基于区块链技术的跨域认证方案

针对现有交互频繁的信息服务信任域（PKI域和IBC域）之间不能实现信息服务实体（ISE）安全高效的跨域认证的问题,提出一种基于区块链的跨异构域认证方案.在IBC域设置区块链域代理服务器参与SM9（国产标识密码）算法中密钥生成,并与PKI域区块链证书服务器等构成联盟链模型,利用区块链技术去中心化信任、数据不易篡改等优点保证模型内第三方服务器的可信性.基于此设计了跨域认证协议与重认证协议,并进行SOV逻辑证明.分析表明,与目前相关方案相比,协议在满足安全需求的前提下,降低了用户终端的计算量、通信量和存储负担,简化了重认证过程,实现域间安全通信,在信息服务跨异构域身份认证过程中具有良好的实用性.     

V2X PKI信任模型研究分析

信任模型是建立公钥基础设施信任体系的基础,决定着在构建整个PKI信任体系及进行跨域认证的技术框架。在车联网V2X PKI体系中,建立不同CA之间的信任模型,解决CA之间的互信互认是车联网V2X PKI大规模商用必须解决的问题。文章通过深入分析常见的几种CA信任模型的基础上,结合欧美V2X PKI信任模型的比较,并结合我国PKI标准及行业发展现状,对我国V2X PKI的网络信任模型进行了分析并提出建议。     

潮州电信信息管理系统CA认证系统的设计

随着电子商务的开展,网络上传输数据的安全性成为人们日益关注的问题,数据的加密以及数字签名认证技术成为国际上信息安全领域的前沿课题。 文中对潮州电信信息管理系统CA（Certificate Authority,权威认证中心）认证系统的应用范围、系统需求、整体架构、CA的功能模块做了详尽的设计,重点对证书中请、证书作废、CA签名数字证书等流程做了详细的分析设计,并给出了实现其功能的Java源代码,接着本文还介绍了潮州电信信息管理系统CA认证中心的运行情况。单位内部建设PKI（Public Key Infrastructure,公开密钥基础设施）系统,若采用商业PKI／CA,势必成本高昂。本文对单位内部建设PKI／CA,即降低应用成本又保证安全功能的实现,有重要现实意义及推广价值。     

电子政务PKI/CA建设的研究

中国电子政务建设中存在着许多问题,其中一个重要的问题就是没有建立国家政务PKI信任体系。本文就电子政务数字认证系统构建,以及PKI/CA域之间的桥CA认证做了一些探讨,并提出了建立国家电子政务PKI/CA体系的看法。     

基于信任列表的可信第三方跨域认证模型

目前国内已有31家获得电子认证服务许可的第三方认证机构（certification authority,CA）,跨CA的信任和验证日益迫切。针对该问题,提出了一种基于信任列表的可信第三方跨域认证模型。该模型依托公钥基础设施（public key infrastructure,PKI）所提供的数字证书等安全服务,通过引入新的信任机制更好地管理和控制了可信根证书列表,既避免了传统信任列表模型的诸多缺点,又能够有效实现多CA互信互认。为支持这一跨信任域模型的实际运行,设计了相应的工作流程和多CA认证方案,并开发了多CA应用支撑模块,以及就其中的关键技术问题进行了详细论述。分析表明,该模型能够让应用系统灵活地动态兼容不同CA所颁发的数字证书,且在认证效率、安全性、实用性以及应用改造等方面均具有明显优势。      

基于PKI的防火墙安全认证系统设计

论文首先介绍了身份认证在防火墙系统中的重要性以及目前防火墙系统中主要的认证技术,接着,简单介绍了PKI技术的理论基础和PKI/CA安全服务体系,并针对目前防火墙系统中认证方法的缺陷,结合目前国内外对防火墙技术安全认证方面的新要求,提出了基于PKI身份认证技术的防火墙安全认证系统的设计。     

基于公钥密码体制的网络认证技术

网络认证技术是“互联网+”行动计划应用推广的关键安全保障,基于公钥密码体制的数字签名已经成为身份与信息认证的主要手段,而数字签名有赖于认证中心(CA)及其基础设施(PKI).目前,认证中心依然存在身份认证不能互信互认、投入高、安全控制及运维难度大等问题.提出一种在不降低安全程度的情况下,缩短公钥密码长度,实现公钥可视化的技术,这种技术可以不再完全依赖第三方的认证机构,是去除认证中心当前存在问题的一种有效途径.     

基于区块链技术的BaaS平台架构及应用

为消除传统电信行业复杂和长链的相互关联操作,解决对账、清算等一致性保证问题,设计了基于区块链的BaaS平台,利用区块链技术将用户和交易等信息上链,共建透明互信的区块链账本,实现电信行业所需的信任、安全和公平机制。     

基于区块链的信息网络信任支撑环境构建研究

网络信任体系是信息网络安全的重要基础设施。针对网络信任体系建设中存在的身份认证技术体制不统一、跨信任域互信互认难实现、跨体制统一信任管理缺手段、统一信任服务应用难满足等突出问题,通过采用安全可控的联盟区块链技术,研究构建信息网络信任支撑环境,建立全网统一信任源,实现多认证体制互信互认、统一身份认证服务和网络信任安全监管,为信息网络安全保障能力建设和信息网络共享应用提供有效支撑。     

基于区块链的不动产电子证照应用系统建设研究

针对传统不动产电子证照服务中数据共享困难,信息孤岛情况严重、业务敏捷性低、业务开放能力僵化等问题,研究区块链技术在不动产电子证照系统中的具体应用.通过区块链技术构建"1+31+N"的全国统一区块链不动产电子证照应用系统,在不动产登记、多部门数据共享、区块链电子证照等领域,开展示范应用,形成可持续发展的区块链政务技术创新...     

SCM: Secure and accountable TLS certificate management

In classical public‐key infrastructure (PKI), the certificate authorities (CAs) are fully trusted, and the security of the PKI relies on the trustworthiness of the CAs. However, recent failures and compromises of CAs showed that if a CA is corrupted, fake certificates may be issued, and the security of clients will be at risk. As emerging solutions, blockchain‐ and log‐based PKI proposals potentially solved the shortcomings of the PKI, in particular, eliminating the weakest link security and providing a rapid remedy to CAs' problems. Nevertheless, log‐based PKIs are still exposed to split‐world attacks if the attacker is capable of presenting two distinct signed versions of the log to the targeted victim(s), while the blockchain‐based PKIs have scaling and high‐cost issues to be overcome. To address these problems, this paper presents a secure and accountable transport layer security (TLS) certificate management (SCM), which is a next‐generation PKI framework. It combines the two emerging architectures, introducing novel mechanisms, and makes CAs and log servers accountable to domain owners. In SCM, CA‐signed domain certificates are stored in log servers, while the management of CAs and log servers is handed over to a group of domain owners, which is conducted on the blockchain platform. Different from existing blockchain‐based PKI proposals, SCM decreases the storage cost of blockchain from several hundreds of GB to only hundreds of megabytes. Finally, we analyze the security and performance of SCM and compare SCM with previous blockchain‐ and log‐based PKI schemes.     

PKI信任模型的条件谓词逻辑推理

本文提出了一种用条件谓词逻辑来表示和推理PKI信任关系的方法。通过区别认证机构（CA）与用户实体的不同，用四个谓词表示不同个体之间的信任关系，并给出关于公钥绑定真实性和CA信任传递的推理规则。认证路径长度和证书策略是对信任关系的限制，将其作为约束条件加到谓词逻辑中更好地反映出现实中的信任。利用条件谓词逻辑，即能够对一个PKI的信任模型进行整体描述，也可从用户的角度对CA的信任度和实体公钥的真实性进行精确推理，弥补了图形法的不足。     

基于CATV网络的PKI电子认证系统的构建

只有在CATV网络上构建以非对称式密匙技术为基础的PKI公匙基础设施,才能在CATV网络上进行有安全保障和法律保障的电子政务和电子商务;CATV网络上PKI/CA系统的信任模型必须是层次型结构与分布式结构相结合的混合模型;CATV网络上构建PKI/CA系统要统筹规划,首先在地市(县)的CATV网络前端建立区域性的认证中心,在这个区域性认证中心实施具体的电子认证过程.     

基于分层信任模型的PKI机构证书更新研究

在PKI系统中,机构证书的安全性在整个PKI系统中处于非常重要的地位。当机构证书到期、密钥泄漏时,应及时撤销机构证书并进行更新,避免机构证书的错误使用而影响整个PKI系统的安全性。文中根据现有PKI规范及现状,分析了基于分层认证模型的机构证书更新机制,并对机构证书更新提出了一种新的实现方案。     

基于PKI的CA系统在企业办公系统的应用

随着网络信息技术的发展,信息的完整性、机密性、身份鉴别和不可否认性越来越重要.CA是PKI的核心,是具有权威性、可信任性、公正性的第三方机构,通过向用户颁发公钥证书,将用户身份信息与所持有的公钥相互绑定.利用OpenSSL开源软件实现基于PKI的CA系统,系统具有根证书下载安装、用户证书申请、颁发、撤销等功能.所发布证书遵守X.509标准.提出可行的应用于企业办公系统的基于PKI的CA系统.     

一种基于身份的多信任域网格认证模型

分析了现有的网格认证框架中存在的问题,提出了一种基于身份的多信任域网格认证模型.该模型以基于身份的PKI为基础,避免了基于传统PKI的认证框架的诸多缺点.同时,该模型提供了跨信任域的双向实体认证功能.模拟试验表明,该认证模型比基于传统PKI的认证框架更轻量、更高效.而且由于该模型可以在多信任域的环境下工作,故而比W Mao提出的只能在单一信任域中工作的认证框架更符合网格认证的实际需要.     

基于PKI/PMI的Web解决方案在校园网中的应用

文章利用PKI/PMI技术,设计了一个Web应用安全整体方案,实现身份认证和访问控制功能,采用基于角色的访问控制思想,将属性证书分为角色分配证书和角色规范证书,分别用来表示用户的角色和角色对应的权限,并通过在校园网中的应用来说明具体身份认证和安全访问控制的实现方法。