基于P2P网络的Over-Issued CRL机制研究

目前关于公钥基础设施（public key infrastructure）中证书撤销问题的主要解决方案是使用X.509证书撤销列表（Certificate Revocation List）来定期发布证书状态信息。现有的发布机制存在CRL存储库峰值负荷过重,导致PKI部署成本过高的问题。通过对Over-Issued CRL模型和P2P技术的分析,给出一种基于P2P网络和Over-Issued CRL发布机制,它结合了上述两种技术的优点,有效降低了CRL存储库峰值负荷。     

分段CRL的一种改进方案

证书撤销列表（CRL）是公开密钥基础设施中应用最为广泛的一种证书撤销机制。通过对基本CRL及分段CRL的分析,在分段CPL的基础上,提出了二次分段CRL。对于分段CRL中的尺寸越来越大以至于影响性能的分段,二次分段CRL根据不同于第一次的分段标准对其进行再次分段,改善了分段CRL中由于证书分类不平衡导致的性能下降问题,同时采用将各分段错开更新的方案,降低了CRL的峰值请求率。二次分段CRL由于通信量小,峰值请求率低,可扩展性好,适合于大规模的PKI系统。     

CRL的一种改进方案

提出了一种改进的CRL方案,通过对CRL结构的改进,大大减少了证书用户查找撤销证书的时间。方案使用的基于排序的折半查找算法比较成熟,整体方案易于实现。     

一种基于分段的CRL改进方案

分析了有序顺序表和二叉排序树表的证书撤销列表方案的不足,提出了一种基于分段的证书撤销列表CRL（Certificate Revocation List）改进方案,给出了按撤销证书到期的时间间隔的分段策略,并对CRL结构进行了改进。通过分析表明,缩短了证书用户查找撤销证书的平均搜索长度,在CRL更新时,不但减少了其它已撤销证书的移动次数,而且还减少了CA对CRL重新签名的计算量。     

一种分布式的分段增量CRL机制

在分析分段增量CRL证书撤销机制的基础上,针对网络稳定性差、带宽有限的环境,提出了一种分布式的分段增量CRL机制。新机制能有效降低信任实体对CRL库的请求率、分散网络中CRL传输的数据流、保证用户及时获取最新的证书撤销信息,并且实现容易。     

CRL增量-过量发布综合模型研究

针对当前PKI应用规模的变化,提出了一种新模型：增量-过量发布综合模型。该模型采用将Delta-CRLs的Base CRL过量发布来实现。通过比较表明,该方式既可以减小信任方下载的CRL大小,改善了响应时间,减少时间碎片;又可以降低对Base CRL峰值请求率,从而降低对存储库的峰值带宽和平均负荷。文中同时指出,增量．过量发布综合模型优于传统模型和增量模型,但其发布性能依赖于PKI系统的证书有效期、证书吊销率、Delta CRL的颁发周期和时间跨度。Delta CRL的颁发周期越长,时间跨度越大,证书吊销率越高,证书有效期越短,过量发布Base CRL所带来的性能优化就越小。因此,增量-过量模型适合于在Delta CRL的颁发周期和时间跨度较短、证书吊销率不高、证书有效期较长的大型PKI系统中。     

PKI中增量CRL证书撤销机制的改进

公开密钥基础设施是网络安全建设的基础与核心,CRL技术在其中起重要作用,增量CRL机制在发布频率、时延性、风险性等方面有优势,但也有一些缺陷.本文提出了一种改进增量CRL机制,可有效降低下载量、减小峰值请求率.     

基于CRL的证书状态信息发布机制的研究

随着数字证书不断的被接受和使用，人们从中获得了更大的动力寻找各种方法来撤销已停止使用的数字证书，并及时通知终端用户，避免他们使用已被撤销的证书。证书撤销的问题在广域网的PKI产品开发中愈加显得关键。文中阐述了证书撤销的需求与重要性，分析了目前被采用的各种基于CRL的证书状态信息发布机制，并着重讨论了MYPKI中Delta CRL的实现。     

基于Over-Issued增量CRL发布机制的研究

目前关于公钥基础设施（public key infrastructure）中证书撤销问题的主要解决方案是使用X．509证书撤销列表（CRL）来定期发布证书状态信息;现有的发布机制主要针对提高处理时间,而对存储库性能的优化仍然存在一些问题——CRL存储库峰值负荷过大;通过对增量CRL和Over—Issued CRL模型的分析,给出了一种基于Over—Issued增量CRL机制的证书状态信息发布方法;它结合了上述两种模型的优点,通过改变Over- IssuedCRL发布的时间间隔和增量CRL发布窗口大小,有效降低了存储库峰值负荷。     

一种基于RSA的群签名方案

现存的群签名方案要么不考虑群成员的废除问题,要么存在计算量与被废除成员线性相关的缺点,是低效的,要么是不安全的.考虑到RSA是应用最广泛的公钥密码体制之一,首次基于RSA设计出一种群签名方案.新方案在不改变其他有效群成员的密钥的情况下,可以安全地增加或撤消群成员;可以高效地实现成员的增加或撤消;可以适合大的群体使用;具有基于大数分解困难性的安全性.     

一个JXTA网络搜索机制的改进方案

JXTA技术致力于创建一个通用的P2P开发平台。针对JXTA网络中对RPV的组织的不完善和搜索机制存在的缺陷,文章通过引进组外RPV点,用一种三层结构的模型来改进RPV,提出利用节点优先级别来加快搜索速度的方案。最后给出了新的搜索机制。     

一种改进的对等网络信任模型

现有的基于信誉的信任模型虽然考虑了节点在不同方面的信誉度不同,但是没有考虑在内容方面的差异。本文在现有信任模型TBRM的基础上进行改进,通过引入二维矩阵细化信任因素,并利用惩罚因子加大近期表现持续低靡的节点的惩罚力度。另外,信誉链的建立可以快速找到高质量的节点。     

一种基于非结构化对等网络的改进搜索算法

目前非结构化的P2P网络系统中,一般以广播方式作为其搜索的基本策略,引发较大的网络流量。因此,提出改进的搜索策略,根据历史查询记录,为每个节点建立朋友节点,同时又在搜索过程中把节点划分为超级节点和普通节点。实验表明改进算法提高了搜索效率,同时减少了网络信息流量。     

一种改良的CAN查询策略

CAN为一种具有可扩张性、失效恢复能力、完全自组织的一种P2P实现。但是由于其路由表的构造缺乏灵活性,结合物理拓扑的实现能力较弱。通过引入对其路由表及路由策略的改进,使之具有结合物理拓扑的实现能力,进而可以降低节点间通信的延时。     

基于代理部分盲签名的离线电子现金方案

代理盲签名结合了代理签名和盲签名的优点,在电子现金中广泛应用。但在大多数基于代理盲签名的电子现金系统中,电子现金的金额是不可见,而且恶意用户能伪造跟踪信息,因此不满足实用性和不可重复花费性。本文提出一个基于双线性对代理部分盲签名方案,其安全性可规约为Computational Diffie-Hellman(CDH)问题。在代理部分盲签名和知识签名的基础上,提出一个安全的电子现金方案,防止恶意用户伪造跟踪信息,实现电子现金重复花费检测。分析结果表明,该方案满足不可重复花费性、不可伪造性、匿名性和实用性。     

基于P2P技术的安全凭证回收方法

安全凭证回收的实现是公钥基础设施(PKI)所面临的一个主要的问题。许多种回收策略已经被提出,CRL是其中最简单,最容易实现的方法。但是如何有效地分布已经回收的安全凭证信息是这种方法所面临的一个挑战。论文提出利用P2P技术组织终端实体,并利用bloomfilter压缩向量代表安全凭证回收链CRL。通过实体间的协作和bloomfilter的压缩功能减少REPOSITORY和网络的负担。此外,为了有效地向终端实体发布CRL的bloomfilter压缩向量,提出一种高效的广播算法,在最小的TTL内尽量将向量广播到每一个节点。论文最后进行了模拟试验,实验证明提出的解决方案是有效的。     

对2-3树证书撤销方法的改进

2-3树的证书撤销方法在通信和计算开销上有很多优点,随着节点的增加,该方法也有一些不足,如调整树的计算开销就很高。用证书的生效时间计算出证书的剩余有效期,此时撤销证书集进行划分,每个子集建立一棵2-3树。我们称之为剩余有效期游标树,它降低了原来的树高。此外,对于撤销证书集里过期的证书,认证机构和目录不必进行删除操作,减小了通信和计算开销。     

一种基于智能卡的离线可分电子现金方案

具有无连接性的(N,K)支付法是一种重要的可分性解决方法.针对使用该方法的离线系统中存在的重复花费问题,提出了一种基于智能卡的离线可分电子现金方案.采用椭圆曲线密码体制,利用智能卡预先阻止和银行事后检测的双重保护机制,有效解决了重复花费问题.分析表明,该方案具有很好的安全性、可分性、不可连接性、公平匿名性和不可伪造性.