一种分布式的分段增量CRL机制

在分析分段增量CRL证书撤销机制的基础上,针对网络稳定性差、带宽有限的环境,提出了一种分布式的分段增量CRL机制。新机制能有效降低信任实体对CRL库的请求率、分散网络中CRL传输的数据流、保证用户及时获取最新的证书撤销信息,并且实现容易。     

PKI证书的撤销与验证

随着电子商务公司越来越多地使用数字证书 (由认证中心签发的电子身份证 )来保证在线交易的安全性 ,这一行为引发了对另一种安全性的需要 ,即对数字证书的有效性进行验证。因此 ,CA认证的一个重要操作就是验证用户的证书是否被撤销或者挂起。证书的撤销采用证书撤销列表 ,而用于验证证书状态的机制一般使用轻型目录存取协议或者在线证书状态协议。简要介绍了证书撤销列表以及基于轻型目录存取协议的目录服务机制 ,而重点讨论了基于在线证书状态协议的目录服务 ,并例举了一个在线证书状态协议的实际应用。     

证书撤销机制的分析与设计*

证书撤销管理是大规模公钥基础设施PKI中十分重要且耗费最多的操作。分析了在PKI实施中应用的证书撤销机制,比较了证书撤销列表CRL、增量CRL、分段CRL与重复颁发CRL在峰值请求大小、网络带宽影响、用户查询代价等方面的性能,指出了各种机制的优缺点,最后对不同PKI规模中的证书撤销系统进行了设计和性能分析。     

一种P2P—PKI的证书撤销方案

证书撤销机制是影响PK／服务可靠度的关键技术之一。本文对P2P-PKI体系模型进行了探讨，针对模型中信任级别tlevel的初始值。提出了一种确定方法，并据此值的变化实现了P2P—PKI中的证书撤销。该撤销方案基于P2P协议，继承了分布式网络的特性，具有简单易行、高效、快速、撤销可靠性高、能适应网络节点动态变化等优点。     

基于单向哈希函数的证书撤销机制

证书撤销是公钥基础设施PKI(Public Key Infrastructure)研究和应用的难点问题.首先讨论了当前应用最广泛的两类证书撤销机制:证书撤销列表CRL(Certificate Revocation List)和在线证书状态协议OCSP(0nline Certificate Status Protoco1),剖析了这两种机制各自存在的不足.在此基础上,提出了一种基于单向哈希函数的证书撤销机制.     

一种基于分段的CRL改进方案

分析了有序顺序表和二叉排序树表的证书撤销列表方案的不足,提出了一种基于分段的证书撤销列表CRL（Certificate Revocation List）改进方案,给出了按撤销证书到期的时间间隔的分段策略,并对CRL结构进行了改进。通过分析表明,缩短了证书用户查找撤销证书的平均搜索长度,在CRL更新时,不但减少了其它已撤销证书的移动次数,而且还减少了CA对CRL重新签名的计算量。     

公钥证书与属性证书的结合——融合证书*

介绍了一种新的证书撤销方案——NewPKI证书撤销方案,运用这种新的撤销机制解决公钥证书与属性证书不能简单合并的问题。定义了一类新的属性——NewPKI属性,并且将NewPKI属性与X.509公钥证书相结合,从而提出一类新的证书——融合证书。融合证书保留与X.509 v3证书相同的证书格式,且能够将属性加到X.509身份证书中,它能够作为一个理想的机制来携带属性信息而不需要属性证书,在很多情况下十分有用。     

一种新型的证书撤销列表

对证书撤销机制进行了研究。指出基于有序顺序表的证书撤销列表方案的不足，提出一种基于二叉排序树的CRL方案。通过分析表明，该方案与传统CRL相比，能够减少证书用户查找撤销证书的平均查询次数，克服了顺序CRL在更新时移动记录的缺点，优化了系统性能，且方案易于实现。     

公钥证书撤销方法

分析了Internet公钥基础设施中公钥证书撤销的各种方法,研究了各种方法的优缺点。提出把前向安全数字签名技术应用于CA对撤销信息的签名的新方法,从而确保在CA的签名密钥泄露的情况下将损失减小到最小,新方法适用于现存所有证书撤销方案。     

CRL的一种改进方案

提出了一种改进的CRL方案，通过对CRL结构的改进，大大减少了证书用户查找撤销证书的时间。方案使用的基于排序的折半查找算法比较成熟，整体方案易于实现。     

信任管理中证书链发现的研究

信任管理是一种适用于大规模的、开放的分布式系统的授权机制。信任管理问题方面包括形式化安全策略和安全凭证,决定是否特定的凭证集合是否可以满足相关的策略以及委托信任给第三方。在信任管理问题中一致性证明是关键而证书链发现问题又是一致性证明的关键。对信任管理中证书链发现问题进行研究,分析了证书的存储和证书链发现算法并指出证书链发现的研究方向。     

混合信任模型中证书路径构造的研究与实现

分析研究了X.509和RFC3280中一些证书扩展项与目录属性在证书路径构造过程中的应用,这些证书扩展项与目录属性包括KeyIdentifier,CertificatePolicy,AIA,SIA,pkiPath,issueToThisCA和issueByThisCA等。提出了一个在混合信任模型下证书路径构造实现方法,并且分析了其优越性。文中的方法充分利用了证书扩展项与目录属性,可以有效、快速地构造证书路径。该方法可应用于不同PKI信任域中各CA的相互认证。     

基于CA证书的统一身份认证在电子政务信息平台中的应用初探

针对电子政务信息系统中的安全问题,提出了基于CA证书的统一身份认证的安全解决方案,从CA证书、SSL网关、身份认证等三个方面详细阐述了技术实现方案。最后根据参与的建设项目对基于CA的电子政务信息平台的统一身份认证搭建进行了展现。     

移动自组网中可逆证书状态管理模型

对移动自组织网的证书管理策略提出了一种可逆的证书状态管理模型，给出定量计算公式，可以根据信任度历史值和信任度变化的因子计算各节点证书的信任度，并以此为依据，用挂起和恢复的可逆过程代替证书撤销的单向过程，表示证书信任关系的变化，并举例分析了权重因子以及个体节点对计算结果的影响。     

密码技术在电子商务中的应用

安全性是电子商务系统的首要问题。通过对电子商务安全需求的分析 ,阐述了单钥加密体制、公钥加密体制的原理 ,论述了基于公钥技术的数据加密、数字签名在电子商务中的应用和发展 ,同时对PKI这样一个公钥框架进行阐述 ,论述了它在电子商务中的重要性。最后 ,就发展安全电子商务体系的重要性和趋势提出了看法     

带有信任管理的漫游证书认证系统设计

利用漫游证书、私钥服务器和SSL协议构建了漫游证书认证系统，在客户浏览器上设计一个插件便可以使用现有的公钥基础没施PK1中的各种服务，没有VPN的复杂架构和高昂成本却可以到达到类似VPN的安全性。并在基于漫游证书认证系统的基础上增加了信任管理，解决安全系统中日益复杂的信任关系管理问题。     

基于DLP的自认证盲签密方案

盲签密指盲签密者对其所签署的信息是不可见的,而且签密消息不可跟踪。有机集成自认证公钥密码系统和盲签密思想,提出了一个新的基于离散对数问题（DLP）的自认证盲签密方案。所提方案具有盲签密的各种安全特性;权威机构不知道用户私钥;不需要对用户的公钥进行单独认证;具有计算效率高、通信成本低、安全性强和算法简单等优点,适合于在电子商务和电子政务中应用。     

基于指纹识别与PKI的电子政务身份认证体系

通过分析传统PKI方式中一个弱因子(密码)和一个强因子(数字证书)的身份认证方式,提出了一种采用指纹识别和PKI的强双因子身份认证体系.该身份认证体系采用卡内比对的方式完成指纹模板的比对,创建电子政务平台中以人为源头的信任链.     

公钥基础设施的架构及.NET下的设计开发

公钥基础设施(PKI)为保证网络的安全和通信的有效性，提供了可靠的环境。PKI使用公开密钥体制，为网络中各实体分发正确的公钥，从而各实体可以进行公钥加密和数字签名操作。文中介绍了PKI、CA及信任模型、证书库和证书的撤销机制，实现了基于.NET框架下的PKI应用系统的设计开发，并分析了在这种PKI应用设计中两实体间通信的过程。     

基于XML新型数字证书在PKI中的实现

本文提出了用XML作为数字证书的表现形式问题。当前PKI系统主要应该解决的问题就是互操作问题和在PKI系统中引入信任评价标准。XML作为一种网络的标准数据交换格式,既可以简化互操作问题,也可以直接利用XML的相关协议实现数字证书的交换。客户端也有广泛的XML的处理器对证书进行操作。通过采用XML技术,可以对普通用户屏蔽PKI的复杂性,实现了对具体的PKI厂商产品和实现技术的松耦合,有利于解决PKI的互操作问题。