一种新型的在线证书状态查询机制及系统实现

证书状态查询是公钥基础设施中最重要的问题之一。文中在OCSP的基础上给出了一种新的在线证书状态查询机制及系统的设计。在新的机制中,用户可以设置自己对公钥证书的新近时间要求,增加了系统的灵活性。文中对系统的设计和一些关键技术进行了详细的论述。     

基于代理的公钥密码应用系统设计

传统的公钥密码技术应用模式因为需要在客户端完成大量复杂的密码计算,导致难以在计算能力弱的环境中应用。数字证书由于在应用过程中要与认证机构通信,以取得证书撤销列表、证书链或在线验证证书的有效性,严重影响了公钥密码技术的应用与推广。文中提出的基于代理的公钥密码应用支持模型中,密码计算和通信通过代理服务完成,客户端仅需发送标准的公钥密码应用请求并接收响应,有效简化了公钥密码技术的应用。     

公钥证书撤消机制综述

如何撤消证书一直是公钥基础设施(PKI)研究和应用中的一个难点问题。本文对目前应用和研究中的证书撤消机制进行了综述,详细描述了各种机制的工作原理,并对各种机制的优缺点进行了详细剖析。1     

基于RB_Tree的证书吊销系统

提出了公钥基础设施(Public Key Infrastructure,PKI)中证书吊销问题的一种解决方案--RB_搜索树解决方案(Certificate Revocation RB_Tree,CRRBT).该方案在查询与更新时最大时间复杂度始终保持在O(log2n)量级,对工程实现具有一定的指导意义.     

基于Huffrural算法的证书撤销树

对证书状态验证系统的查询性能进行了研究,指出了传统的证书撤销树方案没有考虑证书的查询频率,所有待查询证书的杂凑路径长度都是等长的。提出了H-CRT方案(Huffman CRT),能够使查询频繁的证书响应获得更短的杂凑路径,从而大大缩短了平均杂凑路径长度,优化了系统性能。     

基于证书的RSA签名系统的设计与实现

近几年办公自动化系统使用程度愈来愈高,提高社会生产效率的同时也带来了更多的安全需求。很多数字签名系统应运而生。探讨了基于证书的数字签名系统的分析与设计,该系统通过VC编程实现。在填入个人相关信息后生成证书,其中公钥证书中包含有证书有效日期、RSA参数信息和签名值。私钥证书的相关RSA参数被私钥口令加密。签名系统通过散列运算得到文件摘要,然后再用私钥证书中的RSA参数信息对摘要进行签名运算,验证者随后可以用公钥证书的RSA参数信息对签名进行验证。     

X.509证书撤消表及扩展的分析

证书撤消表是Internet X.509公钥基础设施证书系统中现行公布的关于证书撤消问题的标准方案.本文分析了证书撤消表和证书撤消表扩展,讨论了这些扩展域的含义、功能、用法以及它们之间的关系.     

GPRS支持下的WPKI设计与实现

针对GPRS系统接入安全风险大的特点,提出了与WPKI相结合的终端接入认证方案,并对该方案进行了分析研究。提出了将无线公钥基础设施（WPKI）应用于GPRS平台以获得应用层无线安全保障的方案。设计了一个将WPKI体系和GPRS平台结合起来的实验系统,给出了各个功能模块的逻辑和功能结构图,并基于开源代码库Openssl对试验系统中的CA服务器和RA服务器进行了实现和测试,在GPRS平台上实现了WPKI核心内容一证书申请、证书签发、证书查询、证书撤销等。经过测试,该实验系统能在实际的GPRS平台上可靠运行。     

PKI-X.509公钥证书及其CA的研究进展

CA及公钥证书是目前Internet上各类安全应用系统的主要密钥管理方式。本文首先描述了用于在Internet分布式网络环境下管理公钥的PKIX.509证书管理模型及其研究进展,全面分析了构造PKI的主要协议,X.500目录协议和X.509基于证书的认证协议,并对证书存取协议及其最新发展进行了描述。     

基于双线性对的无证书代理重加密方案

无证书公钥密码体制是在基于身份的公钥密码体制的基础上提出的新型公钥密码体制,它避免了密钥托管问题,也不需要使用公钥证书。代理重加密可以针对同一明文,实现不同用户公钥加密的密文之间的转换,在这个过程中半可信的代理者不能获得关于消息M的任何信息。文中将无证书公钥密码体制和代理重加密结合起来,介绍了一个基于双线性对的无证书代理重加密方案,该方案在标准模型下是抗适应性选择消息攻击的。     

无线PKI技术及其实现

无线数据服务在银行、证券、商务、贸易等方面的应用越来越厂泛,迫切需要更加完善的无线公钥基础设施(PKI)以保障服务的安全性.为此文章对无线PKI及相关技术进行了讨论,分析了无线PKI在无线应用协议(WAP)安全中所起的作用,介绍了WAP标识模块、无线PKI证书格式、公钥算法和分布式签名算法等无线PKI的关键技术,并进行了无线PKI技术应用实践.     

公钥密码基础设施在电信运营商的应用

随着密码法的实施,我国将信息系统密码应用提升到了法律层面,要求加强公钥基础设施在网络实体互通互信方面的应用。提出了一种采用严格层次结构建设统一电信公钥基础设施的方案,即建立一个全国电信运营商根CA作为信任锚,而各大电信运营商成为独立的子CA,形成“全国电信运营商根CA－电信运营商子CA”的证书信任链,提供PKI安全服务。该方案不仅可以实现电信运营商CA之间的互通互认,也有利于统一电信公钥基础设施成为全球范围信任的电子认证服务提供商,进而在国际证书标准制定上有更大的影响力和话语权。     

CRL分段-过量发布综合模型研究

提出了一种应用证书撤消列表CRL(Certificate revocation List)发布公钥基础设施PKI(Public key infrastructure)证书状态信息新模型:分段-过量发布综合模型,该模型采用先将CRL分段,然后各段独立过量发布的方式来实现.通过分析表明,该方式既可以减少CRL的长度,使存储库以更快的速度提供请求服务,又可以降低峰值请求率、峰值带宽和平均负荷,减少时间碎片,满足大规模PKI对证书撤消的要求.     

可证安全的高效可托管公钥加密方案

可托管公钥加密方案中一个公钥对应于2个解密私钥,它可大大减少公钥基础设施PKI中公钥证书的数目,从而降低其公钥证书管理的负荷。同时对于用户端来说,它也能减小所需私钥存储空间,减轻用户的私钥管理负担。提出2个新的可托管公钥加密方案,其中第二个方案是文献中所有现存同类方案中最为高效的一个。它也是第一个可证安全的方案,其安全性基于标准的双线性Diffie-Hellman假设。     

Design and implementation of a lightweight online certificate validation service

A PKI (public key infrastructure) provides for a digital certificate that can identify an individual or an organization. However, the existence of a certificate is a necessary but not sufficient evidence for its validity. The PKI needs to provide applications that use certificates with the ability to validate, at the time of usage, that a certificate is still valid (not revoked). One of the two standard protocols to check the revocation status of certificates is the Online Certificate Status Protocol (OCSP). In this article, we propose an OCSP-based implementation that enhances the performance of standard OCSP. In particular, we put special emphasis on those issues that affect security and performance when the validation service is deployed in a real scenario. Finally, we provide experimental results that show that our implementation outperforms standard OCSP.     

公钥基础设施（PKI）在电子政务安全的研究与实现

公钥基础设施（PKI）是现代网络信息安全领域中的一门新兴主流安全技术。首先介绍了电子政务信息安全的需要，而在各种网络信息安全技术中只有利用PKI体系的管理密钥和证书技术才可以建立一个安全的电子政务环境。然后剖析了PKI的体系组成和PKI的管理，根据PKI技术特点，论文最后详细探讨PKI技术在电子政务系统信息安全方面的各种应用。