分享到:

证书撤销机制的研究

作为一种普适性的信息安全基础平台,PKI技术近十年来发展迅猛,并在各领域得到了广泛的应用。证书撤销机制用于处理PKI中的证书状态问题,是PKI的一个基础性核心问题。因此,研究证书撤销机制不仅具有重要的理论意义,而且有实际的应用价值。本文对证书撤销机制进行深入的研究和讨论,取得了以下几方面的主要成果:对CRL、CRS、CRT和OCSP四种常见的撤销机制做了性能分析和可实施性研究。通过定性分析和定量比较给出了直观的性能分析结果,并从不同角度(及时性、可扩展性、安全性、标准兼容性和实现复杂性)进行了可实施性研究。在此基础上提出了在实际应用中选择合适的证书撤销机制应遵循的一般原则。基于Huffman编码的思想,提出了一种基于Huffman的证书撤销树(HCRT)。这种新方案能够使查询频繁的证书响应获得更短的证书验证路径,从而大大缩短了平均杂凑路径长度,优化了证书撤销系统的性能。由于H-CRT充分考虑了证书查询的分布,因而具有更强的应用价  (本文共73页) 本文目录 | 阅读全文>>

西安电子科技大学
西安电子科技大学

Ad Hoc密钥管理和证书撤销机制的研究

作为一种没有固定基础设施的无线网络,Ad Hoc网络在战场、紧急救援等场合具有得天独厚的优势。自上个世纪九十年代以来,Ad Hoc一直是无线通信、移动通信和网络安全学术界研究的热点之一。但是,由于其开放媒质、动态拓扑、分布式协作和受限能力等特点,Ad Hoc网络极易受到攻击。为了使其能够得到顺利实施,需要对其各个方面开展深入研究,其中为Ad Hoc网络提供安全服务就是主要研究内容之一。本文就Ad Hoc网络的密钥管理、证书撤销等方面做了具体的研究,研究成果如下:(1)提出了一种用于Ad Hoc网络的分布式证书撤销算法,该算法利用撤销状况权值记录矩阵A(T W)描述节点间的撤销关系和节点的可信度;通过权值迭代关系逐步实现网络运行过程中权值的不断变化;随着网络中各恶意节点被撤销,正常节点的权值得到恢复,非常适用于Ad Hoc网络。(2)提出了一种基于分布式CA认证模型的证书撤销方案,该方案使用单向哈希链实现节点指控消息的数据源认证,...  (本文共60页) 本文目录 | 阅读全文>>

湖南大学
湖南大学

PKI中证书撤销机制的研究

公钥基础设施PKI利用数字证书为网络安全交易提供基本保障。由于私钥泄露等原因证书可被提前撤销,在使用之前需验证证书状态。证书中心CA必须采用一种证书撤销机制,及时、安全发布证书状态信息。证书撤销机制是影响PKI大规模发展的关键因素,其耗费约占PKI总耗费的90%。本文综合分析了PKI中证书撤销机制,重点针对当前应用广泛的证书撤销列表CRL及增量CRL、分段CRL、重叠发布CRL,从峰值请求、峰值带宽、用户查询代价及风险方面进行了定量比较,指出了各种机制的局限性。基于整体性能进行优化,提出了一种重叠发布分段CRL证书撤销方案,该方案具有较好的可扩展性、及时性,能够根据PKI规模及应用需求灵活使用。证书撤销树是一种具有较好应用前景的证书撤销机制。与CRL相比,客户端下载代价较小,CA和证书撤销库之间更新少,但是撤销证书增加或删除时更新树的计算量大、对验证方存在欺骗、响应有效证书的通信代价较高。本文提出了一种基于动态数据结构的证书撤销...  (本文共63页) 本文目录 | 阅读全文>>

西安电子科技大学
西安电子科技大学

Ad Hoc网络中证书撤销列表的存储发布机制研究

移动Ad Hoc网络是一种自组织和自管理的网络,具有动态拓扑、多跳路由、分布式网络控制、移动终端功率受限等特点。它不依赖于任何已存在的网络设施,能够通过移动节点间的相互协作进行网络互联。由于Ad Hoc网络中的单独节点容易遭受攻击,导致单点失败,传统的基于一个中心实体的CA信任模型不再适用。为了增强Ad Hoc网络安全性,实现一种Ad Hoc网络的部分分布式CA密钥管理方案,论文对其中的CA证书与证书撤销列表(CRL)的存储发布机制进行了研究。首先对比分析了完全CRL,分段CRL,增量CRL,重复CRL和间接CRL等现有各种证书撤销机制性能,在此基础上提出了不完全的CRL广播机制和基于移动P2P的CRL更新方案;接着在Ad Hoc网络中引入LDAP服务器,负责证书查询和CRL发布,用于减小CA服务器负荷;最后设计并具体实现了LDAP服务器的软件模块。理论分析表明,提出的不完全CRL广播机制与传统的CRL广播机制相比,能够有效提高...  (本文共72页) 本文目录 | 阅读全文>>

中南大学
中南大学

基于PKI的PMI技术研究

PMI(Privilege Management Infrastructure)是权限管理基础设施或授权管理基础设施,它由属性证书、属性权威、属性证书库等组成,用来实现权限和证书的产生、管理、存储、分发和撤销等功能,以向用户和应用程序提供权限管理和授权服务为目标。本文针对PMI中的若干技术进行了研究。论文主要做了如下的工作:在详细分析证书后,提出和实现了以XML作为证书的表现形式。证书以XML作为表现形式可以简化互操作问题,可以直接利用XML的相关协议实现证书的交换等管理功能,简化证书解析接口。传统的属性证书中的属性都是不可变的,不能满足一些实际应用需要,例如,预交费信用卡需要在使用过程中周期性的更新信用卡的余额,电子商务中的个人信誉值也会随着交易的进行而变化。因此本文提出了属性可变的可变属性证书,可变属性证书包括了可以变化的属性和不可以变化的属性。当前应用最广泛的证书撤销机制:证书撤销列表(CRL)和在线证书状态查询协议(OC...  (本文共61页) 本文目录 | 阅读全文>>

西南交通大学
西南交通大学

公钥基础设施中证书撤销机制研究

公钥密码学的广泛应用使得公钥真实性的可验证性成为必要条件。而公钥基础设施(PKI)作为当前最为全面的信息安全解决方案,是利用证书机制来传递公钥间的相互信任的。于是,随着证书应用范围的扩大,在终端用户使用证书之前撤销已经失效的证书并且使用户得到最新的证书状态信息变得越来越重要。随着PKI系统规模的扩大,证书状态信息分发成为一个尤为关键的问题。本文的主要工作是对现有的证书状态信息分发机制做了一定的改进和优化。本文的工作主要是基于三个不同的证书撤销模型。首先,基于对窗口撤销机制性能、算法和不足的分析,本文提出了一个新的模型来确定方案中消除定时器的值。该模型的优势通过一个实例得以详细说明。然后,鉴于Over-Issued CRL模型的限制和缺陷,本文提出了两种新的改进措施。该措施不但能够满足证书撤销方案的灵活性,而且在必要的情况下能够提供较为真实的证书状态信息。最后,本文引入了一个基于排队理论的证书撤销模型,它能有效的降低存储库需要处理...  (本文共95页) 本文目录 | 阅读全文>>