有效期越短,过量发布Base CRL所带来的性能优化就越小。因此,增量-过量模型适合于在Delta CRL的颁发周期和时间跨度较短、证书吊销率不高、证书有效期较长的大型PKI系统中。     

PKI中增量CRL证书撤销机制的改进

公开密钥基础设施是网络安全建设的基础与核心,CRL技术在其中起重要作用,增量CRL机制在发布频率、时延性、风险性等方面有优势,但也有一些缺陷.本文提出了一种改进增量CRL机制,可有效降低下载量、减小峰值请求率.     

证书撤销机制的分析与设计*

证书撤销管理是大规模公钥基础设施PKI中十分重要且耗费最多的操作。分析了在PKI实施中应用的证书撤销机制,比较了证书撤销列表CRL、增量CRL、分段CRL与重复颁发CRL在峰值请求大小、网络带宽影响、用户查询代价等方面的性能,指出了各种机制的优缺点,最后对不同PKI规模中的证书撤销系统进行了设计和性能分析。     

一种离线模式下CRL机制的改进方案

本文分析了几种主要的CRL机制及OCSP协议,并提出了一种离线模式下CRL机制的改进方案——基于P2P分布式CRL列表的证书撤消系统,此系统利用CRL发布点技术与重叠发布增量CRL机制相结合的理念,在数据源上对传统CRL列表发布机制进行了改进。在机制中运用P2P技术实现了CRL资源的共享,并将传统的CRL发布的C/S体系结构改进成分散化的P2P结构,使整个网络的信息流量分散化,这不仅降低了系统负荷而且还发挥了对等网中资源版本越多越有利于资源的发现和共享的特点,提高了用户查询CRL列表的及时性,加强了CRL列表的离线性能。经实践证明,方案具有较好的可行性。     

一种新的证书撤销列表发布方案设计

对现有公钥基础设施的证书撤销列表发布方式进行了改进,通过引入多层次主从目录服务器结构,降低了CRL发布时的访问峰值;采用链表与哈希相结合的方式进行增量存储,减小了CRL发布的尺寸,能够减少通信量并降低网络延迟,从而提高了查询效率.     

一种基于P2P共享下载模式的证书撤销机制

基于增量CRL证书撤销机制,提出了基于P2P共享下载模式的证书撤销机制。在Delta-CRL的发布周期内,CA发布Base-CRL和Delta-CRL,用户除初始化外,其他时刻只需下载Delta-CRL即可。当用户提出请求,通过洪泛机制查询相应节点和资源的信誉度记录,找到最优记录节点,建立P2P连接。然后,将下载的CRL模块在客户端重构以获得完整的CRL。与其他CRL相比,该方法能够有效减少CRL的下载尺寸,真正降低通信载荷以及系统的峰值请求率,提供更为及时的证书撤销信息。     

一种在线CRL发布策略的研究

本文首先对传统CRL发布机制进行分析,提出了CRL分散发布策略,实现了对CRL数据库的均衡访问;通过分析OC-SP协议,指出了它的优势和不足;结合OCSP的优势和CRL分散发布策略,提出了在线CRL发布策略。在线CRL发布策略既可以实时地查询指定证书的状态,又可以实时地下载CRL,提高了PKI的运行效率。这为建立科学合理的CRL提供了重要的依据和方法。     

分段CRL的一种改进方案

证书撤销列表（CRL）是公开密钥基础设施中应用最为广泛的一种证书撤销机制。通过对基本CRL及分段CRL的分析,在分段CPL的基础上,提出了二次分段CRL。对于分段CRL中的尺寸越来越大以至于影响性能的分段,二次分段CRL根据不同于第一次的分段标准对其进行再次分段,改善了分段CRL中由于证书分类不平衡导致的性能下降问题,同时采用将各分段错开更新的方案,降低了CRL的峰值请求率。二次分段CRL由于通信量小,峰值请求率低,可扩展性好,适合于大规模的PKI系统。     

基于关系数据库的LDAP证书查询服务器的实现

LDAP协议是Internct中用于数据查询访问的重要协议,在PKI基础设施中,LDAP可用于证书和CRL的查询下载,具有广泛而重要的应用。结合了LDAP协议标准和PKI实现的具体要求,提出了一种基于关系数据库的LDAP服务器的实现方式,实现了LDAP的查询操作。     

IPsec VPN安全网关的认证优化设计与实现

IPsec VPN网关在使用数字证书对IPsec对等实体(远程用户、远程VPN网关)进行身份认证建立安全关联时,存在有效CRL及时性差、IPsec VPN安全网关开销过大和IKE认证时延过长等问题.为解决此类问题,给出了两种设计方案,分别为根据静态固定查询周期和根据自适应算法动态调整查询周期从LDAP服务器上获取CRL.这两种方案能有效平衡网关开销、提高认证速度并能较大提高有效CRL的及时性.     

PKI的使用脆弱性及对策

PKI是目前唯一可行的大规模网络认证解决方案，但也存在一些使用方面的脆弱性，本文介绍了PKI的主要安全隐患，指出了解决用户端问题、CRL问题，用户信息可信性问题的有效手段。     

IPSec VPN安全网关的LDAP接口优化设计与实现

LDAP协议是Internet快速目录数据查询访问的重要协议.IPSec VPN网关在IKE交互中用证书对IPSec对等实体(远程用户、远程VPN网关)进行身份认证建立安全关联.为了提高实用性和查找效率,本文将LDAP引入IPSec VPN网关的设计中,证书及证书撤销列表存放采用本地和LDAP服务器相结合的设计,以本地优先的原则.所做的相应设计减轻了网关和LDAP服务器的通信负担,显著地提高网关对证书的处理效率,加快了认证速度.     

The liberalized δ-rule in free variable semantic tableaux

In this paper we have a closer look at one of the rules of the tableau calculus presented by Fitting [4], called the -rule. We prove that a modification of this rule, called the ⁺-rule, which uses fewer free variables, is also sound and complete. We examine the relationship between the ⁺-rule and variations of the -rule presented by Smullyan [9]. This leads to a second proof of the soundness of the ⁺-rule. An example shows the relevance of this modification for building tableau-based theorem provers.     

Change detection of Rosetta promontory over the last forty years

The lack of silt transported by the River Nile after the building of the Aswan High Dam in 1964 has created a serious imbalance at the Rosetta and Damietta promontories on the Mediterranean coast of the Nile delta. In this work, coastal changes of the Rosetta promontory have been monitored by analysis of aerial photographs and satellite images over the period 1955 to 1991. Principal component analysis and temporal classifications have been used to clarify the dynamics of erosion and accretion areas on the two sides of the promontory. The studies have also indicated changes in the River Nile channel itself. Comparison with ground based measurements have revealed complete agreement.     

基于单向哈希链和多重证书的网格安全方案

本文分析了网格安全基础设施（Grid Security Infrastructure、GSI）中传统的证书撤销机制存在的问题,并提出了一种新的联合证书撤销方案。该方案使用单向哈希链和多重证书来改进证书撤销机制,CA的部分功能被分散到其它网格节点,避免了网格环境下的拥塞和单点失败。不同CA颁发的证书能够进行交叉认证,用户可以验证证书的有效性而无需从该证书的颁发CA重新获得撤销信息。因此该方案可以保证证书撤销的实时性。为了研究方案性能,和其他三种传统的证书撤销方案进行了对比实验。结果表明,相对传统的证书撤销机制本文所提出的联合证书撤销方案能使峰值请求率降低、峰值带宽变窄、安全风险降低．     

PKI design based on the use of on-line certification authorities

Public-key infrastructures (PKIs) are considered the basis of the protocols and tools needed to guarantee the security of new Internet applications like electronic commerce, government-citizen relationships and digital distribution. This paper introduces a new infrastructure design, CerteM, a key management and certification system that is based on the structure of the electronic mail service and on the principle of near-certification. CerteM provides a secure means to identify users and distribute their public-key certificates, enhances the efficiency of revocation procedures, and avoids scalability and synchronization problems. Because we have considered the revocation problem as priority in the design process and a big influence in the rest of the PKI components, we have developed an alternative solution to the use of certificate revocation lists (CRLs). This has become one of the strongest points of this new scheme.     

基于单片机的星三角电动机启动电路设计

设计一种基于单片机控制的电动机星三角启动电路.本电路采用单片机作为控制器,控制三相异步电动机的星三角启动.该控制电路可通过按键启动和关闭电动机,同时还可设置电动机星三角转换的延迟时间.当通过按钮启动电动机后,单片机将自动实现三相异步电动机启动电路的星三角转换.该控制电路还以级联共阴数码管为显示器,实现电动机状态与星三角转换延迟剩余时间的显示,具有优良的人机界面.     

Implementation of delta—sigma analog‐to‐digital converter in LTPS process

Abstract— An on‐panel delta—sigma analog‐to‐digital converter (ADC) has been implemented and verified for 3‐μm low‐temperature polysilicon (LTPS) technology with two basic blocks: a delta—sigma modulator and a decimation filter. From the experimental results, the digital output from the delta—sigma modulator is correctly matched with the analog input voltage ratio such that the digital output can be converted into 8‐bit digital code successfully under a supply voltage of 10 V from the decimation filter. The implemented on‐panel delta—sigma ADC can be used for the application of temperature‐to‐digital converter on glass substrate.