X.509证书撤消表及扩展的分析

证书撤消表是Internet X.509公钥基础设施证书系统中现行公布的关于证书撤消问题的标准方案.本文分析了证书撤消表和证书撤消表扩展,讨论了这些扩展域的含义、功能、用法以及它们之间的关系.     

CRL分段-过量发布综合模型研究

提出了一种应用证书撤消列表CRL(Certificate revocation List)发布公钥基础设施PKI(Public key infrastructure)证书状态信息新模型:分段-过量发布综合模型,该模型采用先将CRL分段,然后各段独立过量发布的方式来实现.通过分析表明,该方式既可以减少CRL的长度,使存储库以更快的速度提供请求服务,又可以降低峰值请求率、峰值带宽和平均负荷,减少时间碎片,满足大规模PKI对证书撤消的要求.     

GB/T 19713-2005《在线证书状态协议》简介

介绍了国家信息安全标准系列中的OCSP-GB／T19713-2005《在线证书状态协议》。OCSP-在线证书状态协议应用在确定X．509数字证书的（撤消）状态。OCSP可以提供比CRL更及时的证书的撤消信息，以满足一些操作的需求，还可以获取更多的证书状态信息。     

一种基于中国剩余定理的群签名方案

在群签名方案中,群中任意成员可以代表整个群体生成签名.在有争议的情况下,群管理人可以确定签名人的身份.成员的撤消是群签名中的一个重要问题,在目前已知的各种撤消方案中,还不存在一种方案可以在不改变其它有效群成员的密钥的情况下,安全地撤消群成员.并且增加或撤消一个成员至少都需要指数运算,因此计算复杂度高.本文提出了一种基于中国剩余定理的群签名方案.该方案有三个特征:(1)在不改变其它有效群成员的密钥的情况下,可以安全地增加或撤消群成员;(2)增加或撤消的过程中只需要乘法运算,并且在撤消时群公钥的长度不变;(3)安全性是基于大数分解的困难性.     

多雷达跟踪系统中航迹质量管理的优化

利用滑窗检测器对多雷达跟踪航迹起始与撤消进行了分析，指出了目前技术指标的不足之处，提出了新的技术指标，定义了最优航迹起始、准最优航迹起始和最优航迹撤消，为航迹质量管理系统的优化设计提供了依据。     

受信根证书管理中的安全漏洞与解决方法

对目前PKI体系中的证书信任模型和受信根证书的管理机制进行了分析,指出了受信根证书管理中存在的漏洞,并进一步详细分析了由于证书替换问题而引起的错误受信和信息泄漏。最后提出采用基于二进制签名树的受信根证书管理树来管理受信的根证书,并给出了受信根证书管理树生成和受信根证书验证的算法过程,这样受信根证书管理树不仅防止了受信根证书的替换问题,而且具有较小的存储量和根证书受信验证计算量。     

序列号设计优化海量证书状态查询

随着中国电子认证市场规模的不断扩大,证书认证中心发证量迅速攀升,在实际应用场合,数字证书的应用越来越普遍。在线证书状态查询是海量公钥基础设施进行证书有效性验证的核心手段,在海量发证和大规模证书应用的场景下,如何提高验证效率成为其应用推广的关键点。通过对证书状态查询过程进行分析,可以在公钥基础设施设计时将证书序列号设计为分段模式,同时改进证书状态查询过程,提升在线证书状态查询的响应性能。     

一种新型的在线证书状态查询机制及系统实现

证书状态查询是公钥基础设施中最重要的问题之一。文中在OCSP的基础上给出了一种新的在线证书状态查询机制及系统的设计。在新的机制中,用户可以设置自己对公钥证书的新近时间要求,增加了系统的灵活性。文中对系统的设计和一些关键技术进行了详细的论述。     

一种安全实用的证书生成机制

证书是公钥体系结构（PKI）的重要组成部分,可靠的证书生成机制是实现公钥体系结构的关键。一个完善的用户密钥对生成机制和证书产生机制对于保护用户密钥的安全起着重要的作用。介绍了当前证书生成机制的缺陷,提出了一种安全实用的证书生成机制,并分析了它的安全性。     

P2P网络的数字证书撤消列表发布机制分析比较

大规模PKI（Public Key Infrastructure）的管理机构一般采用证书撤消列表（Certificate Revocation List,简称CRL）的方式汇总因密码泄露、过期等因素导致失效的数字证书。PKI主要通过发布CRL来验证证书有效性,但如何提高CRL的发布效率以降低部署成本,一直是部署PKI的核心问题。本文分析比较基于P2P网络的各种数字证书撤消列表发布机制在性能上的差异,为在P2P网络上部署PKI提供参考。     

基于二次剩余问题的证书撤销方案

证书撤销状态发布是PKI一个最为关键的环节.评价一个证书撤销状态发布方案的指标主要包含证书状态发布通信量、发布的实时性、访问平稳性、目录服务器安全要求、状态验证计算复杂度等五个方面.在对目前已有证书状态发布方案分析的基础上,本文提出基于二次剩余难解问题的证书撤销状态发布方案.该方案在状态发布的实时性、发布数据通信量、访问发生平稳性、对目录服务器的安全要求等方面都有十分理想的效果,其计算复杂度也小于OCSP、CRT和CRL.     

支持属性撤销的适应性安全属性基加密方案

Attribute revocation is inevitable and also important for Attribute-Based Encryption (ABE) in practice. However, little attention has been paid to this issue, and it remains one of the main obstacles for the application of ABE. Most of existing ABE schemes support attribute revocation work under indirect revocation model such that all the user's private keys will be affected when the revocation events occur. Though some ABE schemes have realized revocation under direct revocation model such that the revocation list is embedded in the ciphertext and none of the user's private keys will be affected by revocation, they mostly focused on the user revocation that revokes the user's whole attributes, or they can only be proven to be selectively secure. In this paper, we first define a model of adaptively secure ABE supporting the attribute revocation under direct revocation model. Then we propose a Key-Policy ABE (KP-ABE) scheme and a Ciphertext-Policy ABE (CP-ABE) scheme on composite order bilinear groups. Finally, we prove our schemes to be adaptively secure by employing the methodology of dual system encryption.     

支持直接撤销的密文策略属性基加密方案

提出一种支持直接撤销的属性基加密方案,首先给出支持直接撤销的属性基加密定义和安全模型,其次给出具体的支持撤销的密文策略——属性基加密方案并对安全性进行证明,最后,与其他方案对比显示,该方案在密文和密钥长度方面都有所减少。该方案可以实现对用户进行即时撤销,当且仅当用户所拥有的属性满足密文的访问结构且不在用户撤销列表内时,才能使用自己的私钥解密出明文。     

认证字典及其在PKI中的应用研究

认证字典是一类重要的数据结构,它在众多研究领域都具有重要的理论和应用价值.文中介绍了认证字典的基本概念和原理,引入了时间约束,给出了一种新的认证字典分类方法.从认证字典在PKI中的应用出发,分析了其实现技术;并简单地分析和比较了基于不同认证字典实现的证书撤销方案.     

实用的本地验证者撤销群签名方案

本地验证者撤销是一种有效的群成员撤销方法,该方法只需将撤销信息发给验证者而无需签名者的参与。目前本地验证者撤销群签名方案中普遍存在不能防止陷害攻击以及撤销验证计算量与撤销列表长度呈线性增长等问题。为了解决这些问题,并针对群签名在隐私保护证明方面的应用,基于q-SDH假设和DLDH假设,提出一种实用的本地验证者撤销群签名方案,并在随机预言模型下证明了方案的安全性。分析了方案的效率,并与现有的本地验证者撤销群签名方案进行了比较,分析表明方案的撤销验证计算量与撤销列表长度无关,同时还具有防陷害性和向后无关联性。     

云端数据访问控制中基于中间代理的用户撤销新方法

基于属性的加密机制是云端大数据细粒度访问控制的重要方法,其中的用户撤销是访问控制的重要一环,但现有的用户撤销方法因为仅仅重新加密对称密钥或者需要重新加密原始数据,所以存在安全性差或效率低的问题。针对上述问题,提出了一种基于中间代理的用户撤销方法,来解决在细粒度访问控制环境下用户撤销所带来的安全和效率问题。该用户撤销方法主要思想是利用中间代理辅助处理原始密文,继而由用户完成转化后密文的解密。由于用户没有单独解密密文的能力,因此不需要重新加密共享数据,从而在用户撤销后保证了数据的安全性,又解决了效率问题。理论分析以及实验结果表明,所提出的方法相较现有方法能够在细粒度访问控制环境下达到安全且高效的用户撤销。     

数据外包环境下一种支持撤销的属性基加密方案

In order to support fine-grained attribute revocation in data outsourcing systems,an attribute-based encryption scheme with efficient revocation in indirect revocation model was proposed.The model of ABE supporting attribute revocation was given,and a concrete scheme was constructed which proved its security under the standard model.Compared to the existing related schemes,the size of ciphertext and private/secret key is reduced,and the new scheme achieves fine-grained and immediate attribute revocation which is more suitable for the practical applications.     

A Cluster-Based Random Key Revocation Protocol for Wireless Sensor Networks

In recent years,several random key pre-distribution schemes have been proposed to bootstrap keys for encryption,but the problem of key and node revocation has received relatively little attention.In this paper,based on a random key pre-distribution scheme using clustering,we present a novel random key revoca-tion protocol,which is suitable for large scale networks greatly and removes compromised information efficiently.The revocation protocol can guarantee network security by using less memory consumption and communication load,and combined by centralized and distributed revoca-tion,having virtues of timeliness and veracity for revoca-tion at the same time.     

一种Ad Hoc网络的分布式证书撤销算法

文章提出了一种AdHoc网络的分布式证书撤销算法，该算法利用撤销状况权值记录矩阵A（T W）描述节点间的撤销关系和节点的可信度，通过权值迭代关系逐步实现网络运行过程中权值的不断变化，随着网络中各恶意节点被撤销，正常节点的权值得到恢复，非常适用于AdHoc网络。