一种高效实用的证书验证机制的研究

在公钥基础设施当中,数字证书有可能在没有到期就要撤销它.PKI主要提供了两种证书撤销方法,就是周期性发布的证书撤销列表CRL和在线证书状态协议OCSP.详细地分析了CRL和OCSP两种证书撤销机制的优点和局限性,结合两者各自的优点,提出了一个高效实用的证书验证机制.给出了该机制的工作原理,并详细地介绍了的实现方法.     

基于P2P网络的Over-Issued CRL机制研究

目前关于公钥基础设施（public key infrastructure）中证书撤销问题的主要解决方案是使用X.509证书撤销列表（Certificate Revocation List）来定期发布证书状态信息。现有的发布机制存在CRL存储库峰值负荷过重,导致PKI部署成本过高的问题。通过对Over-Issued CRL模型和P2P技术的分析,给出一种基于P2P网络和Over-Issued CRL发布机制,它结合了上述两种技术的优点,有效降低了CRL存储库峰值负荷。     

一种基于消息中间件的PKI系统应用集成方案

针对分布式环境下为大规模的证书用户提供及时、多样的证书服务所产生的对PKI系统中各实体的组织与管理等问题,提出一种PKI系统的应用集成方案.该方案以AMQP消息中间件作为集成方式,运用面向服务思想对各实体进行管理,采用异步的发布/订阅方式实现消息的传输,能够为PKI系统提供一个高效、稳定、且扩展性强的集成与通信平台.通过实验表明该应用集成方案能够在不对PKI系统性能造成较大的影响下,提高PKI系统在处理大规模证书服务时的整体性能.     

基于单向哈希函数的证书撤销机制

证书撤销是公钥基础设施PKI(Public Key Infrastructure)研究和应用的难点问题.首先讨论了当前应用最广泛的两类证书撤销机制:证书撤销列表CRL(Certificate Revocation List)和在线证书状态协议OCSP(0nline Certificate Status Protoco1),剖析了这两种机制各自存在的不足.在此基础上,提出了一种基于单向哈希函数的证书撤销机制.     

基于预约的证书撤销通知方案

分析Ad Hoc网络中证书撤销通知方案的优缺点,提出一种基于预约的证书撤销通知方案。当节点的证书状态发生变化时能主动及时地把证书的最新状态通知给预约该证书状态的所有节点,通过单向哈希链实现预约及证书状态通知消息的认证,同时利用自恢复区域方法传播预约及证书状态通知消息,并运用Jini技术实现该方案。实验结果表明,该方案是有效的。     

基于Over-Issued增量CRL发布机制的研究

目前关于公钥基础设施（public key infrastructure）中证书撤销问题的主要解决方案是使用X．509证书撤销列表（CRL）来定期发布证书状态信息;现有的发布机制主要针对提高处理时间,而对存储库性能的优化仍然存在一些问题——CRL存储库峰值负荷过大;通过对增量CRL和Over—Issued CRL模型的分析,给出了一种基于Over—Issued增量CRL机制的证书状态信息发布方法;它结合了上述两种模型的优点,通过改变Over- IssuedCRL发布的时间间隔和增量CRL发布窗口大小,有效降低了存储库峰值负荷。     

基于单向散列链的公钥证书撤销机制

证书撤销是公钥基础设施（PKI，Public Key Infrastructure）研究和应用的难点问题．本文首先讨论了当前应用最广泛的两类证书撤销机制一证书撤销列表（CRL，Certificate Revocation List）和在线证书状态罅议（OCSP，Online Certificate Status Protocol），剖析了这两种机制各自存在自的不足．在此基础上，提出了一种基于单向散列链的证书撤销机制．     

PKI证书的撤销与验证

随着电子商务公司越来越多地使用数字证书 (由认证中心签发的电子身份证 )来保证在线交易的安全性 ,这一行为引发了对另一种安全性的需要 ,即对数字证书的有效性进行验证。因此 ,CA认证的一个重要操作就是验证用户的证书是否被撤销或者挂起。证书的撤销采用证书撤销列表 ,而用于验证证书状态的机制一般使用轻型目录存取协议或者在线证书状态协议。简要介绍了证书撤销列表以及基于轻型目录存取协议的目录服务机制 ,而重点讨论了基于在线证书状态协议的目录服务 ,并例举了一个在线证书状态协议的实际应用。     

基于OCSP方式的证书撤销策略

阐述了在线证书状态协议(OCSP)方式的证书撤销机制的原理,针对单服务员模式建立了一个策略评估模型。该模型基于排队理论对系统机制进行了简化和抽象,通过该模型对OCSP方式的证书撤销策略进行评价,结合模型对影响系统的排队时间、网络带宽、验证速度等相关参数进行了讨论,分析了机制中的多服务员模型。     

基于CRL的证书状态信息发布机制的研究

随着数字证书不断的被接受和使用，人们从中获得了更大的动力寻找各种方法来撤销已停止使用的数字证书，并及时通知终端用户，避免他们使用已被撤销的证书。证书撤销的问题在广域网的PKI产品开发中愈加显得关键。文中阐述了证书撤销的需求与重要性，分析了目前被采用的各种基于CRL的证书状态信息发布机制，并着重讨论了MYPKI中Delta CRL的实现。     

移动消息中间件MobileMOM的研究与设计*

主要讨论使用移动消息中间件来支持移动计算应用,并提供一个统一的消息通信中间件,使得开发者只需要面对统一的消息接口,而无须考虑网络和设备的多样性。提出了基于XMLBlaster发布/订阅模式的移动消息中间件MobileMOM的设计思想、系统结构及应用开发示例。     

在线证书状态协议与状态机关

讨论了在线证书状态协议（OCSP）,首次提出了状态机关（SA）的概念,并根据OCSP协议定义的HTTP模式,衍生出能与其它任何应用程序结合的TCP模式,定义了它的通用访问接口,而且将之加入到安全中间件国家标准草案中,最后,设计了基于消息中间件的推送SA结构,解决了SA的吞吐量问题,给出了实际环境下SA请求的测试数据,并讨论了它的开销成本.     

移动Ad hoc中发布/订阅路由协议的网络仿真*

通过在Ad hoc多播路由协议(ADMR)中加入发布/订阅匹配算法,将发布/订阅中间件与移动Ad hoc网络相结合,设计出适应发布/订阅分布式网络的多播路由协议(PSMR),中间件使用该协议将发布者的数据分发到相匹配的订阅者。使用NS2网络仿真平台实现了该协议,将其与ADMR进行性能比较,大大减少了网络中分组转发次数,提高了网络效率。     

用PTA模型形式化分析基于Gossip 协议的发布/订阅系统

在研究传统的发布／订阅消息中间件系统的基础之上,结合Gossip协议的特点来研究发布／订阅消息中间件,最后运用形式化方法,通过PRISM仿真工具,对仿真的模型进行形式化分析．实验结果表明,发布／订阅消息中间件系统的实时性受消息产生速度的影响,在各个订阅者订阅相同消息和不同消息两种情况之下网络特性展现不同的变化,但最终都是随着消息产生速度的增加而减小．可靠性随着消息产生速度的增加而减小,并且订阅者的接收缓存越大可靠性越高,但增幅率会越来越小．该实验模型和实验方法对于发布／订阅消息中间件系统的研究,以及在现实环境中配置系统的相关参数有一定的帮助．     

QoS中间件中实时发布/订阅服务集成评估

支持QoS的中间件技术在构造分布式实时嵌入式系统中得到了广泛应用,已成为支持实时发布/订阅服务的关键技术.评估并分析了QoS中间件中3种集成实时发布/订阅服务方法.重点研究了容器管理方式的性能,并与面向对象的实时发布/订阅服务比较.研究结果表明,容器管理方式中,CIAO中间件的等待时间稍长,有可预测性,适用于DRE系统.     

A unified and flexible solution for integrating CRL and OCSP into PKI applications

Public key certificates (PKCs) are used nowadays in several security protocols and applications, so as to secure data exchange via transport layer security channels, or to protect data at the application level by means of digital signatures. However, many security applications often fail to manage properly the PKCs, in particular when checking their validity status. These failures are partly due to the lack of experience (or training) of the users who configure these applications or protocols, and partly due to the scarce support offered by some common cryptographic libraries to the application developers. This paper describes the design and implementation of a light middleware dealing with certificate validation in a unified way. Our middleware exploits on one side the libraries that have already been defined or implemented for certificate validation, and it constructs a thin layer, which provides flexibility and security features to the upper layer applications. In our current approach, this layer boasts an integrated approach to support various certificate revocation mechanisms, it protects the applications from some common security attacks, and offers several configuration and performance options to the programmers and to the end users. We describe the architecture of this approach as well as its practical implementation in the form of a library based on the famous OpenSSL security library, and that can be easily integrated with other certificate‐aware security applications. Copyright © 2009 John Wiley & Sons, Ltd.     

基于DDS的发布/订阅中间件设计

基于OMG组织颁布的实时系统中数据分发服务最新标准设计了一个新的发布/订阅中间件,实现了分布式环境中以数据为中心的数据实时传输,解决了分布式实时系统中服务质量约束和单点失效等问题。提出一种全局数据空间管理策略,解决了通信节点动态增删问题。该模型与CORBA规范和其他发布/订阅模型相比,具有较好的灵活性、实时性、可扩展性和可靠性。     

基于内容的订阅方法及其在MQSeries中的实现

介绍了消息中间件中的发布/订阅模式及其优点，分析了传统的基于主题的订阅方法的局限性，通过引入XMI技术总结出在消息中间件中实现基于内容的订阅的方法。并结合消息中间件的代表产品之一IBMMQScrles，阐述了该方法的具体实现。     

一个新的证书吊销列表设计方案

通过对证书员销列表中吊销证书条目字段重新编码在，结合分段的思想，提出一个新的证书吊销信息分发方案Compact CRL，新方案大大简化了CRL的大小，节省了证书吊销信息分发所需要的带宽。