基于CRL的证书撤销模型研究

分析了应用证书撤销列表(CRL)发布公共密钥基础设施(PKI)证书状态信息的传统模型，并提出了两种改善的模型：过量发布CRL模型和分段CRL模型．通过比较，改善后的模型相对于传统模型在一定程度上降低了CRL储存库峰值请求率，缩短了响应时间，使储存库在性能上有很大的提高。     

基于Over-Issued增量CRL发布机制的研究

目前关于公钥基础设施（public key infrastructure）中证书撤销问题的主要解决方案是使用X．509证书撤销列表（CRL）来定期发布证书状态信息;现有的发布机制主要针对提高处理时间,而对存储库性能的优化仍然存在一些问题——CRL存储库峰值负荷过大;通过对增量CRL和Over—Issued CRL模型的分析,给出了一种基于Over—Issued增量CRL机制的证书状态信息发布方法;它结合了上述两种模型的优点,通过改变Over- IssuedCRL发布的时间间隔和增量CRL发布窗口大小,有效降低了存储库峰值负荷。     

PKI中增量CRL证书撤销机制的改进

公开密钥基础设施是网络安全建设的基础与核心,CRL技术在其中起重要作用,增量CRL机制在发布频率、时延性、风险性等方面有优势,但也有一些缺陷.本文提出了一种改进增量CRL机制,可有效降低下载量、减小峰值请求率.     

CRL增量-过量发布综合模型研究

针对当前PKI应用规模的变化,提出了一种新模型：增量-过量发布综合模型。该模型采用将Delta-CRLs的Base CRL过量发布来实现。通过比较表明,该方式既可以减小信任方下载的CRL大小,改善了响应时间,减少时间碎片;又可以降低对Base CRL峰值请求率,从而降低对存储库的峰值带宽和平均负荷。文中同时指出,增量．过量发布综合模型优于传统模型和增量模型,但其发布性能依赖于PKI系统的证书有效期、证书吊销率、Delta CRL的颁发周期和时间跨度。Delta CRL的颁发周期越长,时间跨度越大,证书吊销率越高,证书有效期越短,过量发布Base CRL所带来的性能优化就越小。因此,增量-过量模型适合于在Delta CRL的颁发周期和时间跨度较短、证书吊销率不高、证书有效期较长的大型PKI系统中。     

证书撤销机制的分析与设计

证书撤销管理是大规模公钥基础设施PKI中十分重要且耗费最多的操作。分析了在PKI实施中应用的证书撤销机制,比较了证书撤销列表CRL、增量CRL、分段CRL与重复颁发CRL在峰值请求大小、网络带宽影响、用户查询代价等方面的性能,指出了各种机制的优缺点,最后对不同PKI规模中的证书撤销系统进行了设计和性能分析。     

基于P2P网络的Over-Issued CRL机制研究

目前关于公钥基础设施（public key infrastructure）中证书撤销问题的主要解决方案是使用X.509证书撤销列表（Certificate Revocation List）来定期发布证书状态信息。现有的发布机制存在CRL存储库峰值负荷过重,导致PKI部署成本过高的问题。通过对Over-Issued CRL模型和P2P技术的分析,给出一种基于P2P网络和Over-Issued CRL发布机制,它结合了上述两种技术的优点,有效降低了CRL存储库峰值负荷。     

无线PKI中证书状态查询机制研究与实现

无线PKI技术在移动电子商务中扮演着重要角色,而证书状态查询机制是其关键部件.对无线PKI中的3种常见的证书状态查询机制进行了分析和比较;OCSP协议能够提供实时的证书状态查询服务,但由于无线PKI的特殊限制,并不能直接应用于无线PKI环境中.在充分考虑无线PKI特殊的限制条件基础上,给出了一种基于OCSP协议的适合无线PKI环境的证书状态查询设计方案;详细描述了该设计在具体实现中需要特别注意的几项关键技术,以提高系统的性能和安全性.     

基于排队模型的证书撤销机制分析

证书撤销机制是影响PKI服务可靠度的关键技术之一。根据撤销机制是否含有CRL服务器建立了两个基于排队论的数学模型,指出在较大规模下应用短周期证书策略是不合适的,并对分段CRL的优越性给出理论证明,最后,结合模型导出参数对实际应用中缓冲器容量的选取进行定性分析。     

OCSP证书状态查询机制与实现

证书状态查询是公钥基础设施中最重要的问题之一,OCSP是解决这个问题的一种重要机制。文章分析了CRL协议、OCSP协议、状态缓存、线程池、预签名,设计了一种OCSP服务器的实现方法,详细描述了该设计在具体实现中需要特别注意的几项关键技术,以提高系统的性能和稳定性。     

证书撤销方法研究

PKI是网络安全的基础,其安全性和可靠性直接影响到上层的网络安全,证书撤销是PKI系统中重要的一个方面。本文详细讨论了现存的证书撤销状态信息发布方法,并结合时戳服务提出了新的解决方案.该方法在现有时戳协议的基础上,通过时戳提供证书的状态信息,可以有效降低系统成本,提高系统的工作效率。     

数字证书撤消列表发布机制分析比较

PKI的核心是数字证书,证书在使用过程中会因密码泄露、客户更名等原因而被撤销.CA一般采用证书撤消列表管理失效证书.分析几种常用的CRL的发布机制,比较它们的CRL存储库性能指标,提出整合多种机制可以在指标上得到比较均衡的结果.     

基于局部签名Hash表的证书撤销列表方案

在大规模应用环境中,不合理的证书撤销方案会带来巨大的运算量和网络传输负担。该文分析几类主要的证书撤销列表（CRL）机制,提出PSHT—CRL方案,综合分段CRL、重定向CRL和重复颁发CRL方案的特点,采用Hash表、局部签名和链接等方法,在确保安全性的基础上,提高用户查询和证书更新时的效率,以解决其他证书撤销方案中遇到的问题。对PSHT-CRL方案的安全性和效率进行分析,与其他CRL方案作了比较。     

一种新型的证书撤销列表

对证书撤销机制进行了研究。指出基于有序顺序表的证书撤销列表方案的不足,提出一种基于二叉排序树的CRL方案。通过分析表明,该方案与传统CRL相比,能够减少证书用户查找撤销证书的平均查询次数,克服了顺序CRL在更新时移动记录的缺点,优化了系统性能,且方案易于实现。     

公钥基础设施中证书撤销机制的研究与改进

从证书序列号出发,引用位标识指针将证书序列号缩减,以减少证书撤销列表（Certificate Revocation List,CRL）所需空间,提高CRL的查询速度,并成功构造了一棵新型撤销证书查询树。该树既继承了证书撤销树（Certificate Revocation Tree,CRT)证明一个证书的状态(是否被吊销)不需要整个CRT,而只与其中部分相关路径有关的优点,又克服了CRT在更新时几乎需要对整个树重新计算的缺点。该树在更新时仅需计算相关部分路径的数值,加速了撤销树的更新速度。     

基于OCSP方式的证书撤销策略

阐述了在线证书状态协议(OCSP)方式的证书撤销机制的原理,针对单服务员模式建立了一个策略评估模型。该模型基于排队理论对系统机制进行了简化和抽象,通过该模型对OCSP方式的证书撤销策略进行评价,结合模型对影响系统的排队时间、网络带宽、验证速度等相关参数进行了讨论,分析了机制中的多服务员模型。     

基于二叉树的证书撤消管理

提出了一种基于二叉搜索树的证书撤消管理方案。不但大大减少了更新撤消列表和查询撤消列表过程中的通信量，改善了撤销列表管理的效率；而且加快撤消列表的更新周期不会引起通信量的快速增加，适合要求撤消列表快速更新场合。方案使用了排序的二叉树以及散列运算，实现简单。     

PKI证书的撤销与验证

随着电子商务公司越来越多地使用数字证书 (由认证中心签发的电子身份证 )来保证在线交易的安全性 ,这一行为引发了对另一种安全性的需要 ,即对数字证书的有效性进行验证。因此 ,CA认证的一个重要操作就是验证用户的证书是否被撤销或者挂起。证书的撤销采用证书撤销列表 ,而用于验证证书状态的机制一般使用轻型目录存取协议或者在线证书状态协议。简要介绍了证书撤销列表以及基于轻型目录存取协议的目录服务机制 ,而重点讨论了基于在线证书状态协议的目录服务 ,并例举了一个在线证书状态协议的实际应用。