一种面向车联网的高效条件匿名认证方案

针对传统基于公钥基础设施(Public Key Infrastructure,PKI)的匿名证书方案需要更新的问题,提出一种车联网匿名证书分发机制,车辆从途经的路侧单元(Road Side Unit,RSU)获得临时匿名证书,并利用该证书进行消息广播.因而不存在复杂的证书管理问题,并且车辆在认证消息时也不需要耗时的证书撤销列表(Certificate Revocation List,CRL)检查,显著提高了认证效率.安全分析表明本文方案满足匿名性、不可关联性、可追踪性、撤销性及消息完整性,能够抵抗伪造攻击、假冒攻击和重放攻击,特别是与已有类似方案相比较,能够抵抗RSU的关联攻击.实验结果显示本文方案具有较高的计算效率,具有实际应用价值.     

具有局部验证者撤销的短群签名方案

针对局部验证者撤销群签名中如何降低计算量、缩短签名长度等问题,提出了一种具有局部验证者撤销群签名方案.基于强Diffie-Hellman假设和判定性三重Diffie-Hellman假设,通过群管理员与群成员共同生成密钥来实现防陷害性,通过验证撤销列表中的量与某个签名已知量的等同情况,使得撤销验证计算量与撤销列表长度无关,从而避免了双线性运算,克服了以往局部验证者撤销群签名方案的撤销验证计算量与撤销列表长度呈线性增长的缺点.所提方案的签名长度为1 533 b,比已有方案的签名长度缩短了30%～47%.     

分段重复发布证书撤销方案的分析与研究

随着电子商务和电子政务不断的普及,数字证书作为网上安全的重要工具,占有着举足轻重的地位．证书撤钨机制是PKI面临的一个主要的问题．许多撤销机削已经毂提出,CRL是最简单、最容易的实现方法,但是如何有效地分布已经撤销的证书是CRL所面临的一个挑战．提出利用折叠运算对证书进行分段,形成证书分段链表,并对不同的链表分配不同的发布时间．进行了效率分析,证明提出的改进方案是有效的．     

一种可撤销的属性签密方案

属性签密机制在实际运用中受限于属性撤销效率低的问题,传统的属性签密方案大都无法实现撤销操作并高效解决上述问题;针对云存储环境下属性签密方案中无法实现属性撤销且开销较大的不足,提出一种属性可撤销的签密方案。在签密技术实现同时加密与签密目的的基础上,结合密钥分割和代理重加密方法,达到属性撤销的目的。引入中间代理结构,基于撤销列表建立属性撤销协议提高撤销效率,实现基于属性密码并且属性可撤销的签密方案,并对方案的安全性进行证明。     

一个新的无第三方的代理签名方案

原变青等人的新型可撤销代理权的代理签名方案是一个安全且高效的方案,但是这个方案中提到的服务器上的列表还可以减少。基于此,现提出一个新的无需第三方的代理签名方案,方案基于离散对数,重新设置了参数,并且使得服务器上的列表减少为一个,方案可以撤销代理签名人的权利,能够满足正确性分析和安全性分析。     

可撤销属性的格基属性加密方案

针对量子环境下属性加密体制中属性撤销的问题,结合Zhang等提出的格上基于密文的属性加密方案,在格上构建了一个可撤销属性的格基属性加密方案。通过属性撤销列表,在二叉树结构下将未被撤销属性对应的密钥进行更新,从而达到撤销属性的目的。利用Shamir门限秘密共享的思想,实现了门限访问控制策略。该方案在随机预言机模型下是选择性安全的,安全性规约到错误学习问题。分析表明该方案在量子攻击下是安全的,并且支持灵活的门限访问控制策略。     

证书验证树CVT的扩展

通过对证书验证树和证书吊销列表的比较，得出两者总体性能的一致性结论；通过一次性为签名人颁发更多的短时效证书，将证书验证树方案进一步扩展，得到的方案与前两个方案在性能上完全具有可比性，并且继承了原方案的大部分优点。说明在设计PKI系统时，可以在存储量、计算量和通信量3个复杂度指标之间做一调和，以达到不同的应用目的。     

一种用于Ad Hoc网络的分布式证书撤销算法

分析了Ad Hoc网络安全基础设施存在的问题,提出了一种用于Ad Hoc网络的分布式证书撤销算法．该算法把证书的撤销分为无条件撤销和有条件撤销两类．利用撤销矩阵R(T)和权值向量W(T)分别对网络节点之间的撤销关系和网络节点的可信度进行描述,并引入撤销影响因子α来限制单个节点撤销操作的力度,增加多节点联合撤销的力度,以提高撤销的可靠性．通过权值迭代关系式逐步实现网络运行过程中权值的不断更新变化．最后定量分析了分布式证书撤销算法的可靠性,以及撤销影响因子α的取值和其对证书撤销可靠性的影响。     

基于SSL证书认证中间件的安全性分析

安全套接字层SSL证书认证具有信任链验证、主机验证、证书撤销及证书扩展机制。定义了抽象化SSL协议栈内部SSL库的使用,扩展了用于连接的缺省值设置方法,阐述了信任链验证的OpenSSL应用程序接口具有不同有效主机名组成限制及证书列表匹配要求。在分析OpenSSL内部数据结构及数据运输层建立HTTPS连接机制的基础之上,揭示了JSSE不执行自身主机验证建立SSL连接的缺陷,并提出通过形式验证技术和编程来实现自动检查应用程序是否正确使用SSL库的关键选项与参数的解决策略。     

基于OCSP的域间证书验证的研究

介绍了PKI中两种证书撤销方式以及它们的特点,分析了交叉认证中证书验证存在的问题。根据在线证书状态协议（OCSP）的要求以及使用穿越NAT技术,提出了一个不同信任域之间证书撤销信息的验证机制。     

可撤销的多用户无证书加密

无证书密码体制既没有传统公钥密码体制中的证书管理问题，也没有基于身份公钥密码体制中的密钥托管问题。在多用户加密机制中，数据发送者将数据加密之后，把密文发送给多个用户，每个用户利用自己的私钥进行解密获得明文。但由于一些原因(离职，生病等等),部分用户的权利需要被撤销。因此，构造一个可撤销的多用户的无证书的方案是有意义的。首先，提出了一个可撤销的多用户无证书加密方案；然后，在随机预言模型下对方案进行了安全性证明；最后，进行了效率比较，与现存的一些方案相比，新方案具备了更多的功能，更高的运行效率。     

VANET中面向安全通信的隐私保护协议

车载网VANETs(vehicular ad hoc networks)的隐私安全问题,提出隐私保护安全通信协议PPSCP(privacy preserving secure communication protocol)。PPSCP匿名地认证安全消息,从而保护车辆隐私,阻止非法车辆跟踪,并且平衡了隐私与身份识别的关系。同时PPSCP采用了有效的撤销机制,降低了撤销列表的尺寸。此外,PPSCP能够防御重放攻击和拒绝服务攻击。通过与S3P的安全性能对比分析,结果表明,PPSCP有效地降低了安全消息处理时延,减少了撤销列表尺寸,占用带宽少,提高数据传输率。     

PKI机制中证书撤销清单数据加速存取的研究

目前认证中心在实际运用中衍生出的很多问题,如X.509未定义证书数据储存结构、密钥证书数量易于过度激增及证书撤销清单（Certificate Revocation List）过大等问题,这些问题不仅降低CA运作的效率,也减低使用者更新的意愿,间接造成安全问题。本研究即针对X.509 V3所定义的公钥证书格式的特点及数据的特性,利用使用者属性有效期限字段及变动字节编W码法两种方法,应用在公钢证书数量及证书撤销清单的缩减上。     

一种新的PKI证书撤销机制

根据PKI证书撤销机制的评价标准，对当前几种证书撤销机制－分段式CRLs,Delta-CRLs和重叠发布CRLs进行了分析比较。针对这几种机制的优缺点，提出了一种新的PKI证书撤销机制－重叠发布滑动窗口分段式Delta-CRLs，分析了该机制的性能。该机制减小了信任方所需下载的CRL大小，降低了CRL库的峰值负荷和平均负荷，改善了时间碎片问题和可扩展性问题。     

政府内网CA的设计与实现

为解决网络安全问题,世界各国对其进行了多年的研究,初步形成了一套完整的基于Internet的安全解决方案,即目前被广泛采用的公钥基础设施PKI,而签发数字证书的CA则是PKI的核心。CA的基本功能有：证书签发、证书更新、证书撤销和证书验证。其核心功能就是发放和管理数字证书。     

一个新的基于门限RSA的分布式认证服务方案

分布式网络网络存在很多安全隐患,采用成员认证服务可以保证系统安全。基于门限签名的算法,可以保证分布式认证服务。本文基于一个高效的门限RSA签名,给出了一个新的分布式认证服务方案．在该方案下,用户的证书可以被安全的颁发和及时的撤销,同时可以抵抗一定数量的合谋攻击．具有较高的认证效率。     

基于椭圆曲线密码体制的无线传感器网络对偶密钥管理的研究

提出了一种适用于无线传感器网络的基于椭圆曲线密码体制的对偶密钥管理方案,引入了证书服务,可以实现密钥的分配、更新、撤销以及新加入节点时的密钥生成．分析结果表明,与现有的密钥更新方案比较,基于椭圆曲线密码体制的无线传感器密钥更新方案有效地减少了密钥的存储空间;在密钥更新阶段中加入保密和认证功能,增加了网络攻击的难度．     

基于CA缓存的快速公钥基础设施认证

公钥基础设施(PKI)通过公钥算法来实现身份认证和密钥交换,但由于其采用集中管理的模式,容易成为网络访问的瓶颈.为了解决PKI存在的效率问题,提出一种缓存认证模式.该模式结合了对称根密钥缓存和公钥证书缓存的优点,并将缓存认证扩展到认证中心(CA)与认证中心之间,以增加缓存信息的复用率.同时,通过引入改进的证书撤销列表(CRL)查询机制,提高CRL查询的效率.性能分析结果表明: 与通用的X.509协议相比, CA缓存认证可以有效减少认证过程中的CRL查询及网络通信的次数.该认证模式在缓解PKI瓶颈问题的同时,较好地保证了认证的安全性和完整性.     

标准模型下基于属性的高效证明方案

针对可信计算环境下,传统平台认证中所带来的平台配置信息泄露的问题,提出了一个新型的基于属性的证明方案.建立了该方案的模型,给出了方案的具体构建,包括初始化、属性证书颁发、属性证明及验证、撤销等算法.与现有基于属性的证明方案相比,该方案的通信代价更小,计算效率更高.在标准模型下对该方案进行了安全性证明,结果说明了它的正确性、配置隐匿性及不可伪造性等.     

P2P网络的节点安全认证

为了满足P2P网络中节点安全认证的需求，确保消息路由的可靠性，提出一种“身份认证码统一发放、分布式认证”（CIADA）的节点安全认证方案，该方案改进了“可信第三方”（TrP）信任模型，利用安全动态累积函数有效地实现了节点间的交互认证、节点的动态加入与删除，并且支持域间认证以及域的合并，CIADA认证方案充分考虑了P2P网络的自组织性、动态性及可扩展性，其与PKI技术具有相同的安全强度，并且克服了现有分布式认证方案中证书获取、证书撤销、跨域认证等困难，因此更适用于P2P网络的节点安全认证。