信息安全中证书销机制的分析与研究.pdfVIP

信息安全中证书撤销机制的分析与研究 信息安全中证书撤销机制的分析与研究 摘要 一个设计良好的公钥体系(PKI)对实现电子商务安全，网络安全， 身份认证等至关重要。从公钥体系的概念被提出那天开始，它的发展 和应用就一直受到两个瓶颈问题的制约，其中一个就是本文要讨论的 证书撤销机制，另一个是对大规模CA的管理问题。 ～直以来，研究人员不但对已有的证书撤销机制作出各种各样的 改进，而且提出了很多新的构想。目前所有的证书撤销机制从概念上 大致可以分为三大类，分别是：基于CRL的证书撤销机制，在线证书 状态检查机制，采用精简数据结构的证书撤销机制。 在基于CRL的机制中，证书撤销信息的发布是通过定期发布经过 数字签名的，包含所有撤销信息的列表文件进行。对CRL机制最主要 的批评来源于它低下的性能。人们已经提出三种普适的方法和别的一 CRL 些技术来提高CRL机制的一般性能。比如，可以通过segmenting ofCRL来提高时效性；可 来提高可扩展性；可以通过发布delta．update 以通过使用over-issuing降低峰值请求率来提高性能。另外，还有几种 别的方法可以提高CRL机制的可管理性和性能。基于CRL的机制比 较灵活，信息明确度高，并且可以选用或同时使用几种CRL扩展。 采用在线撤销状态查询协议，终端用户可以针对特定的证书提出 撤销状态查询并得到包含所需信息的回答。这类协议的局限性在于他 们只提供一个实时的查询／回复机制，而不是一个完备的实时撤销机制。 这类协议必须配备有一个用于获取证书撤销信息的后台机制，这个后 台机制可能是一个基于CRL的机制。 基于精简数据结构的证书撤销机制发展得很快。这类机制以压缩 方式(比如哈希树)表示撤销信息，并试图向终端用户提供一个最小 的关于撤销状态的证明。这类机制的目的在于避免引入如OCSP和完 备撤销证书等带来的大运算负荷，同时避免引入如CRL等带来的通信 负荷。 现有各种证书撤销机制的特性差异很大。不同的环境对证书撤销机 制有不同的需求，所以期望存在一个普适的，最优的撤销机制是不现 实的。为了选择～个最优的证书撤销机制解决方案，需要考察不同的 机制，选择最适合的机制，或者选择几种机制的组合方案。 信息安全中证书撤销机制的分析与研究 本文将对目前国际上已经得到的研究成果进行介绍， 在何种情况下采用何种撤销机制提出自己的建议。 CertificateRevocation 关键字PKI CRLOCSPCRS 堡：垦窒全主壁兰燮塑塑型塑坌塑兰堕堑 CERTIFICATE OF ANDRESEARCH ANALySIS SECURITY ININFORMATION SCHEMES REVOCATION ABSTRACT A Public very to KeyInfrastructure(Prd)isimportant well—designed the ofelectronic implementationcommerce，network