證書吊銷列表

證書吊銷列表(Certificate Revocation List,CRL)是在網絡中使用公鑰結構存取服務器的兩種常用方法中的一個

背景

隨著互聯網,特別是電子商務和電子政務的迅猛發展,如何有效地保障在開放的網絡環境下信息的機密性、完整性、真實性和不可否認性引起了人們的高度關注。公鑰基礎設施(Public Key Infrastructure,PKI)是目前公認的解決大型網絡環境下信息安全問題行之有效的方案。PKI是一種遵循標準的密鑰管理平臺,它能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰和證書管理,實現和管理不同實體之間的信任關系。證書吊銷信息分發是PKI中的一個關鍵性操作,也是PKI所面臨的一大挑戰。在由MITRE公司提供的一份報告中指出,證書吊銷信息分發是運營大型PKI系統耗費成本最高的部分。此后,相繼提出了不少證書吊銷信息分發機制。在X.509標準中采納的是基于證書吊銷列表(Certificate Revocation List,CRL)和基于在線證書狀態協議(Online Certificate Status Protocol,OCSP)兩種。

在Compact CRL方案中,一方面過濾掉在PKI實際運行中不常使用的CRL一些選項;另一方面,對中CRL吊銷證書條目字段重新編碼,CA簽發的每一個數字證書的狀態都對應到CRL中吊銷證書條目的一個比特位。從而大大減少了CRL的大小,節省了證書吊銷信息分發所需要的帶寬 。

分發方案

與日常生活中的各種身份證件一樣,數字證書可能在過期之前變得無效,原因可能是密鑰介質丟失或用戶身份變更等。CA需要及時地對此類證書做出吊銷的處理,并將吊銷證書放入CRL中予以公布,以便用戶查詢證書的有效性。當用戶接收到一個數字證書時,他必須檢查這個數字證書是否已經吊銷或者掛起。證書吊銷信息更新和發布的頻率非常重要,如果一個證書已經被撤消而用戶仍然繼續使用,將會造成極大的安全隱患。兩次證書吊銷信息發布的時間間隔稱為吊銷延遲,在證書策略中規定吊銷延遲。證書吊銷信息分發的方法主要有兩種:一種方法是利用周期性發布機制,如CRL、分段和CRLDeltaCRL等;另一種方法不涉及CRL,例如OCSP和鏈Hash方法

區塊星球登載此文出于傳遞信息目的,并不意味著贊同其觀點或證實其描述。本文不構成投資建議。投資者據此操作,風險自擔。
欧美日韩亚洲第一区