证书吊销列表

证书吊销列表(Certificate Revocation List,CRL)是在网络中使用公钥结构存取服务器的两种常用方法中的一个

背景

随着互联网,特别是电子商务和电子政务的迅猛发展,如何有效地保障在开放的网络环境下信息的机密性、完整性、真实性和不可否认性引起了人们的高度关注。公钥基础设施(Public Key Infrastructure,PKI)是目前公认的解决大型网络环境下信息安全问题行之有效的方案。PKI是一种遵循标准的密钥管理平台,它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,实现和管理不同实体之间的信任关系。证书吊销信息分发是PKI中的一个关键性操作,也是PKI所面临的一大挑战。在由MITRE公司提供的一份报告中指出,证书吊销信息分发是运营大型PKI系统耗费成本最高的部分。此后,相继提出了不少证书吊销信息分发机制。在X.509标准中采纳的是基于证书吊销列表(Certificate Revocation List,CRL)和基于在线证书状态协议(Online Certificate Status Protocol,OCSP)两种。

在Compact CRL方案中,一方面过滤掉在PKI实际运行中不常使用的CRL一些选项;另一方面,对中CRL吊销证书条目字段重新编码,CA签发的每一个数字证书的状态都对应到CRL中吊销证书条目的一个比特位。从而大大减少了CRL的大小,节省了证书吊销信息分发所需要的带宽 。

分发方案

与日常生活中的各种身份证件一样,数字证书可能在过期之前变得无效,原因可能是密钥介质丢失或用户身份变更等。CA需要及时地对此类证书做出吊销的处理,并将吊销证书放入CRL中予以公布,以便用户查询证书的有效性。当用户接收到一个数字证书时,他必须检查这个数字证书是否已经吊销或者挂起。证书吊销信息更新和发布的频率非常重要,如果一个证书已经被撤消而用户仍然继续使用,将会造成极大的安全隐患。两次证书吊销信息发布的时间间隔称为吊销延迟,在证书策略中规定吊销延迟。证书吊销信息分发的方法主要有两种:一种方法是利用周期性发布机制,如CRL、分段和CRLDeltaCRL等;另一种方法不涉及CRL,例如OCSP和链Hash方法

区块星球登载此文出于传递信息目的,并不意味着赞同其观点或证实其描述。本文不构成投资建议。投资者据此操作,风险自担。