PKI／CA系统互操作技术实现模型分析

公钥基础设施和数字认证(PKI／CA，Public Key Infrastructure and Certifieadon Authorides)体系的应用已覆盖了电子商务、电子政务和电子事务等诸多领域，它是一个广泛应用的保障电子信息安全的解决方案。目前技术实现和安全策略的差异所造成的CA之间的互操作问题反过来制约了数字认证技术的应用。笔者在对互操作技术及国内外互操作技术实现模型作全面讨论基础上，论述了互操作研究的紧迫性及其广阔的应用前景，探讨了实施互操作需要解决的几个关键问题，并提出了解决方案的建议。     

PKI/CA技术的起源、现状和前景综述

随着网络技术的发展，网络安全问题越来越受关注，公开密钥基础设施(PKI)技术为全面解决网络安全问题提供了可行方案。各国政府先后提出了自己的PKI体系统结构及其工作原理。回顾了PKI／CA技术的起源，分析了PKI／CA的基本原理，阐述了PKI／CA的国内外应用现状及其应用前景，并描述了PKI领域存在的问题。     

电子商务中安全控制策略的研究

本文基于PKI／CA技术，提出了在开放的Internet环境下实现电子商务信息安全、可靠、何效地传输，以及进行身份鉴别等方面的技术应用，并对PKI自身的安全性以及在具体应用中所存在的一些问题进行了分析。     

基于PKI的分布式认证系统证书路径的构建

在分布式网络环境中，合理构建证书路径并进行验证是实现各CA信任域互操作的关键。为此，讨论了几种典型的PKI信任模型，并对证书路径建立的复杂性进行了分析，提出了一些优化建议。     

基于PKI/CA的OA系统安全设计

PKI/CA技术作为信息安全建设的基石,在电子政务的网上办公系统安全体系建设中起着关键性的作用。通过分析PKI/CA系统安全体系的构成、及传统模式下单位内部文件处理的一般程序。针对一个实际的网上办公系统,给出了基于PKI/CA安全技术的实现策略,并阐述了此模式中的身份认证和密钥管理机制。     

基于安全证书的PKI解决方案

通过对PKI密码技术的各种证书组成的证书链漏洞进行密码分析,公开了黑客可能针对PKI密码技术安全漏洞实施攻击的具体方法。同时,针对PKI密码技术漏洞也提出了一种基于安全证书的PKI解决方案,即采用加密卡(或加密机)硬件设备和组合密钥技术,将CA认证中心的各种CA证书分别加密成密文存储,或以明文形式存储在加密芯片里,保证各种CA认证中心的安全协议在加密芯片里实现,从而建立基于安全加密"芯片级"的PKI安全协议。     

CORBA/IOP的语义初探

用π－演算刻划ＣＯＲＢＡ／ＩＯＰ环境下涉及多个ＯＲＢ的分布式对象计算过程，重点描述多个ＯＲＢ之间的互操作过程．构造了一个高度简化的ＣＯＲＢＡ／ＩＯＰ的π－演算模型．借助于这个模型，演示了ＣＯＲＢＡ／ＩＯＰ支持分布式对象计算这个性质．     

PKI技术和网格安全模型的研究

讨论了网格对PKI技术的需求,介绍了PKI的基础设施和网格环境中PKI的认证,提出了利用PKI技术构建基于桥接CA的网格安全模型,最后对该模型进行了分析.     

一类用神经网络实现图像去噪的新方法

提出了一类基于二维细胞自动机(CA)和细胞神经网络(CNN)的图像滤波新方法。通过对两种新的二维CA规则的深入研究，得出了两类CA演化规则能够用于设计新的细胞神经网络，可以实现灰度图像的噪声消除。核心思想是用两个对偶CA规则设计两个CNN网络，联合实现图像滤波处理，能够获得比传统算法好得多的处理速度和效果。仿真结果证明本文的想法是合理的，期望能够在二维CA研究与应用设计方面有所启发和突破。     

多级桥CA模型构建及其LDAP服务器设计

为解决PKI信任体系互联互通问题，在对比分析现有PKI常用5种信任模型优缺点的基础上，借鉴已有信任模型，特别是桥CA模型的优点，提出了一个新的模型——多级桥CA信任（multilevel bridge certificate authority，MBCA）模型．阐述了多级桥CA信任模型的基本原理及其构建方法，给出了其总体架构；在总体框架下，对其原型系统中LDAP服务器进行了设计；并结合具体项目对方案的可行性进行了实验验证和分析．实验证明了该模型的可行性，有望对我国PKI建设工程有所帮助．     

基于信任逻辑的PKI互通信任模型形式化

为了准确描述公钥基础设施(PKI)互通信任模型的语义,提出一种能推理主体信念和信任关系的形式逻辑,并用该逻辑形式化地分析了3个重要的PKI通信任模型.结果表明,这种逻辑能准确表达PKI互通信任模型的语义,揭示模型的优点和弱点,为验证PKI通模型是否满足特定需求提供了一种有效的形式化方法.     

异构信任域的跨域授权

针对跨IBE(基于身份加密)和PKI(公开密钥基础构架)异构域可信互联,提出一种实现跨域授权的解决方案.该方案将PKG和CA作为各自域TPKG和TCA内用户的代理,并把它们注册到对方域内成为特殊用户ClientPKG和ClientCA,借助映射后的ClientPKG和ClientCA构成跨异构域信任链,真实、客观地实现了PKI和IBE域内任意用户的跨域授权.     

基于服务端密钥存储的网络计算机数字证书系统

为了解决在网络计算机系统中部署数字证书系统时存在的终端实体对私钥数据的存储需求和网络计算机无本地存储特性的矛盾,提出一种基于服务端密钥存储的网络计算机数字证书应用系统的设计与实现方案。该方案基于公钥基础设施体系架构,采用了随机数、"盐"和多轮迭代等手段保证系统的安全性,并且通过在客户端进行密钥生成和加解密操作的方式实现了系统的可扩展性。系统实现的结果表明:由于无需借助外部密钥存储设备,该系统在保证安全性和可扩展性的同时,实施复杂度和成本均降低。     

基于服务端密钥存储的网络计算机数字证书系统

为了解决在网络计算机系统中部署数字证书系统时存在的终端实体对私钥数据的存储需求和网络计算机无本地存储特性的矛盾,该文提出了一种基于服务端密钥存储的网络计算机数字证书应用系统的设计与实现方案。该方案基于公钥基础设施体系架构,采用了随机数、盐和多轮迭代等手段保证系统的安全性,并且通过在客户端进行密钥生成和加解密操作的方式实现了系统的可扩展性。系统实现的结果表明:由于无需借助外部密钥存储设备,该系统在保证安全性和可扩展性的同时,实施复杂度和成本得到了降低。     

支持IBE系统的PKCS#11扩充初步研究

随着电子商务、电子政务的迅速发展,公钥基础设施PKI已经获得了广泛的应用.PKCS#11等标准的制定使得不同的密码产品和不同的PKI系统间有了更好的兼容性和互操作性.与传统的PKI方案相比,IBE系统能以表明身份的任意字符串为公钥,不依赖于数字证书.为使IBE系统能和现有的PKI系统兼容,本文提出了扩充密码令牌接口标准PKCS#11以支持IBE系统的方案.     

基于移动代理实现证书状态确认的互操作

介绍了目前证书管理中状态确认的主流机制CRL ,OCSP ,CRT等 ,从实效性、可用性、可控性等方面分析了各种机制的优缺点 ,提出并分析了证书状态确认机制的互操作的架构 .并给出基于移动代理 (MA)技术实现证书状态确认机制灵活、透明的互操作运行模型 ,描述了异构分布系统、工具集、应用集的三层结构 ,定义了工具层各个模块的功能和作用 ,通过开放技术Java ,CORBA等实现系统的良好灵活性和互操作性 .最后描了述系统应用模型 ,完整刻画了基于移动代理实现证书状态确认机制互操作的实现