基于分层身份的电子政务网格认证模型研究

在网格环境中,PKI公钥管理方式对GSI认证效率产生一定的制约,而基于IBC的认证机制轻量、高效,密钥管理较为简便,改进了TLS握手协议,在此基础上提出一种适用于电子政务网格的基于HIBC的认证模型HIAM (Hierarchical ID-based Authentication Model),该模型克服了基于PKI的证书认证机制效率方面的缺点,通过与GSI的结合,重用GSI提供的安全服务,同时便于部署.     

O2O应用中二维码的混合认证服务系统

二维码作为一种信息载体,可以实现电子商务应用的线上与线下（O2O）并行互动,为消费者带来更便捷和快速的消费体验。但是,二维码不能有效应对移动互联网环境下的信息泄露、信息篡改、身份认证、抵赖性等安全挑战。文章针对二维码信息容量有限,无法在其中嵌入传统PKI体系的数字证书及证书链的问题,提出了一种结合PKI与IBC密码体制的技术方案,按照预先定义的规则为已持有数字证书的用户生成IBC密钥对,充分利用IBC密码体制中公钥信息量较少的优势。文章设计了密钥对申请及发放的协议流程,以及使用IBC密钥对来完成数字签名及验证的过程,同时借助数字证书的状态来判断用户是否有效,满足在O2O应用过程中的安全需求。该技术方案实现了在已建立PKI体系的场合下完成IBC密钥对的分发,有效解决了二维码在O2O应用中电子标签数据的认证问题,并且建立了基于数字证书的IBC数字签名信任链,满足数据传输的机密性、用户身份识别、信任关系的建立等安全目标,尤其适用于信息容量受到限制的二维码类型。     

在实践中锻造公安信息网的金钥匙

PKI是Public Key Infrastructure的缩写，通常译为公钥基础设施。PKI采用非对称密码算法原理和技术，实现并提供网络和信息化应用的安全认证服务。PKI体系结构采用电子证书的形式管理公钥，通过密钥和证书，建立一个安全的网络环境，实现用户的身份鉴别、信息的保密性、信息的完整性、信息的不可否认性等安全功能。     

基于身份的TLS协议及其BAN逻辑分析

基于身份的密码体制(IBC)轻量、高效,密钥管理方式简单,但缺乏有效安全协议的支持限制了其应用。通过增加支持IBC的加密套件,引入IBC公钥代替RSA证书公钥,减少消息交换数量,提出支持IBC的、高效的基于身份的IB_TLS协议。使用BAN逻辑对其进行形式化分析,证明IB_TLS协议是安全的。     

PKI技术在信息安全中的应用

公钥基础设施(PKI)就是根据公钥理论和技术,建立的一套提供安全服务的密钥管理平台。它为网络通信和网络应用提供信息加密和数字签名,是信息安全技术的核心内容。通过对PKI基本原理的概述,深入研究了PKI技术在Web安全和网络身份认证中的功能和作用。在建立安全的网站时,使用安全套接字协议层(SSL)协议可以在浏览器和服务器之间进行加密通信,从而使信息在传递过程中不被轻易破解;在进行电子商务交易时,通过构建PKI平台,能建立一种身份信任机制,防范交易及支付过程中出现的欺诈行为。在信息的交互过程中建立和使用PKI技术,能有效地保证数据的安全性、完整性和不可抵赖性。     

P2P中基于无证书的认证及密钥协商协议

目前P2P网络得到了迅猛发展,但由于其本身的结构特点使之面临很多的安全问题.网络安全极大地阻碍了P2P系统的发展.文中在比较传统公钥基础设施(PKI),基于身份的公钥密码系统(ID-PKC)和无证书公钥密码系统(CL-PKC)各自优缺点的基础上,提出了混合P2P中一种基于CL-PKC的域内和跨域双向认证和密钥协商协议,并进行了安全性分析.本方案克服了P2P网络中PKI繁琐的证书管理和ID-PKC的密钥托管等问题,提高了双向认证和密钥协商的速度,具有较高的效率,能较好地解决混合P2P网络的安全问题.     

浅谈基于PKI的数字认证的应用安全体系

PKI是"Public Key Infrastructure"的缩写,意为"公钥基础设施"。公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。目前,公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。作为一种技术体系,PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障。但PKI绝不仅仅涉及到技术层面的问题,还涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题。PKI的核心是要解决信息网络空间中的信任问题,确定信息网络空间中各种经济、军事和管理行为主体(包括组织和个人)身份的惟一性、真实性和合法性,保护信息网络空间中各种主体的安全利益。     

CPK与PKI的性能分析

认证系统是政府、国防、银行、税务等部门建立信任的基础。认证系统的核心是合理的签名机制,而签名机制的实现要靠合理的密钥管理。因此,没有很好的密钥管理技术就很难实现较好的签名机制和认证机制。 现有两种认证系统,一是基于普通公钥体制下构建的PKI认证系统;二是基于种子公钥体制下构件的CPK认证系     

PKI系统加密算法应用研究

公钥基础设施（Public Key Infrastructure,简称PKI）是保障大型开放式网络环境下网络和信息系统安全的最可行措施。PKI系统能够提供公钥加密和数字签名服务,基本满足信息系统的安全性和认证应用需求。PKI系统通过应用加密算法实现数据的机密性、完整性和不可否认性的保护验证过程;因此,PKI系统可广泛应用于众多领域,便于建立和维护安全可信的网络计算环境。     

基于身份的认证群密钥协商协议

认证群密钥协商(AGKA)协议能为一群用户产生一个共享的会话密钥,使得群用户间能在公共数据网络进行安全通信.现有的大部分基于公钥技术的AGKAY协议分两类:第一类,认证部分是基于PKI/CA,会话密钥协商部分主要用模指数(或点乘)实现;第二类,认证部分是基于身份(ID)的公钥体制,会话密钥协商部分主要是用Weil对或Tate对实现.第一类AGKA协议存在一个较显著问题:公钥管理问题;第二类AGKA协议虽然有效地解决了公钥管理问题,但由于其会话密钥协商部分主要是用双线性对(即Weil对或Tate对)实现,与前者相比,计算量较大.针对这些不足,提出了一个新的AGKA协议,其认证部分是基于身份(ID)的公钥体制,会话密钥协商部分的运算主要用模指数实现;并在ROM,ECDH和BDH假设下证明了该AGKA协议的安全性.该协议与基于PKI/CA的相关AGKA协议相比,克服了后者在密钥管理上的困难;与其它基于身份的AGKA协议相比,在效率上具有一定的优势.     

PKI系统在IPv6网络中的应用研究

公钥基础设施(Public Key Infrastructure，PKI)是进行公钥管理和用户认证的机构。它通过X．509规范进行公钥管理，通过权威认证机构提供用户的身份认证，在网络中建立起用户的信任关系，提供数据源认证、访问控制和数据加密等安全服务。介绍了PKI认证系统的组成和功能，分析了在IPv6中构建PKI系统存在的问题并提出了解决方案。     

基于交叉认证的PKI信任模型研究

公钥基础设施(PKI)利用公钥理论,为加密和数字签名等密码服务提供必需的密钥和证书管理.信任模型是PKI整体架构的抽象,其选取对PKI的构建至关重要.基于交叉认证的实现过程,介绍了五种典型的PKI信任模型的信任控制方法及模型特点,对模型进行了综合比较.     

一种基于自认证公钥体制思想的MANET网络密钥分发方案

基于自认证公钥的密码系统在移动Ad Hoc网络等环境中具有良好的应用前景,提出一个无可信PKG(private key generator)的门限密钥分发方案。理论和仿真分析表明,该方案具有良好的容错性,实现了用户公钥和签名验证在逻辑单步内同时完成;克服了IBC(identity-based cryptosystem)方案中存在的密钥托管问题;达到了Girault提出的第Ⅲ级信任;与Li等类似方案相比,极大地节省了计算资源和网络带宽。     

简单的三方口令密钥交换协议

基于口令认证的三方密钥交换协议（3PAKE）是通信双方在认证服务器的帮助下能在公开非安全的信道上协商并建立一个共享会话密钥。虽然目前有不少该方面的研究,但多数后来被证实易受攻击。本文给合以往的研究,提出一个不需服务器公钥体系的简单的基于口令认证的三方密钥交换协议。本文的协议不仅能抵抗各种攻击,而且计算成本和通信成本都比较低。     

一种基于TPM增强的ARAN安全路由协议

安全路由协议设计是Ad hoc网络安全研究的重要组成部分。当前研究主要集中在采用经典密码学中的方法来保证路由安全。结合可信计算中的TPM和典型的安全路由协议ARAN,提出了一种新的安全路由协议TEARAN,该协议不再采用集中式的公钥证书分发中心PKI,而是采用TPM中的DAA(Directed Anonymous Attestation)方式来进行节点的身份认证,以及软安全中可信阂值来监测部居节点的行为,从而进行公钥可信分发,同时确保了无恶意节点加入网络,另外,也采用公钥签名、会话密钥加密来保证端到端通信的保密性、完整性和不可否认性。理论证明了提出的TEARAN协议能够实现网络的匿名安全,防范当前常见的攻击方式,达到了很好的安全保证效果。     

IBC模型在Web安全体系中的应用研究

针对目前基于公钥证书的PKI体系所固有的网络开销大,证书往来过于频繁等缺点,提出并分析了基于身份加密体系(IBC体系)的认证架构和互动模型,说明了IBC模型相对于PKI体系结构的优缺点.针对XML签名和XML加密这两个Web-Security核心协议,比较了使用X.509公钥证书体系和IBC无证书方式在SOAP协议中的实现方式.证明了在保证信息安全的同时,使用IBC模型可以大幅降低网络传输内容,提高了SOA体系的效率和可扩展性.     

一种基于PKI的移动IP安全认证协议

就重放、DoS等攻击对移动IPv4协议带来的安全威胁作了详细的分析,提出一种基于PKI的安全认证协议,该协议采用安全密钥结合最小公钥和会话密钥的技术来确保注册过程中身份的认证、信息的完整性、机密性,最后对协议的安全性进行详细的分析.     

你了解PKI吗?

在网络开放性和匿名性面前人们不得不为安全和信任而烦恼。PKI(PUBLIC KEY INFRASTRUCTURE)即公共密钥基础设施就如一个“网络罗盘”能在迷人的网络世界里保障你的安全,同时也会帮你找到值得信赖的“朋友”。 公共密钥是一种公钥加密体制,它通过一对唯一匹配的密钥来完成加、解密过程。在这一对密钥中,有一个是公开的密钥称为公钥,另一个由用户自己保存的称为私钥。假如一个人A想和另一个人B通信,只要找到B的公钥,用它将信息加密并传给B,B用自己的私钥解密信息就可以了。这样就算误传或被人截取也不用担心信息泄漏。同样道理B用自己私钥加密的信息也只能用B的公钥解密,这就有了不可抵赖性和可认证性。     

基于IBE Service 的新型文件加密系统

基于身份的公钥加密(Identity-based Encryption,简称IBE)体制采用用户ID作为公钥,无需公钥证书操作,较传统的PKI体系具有开发部署简单、应用成本低等优势,尤其适用于密钥集中式管理的企业级应用。设计了一个基于Web Service的IBE密钥管理服务系统IBE Service,实现各个网络安全域内的用户密钥管理,提供以用户安全策略为中心的密钥服务;基于IBE Service开发了一个面向通用文件加密的客户端应用,主要通过SOAP服务接口实现基于XML的IBE密钥数据交互。新型的文件加密系统可将接收方ID直接映射为公钥,接收方自动向IBE Service获取私钥完成文件解密,具有安全、便捷等优点,且支持灵活的ID安全策略管理。     

基于双线性对的可认证密钥协商协议

针对Smart等人提出的密钥协商方案存在主密钥托管单点失效安全问题,提出两个新的可认证双线性对密钥协商协议：一个通过向可信第三方获取对方注册的公钥,及实体唯一持有的私钥,实现身份认证和密钥协商;另外直接给出一个无第三方的简单密钥协商方案,先利用椭圆曲线上的数乘实现节点安全认证,再通过双线性对生成会话密钥。最后分析两个协议均满足基本的密钥协商安全属性,并给出协议性能的综合分析。