对大规模PKI中CRL分发机制的分析和比较 被引量：7

1

作者 金晓耿 高百明 +1 位作者 吴承荣 张世永 《计算机工程》 CAS CSCD 北大核心 1999年第S1期175-178,共4页

CRL是PKI中处理证书撤销的最常用方法。通过分析X.509v1CRL存在的问题，提出了在大规模PKI中评价CRL分发机制的5个准则。一种好的分发机制应该尽可能减小信任方所需下载的CRL大小，降低CRL库的峰值负荷和/或平均负荷，减轻CRL的时间碎... CRL是PKI中处理证书撤销的最常用方法。通过分析X.509v1CRL存在的问题，提出了在大规模PKI中评价CRL分发机制的5个准则。一种好的分发机制应该尽可能减小信任方所需下载的CRL大小，降低CRL库的峰值负荷和/或平均负荷，减轻CRL的时间碎片问题，同时可以根据信任方的不同需求提供不同的服务，可以动态更新CRL的分割策略。如果还可以不对原客户端程序做很大改动，甚至不需要改动，那就更好了。另外利用这些评价准则，对当前主要的几种CRL分发机制的改进方法，包括CRL分发点、Delta－CRL、重叠发布CRL、最新撤销信息指针和重定向指针，详细地进行了分析和比较。 展开更多

关键词 作废证书列表(crl) crl分发机制 crl分发点 Delta-crl 重叠发布crl 最新撤销信息指针 重定向指针

在线阅读 下载PDF 职称材料

CRL增量-过量发布综合模型研究 被引量：10

2

作者 谭良 佘堃 周明天 《计算机科学》 CSCD 北大核心 2005年第4期133-136,139,共5页

针对当前PKI应用规模的变化,提出了一种新模型:增量-过量发布综合模型。该模型采用将Delta-CRLs的Base CRL过量发布来实现。通过比较表明,该方式既可以减小信任方下载的CRL大小,改善了响应时间,减少时间碎片;又可以降低对Base CRL峰值... 针对当前PKI应用规模的变化,提出了一种新模型:增量-过量发布综合模型。该模型采用将Delta-CRLs的Base CRL过量发布来实现。通过比较表明,该方式既可以减小信任方下载的CRL大小,改善了响应时间,减少时间碎片;又可以降低对Base CRL峰值请求率,从而降低对存储库的峰值带宽和平均负荷。文中同时指出,增量-过量发布综合模型优于传统模型和增量模型,但其发布性能依赖于PKI系统的证书有效期、证书吊销率、Delta CRL的颁发周期和时间跨度。Delta CRL的颁发周期越长,时间跨度越大,证书吊销率越高,证书有效期越短,过量发布Base CRL所带来的性能优化就越小。因此,增量-过量模型适合于在Delta CRL的颁发周期和时间跨度较短、证书吊销率不高、证书有效期较长的大型PKI系统中。 展开更多

关键词 证书撤消列表 过量发布 证书吊销率 时间跨度 证书有效期 PKI

在线阅读 下载PDF 职称材料

基于CRL的证书状态信息发布机制的研究 被引量：3

3

作者 冯军 熊杰颖 周明天 《计算机应用》 CSCD 北大核心 2003年第8期81-83,86,共4页

随着数字证书不断的被接受和使用,人们从中获得了更大的动力寻找各种方法来撤销已停止使用的数字证书,并及时通知终端用户,避免他们使用已被撤销的证书。证书撤销的问题在广域网的PKI产品开发中愈加显得关键。文中阐述了证书撤销的需求... 随着数字证书不断的被接受和使用,人们从中获得了更大的动力寻找各种方法来撤销已停止使用的数字证书,并及时通知终端用户,避免他们使用已被撤销的证书。证书撤销的问题在广域网的PKI产品开发中愈加显得关键。文中阐述了证书撤销的需求与重要性,分析了目前被采用的各种基于CRL的证书状态信息发布机制,并着重讨论了MYPKI中DeltaCRL的实现。 展开更多

关键词 证书撤销列表(crl) 信息安全 PKI

在线阅读 下载PDF 职称材料

基于增量CRL证书撤销机制的改进 被引量：1

4

作者 李国敬 温涛 《广西师范大学学报（自然科学版）》 CAS 北大核心 2008年第4期75-77,共3页

文章提出了改进的增量CRL机制,在Delta-CRL的发布周期内,CA发布Base-CRL和Delta-CRL,用户除初始化外,其他时刻只下载Delta-CRL即可,可在客户端重构完整的CRL。与传统增量CRL相比,能够有效减少CRL的下载尺寸,降低通信载荷,提供更为及时... 文章提出了改进的增量CRL机制,在Delta-CRL的发布周期内,CA发布Base-CRL和Delta-CRL,用户除初始化外,其他时刻只下载Delta-CRL即可,可在客户端重构完整的CRL。与传统增量CRL相比,能够有效减少CRL的下载尺寸,降低通信载荷,提供更为及时的证书撤销信息,而不会增加平均请求率。 展开更多

关键词 公钥基础设施(PKI) 证书撤销列表(crl) 基准crl 增量crl

在线阅读 下载PDF 职称材料

基于P2P网络的Over-Issued CRL机制研究 被引量：1

5

作者 邱钊 陈明锐 《计算机工程与应用》 CSCD 北大核心 2011年第1期80-82,88,共4页

目前关于公钥基础设施(public key infrastructure)中证书撤销问题的主要解决方案是使用X.509证书撤销列表(Certifi-cate Revocation List)来定期发布证书状态信息。现有的发布机制存在CRL存储库峰值负荷过重,导致PKI部署成本过高的问... 目前关于公钥基础设施(public key infrastructure)中证书撤销问题的主要解决方案是使用X.509证书撤销列表(Certifi-cate Revocation List)来定期发布证书状态信息。现有的发布机制存在CRL存储库峰值负荷过重,导致PKI部署成本过高的问题。通过对Over-Issued CRL模型和P2P技术的分析,给出一种基于P2P网络和Over-Issued CRL发布机制,它结合了上述两种技术的优点,有效降低了CRL存储库峰值负荷。 展开更多

关键词 证书撤销列表 公钥基础设施 过量发布证书撤消列表

在线阅读 下载PDF 职称材料

基于Over-Issued CRL机制证书状态信息分发方法研究

6

作者 刘小红 蒋兴浩 +1 位作者 汤劲松 陈抗生 《浙江大学学报（工学版）》 EI CAS CSCD 北大核心 2002年第2期224-227,共4页

商用 CA或 PKI系统中主要使用定期颁布证书撤消列表 (CRL )来分发证书状态信息 ,但现有方法主要侧重于对 CRL的时间和空间特性改进 ,而对存储库性能的优化 ,尤其是如何有效降低存储库峰值负荷方面仍有一些未解决的问题 .本文通过对现有... 商用 CA或 PKI系统中主要使用定期颁布证书撤消列表 (CRL )来分发证书状态信息 ,但现有方法主要侧重于对 CRL的时间和空间特性改进 ,而对存储库性能的优化 ,尤其是如何有效降低存储库峰值负荷方面仍有一些未解决的问题 .本文通过对现有方法在存储库性能改进不力的分析 ,提出一个新的基于 Over- Issued CRL机制的证书状态信息分发方法 .它通过改变 Over- Issue发放的时间间隔 ,使得 CRL请求率大幅降低并迅速达到稳态 。 展开更多

关键词 证书撤消列表 公钥基础设施 峰值负荷 Over-Issued crl机制 证书状态信息分发 存储库 网络安全 PKI系统

在线阅读 下载PDF 职称材料

CRL的一种改进方案 被引量：3

7

作者 吴健 徐佑军 《计算机工程》 CAS CSCD 北大核心 2005年第16期137-138,共2页

提出了一种改进的CRL方案,通过对CRL结构的改进,大大减少了证书用户查找撤销证书的时间。方案使用的基于排序的折半查找算法比较成熟,整体方案易于实现。

关键词 公钥基础设施 证书撤销列表 折半查找

在线阅读 下载PDF 职称材料

基于CRL的证书撤销模型研究 被引量：1

8

作者 张瑞军 陈一周 邓辉 《计算机工程与设计》 CSCD 2003年第5期27-29,45,共4页

分析了应用证书撤销列表(CRL)发布公共密钥基础设施(PKI)证书状态信息的传统模型,并提出了两种改善的模型:过量发布CRL,模型和分段CRL模型。通过比较,改善后的模型相对于传统模型在一定程度上降低了CRL储存库峰值请求率,缩短了响应时间... 分析了应用证书撤销列表(CRL)发布公共密钥基础设施(PKI)证书状态信息的传统模型,并提出了两种改善的模型:过量发布CRL,模型和分段CRL模型。通过比较,改善后的模型相对于传统模型在一定程度上降低了CRL储存库峰值请求率,缩短了响应时间,使储存库在性能上有很大的提高。 展开更多

关键词 公共密钥基础设施 crl 证书撤销模型 证书撤销列表 信息安全

在线阅读 下载PDF 职称材料

一种基于分段的CRL改进方案 被引量：1

9

作者 郑志勇 余舟华 徐蕾 《计算机应用与软件》 CSCD 2009年第12期271-272,277,共3页

分析了有序顺序表和二叉排序树表的证书撤销列表方案的不足,提出了一种基于分段的证书撤销列表CRL(Certificate Revocation List)改进方案,给出了按撤销证书到期的时间间隔的分段策略,并对CRL结构进行了改进。通过分析表明,缩短了证书... 分析了有序顺序表和二叉排序树表的证书撤销列表方案的不足,提出了一种基于分段的证书撤销列表CRL(Certificate Revocation List)改进方案,给出了按撤销证书到期的时间间隔的分段策略,并对CRL结构进行了改进。通过分析表明,缩短了证书用户查找撤销证书的平均搜索长度,在CRL更新时,不但减少了其它已撤销证书的移动次数,而且还减少了CA对CRL重新签名的计算量。 展开更多

关键词 公钥基础设施 证书撤销列表 CA

在线阅读 下载PDF 职称材料

证书撤销机制的分析与设计 被引量：8

10

作者 王永静 谢冬青 陈华勇 《计算机应用研究》 CSCD 北大核心 2004年第9期147-149,共3页

证书撤销管理是大规模公钥基础设施PKI中十分重要且耗费最多的操作。分析了在PKI实施中应用的证书撤销机制,比较了证书撤销列表CRL、增量CRL、分段CRL与重复颁发CRL在峰值请求大小、网络带宽影响、用户查询代价等方面的性能,指出了各种... 证书撤销管理是大规模公钥基础设施PKI中十分重要且耗费最多的操作。分析了在PKI实施中应用的证书撤销机制,比较了证书撤销列表CRL、增量CRL、分段CRL与重复颁发CRL在峰值请求大小、网络带宽影响、用户查询代价等方面的性能,指出了各种机制的优缺点,最后对不同PKI规模中的证书撤销系统进行了设计和性能分析。 展开更多

关键词 PKI 证书注销 证书撤销列表

在线阅读 下载PDF 职称材料

PKI中的证书和发证机构 被引量：7

11

作者 金晓耿 郭巍 +1 位作者 金亿平 张世永 《计算机科学》 CSCD 北大核心 1999年第7期83-86,76,共5页

1 引言 Internet从诞生之日起就是一个开放的系统,把许许多多的计算机系统互联起来形成一个庞大的通信网络,但是这种开放性使得Internet中的信息很容易被拦截、监视和窜改,导致人们不愿意使用Internet交流一些敏感或机密信息,如商业信... 1 引言 Internet从诞生之日起就是一个开放的系统,把许许多多的计算机系统互联起来形成一个庞大的通信网络,但是这种开放性使得Internet中的信息很容易被拦截、监视和窜改,导致人们不愿意使用Internet交流一些敏感或机密信息,如商业信息等。这在一定程度上阻碍了Internet的发展进程。 Internet用户所面临的问题可以归为两大类:信息保密和身份验证。信息保密要求传送的信息在途中不得被修改,而身份验证要求通信的双方确认对方的身份。解决的方法之一是加密,确保信息的保密和安全;二是认证(certification),保证通信是在预期的两者之间进行。公钥加密机制非常适合于In- 展开更多

关键词 PKI 证书 发证机构 INTERNET网

在线阅读 下载PDF 职称材料

基于局部签名Hash表的证书撤销列表方案 被引量：3

12

作者 王政 赵明 +1 位作者 斯雪明 韩文报 《计算机工程》 CAS CSCD 北大核心 2009年第1期36-39,42,共5页

在大规模应用环境中,不合理的证书撤销方案会带来巨大的运算量和网络传输负担。该文分析几类主要的证书撤销列表(CRL)机制,提出PSHT-CRL方案,综合分段CRL、重定向CRL和重复颁发CRL方案的特点,采用Hash表、局部签名和链接等方法,在确保... 在大规模应用环境中,不合理的证书撤销方案会带来巨大的运算量和网络传输负担。该文分析几类主要的证书撤销列表(CRL)机制,提出PSHT-CRL方案,综合分段CRL、重定向CRL和重复颁发CRL方案的特点,采用Hash表、局部签名和链接等方法,在确保安全性的基础上,提高用户查询和证书更新时的效率,以解决其他证书撤销方案中遇到的问题。对PSHT-CRL方案的安全性和效率进行分析,与其他CRL方案作了比较。 展开更多

关键词 公钥基础设施 哈希表 公钥证书 证书撤销列表

在线阅读 下载PDF 职称材料

公钥证书撤消机制综述 被引量：4

13

作者 李新 张振涛 杨义先 《通信学报》 EI CSCD 北大核心 2003年第9期109-116,共8页

如何撤消证书一直是公钥基础设施(PKI)研究和应用中的一个难点问题。本文对目前应用和研究中的证书撤消机制进行了综述,详细描述了各种机制的工作原理,并对各种机制的优缺点进行了详细剖析。

关键词 公钥基础设施 认证中心 证书撤消 证书撤消列表 在线证书状态协议

在线阅读 下载PDF 职称材料

自根向下压缩的二叉排序证书吊销树方案 被引量：3

14

作者 贾续涵 王彩芬 +1 位作者 于成尊 刘军龙 《计算机工程》 CAS CSCD 北大核心 2007年第17期181-183,共3页

在二叉排序证书吊销树的基础上,利用了树中的叶子结点的空链域,在已有的树结构中毋需增加结点,就可建立一种新的线性表结构。树中结点信息采用"自根向下"压缩方法,将整个树的信息汇集到叶结点中,可信中心签名线性表最后一个... 在二叉排序证书吊销树的基础上,利用了树中的叶子结点的空链域,在已有的树结构中毋需增加结点,就可建立一种新的线性表结构。树中结点信息采用"自根向下"压缩方法,将整个树的信息汇集到叶结点中,可信中心签名线性表最后一个结点。在该CRT方案中,树结点发生变化后,毋需重新建立树,降低了维护代价,减少了名录服务器至查询者的通信代价。 展开更多

关键词 证书吊销 二叉排序树 签名 双向链表

在线阅读 下载PDF 职称材料

证书撤销机制的改进 被引量：4

15

作者 龚俭 刘建航 《计算机工程》 CAS CSCD 北大核心 1999年第S1期48-50,共3页

证书撤销机制是影响PKI服务可靠度的关键因素之一。针对制约CRL机制有效性的两个要素，提出了两种改进方案：CRL缓存服务用于降低证书验证所引起的全局流量；CRL分组用于减小CRL的长度。并以一些实例说明了改进后的CRL机制的工作过程。

关键词 公开密钥管理框架 X.509 证书 证书撤销 证书撤销列表 证书撤销列表分组

在线阅读 下载PDF 职称材料

园区网PKI的设计与实现 被引量：10

16

作者 李振民 赵锦蓉 《计算机工程与应用》 CSCD 北大核心 2002年第1期154-157,176,共5页

大多数的安全应用现在都引入公钥密码算法,而公钥密码算法需要公钥基础设施PKI来支持公钥的分发。该文提出一种适合于园区网的单CA多RA加交叉认证的PKI模型的设计及实现。为了研究公钥证书管理流程,引进了证书生命周期,并讨论了园区网... 大多数的安全应用现在都引入公钥密码算法,而公钥密码算法需要公钥基础设施PKI来支持公钥的分发。该文提出一种适合于园区网的单CA多RA加交叉认证的PKI模型的设计及实现。为了研究公钥证书管理流程,引进了证书生命周期,并讨论了园区网公钥管理中的交叉认证和证书撤销列表问题。 展开更多

关键词 公钥基础设施 证书 交叉认证 证书撤销列表

在线阅读 下载PDF 职称材料

一种新型的证书撤销列表 被引量：2

17

作者 牟颖 全太锋 袁丁 《计算机工程》 CAS CSCD 北大核心 2007年第12期169-171,共3页

对证书撤销机制进行了研究。指出基于有序顺序表的证书撤销列表方案的不足,提出一种基于二叉排序树的CRL方案。通过分析表明,该方案与传统CRL相比,能够减少证书用户查找撤销证书的平均查询次数,克服了顺序CRL在更新时移动记录的缺点,优... 对证书撤销机制进行了研究。指出基于有序顺序表的证书撤销列表方案的不足,提出一种基于二叉排序树的CRL方案。通过分析表明,该方案与传统CRL相比,能够减少证书用户查找撤销证书的平均查询次数,克服了顺序CRL在更新时移动记录的缺点,优化了系统性能,且方案易于实现。 展开更多

关键词 公钥基础设施 证书撤销列表 二叉排序树

在线阅读 下载PDF 职称材料

基于OCSP方式的证书撤销策略 被引量：1

18

作者 王福 谭成翔 刘欣 《计算机工程》 CAS CSCD 北大核心 2007年第15期144-146,共3页

阐述了在线证书状态协议(OCSP)方式的证书撤销机制的原理,针对单服务员模式建立了一个策略评估模型。该模型基于排队理论对系统机制进行了简化和抽象,通过该模型对OCSP方式的证书撤销策略进行评价,结合模型对影响系统的排队时间、网络... 阐述了在线证书状态协议(OCSP)方式的证书撤销机制的原理,针对单服务员模式建立了一个策略评估模型。该模型基于排队理论对系统机制进行了简化和抽象,通过该模型对OCSP方式的证书撤销策略进行评价,结合模型对影响系统的排队时间、网络带宽、验证速度等相关参数进行了讨论,分析了机制中的多服务员模型。 展开更多

关键词 在线证书状态协议 证书撤销列表 PKI 排队论

在线阅读 下载PDF 职称材料

一种对中间人攻击的防范策略的研究 被引量：3

19

作者 肖道举 郭杰 陈晓苏 《计算机工程与科学》 CSCD 2004年第9期7-8,15,共3页

本文针对目前出现的对PKI的中间人攻击 ,分析了PKI中的两种安全隐患 :如果客户端不能提供身份认证或者不能获得服务器证书的有效性检验 ,攻击者利用中间人攻击方法就可以完全偷听会话内容。文章还讨论了防范中间人攻击的策略 ,运用这种... 本文针对目前出现的对PKI的中间人攻击 ,分析了PKI中的两种安全隐患 :如果客户端不能提供身份认证或者不能获得服务器证书的有效性检验 ,攻击者利用中间人攻击方法就可以完全偷听会话内容。文章还讨论了防范中间人攻击的策略 ,运用这种防范策略可以达到有效地防止中间人攻击的目的 ;最后对防范策略作了安全性分析。 展开更多

关键词 PKI 安全隐患 防范策略 中间人攻击 公钥基础设施 消息鉴别码 证书撤消列表

在线阅读 下载PDF 职称材料

公钥基础设施CPKI系统的设计与实现 被引量：2

20

作者 陈波 宁洪 《计算机工程与科学》 CSCD 2002年第5期30-33,共4页

一个完善的PKI系统应该具有安全性、易用性、可扩展性和互操作性等性质。本文介绍了一个自主版权CPKI系统的体系结构 ,重点讨论了在该系统开发过程中怎样通过分层服务、双密钥对机制、自动CRL验证等技术来满足这些性质。

关键词 公钥基础设施 CPKI系统 证书作废列表 crl验证 网络安全

在线阅读 下载PDF 职称材料