基于前向安全数字签名的交叉认证研究

交叉认证的安全性由不同PKI信任域的根CA的数字签名来保证。如果根CA密钥泄露,整个PKI体系的信任关系就全部失效。文章分析了交叉认证技术实现的策略,提出了前向安全数字签名的交叉认证思想。     

一种私钥容侵的数字签名方案

数字证书的可信任性取决于数字签名本身的有效性。为增强数字签名的有效性,提出一种认证中心(CA)签名私钥可以容忍入侵的高安全性签名方案。使用RSA算法产生CA私钥,保证私钥的不可伪造性。基于新的(t, n)秘密共享机制将CA私钥进行分存,使用其身份作为私钥份额的标识,提供私钥保护的容侵性。在进行数字签名时,基于RSA签名本身的特性,设计一种无需重构CA私钥的分步签名方案,进一步增强CA私钥的高容侵性。通过仿真实验对(t,n)门限取值结果的影响进行验证,表明方案的有效性。     

基于前向安全数字签名的交叉认证方案

影响PKI发展的主要原因之一是CA对证书管理的困难性。该文基于前向安全数字签名的思想,提出了解决这个问题的新方案。该方案利用前向安全数字签名理论和技术,保证了一个PKI系统在CA签名密钥泄露的情况下损失最小;在CA需要更换签名密钥时效率最高;签名中所含有的时间段信息可以取代时间戳,从而省去了其他PKI系统中必须具有的统一的时间戳服务器;保证了证书路径确认的有效性。     

在线CA的安全增强方案研究

结合椭圆曲线密码体制、门限密码技术和主动秘密共享方案，提出一种基于椭圆曲线可验证门限数字签名的在线CA安全增强方案。该方案将在线CA的签名私钥分发给多个CA共享服务器,并保证任何少于门限值的在线CA共享服务器无法共谋获取、篡改和破坏CA的签名私钥，从而保护了CA签名私钥的机密性、完整性和可用性。     

一种保持XML数字签名有效性的方法

数据安全的目的之一是保证接收者能够得到发送者发送过来的数据,也就是数据在传输过程中没有以任何方式被破坏或者篡改。为了达到这个目的,我们应用了数字签名,它用来提供对签名数据的完整性、消息认证和签名者认证的帮助。XML数字签名可以用来指定或包含用来被签名的数据,讨论了一种签名方式,用来防止当被签名的文档的位置发生变化时导致的数字签名的实效。     

基于校园卡CA的BS模式数字签名设计

数字签名作为保障网上安全通信的一种重要手段面日益受到人们的重视。CA认证作为验证签名的权威机构，在网络通信中起到了越来越重要的作用。文章以公开密钥基础结构PKI理论为基础，针对当前学生信息认证的要求，设计了一种基于校园卡CA的模式的数字签名方案并介绍了实现方法。     

一种适用于大规模移动自组网的密钥管理方案

在移动自组网中当节点数增加时,网络的组成难度、可用性、安全性都会受到极大的影响.针对大规模移动自组网的扩展性需要,提出一种环形CA的密钥管理模型.方案采用传统的门限签名密码体制,CA只与相邻的其它两个CA进行交叉认证,从而减少了交叉认证次数,降低了通信和计算开销,CA之间是绝对信任链关系,有效的防止了恶意签名,同时具有很好的扩展性和鲁棒性,更好的适用于大规模移动自组网.     

基于弱信任关系的可证实签名算法

弱信任关系下的指定的可证实数字签名,以参与的实体仅存在半信任关系为假定,要求签名数据产生与验证的分离性和排它性,证据的零知识性以及证据的防伪和不可转移等.提出了一个基于RSA公钥加密体系的可证实数字签名算法,给出了基于非形式化模型和Camenisch-Michels模型的验证过程,证明了该算法的安全性等价于RSA加解密的安全强度.     

加快网络信任体系建设,为信息化活动提供安全保障

电子商务、电子政务的发展，离不开以PKI／CA为基础的网络信任体系的支持。作为包括各类组织、个人、设备等网络主体提供安全服务的具有普适性的信息安全基础设施，PKI／CA在统一的安全认证标准的规范基础上，提供在线身份认证、数字签名等，解决了信息网络空间中的身份信任问题，能够保证信息网络空间中各种行为主体身份的唯一性、真实性和合法性，保护信息网络空间中各种主体的安全利益。     

一种基于公钥自证明的认证加密方案

针对基于认证证书的数字签名方案中公钥集中保存,系统容易受到主动攻击的缺点,提出了一种新的基于公钥自证明的认证加密方案。该方案中用户匿名注册,并获得由用户与CA共同产生的公钥证明,可以根据用户公钥证明推导其公钥;通信双方的公钥认证与消息签名结合在一起,由消息接收者在认证签名、恢复消息时完成公钥认证,因而减少了存储空间、通信量和计算量。     

小世界网络环境下基于模糊理论的信任评价

信任评价模型可以解决网络中的一些安全问题,但是当网络中的节点数目非常大时,现有全局信任模型的计算量与通信开销比较大,影响了信任模型的推广和应用。针对上述问题,利用小世界网络理论构建了一个基于用户兴趣属性的层次网络模型,建立了基于模糊理论的信任评价模型。分析和仿真结果表明,该模型具有很好的准确性和健壮性;能够快速识别恶意摇摆行为;可扩展性好,如信任路径短,网络开销小。     

面向无线传感器网络的分层路由信任模型

针对无线传感器网络内部不能有效地检测出恶意节点攻击所引发的安全问题,提出一种面向无线传感器网络分层路由的信任模型。该模型能发现来自网络内部攻击的恶意节点并将其排除,提高了无线传感器网络的安全性能。实验结果表明,与TLEACH协议相比,在恶意节点攻击时,该模型的敏感性提高了5%,信任值幅度增加了10%。     

P2P网络的信任评估安全模型研究

5C中针对当前P2P网络安全的需要,提出了一种信任评估网络安全模型,给出了新的信任评估计算方法和仿真实验。文中提出的信任评估模型是属于对等信任模型,该模型适合P2P网络的分布式结构,也适应于P2P网络对节点保持对等、独立、自由和异构的要求。实验结果表明,在P2P网络中建立起对等的信任评估模型,其效果是明显的。P2P网络中的节点能通过模型算法来判断来访节点的情况,通过对来访者真实情况的甄别和判断,能拒绝恶意节点的入侵,有效地抑制了网络中恶意节点的攻击成功次数。     

基于区块链的分布式可信网络连接架构

可信网络连接是信任关系从终端扩展到网络的关键技术.但是,TCG的TNC架构和中国的TCA架构均面向有中心的强身份网络,在实际部署中存在访问控制单点化、策略决策中心化的问题.此外,信任扩展使用二值化的信任链传递模型,与复杂网络环境的安全模型并不吻合,对网络可信状态的刻画不够准确.针对上述问题,在充分分析安全世界信任关系的基础上,提出一种基于区块链的分布式可信网络连接架构——B-TNC,其本质是对传统可信网络连接进行分布式改造.B-TNC充分融合了区块链去中心化、防篡改、可追溯的安全特性,实现了更强的网络信任模型.首先描述B-TNC的总体架构设计,概括其信任关系.然后,针对核心问题展开描述：（1）提出了面向访问控制、数据保护和身份认证的3种区块链系统;（2）提出了基于区块链技术构建分布式的可信验证者;（3）提出了基于DPoS共识的的远程证明协议.最后,对B-TNC进行正确性、安全性和效率分析.分析结果表明,B-TNC能够实现面向分布式网络的可信网络连接,具有去中心化、可追溯、匿名、不可篡改的安全特性,能够对抗常见的攻击,并且具备良好的效率.     

移动自组网环境下基于推荐的信任模型

移动自组网是一种有特殊用途的对等式网络,具有无中心、自组织、可快速展开、可移动等特点,这些特点使得它在战场、救灾等特殊场合的应用日渐受到人们的重视.移动自组网络除了要达到传统有线网络中的安全目标外,还有自身特殊的安全需求,而它的特性又使之容易遭受各种攻击.为了更好的抵御行为异常节点对路由机制的干扰,在节点推荐的基础上提出了一种基于移动自组网络环境的信任模型,并给出了该模型的数学分析和分布式实现方法.分析及仿真表明,与现有的模型相比,该信任模型在的安全性等问题上有较大改进.     

无线传感器网络中的分组多层次信任模型?

针对分布式无线传感器网络在实现安全功能时存在着选择安全可靠节点问题,提出一种基于簇的分组多层次信任计算模型,对簇内节点、簇头和基站分层进行信任值计算,找出恶意节点并摒弃,保证完成各项任务的节点是可靠、可信任的。实验结果表明,该方法能提高网络运行的稳定性,优化资源利用,及时有效地识别恶意节点,保证网络的安全。     

基于马尔可夫过程的5G网络功能信任预测机制

第五代移动通信网络(The 5th generation mobile network,5G)已成为全球新一轮科技革命和产业革命的重要驱动力量,服务功能日益完善,面临的安全挑战更加复杂多样。传统防御方法主要通过创建网络边界保护网络内部安全,所应用的网络形态较为单一。基于软件定义网络和虚拟化技术的5G网络愈加开放灵活,网络边界逐渐消失,需要新的安全理念。零信任理论适用于开放性网络的数据安全防护,5G核心网络是由网络功能组成的动态系统,网络功能通信行为可抽象为马尔可夫过程,网络功能信任模型是实现5G零信任安全的重要技术手段。针对此问题,本文提出了基于马尔可夫过程的5G网络功能信任预测机制(Markov Network Function Trust Prediction,MNFTP),此机制包含网络功能信任评估和信任预测。信任评估机制依据行为方式将网络功能分类为合法、伪装、非法,层次分析访问请求安全威胁性并得出信任评分,采用k-means++算法将信任评分归类为五种信任状态。信任预测机制基于马尔可夫过程构建网络功能访问请求信任状态链,结合时间因子和自适应奖惩因子计算马尔可夫状态转移矩阵,通过求解转移矩阵平稳分布得出预测信任状态。最后,网络功能基于预测信任状态抵御不可信的访问请求。实验表明,MNFTP机制相对于现有信任预测机制对伪装网络功能和非法网络功能有更好的抑制效果和信任状态分类能力。     

分布式信任模型直接信任的模糊计算方法

在电子商务、数据通信和网络安全等应用系统中，信任模型是不可缺少的基本机制。但是对于Ad—hoe网络，Peer-to—Peer网络等分布式系统，由于不存在集中专用的服务器，传统的信任模型无法被采用。本文分析了保证分布式信任模型有效性的关键因素，提出了一种新的直接信任模糊计算方法，仿真数据表明，新方法比传统方法更准确。     

Chord-PKI: A distributed trust infrastructure based on P2P networks

Many P2P applications require security services such as privacy, anonymity, authentication, and non-repudiation. Such services could be provided through a hierarchical Public Key Infrastructure. However, P2P networks are usually Internet-scale distributed systems comprised of nodes with an undetermined trust level, thus making hierarchical solutions unrealistic. In this paper, we propose Chord-PKI, a distributed PKI architecture which is build upon the Chord overlay network, in order to provide security services for P2P applications. Our solution distributes the functionality of a PKI across the peers by using threshold cryptography and proactive updating. We analyze the security of the proposed infrastructure and through simulations we evaluate its performance for various scenarios of untrusted node distributions.     

基于行为的网格虚拟组织安全信任模型研究

与传统的安全授权机制相比，信任管理是一种更具表达力，更直接、高效、完善的分布式授权方式，可以适应网格及其应用发展的安全需要。该文研究了信任管理系统中的关键部分――信任模型，对基于行为的网格信任模型，即基本网格行为信任模型和信任中介者模型进行了研究剖析，分析了其优点和不足，并对网格信任模型的未来进行了展望。