一种安全高效的弹性CA方案

CA(certificate authority)作为在线用户提供认证服务的中心,如何安全高效地为注册用户颁发数字证书便成为一个非常重要的课题.以Nyberg-Ruepple签名体制为基础,结合门限密码学相关理论,提出了一种基于ECC的门限数字签名方案,并研究了该方案在构建入侵容忍的弹性CA中的应用.对比现有的弹性CA方案,分析显示了新方案在安全性和计算效率方面所具有的良好性能.     

一种基于门限ECC的入侵容忍CA方案

门限密码学提供了建立入侵容忍应用的新方法。文中在介绍并分析了基于ECC的E1Gamal数字签名方案和t—out—of-n秘密共享方案的基础上,提出了一个基于ECC的零知识证明方法和一个基于．ECC的门限数字签名方案;研究了该方法和方案在建立入侵容忍CA中的应用。最后,对比ITTC项目中关于入侵容忍CA设计的方案,分析显示该方案在安全性、效率和可用性方面具有良好的性能。     

一种安全增强的基于椭圆曲线可验证门限签名方案

以Nyberg-Ruepple签名体制和Pedersen可验证秘密共享方案为基础,提出一种安全增强的基 于椭圆曲线的(k,n)可验证门限签名方案.该签名方案通过周期地重分派方式在不同访问结构 中共享密钥d,增强了签名密钥d的安全性,从而提高该签名方案的安全性.可以证明重分派 协议重分派签名密钥后,签名密钥保持不变.与现有基于椭圆曲线的可验证门限签名方案相 比,该安全增强的可验证门限签名方案不仅具有更强的安全性,而且具有入侵容忍能力.     

容忍入侵的RSA分步签名方案及其在CA中的应用

本文应用容忍入侵以及脆弱点分析思想,结合当今PKI中关键设施CA中心的私钥保密问题及其签名服务的安全需求,提出了基于容侵思想的CA私钥分存管理以及分步签名的技术方案。该方案着重从算法理论和系统架构两个方面保证系统的容侵特性：即在即使遭受入侵的情况下,该方案可保证系统的服务能力而且CA私钥不会马上泄漏,从而提高了整个系统的安全性。     

一种入侵容忍的CA方案

CA(certificate authority)是PKI中的关键设施.CA的私有密钥一旦泄露,该CA签发的所有证书就只能全部作废.保护在线服务CA的私钥也就成为一个非常重要的课题.不是从保护系统或检测入侵出发来保证CA的安全,而是确保当少数部件被攻击或占领后,CA系统的机密信息并没有暴露.通过将私钥分发给不同的部件,并保证任何一个在线的部件无法恢复CA的私钥,从而保护了CA私钥的保密性.     

一种针对弹性CA的分布式密钥产生方案

弹性CA是一种使用入侵容忍技术保护CA密钥的CA系统,它采用了新的私钥分割方法加强了系统的安全性,但其使用的密钥分发中心却不利于CA私钥安全 .分布式密钥产生方案就是在传统的弹性CA方案的基础上取消了密钥分发中心,使用分布式的密钥产生和分割机制,从而保证了在CA初始化和整个运行过程中,任意t-1(t为门限值)台服务器都不可能窃得CA私钥,大大加强了CA系统安全 .     

Kerberos协议的安全性增强方案

身份认证是网络安全的基础.针对s/key协议的安全缺陷,构建了基于ECC数字签名链的一次性口令认证协议EOTP.利用一次性口令认证协议EOTP和对称密钥体制AES,针对Kerberos协议的安全缺陷,给出了一个改进的Kerberos协议.经过分析对比,改进的Kerberos协议具有更好的安全性.     

PKI安全的关键:CA的私钥保护

文章指出了PKI(Public Key Infrastructure)安全的关键是CA(Certificate Authority)的私钥保护.由于ECC(Elliptic Curye Cryptography)比RSA等其他公钥密码系统能够提供更好的加密强度、更快的执行速度和更小的密钥长度,因此本文提出了一种基于椭圆曲线密码体制的组零知识证明方法和入侵容忍技术有机结合的私钥合成算法,通过影子服务器的影子安全地保护了私钥、无信息泄露地验证了私钥,而且在受攻击后仍能继续工作.通过可复原性和抗合谋性两方面的安全性分析得此策略有地解决了CA私钥的安全保护问题.     

PKI安全的关键:CA的私钥保护

文章指出了PKI(PublicKeyInfrastructure)安全的关键是CA(CertificateAuthority)的私钥保护。由于ECC(EllipticCurveCryptography)比RSA等其他公钥密码系统能够提供更好的加密强度、更快的执行速度和更小的密钥长度,因此本文提出了一种基于椭圆曲线密码体制的组零知识证明方法和入侵容忍技术有机结合的私钥合成算法,通过影子服务器的影子安全地保护了私钥、无信息泄露地验证了私钥,而且在受攻击后仍能继续工作。通过可复原性和抗合谋性两方面的安全性分析得此策略有地解决了CA私钥的安全保护问题。     

基于入侵容忍的CA认证中心设计

从PKI的核心部件CA入手,将入侵容忍的概念引入CA中,给出了一个可行的基于入侵容忍技术的CA认证中心设计方案。论述了基于入侵容忍CA认证中心的体系结构、各组件间的相互作用、基于入侵容忍的CA签名方案及整个系统的工作过程。针对系统的不足之处,指出了未来工作中需要改进的地方。     

基于椭圆曲线的可转移不可否认的数字签名方案

提出了一个新的可转移不可否认签名方案，它是将ElGamal签名方案和椭圆曲线密码体制有机的结合起来，伪造签名的困难性等价于伪造ElGamal签名，新方案很容易转换成自验证签名。     

基于改进椭圆曲线算法的批量签名方案

描述了由ANSI于1999年颁布的椭圆曲线数字签名算法（ECDSA）,给出了一个改进的椭圆曲线数字签名算法,进一步加快了运算速度,缩短了数字签名时间。结合Binary tree批量签名方案,设计了一种基于改进椭圆曲线签名算法的批量签名方案。签名方用一次签名动作完成对多个不同消息的签名,但计算复杂度几乎和单个消息签名相同。非相关接收方可以独立地对每一条消息进行认证,安全性和ECDSA相同。     

一种基于身份的短数字签名方案

针对政府投资项目在线评审中的安全问题,利用基于身份的密码体制,提出了一个新的基于身份的短数字签名方案.该方案与同类方案比较具有运算时间短,系统开销小的优点.另外还提出了将专家系统与可信第三方结合设计的思路.分析表明,该签名方案是安全有效的,适合在在线评审系统中使用.     

-一种安全的椭圆曲线多重数字签名方案

现有的椭圆曲线数字签名方案ECDSA不适合进行多重数字签名,文章对ECDSA方案稍作了改进,给出一种安全性建立在椭圆曲线离散对数难题（ECDLP）上的、适合多重数字签名的椭圆曲线数字签名方案,然后在此基础上提出一种安全性建立在ECDLP上的多重数字签名方案,分析表明这两种方案都正确并且能够有效抵抗攻击。     

基于椭圆曲线密码体制的签名方程的构造方法

提出了构造椭圆曲线密码体制的一般签名方程的方法,几乎包含了目前这类方程的所有不同形式,并对其安全性进行了简单的分析。     

CA系统中RA中心的设计及实现

本文就CA系统的RA系统的功能进行了介绍,详细分析了RA中心与CA中心的接口关系．软件设计上．通过运行环境、软件结构、算法说明、数据库结构、出错处理这五个方面解释了具体设计结构．本系统已在政府部门、武譬部门使用．系统运行良好。     

基于椭圆曲线的限制性群盲签名方案

基于椭圆曲线离散对数问题,将限制性群盲签名和知识签名的思想推广到椭圆曲线循环群上,提出了一种新的限制性群盲签名方案,以提高其安全性和效率。并以此为基础设计了一种多银行电子现金系统。分析表明,方案是安全的、高效的。     

基于ECC的前向安全数字签名的研究与改进

基于ECC的前向安全数字签名方案，签名中使用了不变量SKi^n^T-i，尽管签名私钥是前向安全性的，但实际上签名不具有前向安全性。该文提出了关联因子的概念，利用关联因子构造了一种新的基于ECC的前向安全数字签名方案，该方案不仅具有前向安全性，还具有较强的抗伪造性，有一定的理论和实用价值。