一种自助型证书授权认证中心的设计

证书授权（Certification Authority，CA）的价值表现在权威和技术两个方面，典型的CA认证中心为保证CA的权威性花费了巨大的建设和运营成本。企业应用的特点决定了企业CA可以适当放弃CA的权威性而重点利用CA的技术来解决应用系统的安全问题，自助型CA就是针对企业应用系统的具体情况对CA的简化。在自助型CA认证中心中，没有RA（Register Authority）和独立的证书库，只保留CA服务器，可以随时签发证书，并且与企业应用的访问控制系统融为一体，使用方便，建设和运营成本很低。     

基于单向哈希链和多重证书的网格安全方案

本文分析了网格安全基础设施（Grid Security Infrastructure、GSI）中传统的证书撤销机制存在的问题,并提出了一种新的联合证书撤销方案。该方案使用单向哈希链和多重证书来改进证书撤销机制,CA的部分功能被分散到其它网格节点,避免了网格环境下的拥塞和单点失败。不同CA颁发的证书能够进行交叉认证,用户可以验证证书的有效性而无需从该证书的颁发CA重新获得撤销信息。因此该方案可以保证证书撤销的实时性。为了研究方案性能,和其他三种传统的证书撤销方案进行了对比实验。结果表明,相对传统的证书撤销机制本文所提出的联合证书撤销方案能使峰值请求率降低、峰值带宽变窄、安全风险降低．     

信用CA证书的设计与应用

在借鉴基于PKI体系的数字CA证书成功经验和模式的基础上，结合信用评测中心提出了“信用CA证书”的设计思想（简称CCA），并探讨了信用CA证书系统的具体操作流程夏其应用，最后对信用CA证书与数字CA证书进行了比较与分析。     

基于改进型OCSP的交叉认证方案

针对在线证书状态协议（OCSP）存在的安全、证书信息源及响应器寻址等问题,提出一种改进型OCSP协议以及一个用于交叉认证系统的设计方案。该方案提高了响应器的性能,在检测证书状态的同时还可建立证书路径并验证其是否有效,避免了因信任域结构不同产生的构建证书路径难的问题。     

CA在实现及其在安全Web服务器中的应用

本文介绍了一个具体CA的设计和实现,该CA采用X.509标准证书格式和证书扩展,使用证书撤消列表（CRL）实现证书的撤消,实现了证书管理的基本功能,重点介绍了系统的主要模块的实现方法,将该CA与具体的应用程序结合可以实现安全的Web服务。     

Windows PKI中黑名单查询模块的集成技术研究

数字证书状态的有效验证对于PKI应用而言是非常重要的。Windows PKI平台中自带的黑名单查询模块在功能上和本地化支持上存在不足，无法满足国内的PKI应用需要。本文分析了Windows PKI平台中的黑名单查询机制，提出了在Windows PKI下集成新的黑名单查询模块的方法，实现了对国内CA系统证书查询验证服务的支持，并可支持在线证书状态的验证（OCSP），新开发的黑名单查询模块能紧密集成到Windows PKI平台中，为基于Windows PKI的应用系统准确验证数字证书的合法性提供透明支持。     

CA系统的设计

目前网上身份识别主要采用通过认证中心（CA）对申请证书的用户发放电子证书的方式。本文介绍了依据现有国际标准,能够生成、管理、发放X509（V3.0）证书的认证中心（CA）系统的设计。     

无证书的可搜索加密方案

基于身份的可搜索加密方案（IBEKS）使用身份等信息作为公钥,绑定了公钥和用户（私钥）,省去了CA认证的环节,但是也带来了一些问题,比如密钥托管、密钥撤销等。基于此,首次提出无证书的可搜索方案（CL-PEKS）的抽象定义和构造算法,对算法的一致性进行了验证,并且分析了算法复杂度。同时给出了抵抗第一、二类选择关键词密文攻击（type I、type II IND-CCA2）语义安全的CL-PEKS定义。该方案实现了密文关键词可搜索功能,同时解决了IBEKS中的密钥托管问题。     

一种基于ID的多动业务安全认证系统模型

文章针对传统的需要证书数据库支持的CA移动业务系统,提出了一种有效的基于ID的移动业务系统模型,通过私钥生成中心而非传统的认证中心CA实现移动业务流程。为了与传统的基于CA的移动业务系统对接,系统中设置了对接服务器,可方便地实现两种不同技术移动业务系统间的无缝对接。     

基于DSA的扩展自证明签名方案

自证明签名对验证者来说一次仅验证了两个签名，而在PMI系统中，验证者除了要认证用户身份，其中包括两个验证：一个是验证用户的签名，另一个是验证CA颁发的公钥证书，还需要验证AA颁发的属性证书。针对此问题，该文对自证明签名做了一定的扩展，提出了扩展自证明签名ESCS方案，ESCS由验证两个签名扩展到可同时验证3个签名，此后又对ESCS方案做了进一步的扩展，扩展后的ESCS方案可以同时验证多个签名。     

公钥基础设施的多路径构造方法

现有的证书路径构造方法不能进行多路径的构造。文中提出了一个多路径构造方法，该方法通过CA之间传播路径构造请求信息从而构造出所有的证书路径。同时，采用该方法能够方便地在路径构造的过程中进行路径验证，从而提高了路径处理的效率。     

混合信任模型中证书路径构造的研究与实现

分析研究了X.509和RFC3280中一些证书扩展项与目录属性在证书路径构造过程中的应用,这些证书扩展项与目录属性包括KeyIdentifier,CertificatePolicy,AIA,SIA,pkiPath,issueToThisCA和issueByThisCA等。提出了一个在混合信任模型下证书路径构造实现方法,并且分析了其优越性。文中的方法充分利用了证书扩展项与目录属性,可以有效、快速地构造证书路径。该方法可应用于不同PKI信任域中各CA的相互认证。     

Computationally Efficient Distributed and Delegated Certification

Certification in public key cryptographic applications concerns the involvement of a CA (Certifying Agent) in approving the validity of users' public keys. Distributed certification pertains to the case where several CAs are involved in issuing certificates. This also includes the case of multi-attribute certification, where different CAs approve different user's attributes. In delegated certification, agents transfer certificate issuing authority in hierarchical chain. Distributed, multi-attribute and delegated certification techniques having a low computational complexity are presented in this paper. It is shown how multiplicity aspects of the various applications are mapped into a multiplied exponents mathematical implementation of the form Pi_i=1 ^m A_i ^bi mod p, which is essentially equivalent to a single exponentiation for a moderate m. A fundamental feature of the presented procedures pertains to implementing distributed/multi-attribute certification by referring to any desired subset of participating CAs.     

一种细粒度的属性证书出示方案

针对现有X.509v4属性证书在细粒度出示部分属性后无法验证合法性的情况,提出了一种支持属性细粒度出示的证书方案.该方案由属性权威对证书中所有属性进行预处理,并对预处理结果生成签名;证书拥有者能够根据不同的应用场合移除证书中不相关属性,并计算验证证书必需的额外信息;验证方根据这些额外信息及证书中的签名能有效地验证被出示部分属性的合法性.该方案与现有标准兼容,并具有灵活性好、安全性高及付出额外开销小等特点.     

基于PKI信任机制中动态桥模型的研究

当前基于PKI信任机制的交叉认证在路径构造时存在着一定的规模性问题,即使对桥CA进行拓扑简化,随着交叉认证网络大小和复杂度的不断增长,点与点之间可能路线的数量也在迅速增加,以使路径构造的需求时间超过了实时系统可以容忍的延迟度。引入了“动态桥”概念,它在一个交叉认证拓扑上自动建立转换,在一个简单的结构里,有计划的反映出相同的信任排列和约束,使得可能路线的数量大大减小。     

层次信任模型证书验证服务的研究与实现

对传统的证书验证过程进行了研究,分析了下属层次信任模型的性质以及在该模型中证书路径的性质,提出了证书路径有效期的概念。并在此基础上,提出了基于可信证书路径库的证书验证服务器模型,给出了系统的设计与实现方案。该模型简化了证书使用实体对证书进行验证的过程,在保证证书验证高效性的基础上,提高了证书验证的实时性和可靠性。     

一种适用于Ad Hoc网络的高效证书撤销机制

由于Ad hoe网络的特殊性，基于数字证书的安全机制在其中的应用面临很多困难，其中最大的挑战是：在网络节点无法在线访问CA的情况下，如何实现证书的撤销。在对Adhoe网络环境下现存的证书撤销机制进行分析后，提出了一种基于单向哈希函数的证书撤销机制，这种机制具有执行效率高、节约网络带宽、计算开销低：等优点，非常适用于Adhoe网络环境。     

基于交叉认证网的证书验证优化设计

针对现行证书验证方窠存在的缺陷和交叉认证网模型中证书验证的复杂性，得出对交叉认证网模型证书验证进行优化的必要性，并提出了一个优化的证书验证方案，给出了优化设计的思路，对各种优化设计的技巧进行了说明，最后给出了该方案的实现流程图。     

一种基于树结构的证书验证方法

分析了严格层次信任模型及其证书路径的特点和性质,在此基础上设计了一个基于树结构的证书验证模型。该模型利用证书路径的复用技术,并通过证书路径有效期和证书路径状态的概念,简化了证书验证的处理过程。该模型还给出了证书路径的扩展方法。     

PKI证书验证的交叉认证网模型优化设计

本文针对交叉认证网模型中证书验证的复杂性,分析了现行标准中的证书验证过程,提出了一个优化的证书验证方案。给出了优化方案设计的思路,并对各种优化技巧进行了详细的说明,最后给出了该方案的实现流程图。