基于分层信任模型的PKI机构证书更新研究

在PKI系统中,机构证书的安全性在整个PKI系统中处于非常重要的地位。当机构证书到期、密钥泄漏时,应及时撤销机构证书并进行更新,避免机构证书的错误使用而影响整个PKI系统的安全性。文中根据现有PKI规范及现状,分析了基于分层认证模型的机构证书更新机制,并对机构证书更新提出了一种新的实现方案。     

PKI机构证书撤销的研究

在PKI系统中,机构证书的安全性在整个PKI系统中处于非常重要的地位。本文根 据现有PKI规范及现状,分析了基于CRL的证书撤销机制,以及目前常用的机构证书撤销方法,并 对机构证书的撤销提出了一种改进的实现方案。     

数字证书撤销机制研究

首先介绍了证书撤销机制的基本概念，然后，分析目前X-509公钥证书的主要证书撤销机制，最后，比较这些机制各自的优缺点，指出其适应的应用场合，以期望对PKI的工程实现有一定的参考作用。     

公开密钥基础设施综述

使用PKI可以建立一个安全的网络环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而保证数据的机密性、完整性、有效性和抗抵赖性，可以说PKI是网络系统安全运行的基础。文章介绍了PKI的组成、功能等，重点介绍了证书撤销和信任模型。最后指出当前PKI系统的不足。     

基于PKI的CA系统在企业办公系统的应用

随着网络信息技术的发展,信息的完整性、机密性、身份鉴别和不可否认性越来越重要.CA是PKI的核心,是具有权威性、可信任性、公正性的第三方机构,通过向用户颁发公钥证书,将用户身份信息与所持有的公钥相互绑定.利用OpenSSL开源软件实现基于PKI的CA系统,系统具有根证书下载安装、用户证书申请、颁发、撤销等功能.所发布证书遵守X.509标准.提出可行的应用于企业办公系统的基于PKI的CA系统.     

基于二次剩余问题的证书撤销方案

证书撤销状态发布是PKI一个最为关键的环节.评价一个证书撤销状态发布方案的指标主要包含证书状态发布通信量、发布的实时性、访问平稳性、目录服务器安全要求、状态验证计算复杂度等五个方面.在对目前已有证书状态发布方案分析的基础上,本文提出基于二次剩余难解问题的证书撤销状态发布方案.该方案在状态发布的实时性、发布数据通信量、访问发生平稳性、对目录服务器的安全要求等方面都有十分理想的效果,其计算复杂度也小于OCSP、CRT和CRL.     

LDAP在PKI应用中的缺陷研究

现今的LDAP轻量级目录访问协议,作为提供目录访问服务的协议,已成为支持PKI颁发证书和撤销证书列表的主流协议。本文讨论了LDAPv2和v3版本协议在PKI应用中存在的不足,并对LDAP在单机和多机目录服务的应用方面进行了分析,提出其缺陷和相对应的解决方案。     

证书撤销机制相关标准一致性验证

分析了已制定和正在制定的PKI系列标准之间存在的一致性问题;研究了CRL格式在证书撤销机制相关标准中存在的一致性问题;通过在标准验证平台上开发相应的仿真验证程序,对CRL格式和CA密钥更新时CRL签名的有效性进行了标准一致性仿真验证。     

一种高效和可扩展的OCSP系统

证书状态查询是PKI中的一个关键问题,OCSP是解决这个问题的一种重要机制。本文分析了OCSP协议的技术细节,并在此基础上设计了一种高效的、可扩展的OCSP系统。文中对该系统的关键技术和其自身的安全性问题进行了详细的论述。最后,给出了关于OCSP机制的一些未决问题以及某些思考。     

公钥证书撤消机制综述

如何撤消证书一直是公钥基础设施(PKI)研究和应用中的一个难点问题。本文对目前应用和研究中的证书撤消机制进行了综述,详细描述了各种机制的工作原理,并对各种机制的优缺点进行了详细剖析。1     

一种基于证书属性的根证书更新方法研究

PKI的根CA证书的有效性和完整性是整个系统的基石,为了保证其有效性和完整性,根CA证书必须与其他证书一样,定期进行更新。根CA证书的有效期一般为10至15年,今后的2至3年时间将是根CA证书更新的第一个高峰。论文提出一种高效的证书更新的实现方法,基于X509v3证书扩展属性及LDAPv3目录服务器实现根证书的更新及验证,解决了现行方法中依靠系统更新以及用户误信假根证书的问题。     

简易在线证书状态协议研究

OCSP协议是PKI中的关键技术,但是由于证书状态需要签名和验签操作,计算开销大而影响效率.SOCSP协议是为解决OCSP协议中存在的性能瓶颈问题,并满足我国PKI系统实际应用的需求由我国自主研发的标准.主要研究了SOCSP的关键技术,重点分析简化后的协议数据的可用性和可能存在的安全漏洞,针对存在的这些问题提出改进方案.     

基于二分法的完全分布式密钥证书撤销方案

针对完全分布式密钥证书撤销方案中存在通信量过大的问题,文章在二次控告证书撤销机制的基础上,利用二分法的思想,分析传统方案中存在的主要不足,提出了一种完全分布式密钥证书撤销方案。经分析,改进后的方案能够大大地减少通信量和网络带宽,这对Ad Hoc(源自于拉丁语,意为:for this purpose only)网络来说是十分必要的。     

一种安全实用的证书生成机制

证书是公钥体系结构（PKI）的重要组成部分,可靠的证书生成机制是实现公钥体系结构的关键。一个完善的用户密钥对生成机制和证书产生机制对于保护用户密钥的安全起着重要的作用。介绍了当前证书生成机制的缺陷,提出了一种安全实用的证书生成机制,并分析了它的安全性。     

受信根证书管理中的安全漏洞与解决方法

对目前PKI体系中的证书信任模型和受信根证书的管理机制进行了分析,指出了受信根证书管理中存在的漏洞,并进一步详细分析了由于证书替换问题而引起的错误受信和信息泄漏。最后提出采用基于二进制签名树的受信根证书管理树来管理受信的根证书,并给出了受信根证书管理树生成和受信根证书验证的算法过程,这样受信根证书管理树不仅防止了受信根证书的替换问题,而且具有较小的存储量和根证书受信验证计算量。     

一种证书验证代理的提出

提出了一种证书验证代理的概念，该代理为所有支持PKI的应用程序提供证书验证的接口，将证书验证的实现部分封装在代理内部完成。这种代理的好处是，为所有支持PKI的应用程序提供统一、可定制证书验证策略的服务，如果能够得到各个应用程序的支持，将对PKI技术的全面实施有很大的帮助。     

基于RB_Tree的证书吊销系统

提出了公钥基础设施(Public Key Infrastructure,PKI)中证书吊销问题的一种解决方案--RB_搜索树解决方案(Certificate Revocation RB_Tree,CRRBT).该方案在查询与更新时最大时间复杂度始终保持在O(log2n)量级,对工程实现具有一定的指导意义.     

证书认证中心管理证书的策略及实现

提出一种基于认证中心CA的网络安全解决方案,实现了以下功能:(1)认证中心的基本功能:证书的签发、证书的更新、证书的状态查询、证书的撤销、证书的归档等;(2)双证书机制,将用户的签名密钥对与加密密钥对相分离;(3)将用户签名私钥保存到用户证书载体.此方案不但解决了网上用户身份认证和信息安全传输的问题,而且更有效保护了用户的隐私,提高应用系统的安全性.     

X.509 V3证书格式及语义

随着电子商务的广泛应用,公开密钥基础设施（PKI）建设和公开密钥密码学成为研究的热点,描述了公钥证书系统中,X.509V3版证书的结构及其语义,特别是对证书的扩展域的各个字段作了重点的分析,最后还对其它分钥证书结构作了简单的介绍。     

基于PKI/PMI的授权管理模型设计

随着计算机应用系统的日益庞大,用户身份认证、访问控制和权限管理成为应用系统安全关注的焦点。如何结合PKI、PMI技术为应用系统提供一种统一的身份认证、授权管理和访问控制是论文想要探讨的问题。文中介绍了一种基于PKI的PMI授权管理访问控制模型,并提出了基于属性证书实现访问控制的方法。