基于USBKey的X.509身份认证

在对X.509身份认证协议及其安全性分析的基础上，结合对USBKey关键技术的研究，提出了一种用USBKey实现X.509身份认证的新方法。它明显提高了X.509身份认证协议的安全性，同时增强了用户使用的灵活性。     

基于智能卡的X.509身份认证

身份认证中的关键技术是身份信息的安全存储、处理和传递,本文提出了一种基于智能卡的X.509身份认证方案,设计了一套基于X.509的身份认证协议,将智能卡作为存储身份信息的载体,密码运算都在智能卡内部进行,认证过程安全性好.在开放的网络环境中,此方案可较好地防止中间人攻击,验证用户身份.     

基于X.509数字证书的Web服务身份认证

首先提出Web服务的身份认证问题并对其解决措施进行了比较.然后介绍X.509数字证书的基本格式,并通过一个具体签名的SOAP消息实例阐述了X 509数字证书在Web服务身份认证中的应用.最后经过对具体试验数据的分析比较,显示了基于X 509数字证书的签名认证对Web服务性能的影响.     

基于公钥证书的HTTP认证机制

提出了一种基于X．509证书的HTTP认证机制（Cert-X．509认证方法），给出了Cert-X．509认证方法详细定义和实现结构，并对其安全性进行了分析。     

CCITT X.509协议的形式化分析及其改进

串空间模型是一种新兴的密码协议形式化分析工具,基于串空间模型的协议认证分析方法是比较常用的验证方法。概述了串空间模型理论和基于串空间模型的认证测试理论,并利用此理论对CCITT X.509协议进行了形式化的分析。该协议存在缺陷并对此进行了改进。     

一个基于ECC的双向认证协议

1.引言身份认证是网络安全技术的一个重要方面,身份认证机制限制非法用户访问网络资源,能够防止假冒、篡改、否认等攻击,确保用户的身份,是其他安全机制的基础。双向身份认证是指通信双方需要互相认证鉴别各自的身份。双向认证的典型方案是Needham-Schroeder协议。常见的认证协议还有分布认证安全服务(DASS)协议、ITU-T X.509认证协议等。     

电子政务安全建设中的访问控制研究

针对电子政务安全建设过程中的访问控制问题，在重点介绍X．509V4(2000)版属性证书的基础上，提出了一个基于公钥证书身份认证和基于属性证书授权访问的双证书访控模型，并对其进行了分析。     

一个简单的分布式授权认证模型

本文给出了一个利用SSL协议和X．509v3证书进行数据的加密和身份的鉴别，采用中国剩余定理进行动态存取控制的分布式授权模型。该模型只需一个可运行SSL协议和可下载X．509v3证书浏览器就可进行方便的文档动态存取控制。     

一个具有强授权特性的网格安全框架

网格安全技术主要解决网格环境中实体之间的认证和授权问题。Globus网格项目中的GSI(Grid Secudty Infrastmcture)主要基于X．509技术实现身份认证以及数据的机密性、完整性和抗否认性,重点解决了认证和消息保护问题,然而在授权问题上缺乏必要的技术支撑。在分析现有安全技术的基础上,提出了将基于X．509的PKI技术和PMI技术相结合的网格安全框架,旨在实现基于安全认证基础之上网格用户和虚拟群组实体间的安全授权机制,从而构建强认证、强授权的网格安全基础设施。     

支持ECC数字证书的IKEv2认证设计

数字证书对因特网密钥交换协议版本2IKEv2（Internet Key Exchange version 2）的初始化交互协商的安全及效率有很大的影响。提出了一种基于ECC数字证书的身份认证机制,并在IPSec VPN系统的IKEv2初始化过程中应用ECC数字证书实现了通信双方的身份认证。在同等测试条件下,相同安全等级的ECC证书与RSA证书对IKEv2协商效率的对比结果表明,采用基于ECC的X.509证书进行身份认证,能够有效地提高IKEv2初始化过程的效率和安全强度。     

改进的基于身份认证密钥协商协议*

对标准模型下可证安全的基于身份认证密钥协商协议进行安全分析,指出由于传送消息存在冗余,协议不能抵御伪装攻击。为解决上述安全漏洞,提出一个改进的基于身份认证密钥协商协议,并在标准模型下分析其安全性。结果表明,新协议满足基于身份认证密钥协商协议的所有安全要求。     

X.509v3证书的政务标准化研究

描述了用于电子政务身份认证的X．509v3证书的结构及其语义,特别是对证书扩展域作了重点分析,提出了标准化的方法。     

数字化校园中统一身份认证系统研究

给出了一种基于IEEE 802.1X协议和Diameter协议的校园网统一身份认证系统。通过对EAP-PEAP协议进行扩展,并且采用Diameter的消息路由机制,该系统能够支持域间身份认证和统一认证令牌的发放,从而解决了校园网身份认证中用户漫游和单点登录的问题。对于此身份认证系统易遭受的攻击类型作了分析,并提出了相应的解决方案。     

Internet X.509 PKI安全通信协议设计与证明

安全通信协议是公钥基础设施PKI的重要组成部分,实现PKI各构件之间的在线交互、身份认证、消息完整性及保密性。该文首先介绍X.509PKI的基本结构,然后提出一套安全协议解决方案,并用BAN逻辑对协议进行安全性证明。     

在Linux下基于IPSec的VPN网关的研究与实现

利用FreeS/WAN和Iptables实现了基于IPSec协议的VPN网关,扩展多种加密算法和基于公钥基础设施(PKI)体系的X.509证书认证方式,并对通过网关的加密数据进行详细的实验测试和性能分析.     

X.509中身份认证协议的安全性描述

论述了X.509中身份认证方案的过程,并对其安全性进行了描述。     

认证测试方法对X.509认证协议的分析

采用认证测试方法对X.509协议的认证正确性进行了分析,该方法比BAN逻辑分析得到的结论更具体,比传统串空间理论构造集合寻找M-minimal元素的方法更为简单直观。然后针对分析结论提出了改进协议,并使用认证测试方法证明了改进协议在保持数据保密性完整性的同时,也能实现认证的正确性。     

身份签名技术在无线Mesh网络的接入应用

针对无线Mesh网络的特点和安全缺陷,提出将基于身份密码学机制应用到无线Mesh网络的思想,设计了IBS-EAP接入认证协议和IBS-RP漫游认证协议,实现快速接入,避免了多次认证;对新协议进行安全性分析和效率分析,证明了新协议的优越性。设计了IBS-EAP接入认证协议,实现了快速接入的目的,基于IBS签名技术完成双向认证,一个节点的公钥可以通过身份标识和IBS系统的公开参数直接获得,无需采用复杂的技术维护公钥证书和证书撤销列表CRL。     

基于混合加密的OSGi认证协议

OSGi平台环境与桌面的分布式环境有很大的区别，一般分布式系统中的认证协议并不能直接运用到OSGi平台上。针对已有OSGi平台认证协议存在的运算量大和密钥分发不便的问题，该文在分析KryptoKnight和X.509协议的基础上，结合对称和非对称加密系统的优点，提出了一种新的基于OSGi平台的认证协议。该协议较好地满足了OSGi平台环境对认证协议最小性，达到了易管理性、单点登录的 要求。     

无双线性对的无证书两方认证密钥协商协议

鉴于双线性对运算复杂度较高,不适用于移动通信环境,提出新的无双线性对的基于无证书的两方认证密钥协商协议。新协议解决了基于身份的公钥密码方案中固有的密钥托管问题,实现了对通信双方的身份认证,采用非双线性对运算,极大地降低了计算开销。通过分析协议的正确性,采用Applied Pi演算对协议进行形式化分析,借助ProVerif工具验证了协议的安全性和认证性。与其他两方密钥协商协议相比,新方案具有更好的安全性和效率。