收藏 分享(赏)
下载资源 加入VIP,免费下载

基于over-issued增量crl发布机制的研究.doc

上传人:cjc2202537 文档编号:216811 上传时间:2018-03-24 格式:DOC 页数:11 大小:99.50KB
下载 相关 举报
基于over-issued增量crl发布机制的研究.doc_第1页
第1页 / 共11页
基于over-issued增量crl发布机制的研究.doc_第2页
第2页 / 共11页
基于over-issued增量crl发布机制的研究.doc_第3页
第3页 / 共11页
基于over-issued增量crl发布机制的研究.doc_第4页
第4页 / 共11页
基于over-issued增量crl发布机制的研究.doc_第5页
第5页 / 共11页
点击查看更多>>
资源描述

1、基于 Over-Issued 增量 CRL 发布机制的研究文章一号:16714598(200601-0114-03 中圈分类号:TP393 文献标识码:B基于 Over-Issued 增量 CRL 发布机制的研究刘强,杨伟,王闵(西安电子科技大学计算机学院,陕西西安 710071)摘要:目前关于公钥基础设施(publickeyinfrastructure)中证书撤销问题的主要解决方案是使用 X.509 证书撤销列表(CRL)来定期发布证书状态信息;现有的发布机制主要针对提高处理时间 ,而对存储库性能的优化仍然存在一些问题cRL 存储库峰值负荷过大;通过对增量 CRL 和 Over-Issued

2、CRL 模型的分析 ,给出了一种基于 Over-Issued 增量 CRL 机制的证书状态信息发布方法 I 它结合了上述两种模型的优点,通过改变 Over-IssuedCRL 发布的时间间隔和增量CRL 发布窗 121 大小,有效降低了存储库峰值负荷.关键词:证书撤销列表;增量 CRLOver-IssuedCRLI 峰值负荷Study0faDistributionApproachBasedonoverIssuedDeltaCRLMechanismIiuQiang,YangWei,WangMin(DepartmentofComputer,XidianUniversity,Xian710071,C

3、hina)AbstractlAtpresent,themainsolutionschemeinpublickeyinfrastructureofcertificaterevocationproblemistouseX.509certificaterev.cationlist.CertificaterevocationlistismainlyusedtodistributecertificatestatusinformationinPKIsystems.Theexistingmethodsputemphasismainlyontheimprovementofprocessingtime,butt

4、herearesomeunsolvedproblemssuchashowtooptimizetherepositoryperformance-peakloadsontheCRLrepositoriesistOOlarge.Byanalyzingtheabovemodel,anapproachtodistributecertificatestatusinformationisgivenbasedonOver-IssueddeltaCRL.Itincludestheadvantagesofabovetwomodels.ByadjustingthetimeintervaloftheOver 一 1s

5、suedCRLdistributionthepeakloadsontherepositoriesisreducedeffectively.KeyWOrdsIcertificaterevocationlistdeltaCRI;OverIssueddeltaCRLIpeakloads0 引言在 1994 年,由 MITRE 公司提供的一份报告中指出 :“证书状态信息发布很有可能是大规模 PKI 系统实施中耗费成本最高的方面“【1. 自消息发布之日起,许多证书状态发布机制被提出来.目前,公认的证书状态信息发布机制主要有基于证书撤销列表(CRL)和基于在线证书状态响应协议(OCSP)两种.x.509

6、要求 CRI 作为撤销通知方案,CRL 最简单的形式是一个拥有证书序列号标识的已撤销证书列表的容器.本文主要讨论基于 CRL 机制下的传统增量 CRL 发布模型.通过将传统的增量 CRL 改进为 OverIssued 增量CRLE,验证了新的证书状态信息发布方法,该方法有效降低了 CRL 存储库的峰值负荷.1 传统增量 CRLcRL 是一个随时间增长而增长的顺序文件,随着 PKI 系统 L3 规模的增大,其缺点也日益显现出来:首先,撤销信息必须在颁发证书的整个生命周期中存在,CRL 会随着撤销信息的增加而变得非常庞大;其次,随着 CRL 的增加,CRL 的验证周期也会变得很长,经常连续下载最新

7、的 CRL,将会造成网络资源的浪费,增加 CA 服务器的负担.根据 David 对存储库 CRL 请求率随时间变化规律的分析:在新的 CRL 发布后,信任方对存储库 CRL 请求满足指数分布收稿日期:20050420;修回日期:20050531.作者简介:刘强(1981 一), 男 ,天津市人,硕士研究生,主要从事信息安全与媒体信息处理方向的研究规律.假设只有一个新的 CRL 发布的O,)时间内,信任方不执行验证的概率为 e,在时间间隔,f+at3 内信任方的请求次数为;.At.即对多个信任方 CRL 的请求率(请求次数/ 请求时间) 满足 :R()一 Ne 一“(1)式中:R 代表请求率,N

8、 代表信任方数目,代表验证率.t*拯r|,l一一卜t/h图 1 现有的 CRL 请求卑假设:N 一 3X10.,一 1O 个/h,E0,243.图 1 显示了没有其它 CRL 发布时 CRL 请求率满足上述规律的分布情况.可以看出:在新的 CRL 发布时请求率最高,CRL 存储库负荷最大,随后呈指数规律下降,如果 CRL 有效期较长,则在相当长的一段时间内 CRL 存储库无人访问.在图 1 中,新的CRI 发布后的请求率为 34.72 个/s,12h 后降为 0.24 个/s 请求,24h 后降为 1.6Xi0 个/s.为了弥补 CRL 存储库在刚发布时峰值负荷过大,人们提出了增量 CRL:只

9、产生证书撤销信息的增加部分的相关信息.第 1 期刘强,等:基于 OverIssued 增量 CRL 发布机制的研究 ?115?最初,在一个规划周期的基础上,公布一个包含所有已知撤销通知的全部的 CRI(称为基准 CRL),之后就可以通过增量CRI 来维护一个精确的 CRL.通常,当信任方第一次从存储库中下载基准 CRL 后就需要验证增量 CRL 与基准 CRL 同时发布时,我们称之为“同步“ 间隔 ,否则为 “异步“间隔.对基准 CRL 的请求率由这两个对立的间隔决定:假设在时刻 t 发布基准 CRL,T 为基准 CRL 发布的单位时间间隔.如果 t 在“同步“ 问隔内,信任方在 T 内不执行

10、验证的概率为:e,再由式(1)可知,基准 CRL 的请求率为:R()=R()XeNve 件(2)否则,在时刻 t,信任方在取得最新的基准 CRL 后执行第一次验证,这时请求率同传统 CRI 发布相同.R()=Nve 一“(3)图 2 显示了在上述假设条件下,增量 CRL 的分布情况.其中,增量 CRI 的发布间隔为 10min,T=4h,图 2 中.基准 CRL 请求率由原来的 34.72 个/s 降为 32.393 个 /s,在“ 同步“ 时间间隔内增量 CRI 对存储库请求率为 6.54 个 /s.比较上述两种模型发现:虽然增量 CRL 在“ 同步“时间间隔能够降低存储库的峰值负荷,但随着

11、增量 CRL 与基准 CRI 发布时间的异步,并没有有效的减轻 CRL 存储库的承受负荷; 而在“异步 “时刻,增量 CRL 的发布满足式(3),无论如何改变增量 CRL 的发布周期,其最大请求率是不变的.,0.,1b 眦lltacCR|LRLI,.卜,一一鼍:图 2 增量 CRL 请求率模型2 基于 0verIssuedCRL 的分析由图 1 可知,不同的信任方相互独立,在同一时间请求CRI,势必会增加存储库的负荷.因此,降低存储库峰值的一种方法是展开 CRI,让信任方本地缓存中 CRI 在不同时间内失效,使相互独立的信任方在不同时段内访问存储库.基于上述思路,David 提出了 OverI

12、ssuedCRI 模型:CA 在发布一个 CRL 后,在 CRL 有效期内按照小于有效期间隔继续发布新的 CRI,.这样,不同信任方可以在 CRL 有效期内的不同时间获得 CRL,降低了存储库负荷.下面我们给出 OverIssuedCRL 模型,假设 CRL 有效期为=24h, 为在有效期内 CRI 的发布次数,为任意两次CRL 发布的时间间隔(i 一 1,2,3.).P 为信任方在任意时间间隔内证书验证几率;P 为信任方在第个区问(时间间隔为,)内请求 CRL 的概率,P 取决于 Pz 和在信任方在前一 1 个时间间隔内没有获得 CRL 的概率,由文献2得到:,r1Pc.一 Pf(1:Pf)

13、(4)当系统达到稳定状态,信任方在任意时间间隔 fI 内请求CRI 的几率相同,即 Pr=PP 一 1=P 一 2 一,因此,系统在稳定状态下有:PfPr1 一( 一 1)Pr(5)由式(5)得到 P=(6)由文献23 可知,在时间 ,+ 内信任方从存储库中申请 CRL 的请求次数为:=(7)请求率为请求次数除以时间,即:氏(f)(8)又.Pr 一 1 一 e 一 1 一 P 一,g 为信任方在O,t时间内没有执行验证的概率,代人式(8)得:任意时间间隔l 内,t 时刻存储库承受的 CRL 请求率为:氏一(9)通常来讲,CRL 发布越频繁,CRL 请求越会被展开,CRL 存储库在峰值处的负荷也

14、越小.图 3 显示了在一 4 时CRL 请求率的分布情况.ll,:.?.,图 3Over-IssuedCRL 请求率分布由上述模型看出:与图 2 比较,当系统进入稳定状态后 ,基于 OverIssuedCRL 机制的存储库峰值为 9.25 个/s 请求,CRL 存储库峰值负荷明显减小.当 u 一.时,有:1:!竺 r1n,Illl.l(一 1)(18 一)+1 口 Z+1理论上,存储库的最小请求率为 3.157 个/s.缺点:虽然撤销信息量不变,但 CA 必须在开始时刻为每个 CRI 分布点发布更新过的 CRL,随着增加,CA 将更加频繁的在线发布 CRI.3 基于 0verIssued 增量

15、 CRL通过对上述两种模型的简要分析可知,提高 CRL 存储库性能要做到:降低 CRL 存储库峰值,使存储库在不同时段都接受信任方的请求;降低 CA 在线发布 CRL 的频率基于上述两点,本文给出一种基于 OverIssued 的增量 CRL|4 方法.首先,我们先定义滑动窗口的概念:增量 CRL 发布某一时间段内所有改变的证书状态信息,而这个特定的时间“窗口“, 我们称之为滑动窗口, 其最小不能小于增量 CRI 的有效期.或者说,其增量 CRL 的发布采用了 OverIssued 的机制:在重叠的增量 CRL 有效期内发布与其基准 CRL 相关的最新的增量 CRL.通过使不同的增量 CRL

16、在不同时段内失效,可以降低增量 CRL 的请求率.我们给出与图 2 对应的滑动窗口增量 CRL 的发布表,其滑动窗口的大小在 10min4h.注:eRLNumber 为 CRL 的发布标识号 ,thisUpdate 为此次发布时间,nextUpdate 为下次发布时间,BaseCRLNumber?116?计算机测量与控制第 1 期指向 eRLNumber袁 1 传统增量 CRLcRLNumber 基准 CRL 增量 CRLthisUpdate=00:00thisUpdate 一 00:OO1nextUpdate=00t10nextUpdate 一 04:OOBaseCRLNumber=1thi

17、sUpdate=00l102nextUpdate=00:2OBaseCRLNumber 一 1thisUpdate 一 04:00thisUpdate=04:OO25nextUpdate=04t10nextUpdate=08:00BaseCRLNumber=1thisUpdate=04l1026nextUpdate=04:20BaseCRLNumber=25与传统增量 CRL 机制相比,如果信任方最终获得新发布CRL 的时刻为 t,获得与基准 CRL 相关的增量 CRL 的时刻为ft,这时信任方可以在没有新的基准 CRL 的情况下根据增量CRL 更新本地的 CRL 缓存信任方既可以在有最新的增

18、量CRL 的进行验证,同时,又由于之前的增量 CRL 没有过期而继续使用,增强了实时撤销系统的灵活性.基于上述分析可知,OverIssued 增量 CRL 的请求率同OverIssuedCRL 请求率相同;一(1o)z 为增量 CRL 的有效期,t 为发布最新增量 CRL 的时刻,s 为滑动窗口大小,为在有效期内增量 CRL 的发布次数.而对基准 CRL 的请求率由信任方在任意一个时间间隔内对基准 CRL 的请求概率决定,执行验证的信任方在这个给定间隔内仅在它最后接收到更新的证书状态信息的时问超过增量CRL 的窗口大小时才会请求基准 CRL.一种可能是信任方在窗 I=l 内不执行任何验证 ;另

19、一种可能是信任方执行多次验证,但是所有验证用到的增量 CRL 是在被当前增量 CRL 覆盖掉的之前的增量 CRL.我们用 P 表示信任方对基准 CRL 的请求概率,为信任方对增量 CRL 的请求概率:一(1 一)+1 一(1 一)(1 一)衄 n)(11)由第 3 节可知:P 一 1 一 e,再由式(10)我们求得f/t/wPJRcTdIR 一=:l=:=2f12(一 1)(1 一 e-“/)+1将式(12)代入式 (11)得到:Rb(一 Ra(t)e-“+13)表 2 中,假设:增量 CRL 窗口 S 为 9h,硼一 4,有效期f 一 4h,每一小时发布一次,并由表 2 画出对应的图 4.我

20、们可以看出,在信任方对存储库的基准 CRL 请求率(其最大值表 2 基于 OverIssued 增量 CRLcRLNumber 基准 0 增量 CRLthisUpdateCO:00tsUpttam 一 00:001neUlxtate 一 01:00nextUIxtate 一 06:00l*CRUqumber=1thisUpdatc=01,O0tNsUIMate01l002nextUpdate=02InextUl:x:tate=07:00Basd:RIumber 一 2thisUpdate=02:thisUl:x:tate=o2t3ne,Ulxhte 一 03l00nextUIxtate=嘴 l

21、00leCRLNumber=3thisUIxhte03,tsUIxtate=03l004rmxtUIMate 一 04t00nextUlxlate=嘴 tBasaRI.Number=4图 4OverIssued 增量 CRL 请求率分布为 1.404 个/s)下降的同时,其增量 CRL 的最大请求率仅为17.I1 个 /s.通过图 14 的对比,我们可以明显看到 OverIssued 增量 CRL 的优点:在有效降低存储库峰值的同时 ,系统更具灵活性,扩展性,存储库请求率更加平滑.4 结论本文根据 David 提出的 OverIssuedCRL 模型,并结合增量 CRL 发布机制,深入分析了基

22、于 OverIssued 的增量CRL 模型 .通过对滑动窗口大小的调整,我们可以有效降低存储库峰值负荷,避免了因 CRL 访问被拒绝而带来的经济损失.参考文献:3NashA.公钥基础设施(PKI)实现和管理电予安全 EM.张玉清,等,译.北京清华大学出版社,2002.2CopperDA.AmodelofcertificaterevocationEA.ProceedingsoftheFifteenthAnnualComputerSecurityApplicationsConferencec.1999,256264.4CopperDA.AmoreefficientuseofdeltaCRLsA.Proceedingsofthe2000IEEESymposiumonSecurityandPrivacyI-c-.2000,190202.1BerkovitsS,ChokhaniS,FurlongJA,eta1.PublicKeyInfrastructureStudyFinalReportR.MITRECorporationfor

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 高等教育 > 教育学

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报