牛永新

【摘要】 本文提出了基于P2P技術(shù)的證書撤銷列表方案，將當今比較成熟的P2P技術(shù)引入證書撤銷機制中，將增量證書撤銷列表和分段證書撤銷列表兩方案結(jié)合使用來解決因大量被撤銷的證書造成CA中證書撤銷列表龐大和訪問不及時等問題。

【關(guān)鍵詞】 P2P 網(wǎng)格 證書撤銷列表

一、基于P2P技術(shù)的網(wǎng)格證書撤銷方案的工作原理

由于證書撤銷列表（CRL）和基于證書撤銷列表的幾種改進的方案本身的不足，提出了基于P2P技術(shù)的網(wǎng)格證書撤銷方案。下面對此方案進行介紹。

本方案采用P2P技術(shù)模型，總的認證中心CA負責給每個結(jié)點CAi發(fā)送證書撤銷列表CRL。它的發(fā)送方式采用分段證書撤銷列表。這種證書撤銷列表方案可以使每個CAi結(jié)點及時、有效的下載自己所需要的證書撤銷列表，并且能使每個CAi結(jié)點的證書撤銷列表容量達到比較小。

每個CAi結(jié)點向終端發(fā)送證書撤銷列表采用增量證書撤銷列表模型。增量模型的優(yōu)點是當終端向CA認證中心請求查找證書時，得到的證書信息及時，但它的缺點是由于終端不斷向認證中心CA請求更換證書撤銷列表使得認證中心CA的負擔過重。采用本方案這可以使每個CAi結(jié)點的證書撤銷列表是最及時的。并且因為CAi結(jié)點相對于向每個CAi結(jié)點請求查找證書的終端來說還是比較少的，這可以有效的減少總的認證中心CA的負擔。

如果一個網(wǎng)格終端A想要查找網(wǎng)格證書是否過期，它應該按如下方案進行：網(wǎng)格終端A應向本終端對應網(wǎng)格節(jié)點CA1申請查找，終端節(jié)點CA1同意后，A在CA1的CRL片段中查找。如果找到了，則認為該網(wǎng)格證書已撤銷；如果沒有找到，向CA中心發(fā)出申請，CA對網(wǎng)格中的各個節(jié)點逐一查詢。假若CA2空閑，則網(wǎng)格終端A向CA2申請查找，CA2應答后，則查找CA2中的CRL片段，如找到則認為網(wǎng)格證書已撤銷，否則，再向CA中心發(fā)出申請進行查找。

二、基于P2P技術(shù)的網(wǎng)格證書撤銷方案的框架

基于P2P技術(shù)的證書撤銷方案的框架有3個部分組成：存在于網(wǎng)格中的終端；網(wǎng)格中的各個CA節(jié)點，負責連結(jié)各個終端；一個總的CA。

三、基于P2P技術(shù)的網(wǎng)格證書撤銷方案與現(xiàn)有的證書撤銷方案的比較

證書撤銷方案比較見表1。根據(jù)表1的數(shù)據(jù)可以分析出：（1）增量證書撤銷列表的缺點是：峰值請求時需要的帶寬容量大。優(yōu)點是下載的CRL尺寸小，風險小。（2）分段證書撤銷列表的缺點是：風險高，需要下載的CRL尺寸大。優(yōu)點是：峰值請求時需要的帶寬容量小。

四、仿真實驗

在一個大規(guī)模PKI環(huán)境中，N=300，000，v=10，P=0.1，其中CA的發(fā)布周期為1天，Delta-CRL每隔30min發(fā)布1次，將CRL分為4段發(fā)布，用matlab做相關(guān)的仿真實驗，得到表2。由表2數(shù)據(jù)可得知：在P2P環(huán)境中，網(wǎng)格證書的撤銷請求率是隨時間的增長而下降的。節(jié)點所需下載的證書撤銷列表的容量與某段時間的證書撤銷的數(shù)量有關(guān)。

五、本章小結(jié)

本研究方案通過引進P2P技術(shù)，將增量證書撤銷列表方案與分段證書撤銷列表方案完美結(jié)合，使得它們都能更有效的發(fā)揮其優(yōu)勢，互相彌補其自身存在的不足，構(gòu)成較優(yōu)方案。

參 考 文 獻

[1] 李政文. 信息安全理論與技術(shù)[M]. 北京：人民郵電出版社，2003

[2] 郭麗，楊振啟. P2P技術(shù)原理及安全性問題淺析[J]. 網(wǎng)絡安全與技術(shù)運用，2005，6

【摘要】 本文提出了基于P2P技術(shù)的證書撤銷列表方案，將當今比較成熟的P2P技術(shù)引入證書撤銷機制中，將增量證書撤銷列表和分段證書撤銷列表兩方案結(jié)合使用來解決因大量被撤銷的證書造成CA中證書撤銷列表龐大和訪問不及時等問題。

【關(guān)鍵詞】 P2P 網(wǎng)格 證書撤銷列表

一、基于P2P技術(shù)的網(wǎng)格證書撤銷方案的工作原理

由于證書撤銷列表（CRL）和基于證書撤銷列表的幾種改進的方案本身的不足，提出了基于P2P技術(shù)的網(wǎng)格證書撤銷方案。下面對此方案進行介紹。

本方案采用P2P技術(shù)模型，總的認證中心CA負責給每個結(jié)點CAi發(fā)送證書撤銷列表CRL。它的發(fā)送方式采用分段證書撤銷列表。這種證書撤銷列表方案可以使每個CAi結(jié)點及時、有效的下載自己所需要的證書撤銷列表，并且能使每個CAi結(jié)點的證書撤銷列表容量達到比較小。

每個CAi結(jié)點向終端發(fā)送證書撤銷列表采用增量證書撤銷列表模型。增量模型的優(yōu)點是當終端向CA認證中心請求查找證書時，得到的證書信息及時，但它的缺點是由于終端不斷向認證中心CA請求更換證書撤銷列表使得認證中心CA的負擔過重。采用本方案這可以使每個CAi結(jié)點的證書撤銷列表是最及時的。并且因為CAi結(jié)點相對于向每個CAi結(jié)點請求查找證書的終端來說還是比較少的，這可以有效的減少總的認證中心CA的負擔。

如果一個網(wǎng)格終端A想要查找網(wǎng)格證書是否過期，它應該按如下方案進行：網(wǎng)格終端A應向本終端對應網(wǎng)格節(jié)點CA1申請查找，終端節(jié)點CA1同意后，A在CA1的CRL片段中查找。如果找到了，則認為該網(wǎng)格證書已撤銷；如果沒有找到，向CA中心發(fā)出申請，CA對網(wǎng)格中的各個節(jié)點逐一查詢。假若CA2空閑，則網(wǎng)格終端A向CA2申請查找，CA2應答后，則查找CA2中的CRL片段，如找到則認為網(wǎng)格證書已撤銷，否則，再向CA中心發(fā)出申請進行查找。

二、基于P2P技術(shù)的網(wǎng)格證書撤銷方案的框架

基于P2P技術(shù)的證書撤銷方案的框架有3個部分組成：存在于網(wǎng)格中的終端；網(wǎng)格中的各個CA節(jié)點，負責連結(jié)各個終端；一個總的CA。

三、基于P2P技術(shù)的網(wǎng)格證書撤銷方案與現(xiàn)有的證書撤銷方案的比較

證書撤銷方案比較見表1。根據(jù)表1的數(shù)據(jù)可以分析出：（1）增量證書撤銷列表的缺點是：峰值請求時需要的帶寬容量大。優(yōu)點是下載的CRL尺寸小，風險小。（2）分段證書撤銷列表的缺點是：風險高，需要下載的CRL尺寸大。優(yōu)點是：峰值請求時需要的帶寬容量小。

四、仿真實驗

在一個大規(guī)模PKI環(huán)境中，N=300，000，v=10，P=0.1，其中CA的發(fā)布周期為1天，Delta-CRL每隔30min發(fā)布1次，將CRL分為4段發(fā)布，用matlab做相關(guān)的仿真實驗，得到表2。由表2數(shù)據(jù)可得知：在P2P環(huán)境中，網(wǎng)格證書的撤銷請求率是隨時間的增長而下降的。節(jié)點所需下載的證書撤銷列表的容量與某段時間的證書撤銷的數(shù)量有關(guān)。

五、本章小結(jié)

本研究方案通過引進P2P技術(shù)，將增量證書撤銷列表方案與分段證書撤銷列表方案完美結(jié)合，使得它們都能更有效的發(fā)揮其優(yōu)勢，互相彌補其自身存在的不足，構(gòu)成較優(yōu)方案。

參 考 文 獻

[1] 李政文. 信息安全理論與技術(shù)[M]. 北京：人民郵電出版社，2003

[2] 郭麗，楊振啟. P2P技術(shù)原理及安全性問題淺析[J]. 網(wǎng)絡安全與技術(shù)運用，2005，6

【摘要】 本文提出了基于P2P技術(shù)的證書撤銷列表方案，將當今比較成熟的P2P技術(shù)引入證書撤銷機制中，將增量證書撤銷列表和分段證書撤銷列表兩方案結(jié)合使用來解決因大量被撤銷的證書造成CA中證書撤銷列表龐大和訪問不及時等問題。

【關(guān)鍵詞】 P2P 網(wǎng)格 證書撤銷列表

一、基于P2P技術(shù)的網(wǎng)格證書撤銷方案的工作原理

由于證書撤銷列表（CRL）和基于證書撤銷列表的幾種改進的方案本身的不足，提出了基于P2P技術(shù)的網(wǎng)格證書撤銷方案。下面對此方案進行介紹。

本方案采用P2P技術(shù)模型，總的認證中心CA負責給每個結(jié)點CAi發(fā)送證書撤銷列表CRL。它的發(fā)送方式采用分段證書撤銷列表。這種證書撤銷列表方案可以使每個CAi結(jié)點及時、有效的下載自己所需要的證書撤銷列表，并且能使每個CAi結(jié)點的證書撤銷列表容量達到比較小。

每個CAi結(jié)點向終端發(fā)送證書撤銷列表采用增量證書撤銷列表模型。增量模型的優(yōu)點是當終端向CA認證中心請求查找證書時，得到的證書信息及時，但它的缺點是由于終端不斷向認證中心CA請求更換證書撤銷列表使得認證中心CA的負擔過重。采用本方案這可以使每個CAi結(jié)點的證書撤銷列表是最及時的。并且因為CAi結(jié)點相對于向每個CAi結(jié)點請求查找證書的終端來說還是比較少的，這可以有效的減少總的認證中心CA的負擔。

如果一個網(wǎng)格終端A想要查找網(wǎng)格證書是否過期，它應該按如下方案進行：網(wǎng)格終端A應向本終端對應網(wǎng)格節(jié)點CA1申請查找，終端節(jié)點CA1同意后，A在CA1的CRL片段中查找。如果找到了，則認為該網(wǎng)格證書已撤銷；如果沒有找到，向CA中心發(fā)出申請，CA對網(wǎng)格中的各個節(jié)點逐一查詢。假若CA2空閑，則網(wǎng)格終端A向CA2申請查找，CA2應答后，則查找CA2中的CRL片段，如找到則認為網(wǎng)格證書已撤銷，否則，再向CA中心發(fā)出申請進行查找。

二、基于P2P技術(shù)的網(wǎng)格證書撤銷方案的框架

基于P2P技術(shù)的證書撤銷方案的框架有3個部分組成：存在于網(wǎng)格中的終端；網(wǎng)格中的各個CA節(jié)點，負責連結(jié)各個終端；一個總的CA。

三、基于P2P技術(shù)的網(wǎng)格證書撤銷方案與現(xiàn)有的證書撤銷方案的比較

證書撤銷方案比較見表1。根據(jù)表1的數(shù)據(jù)可以分析出：（1）增量證書撤銷列表的缺點是：峰值請求時需要的帶寬容量大。優(yōu)點是下載的CRL尺寸小，風險小。（2）分段證書撤銷列表的缺點是：風險高，需要下載的CRL尺寸大。優(yōu)點是：峰值請求時需要的帶寬容量小。

四、仿真實驗

在一個大規(guī)模PKI環(huán)境中，N=300，000，v=10，P=0.1，其中CA的發(fā)布周期為1天，Delta-CRL每隔30min發(fā)布1次，將CRL分為4段發(fā)布，用matlab做相關(guān)的仿真實驗，得到表2。由表2數(shù)據(jù)可得知：在P2P環(huán)境中，網(wǎng)格證書的撤銷請求率是隨時間的增長而下降的。節(jié)點所需下載的證書撤銷列表的容量與某段時間的證書撤銷的數(shù)量有關(guān)。

五、本章小結(jié)

本研究方案通過引進P2P技術(shù)，將增量證書撤銷列表方案與分段證書撤銷列表方案完美結(jié)合，使得它們都能更有效的發(fā)揮其優(yōu)勢，互相彌補其自身存在的不足，構(gòu)成較優(yōu)方案。

參 考 文 獻

[1] 李政文. 信息安全理論與技術(shù)[M]. 北京：人民郵電出版社，2003

[2] 郭麗，楊振啟. P2P技術(shù)原理及安全性問題淺析[J]. 網(wǎng)絡安全與技術(shù)運用，2005，6