论文部分内容阅读
本文研究了现有的各种证书状态信息分发机制,并在此基础上对证书状态信息分发机制进行了优化和改进。首先,本文对传统证书撤销列表(CRL)和在线证书状态查询协议(OCSP)进行了研究分析,并进一步分析和探讨了各种改进型的CRL证书撤销机制,在此基础上,归纳总结出了衡量一个证书状态信息分发机制是否合适的基本原则。其次,在对各种现有机制的分析基础之上,提出了一种由分段CRL,增量CRL,重叠发布CRL相结合的新的CRL证书撤销机制――分段式重叠发布增量CRL证书撤销方法,该机制能有效地分散CRL存储库的峰值请求率和平均负荷,减小信任方所需下载的CRL大小,改善了时间碎片问题和可扩展性问题;并通过优化OCSP响应器的后端结构等策略对OCSP加以改进,增强实时性和安全性。最后,本文提出了一种适合大规模PKI环境的CRL和OCSP相结合的证书状态信息分发机制,并阐述了新型证书状态信息分发机制的设计与实现,分析了新机制的实现流程。