利用OpenSSL建立PKI数字证书系统

OpenSSL是一个用标准C写的SSL/TLS实现,该软件工具包包含了完整的加密算法、数字签名算法及证书管理等。在分析该软件工具包结构的基础上,利用其建立一个完整的PKI数字证书系统。     

在NAT后的主机之间建立TCP连接的研究

随着防火墙及网络地址转换（NAT）设备的流行,这对P2P协议建立连接造成了极大的问题。当配置了NAT之后,它们限制了由外网发起到内网的建立连接请求。为解决此问题提出了在两台NAT之后的主机之间直接建立TCP连接的新机制,这种机制只需要来自第三方主机的简单帮助即可。通过这种机制,我们可以在传统NAT之后的两台主机间建立直接的TCP连接。一旦连接建立之后,应用程序就可以使用标准的TCP实现相互通讯了。     

Windows 2003中基于WEB的信息安全通道的构建

介绍了如何在Windows 2003 Server上用IIS服务器建立基于SSL的信息安全通道的全部过程,其中包括对DNS,Active Directory以及CA服务的配置,WEB服务器端证书和客户端证书的申请、安装以及配置,证书链的获取与安装等内容,简述了基于SSL的信息安全通道的原理及应用,阐明了为什么要使用信息安全通道来传输信息,并且提出了IIS服务器上高于128位加密的实验性方案。     

WebLogic中证书路径的生成与验证

证书路径处理是实现Internet公钥基础设施中安全认证的重要技术.本文研究了WebLogic中查找和验证X509证书链的证书查找和验证方法,使用WebLogic Server的默认证书路径提供程序,给出生成和验证X509证书链的应用程序代码,以实现对WebLogic资源的保护.     

一种基于缓存的快速PKI认证模型

在大规模PKI系统中跨域建立证书信任时,为提供高效的证书路径发现及认证算法,基于缓存机制提出了一种系统、灵活的认证框架.该框架模型对于短期缓存认证提出一次一密以提高安全性;对于较长时期的证书缓存提出证书可靠性指数概念,让用户可在安全和效率间权衡.扩展证书缓存及证书可靠性指数到CA间的认证,满足实际网络环境需要,提高了认证效率,消除了上层CA证书验证服务时存在的性能瓶颈问题.     

基于OpenSSL的网络安全通信设计与实现

介绍了SSL（Secure socket layer）安全通信的基本原理,利用OpenSSL库在Windows环境下,采用vc＋＋6．0开发工具,设计和实现了网络安全通信,并给出了详细的实现过程和源代码。     

基于OCSP的域间证书验证的研究

介绍了PKI中两种证书撤销方式以及它们的特点,分析了交叉认证中证书验证存在的问题。根据在线证书状态协议（OCSP）的要求以及使用穿越NAT技术,提出了一个不同信任域之间证书撤销信息的验证机制。     

一种信任管理系统中层次式monitor机制的设计与实现

信任链发现是信任管理的主要内容.由于在分布式环境中凭证分布于各个节点,并且对于相同或相似的请求现有的信任链发现算法需要大量重复的通信和计算开销进行凭证的搜集和验证,极大地影响了信任关系验证的效率.在分布式信任链发现算法的基础上,结合网络中的信任关系相对稳定的特点,基于缓存的原理实现了一个可扩展的层次式monitor机制用于保存信任链发现过程中产生的中间结果,并且采用订阅机制保证其有效性,从而有效避免对相似的信任关系验证而产生的重复通信和计算开销.实验表明,采用该机制的分布式信任链发现算法在信任关系相对稳定的情形下具有较高的效率.     

SSL协议实现与PKI体系的支持

安全套接字层(SSL)协议是一个网络安全通信协议,数字证书是应用SSL协议进行认证和加密的先决条件,证书的签发和管理需要由机构完成。本文简单介绍了SSL协议及实现方法,提出了CA机构的模式。     

PostgreSQL的安全数据传输

开源数据库PostgreSQL采用比较经典的客户端/服务器模式,可以通过SSH(Secure Shell)连接和SSL(Secure Socket Layer)连接方式提高访问的安全性.本文分析了PostgreSQL客户端连接方式,利用PostgreSQL客户端接口库LIBPQ,加密客户端到服务器的网络连接,配置安全套接层建立透明的安全通道,对客户端与服务器之间传输的数据进行加密,增加了数据传输的安全性.     

Web应用中的安全部署

文章描述一个典型的以JSP／Servlet技术开发的示例性Web站点的安全应用部署，即服务器和客户端使用SSL安全连接进行通信，并使用数字证书互相进行身份认证。     

Ubiquitous Computing Identity Authentication Mechanism Based on D-S Evidence Theory and Extended SPKI/SDSI

Ubiquitous computing systems typically have lots of security problems in the area of identity authentication by means of classical PKI methods. The limited computing resources, the disconnection network, the classification requirements of identity authentication, the requirement of trust transfer and cross identity authentication, the bidirectional identity authentication, the security delegation and the simple privacy protection etc are all these unsolved problems. In this paper, a new novel ubiquitous computing identity authentication mechanism, named UCIAMdess, is presented. It is based on D-S Evidence Theory and extended SPKI/SDSI. D-S Evidence Theory is used in UCIAMdess to compute the trust value from the ubiquitous computing environment to the principal or between the different ubiquitous computing environments. SPKI-based authorization is expanded by adding the trust certificate in UCIAMdess to solve above problems in the ubiquitous computing environments. The identity authentication mechanism and the algorithm of certificate reduction are given in the paper to solve the multi-levels trust-correlative identity authentication problems. The performance analyses show that UCIAMdess is a suitable security mechanism in solving the complex ubiquitous computing problems.     

SSL VPN在远程访问图书馆数字资源中的应用研究

针对我国高校目前提供的远程访问图书馆数字资源服务远远不能满足用户需求日益增加的现状,对日趋成熟的SSL VPN远程访问技术及应用进行研究。旨在应用SSL VPN更好的提高我国高校远程访问图书馆数字资源的服务能力,从而满足更多用户远程访问图书馆数字资源的需求。     

基于SWIM卡公钥认证的二阶段握手加密套接层协议

根据普通智能手机移动接入时端端加密的安全需求，提出了一个基于SWIM卡公钥认证的二阶段握手加密套接层（SSL）改进协议．在握手的第1阶段，该协议由SWIM卡完成终端与网关之间基于公钥证书的身份认证，并产生、分发密钥材料．利用第1阶段的认证结果替代标准SSL握手协议的认证部分，利用第1阶段产生的共享密钥、随机数按照标准SSL密钥生成方法生成移动通信双方的会话密钥、初始化向量，进而完成第2阶段的握手SSL改进协议．所提协议的安全性通过了BAN的逻辑推理、证明，其适用性分析结果表明，在端端安全性、通信带宽效率变化、密码运算量和移动终端普适性等方面，它要比无线应用协议更适于移动应用的安全性需要，在相同的实验环境下，移动终端安全接入的时间也从3．5S缩短到1．5S．     

身份认证和安全传输方案的分析与设计——基于B/S系统的网络应用

目前在众多网络应用中,B/S架构应用非常广泛,并且已经成为网络应用的主流。用户的身份认证和数据的安全传输是网络应用系统面临的最大的安全问题,方案利用PKI(PublicKeyInfrastructure)体系和SSL通信协议来解决B/S架构的网络应用系统中身份认证和安全传输问题。     

一种将AES和SSL结合的数据加密算法

分别介绍了高级数据加密标准AES与网络通信加密协议SSL的原理,基于AES算法的性能分析,结合SSL协议身份鉴别、授权认证的优势,将AES与SSL相结合,提出了一种适合于网络实时数据传输安全的新的数据加密算法.最后,重点阐述了该算法的原理及实现过程,并通过测量数据加密传输的网络延时证实:AES与 SSL相结合的混合加密算法在实现授权认证功能、安全密钥传输的基础上,仍继承了 AES算法的实时性,是远程实时数据安全传送的理想算法.     

电子政务安全中无线局域网分层认证的设计与实现

无线局域网已成为电子政务网的重要组成部分,但是由于数据无线传输,所以窃听、身份假冒和信息篡改等攻击对无线局域网构成了威胁,无线接入的便利性同时带来了很多安全隐患。文中主要研究在电子政务具体应用时无线局域网的身份认证设计与实现,分析了当前无线局域网存在的安全威胁,在现有无线局域网基本认证的基础上实现了一种分层认证协议模型,该模型主要包括三方面内容:公钥证书链的形成,域内认证,域间认证。最后用OPNET实现了无线局域网仿真,并在此基础上做了简单的系统性能分析。     

PKI系统中CA服务器的设计与实现

认证机构CA是PK I的核心执行机构,是PK I的主要组成部分,本文简要介绍了PK I的基本组成和CA的架构设计,详细介绍了用Java和O penSSL构建一个小型PK I系统的方法.该PK I系统扩展后可满足一定的安全需求,可用于校园网安全和企业安全应用,能实现CA认证中心的功能,保证网上数据传输的机密性、完整性和不可否认性.