基于P2P技術的網格證書撤銷方案研究
2014-08-04 19:02:00牛永新
中國新通信 2014年10期
牛永新
【摘要】 本文提出了基于P2P技術的證書撤銷列表方案,將當今比較成熟的P2P技術引入證書撤銷機制中,將增量證書撤銷列表和分段證書撤銷列表兩方案結合使用來解決因大量被撤銷的證書造成CA中證書撤銷列表龐大和訪問不及時等問題。
【關鍵詞】 P2P 網格 證書撤銷列表
一、基于P2P技術的網格證書撤銷方案的工作原理
由于證書撤銷列表(CRL)和基于證書撤銷列表的幾種改進的方案本身的不足,提出了基于P2P技術的網格證書撤銷方案。下面對此方案進行介紹。
本方案采用P2P技術模型,總的認證中心CA負責給每個結點CAi發送證書撤銷列表CRL。它的發送方式采用分段證書撤銷列表。這種證書撤銷列表方案可以使每個CAi結點及時、有效的下載自己所需要的證書撤銷列表,并且能使每個CAi結點的證書撤銷列表容量達到比較小。
每個CAi結點向終端發送證書撤銷列表采用增量證書撤銷列表模型。增量模型的優點是當終端向CA認證中心請求查找證書時,得到的證書信息及時,但它的缺點是由于終端不斷向認證中心CA請求更換證書撤銷列表使得認證中心CA的負擔過重。采用本方案這可以使每個CAi結點的證書撤銷列表是最及時的。并且因為CAi結點相對于向每個CAi結點請求查找證書的終端來說還是比較少的,這可以有效的減少總的認證中心CA的負擔。
如果一個網格終端A想要查找網格證書是否過期,它應該按如下方案進行:網格終端A應向本終端對應網格節點CA1申請查找,終端節點CA1同意后,A在CA1的CRL片段中查找。如果找到了,則認為該網格證書已撤銷;如果沒有找到,向CA中心發出申請,CA對網格中的各個節點逐一查詢。假若CA2空閑,則網格終端A向CA2申請查找,CA2應答后,則查找CA2中的CRL片段,如找到則認為網格證書已撤銷,否則,再向CA中心發出申請進行查找。
二、基于P2P技術的網格證書撤銷方案的框架
基于P2P技術的證書撤銷方案的框架有3個部分組成:存在于網格中的終端;網格中的各個CA節點,負責連結各個終端;一個總的CA。
三、基于P2P技術的網格證書撤銷方案與現有的證書撤銷方案的比較
證書撤銷方案比較見表1。根據表1的數據可以分析出:(1)增量證書撤銷列表的缺點是:峰值請求時需要的帶寬容量大。優點是下載的CRL尺寸小,風險小。(2)分段證書撤銷列表的缺點是:風險高,需要下載的CRL尺寸大。優點是:峰值請求時需要的帶寬容量小。
四、仿真實驗
在一個大規模PKI環境中,N=300,000,v=10,P=0.1,其中CA的發布周期為1天,Delta-CRL每隔30min發布1次,將CRL分為4段發布,用matlab做相關的仿真實驗,得到表2。由表2數據可得知:在P2P環境中,網格證書的撤銷請求率是隨時間的增長而下降的。節點所需下載的證書撤銷列表的容量與某段時間的證書撤銷的數量有關。
五、本章小結
本研究方案通過引進P2P技術,將增量證書撤銷列表方案與分段證書撤銷列表方案完美結合,使得它們都能更有效的發揮其優勢,互相彌補其自身存在的不足,構成較優方案。
參 考 文 獻
[1] 李政文. 信息安全理論與技術[M]. 北京:人民郵電出版社,2003
[2] 郭麗,楊振啟. P2P技術原理及安全性問題淺析[J]. 網絡安全與技術運用,2005,6
【摘要】 本文提出了基于P2P技術的證書撤銷列表方案,將當今比較成熟的P2P技術引入證書撤銷機制中,將增量證書撤銷列表和分段證書撤銷列表兩方案結合使用來解決因大量被撤銷的證書造成CA中證書撤銷列表龐大和訪問不及時等問題。
【關鍵詞】 P2P 網格 證書撤銷列表
一、基于P2P技術的網格證書撤銷方案的工作原理
由于證書撤銷列表(CRL)和基于證書撤銷列表的幾種改進的方案本身的不足,提出了基于P2P技術的網格證書撤銷方案。下面對此方案進行介紹。
本方案采用P2P技術模型,總的認證中心CA負責給每個結點CAi發送證書撤銷列表CRL。它的發送方式采用分段證書撤銷列表。這種證書撤銷列表方案可以使每個CAi結點及時、有效的下載自己所需要的證書撤銷列表,并且能使每個CAi結點的證書撤銷列表容量達到比較小。
每個CAi結點向終端發送證書撤銷列表采用增量證書撤銷列表模型。增量模型的優點是當終端向CA認證中心請求查找證書時,得到的證書信息及時,但它的缺點是由于終端不斷向認證中心CA請求更換證書撤銷列表使得認證中心CA的負擔過重。采用本方案這可以使每個CAi結點的證書撤銷列表是最及時的。并且因為CAi結點相對于向每個CAi結點請求查找證書的終端來說還是比較少的,這可以有效的減少總的認證中心CA的負擔。
如果一個網格終端A想要查找網格證書是否過期,它應該按如下方案進行:網格終端A應向本終端對應網格節點CA1申請查找,終端節點CA1同意后,A在CA1的CRL片段中查找。如果找到了,則認為該網格證書已撤銷;如果沒有找到,向CA中心發出申請,CA對網格中的各個節點逐一查詢。假若CA2空閑,則網格終端A向CA2申請查找,CA2應答后,則查找CA2中的CRL片段,如找到則認為網格證書已撤銷,否則,再向CA中心發出申請進行查找。
二、基于P2P技術的網格證書撤銷方案的框架
基于P2P技術的證書撤銷方案的框架有3個部分組成:存在于網格中的終端;網格中的各個CA節點,負責連結各個終端;一個總的CA。
三、基于P2P技術的網格證書撤銷方案與現有的證書撤銷方案的比較
證書撤銷方案比較見表1。根據表1的數據可以分析出:(1)增量證書撤銷列表的缺點是:峰值請求時需要的帶寬容量大。優點是下載的CRL尺寸小,風險小。(2)分段證書撤銷列表的缺點是:風險高,需要下載的CRL尺寸大。優點是:峰值請求時需要的帶寬容量小。
四、仿真實驗
在一個大規模PKI環境中,N=300,000,v=10,P=0.1,其中CA的發布周期為1天,Delta-CRL每隔30min發布1次,將CRL分為4段發布,用matlab做相關的仿真實驗,得到表2。由表2數據可得知:在P2P環境中,網格證書的撤銷請求率是隨時間的增長而下降的。節點所需下載的證書撤銷列表的容量與某段時間的證書撤銷的數量有關。
五、本章小結
本研究方案通過引進P2P技術,將增量證書撤銷列表方案與分段證書撤銷列表方案完美結合,使得它們都能更有效的發揮其優勢,互相彌補其自身存在的不足,構成較優方案。
參 考 文 獻
[1] 李政文. 信息安全理論與技術[M]. 北京:人民郵電出版社,2003
[2] 郭麗,楊振啟. P2P技術原理及安全性問題淺析[J]. 網絡安全與技術運用,2005,6
【摘要】 本文提出了基于P2P技術的證書撤銷列表方案,將當今比較成熟的P2P技術引入證書撤銷機制中,將增量證書撤銷列表和分段證書撤銷列表兩方案結合使用來解決因大量被撤銷的證書造成CA中證書撤銷列表龐大和訪問不及時等問題。
【關鍵詞】 P2P 網格 證書撤銷列表
一、基于P2P技術的網格證書撤銷方案的工作原理
由于證書撤銷列表(CRL)和基于證書撤銷列表的幾種改進的方案本身的不足,提出了基于P2P技術的網格證書撤銷方案。下面對此方案進行介紹。
本方案采用P2P技術模型,總的認證中心CA負責給每個結點CAi發送證書撤銷列表CRL。它的發送方式采用分段證書撤銷列表。這種證書撤銷列表方案可以使每個CAi結點及時、有效的下載自己所需要的證書撤銷列表,并且能使每個CAi結點的證書撤銷列表容量達到比較小。
每個CAi結點向終端發送證書撤銷列表采用增量證書撤銷列表模型。增量模型的優點是當終端向CA認證中心請求查找證書時,得到的證書信息及時,但它的缺點是由于終端不斷向認證中心CA請求更換證書撤銷列表使得認證中心CA的負擔過重。采用本方案這可以使每個CAi結點的證書撤銷列表是最及時的。并且因為CAi結點相對于向每個CAi結點請求查找證書的終端來說還是比較少的,這可以有效的減少總的認證中心CA的負擔。
如果一個網格終端A想要查找網格證書是否過期,它應該按如下方案進行:網格終端A應向本終端對應網格節點CA1申請查找,終端節點CA1同意后,A在CA1的CRL片段中查找。如果找到了,則認為該網格證書已撤銷;如果沒有找到,向CA中心發出申請,CA對網格中的各個節點逐一查詢。假若CA2空閑,則網格終端A向CA2申請查找,CA2應答后,則查找CA2中的CRL片段,如找到則認為網格證書已撤銷,否則,再向CA中心發出申請進行查找。
二、基于P2P技術的網格證書撤銷方案的框架
基于P2P技術的證書撤銷方案的框架有3個部分組成:存在于網格中的終端;網格中的各個CA節點,負責連結各個終端;一個總的CA。
三、基于P2P技術的網格證書撤銷方案與現有的證書撤銷方案的比較
證書撤銷方案比較見表1。根據表1的數據可以分析出:(1)增量證書撤銷列表的缺點是:峰值請求時需要的帶寬容量大。優點是下載的CRL尺寸小,風險小。(2)分段證書撤銷列表的缺點是:風險高,需要下載的CRL尺寸大。優點是:峰值請求時需要的帶寬容量小。
四、仿真實驗
在一個大規模PKI環境中,N=300,000,v=10,P=0.1,其中CA的發布周期為1天,Delta-CRL每隔30min發布1次,將CRL分為4段發布,用matlab做相關的仿真實驗,得到表2。由表2數據可得知:在P2P環境中,網格證書的撤銷請求率是隨時間的增長而下降的。節點所需下載的證書撤銷列表的容量與某段時間的證書撤銷的數量有關。
五、本章小結
本研究方案通過引進P2P技術,將增量證書撤銷列表方案與分段證書撤銷列表方案完美結合,使得它們都能更有效的發揮其優勢,互相彌補其自身存在的不足,構成較優方案。
參 考 文 獻
[1] 李政文. 信息安全理論與技術[M]. 北京:人民郵電出版社,2003
[2] 郭麗,楊振啟. P2P技術原理及安全性問題淺析[J]. 網絡安全與技術運用,2005,6
