基于P2P网络的Over-Issued CRL机制研究

目前关于公钥基础设施（public key infrastructure）中证书撤销问题的主要解决方案是使用X.509证书撤销列表（Certificate Revocation List）来定期发布证书状态信息。现有的发布机制存在CRL存储库峰值负荷过重,导致PKI部署成本过高的问题。通过对Over-Issued CRL模型和P2P技术的分析,给出一种基于P2P网络和Over-Issued CRL发布机制,它结合了上述两种技术的优点,有效降低了CRL存储库峰值负荷。     

CRL增量-过量发布综合模型研究

针对当前PKI应用规模的变化,提出了一种新模型：增量-过量发布综合模型。该模型采用将Delta-CRLs的Base CRL过量发布来实现。通过比较表明,该方式既可以减小信任方下载的CRL大小,改善了响应时间,减少时间碎片;又可以降低对Base CRL峰值请求率,从而降低对存储库的峰值带宽和平均负荷。文中同时指出,增量．过量发布综合模型优于传统模型和增量模型,但其发布性能依赖于PKI系统的证书有效期、证书吊销率、Delta CRL的颁发周期和时间跨度。Delta CRL的颁发周期越长,时间跨度越大,证书吊销率越高,证书有效期越短,过量发布Base CRL所带来的性能优化就越小。因此,增量-过量模型适合于在Delta CRL的颁发周期和时间跨度较短、证书吊销率不高、证书有效期较长的大型PKI系统中。     

基于CRL的证书撤销模型研究

分析了应用证书撤销列表(CRL)发布公共密钥基础设施(PKI)证书状态信息的传统模型，并提出了两种改善的模型：过量发布CRL模型和分段CRL模型．通过比较，改善后的模型相对于传统模型在一定程度上降低了CRL储存库峰值请求率，缩短了响应时间，使储存库在性能上有很大的提高。     

一种基于P2P共享下载模式的证书撤销机制

基于增量CRL证书撤销机制,提出了基于P2P共享下载模式的证书撤销机制。在Delta-CRL的发布周期内,CA发布Base-CRL和Delta-CRL,用户除初始化外,其他时刻只需下载Delta-CRL即可。当用户提出请求,通过洪泛机制查询相应节点和资源的信誉度记录,找到最优记录节点,建立P2P连接。然后,将下载的CRL模块在客户端重构以获得完整的CRL。与其他CRL相比,该方法能够有效减少CRL的下载尺寸,真正降低通信载荷以及系统的峰值请求率,提供更为及时的证书撤销信息。     

基于P2P技术的分布式PKI证书撤销列表发布

大规模PKI（Public Key Infrastructure）的核心在于数字证书的发放和管理,目前,PKI的管理机构一般采用证书撤消列表（Certificate Revocation List,简称CRL）的方式管理失效证书,但这些发布机制都不能有效地减低服务器端证书存储库的负荷。因此,在P2P技术的基础上,提出了一种分布式的CRL发布机制,该策略不仅在服务器端降低了峰值请求率,而且发挥了P2P网络中资源的版本越多越有利于资源的发现和共享的优点。     

数字证书撤消列表发布机制分析比较

PKI的核心是数字证书,证书在使用过程中会因密码泄露、客户更名等原因而被撤销.CA一般采用证书撤消列表管理失效证书.分析几种常用的CRL的发布机制,比较它们的CRL存储库性能指标,提出整合多种机制可以在指标上得到比较均衡的结果.     

一种分布式的分段增量CRL机制

在分析分段增量CRL证书撤销机制的基础上,针对网络稳定性差、带宽有限的环境,提出了一种分布式的分段增量CRL机制。新机制能有效降低信任实体对CRL库的请求率、分散网络中CRL传输的数据流、保证用户及时获取最新的证书撤销信息,并且实现容易。     

证书撤销机制的分析与设计*

证书撤销管理是大规模公钥基础设施PKI中十分重要且耗费最多的操作。分析了在PKI实施中应用的证书撤销机制,比较了证书撤销列表CRL、增量CRL、分段CRL与重复颁发CRL在峰值请求大小、网络带宽影响、用户查询代价等方面的性能,指出了各种机制的优缺点,最后对不同PKI规模中的证书撤销系统进行了设计和性能分析。     

基于单向散列链的公钥证书撤销机制

证书撤销是公钥基础设施（PKI，Public Key Infrastructure）研究和应用的难点问题．本文首先讨论了当前应用最广泛的两类证书撤销机制一证书撤销列表（CRL，Certificate Revocation List）和在线证书状态罅议（OCSP，Online Certificate Status Protocol），剖析了这两种机制各自存在自的不足．在此基础上，提出了一种基于单向散列链的证书撤销机制．     

基于CRL的证书状态信息发布机制的研究

随着数字证书不断的被接受和使用，人们从中获得了更大的动力寻找各种方法来撤销已停止使用的数字证书，并及时通知终端用户，避免他们使用已被撤销的证书。证书撤销的问题在广域网的PKI产品开发中愈加显得关键。文中阐述了证书撤销的需求与重要性，分析了目前被采用的各种基于CRL的证书状态信息发布机制，并着重讨论了MYPKI中Delta CRL的实现。     

一个新的证书吊销列表设计方案

通过对证书员销列表中吊销证书条目字段重新编码在，结合分段的思想，提出一个新的证书吊销信息分发方案Compact CRL，新方案大大简化了CRL的大小，节省了证书吊销信息分发所需要的带宽。     

基于P2P的数字证书撤销列表更新方案及性能分析

针对数字证书撤销列表更新中大量结点同时请求数据造成的系统性能瓶颈,本文提出了基于P2P的数字证书撤销列表更新方案,利用客户结点的资源改善证书撤销列表的更新性能;以数字校园应用为背景建立了分析模型,对所提方案进行了分析比较。     

一种新型的证书撤销列表

对证书撤销机制进行了研究。指出基于有序顺序表的证书撤销列表方案的不足，提出一种基于二叉排序树的CRL方案。通过分析表明，该方案与传统CRL相比，能够减少证书用户查找撤销证书的平均查询次数，克服了顺序CRL在更新时移动记录的缺点，优化了系统性能，且方案易于实现。     

分段CRL的一种改进方案

证书撤销列表（CRL）是公开密钥基础设施中应用最为广泛的一种证书撤销机制。通过对基本CRL及分段CRL的分析,在分段CPL的基础上,提出了二次分段CRL。对于分段CRL中的尺寸越来越大以至于影响性能的分段,二次分段CRL根据不同于第一次的分段标准对其进行再次分段,改善了分段CRL中由于证书分类不平衡导致的性能下降问题,同时采用将各分段错开更新的方案,降低了CRL的峰值请求率。二次分段CRL由于通信量小,峰值请求率低,可扩展性好,适合于大规模的PKI系统。     

基于局部签名Hash表的证书撤销列表方案

在大规模应用环境中,不合理的证书撤销方案会带来巨大的运算量和网络传输负担。该文分析几类主要的证书撤销列表（CRL）机制,提出PSHT—CRL方案,综合分段CRL、重定向CRL和重复颁发CRL方案的特点,采用Hash表、局部签名和链接等方法,在确保安全性的基础上,提高用户查询和证书更新时的效率,以解决其他证书撤销方案中遇到的问题。对PSHT-CRL方案的安全性和效率进行分析,与其他CRL方案作了比较。     

EPA: An efficient and privacy-aware revocation mechanism for vehicular ad hoc networks

Security is vital for the reliable operation of vehicular ad hoc networks (VANETs). One of the critical security issues is the revocation of misbehaving vehicles. While essential, revocation checking can leak private information. In particular, repositories receiving the certificate status queries could infer the identity of the vehicles posing the query and the target of the query. An important loss of privacy results from this ability to tie the checking vehicle with the query’s target, due to their likely willingness to communicate. In this paper, we propose an Efficient and Privacy-Aware revocation Mechanism (EPA) based on the use of Merkle Hash Trees (MHT) and a Crowds-based anonymous protocol, which replaces the time-consuming certificate revocation lists checking process. EPA provides explicit, concise, authenticated and unforgeable information about the revocation status of each certificate while preserving the users’ privacy. Moreover, EPA reduces the security overhead for certificate status checking, and enhances the availability and usability of the revocation data. By conducting a detailed performance evaluation, EPA is demonstrated to be reliable, efficient, and scalable.