一种基于分布式环境的D-OCSP服务模式

本文简要地阐述了OCSP的工作原理,并对当前普遍应用的"Trusted OCSP"模式进行了分析,从可扩展性、可用性、安全性三个方面指出该模式所存在的问题,然后提出了一种新的基于分布式环境的D-OCSP服务模式,该模式通过将秘密信息从处于在线状态的RTC应答器中抽取出来,置于处于离线状态的RTCA服务器中,由RTCA针对CA所签发的所有证书的状态列表产生OCSP应答证据集合,并发布给RTC应答器,供其在处理依赖方OCSP请求时使用。通过这种方式,D-OCSP服务模式从根本上解决了"Trusted OCSP"在可扩展性、可用性、安全性方面存在的问题,从整体上优化了OCSP服务。

基于IBC策略驱动的组播内容分发方案

针对内容分发应用中的组播加密方案和多接收者加密方案所存在的动态组密钥管理复杂、计算和通信代价高等问题,分析了内容分发系统的典型安全需求,采用基于身份密码学提出了一种新的面向群组的安全内容分发系统模型与方案,经安全性与性能分析表明,方案满足接收方访问控制、发送方鉴别与防抵赖、策略加密等安全要求。将发送方的计算和通信代价降为O(1),同时具有密钥管理简单、组密钥更新开销小和易于实现等特点,能方便地应用于商业的组播内容分发系统。

一种实用的面向Web的公平防抵赖协议

针对大多数电子政务和商务系统是基于Web架构开发,用户端表现为浏览器瘦客户端环境,所实现的防抵赖机制大都不满足公平性,现有的公平防抵赖协议由于交互的复杂性难以应用于实际环境的问题,提出一种新的在线可信第三方公平防抵赖协议.引入可信第三方减少通信双方之间的交互次数,将公平防抵赖功能嵌入到一次HTTP请求与应答交互中,并采用证据链接思想将证据签名验证与撤销检查集中由可信第三方完成,简化证据验证与管理,降低了用户端进行撤销检查与签名时间戳生成的操作开销.该协议具备公平性与及时性特点.

对一种混合结构洋葱路由方案的密码学分析

对时金桥等提出的混合结构洋葱路由方案进行了分析,发现存在的安全漏洞。第一个漏洞来源于其密码学报文结构的可展性。攻击者能够利用该漏洞改变洋葱消息的路由或在其中嵌入标签以追踪消息路由。另一个漏洞表现在匿名转发服务器容易遭受选择密文攻击。展示了3种不同的能够以较低代价破坏发送者和接收者不可关联性的攻击过程。为了避免所提到的攻击,提出了能够利用反向调查捕获恶意节点的修正方案。

高性能密码服务器的并行数据处理

随着大型电子商务和电子政务系统中客户数量的增多,主机端密码系统的性能成为提供安全服务的限制因素。提出了一种基于可编程密码模块的密码服务器体系结构。通过在模块中使用密码算法代理抽象密码芯片运算资源,管理机可以调度系统计算资源支持多模块内多密码芯片间的并行密码运算。在IBMService345和SJW系列PCI密码卡上,设计实现了基于算法代理间并行运算的高性能密码服务器。测试结果显示:用20个SSX04模幂运算芯片间并行签名(1024 bitRSA)速率达到1100次/s;用10个对称密码算法芯片并行加密(ECB模式),系统吞吐率达到312.6Mbps。

密码服务系统安全性能分析与测试

分析和检测密码服务系统安全性能是目前该系统研制过程中的一个难点,基于某型号分布式密码服务系统的研制,通过给出系统的安全体系结构,从物理安全、协议安全、算法和系统使用安全等方面对系统各层次、各功能部件可能存在的安全隐患进行了分析,指出了系统应具有的基本安全性能,并结合研制中的实际测试,给出了相应的检测方法。应用表明,这些方法有效并且实用,对密码服务系统的安全性能测试研究具有理论和实践的指导作用。

智能制造虚拟组织的服务联合安全研究

工业互联网时代的智能制造不仅体现在企业内部的智能化,而且强调企业通过虚拟组织进行制造资源和服务能力的社会化协作,跨企业域的服务联合中的安全认证与授权控制尤为重要。基于VO服务联合安全需求及去中心化自组织特征,利用OAuth 2.0、OpenID Connect协议规范设计的虚拟组织(VO)服务联合安全方案满足跨域服务联合、同域服务联合和公共服务联合的需要。文章详细解释了跨域服务联合、同域服务联合与公共服务联合的安全认证与授权实现流程,并结合海洋装备制造案例说明了制造联盟中服务联合应用过程。最后探讨了方案中涉及到的隐私保护问题。

JSP开发XML应用

JSP作为Java技术平台的一部分,使得开发平台无关的基于Web的应用变得快捷;[(XML)-315.8(\324\332\261\355\312\276\320\305\317\242\267\275)]面,具有易读、易处理和易生成的特点,被广泛地应用于信息交换。文章主要讲述了如何用JSP开发XML应用。

时间戳服务器并行数据处理的设计与实现

使用已设计实现的高性能密码服务器系统[2]作为TSS系统底层密码功能的硬件实现,给出了TSS系统的分析与设计。通过使用多线程技术,使TSS可以充分调度密码服务器中密码模块上的多个密码芯片的运算功能,从而支持并行产生时间戳签名操作。为了降低因频繁产生和频繁释放服务器工作线程所引起的系统开销,设计了工作任务线程池用于产生和管理TSS的服务工作线程,并给出了线程池维护管理算法的设计与实现。

基于双线性对的乐观Mix-net协议

提出了一种新的基于双线性对的乐观Mix-net协议。利用双线性对工具简化了密钥管理,在不同的协议会话中服务器端不用重新生成密钥,并且当前会话不会为其他会话提供解密预言机服务。采用了"哑元追踪法"保证混洗过程的完整性,简化了正确性证明的构造。对ElGamal联合解密过程做了优化,降低了每个服务器节的指数运算量。在没有服务器作弊的情况下,对输入密文组的混洗和解密速度比其他可公开验证的Mix-net方案高得多。

“发现代理”实现万维网自动化

文章背靠当前数字化图书馆建设大潮之下,提出了万维网自动化信息搜索的应用需求,引入了万维网自动化技术,并结合当前XML、WIDL技术给出了解决方案。

基于OpenSSL的Web安全访问控制设计与实现

随着PKI技术和SSL安全协议的广泛应用,在Web服务中利用SSL协议,提供安全的数据通信是非常重要的。OpenSSL是一个SSL/TLS协议的优秀实现,文章分析了相关技术和协议,利用这款开源软件工具,在通信中建立SSL连接,实现Web访问的安全控制。

Linux实时调度算法研究

随着Linux的普及,Linux的实时性越来越受重视,但目前对该领域内研究进行综述的工作较少,并且已有的综述性工作主要从算法的自身结构对实时调度算法进行划分,而非从使用者的角度,根据解决的问题模式去划分,从而不易于指导工业级的应用实践。为此,文中从Linux实时调度算法所针对的问题模式出发,对实时算法进行分类。分类基于由内到外,从通用问题场景到具体应用问题场景的原则,最终形成了层次良好的分类结构。该分类的优点在于:除了更易于指导工业级的应用实践,也更加准确地描述了实时调度算法的本质特征。

一种基于代理的增强浏览器安全性方案

介绍了一种基于代理的增强浏览器安全性方案,不仅提高了客户端浏览器和整个安全连接的安全性,还增加了客户端对多用户的支持。讨论了该方案的整体框架,给出了通信模块、证书管理模块和密码服务模块等的功能描述及设计与实现过程中的注意事项。并对该方案的扩展与改进作了说明。

移动终端Linux内核存储IO调优研究

基于Linux的移动智能终端普遍采用闪存设备作为存储装置,Linux内核通过Sysfs接口向用户空间提供存储IO相关的参数设置支持。文中针对移动终端系统存储IO需求,提出了存储IO调优方案,包括文件预读取、IO调度策略、EXT4文件系统3个方面的优化,并基于OMAP4平台环境进行测试。实验结果表明,本调优方法能显著提升系统存储IO的性能。

层次信任模型证书验证服务的研究与实现

对传统的证书验证过程进行了研究,分析了下属层次信任模型的性质以及在该模型中证书路径的性质,提出了证书路径有效期的概念。并在此基础上,提出了基于可信证书路径库的证书验证服务器模型,给出了系统的设计与实现方案。该模型简化了证书使用实体对证书进行验证的过程,在保证证书验证高效性的基础上,提高了证书验证的实时性和可靠性。

证书模板可定制的CA的研究与实现

为了解决传统CA及其颁发的证书不能与应用紧密结合的局限性,提出一种证书模板可定制的CA解决方案。同时定义了一个通用的证书模板,用户可以通过定制证书模板来定义证书可以包含的扩展项,从而使证书带有更多关于证书持有者的信息。通过该方案,使CA能更好地面对应用,实现与应用无缝结合。

基于IBE的安全电子邮件实现

随着越来越多的使用电子邮件,它所传送的内容也越来越广泛.因此保证其中敏感数据及重要内容的安全成了当务之急.但使用传统的PKI方法太过复杂,阻碍了具体的实施计划.根据新兴的公钥密码算法IBE(基于身份的加密)的特点,通过使用IBE来代替传统的PKI,并结合数字签名提出了一种新型的保证电子邮件安全的方案.通过对该方案的理论评估,可以看出该方案能够实现电子邮件的安全传送,同时该方案具有成本低、易于实现和适用范围广的特点.

基于Web服务的证书验证服务模型的设计与实现

目前在PKI应用中,存在对计算能力和通信能力受限的客户端的支持不够及PKI应用的不兼容等制约PKI发展的问题。为了解决上述两个问题,文中提出了一种基于Web服务的独立证书验证服务模型。该模型将繁重的证书验证计算从证书用户端剥离,有效地降低了对证书用户的计算和通信能力的要求。该模型采用了与平台无关的特性Web服务技术,适应多种PKI应用平台,同时为解决了不同PKI应用的互操作问题提出较为完整的实现方案。

基于Lmser-in-Lmser双向网络的人脸素描图像生成方法

人脸素描图像生成问题目的是将人脸照片转换为对应的素描图像,已有方法生成的素描图像或缺乏素描纹理,或需要在额外的大规模数据集上进行预训练.针对上述问题,文中基于Lmser(Least Mean Square Error Reconstruction)构建内外嵌套的深度双向网络,即Lmser-in-Lmser双向网络,用于人脸素描图像的生成.利用Lmser的神经元对偶特性,即编码神经元和解码神经元之间形成双向短路连接,在内部Lmser子网络的编码器和解码器之间通过前向传递不同网络层进行学习,得到多层级特征,增强素描生成的纹理细节.同时建立具有同样结构的网络,反向建立素描映射到照片的模型.外部通过在2个Lmser子网络上施加一致性约束,实现反馈链接,改善素描特征.在基准数据集上的实验表明,文中方法性能较优,并且不需要在额外的数据集上进行预训练,可应用性较强.