CA中心证书撤销机制研究

本文分析了基于X.509标准的公钥基础设施数字证书授权机制,通过对PKI技术的阐述分析了在PKI系统中各种证书撤销方式原理、优缺点和适应的网络环境。     

基于X.509标准的证书交换接口的安全性研究

基于互联网的应用日益普遍,安全性和登录灵活性越来越成为使用者关心的问题.基于X.509标准的证书登录很好的解决了安全性,QQ互联方式很好的满足了登录的灵活性,本文将这两种技术结合到一起,提出一种新的登录认证模型,很好地解决了安全性与灵活性.     

基于X.509的VPN的安全认证模型

目前VPN广泛应用,但没有一个完善的认证体系,针对于此,提出了基于X.509技术的VPN安全认证模型。论述了确定怎样为VPN通道颁发X.509数字证书,怎样进行证书体系管理的问题,实现了CA系统的证书认证PKI体系在VPN中的安全认证模型。可用于使用公钥认证的VPN中。     

WebLogic中证书路径的生成与验证

证书路径处理是实现Internet公钥基础设施中安全认证的重要技术.本文研究了WebLogic中查找和验证X509证书链的证书查找和验证方法,使用WebLogic Server的默认证书路径提供程序,给出生成和验证X509证书链的应用程序代码,以实现对WebLogic资源的保护.     

数字证书技术初识

数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。最简单的数字证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下，数字证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。 一个标准的X.509数字证书包含以下一些内容：证书的版本信息； 证书的序列号，每个证书都有一个唯一的证书序列号； 证书所使用的签名算法； 证书的发行机构…     

基于CA缓存的快速公钥基础设施认证

公钥基础设施(PKI)通过公钥算法来实现身份认证和密钥交换,但由于其采用集中管理的模式,容易成为网络访问的瓶颈.为了解决PKI存在的效率问题,提出一种缓存认证模式.该模式结合了对称根密钥缓存和公钥证书缓存的优点,并将缓存认证扩展到认证中心(CA)与认证中心之间,以增加缓存信息的复用率.同时,通过引入改进的证书撤销列表(CRL)查询机制,提高CRL查询的效率.性能分析结果表明: 与通用的X.509协议相比, CA缓存认证可以有效减少认证过程中的CRL查询及网络通信的次数.该认证模式在缓解PKI瓶颈问题的同时,较好地保证了认证的安全性和完整性.     

基于TLS协议的多证书跨域认证

针对TLS协议不兼容IBC及Kerberos等证书的问题,通过在TLS协议中增加新的密码组,提出一种支持多证书跨信任域认证的TLS协议改进方法。用IBC公钥代替X.509证书公钥,实现基于IBC的身份认证,并通过在TLS协议中嵌入Kerberos认证流程,使用Kerberos证书实现互认证,进而扩展协议消息以支持新的密码组。该方法不改变TLS协议的结构,技术实现简单,认证效率高,便于部署。     

X.509证书的一种生成算法

数字证书是在网上实现安全信息交流的重要手段。提出了一个基于X.509数字证书的生成算法，该算法能够自动依据各类实体的不同证书需求生成所需的数字证书。     

基于SSL证书认证中间件的安全性分析

安全套接字层SSL证书认证具有信任链验证、主机验证、证书撤销及证书扩展机制。定义了抽象化SSL协议栈内部SSL库的使用,扩展了用于连接的缺省值设置方法,阐述了信任链验证的OpenSSL应用程序接口具有不同有效主机名组成限制及证书列表匹配要求。在分析OpenSSL内部数据结构及数据运输层建立HTTPS连接机制的基础之上,揭示了JSSE不执行自身主机验证建立SSL连接的缺陷,并提出通过形式验证技术和编程来实现自动检查应用程序是否正确使用SSL库的关键选项与参数的解决策略。     

一种用于Ad Hoc网络的分布式证书撤销算法

分析了Ad Hoc网络安全基础设施存在的问题,提出了一种用于Ad Hoc网络的分布式证书撤销算法．该算法把证书的撤销分为无条件撤销和有条件撤销两类．利用撤销矩阵R(T)和权值向量W(T)分别对网络节点之间的撤销关系和网络节点的可信度进行描述,并引入撤销影响因子α来限制单个节点撤销操作的力度,增加多节点联合撤销的力度,以提高撤销的可靠性．通过权值迭代关系式逐步实现网络运行过程中权值的不断更新变化．最后定量分析了分布式证书撤销算法的可靠性,以及撤销影响因子α的取值和其对证书撤销可靠性的影响。     

一种面向车联网的高效条件匿名认证方案

针对传统基于公钥基础设施(Public Key Infrastructure,PKI)的匿名证书方案需要更新的问题,提出一种车联网匿名证书分发机制,车辆从途经的路侧单元(Road Side Unit,RSU)获得临时匿名证书,并利用该证书进行消息广播.因而不存在复杂的证书管理问题,并且车辆在认证消息时也不需要耗时的证书撤销列表(Certificate Revocation List,CRL)检查,显著提高了认证效率.安全分析表明本文方案满足匿名性、不可关联性、可追踪性、撤销性及消息完整性,能够抵抗伪造攻击、假冒攻击和重放攻击,特别是与已有类似方案相比较,能够抵抗RSU的关联攻击.实验结果显示本文方案具有较高的计算效率,具有实际应用价值.     

基于OCSP的域间证书验证的研究

介绍了PKI中两种证书撤销方式以及它们的特点,分析了交叉认证中证书验证存在的问题。根据在线证书状态协议（OCSP）的要求以及使用穿越NAT技术,提出了一个不同信任域之间证书撤销信息的验证机制。     

本科层次职业教育1+X证书制度建设及实施路径 ——以旅游大类专业1+X证书为例

从1+X证书制度在本科层次职业教育试点院校建设的背景、意义和要求入手,比较"双证书"制度和"1+X证书"制度的区别与联系.以旅游大类专业为例,阐述本科层次职业教育试点及1+X证书试点现状,提出本科层次职业教育1+X证书制度建设的实施路径.通过问题剖析,提出本科层次职业教育1+X证书制度建设的政策建议.     

国家撤奖会否也是一片浮云?

2011年2月1日,科技部网站发布通告:2005年国家科学技术进步奖二等奖获奖项目"涡旋压缩机设计制造关键技术研究及系列产品开发"的推荐材料中存在代表著作严重抄袭和经济效益数据不实问题,决定撤销上述项目所获2005年国家科学技术进步奖二等奖,收回奖励证书,追回奖金.     

IPSec在下一代互联网IPv6中的研究

本文针对目前国内IPSec研究领域中存在的一些问题,深入研究了人工建立IPSec连接的过程和X.509认证机制,用两种不同的方式在Linux 2.6平台的IPv6网络中建立了一远程访问IPSec VPN,结合X.509认证,为网络通信提供了高等级的多种安全服务.     

基于PKI的证书撤销列表机制的研究

证书撤销是PKI中的一个关键性操作,目前证书撤销的实现方案有很多种,但最常用的方案是证书撤销列表。本文对当前的主要应用最广泛的证书撤销列表机制进行了分析,并比较它们的优缺点。     

基于AES和ECC的混合密码系统研究

解析了AES(Rijndael)的算法过程,分析了X.509协议的安全性,在改进的X.509协议的基础上设计了一种基于AES和ECC算法的混合密码系统.     

可撤销的公钥加密方案的形式化分析

通常的密码系统,IBE或者PKI都必须提供从系统中撤销用户私钥的途径,同样PEKS也应该提供撤销陷门的方式.本文研究了可高效撤销的无需安全信道的带关键字搜索公钥加密方案的形式化定义及安全模型.基于BDH问题,可证明方案的安全性.     

一种新的PKI证书撤销机制

根据PKI证书撤销机制的评价标准，对当前几种证书撤销机制－分段式CRLs,Delta-CRLs和重叠发布CRLs进行了分析比较。针对这几种机制的优缺点，提出了一种新的PKI证书撤销机制－重叠发布滑动窗口分段式Delta-CRLs，分析了该机制的性能。该机制减小了信任方所需下载的CRL大小，降低了CRL库的峰值负荷和平均负荷，改善了时间碎片问题和可扩展性问题。     

客户敏感信息在开放域环境中的保护

人们普遍关注的是在传统的Client/Server模型中服务器上资源的安全性保护,而往往忽视了对客户端信息的保护,尤其是对客户端敏感信息的保护.本文以公钥基础设施、权限管理基础设施和X.509标准中发布的属性证书为理论基础,提出了在开放域环境中与服务器端逻辑地位对等的、保护客户端敏感信息的安全访问控制模型.该模型可以很好的解决现在的一些系统中存在的种种安全问题,并且可以可以扩展成多域之间的安全互访问模型.