PKI证书链的分布式存储与应用

为进一步简化PKI互操作,本文设计了一种称为证书链接表的数据结构,将PKI证书链的构成信息分布存储在各个CA节点。证书链的分布式存储可应用于证书撤销信息的发布与查询、PKI互操作、证书路径构造等方面。     

无线PKI中证书状态查询机制研究与实现

无线PKI技术在移动电子商务中扮演着重要角色,而证书状态查询机制是其关键部件.对无线PKI中的3种常见的证书状态查询机制进行了分析和比较;OCSP协议能够提供实时的证书状态查询服务,但由于无线PKI的特殊限制,并不能直接应用于无线PKI环境中.在充分考虑无线PKI特殊的限制条件基础上,给出了一种基于OCSP协议的适合无线PKI环境的证书状态查询设计方案;详细描述了该设计在具体实现中需要特别注意的几项关键技术,以提高系统的性能和安全性.     

基于排队模型的证书撤销机制分析

证书撤销机制是影响PKI服务可靠度的关键技术之一。根据撤销机制是否含有CRL服务器建立了两个基于排队论的数学模型，指出在较大规模下应用短周期证书策略是不合适的，并对分段CRL的优越性给出理论证明，最后，结合模型导出参数对实际应用中缓冲器容量的选取进行定性分析。     

Windows PKI中黑名单查询模块的集成技术研究

数字证书状态的有效验证对于PKI应用而言是非常重要的。Windows PKI平台中自带的黑名单查询模块在功能上和本地化支持上存在不足，无法满足国内的PKI应用需要。本文分析了Windows PKI平台中的黑名单查询机制，提出了在Windows PKI下集成新的黑名单查询模块的方法，实现了对国内CA系统证书查询验证服务的支持，并可支持在线证书状态的验证（OCSP），新开发的黑名单查询模块能紧密集成到Windows PKI平台中，为基于Windows PKI的应用系统准确验证数字证书的合法性提供透明支持。     

基于Web服务的证书验证服务模型的设计与实现

目前在PKI应用中,存在对计算能力和通信能力受限的客户端的支持不够及PKI应用的不兼容等制约PKI发展的问题。为了解决上述两个问题,文中提出了一种基于Web服务的独立证书验证服务模型。该模型将繁重的证书验证计算从证书用户端剥离,有效地降低了对证书用户的计算和通信能力的要求。该模型采用了与平台无关的特性Web服务技术,适应多种PKI应用平台,同时为解决了不同PKI应用的互操作问题提出较为完整的实现方案。     

PKI与PMI联合安全认证系统及其设计

文章在研究X．509 V3所定义的公钥证书和属性证书的基础上,分析了PKI和PMI的系统组织结构，设计了一个PKI和PMI联合安全认证系统，给出了证书存储与管理目录服务器的配置与管理程序设计，系统使用公钥证书进行身份认证，使用属性证书进行角色控制，可以方便灵活地实现网络资源的安全访问控制。     

证书撤销机制的分析与设计*

证书撤销管理是大规模公钥基础设施PKI中十分重要且耗费最多的操作。分析了在PKI实施中应用的证书撤销机制,比较了证书撤销列表CRL、增量CRL、分段CRL与重复颁发CRL在峰值请求大小、网络带宽影响、用户查询代价等方面的性能,指出了各种机制的优缺点,最后对不同PKI规模中的证书撤销系统进行了设计和性能分析。     

CA认证管理系统中证书撤消机制的研究与实现

在PKI系统中，证书撤消信息的分发是通常限制PKI大规模部署的一个重要因素，该文在对RFC2459中所规定的撤消机制进行分析的基础上，在CA认证管理系统中设计和实现了证书撤消机制，使用户可以根据自己的情况选择合适的撤消方法。     

信用CA证书的设计与应用

在借鉴基于PKI体系的数字CA证书成功经验和模式的基础上，结合信用评测中心提出了“信用CA证书”的设计思想（简称CCA），并探讨了信用CA证书系统的具体操作流程夏其应用，最后对信用CA证书与数字CA证书进行了比较与分析。     

公钥基础设施的架构及.NET下的设计开发

公钥基础设施(PKI)为保证网络的安全和通信的有效性，提供了可靠的环境。PKI使用公开密钥体制，为网络中各实体分发正确的公钥，从而各实体可以进行公钥加密和数字签名操作。文中介绍了PKI、CA及信任模型、证书库和证书的撤销机制，实现了基于.NET框架下的PKI应用系统的设计开发，并分析了在这种PKI应用设计中两实体间通信的过程。     

基于身份的BGP路径验证机制

边界网关协议(BGP)因设计缺陷易受到各种类型的攻击。然而,当前BGP路径验证机制中繁重复杂的公钥基础设施(PKI)密钥管理和过量的存储空间开销严重阻碍了BGP安全方案在实际中部署实现。基于此,该文将基于身份的签名算法引入路径验证,提出了一个基于身份的路径验证机制(IDPV)。与当前基于证书的路径验证机制相比,IDPV有效地简化了PKI密钥管理,减少了路由器存储开销,提高了路径验证的性能,促进了BGP安全方案在实际中的应用。     

PKI多级混合信任模型及其信任路径构建

主要研究了PKI信任模型及其信任路径的构建。对常用的信任模型进行了简要分析,在此基础上提出了一种适合中等规模PKI需要的多级混合模型,引入嵌套证书和信任矩阵的概念,通过预验证的方法,减少用户在验证证书时需要进行的公钥运算的次数,提高了路径寻找和证书验证的效率和速度。     

一个基于逆向搜索的分布式证书路径构建算法

数字证书的验证是公钥基础设施(PKI)安全实施的关键,PKIX规定证书的验证一般分为证书路径的构建和证书路径的验证这2个步骤,然而标准中对证书路径的构建方法未加阐释,该文在分析了现有证书路径构建算法的基础上,提出了一个基于逆向搜索的分布式证书路径构建算法。     

基于数字签名的身份认证模型的一种方案

公开密钥基础设施(Public Key Infrastructure,PKI)是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障。文中分析了PKI技术,提出了一种基于数字签名的身份认证模型的方案,给出了其模型结构,并详细地阐述了各部分的功能、实现的策略以及方法,解决了网络交易中对身份认证的要求,为保证网上交易安全提供了一种可行的身份认证模式。     

基于Dijkstra的PKI交叉认证路径搜索算法

针对网状型公钥基础设施（PKI）信任模型认证路径的不确定性,提出一种基于Dijkstra算法的PKI交叉认证路径搜索算法。该算法根据PKI系统中配置的认证路径搜索服务器,结合信任路径图,利用Dijkstra算法进行认证路径搜索。结果表明,该算法在一定程度上避免了认证路径的不确定性,有效提高了路径查找的速度。     

Internet X.509 PKI安全通信协议设计与证明

安全通信协议是公钥基础设施PKI的重要组成部分,实现PKI各构件之间的在线交互、身份认证、消息完整性及保密性。该文首先介绍X.509PKI的基本结构,然后提出一套安全协议解决方案,并用BAN逻辑对协议进行安全性证明。     

一种集成化的PKI数字证书验证安全增强方案

近年来,PKI数字证书服务出现了多次安全事件：CA机构由于攻击等原因签发虚假的TLS服务器数字证书,将攻击者的公钥绑定在被攻击网站的域名上。因此,研究人员提出了多种PKI数字证书验证安全增强方案,用于消除虚假数字证书的影响,现有各种方案在安全性和效率上各有优劣。提出了一种集成化的PKI数字证书验证安全增强方案,以Pinning方案为基础,利用其他方案来改进Pinning方案的缺陷。当浏览器面临TLS服务器数字证书的三种Pinning方案不同状态（初始化、正常使用、更新）,兼顾安全性和执行效率、分别综合使用不同的安全增强方案,整体上达到了最优的安全性和执行效率。完成的集成化PKI数字证书验证安全增强方案能够有效解决虚假数字证书的攻击威胁。     

PKI中桥信任模型的优化

PKI中存在多个可信任点和无终止的可信任环的可能性,使证书认证路径的有效发现复杂和耗时,路径构造的任务非常繁重。提出的基于路径代理的桥信任模型利用路径代理服务器,采用生成树算法提前进行路径构造存储,从而将复杂的路径构造问题转化为路径查询问题,实现了对PKI桥信任模型的优化。     

基于路径发现的PKI扩展方法

ＰＫＩ的可扩展性主要是当证书服务用户的规模超出原有系统的容量时,能够通过增加ＰＫＩ管理实体的数量和层次来满足用户需求,并同时保证原有系统能够平滑地过渡到新的规模。本文探讨了ＰＫＩ管理域之内和之间可能的向下、平级和向上三种扩展方式,提出使用“路径发现”过程来减少ＰＫＩ扩展时对端实体的影响,从而提高ＰＫＩ服
服务范围的可扩展性。     

PKI安全信任模型的研究

公钥基础设施(PKI)为电子商务提供了一个安全平台,而其信任模型的确定是实施PKI系统的关键开始步骤,文中对目前常用的信任模型进行了分析,提出了一种新的混合信任模型,在该模型中引入了路径服务器来完成信任路径的构建,并对实现中的一些关键技术问题提出了解决方法.