CA系统的设计

目前网上身份识别主要采用通过认证中心（CA）对申请证书的用户发放电子证书的方式。本文介绍了依据现有国际标准,能够生成、管理、发放X509（V3.0）证书的认证中心（CA）系统的设计。     

基于Web服务的证书发放系统的设计与实现

为了改善PKI数字证书发放易用性差、集成度低和运营成本高的缺陷,在认证中心与应用系统之间引入注册代理,统一了用户数字证书发放和应用系统用户权限设置流程。给出了数字证书申请流程,基于W eb服务实现了证书发放系统,系统具有系统无关性和平台无关性。实际应用表明证书发放系统提高了PKI数字证书发放的易用性、集成度,降低了运营成本。     

基于Web 服务的证书发放系统的设计与实现

为了改善PKI数字证书发放易用性差、集成度低和运营成本高的缺陷,在认证中心与应用系统之间引入注册代理,统一了用户数字证书发放和应用系统用户权限设置流程。给出了数字证书申请流程,基于Web 服务实现了证书发放系统,系统具有系统无关性和平台无关性。实际应用表明证书发放系统提高了PKI数字证书发放的易用性、集成度,降低了运营成本。     

基于单向哈希链和多重证书的网格安全方案

本文分析了网格安全基础设施（Grid Security Infrastructure、GSI）中传统的证书撤销机制存在的问题,并提出了一种新的联合证书撤销方案。该方案使用单向哈希链和多重证书来改进证书撤销机制,CA的部分功能被分散到其它网格节点,避免了网格环境下的拥塞和单点失败。不同CA颁发的证书能够进行交叉认证,用户可以验证证书的有效性而无需从该证书的颁发CA重新获得撤销信息。因此该方案可以保证证书撤销的实时性。为了研究方案性能,和其他三种传统的证书撤销方案进行了对比实验。结果表明,相对传统的证书撤销机制本文所提出的联合证书撤销方案能使峰值请求率降低、峰值带宽变窄、安全风险降低．     

基于域名系统的证书验证系统研究与实现

为解决当前不同CA（Certificate Authority）间证书验证过程的互操作问题,本文在分析当前证书撤销机制问题的基础上,结合域名系统（Domain Name System,DNS）的referral模式提出了一种新的证书验证系统DNS-OCSP,使用该系统可构建不同CA间统一的证书验证,给出了DNS-OCSP的系统结构,说明了DNS-OCSP的工作流程。该系统具有较好的可存取性和可扩展性。     

基于Windows2000 CA和Linux ready PK卡的证书申请

Windows 2000 Server的证书服务为企业建设自身的公钥体系和企业CA提供了很好的解决方案，能方便地为Windows Ready PK卡发放CA证书，但不识别Linux ready PK卡，为企业Linux用户带来了麻烦，文章阐述了一个解决方案。     

基于NTRUSign的新型公钥基础设施的设计*

为了提高可信第三方证书授权中心(Certificate Authority, CA)对数字证书的管理效率,提出了一种基于NTRUSign签名算法的多证书公钥基础设施(Multi-Certificate Public Key Infrastructure, MCPKI)。对证书中所使用NTRUSign签名算法公钥的部分系数进行哈希运算,并在此基础上补全剩余系数得到一个新的公钥,然后依次循环此操作,将这些公钥对应的证书形成证书链,并将证书链应用到MCPKI场景中。该方案的提出为CA在数字证书的管理问题上提供了一种新思路,用户只需向CA申请一次,便可拥有证书链上的全部证书。与传统的公钥基础设施(Public Key Infrastructure, PKI)相比,MCPKI实现了CA对证书更加高效的管理。在MCPKI中,不仅可以自发的进行证书替换,而且实现了证书的自签发与自撤销。     

企业级CA系统以及应用策略的研究与实现

考虑到企业CA系统在功能和管理方式上有别于标准的CA系统,企业进行网络安全策略设计时,尽管重新设计一个加密算法比较麻烦,但可以综合、合理地运用CA数字证书以及现有的各种加密算法设计出安全性较好的网络安全策略．在此基础上,研究了企业级CA原型系统,设计了企业级CA系统。由于在企业内部要实现认证过程相对比较简单,以及在证书生存以及管理方面可以简单考虑,同时证书申请分发、查询、废止的策略可以自行制定,没有标准的数字证书管理所要遵循的标准的复杂并实现了该原型系统．     

面向电子政务的CA证书发放系统

实现了一种面向电子政务的CA证书发放系统.该系统是基于B/S模式的,通过SSL连接颁发证书,采用了端对端加密、权限管理和访问控制等安全机制,具有权威性、公正性和可信赖性,并且已成功应用于四川省政府采购系统.     

基于DCOM组件技术的CA证书申请设计与实现

文章主要介绍了PKI（Public Key Infrastructure）体系中使用智能卡向CA机构申请征书服务于系统的一个完整设计与实现，具体说明了Winsows2000证书服务、CRYPTOAPI、CSP（Cryptographic Service Provider)以及DCOM组件等在实现过程中涉及的技术及相关原理。     

基于SSL的数字证书在单机环境下的模拟实现

数字证书可以保证网络中传输信息的保密性、可靠性、完整性和不可抵赖性。首先介绍了数字证书包含的内容、类型以及数字证书的发放过程,在此基础上重点介绍了基于SSL的数字证书在单机环境下的模拟实现。     

数字证书透明性CT机制安全威胁研究

公钥基础设施（Public Key Infrastructure,PKI）和SSL/TLS加密协议,是当今互联网进行安全通信的关键要素,但存在被攻击或恶意CA所导致的重大安全隐患.2013年,谷歌提出证书透明性（Certificate Transparency,CT）技术用于对CA签发的HTTPS证书进行公开审计.目前,大多CA都支持CT,在谷歌生态中,浏览器也广泛部署CT技术,但CT也引入了新的运行风险.本文从信任机制、安全威胁两个角度梳理了CT技术,归纳总结出基于CT的Web PKI信任模型和安全威胁模型,并提出安全保障机制及应用部署建议,最后对于CT技术的发展进行了总结和展望.     

公钥密码体制在网上银行中的应用

互联网用户的个人信息一直是黑客们“攻击”的重点,其中网上银行用户账号被盗的案件更是让许多人感到担心。本文对公开密钥密码体制的原理以及由于其在现实中的应用而产生的身份认证、数字签名、数字证书等概念做了简单介绍。本文同时指出了这些原理及概念在网上银行交易中各个环节上所起到的作用以及保证网上银行账户安全链条上的薄弱环节。     

基于J2EE多层结构的认证中心

分析证书签发系统的实现机制和私钥签名的相关流程,给出一个基于J2EE多层模式的证书签发管理系统设计方案。该方案采用EJB组件等技术,实现证书/CRL的生成、签发、查询和下载、证书验证、证书撤销及证书模板管理等功能,降低应用系统的建设成本和部署难度,具有良好的可扩展性。     

证书和私钥漫游系统的设计方案

阐述了PKI应用系统中数字证书和私钥漫游的必要性和可行性,给出了数字证书和私钥漫游系统的设计方案。该方案提出了证书和私钥漫游系统的两种运行模式：作为独立的系统运行,可以为多个CA颁发的证书和私钥提供漫游服务;与CA认证系统结合在一起,只对本CA所颁发的证书和私钥提供漫游服务。方案详细描述了用户注册、证书和私钥的上传、下载流程以及安全方面的设计。     

基于安全证书的PKI解决方案

本文提出了一种基于安全证书的PKI解决方案,是采用加密卡(或加密机)硬件设备和组合密钥技术,将CA认证中心的各种CA证书分别加密成密文存储,或以明文形式存储在芯片里,同时,保证各种CA认证中心的安全协议在芯片里实现,从而,建立基于"芯片级"的PKI安全协议。     

使用数字证书进行PKCS#7数字签名

越来越多的应用需要使用USB接口数字证书进行PKCS#7数字签名。分别介绍了使用微软CryptoAPI方式和OpenSSL Engine方式进行数字签名。特别提出OpenSSL Engine简化方式,这种方式更为灵活、方便易行。     

一种内外网隔离的证书查询方案设计与实现

LDAP协议广泛应用于网络信息资源查询和证书目录查询,然而在有些场合,证书的查询端和证书目录服务器之间有网络隔离设备,不能直接采用公开的远程目录访问协议来进行证书查询。设计和实现了一种内外网隔离的证书查询方案,既不用修改LDAP协议,又能够防止恶意用户非法获取证书。