專利名稱:用于提供針對(duì)證書(shū)撤銷的有效管理的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明的實(shí)施例一般地涉及公鑰加密����,更具體地,涉及用于提供針對(duì)證書(shū)撤銷的有效管理的方法和裝置����。
背景技術(shù):
現(xiàn)代通信時(shí)代已經(jīng)帶來(lái)了有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)的巨大發(fā)展。在消費(fèi)者需求的推動(dòng)下�����,計(jì)算機(jī)網(wǎng)絡(luò)、電視網(wǎng)絡(luò)以及電話網(wǎng)絡(luò)正在經(jīng)歷著前所未有的技術(shù)發(fā)展�。在使信息傳輸更具靈活性和即時(shí)性的同時(shí),互聯(lián)技術(shù)已經(jīng)解決了相關(guān)的消費(fèi)者需求?�,F(xiàn)今以及未來(lái)的互聯(lián)技術(shù)通過(guò)擴(kuò)展電子設(shè)備的能力以及改善網(wǎng)絡(luò)性能將繼續(xù)使信息傳輸更加容易�����、對(duì)用戶更加便利�。已經(jīng)使電子設(shè)備為用戶提供服務(wù)的能力得到改善的一項(xiàng)進(jìn)展是公鑰加密的使用。公鑰加密利用人���、設(shè)備以及策略來(lái)管理數(shù)字證書(shū)的生成����、使用以及撤銷�����。通常由證書(shū)授權(quán)機(jī)構(gòu)(CA)負(fù)責(zé)數(shù)字證書(shū)的發(fā)布��。公鑰加密技術(shù)假定����,針對(duì)每個(gè)用戶而言存在一對(duì)密鑰(私鑰和公鑰)。這對(duì)密鑰被彼此綁定由此使系統(tǒng)免受惡意用戶的損害�。這些密鑰的有效性以及一個(gè)密鑰屬于一個(gè)身份的事實(shí)由CA通過(guò)公布數(shù)字證書(shū)來(lái)保證����。一旦身份與它們的密鑰處于適當(dāng)?shù)奈恢?�,用戶就能夠使用他們各自的證書(shū)相互證明自己的身份��。證書(shū)通常有自然的有效期��,但是它們同樣可以在自然過(guò)期之前被撤銷�����。網(wǎng)絡(luò)中使用表明設(shè)備身份的信息不但是為了使經(jīng)授權(quán)的設(shè)備能夠使用網(wǎng)絡(luò)�,也是為了防止其它設(shè)備基于證書(shū)的狀態(tài)而具有訪問(wèn)的權(quán)限。當(dāng)設(shè)備有權(quán)使用有保證的寬帶信道時(shí)�,設(shè)備能夠聯(lián)系適當(dāng)?shù)臋C(jī)構(gòu)來(lái)確認(rèn)對(duì)某一用戶的識(shí)別。然而�,當(dāng)設(shè)備對(duì)服務(wù)器不具有任何可靠的使用權(quán)限,或者訪問(wèn)是低帶寬的時(shí)�����,這兩種情形都可能使識(shí)別過(guò)程變得更加的復(fù)雜����,問(wèn)題也隨之生成了����。對(duì)基站有保證的訪問(wèn)無(wú)法使用的情形可以在很多情況下發(fā)生�����。例如���,處于偏遠(yuǎn)地區(qū)或者處于隧道或其它地下或屏蔽嚴(yán)重的環(huán)境中��,這對(duì)于某些人而言并非不常遇到的情形���。同樣地,用戶可能擁有這樣的設(shè)備���,其沒(méi)有對(duì)可信的用戶的有保證的使用權(quán)限,而其它更強(qiáng)大的或者在其它方面占據(jù)優(yōu)勢(shì)的設(shè)備可能仍然能夠訪問(wèn)本地服務(wù)器��。因此���,對(duì)于用戶而言能夠識(shí)別他們遇到的其它設(shè)備通常是重要的���,因?yàn)槟承┰O(shè)備可能是有惡意并且是侵入式的。
發(fā)明內(nèi)容
因此�,提供了一種方法、裝置以及計(jì)算機(jī)程序產(chǎn)品使得能夠?qū)ψC書(shū)的撤銷進(jìn)行有效的管理�。在這一點(diǎn)上,例如�����,某些實(shí)施例可以使用對(duì)于批量更新有用的收集器�����,允許使用不完全可信的代表��,并且可以使用零知識(shí)技術(shù)使對(duì)解除撤銷的證明無(wú)法轉(zhuǎn)移�。一些示例性實(shí)施例還可以,或者作為選擇�,使用計(jì)數(shù)布隆過(guò)濾器來(lái)提供有效的壓縮而無(wú)須為針對(duì)布隆過(guò)濾器的每次修改重新計(jì)算整個(gè)布隆過(guò)濾器。在一個(gè)示例性實(shí)施例中�����,提供了一種對(duì)證書(shū)撤銷進(jìn)行有效管理的方法。該方法可以包括:存儲(chǔ)包括撤銷列表的數(shù)字證書(shū)的標(biāo)識(shí)符列表�,該撤銷列表定義了收集器中的被撤銷的證書(shū)的列表;以與撤銷列表中的至少一些條目相關(guān)聯(lián)的方式存儲(chǔ)證據(jù)值����,在撤銷列表中該證據(jù)值提供針對(duì)撤銷列表中的標(biāo)識(shí)符的成員資格或非成員資格的證明;使得能夠響應(yīng)于每次在撤銷列表中插入或刪除條目而生成新的收集器和新的證據(jù)值�����;以及使得能夠使用減小的位長(zhǎng)度值對(duì)撤銷列表進(jìn)行批量更新�����,該減小的位長(zhǎng)度值是根據(jù)基于向撤銷列表中添加的元素而生成的值與基于從撤銷列表中刪除的元素而生成的值的比率而生成的�。在另一示例性實(shí)施例中,提供了一種用于為證書(shū)撤銷提供有效管理的裝置��。該裝置可以包括至少一個(gè)處理器和至少一個(gè)包括計(jì)算機(jī)程序代碼的存儲(chǔ)器���。該至少一個(gè)存儲(chǔ)器以及計(jì)算機(jī)程序代碼可以被配置為��,通過(guò)該至少一個(gè)處理器使該裝置至少執(zhí)行以下步驟�,存儲(chǔ)包括撤銷列表的數(shù)字證書(shū)的標(biāo)識(shí)符列表����,該撤銷列表定義了收集器中的被撤銷的證書(shū)的列表�����;以與撤銷列表中的至少一些條目相關(guān)聯(lián)的方式存儲(chǔ)證據(jù)值,在撤銷列表中該證據(jù)值提供針對(duì)撤銷列表中的標(biāo)識(shí)符的成員資格或非成員資格的證明��;使得能夠響應(yīng)于每次在撤銷列表中插入或刪除條目而生成新的收集器和新的證據(jù)值��;以及使得能夠使用減小的位長(zhǎng)度值對(duì)撤銷列表進(jìn)行批量更新�����,該減小的位長(zhǎng)度值是根據(jù)基于向撤銷列表中添加的元素而生成的值與基于從撤銷列表中刪除的元素而生成的值的比率而生成的��。在一個(gè)示例性實(shí)施例中����,提供了另一用于提供針對(duì)證書(shū)撤銷的有效管理的裝置。該裝置可以包括:用于存儲(chǔ)包括撤銷列表的數(shù)字證書(shū)的標(biāo)識(shí)符列表的裝置�,該撤銷列表定義了收集器中的被撤銷的證書(shū)的列表;用于以與撤銷列表中的至少一些條目相關(guān)聯(lián)的方式存儲(chǔ)的證據(jù)值的裝置��,在撤銷列表中該證據(jù)值提供針對(duì)撤銷列表中的標(biāo)識(shí)符的成員資格或非成員資格的證明����;用于使得能夠響應(yīng)于每次在撤銷列表中插入或刪除條目而生成新的收集器和新的證據(jù)值的裝置����;以及用于使得能夠使用減小的位長(zhǎng)度值對(duì)撤銷列表進(jìn)行批量更新的裝置�,該減小的位長(zhǎng)度值是根據(jù)基于向撤銷列表中添加的元素而生成的值與基于從撤銷列表中刪除的元素而生成的值的比率而生成的。在一個(gè)示例性實(shí)施例中��,提供了一種用于提供針對(duì)證書(shū)撤銷的有效管理的方法�。該方法可以包括以下步驟:在證書(shū)授權(quán)機(jī)構(gòu)處使用計(jì)數(shù)過(guò)濾器使證書(shū)撤銷列表得到壓縮,其中計(jì)數(shù)過(guò)濾器包括多個(gè)計(jì)數(shù)器位置并且每個(gè)計(jì)數(shù)器位置對(duì)應(yīng)于被撤銷的證書(shū)標(biāo)識(shí)符的哈希函數(shù)��;使計(jì)數(shù)過(guò)濾器中的值被轉(zhuǎn)換為二進(jìn)制值��,從而大于零的值被轉(zhuǎn)換為一而形成二進(jìn)制過(guò)濾器��;以及使二進(jìn)制過(guò)濾器得以傳輸以便向另一實(shí)體提供證書(shū)撤銷列表��。在另一示例性實(shí)施例中����,提供了一種用于提供針對(duì)證書(shū)撤銷的有效管理的裝置。該裝置可以包括至少一個(gè)處理器和至少一個(gè)包括計(jì)算機(jī)程序代碼的存儲(chǔ)器�����。該至少一個(gè)存儲(chǔ)器以及計(jì)算機(jī)程序代碼可以被配置為,通過(guò)該至少一個(gè)處理器使該裝置至少執(zhí)行以下步驟�����,在證書(shū)授權(quán)機(jī)構(gòu)處使用計(jì)數(shù)過(guò)濾器使證書(shū)撤銷列表得到壓縮����,其中計(jì)數(shù)過(guò)濾器包括多個(gè)計(jì)數(shù)器位置并且每個(gè)計(jì)數(shù)器位置對(duì)應(yīng)于被撤銷的證書(shū)標(biāo)識(shí)符的哈希函數(shù);使計(jì)數(shù)過(guò)濾器中的值被轉(zhuǎn)換為二進(jìn)制值�����,從而大于零的值被轉(zhuǎn)換為一而形成二進(jìn)制過(guò)濾器����;以及使二進(jìn)制過(guò)濾器得以傳輸以便向另一實(shí)體提供證書(shū)撤銷列表��。在一個(gè)示例性實(shí)施例中�����,提供了一種用于為證書(shū)撤銷提供有效管理的裝置����。該裝置可以包括:用于在證書(shū)授權(quán)機(jī)構(gòu)處使用計(jì)數(shù)過(guò)濾器使證書(shū)撤銷列表得到壓縮的裝置����,其中計(jì)數(shù)過(guò)濾器包括多個(gè)計(jì)數(shù)器位置并且每個(gè)計(jì)數(shù)器位置對(duì)應(yīng)于被撤銷的證書(shū)標(biāo)識(shí)符的哈希(hash)函數(shù)�;用于使計(jì)數(shù)過(guò)濾器中的值被轉(zhuǎn)換為二進(jìn)制值的裝置,從而大于零的值被轉(zhuǎn)換為一而形成二進(jìn)制過(guò)濾器��;以及用于使二進(jìn)制過(guò)濾器得以傳輸以便向另一實(shí)體提供證書(shū)撤銷列表的裝置�����。
已經(jīng)概述性地對(duì)本發(fā)明的一些實(shí)施例進(jìn)行了描述���,現(xiàn)在將參照附圖進(jìn)行說(shuō)明�����,附圖并不一定是按照比例繪制的��,其中:圖1是根據(jù)本發(fā)明示例性實(shí)施例的無(wú)線通信系統(tǒng)的示意性框圖���;圖2示出了根據(jù)本發(fā)明示例性實(shí)施例的用于提供針對(duì)證書(shū)撤銷的有效管理的裝置的框圖;圖3示出了根據(jù)示例性實(shí)施例的二進(jìn)制布隆過(guò)濾器�;圖4示出了根據(jù)本發(fā)明一個(gè)示例性實(shí)施例的計(jì)數(shù)布隆過(guò)濾器過(guò)濾器;圖5示出了根據(jù)本發(fā)明示例性實(shí)施例的��、在證書(shū)授權(quán)機(jī)構(gòu)處生成的計(jì)數(shù)布隆過(guò)濾器的例子以及基于該計(jì)數(shù)布隆過(guò)濾器生成的并與之通信的、對(duì)應(yīng)的二進(jìn)制布隆過(guò)濾器的示例�����;圖6是根據(jù)本發(fā)明示例性實(shí)施例的用于提供針對(duì)證書(shū)撤銷的有效管理的示例性方法的流程圖��;以及圖7是根據(jù)本發(fā)明示例性實(shí)施例的用于提供針對(duì)證書(shū)撤銷的有效管理的另一示例性方法的流程圖�。
具體實(shí)施例方式現(xiàn)在將參照附圖在下文中對(duì)本發(fā)明的一些實(shí)施例進(jìn)行更加充分的描述,其中示出了本發(fā)明的一些�����,但并非所有的實(shí)施例��。本發(fā)明的各種實(shí)施例確實(shí)可以體現(xiàn)為很多不同的形式��,并且不應(yīng)該被解釋為限于這里所描述的實(shí)施例���;更確而是,這些實(shí)施例是為了使本申請(qǐng)的公開(kāi)滿足適用的法律要求而提供的��。遍及全片�����,相同的參考標(biāo)號(hào)指代相同的元件。如同這里所使用的����,術(shù)語(yǔ)“數(shù)據(jù)” “內(nèi)容” “信息”以及類似的術(shù)語(yǔ)可以被可互換地指代根據(jù)本發(fā)明的一些實(shí)施例能夠被傳輸、接收和/或存儲(chǔ)的數(shù)據(jù)��。因此�,任何這樣的術(shù)語(yǔ)的使用不應(yīng)該被用來(lái)限制本發(fā)明的實(shí)施例的精神和范圍。此外���,如這里所使用的���,術(shù)語(yǔ)“電路”指(a)只有硬件的電路實(shí)現(xiàn)方式(例如,以模擬電路和/或數(shù)字電路的形式實(shí)現(xiàn))��;(b)電路與包含軟件和/或存儲(chǔ)在一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)器上的固件指令的組合�����,該計(jì)算機(jī)可讀存儲(chǔ)器協(xié)同工作以使一裝置執(zhí)行這里所描述的一個(gè)或多個(gè)功能��;以及(C)電路�����,比如例如一個(gè)或多個(gè)微處理器或一個(gè)或多個(gè)微處理器的一部分,其需要軟件或固件以進(jìn)行操作����,即使軟件或固件并不物理存在?����!半娐贰钡倪@種定義適用于這里所有使用該術(shù)語(yǔ)的情形��,包括在任何權(quán)利要求中的使用���。作為進(jìn)一步的例子���,正如這里所使用的,術(shù)語(yǔ)“電路”還包括包含一個(gè)或多個(gè)處理器和/或處理器部分以及隨附的軟件和/或固件���。作為另一個(gè)例子,這里所使用的術(shù)語(yǔ)“電路”還例如包括用于移動(dòng)電話的基帶集成電路或應(yīng)用處理器集成電路�,或者服務(wù)器、蜂窩網(wǎng)絡(luò)設(shè)備�����、其它網(wǎng)絡(luò)設(shè)備和/或其它計(jì)算設(shè)備中的類似的集成電路。正如這里所定義的�����,“計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)”���,指代非暫時(shí)性的物理存儲(chǔ)介質(zhì)(例如��,易失性或非易失性存儲(chǔ)設(shè)備)����,可以與指代電磁信號(hào)的“計(jì)算機(jī)可讀傳送介質(zhì)”區(qū)別開(kāi)來(lái)����。正如上面所指出的,本發(fā)明的一些實(shí)施例可以涉及對(duì)數(shù)字證書(shū)撤銷的管理����。在示例性的情形中,證書(shū)授權(quán)機(jī)構(gòu)(CA)可以針對(duì)各種移動(dòng)設(shè)備處理證明以及撤銷過(guò)程����。可以定位第一移動(dòng)設(shè)備和第二移動(dòng)設(shè)備,使得第一和第二移動(dòng)設(shè)備都沒(méi)有對(duì)網(wǎng)絡(luò)的有保證的訪問(wèn)����。因此,期望能夠提供一種機(jī)制���,通過(guò)這種機(jī)制����,例如�,在第一和第二移動(dòng)設(shè)備都離線時(shí),第一移動(dòng)設(shè)備可以通過(guò)提供有效的�、未被撤銷的證書(shū)來(lái)向第二移動(dòng)設(shè)備認(rèn)證自己。實(shí)現(xiàn)上面所描述的認(rèn)證的一種方式可以是�,CA創(chuàng)建可以經(jīng)由相對(duì)較低帶寬的信道發(fā)送給用戶的經(jīng)過(guò)壓縮的證書(shū)撤銷列表(CRL)。用戶可以通過(guò)低帶寬的信道接收CRL并基于CRL的內(nèi)容對(duì)其它用戶進(jìn)行離線的驗(yàn)證����。本發(fā)明的一些實(shí)施例可以使用證書(shū)標(biāo)識(shí)符的收集器,并且還提供了用以證明收集器中實(shí)體的成員資格(或非成員資格)的技術(shù)�����。一些實(shí)施例還可以提供在一個(gè)或多個(gè)受委派的機(jī)構(gòu)(或節(jié)點(diǎn))上分配這里所描述的技術(shù)的可能�,當(dāng)?shù)玫较鄳?yīng)的委派時(shí),其可以是完全可信的節(jié)點(diǎn)�����。在一些實(shí)施例中���,布隆過(guò)濾器(Bloom filter)可以被用于CRL壓縮�����。圖3示出了示例性的布隆過(guò)濾器��。布隆過(guò)濾器通常包括m位的矢量�,其所有位被初始設(shè)置為零���。通過(guò)(I)將元素與k個(gè)獨(dú)立的哈希函數(shù)進(jìn)行哈希運(yùn)算�����,該哈希函數(shù)輸出范圍1�����、……���、!11中的數(shù)��,或者(2)將每個(gè)哈希函數(shù)指向的矢量位設(shè)置為一����,可以將元素包含到過(guò)濾器中�����。由于將若干個(gè)元素相加��,有可能一位可以被多次設(shè)置為一��。然后�����,布隆過(guò)濾器可以作為經(jīng)壓縮的元素列表被分配或公布���。為了檢驗(yàn)給定的元素被包含在過(guò)濾器中���,可以對(duì)該元素進(jìn)行哈希運(yùn)算,對(duì)應(yīng)的過(guò)濾器位就可以被檢查出來(lái)�。如果至少一個(gè)位為零�,則該元素并不包含在過(guò)濾器中���。否則,如果所有必需的k個(gè)位都被設(shè)置過(guò)�����,通常包含該元素的可能性很高����。其它元素的多次相加(誤檢(false positive))也可以使對(duì)應(yīng)的各個(gè)位被設(shè)置。相加的元素越多��,遭遇誤檢的可能性也就越高����。在點(diǎn)對(duì)點(diǎn)應(yīng)用以及其它通信相關(guān)的環(huán)境中,可以將布隆過(guò)濾器與數(shù)據(jù)庫(kù)一起使用���。布隆過(guò)濾器可以提供高的壓縮率���,同時(shí)具有相對(duì)低的誤檢并且沒(méi)有漏檢(falsenegative)。因此���,鑒于 布隆過(guò)濾器所能提供的相對(duì)較好的壓縮,使用布隆過(guò)濾器來(lái)提供CRL壓縮從而使CRL的提供適應(yīng)低帶寬的信道可以是有利的���。然而,有時(shí)布隆過(guò)濾器被認(rèn)為運(yùn)算比較復(fù)雜,而且在CA處解除撤銷證書(shū)之后可能需要再次對(duì)整個(gè)列表進(jìn)行運(yùn)算�����。因此,本發(fā)明的一些示例性實(shí)施例被設(shè)計(jì)為通過(guò)只在將要被解除撤銷的證書(shū)上以相對(duì)較少的運(yùn)算來(lái)支持解除撤銷。于是�����,布隆過(guò)濾器的壓縮優(yōu)勢(shì)可以得到維持,同時(shí)避免了與再次對(duì)整個(gè)列表進(jìn)行運(yùn)算相關(guān)聯(lián)的必要的資源損耗�。很多過(guò)去的解決方案假定存在可信的基礎(chǔ)設(shè)施或參與方����,或者采用了運(yùn)算復(fù)雜和/或需要大量通信帶寬的技術(shù)����。正如前面所指出的���,一些示例性實(shí)施例可以在CRL壓縮中使用收集器和/或布隆過(guò)濾器,以允許在低帶寬環(huán)境中使用CRL�。圖1示出了一般性的系統(tǒng)圖,其中示出了處于示例性通信環(huán)境中的設(shè)備���,比如移動(dòng)終端10,其可以得益于本發(fā)明的一些實(shí)施例。如圖1所示����,根據(jù)本發(fā)明示例性實(shí)施例的系統(tǒng)包括第一通信設(shè)備(例如,移動(dòng)終端10)和第二通信設(shè)備20��,每個(gè)都可以能夠與網(wǎng)絡(luò)30進(jìn)行通信����。提供第二通信設(shè)備20作為一個(gè)示例��,來(lái)說(shuō)明關(guān)于可以包括在網(wǎng)絡(luò)30中并且可以實(shí)施示例性實(shí)施例的其它設(shè)備的實(shí)例的潛在多樣性。系統(tǒng)的通信設(shè)備可以能夠與網(wǎng)絡(luò)設(shè)備進(jìn)行通信�����,或者通過(guò)網(wǎng)絡(luò)30彼此通信��。在一些情況下��,系統(tǒng)的通信設(shè)備與之進(jìn)行通信的網(wǎng)絡(luò)設(shè)備可以包括服務(wù)平臺(tái)40����。在示例性實(shí)施例中��,移動(dòng)終端10 (和/或第二通信設(shè)備20)能夠與服務(wù)平臺(tái)40進(jìn)行通信以提供����、請(qǐng)求和/或接收信息。在一些示例中�,服務(wù)平臺(tái)40 (或網(wǎng)絡(luò)30的其它部分)可以像下面將更加詳細(xì)地描述的那樣宿主證書(shū)授權(quán)機(jī)構(gòu)(CA)。出于示例的目的���,雖然對(duì)移動(dòng)終端10的示例性實(shí)施例進(jìn)行了說(shuō)明并且在下文中進(jìn)行了描述����,但是�����,很多種移動(dòng)終端�����,比如便攜式數(shù)字助理(PDA)����、尋呼機(jī)、移動(dòng)電視���、移動(dòng)電話�、游戲設(shè)備�、便攜式計(jì)算機(jī)、照相機(jī)��、照相手機(jī)�����、錄像機(jī)��、音/視頻播放器�����、收音機(jī)���、全球定位系統(tǒng)(GPS)設(shè)備�����、導(dǎo)航設(shè)備��、或者上述設(shè)備的任意組合���,以及其它類型的多媒體�����、聲音及文本通信系統(tǒng)����,可以容易地采用本發(fā)明的示例性實(shí)施例����。而且,非移動(dòng)型的設(shè)備也可以容易地采用本發(fā)明的示例性實(shí)施例�����。同樣地��,例如���,第二通信設(shè)備20可以代表可以采用示例性實(shí)施例的固定電子設(shè)備的例子�����。例如����,第二通信設(shè)備20可以是個(gè)人計(jì)算機(jī)(PC)或其它終端����。在某些實(shí)施例中,不是所有采用本發(fā)明實(shí)施例的系統(tǒng)都可以包括這里說(shuō)明和/或描述的所有的設(shè)備��。例如�,盡管這里將要描述的示例性實(shí)施例中,移動(dòng)用戶設(shè)備(例如���,移動(dòng)終端10)�、固定用戶設(shè)備(例如����,第二通信設(shè)備20)或者網(wǎng)絡(luò)設(shè)備(例如����,服務(wù)平臺(tái)40)可以包括能夠?qū)崿F(xiàn)和與網(wǎng)絡(luò)30通信相關(guān)的某些示例性實(shí)施例����,但是,應(yīng)該理解�,某些實(shí)施例可以排除這些設(shè)備中的一個(gè)或多個(gè),或者連同網(wǎng)絡(luò)30 —起排除�,并且僅在單個(gè)設(shè)備上實(shí)施。在示例性實(shí)施例中�,網(wǎng)絡(luò)30包括能夠通過(guò)相應(yīng)的有線和/或無(wú)線接口彼此通信的各種不同節(jié)點(diǎn)、設(shè)備或者功能的集合����。同樣地,圖1的示圖應(yīng)該被理解為系統(tǒng)的某些元件的廣義上的例子�����,而不應(yīng)理解為系統(tǒng)或網(wǎng)絡(luò)30的包括一切的或具體意義上的例子����。盡管不是必須的,但是,在某些實(shí)施例中����,網(wǎng)絡(luò)30可以能夠支持根據(jù)第一代(1G)��、第二代(2G)�����、2.5G����、第三代(3G)、3.5G���、3.9G��、第四代(4G)移動(dòng)通信協(xié)議����、長(zhǎng)期演進(jìn)(LTE)和/或類似協(xié)議中的任何一種或多種所進(jìn)行的通信�����。一個(gè)或多個(gè)通信終端比如移動(dòng)終端10和第二通信設(shè)備20可以能夠通過(guò)網(wǎng)絡(luò)30彼此通信,并且每個(gè)可以包括用以傳輸信號(hào)給基礎(chǔ)站點(diǎn)以及從基礎(chǔ)站點(diǎn)接收信號(hào)的一個(gè)或多個(gè)天線����,基礎(chǔ)站點(diǎn)例如可以是作為一個(gè)或多個(gè)蜂窩或移動(dòng)網(wǎng)絡(luò)的一部分的基站或者可以被連接到數(shù)據(jù)網(wǎng)絡(luò)(比如局域網(wǎng)(LAN)、城域網(wǎng)(MAN)和/或廣域網(wǎng)(WAN)����,比如互聯(lián)網(wǎng))的接入點(diǎn)。接著��,其它設(shè)備�,比如處理設(shè)備或元件(例如,個(gè)人計(jì)算機(jī)�����、服務(wù)器計(jì)算機(jī)等等)可以通過(guò)網(wǎng)絡(luò)30連接到移動(dòng)終端10和第二通信設(shè)備20���。通過(guò)直接或間接地將移動(dòng)終端10�、第二通信設(shè)備20以及其它設(shè)備連接至網(wǎng)絡(luò)30����,能夠使移動(dòng)終端10和第二通信設(shè)備20,例如根據(jù)包括超文本傳輸協(xié)議(HTTP)和/或類似協(xié)議在內(nèi)的眾多通信協(xié)議與其它設(shè)備(或彼此)通信���,從而分別執(zhí)行移動(dòng)終端10和第二通信設(shè)備20的各種通信或者其它功能��。此外���,盡管圖1并未示出��,移動(dòng)終端10和第二通信設(shè)備20可以依照例如射頻(RF)�����、藍(lán)牙(BT)、紅外(IR)或者任何多種不同的有線或無(wú)線通信技術(shù)進(jìn)行通信��,包括USB��、LAN�、無(wú)線LAN (WLAN)、全球微波互聯(lián)接入(WiMAX)�����、WiF1�����、超寬帶(UWB)、Wibree技術(shù)和/或類似技術(shù)��。同樣地�,可以使移動(dòng)終端10和第二通信設(shè)備20通過(guò)任何眾多不同的接入機(jī)制與網(wǎng)絡(luò)30以及彼此進(jìn)行通信。例如�����,移動(dòng)接入機(jī)制���,比如寬帶碼分多址接入(W-CDMA)����、CDMA2000���、全球移動(dòng)通信系統(tǒng)(GSM)�、通用分組無(wú)線電業(yè)務(wù)(GPRS)和/或類似的機(jī)制�,可以被支持,無(wú)線接入機(jī)制�,比如WLAN、WiMAX和/或類似的機(jī)制��,以及固定接入機(jī)制�����,比如數(shù)字用戶線路(DSL)、有線調(diào)制解調(diào)器��、以太網(wǎng)和/或類似的機(jī)制��,也同樣可以被支持����。在示例性實(shí)施例中,服務(wù)平臺(tái)40可以是設(shè)備或者節(jié)點(diǎn)���,比如服務(wù)器或其它處理設(shè)備。服務(wù)平臺(tái)40可以具有多種功能或者與各種服務(wù)的關(guān)聯(lián)�。同樣地,例如�����,服務(wù)平臺(tái)40可以是一種比如與特定的信息源或服務(wù)(例如�����,數(shù)字證書(shū)管理服務(wù))相關(guān)的專用服務(wù)器(或者服務(wù)器陣列)���,或者服務(wù)平臺(tái)40可以是與一種或多種其它功能或服務(wù)相關(guān)的后端服務(wù)器����。同樣地,服務(wù)平臺(tái)40代表了用于多種不同服務(wù)或信息源的可能的主機(jī)���。在一些實(shí)施例中���,月艮務(wù)平臺(tái)40的功能由硬件和/或軟件部件提供,這些部件被配置為按照已知的用以向通信設(shè)備的用戶提供信息的技術(shù)來(lái)進(jìn)行操作����。然而,由服務(wù)平臺(tái)40所提供的功能中的至少一些可以是根據(jù)本發(fā)明的示例性實(shí)施例提供的信息�。圖2示出了根據(jù)本發(fā)明示例性實(shí)施例的用于提供針對(duì)證書(shū)撤銷的有效管理的裝置的示意性框圖。現(xiàn)在將參照?qǐng)D2對(duì)本發(fā)明的示例性實(shí)施例進(jìn)行描述���,其中顯示了用于提供針對(duì)證書(shū)撤銷的有效管理的裝置50的某些元件���。圖2所示的裝置50可以被用在例如充當(dāng)證書(shū)授權(quán)機(jī)構(gòu)或者用作證書(shū)授權(quán)機(jī)構(gòu)的主機(jī)的服務(wù)平臺(tái)40上。然而��,在一些實(shí)施例中����,裝置50 (或其部分)可以被用在移動(dòng)終端10中和/或用在第二通信設(shè)備20上(當(dāng)這些設(shè)備用作代表(delegate)節(jié)點(diǎn)時(shí))���。然而,作為選擇��,裝置50可以用在各種其它設(shè)備上�,移動(dòng)的以及固定的(比如,例如上文中所列出的任意設(shè)備)���。在某些情況下�,一個(gè)實(shí)施例可以在一個(gè)設(shè)備或者多個(gè)設(shè)備的組合上采用�����。因此�,本發(fā)明的一些實(shí)施例可以完全在單個(gè)的設(shè)備(例如�����,服務(wù)平臺(tái)40�����、移動(dòng)終端10或第二通信設(shè)備20)上實(shí)現(xiàn),由以分布式方式存在的多個(gè)設(shè)備實(shí)現(xiàn)�����,或者由處于客戶端/服務(wù)器關(guān)系中的多個(gè)設(shè)備實(shí)現(xiàn)(例如����,移動(dòng)終端10和服務(wù)平臺(tái)40)。而且�����,應(yīng)該注意到�,下面所描述的設(shè)備或元件可以不是強(qiáng)制的,因此在某些實(shí)施例中一些設(shè)備或元件可以被忽略?����,F(xiàn)在參照?qǐng)D2�����,提供了一種用于提供針對(duì)證書(shū)撤銷的有效管理的裝置���。裝置50可以包括處理器70���、用戶接口 72��、通信接口 74以及存儲(chǔ)設(shè)備76���,或以其它方式與這些設(shè)備通信。在一些實(shí)施例中�����,處理器70 (和/或協(xié)同處理器或者任何輔助或以其它方式與處理器70相關(guān)聯(lián)的其它處理電路)可以經(jīng)由用以在裝置50的部件之間傳遞信息的總線與存儲(chǔ)設(shè)備76進(jìn)行通信����。存儲(chǔ)設(shè)備76例如可以包括一個(gè)或多個(gè)易失性和/或非易失性存儲(chǔ)器。換句話說(shuō)�����,例如存儲(chǔ)設(shè)備76可以是包括開(kāi)關(guān)電路(gate)的電子存儲(chǔ)設(shè)備(例如����,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì))�����,其中的開(kāi)關(guān)電路被配置為存儲(chǔ)可以被機(jī)器(例如,如同處理器70的計(jì)算設(shè)備)檢索的數(shù)據(jù)(例如����,位)。存儲(chǔ)設(shè)備76可以被配置為存儲(chǔ)信息�����、數(shù)據(jù)��、應(yīng)用程序�、指令或者類似物以使裝置50能夠?qū)崿F(xiàn)根據(jù)本發(fā)明示例性實(shí)施例的各種功能。例如���,存儲(chǔ)設(shè)備76可以被配置為緩存由處理器70處理的輸入數(shù)據(jù)��。此外或者作為選擇��,存儲(chǔ)設(shè)備76可以被配置為存儲(chǔ)由處理器70執(zhí)行的指令�。在一些實(shí)施例中���,裝置50可以是被配置為采用本發(fā)明示例性實(shí)施例的移動(dòng)或固定通信設(shè)備或者計(jì)算設(shè)備(例如�����,服務(wù)平臺(tái)40 )�。然而,在一些實(shí)施例中����,裝置50可以被體現(xiàn)為芯片或芯片組。換言之�,裝置50可以包括一個(gè)或多個(gè)物理封裝(package)(例如,芯片)����,該封裝在結(jié)構(gòu)組件(例如,基板)上包括材料�����、部件和/或?qū)Ь€�。該結(jié)構(gòu)組件可以為其上包含的組件電路提供物理強(qiáng)度、大小保持和/或?qū)﹄娤嗷プ饔玫南拗?�。因此�,在某些情況下,裝置50可以被配置為在單個(gè)芯片上或者作為單個(gè)的“片上系統(tǒng)”來(lái)實(shí)現(xiàn)本發(fā)明的實(shí)施例�����。同樣地��,在某些情況下����,芯片或芯片組可以構(gòu)成用于執(zhí)行提供這里所描述的功能的一個(gè)或多個(gè)操作的裝置。處理器70可以通過(guò)多種不同的方式以硬件的形式實(shí)現(xiàn)�。例如,處理器70可以體現(xiàn)為一個(gè)或多個(gè)不同的處理裝置�����,比如協(xié)處理器�、微處理器、控制器����、數(shù)字信號(hào)處理器(DSP)、具有或者不具有隨附DSP的處理元件����、或者各種其它的處理電路,包括集成電路����,比如�����,例如ASIC (專用集成電路)�����、FPGA (現(xiàn)場(chǎng)可編程門(mén)陣列)����、微控制器單元(MCU)��、中央處理器(CPU)���、硬件加速器��、向量處理器�、圖形處理單元(GPU)����、特定用途的計(jì)算機(jī)芯片、或其它類似的硬件設(shè)備����。同樣地��,在一些實(shí)施例中���,處理器70可以包括一個(gè)或多個(gè)被配置為獨(dú)立執(zhí)行的處理核心����。多核處理器使得能夠在單個(gè)物理封裝中進(jìn)行多重處理。此外或者可替換地���,處理器70可以包括一個(gè)或多個(gè)被配置為通過(guò)總線串聯(lián)以使得能夠進(jìn)行指令的獨(dú)立執(zhí)行���、流水線和/或多線程處理。在示例性實(shí)施例中�,處理器70可以被配置為執(zhí)行存儲(chǔ)在存儲(chǔ)設(shè)備76中的或者處理器70能夠通過(guò)其它方式得到的指令。作為選擇或者附加地�����,處理器70可以被配置為執(zhí)行硬編碼功能�����。同樣地,無(wú)論通過(guò)硬件��、軟件方法還是兩者的組合來(lái)配置�����,處理器70可以代表當(dāng)被相應(yīng)地配置時(shí)能夠執(zhí)行根據(jù)本發(fā)明實(shí)施例的操作的實(shí)體(例如����,物理地體現(xiàn)在電路中的)。因此��,例如當(dāng)處理器70被體現(xiàn)為ASIC����、FPGA或類似物時(shí),處理器70可以是用以進(jìn)行這里所描述的操作的特別配置的硬件�����。作為另一個(gè)例子����,可替換地,當(dāng)處理器70被體現(xiàn)為軟件指令的執(zhí)行器時(shí)����,當(dāng)這些指令被執(zhí)行時(shí)���,這些指令可以特別地配置處理器70以執(zhí)行這里所描述的算法和/或操作。然而���,在某些情況下�,處理器70可以是適配用于通過(guò)處理器70配置用以執(zhí)行這里所描述的算法和/或操作的指令而利用本發(fā)明實(shí)施例的特定設(shè)備(例如����,移動(dòng)終端或網(wǎng)絡(luò)設(shè)備)的處理器�����。除了其它東西�����,處理器70可以包括時(shí)鐘�、算術(shù)邏輯單元(ALU)以及被配置為支持處理器70操作的邏輯門(mén)電路。與此同時(shí)��,通信接口 74可以是被配置為從網(wǎng)絡(luò)和/或任何與該裝置通信的設(shè)備或模塊接收數(shù)據(jù)和/或向網(wǎng)絡(luò)和/或任何與該裝置通信的設(shè)備或模塊發(fā)送數(shù)據(jù)的任何裝置��,比如體現(xiàn)為或者硬件或者硬件與軟件組合的設(shè)備或電路。就此而言����,通信接口 74例如可以包括天線(或多個(gè)天線)以及用于使得能夠與無(wú)線通信網(wǎng)絡(luò)進(jìn)行通信的支撐硬件和/或軟件。在某些環(huán)境中��,通信接口 74可以可替換地或者同時(shí)支持有線通信����。同樣地,通信接口74例如可以包括通信調(diào)制解調(diào)器和/或其它用以支持經(jīng)電纜�����、數(shù)字用戶線路(DSL)��、通用串行總線(USB)或其它機(jī)制進(jìn)行通信的硬件/軟件���。用戶接口 72可以與處理器70通信以接收用戶接口 72處的對(duì)用戶輸入的指示和/或向用戶提供聲音��、視覺(jué)�����、機(jī)械或其它輸出�。同樣地,用戶接口 72例如可以包括鍵盤(pán)�����、鼠標(biāo)�、操縱桿、顯示器�����、觸摸屏�、軟鍵、麥克風(fēng)�、揚(yáng)聲器或者其它輸入/輸出機(jī)構(gòu)����。在裝置50被體現(xiàn)為服務(wù)器或某些其它網(wǎng)絡(luò)設(shè)備(例如,服務(wù)平臺(tái)40)的例示性實(shí)施例中�����,用戶接口 72可以被限制或消除����。然而�,在裝置被體現(xiàn)為用作代表節(jié)點(diǎn)的通信設(shè)備(例如���,移動(dòng)終端10或第二通信設(shè)備20)的實(shí)施例中����,用戶接口 72可以包括��,除了其它設(shè)備或元件�����,揚(yáng)聲器����、麥克風(fēng)、顯示器以及鍵盤(pán)等等中的任意或者全部�����。就此而言��,例如����,處理器70可以包括配置為控制用戶接口(比如����,例如揚(yáng)聲器�、振鈴器、麥克風(fēng)����、顯示器和/或類似物)的一個(gè)或多個(gè)元件的至少一些功能的用戶接口電路。處理器70和/或包括處理器70的用戶接口電路可以被配置為通過(guò)存儲(chǔ)在能夠由處理器70訪問(wèn)的存儲(chǔ)器(例如����,存儲(chǔ)裝置76和/或類似物)上的計(jì)算機(jī)程序指令(例如,軟件和/或固件)來(lái)控制用戶接口的一個(gè)或多個(gè)元件的一個(gè)或多個(gè)功能��。在示例性實(shí)施例中�,處理器70可以被體現(xiàn)為包括或以其它方式控制撤銷列表管理器80。同樣地�,在一些實(shí)施例中�,處理器70可被認(rèn)為導(dǎo)致、指引或控制這里所描述的應(yīng)歸因于撤銷列表管理器80的各種功能的執(zhí)行或者發(fā)生����。撤銷列表管理器80可以是比如設(shè)備或電路的任何裝置,該裝置按照軟件或者以其它方式體現(xiàn)在硬件或硬件與軟件的組合中(例如,在軟件控制下工作的處理器70��,體現(xiàn)為被特別配置以執(zhí)行這里所描述的操作的ASIC或FPGA的處理器70����,或者它們的組合)從而配置該設(shè)備或電路來(lái)執(zhí)行這里所描述的撤銷列表管理器80的相應(yīng)的功能。因此�,在采用軟件的例子中,執(zhí)行軟件的設(shè)備或電路(例如�����,一個(gè)例子中的處理器70)形成與這樣的裝置有關(guān)的結(jié)構(gòu)�����。在示例性實(shí)施例中�,撤銷列表管理器80(在這里可互換地稱為證書(shū)授權(quán)機(jī)構(gòu)(CA))可以被配置為計(jì)算、算出和/或生成收集器82和特定于條目的(entry specific)布隆過(guò)濾器84中的任何一個(gè)或兩個(gè)�����,取決于特定的實(shí)施例采用了收集器82和特定于條目的布隆過(guò)濾器84中的哪一個(gè)(或兩個(gè))����。而且�����,在同時(shí)采用了收集器82和特定于條目的布隆過(guò)濾器84的實(shí)施例中�,撤銷列表管理器80可以被配置為按照操作者��、用戶所指定的或者按照駐存在撤銷列表管理器80中或能夠由撤銷列表管理器80訪問(wèn)的特定的基于條件的規(guī)則來(lái)選擇性地使用收集器82和特定于條目的布隆過(guò)濾器84中的一個(gè)或兩個(gè)��。在示例性實(shí)施例中�����,收集器82可以被用來(lái)執(zhí)行CRL壓縮�����。因此�,正如特定于條目的布隆過(guò)濾器84 —樣,可以使用收集器82來(lái)幫助在通信帶寬受限的環(huán)境中處理已經(jīng)撤銷的證書(shū)的取消撤銷�。因此,例如對(duì)于網(wǎng)絡(luò)而言�,無(wú)論由于什么原因通信成本比平時(shí)高(或容量較低)因此人們希望盡可能地減少通信量的情況,收集器82和特定于條目的布隆過(guò)濾器84可以是有用的�。在一些例子中�����,收集器82可以保留證書(shū)標(biāo)識(shí)符的列表,包括已撤銷的證書(shū)的列表(例如���,撤銷列表)����。收集器82還可以被配置為以與撤銷列表中的條目中的一些(或每個(gè))相關(guān)的方式存儲(chǔ)“證據(jù)值”��。該證據(jù)值可以被用作撤銷列表中標(biāo)識(shí)符的成員資格或非成員資格的證明�。在某些情況下如果撤銷列表被提供給代表節(jié)點(diǎn)(例如,移動(dòng)終端10和/或第二通信設(shè)備20)可能會(huì)生成問(wèn)題�。在這一點(diǎn)上,代表節(jié)點(diǎn)通常被假定為是完全可信的�。因此,如果由于撤銷列表中對(duì)成員資格(以及非成員資格)的證明被轉(zhuǎn)換了而導(dǎo)致代表節(jié)點(diǎn)中的一個(gè)通過(guò)不適當(dāng) 地改變撤銷列表而實(shí)際上欺騙了系統(tǒng)���,惡意的用戶就可能危害系統(tǒng)���。因此,一些示例性實(shí)施例放寬了所有代表節(jié)點(diǎn)都是完全可信的假設(shè)��,從而由代表節(jié)點(diǎn)開(kāi)始的可能的欺騙可以被追蹤�����,進(jìn)而特定的代表(例如,表現(xiàn)差的代表)可以被取消���。因此����,一些實(shí)施例可以使成員資格和/或非成員資格為不可轉(zhuǎn)換的���。在示例性實(shí)施例中�����,收集器82可以按照下面描述的那樣計(jì)算(例如�,通過(guò)撤銷列
表管理器80或CA)�。就此而言,基于元素X的集合X����,CA能夠計(jì)算出收集器C:C=gnxexX
mod η,每次加入新的條目,y,收集器被更新為c’=cy mod η�。χ在X中的成員資格的證據(jù)可以是整數(shù)w,使得c=wx mod η。在某些情況下����,χ在X中的成員資格的證據(jù)可以在向X中插入y之后被動(dòng)態(tài)地計(jì)算為:w’ =wy mod η?����?商鎿Q地或者附加地,在向X中插入y之后,能夠動(dòng)態(tài)地計(jì)算新的收集器:c’=cy mod η作為χ在X中的成員資格的證據(jù)��。在某些情況下,在
從X中刪除I之后�����,能夠動(dòng)態(tài)地計(jì)算新的收集器:c* = c!/y mod φ(11) mod n作為χ在x中
的成員資格的證據(jù)�,其中φ(η)為歐拉函數(shù)?���?商鎿Q地或者附加地,在從X中刪除y之后�����,能夠動(dòng)態(tài)地計(jì)算證據(jù):w’ =wzc’k mod n作為χ在X中的成員資格的證據(jù),其中l(wèi)=yz+kx (χ未被刪除)��。同時(shí)��,在一些實(shí)施例中,χ在X中非成員資格的證據(jù)可以通過(guò)一對(duì)整數(shù)(a����、d)提供,使得Ca=dxg mod n�。在向X中插入y之后,X在X中非成員資格的證據(jù)可以被動(dòng)態(tài)地計(jì)算為:a’=az, d’=dc_ak mod n,其中l(wèi)=yz+kx (y不是χ)��。新的收集器能夠被動(dòng)態(tài)地計(jì)算為:c’=Cymod η�。在某些情況下,在從X中刪除y之后,新的證據(jù)能夠被動(dòng)態(tài)地計(jì)算為:a’ =ay, d’ =d,
并且新的收集器能夠被動(dòng)態(tài)地計(jì)算為:e.= c1;y modφ(η) mod η�,其中φ(η)為歐拉函數(shù)。在一些實(shí)施例中���,接著上面提供的說(shuō)明�����,可以基于一組非成員資格原語(yǔ)(primitive)對(duì)收集器82進(jìn)行修改���,而且收集器可以被配備一種機(jī)制以允許有效地批量更新。還可以針對(duì)不完全可信的代表節(jié)點(diǎn)的使用修改收集器82����。此外���,通過(guò)使用零知識(shí)技術(shù),可以使得對(duì)解除撤銷的證明是不可轉(zhuǎn)讓的���,從而驗(yàn)證實(shí)體無(wú)法獲得任何可轉(zhuǎn)移的證據(jù)。因此���,通信要求以及收集器82的實(shí)現(xiàn)復(fù)雜性可以是相對(duì)恒定的���。在一些實(shí)施 例中,可以通過(guò)應(yīng)用先前的添加算法在一行中添加若干個(gè)元素ai;A= Π ai;和/或通過(guò)應(yīng)用先前的刪除算法在一行中刪除若干個(gè)元素Cli, Π =屯�����,來(lái)提供批量更新�。對(duì)于批量更新,考慮有理數(shù)r=A/D且新的收集器c’=c����。為了減小位長(zhǎng),用y=r mod λ (η)
替換r��,并且將y添加到X中來(lái)更新證據(jù)。λ (η)是(pr I廣^��,…�,(ργ-1廣./1的最小公共
乘數(shù)(multiplier),其中Pi是11的唯一因式分解的質(zhì)因數(shù)(prime)。通過(guò)釋放(releasing)y替代r�,y與χ互質(zhì),因此盡管χ被刪除了還是能更新χ的成員資格的證據(jù)���,或者盡管χ被添加了還是能更新χ的非成員資格的證據(jù)�。此外���,通過(guò)釋放y替代r���,CA公開(kāi)了 λ (η)的倍數(shù)(multiple),這對(duì)于系數(shù)η來(lái)說(shuō)可以是足夠的信息。正如上面所指出的�,更新算法通常僅有可信的參與者運(yùn)行。因此���,通常推斷更新算法是由機(jī)構(gòu)(CA)的某些可信的代表運(yùn)行����。一些示例性實(shí)施例通過(guò)提供由不完全可信的代表使用的方法可以避免這一潛在的問(wèn)題����。惡意地使用收集器82的不完全可信的代表可以被CA刪除并取消�。因此,一些示例性實(shí)施例可以進(jìn)行范式轉(zhuǎn)換(paradigm shift)從而假定代表節(jié)點(diǎn)是不完全可信的代表�,其可以就更新證據(jù)收到質(zhì)疑。代表節(jié)點(diǎn)可以保持經(jīng)更新的被取消的X的列表�����。盡管這些代表可以通過(guò)證明屬于撤銷列表的證書(shū)的非成員資格進(jìn)行欺騙����,這些欺騙者的身份是可以確定的��,從這個(gè)意義上來(lái)講��,這些代表是不完全可信的����。因此,在一些實(shí)施例中���,給定一個(gè)區(qū)別整數(shù)h�����,對(duì)于不在X中的χ證據(jù)(或證據(jù)值)為三元組(a�����,b, c)����,使得cahb=dxg(mod η)。該證據(jù)值可以與區(qū)別整數(shù)h的證書(shū)一起被提供��。當(dāng)從X中刪除或向X中添加成員時(shí)���,能夠容易地更新證據(jù)��。CA可以被配置為選擇一隨機(jī)數(shù)s,計(jì)算h=cgs mod η并且為區(qū)別整數(shù)h簽署證書(shū)�。然后����,h和s可以被發(fā)送給代表節(jié)點(diǎn)。代表節(jié)點(diǎn)可以將值s用作陷阱門(mén)����。就此而言,可以使得代表節(jié)點(diǎn)能夠計(jì)算證據(jù)并且?guī)缀醪毁M(fèi)力氣地更新當(dāng)前的收集器c�����,但是無(wú)需能夠分解η。為了為χ計(jì)算證據(jù)����,代表節(jié)點(diǎn)可以被配置為首先在其撤銷的證書(shū)X的記錄中查證X是不存在的(這能夠在時(shí)間O(1glXl)內(nèi)完成),然后����,由于S和X是互質(zhì)的,代表節(jié)點(diǎn)能夠計(jì)算 bs=kx+l, a=_b,以及 d=gk mod η�。在這種情況下,cahb=c_b(cgs)b=gbs=gkx+1=dx g(modn),于是(a, b, d)就是χ的證據(jù)���。這在時(shí)間0((log η)3)內(nèi)也如此。之后,證書(shū)持有者能夠獨(dú)自更新證據(jù)��。在某些情況下����,證據(jù)泄漏了用來(lái)標(biāo)識(shí)代表的區(qū)別整數(shù)h及其發(fā)送周期。因此�,如果有人發(fā)現(xiàn)了用于已撤銷的χ的證據(jù),代表也能夠被追蹤到并被取消���。如果這樣的事件很不常見(jiàn)�����,則能夠通過(guò)使用常規(guī)的撤銷列表或使用前面描述的方法進(jìn)行管理�。
這里所描述的不完全可信的委派可以進(jìn)一步與零知識(shí)證明機(jī)制結(jié)合,如下所述����。例如,為了使對(duì)成員資格的證明或者對(duì)非成員資格的證明不會(huì)向檢驗(yàn)者提供任何可轉(zhuǎn)移的證據(jù)�����,可以采用用于證明證據(jù)的零知識(shí)交互式知識(shí)證明�����。作為示例�,考慮從G到Z\的同態(tài)函數(shù)φ0。證明者可以(從G中)隨機(jī)地選擇U��,計(jì)算l」=(P(U)許將結(jié)果發(fā)送給檢驗(yàn)者�����。檢驗(yàn)者可以(從{1,...���, }中)隨機(jī)地選擇e并將其發(fā)送給證明者�����。證明者可以計(jì)算v=u+ey并將φ(ν)發(fā)送給檢驗(yàn)者����。檢驗(yàn)者可以查證(P(V)=UYi" mod N�����。所有χ的值必須為質(zhì)數(shù)并且比t大�。因此,存在α和β使得χ a +e β =1����。在證明成員資格的情形中(Cp(W)=Wx ITlOd 11, Y=C, G=Z N )�,(CtVp)X=C (p(cavp)=Y 在證明非成員資格的情形中(q)(a,d)=cad'x mod n���,Y=g,g=zxz*n)���,(ca)a(d'agp)x=g^f(ca, v—agp)=Y����。在示例性實(shí)施例中�,除了使用收集器82或者替代使用收集器82來(lái)使CRL壓縮與低比特率的信道相適應(yīng),可以與CRL—起采用特定于條目的布隆過(guò)濾器84�����。然而���,使用布隆過(guò)濾器通??梢栽斐擅黠@的附加計(jì)算開(kāi)支���,正如前面所指出的���,因?yàn)槊看谓獬蜂N可以要求布隆過(guò)濾器再次計(jì)算整個(gè)CRL,這需要在CRL中對(duì)每個(gè)條目進(jìn)行多次哈希運(yùn)算�。CRL的重新計(jì)算通常是由于在過(guò)濾器中設(shè)置的位可以同時(shí)屬于許多被撤銷的證書(shū)的哈希值,如圖3所示����。在這樣的例子中��,如果由于對(duì)應(yīng)的證書(shū)未被撤銷而將給定的位(O)復(fù)位��,會(huì)錯(cuò)誤地解除撤銷所有其它具有映射到同樣位的哈希值的證書(shū)�,因此會(huì)嚴(yán)重地?fù)p害這種機(jī)制�����。一些示例性實(shí)施例可以使CA能夠僅對(duì)將要被解除撤銷的條目進(jìn)行哈希運(yùn)算���,從而在避免每次解除撤銷時(shí)計(jì)算整個(gè)CRL的同時(shí)提供良好的壓縮率���。為了實(shí)現(xiàn)該過(guò)程,一些可以采用特定于條目的布隆過(guò)濾器84的實(shí)施例可以在證書(shū)被解除撤銷時(shí)(對(duì)于因?yàn)槲茨芨顿M(fèi)而被撤銷而費(fèi)用隨后到了的用戶���,這種情況可能經(jīng)常發(fā)生)采用非二進(jìn)制/計(jì)數(shù)布隆過(guò)濾器(CBF)�。當(dāng)構(gòu)建CRL時(shí)����,CA可以向哈希函數(shù)輸入撤消了的證書(shū)的證書(shū)標(biāo)識(shí)符。哈希函數(shù)的輸出可以指向布隆過(guò)濾器的將要被設(shè)置(為I)的位的位置�����。在示例性實(shí)施例中���,位由計(jì)數(shù)器替代(例如�,以字 節(jié)的形式)����,無(wú)論什么時(shí)候哈希運(yùn)算指向給定的位置,計(jì)數(shù)器被添加1�����,如圖4所示�。向布隆過(guò)濾器中添加撤消了的證書(shū),不會(huì)使二進(jìn)制(基于位的)布隆過(guò)濾器和非二進(jìn)制(基于計(jì)數(shù)器的)布隆過(guò)濾器出現(xiàn)顯著的區(qū)別�。在從布隆過(guò)濾器CRL中移除證書(shū)時(shí),可以看到差別�����。就此而言�����,為了從基于位的布隆過(guò)濾器CRL中移除證書(shū)(為了解除撤銷),CA可能需要如前面所述的從頭對(duì)整個(gè)CRL進(jìn)行重新計(jì)算�����。然而��,通過(guò)使用基于計(jì)數(shù)器的布隆過(guò)濾器(例如�,特定于條目的布隆過(guò)濾器84),CA可以只需對(duì)將要解除撤銷的證書(shū)的標(biāo)識(shí)符進(jìn)行哈希運(yùn)算���,然后將對(duì)應(yīng)的計(jì)數(shù)器減一�����?���;谟?jì)數(shù)器的布隆過(guò)濾器經(jīng)通信信道的傳輸可以提供比傳輸基于位的布隆過(guò)濾器所能達(dá)到的更小的壓縮����。例如,壓縮率可以按照等于計(jì)數(shù)器按位計(jì)算的大小的因數(shù)較少��。然而���,計(jì)數(shù)器本身對(duì)于端用戶通常是沒(méi)用的���,而僅僅對(duì)CA有用。事實(shí)上����,為了驗(yàn)證證書(shū)是否屬于布隆過(guò)濾器CRL,端用戶設(shè)備只需要知道一給定位置是零還是比零大的值���。因此���,盡管CA可以維持基于計(jì)數(shù)器的布隆過(guò)濾器,被傳輸?shù)牟悸∵^(guò)濾器可以將任何大于零的值轉(zhuǎn)換為數(shù)值一���。圖5示出了在CAlOO處維持的基于計(jì)數(shù)器的布隆過(guò)濾器以及能夠由CA生成的被傳輸?shù)牟悸∵^(guò)濾器110的例子�����。因此�����,在傳輸之前��,CA可以被配置為將基于計(jì)數(shù)器的布隆過(guò)濾器的所有大于零的值轉(zhuǎn)換為數(shù)值一以便傳輸經(jīng)過(guò)轉(zhuǎn)換的值���。在某些情況下��,可以為處理計(jì)數(shù)器溢出的可能性做準(zhǔn)備�。例如��,假定k個(gè)哈希函數(shù)被統(tǒng)一地��、隨機(jī)地輸出給布隆過(guò)濾器位置�����,并且每個(gè)位置上的每個(gè)計(jì)數(shù)器添加了(撤銷證書(shū)的數(shù)量)Xk/m次����。因此,可以基于最高限度預(yù)先設(shè)置每個(gè)計(jì)數(shù)器的位大小����,并且可以通過(guò)在過(guò)濾器的開(kāi)頭添加“計(jì)數(shù)器位長(zhǎng)”域來(lái)動(dòng)態(tài)地適應(yīng)(例如,基于計(jì)數(shù)器的每次溢出)��。圖6和圖7示出了根據(jù)本發(fā)明示例性實(shí)施例的方法及程序產(chǎn)品的流程圖�。應(yīng)該理解��,流程圖中的每個(gè)塊以及各個(gè)塊的組合可以通過(guò)多種方式實(shí)現(xiàn)���,比如硬件、固件����、處理器����、電路和/或其它與包括一個(gè)或多個(gè)計(jì)算機(jī)程序指令的軟件的執(zhí)行相關(guān)的設(shè)備。例如���,前面所描述的步驟中的一個(gè)或多個(gè)可以由計(jì)算機(jī)程序指令來(lái)體現(xiàn)�。就此而言�,體現(xiàn)前面所描述的步驟的計(jì)算機(jī)程序指令可以由用戶終端或網(wǎng)絡(luò)設(shè)備的存儲(chǔ)設(shè)備存儲(chǔ)并且由用戶終端或網(wǎng)絡(luò)設(shè)備的處理器執(zhí)行。應(yīng)該理解���,任何這樣的計(jì)算機(jī)程序指令都可以加載到計(jì)算機(jī)或其它可編程裝置(例如���,硬件)上而生成一機(jī)器,使得在計(jì)算機(jī)或其它可編程裝置上執(zhí)行的指令形成用于執(zhí)行由流程圖的塊所指定功能的裝置��。這些計(jì)算機(jī)程序指令還可以被存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)器中,該計(jì)算機(jī)可讀存儲(chǔ)器可以指引計(jì)算機(jī)或其它可編程裝置以特定的方式起作用�����,從而存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)器中的指令生成一制品����,其實(shí)現(xiàn)一個(gè)或多個(gè)流程圖的塊所指定的功能。計(jì)算機(jī)程序指令還可以被加載到計(jì)算機(jī)或其它可編程裝置上使得由要在計(jì)算機(jī)或其它可編程裝置上執(zhí)行的一系列操作生成一由計(jì)算機(jī)實(shí)現(xiàn)的過(guò)程����,從而由在計(jì)算機(jī)或其它可編程裝置上執(zhí)行的指令實(shí)現(xiàn)一個(gè)或多個(gè)流程圖的塊中所指定的功能。因此�,流程圖中的各個(gè)塊支持用于執(zhí)行指定功能的裝置的組合,并且支持用以執(zhí)行指定功能的操作的組合�����。還應(yīng)該理解�,流程圖中的一個(gè)或多個(gè)塊,以及流程圖中的各個(gè)塊的組合��,能夠通過(guò)執(zhí)行指定的功能的基于硬件的特殊用途的計(jì)算機(jī)系統(tǒng)來(lái)實(shí)現(xiàn)��,或者能夠通過(guò)特殊用途的硬件與計(jì)算機(jī)指令的組合來(lái)實(shí)現(xiàn)�。就此而言��,如圖6所 示�,根據(jù)本發(fā)明一個(gè)實(shí)施例的方法可以包括:在操作200中���,存儲(chǔ)包括撤銷列表的數(shù)字證書(shū)的標(biāo)識(shí)符列表��,該撤銷列表定義了收集器中的被撤銷的證書(shū)的列表��;以及在操作210中��,以與撤銷列表中的至少一些條目相關(guān)聯(lián)的方式存儲(chǔ)證據(jù)值�,在撤銷列表中該證據(jù)值為撤銷列表中的標(biāo)識(shí)符的成員資格或非成員資格提供證明����。該方法可以進(jìn)一步包括:在操作220中�,使得能夠響應(yīng)于每次在撤銷列表中插入或刪除條目而生成新的收集器和新的證據(jù)值;以及在操作230中�,使得能夠使用減小的位長(zhǎng)度值對(duì)撤銷列表進(jìn)行批量更新,該減小的位長(zhǎng)度值是根據(jù)基于向撤銷列表中添加的元素而生成的值與基于從撤銷列表中刪除的元素而生成的值的比率而生成的�����。在一些實(shí)施例中���,上述操作中的某些操作可以按照下面所描述的那樣被修改或者進(jìn)一步加強(qiáng)�����。而且��,在一些實(shí)施例中還可以包括附加的可選操作��。應(yīng)該認(rèn)識(shí)到���,下面的每個(gè)修改�、可選的添加或者增強(qiáng)可以單獨(dú)地或者與這里所描述的任何其它特征結(jié)合起來(lái)與前面的各種操作一起被包括進(jìn)來(lái)��。在一些實(shí)施例中��,使得能夠進(jìn)行批量更新的過(guò)程包括����,使用由y=r mod λ (η)替換的減少的位長(zhǎng)度值r來(lái)將y作為條目添加到集合X中以更新證據(jù)值,其中r=A/D并且ai定義了行中要添加的元素�����,A= Π ai;并且(Ii定義了行中要?jiǎng)h除的元素,
D=TIc^ λ (η)是(priyV1���,...�,(J)v-1)'/1的最小公共乘數(shù)��,其中Pi是η的唯一因式分解的質(zhì)因數(shù)��。在示例性實(shí)施例中���,存儲(chǔ)列表�����、存儲(chǔ)證據(jù)值�����、使得能夠生成新的收集器和新的證據(jù)值以及使得能夠進(jìn)行批量更新等過(guò)程在證書(shū)授權(quán)機(jī)構(gòu)處或者在不完全可信的代表處進(jìn)行。在一些實(shí)施例中����,可以使證書(shū)授權(quán)機(jī)構(gòu)能夠監(jiān)測(cè)不完全可信的代表至少與新的證據(jù)值的生成有關(guān)的活動(dòng),并且基于與新的證據(jù)值的生成相關(guān)聯(lián)的不正常來(lái)取消不完全可信的代表����。在某些情況下�,可以使不完全可信的代表生成證據(jù)值來(lái)使用零知識(shí)證明機(jī)制為成員資格或非成員資格提供證明��。在示例性實(shí)施例中����,用于執(zhí)行前面圖6的方法的裝置可以包括被配置為執(zhí)行前面所描述的操作(200-230)中某些或每個(gè)操作的處理器(例如,處理器70)���。處理器例如可以被配置為通過(guò)執(zhí)行由硬件實(shí)現(xiàn)的邏輯功能�、執(zhí)行存儲(chǔ)的指令或者執(zhí)行用來(lái)執(zhí)行這些操作中每項(xiàng)操作的算法來(lái)執(zhí)行這些操作(200-230)���。可替換地�����,該裝置可以包括用來(lái)執(zhí)行上面所描述的每項(xiàng)操作的裝置��。就此而言�,根據(jù)示例性實(shí)施例,用來(lái)執(zhí)行操作200-230的裝置的例子例如可以包括CA或者撤銷列表管理器80����。附加地或者可替換地��,至少由于處理器70可以被配置為控制甚至被體現(xiàn)為撤銷列表管理器80�����,處理器70和/或用來(lái)執(zhí)行指令或者執(zhí)行用以處理如上面所描述的信息的設(shè)備或電路也可以形成用來(lái)執(zhí)行操作200-230的裝置的例子���。在某些情況下,上面所描述的操作(200-230)��,以及任何的修改�,可以在涉及促進(jìn)訪問(wèn)至少一個(gè)接口以便允許經(jīng)由至少一個(gè)網(wǎng)絡(luò)訪問(wèn)至少一個(gè)服務(wù)的方法中實(shí)施。在這樣的情況下�,該至少一個(gè)服務(wù)可以被認(rèn)為至少執(zhí)行操作200-230。在另一實(shí)施例中����,如圖7所示,用于對(duì)證書(shū)撤銷進(jìn)行有效管理的方法可以包括���,在操作300中在證書(shū)授權(quán)機(jī)構(gòu)處使用計(jì)數(shù)過(guò)濾器使證書(shū)撤銷列表得到壓縮。該計(jì)數(shù)過(guò)濾器可以包括多個(gè)計(jì)數(shù)器位置�����,每個(gè)計(jì)數(shù)器位置可以與被撤銷證書(shū)的標(biāo)識(shí)符的哈希函數(shù)相對(duì)應(yīng)。該方法可以進(jìn)一步包括�����,在操作310中使得計(jì)數(shù)過(guò)濾器中的值轉(zhuǎn)換為二進(jìn)制值����,從而大于零的值被轉(zhuǎn)換為一以便形成二進(jìn)制過(guò)濾器,以及在操作320中使得二進(jìn)制過(guò)濾器得以傳輸以便向另一實(shí)體提供證書(shū)撤銷列表���。在一些實(shí)施例中�����,上面操作中的某些操作可以如下面所描述的那樣被修改或者進(jìn)一步增強(qiáng)��。而且���,一些實(shí)施例還可以包括附加的可選操作。應(yīng)該認(rèn)識(shí)到����,下面的每個(gè)修改����、可選的添加或者增強(qiáng)可以單獨(dú)地或者與這里所描述的任何其它特征結(jié)合起來(lái)與前面的各種操作一起被包括進(jìn)來(lái)����。在一些實(shí)施例中,計(jì)數(shù)過(guò)濾器可以是計(jì)數(shù)布隆過(guò)濾器�,二進(jìn)制過(guò)濾器可以是二進(jìn)制布隆過(guò)濾器。在一些實(shí)施例中���,使壓縮得以進(jìn)行的步驟可以包括使用計(jì)數(shù)布隆過(guò)濾器進(jìn)行壓縮�����,其中對(duì)于添加到證書(shū)撤銷列表中的每個(gè)證書(shū)的相應(yīng)的哈希運(yùn)算計(jì)數(shù)器位置被遞增一�,對(duì)于從證書(shū)撤銷列表中刪除的每個(gè)證書(shū)的相應(yīng)的哈希運(yùn)算計(jì)數(shù)器位置被遞減一�����。在示例性實(shí)施例中����,用于執(zhí)行前面圖7的方法的裝置可以包括被配置為執(zhí)行前面所描述的操作(300-320)中某些或每個(gè)操作的處理器(例如,處理器70)�����。處理器例如可以被配置為通過(guò)執(zhí)行由硬件實(shí)現(xiàn)的邏輯功能�����、執(zhí)行存儲(chǔ)的指令或者執(zhí)行用來(lái)執(zhí)行這些操作中每項(xiàng)操作的算法來(lái)執(zhí)行這些操作(300-320)�����??商鎿Q地,該裝置可以包括用來(lái)執(zhí)行上面所描述的每項(xiàng)操作的裝置�����。就此而言�,根據(jù)示例性實(shí)施例,用來(lái)執(zhí)行操作300-320的裝置的例子例如可以包括CA或者撤銷列表管理器80����。附加地或者作為選擇,至少由于處理器70可以被配置為控制甚至被體現(xiàn)為撤銷列表管理器80��,處理器70和/或用來(lái)執(zhí)行指令或者執(zhí)行用以處理如上面所描述的信息的設(shè)備或電路也可以形成用來(lái)執(zhí)行操作300-320的裝置的例子����。在某些情況下�����,上面所描述的操作(300-320)�,以及任何的修改�,可以在涉及促進(jìn)訪問(wèn)至少一個(gè)接口以便允許經(jīng)由至少一個(gè)網(wǎng)絡(luò)訪問(wèn)至少一個(gè)服務(wù)的方法中實(shí)施。在這樣的情況下����,該至少一個(gè)服務(wù)可以被認(rèn)為至少執(zhí)行操作300至320。得益于上述說(shuō)明以及相關(guān)的附圖中所給出的教導(dǎo)�,這里所闡述的發(fā)明的許多修改以及其它實(shí)施方式可以由發(fā)明所屬領(lǐng)域的技術(shù)人員想到。因此��,應(yīng)該理解���,本發(fā)明并不限于所公開(kāi)的特定的實(shí)施例��,修改以及其它的實(shí)施方式被預(yù)期包含在所附權(quán)利要求的范圍內(nèi)��。而且���,盡管前述的說(shuō)明以及相關(guān)的附圖在元件和/或功能的某些示例性組合的上下文中描述了一些示例性實(shí)施例���,但是,應(yīng)該認(rèn)識(shí)到�,不偏離所附權(quán)利要求的范圍的前提下�����,作為選擇的實(shí)施例可以提供元件和/或功能的不同的組合�。就此而言,正如在一些所附的權(quán)利要求中所闡明的那樣�����,例如明顯不同于前面所描述的元件和/或功能的不同組合同樣是可以預(yù)期的�。盡管這里采用了特定的術(shù)語(yǔ),但是它們僅僅是在一般���、描述性的意義上使用���,并非用于限定的目的。
權(quán)利要求
1.一種方法�,包括: 存儲(chǔ)包括撤銷列表的數(shù)字證書(shū)的標(biāo)識(shí)符列表,所述撤銷列表定義了收集器中的被撤銷的證書(shū)的列表����; 與所述撤銷列表中的至少一些條目相關(guān)聯(lián)地存儲(chǔ)證據(jù)值��,所述證據(jù)值提供針對(duì)所述撤銷列表中的標(biāo)識(shí)符的成員資格或非成員資格的證明��; 使得能夠響應(yīng)于每次在所述撤銷列表中插入或刪除條目而生成新的收集器和新的證據(jù)值�;以及 使得能夠使用減小的位長(zhǎng)度值來(lái)對(duì)所述撤銷列表進(jìn)行批量更新,所述減小的位長(zhǎng)度值是根據(jù)基于向所述撤銷列表中添加的元素而生成的第一值與基于從所述撤銷列表中刪除的元素而生成的第二值的比率而生成的。
2.根據(jù)權(quán)利要求1所述的方法��,其中使得能夠進(jìn)行批量更新包括使用由y=rmod λ (η)替換的所述減少的位長(zhǎng)度值r來(lái)將y作為條目添加到集合X中以更新證據(jù)值,其中r=A/D并且其中%定義了行中將要添加的元素��,A= Π a,,并且Cli定義了行中將要?jiǎng)h除的元素�����,D= TIdi,并且λ (η)是(P1-1)1V1�����,…��,(p\-l)av]的最小公共乘數(shù)����,其中Pi是η的唯一因式分解的質(zhì)因數(shù)�。
3.根據(jù)權(quán)利要求1或2所述的方法�,其中存儲(chǔ)所述列表、存儲(chǔ)所述證據(jù)值�����、使得能夠生成所述新的收集器和所述新的證據(jù)值以及使得能夠進(jìn)行批量更新是在證書(shū)授權(quán)機(jī)構(gòu)處執(zhí)行的��。
4.根據(jù)權(quán)利要求3所述的方法���,其中使得存儲(chǔ)所述列表、存儲(chǔ)所述證據(jù)值�、使得能夠生成所述新的收集器和所述新的證據(jù)值以及使得能夠進(jìn)行批量更新能夠在不完全可信的代表處執(zhí)行。
5.根據(jù)權(quán)利要求4所述的方法��,其中使得所述證書(shū)授權(quán)機(jī)構(gòu)能夠監(jiān)測(cè)所述不完全可信的代表至少與所述新的證據(jù)值的生成有關(guān)的活動(dòng)�����,并且基于與所述新的證據(jù)值的生成相關(guān)聯(lián)的不正常來(lái)撤銷所述不完全可信的代表����。
6.根據(jù)權(quán)利要求4或5所述的方法,其中使得所述不完全可信的代表能夠生成證據(jù)值以使用零知識(shí)證明機(jī)制來(lái)提供針對(duì)成員資格或非成員資格的證明。
7.一種裝置��,包括至少一個(gè)處理器和至少一個(gè)包括計(jì)算機(jī)程序代碼的存儲(chǔ)器��,所述至少一個(gè)存儲(chǔ)器以及所述計(jì)算機(jī)程序代碼被配置為通過(guò)所述至少一個(gè)處理器使所述裝置至少: 存儲(chǔ)包括撤銷列表的數(shù)字證書(shū)的標(biāo)識(shí)符列表���,所述撤銷列表定義了收集器中的被撤銷的證書(shū)的列表�����; 與所述撤銷列表中的至少一些條目相關(guān)聯(lián)地存儲(chǔ)證據(jù)值���,所述證據(jù)值提供針對(duì)所述撤銷列表中的標(biāo)識(shí)符的成員資格或非成員資格的證明; 使得能夠響應(yīng)于每次在所述撤銷列表中插入或刪除條目而生成新的收集器和新的證據(jù)值����;以及 使得能夠使用減小的位長(zhǎng)度值來(lái)對(duì)所述撤銷列表進(jìn)行批量更新,所述減小的位長(zhǎng)度值是根據(jù)基于向所述撤銷列表中添加的元素而生成的第一值與基于從所述撤銷列表中刪除的元素而生成的第二值的比率而生成的�����。
8.根據(jù)權(quán)利要求7所述的裝置����,其中所述至少一個(gè)存儲(chǔ)器和計(jì)算機(jī)程序代碼被配置為通過(guò)所述至少一個(gè)處理器使所述裝置通過(guò)使用由y=r mod λ (η)替換的所述減少的位長(zhǎng)度值r來(lái)將y作為條目添加到集合X中以更新證據(jù)值而使得能夠進(jìn)行批量更新,其中r=A/D并且其中%定義了行中將要添加的元素,A= Π a,,并且Cli定義了行中將要?jiǎng)h除的元素����,D= TIdi,并且λ (η)是(P1-1)''…,(Pv-1 VVi的最小公共乘數(shù)����,其中Pi是η的唯一因式分解的質(zhì)因數(shù)。
9.根據(jù)權(quán)利要求7或8所述的裝置�,其中所述裝置被具體化在證書(shū)授權(quán)機(jī)構(gòu)處。
10.根據(jù)權(quán)利要求9所述的裝置����,其中所述至少一個(gè)存儲(chǔ)器和計(jì)算機(jī)程序代碼被配置為通過(guò)所述至少一個(gè)處理器使所述裝置在不完全可信的代表處存儲(chǔ)所述列表、存儲(chǔ)所述證據(jù)值�����、使得能夠生成所述新的收集器和所述新的證據(jù)值以及使得能夠進(jìn)行批量更新��。
11.根據(jù)權(quán)利要求10所述的裝置�����,其中使得所述證書(shū)授權(quán)機(jī)構(gòu)能夠監(jiān)測(cè)所述不完全可信的代表至少與所述新的證據(jù)值的生成有關(guān)的活動(dòng)���,并且基于與所述新的證據(jù)值的生成相關(guān)聯(lián)的不正常來(lái)撤銷所 述不完全可信的代表���。
12.根據(jù)權(quán)利要求10或11所述的裝置,其中使得所述不完全可信的代表能夠生成證據(jù)值以使用零知識(shí)證明機(jī)制來(lái)提供針對(duì)成員資格或非成員資格的證明��。
13.一種裝置�,包括: 用于存儲(chǔ)包括撤銷列表的數(shù)字證書(shū)的標(biāo)識(shí)符列表的部件,所述撤銷列表定義了收集器中的被撤銷的證書(shū)的列表���; 用于與所述撤銷列表中的至少一些條目相關(guān)聯(lián)地存儲(chǔ)證據(jù)值的部件�,所述證據(jù)值提供針對(duì)所述撤銷列表中的標(biāo)識(shí)符的成員資格或非成員資格的證明�����; 用于使得能夠響應(yīng)于每次在所述撤銷列表中插入或刪除條目而生成新的收集器和新的證據(jù)值的部件����;以及 用于使得能夠使用減小的位長(zhǎng)度值來(lái)對(duì)所述撤銷列表進(jìn)行批量更新的部件,所述減小的位長(zhǎng)度值是根據(jù)基于向所述撤銷列表中添加的元素而生成的第一值與基于從所述撤銷列表中刪除的元素而生成的第二值的比率而生成的�。
14.根據(jù)權(quán)利要求13所述的裝置,其中用于使得能夠進(jìn)行批量更新的部件包括用于使用由y=r mod λ (η)替換的所述減少的位長(zhǎng)度值r來(lái)將y作為條目添加到集合X中以更新證據(jù)值的部件�����,其中r=A/D并且其中%定義了行中將要添加的元素,A= Π %�,并且(Ii定義了行中將要?jiǎng)h除的元素,D= Π屯��。
15.根據(jù)權(quán)利要求13或14所述的裝置��,其中所述裝置被具體化在證書(shū)授權(quán)機(jī)構(gòu)或者不完全可信的代表處�。
16.—種方法,包括: 使得在證書(shū)授權(quán)機(jī)構(gòu)處使用計(jì)數(shù)器過(guò)濾器來(lái)對(duì)證書(shū)撤銷列表進(jìn)行壓縮,所述計(jì)數(shù)器過(guò)濾器包括多個(gè)計(jì)數(shù)器位置����,所述計(jì)數(shù)器位置中的每一個(gè)與被撤銷證書(shū)標(biāo)識(shí)符的哈希函數(shù)相對(duì)應(yīng); 使得所述計(jì)數(shù)器過(guò)濾器中的值轉(zhuǎn)換為二進(jìn)制值���,從而大于零的值被轉(zhuǎn)換為一以便形成二進(jìn)制過(guò)濾器����;以及 使得對(duì)所述二進(jìn)制過(guò)濾器進(jìn)行傳輸�,以便向另一實(shí)體提供所述證書(shū)撤銷列表��。
17.根據(jù)權(quán)利要求16所述的方法�����,其中所述計(jì)數(shù)器過(guò)濾器是計(jì)數(shù)器布隆過(guò)濾器,并且其中所述二進(jìn)制過(guò)濾器是二進(jìn)制布隆過(guò)濾器�����。
18.根據(jù)權(quán)利要求17所述的方法���,其中使得進(jìn)行壓縮包括將所述計(jì)數(shù)器布隆過(guò)濾器用于壓縮��,其中所述計(jì)數(shù)器位置針對(duì)添加到所述證書(shū)撤銷列表中的每個(gè)證書(shū)的相應(yīng)的哈希而被遞增一����,并且所述計(jì)數(shù)器位置針對(duì)從所述證書(shū)撤銷列表中刪除的每個(gè)證書(shū)的相應(yīng)的哈希而被遞減一����。
19.一種裝置,包括至少一個(gè)處理器和至少一個(gè)包括計(jì)算機(jī)程序代碼的存儲(chǔ)器�,所述至少一個(gè)存儲(chǔ)器以及所述計(jì)算機(jī)程序代碼被配置為通過(guò)所述至少一個(gè)處理器使所述裝置至少: 使得在證書(shū)授權(quán)機(jī)構(gòu)處使用計(jì)數(shù)器過(guò)濾器來(lái)對(duì)證書(shū)撤銷列表進(jìn)行壓縮,所述計(jì)數(shù)器過(guò)濾器包括多個(gè)計(jì)數(shù)器位置���,所述計(jì)數(shù)器位置中的每一個(gè)與被撤銷證書(shū)標(biāo)識(shí)符的哈希函數(shù)相對(duì)應(yīng)���; 使得所述計(jì)數(shù)器過(guò)濾器中的值轉(zhuǎn)換為二進(jìn)制值,從而大于零的值被轉(zhuǎn)換為一以便形成二進(jìn)制過(guò)濾器�����;以及 使得對(duì)所述二進(jìn)制過(guò)濾器進(jìn)行傳輸,以便向另一實(shí)體提供所述證書(shū)撤銷列表��。
20.根據(jù)權(quán)利要求19所述的裝置�����,其中所述計(jì)數(shù)器過(guò)濾器是計(jì)數(shù)器布隆過(guò)濾器�����,并且其中所述二進(jìn)制過(guò)濾器是二進(jìn)制布隆過(guò)濾器�。
21.根據(jù)權(quán)利要求20所述的裝置,其中所述至少一個(gè)存儲(chǔ)器和計(jì)算機(jī)程序代碼被配置為通過(guò)所述至少一個(gè)處理器使所述裝置將所述計(jì)數(shù)器布隆過(guò)濾器用于壓縮以使得對(duì)所述證書(shū)撤銷列表進(jìn)行壓縮���,其中所述計(jì)數(shù)器位置針對(duì)添加到所述證書(shū)撤銷列表中的每個(gè)證書(shū)的相應(yīng)的哈希而被遞增一����,并且所述計(jì)數(shù)器位置針對(duì)從所述證書(shū)撤銷列表中刪除的每個(gè)證書(shū)的相應(yīng)的哈希而被遞減一��。
22.—種裝置��,包括: 用于使得在證書(shū)授權(quán)機(jī)構(gòu)處使用計(jì)數(shù)器過(guò)濾器來(lái)對(duì)證書(shū)撤銷列表進(jìn)行壓縮的部件���,所述計(jì)數(shù)器過(guò)濾器包括多個(gè)計(jì)數(shù)器位置��,所述計(jì)數(shù)器位置中的每一個(gè)與被撤銷證書(shū)標(biāo)識(shí)符的哈希函數(shù)相對(duì)應(yīng)�����; 用于使得所述計(jì)數(shù)器過(guò)濾器中的值轉(zhuǎn)換為二進(jìn)制值從而大于零的值被轉(zhuǎn)換為一以便形成二進(jìn)制過(guò)濾器的部件���;以及 用于使得對(duì)所述二進(jìn)制過(guò)濾器進(jìn)行傳輸以便向另一實(shí)體提供所述證書(shū)撤銷列表的部件。
23.根據(jù)權(quán)利要求22所述的裝置��,其中所述計(jì)數(shù)器過(guò)濾器是計(jì)數(shù)器布隆過(guò)濾器����,并且其中所述二進(jìn)制過(guò)濾器是二進(jìn)制布隆過(guò)濾器。
24.根據(jù)權(quán)利要求23所述的裝置�,其中使得進(jìn)行壓縮的部件包括用于將所述計(jì)數(shù)器布隆過(guò)濾器用于壓縮的部件,其中所述計(jì)數(shù)器位置針對(duì)添加到所述證書(shū)撤銷列表中的每個(gè)證書(shū)的相應(yīng)的哈希而被遞增一���,并且所述計(jì)數(shù)器位置針對(duì)從所述證書(shū)撤銷列表中刪除的每個(gè)證書(shū)的相應(yīng)的哈希而被遞減一���。
全文摘要
一種用于針對(duì)證書(shū)撤銷提供有效管理的方法可以包括存儲(chǔ)包括撤銷列表的數(shù)字證書(shū)的標(biāo)識(shí)符列表,該撤銷列表定義了收集器中的被撤銷的證書(shū)的列表����;以與該撤銷列表中的至少一些條目相關(guān)聯(lián)的方式存儲(chǔ)證據(jù)值�����,其中該證據(jù)值提供針對(duì)該撤銷列表中的標(biāo)識(shí)符的成員資格或非成員資格的證明�;使得能夠響應(yīng)于每次在該撤銷列表中插入或刪除條目而生成新的收集器和新的證據(jù)值���;以及使得能夠使用減小的位長(zhǎng)度值對(duì)該撤銷列表進(jìn)行批量更新��,該減小的位長(zhǎng)度值是根據(jù)基于向該撤銷列表中添加的元素而生成的值與基于從該撤銷列表中刪除的元素而生成的值的比率而生成的����。還提供了對(duì)應(yīng)的裝置���。一種用于證書(shū)權(quán)威機(jī)構(gòu)(CA)的方法�����,該證書(shū)權(quán)威機(jī)構(gòu)利用布隆過(guò)濾器來(lái)進(jìn)行證書(shū)撤銷列表(CRL)壓縮����,其使CA能夠僅對(duì)將要被解除撤銷的條目進(jìn)行哈希運(yùn)算,從而在避免針對(duì)每次解除撤銷計(jì)算整個(gè)CRL的同時(shí)提供良好的壓縮率���。
文檔編號(hào)H04W12/06GK103190165SQ201080069980
公開(kāi)日2013年7月3日 申請(qǐng)日期2010年11月5日 優(yōu)先權(quán)日2010年11月5日
發(fā)明者A·瑪沙坦, I·亞德, R·查鮑尼, P·V·涅米, S·瓦德內(nèi) 申請(qǐng)人:諾基亞公司