CA中心证书撤销机制研究

本文分析了基于X.509标准的公钥基础设施数字证书授权机制,通过对PKI技术的阐述分析了在PKI系统中各种证书撤销方式原理、优缺点和适应的网络环境。     

一种新的PKI证书撤销机制

根据PKI证书撤销机制的评价标准，对当前几种证书撤销机制－分段式CRLs,Delta-CRLs和重叠发布CRLs进行了分析比较。针对这几种机制的优缺点，提出了一种新的PKI证书撤销机制－重叠发布滑动窗口分段式Delta-CRLs，分析了该机制的性能。该机制减小了信任方所需下载的CRL大小，降低了CRL库的峰值负荷和平均负荷，改善了时间碎片问题和可扩展性问题。     

基于Web的证书管理系统的设计与实现

公钥基础设施PKI(Public Kcy Infrastructure)已成为当前解决信息安全问题的主流方法。如何构建安全可靠的证书管理系统是PKI技术的主要问题之一。从安全性和扩展性角度提出了一个基于Web的证书管理系统的框架模型，着重阐述了模型中证书数据处理和主要的证书管理机制，并讨论了实现证书管理系统的关键技术。     

基于CA缓存的快速公钥基础设施认证

公钥基础设施(PKI)通过公钥算法来实现身份认证和密钥交换,但由于其采用集中管理的模式,容易成为网络访问的瓶颈.为了解决PKI存在的效率问题,提出一种缓存认证模式.该模式结合了对称根密钥缓存和公钥证书缓存的优点,并将缓存认证扩展到认证中心(CA)与认证中心之间,以增加缓存信息的复用率.同时,通过引入改进的证书撤销列表(CRL)查询机制,提高CRL查询的效率.性能分析结果表明: 与通用的X.509协议相比, CA缓存认证可以有效减少认证过程中的CRL查询及网络通信的次数.该认证模式在缓解PKI瓶颈问题的同时,较好地保证了认证的安全性和完整性.     

基于OCSP的域间证书验证的研究

介绍了PKI中两种证书撤销方式以及它们的特点,分析了交叉认证中证书验证存在的问题。根据在线证书状态协议（OCSP）的要求以及使用穿越NAT技术,提出了一个不同信任域之间证书撤销信息的验证机制。     

分段重复发布证书撤销方案的分析与研究

随着电子商务和电子政务不断的普及,数字证书作为网上安全的重要工具,占有着举足轻重的地位．证书撤钨机制是PKI面临的一个主要的问题．许多撤销机削已经毂提出,CRL是最简单、最容易的实现方法,但是如何有效地分布已经撤销的证书是CRL所面临的一个挑战．提出利用折叠运算对证书进行分段,形成证书分段链表,并对不同的链表分配不同的发布时间．进行了效率分析,证明提出的改进方案是有效的．     

证书验证树CVT的扩展

通过对证书验证树和证书吊销列表的比较，得出两者总体性能的一致性结论；通过一次性为签名人颁发更多的短时效证书，将证书验证树方案进一步扩展，得到的方案与前两个方案在性能上完全具有可比性，并且继承了原方案的大部分优点。说明在设计PKI系统时，可以在存储量、计算量和通信量3个复杂度指标之间做一调和，以达到不同的应用目的。     

利用对等网技术实现证书作废信息分发

证书作废信息的分发是限制公钥基础设施大规模部署的一个重要因素 .回顾了主要的证书作废信息分发方案 ,结合对等网技术 ,提出一个新的证书作废信息分发方案 .新方案大大降低了目录服务器的性能瓶颈和单点失效的风险 ,减少了证书作废信息分发的时间延迟     

基于CPK的安全中间件

安全中间件是解决网络安全复杂性的有效方法,当前安全中间件都是建立在PKI技术的基础上.与PKI系统相比,CPK是一种更适合于有序世界的新的密钥管理体制.本文在CPK技术的研究基础上,结合OpenSSL提出了基于CPK的安全中间件的实现方法.     

PKI机制中证书撤销清单数据加速存取的研究

目前认证中心在实际运用中衍生出的很多问题,如X.509未定义证书数据储存结构、密钥证书数量易于过度激增及证书撤销清单（Certificate Revocation List）过大等问题,这些问题不仅降低CA运作的效率,也减低使用者更新的意愿,间接造成安全问题。本研究即针对X.509 V3所定义的公钥证书格式的特点及数据的特性,利用使用者属性有效期限字段及变动字节编W码法两种方法,应用在公钢证书数量及证书撤销清单的缩减上。     

具有局部验证者撤销的短群签名方案

针对局部验证者撤销群签名中如何降低计算量、缩短签名长度等问题,提出了一种具有局部验证者撤销群签名方案.基于强Diffie-Hellman假设和判定性三重Diffie-Hellman假设,通过群管理员与群成员共同生成密钥来实现防陷害性,通过验证撤销列表中的量与某个签名已知量的等同情况,使得撤销验证计算量与撤销列表长度无关,从而避免了双线性运算,克服了以往局部验证者撤销群签名方案的撤销验证计算量与撤销列表长度呈线性增长的缺点.所提方案的签名长度为1 533 b,比已有方案的签名长度缩短了30%～47%.     

支持撤销的多授权中心访问控制方案

为了缓解单授权中心的计算压力,近些年提出了多授权中心的访问控制方案.这些方案对于用户及属性的撤销问题并没有有效地解决.本文提出了一种基于CP-ABE的支持用户和属性撤销的多授权中心访问控制方案.通过引入密钥加密密钥（key encryption key,KEK）树实现用户和属性层级的撤销,同时将计算压力分散给多个授权中心,并将部分解密交给云服务器,减少了用户的计算消耗.通过安全性证明和实验结果表明,方案可以抵御合谋攻击,同时有效地降低撤销过程中密文和密钥更新的消耗时间.￣      

基于改进的Fiat－Shamir签名协议的组播认证方案

提出了一个新的组播认证方案,该方案基于改进的Fiat-Shamir签名协议和双哈希链技巧.Fiat-Shamir签名协议是基于零知识和二次剩余协议,安全性可以得到保证;双哈希链技巧的使用又大大提高了认证效率。     

基于改进遗传算法的自适应越区切换方案

针对列车通信在越区切换过程中切换触发率和切换成功率均较低的问题, 提出一种基于改进遗传算法的自适应联合判决切换算法. 首先, 以遗传算法为基础, 在高速特性下对切换判决过程中的相关参数进行优化, 针对列车的不同运行速度动态选择出满足快速切换需求的迟滞容限值； 其次, 引入满意通信概率（SCP), 当列车在小区之间移动时, SCP值达不到要求的将不能接入下一个小区, 以保障通信质量的优良. 仿真结果表明, 与传统切换方案相比, 该方案可实现提高切换触发率和切换成功率的目标, 具有较高的满意通信概率.     

基于改进遗传算法的自适应越区切换方案

针对列车通信在越区切换过程中切换触发率和切换成功率均较低的问题, 提出一种基于改进遗传算法的自适应联合判决切换算法. 首先, 以遗传算法为基础, 在高速特性下对切换判决过程中的相关参数进行优化, 针对列车的不同运行速度动态选择出满足快速切换需求的迟滞容限值; 其次, 引入满意通信概率（SCP), 当列车在小区之间移动时, SCP值达不到要求的将不能接入下一个小区, 以保障通信质量的优良. 仿真结果表明, 与传统切换方案相比, 该方案可实现提高切换触发率和切换成功率的目标, 具有较高的满意通信概率.     

基于改进伪Zernike矩的数字水印算法

抵抗几何变换一直是水印算法研究的难点和重点,构造图像强的几何不变性空间是解决问题的一种思路.图像的伪Zernike矩具有较强的旋转不变性,通常在模式识别中有着广泛应用.利用数字图像伪Zernike矩的旋转不变性进行改进,对矩归一化,使得归一化后的矩在保持旋转不变性的同时,还具有缩放不变性.直接在图像的矩上嵌入水印需要重建图像,会严重破坏图像质量,且计算量巨大,本文提出改进的嵌入方案,结合图像的伪Zernike矩重构水印信息,直接添加在图像空域内,避免图像的重建,不仅保证图像质量,时间效率也有大幅提高.实验结果表明,提出的方法在对抗常规信号处理及图像旋转、缩放等方面有较好的鲁棒性.     

一种带验证和撤销的组密钥分发方案

提出一种在无线传感器网络中具有正确性验证和头结点撤销功能的组密钥更新方案. 通过建立组密钥之间的冗余关联,实现了在不增加结点负担的情况下,合法结点利用当前广播消息和自身秘密恢复丢失的组密钥. 利用撤销多项式实现对结点和头结点的撤销,此外还能提供密钥的正确性验证. 分析表明,在没有增加计算开销和通信开销情况下本方案具有更好的安全性.     

基于离散对数问题的盲数字签名改进方案

盲数字签名在电子选举协议、安全电子支付等领域应用广泛.针对已有离散对数盲数字签名方案的缺陷,基于求解离散对数问题的困难性,提出了一个改进型盲数字签名方案,可以同时满足盲数字签名的正确性、匿名性、不可伪造性和不可追踪性等特性要求.     

一种基于反馈的Raptor码编码改进方案

针对Raptor码译码的最后阶段出现译码效率明显降低的问题,提出了一种基于反馈的Raptor码编码改进方案:在译码器译出一定数量的中间数据包后,反馈一次信息给编码器,编码器调整参与编码的数据包。通过仿真的方法得到了最佳的反馈控制点,并对改进方案的性能进行了仿真。仿真结果表明:与原来Raptor码的编码方案相比,改进的方案明显提高了最后阶段的译码效率,减小了译码开销。     

一种基于DSA群数字签名方案的改进

介绍了数字签名和群数字签名的概念，针对群数字签名方案的两点不足，即不能添加新成员有数字签名中心的验计计算较大，对其提出改进方案，设计了基于DSA变体的改进的群数字签名方案。