基于USBKey的X.509身份认证

在对X.509身份认证协议及其安全性分析的基础上，结合对USBKey关键技术的研究，提出了一种用USBKey实现X.509身份认证的新方法。它明显提高了X.509身份认证协议的安全性，同时增强了用户使用的灵活性。     

基于X.509数字证书的Web服务身份认证

首先提出Web服务的身份认证问题并对其解决措施进行了比较.然后介绍X.509数字证书的基本格式,并通过一个具体签名的SOAP消息实例阐述了X 509数字证书在Web服务身份认证中的应用.最后经过对具体试验数据的分析比较,显示了基于X 509数字证书的签名认证对Web服务性能的影响.     

X.509鉴别服务在三向鉴别中的安全缺陷分析及对策

通过对X.509目录鉴别服务在网络安全中的重要性的认识及其工作原理与工作过程的分析,指出了其在三向鉴别的实际应用中可能出现的安全性问题,提出了解决的思路及方法,使之达到预期的目的,从而能够提高X.509目录鉴别服务的安全性。     

基于X．509证书的身份认证机制的研究

本文对基于X．509证书的身份认证协议方案进行了分析,提出了一种新基于X．509身份认证协议。并使用协议分析工具对新协议进行了安全性分析。     

基于公钥证书的HTTP认证机制

提出了一种基于X．509证书的HTTP认证机制（Cert-X．509认证方法）,给出了Cert-X．509认证方法详细定义和实现结构,并对其安全性进行了分析。     

X.509只是开始

X.509经常被单独提出作为顶级加密算法,目的在于把数字签名与数据加密功能结合进E-mail和群件应用程序中。然而对于企业买家来说,了解X.509到底能够实现什么,不能实现什么还是很重要的。 X.509描述了互操作方面的标准,最理想的定位是用于Internet和企业Intranet上。但X.509并非万灵药,例如它本身并不为重要应用程序提供全面的互操作安全服务。 X.509的认证包括一个公共密钥以识别自身完整性或其它主要特性。主要特性可以是人、应用程序码(如带有签名的applet)或任何其它独特的识别项(如Web服务器)。认证还可以获得策略信息,如这个密钥的授权使用(签名或加     

一种基于代理签发的PMI特权委托模型

代理签发服务是X509 2005修正草案中提出的一种新的特权委托方式,该方式实现对证书的代理签发,具有策略易于发布、审计方便、密钥易于维护等优点。通过分析X509 v4（2000）中委托模型的不足,基于X509 2005修正革案中的DIS提出了一个包含代理签发模块的委托模型,并对该模型的性能进行了进一步的分析。     

基于ECC算法的Wimax系统证书改进

X.509数字证书机制是WiMax网络和用户之间进行相互认证的基本手段。基于椭圆曲线加密（ECC）算法对采用RSA算法的X.509证书进行了改进,提出了初步的改进思路和实现方案,并对改进后的证书性能进行了分析。分析表明改进后的X.509证书的在维持其原本的运行机制的基础上,提高了攻击者伪造用户数字证书的难度,进一步提高了IEEE802.16e标准下的双向认证的安全性。     

X.509证书库的设计与实现

X．509证书是PKI(公钥基础设施)的重要组成部分，目前得到了很广泛的应用。设计并实现了一个轻量级的X．509证书库，比较了国内外同类产品的优缺点，给出了该证书库的具体模块设计，并指出了其应用前景。     

公钥证书与属性证书的结合--融合证书

介绍了一种新的证书撤销方案——NewPKI证书撤销方案,运用这种新的撤销机制解决公钥证书与属性证书不能简单合并的问题。定义了一类新的属性——NewPKI属性,并且将NewPKI属性与X.509公钥证书相结合,从而提出一类新的证书——融合证书。融合证书保留与X.509 v3证书相同的证书格式,且能够将属性加到X.509身份证书中,它能够作为一个理想的机制来携带属性信息而不需要属性证书,在很多情况下十分有用。     

认证系统中的消息数字证书方案

数字证书是认证系统中的核心,随着公共密钥基础设施(PKI)的建立和认证中心(CA)的建设,用于身份认证和实体鉴别的身份证书已形成了完备的体系。X.509中对身份数字证书的结构、申请、使用、废止等进行了详细的描述,X.509数字身份证书已成为事实上的标准,国内外的CA建设方案大都采用了该证书标准。事实上,认证系统要解决的问题除了身份认证外,另一类重要的应用在于对消息完整性的鉴别,而目前在消息完整性认证理论中却没有提出相应的理论和标准,文章在研究了消息认证的基础上提出了消息数字证书的概念,设计了一类数字消息证书,并对这类数字消息证书的应用与实现中的相关问题进行了探讨。     

CA系统的设计

目前网上身份识别主要采用通过认证中心（CA）对申请证书的用户发放电子证书的方式。本文介绍了依据现有国际标准,能够生成、管理、发放X509（V3.0）证书的认证中心（CA）系统的设计。     

多主体系统中的信任管理

本文在前人工作的基础上提出一种改进方案来实现多主体系统的信任管理，即在多主体系统中建立安全服务器。安全服务器实现了基于X．509v3证书的主体身份鉴别，并根据主体X．509v3证书及相对应的属性证书和访问控制策略进行访问权限验证。安全服务器除实现目前广泛采用的访问控制类型之外，还实现了访问权限委派和委派链等访问控制
制类型。     

基于属性证书的RBAC实现模型研究

基于角色的访问控制提供了灵活安全管理授权机制,公钥基础设施(PKI)提供了一个强有力的认证系统,授权管理基础设施(PMI)作为一项新的技术提供了有效授权和访问控制管理。为了满足现在的安全需求,结合X．509公钥证书(PKCs)和属性证书(ACs),本文提出了一个基于角色的访问控制模型。     

支持ECC数字证书的IKEv2认证设计

数字证书对因特网密钥交换协议版本2IKEv2（Internet Key Exchange version 2）的初始化交互协商的安全及效率有很大的影响。提出了一种基于ECC数字证书的身份认证机制,并在IPSec VPN系统的IKEv2初始化过程中应用ECC数字证书实现了通信双方的身份认证。在同等测试条件下,相同安全等级的ECC证书与RSA证书对IKEv2协商效率的对比结果表明,采用基于ECC的X.509证书进行身份认证,能够有效地提高IKEv2初始化过程的效率和安全强度。     

GridCertLib: A Single Sign-on Solution for Grid Web Applications and Portals

This paper describes the design and implementation of GridCertLib, a Java library leveraging a Shibboleth-based authentication infrastructure and the SLCS online certificate signing service, to provide short-lived X.509 certificates and Grid proxies. The main use case envisioned for GridCertLib, is to provide seamless and secure access to Grid X.509 certificates and proxies in web applications and portals: when a user logs in to the portal using SAML-based Shibboleth authentication, GridCertLib uses the SAML assertion to obtain a Grid X.509 certificate from the SLCS service and generate a VOMS proxy from it. We give an overview of the architecture of GridCertLib and briefly describe its programming model. Its application to some deployment scenarios is outlined, as well as a report on practical experience integrating GridCertLib into portals for Bioinformatics and Computational Chemistry applications, based on the popular P-GRADE and Django softwares.