XKMS的应用研究*

XML密钥管理规范XKMS 可以提供新一代的密钥管理服务,结合传统PKI(TPKI)可以实现低成本、易部署的PKI应用。深入探讨了XKMS的应用模型,给出了XKMS信任域内、信任域间、XKMS与TPKI混合的三种PKI应用机制;并以电子商务中B2C订单处理为例,给出了不同应用机制下,基于XML签名、XKMS服务实现安全交易的具体过程,对规划基于XKMS的PKI应用有现实的借鉴作用。     

新型PKI模型X-PKI的研究

针对传统公共密钥基础设施PKI存在的若干缺陷，为提高电子政务、电子商务的信息安全及满足其特殊安全需求，基于W3C制定的XML安全规范，提出了一种基于XML与PKI的X-PKI模型，讨论了其安全机制、总体框架、部署结构及技术要点，并初步应用于实际的电子政务系统中，较好地解决了PKI之间的互操作、数字证书管理的复杂性、服务透明性等问题，实现了细粒度的复杂加密／签名。     

基于PKI的安全系统及其基于XML技术改进的研究

公钥基础设施PKI是现代网络信息安全领域中的一门新兴主流安全技术。该文分析了基于PKIS规范设计实现的一个PKI安全系统,给出了系统架构和工作流程细节,剖析了系统的局限性。随后介绍了近年新出现的XML安全规范与技术:XML-ENC、XML-SIG、XKMS,基于异构互操作XML安全技术,给出了一个改进的PKI安全系统,即通过增加一个Web服务-可信任服务中间层来分离客户端密钥管理负载,并屏蔽底层异构PKI的复杂性,详细论述了改进新安全系统的优越特性。     

一种基于JAXM的XKMS密钥定位服务的实现方案

JAXM是为Java平台上的应用程序定义的API,供了一种能够在Java平台上通过Internet发送XML文档的标准方法;XML密钥管理规范（XKMS）以已有的XML加密和XML数字签名为基础,定义了分发和注册公钥的协议。密钥定位服务是XKMS中一个重要的服务规范,本文在探讨JAXM和XKMS理论的基础上,给出了一个基于JAXM的XKMS密钥定位服务的实现方案。     

基于LDAP的XKMS服务的研究与实现

介绍了XKMS规范，给出了一个基于LDAP目录服务的XKMS服务的实现过程。通过改进证书撤销状态验证机制以及对LDAP目录结构和数据连接的优化来更好地支持XKMS服务。实现的XKMS服务可以为基于XML数字签名或XML加密标准的应用程序提供良好的密钥/证书服务。     

一种基于PKI的安全系统改进方法研究

分析了基于公开密钥基础设施标准(PKIS)设计实现的一个PKI安全系统,给出了系统架构和工作流程细节,解剖了系统的局限性.基于异构互操作XML安全技术,给出了一个改进的PKI安全系统,即通过增加一个Web服务可信任服务中间层来分离客户端密钥管理负载,并屏蔽底层异构PKI的复杂性,详细论述了改进新安全系统的优越特性.     

基于XML的PKI原型系统的研究与实现

PKI虽然可以解决电子商务中的安全问题，但由于没有统一的体系标准，应用程序不能很好地识别PKI，这限制了PKI技术的使用。XKMS规范给出了密钥管理的格式标准，使得应用程序可以通过标；隹接口透明地使用底层PKI系统。本文主要介绍遵循XKMS规范所提供的XKMS web服务及其软件开发包。     

PKI与XML关系的研究

本文首先讨论发展标识语言XML技术与公共密钥基础设施PKI的关系,并得出这样的结论:目前XML不可能取代PKI,但是通过XKMS提供了一种新的与原来PKI技术接口的方法。PKI仍然是一些应用所选用的技术,特别是无线基础设施,但是一种新型的XML安全基础设施将逐渐发展以满足面向XML的应用。     

基于无可信第三方IBS的XML数字签名

传统XML数字签名基于公共密钥基础设施（PKI）体系和非对称算法,存在管理复杂、计算量大等缺陷。通过对XML数字签名规范和无可信第三方基于身份的签名(IBS)方案的研究,采用无可信第三方IBS的密钥管理机制和对应椭圆曲线双线性映射算法实现XML数字签名,按照XML数字签名规范的要求,对相应XML数字签名实现过程和XML数字签名文件结构进行了设计,并分析了具体实现方式。该XML数字签名方案在保证安全性的同时,克服了传统基于PKI的XML数字签名的缺陷,具有更高的效率。     

基于IBE Service 的新型文件加密系统

基于身份的公钥加密(Identity-based Encryption,简称IBE)体制采用用户ID作为公钥,无需公钥证书操作,较传统的PKI体系具有开发部署简单、应用成本低等优势,尤其适用于密钥集中式管理的企业级应用。设计了一个基于Web Service的IBE密钥管理服务系统IBE Service,实现各个网络安全域内的用户密钥管理,提供以用户安全策略为中心的密钥服务;基于IBE Service开发了一个面向通用文件加密的客户端应用,主要通过SOAP服务接口实现基于XML的IBE密钥数据交互。新型的文件加密系统可将接收方ID直接映射为公钥,接收方自动向IBE Service获取私钥完成文件解密,具有安全、便捷等优点,且支持灵活的ID安全策略管理。     

一种基于DSML的证书验证方案及其实现

XKMS将是下一代的PKI实施方案，但是它还不够完善。在与底层PKI进行交互时，发挥其基于XML的特性，使用DSML简化XKMS中证书验证机制，不失为一个更为简洁和面向未来的可行方案。     

基于XKMS的PKI系统的研究与实现

XML密钥管理规范XKMS降低了客户端部署PKI的复杂度,为网络应用提供了可以互操作的安全基础设施.分析了目前XKMS不能取代传统PKI的原因,给出了基于XKMS的PKI系统设计方案及XKMS服务端的具体实现过程,并且在深入分析系统安全性的基础上提出了系统的优化方案.该系统具有跨平台可移植性、可扩展性和安全性等优点.     

基于PKI的多Agent安全服务系统研究

论文分析了当前应用系统安全技术的局限性,在此基础上,提出了一个基于PKI的多Agent安全服务系统的体系结构。该系统利用多Agent在协作和信息交互方面的优势及移动Agent的移动性,在PKI安全平台的基础上对网络中的应用系统提供主动式的用户认证、加/解密、数字签名/签名验证等安全服务。论文还简要介绍了实现原型系统的关键技术和方法,实验结果表明,该安全服务平台可为应用系统提供主动透明、稳定高效的安全服务。     

Could there ever be a unitary digital certificate?

As more and more applications are beginning to use a public key infrastructure (PKI) to manage security credentials, end-users are faced with having to manage an ever-increasing number of certificates, because certificates commonly tend to be issued on a per application basis. This is because most applications will dictate that a specific PKI is used in order to ease administration for the application providers at the expense of the end-user. There are many further issues concerning this whole area of how applications inter-work with a PKI. For instance, applications dictate specific interfaces that are particular to a PKI vendor’s implementation. This situation arises as there is a lack of clarity and too many variables in the current standards for application programming interfaces that are used with a PKI.     

基于Hessian协议的轻量级移动Web服务的研究

基于XML的移动Web服务技术方案因存在体系复杂、数据传输效率不高等问题在实际工程应用中难以推广。分析Hessian协议在数据传输效率和带宽方面的优点,通过实例给出了Hessian协议移动Web服务的关键实现过程。Hessian协议因具有易学易用、数据传输效率高、网络和系统开销小等优点,在手机移动网上具有良好的工程应用前景。     

采用PKI增强VPN安全的研究

VPN技术改进了通信协议的安全机制，但因其身份鉴别不完善而影响到在复杂环境下的网络安全。PKI是由公开密钥密码技术、数字证书、证书认证机构和安全策略等基本成分共同组成的安全基础设施。PKI技术能够提供身份鉴别和角色控制服务。文章分析了PKI和VPN技术的各自安全特点，采用PKI技术与VPN技术相结合的方法，增强了系统的身份鉴别和访问控制能力。     

Trusted Agent-Mediated E-Commerce Transaction Services via Digital Certificate Management

Agent-mediated e-commerce (AMEC) transaction services will be a paradigm shift from the existing client–server e-commerce model. In order to fulfill the leverage of AMEC intermediary services with secure and trusted service capabilities, we propose an agent-oriented public key infrastructure (PKI) operating with a variety of digital certificates. Under this agent-oriented PKI, several trusted AMEC transaction service models will be demonstrated using human and agent certificates showing, delegation, and verification protocols. We establish human/agent authentication, authorization, delegation, access control, and trusted relationships before these trusted AMEC intermediary services can be realized. This paper shows that a trusted AMEC system can be implemented in the FIPA compliant multi-agent system.     

基于XML的虚拟数据库管理系统

针对分布式数据同步时因为有异构的数据源而造成数据格式不统一,应用层进行同步的时候要进行相当复杂的转换并且维护起来也要耗费相当大的成本,提出了利用XML来统一异构数据源的格式,构建基于XML中间件的虚拟数据库.介绍此系统下的异构数据集成的思想和实现框架,同时详细介绍了该框架提供的服务功能及实现的关键技术.     

基于PKI体系的信息安全技术研究

PKI技术是利用公钥理论和技术建立的提供安全服务的基础设施.PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术.该文探讨了PKI体系组成和基于PKI体系的几种网络信息安全技术.