混合信任模型中证书路径构造的研究与实现

分析研究了X.509和RFC3280中一些证书扩展项与目录属性在证书路径构造过程中的应用,这些证书扩展项与目录属性包括KeyIdentifier,CertificatePolicy,AIA,SIA,pkiPath,issueToThisCA和issueByThisCA等。提出了一个在混合信任模型下证书路径构造实现方法,并且分析了其优越性。文中的方法充分利用了证书扩展项与目录属性,可以有效、快速地构造证书路径。该方法可应用于不同PKI信任域中各CA的相互认证。     

基于逆向法和证书主体别名属性构造证书路径

用证书主体别名表示信任域内的证书路径,信任域之间的证书路径由各信任域的路径构造代理完成。在同一信任域内,通过比较目的证书主体别名中的证书路径和信任方的信任锚,信任方可以获得最短的证书路径;不同域之间的实体,通过查询路径构造代理获得域间路径,再连接域内证书主体别名中的证书路径,完成证书路径的构造。     

一种基于树结构的证书验证方法

分析了严格层次信任模型及其证书路径的特点和性质,在此基础上设计了一个基于树结构的证书验证模型。该模型利用证书路径的复用技术,并通过证书路径有效期和证书路径状态的概念,简化了证书验证的处理过程。该模型还给出了证书路径的扩展方法。     

基于依赖图信任模型的证书路径构造方法

在现行PKI信任模型的证书路径构造方案中,层次模型证书路径构造对根节点安全性依赖过高,而网状模型路径构造时存在回路。针对上述问题,提出一种新的依赖图信任模型,证明依赖图节点之间有多条路径且没有回路,给出新模型下的证书路径构造方法。实验结果表明,新模型的证书路径构造效率等同于层次模型,安全性与网状模型相近。     

基于平衡二叉排序Hash树的证书撤销方案研究

分析了公钥基础设施PKI(Public Key Infrastructure)中公钥证书撤销的主要方法.提出了证书撤销平衡二叉排序Hash树的解决方案,从而克服了证书撤销树CRT(certification revocation tree)在更新时需要对整个树重新构造的缺点,新方案在更新时只需计算相关部分路径上的Hash值,缩短了平均查找路径长度,减小了目录服务器对提出证书查询成员的响应时间,减少了证书有效性验证的计算量.     

基于属性加密的隐藏证书扩展模型

当前基于身份加密体系的隐藏证书无法实现一对多的信息传输,对身份信息不具备容错功能,且密文容易被共谋破解,这些缺点导致其在实际应用中受到诸多限制.提出了基于属性加密的隐藏证书扩展模型,解决了原隐藏证书技术存在的上述问题,并在信任协商过程中保留了隐藏证书技术对于证书、资源和策略的隐藏和保护功能.在扩展模型中加密和解密都是基...     

分布式环境下用证书实现dRBAC

对跨越多个管理域的系统而言,dRBAC是一个可升级的、分散的信任管理和访问控制机制。属性证书本质上是面向授权使用PKI的一种扩展方法,以支持与授权相关的任务。本文提出了用证书来实现dRBAC的思想,详细阐述了如何使用属性证书在动态结盟环境下实现dRBAC模型。     

公钥基础设施的多路径构造方法

现有的证书路径构造方法不能进行多路径的构造。文中提出了一个多路径构造方法，该方法通过CA之间传播路径构造请求信息从而构造出所有的证书路径。同时，采用该方法能够方便地在路径构造的过程中进行路径验证，从而提高了路径处理的效率。     

层次信任模型证书验证服务的研究与实现

对传统的证书验证过程进行了研究,分析了下属层次信任模型的性质以及在该模型中证书路径的性质,提出了证书路径有效期的概念。并在此基础上,提出了基于可信证书路径库的证书验证服务器模型,给出了系统的设计与实现方案。该模型简化了证书使用实体对证书进行验证的过程,在保证证书验证高效性的基础上,提高了证书验证的实时性和可靠性。     

基于隐藏证书的XACML访问控制扩展模型

XACML访问控制模型在SOA体系中,属于最新最先进的访问控制模型,但它却没有涉及对敏感属性及敏感策略的保护,这限制了该标准的推广价值.针对这一问题,提出了利用隐藏证书技术来扩展XACML访问控制模型,以提供对交互双方敏感属性及策略的保护,从而实现了基于XACML访问控制模型的自动信任协商.描述了如何使用XACML标准进行敏感策略的组织方式及方法,分析了扩展模型的安全性,证明了扩展模型可以抵御各类常规的分布式攻击.