核心概念
為了解決智慧電網環境中大量終端設備對線上憑證狀態協定(OCSP)伺服器造成負擔的問題,本文提出了一種結合憑證撤銷清單(CRL)的混合 OCSP 機制,以提高憑證驗證效率和可靠性。
摘要
研究論文摘要
書目資訊
Huang, H.-S., Jiang, Z.-Y., Chen, H.-T., & Sun, H.-M. (2023). Hybrid Online Certificate Status Protocol with Certificate Revocation List for Smart Grid Public Key Infrastructure. In Advances in Intelligent Information Hiding and Multimedia Signal Processing. IIHMSP 2022. Smart Innovation, Systems and Technologies (Vol. 341). Springer, Singapore.
研究目標
本研究旨在探討如何優化智慧電網公鑰基礎設施(PKI)中憑證狀態的查詢效率,特別是在大量終端設備情況下減輕 OCSP 伺服器的負擔。
方法
研究人員提出了一種混合線上憑證狀態協定(Hybrid OCSP),將傳統 OCSP 與憑證撤銷清單(CRL)結合,並透過模擬智慧電網環境進行實驗驗證。
主要發現
- 當 CRL 中的記錄數量超過一定規模時,OCSP 在網路數據效率方面表現更佳。
- 混合 OCSP 允許終端設備根據實際情況選擇使用 OCSP 或 CRL 進行憑證驗證,提高了靈活性。
- 實驗結果顯示,混合 OCSP 伺服器在當前配置下表現可接受,未來可透過增加 CPU 核心數和採用預先編譯方式進一步提升效能。
主要結論
混合 OCSP 為智慧電網 PKI 提供了一種更有效率且可靠的憑證狀態查詢解決方案,尤其適用於擁有大量終端設備的環境。
研究意義
本研究提出了一種針對智慧電網環境優化的憑證管理方案,有助於提升智慧電網的整體安全性。
局限性和未來研究方向
- 目前混合 OCSP 伺服器使用 Python 實現,效能相對較低,未來可考慮使用 C 語言重新開發以提升效能。
- 未來研究可探討如何在混合 OCSP 中實現負載平衡,以進一步提升系統的可擴展性。
統計資料
當 CRL 以 PEM 格式儲存且記錄 consistently 超過 14 條,或以 DER 格式儲存且記錄 consistently 超過 24 條時,建議優先使用 OCSP。
在 4 核心 CPU 上處理 10 萬個 OCSP 請求大約需要 17 分鐘,平均每個請求的處理時間為 0.0102 秒。
在 2 核心 CPU 上處理 1 千個 OCSP 請求大約需要 30 秒,平均每個請求的處理時間為 0.029 秒。
引述
"To optimize computational resource utilization, our initiative involves the development and upkeep of a CRL dedicated to storing revocation certificates, thereby establishing an efficient blacklist."
"This strategic integration empowers the OCSP to diligently identify revoked certificates, thereby effectively conserving computational resources."
"We advocate the adoption of 'Hybrid OCSP,' defined as a mechanism that strategically integrates the advantages of both traditional OCSP and CRL."