基于P2P的数字证书撤销列表更新方案及性能分析

数字证书撤销列表即CRL,被广泛应用于数字证书撤销管理中。但CRL更新中存在着较多节点,在进行数据请求时给数字系统整体性能带来较大影响。本文以CRL更新背景为切入点,结合CRL原理以及几种发布机制进行全面分析,探讨出结合P2P技术的CRL更新方案,有效减低客户请求率,以促进整体性能的提升。     

面向可变用户群体的可搜索属性基加密方案

为解决属性基加密方案中用户撤销繁琐、密文更新计算开销大的问题,提出一种面向可变用户群体的可搜索属性基加密方案.利用二叉树管理撤销列表,当需要撤销用户时,可信中心只要将其加入撤销列表,并通知云服务器更新部分密文,提高了用户撤销的效率.考虑到利用二叉树实现用户撤销会导致系统中用户数量存在上限,当某个二叉树叶结点所代表的用户被撤销后,只要更新二叉树中设置的随机值,其他用户就可以重复使用该结点.基于配对计算为用户提供密文搜索功能,并保证被撤销的用户无法搜索密文.安全性分析表明,该方案在随机谕言模型下满足选择明文不可区分安全性.性能分析和实验数据表明,该方案相比于同类方案,计算开销更小.     

一种新型的证书撤销列表

对证书撤销机制进行了研究。指出基于有序顺序表的证书撤销列表方案的不足，提出一种基于二叉排序树的CRL方案。通过分析表明，该方案与传统CRL相比，能够减少证书用户查找撤销证书的平均查询次数，克服了顺序CRL在更新时移动记录的缺点，优化了系统性能，且方案易于实现。     

基于二叉树的证书撤消管理

提出了一种基于二叉搜索树的证书撤消管理方案。不但大大减少了更新撤消列表和查询撤消列表过程中的通信量，改善了撤销列表管理的效率；而且加快撤消列表的更新周期不会引起通信量的快速增加，适合要求撤消列表快速更新场合。方案使用了排序的二叉树以及散列运算，实现简单。     

结构化P2P网络上基于类别树的索引机制

为解决结构化P2P系统的模糊检索问题,提出一种新的索引机制,构建并使用类别树对结点和实体进行标识.使用类别的静态描述产生查询请求;使用类别的动态描述优选下一跳结点,使查询始终围绕关键字列表逐步收敛到满足需求的P2P结点上.给出了分类树、静态描述和动态描述的存储、管理策略,避免了性能和可用性瓶颈.实验结果表明,该索引机制具有较好的检索效果,已成功应用于某服务计算平台.     

支持撤销属性的CP-ABE密钥更新方法

在现有云存储的密文策略属性加密方案（CP-ABE）中,大多只考虑用户的计算开销,而忽略了属性授权中心在更新密钥的时候所消耗的大量计算资源。针对该问题提出了一种基于CP-ABE的支持细粒度属性撤销的密钥更新方法。首先属性授权中心创建用户撤销列表以及属性密钥撤销列表,然后利用区块链公开、安全、可验证等相关特性来存储撤销列表等数据。最后系统根据这些数据在用户请求密文时更新其属性密钥,即将密钥频繁变更转为按需单次变更从而减少属性授权中心在一定时间段内大量的计算。同时,通过引入可验证外包的方法确保用户解密的正确性以及低廉的开销。理论分析验证了方案的安全性以及密文加解密的高效性,并通过仿真实验与其他方案比较验证了方案在单次系统属性撤销方面也具备着高效的性能。     

PKI证书的撤销与验证

随着电子商务公司越来越多地使用数字证书 (由认证中心签发的电子身份证 )来保证在线交易的安全性 ,这一行为引发了对另一种安全性的需要 ,即对数字证书的有效性进行验证。因此 ,CA认证的一个重要操作就是验证用户的证书是否被撤销或者挂起。证书的撤销采用证书撤销列表 ,而用于验证证书状态的机制一般使用轻型目录存取协议或者在线证书状态协议。简要介绍了证书撤销列表以及基于轻型目录存取协议的目录服务机制 ,而重点讨论了基于在线证书状态协议的目录服务 ,并例举了一个在线证书状态协议的实际应用。     

高效撤销的密文策略属性基加密方案

摘要：作为新型的密码学原语,属性基加密方案通过一系列属性来定义一个用户,并且实现了细粒度访问控制。然而,复杂、耗时的撤销操作成为限制属性基加密方案应用的瓶颈问题。为了解决属性基加密方案中的撤销问题,本文提出一种高效属性撤销的密文策略属性基加密方案。该方案通过固定长度的撤销列表记录撤销用户,撤销过程不必更新系统密钥及相关用户的密钥,大大降低了撤销所引起的计算开销。     

一种改进的PMI属性证书撤销方案

在PMI授权管理体系中，有关属性证书的维护是其中重要的组成部分，尤其在用户角色相对固定的大规模应用环境中不合理的证书撤销管理将会带来巨大的运算或网络传输负担。并且证书撤销列表的发布是由属性权威(AA)生成，然后交由一个公开目录对外发布。由于公开的目录不能够保证是安全可靠的，在撤销列表的发布中不能假设发布机构是可以信赖的，因此证书撤销列表也需要AA的签名来保证其真实性。该文提出了一种属性证书撤销列表的维护方案，解决了上述的问题，对方案的有效性、安全性和性能进行了分析。     

基于P2P网络的Over-Issued CRL机制研究

目前关于公钥基础设施（public key infrastructure）中证书撤销问题的主要解决方案是使用X.509证书撤销列表（Certificate Revocation List）来定期发布证书状态信息。现有的发布机制存在CRL存储库峰值负荷过重,导致PKI部署成本过高的问题。通过对Over-Issued CRL模型和P2P技术的分析,给出一种基于P2P网络和Over-Issued CRL发布机制,它结合了上述两种技术的优点,有效降低了CRL存储库峰值负荷。     

基于带权跳表的证书废除机制CRPSL

在目前已经提出的证书废除机制中，由于未考虑证书查询概率之间的差异，限制了算法的性能。基于带权跳表的证书废除机制(CRPSL)根据证书查询频度动态调整证书废除字典的存储结构，使查询频度高的证书查询路径缩短，查询速度加快。测试结果表明，CRPSL的插入、删除及查询性能均比CRL及2-3CRT高，较好地适合了证书查询的实际情况。     

证书吊销的线索二叉排序Hash树解决方案

提出了公钥基础设施(publickeyinfrastructure,简称PKI)中证书吊销问题的一个新的解决方案--线索二叉排序Hash树(certificaterevocationthreadedbinarysortedhashtree,简称CRTBSHT)解决方案.目前关于证书吊销问题的主要解决方案有X.509证书系统的证书吊销列表(certificaterevocationlist,简称CRL)、Micali的证书吊销系统(certificaterevocationsystem,简称CRS)、Kocher的证书吊销树(certificaterevocationtree,简称CRT)及Naor-Nissm的2-3证书吊销树(2-3CRT),这些方案均不完善.在CRT系统思想的基础上,利用线索化二叉排序树及Hash树给出的新方案,既继承了CRT证明一个证书的状态(是否被吊销)不需要整个线索二叉树,而只与其中部分相关路径有关的优点,又克服了CRT在更新时几乎需要对整个树重新构造的缺点,新方案在更新时仅需计算相关部分路径的数值.新方案对工程实现具有一定的参考价值.     

一个新的证书吊销列表设计方案

通过对证书员销列表中吊销证书条目字段重新编码在，结合分段的思想，提出一个新的证书吊销信息分发方案Compact CRL，新方案大大简化了CRL的大小，节省了证书吊销信息分发所需要的带宽。     

一种基于P2P共享下载模式的证书撤销机制

基于增量CRL证书撤销机制,提出了基于P2P共享下载模式的证书撤销机制。在Delta-CRL的发布周期内,CA发布Base-CRL和Delta-CRL,用户除初始化外,其他时刻只需下载Delta-CRL即可。当用户提出请求,通过洪泛机制查询相应节点和资源的信誉度记录,找到最优记录节点,建立P2P连接。然后,将下载的CRL模块在客户端重构以获得完整的CRL。与其他CRL相比,该方法能够有效减少CRL的下载尺寸,真正降低通信载荷以及系统的峰值请求率,提供更为及时的证书撤销信息。     

P2P-based multidimensional indexing methods: A survey

P2P-based multidimensional index (MI) is a hotspot which absorbs many researchers to dedicate them into. However, no summarization or review on this technology has been made at present. To the best of our knowledge, this is the first work on reviewing P2P-based MI. This paper innovatively adopts visualization technique to show the research groups and then analyzes investigating style of research groups. Based on evolution of P2P-based MI inheriting from centralized MI and P2P, we divide P2P-based MI methods into 4 categories: extending centralized MI, extending P2P, combining centralized MI and P2P, and miscellaneous. For each category, the paper selects classical techniques and describes them in detail. This is the first time of doing the classification job over massive related works. Finally, load balancing and update strategies are described and discussed for they are important factors related to performance. We believe many researchers will get benefits from our work for further studies.     

基于局部签名Hash表的证书撤销列表方案

在大规模应用环境中,不合理的证书撤销方案会带来巨大的运算量和网络传输负担。该文分析几类主要的证书撤销列表（CRL）机制,提出PSHT—CRL方案,综合分段CRL、重定向CRL和重复颁发CRL方案的特点,采用Hash表、局部签名和链接等方法,在确保安全性的基础上,提高用户查询和证书更新时的效率,以解决其他证书撤销方案中遇到的问题。对PSHT-CRL方案的安全性和效率进行分析,与其他CRL方案作了比较。     

CRL增量-过量发布综合模型研究

针对当前PKI应用规模的变化，提出了一种新模型：增量-过量发布综合模型。该模型采用将Delta-CRLs的Base CRL过量发布来实现。通过比较表明，该方式既可以减小信任方下载的CRL大小，改善了响应时间，减少时间碎片；又可以降低对Base CRL峰值请求率，从而降低对存储库的峰值带宽和平均负荷。文中同时指出，增量．过量发布综合模型优于传统模型和增量模型，但其发布性能依赖于PKI系统的证书有效期、证书吊销率、Delta CRL的颁发周期和时间跨度。Delta CRL的颁发周期越长，时间跨度越大，证书吊销率越高，证书有效期越短，过量发布Base CRL所带来的性能优化就越小。因此，增量-过量模型适合于在Delta CRL的颁发周期和时间跨度较短、证书吊销率不高、证书有效期较长的大型PKI系统中。     

分段CRL的一种改进方案

证书撤销列表（CRL）是公开密钥基础设施中应用最为广泛的一种证书撤销机制。通过对基本CRL及分段CRL的分析,在分段CPL的基础上,提出了二次分段CRL。对于分段CRL中的尺寸越来越大以至于影响性能的分段,二次分段CRL根据不同于第一次的分段标准对其进行再次分段,改善了分段CRL中由于证书分类不平衡导致的性能下降问题,同时采用将各分段错开更新的方案,降低了CRL的峰值请求率。二次分段CRL由于通信量小,峰值请求率低,可扩展性好,适合于大规模的PKI系统。