信息安全中證書撤銷機制的分析與研究.pdf

1、一個設計良好的公鑰體系(PKI)對實現電子商務安全,網絡安全,身份認證等至關重要.從公鑰體系的概念被提出那天開始,它的發(fā)展和應用就一直受到兩個瓶頸問題的制約,其中一個就是該文要討論的證書撤銷機制,另一個是對大規(guī)模CA的管理問題.在基于CRL的機制中,證書撤銷信息的發(fā)布是通過定期發(fā)布經過數字簽名的,包含所有撤銷信息的列表文件進行.對CRL機制最主要的批評來源于它低下的性能.人們已經提出三種普適的方法和別的一些技術來提高CRL機制的一般性能

2、.比如,可以通過segmenting CRL來提高可擴展性;可以通過發(fā)布delta-update of CRL來提高時效性;可以通過使用over-issuing降低峰值請求率來提高性能.另外,還有幾種別的方法可以提高CRL機制的可管理性和性能.基于CRL的機制比較靈活,信息明確度高,并且可以選用或同時使用幾種CRL擴展.采用在線撤銷狀態(tài)查詢協議,終端用戶可以針對特定的證書提出撤銷狀態(tài)查詢并得到包含所需信息的回答.這類協議的局限性在于他們

3、只提供一個實時的查詢/回復機制,而不是一個完備的實時撤銷機制.這類協議必須配備有一個用于獲取證書撤銷信息的后臺機制,這個后臺機制可能是一個基于CRL的機制.基于精簡數據結構的證書撤銷機制發(fā)展得很快.這類機制以壓縮方式(比如哈希樹)表示撤銷信息,并試圖向終端用戶提供一個最小的關于撤銷狀態(tài)的證明.這類機制的目的在于避免引入如OCSP和完備撤銷證書等帶來的大運算負荷,同時避免引入如CRL等帶來的通信負荷.現有各種證書撤銷機制的特性差異很大.不