无线PKI中证书状态查询机制研究与实现

无线PKI技术在移动电子商务中扮演着重要角色,而证书状态查询机制是其关键部件。对无线PKI中的3种常见的证书状态查询机制进行了分析和比较;OCSP协议能够提供实时的证书状态查询服务,但由于无线PKI的特殊限制,并不能直接应用于无线PKI环境中。在充分考虑无线PKI特殊的限制条件基础上,给出了一种基于OCSP协议的适合无线PKI环境的证书状态查询设计方案;详细描述了该设计在具体实现中需要特别注意的几项关键技术,以提高系统的性能和安全性。

基于OCSP的证书状态查询机制研究与实现

证书状态查询是PKI中的一个十分重要的问题,OCSP是解决这个问题的一种重要机制。分析了OCSP协议,结合Hash快速查找、缓存设计、线程池和Linux内存管理的方法,在保证兼容性、安全性和正确进行数字签名的前提下,提出一种OCSP服务器的实现方法。最后,通过分析证明该系统缩短了平均签名时间,提高了性能。

无线环境下一种新的证书状态查询方案

分析有线环境现有证书状态查询方案的基础上,提出了一种对传统的 O C S P进行了改进的方案-用户端部分缓存的ocsp方案,并将其与其他证书状态查询方案进行了比较。该方案借鉴了哈希链的思想,具有很高的安全性,可以有效减少用户端及服务器端的运算量,降低带宽负荷,适合用作无线环境下的证书状态查询方案。

序列号设计优化海量证书状态查询

随着中国电子认证市场规模的不断扩大,证书认证中心发证量迅速攀升,在实际应用场合,数字证书的应用越来越普遍。在线证书状态查询是海量公钥基础设施进行证书有效性验证的核心手段,在海量发证和大规模证书应用的场景下,如何提高验证效率成为其应用推广的关键点。通过对证书状态查询过程进行分析,可以在公钥基础设施设计时将证书序列号设计为分段模式,同时改进证书状态查询过程,提升在线证书状态查询的响应性能。

简易在线证书状态协议研究

OCSP协议是PKI中的关键技术,但是由于证书状态需要签名和验签操作,计算开销大而影响效率。SOCSP协议是为解决OCSP协议中存在的性能瓶颈问题,并满足我国PKI系统实际应用的需求由我国自主研发的标准。主要研究了SOCSP的关键技术,重点分析简化后的协议数据的可用性和可能存在的安全漏洞,针对存在的这些问题提出改进方案。

电力数字证书服务系统的设计及应用

针对电力系统的信息安全需求,设计和实现了基于公钥技术的电力数字证书服务系统(PCSS),讨论了其技术特点,分析了该系统自身的安全性,并介绍了其在电力业务服务器身份认证中的应用。PCSS是一个安全支撑平台,能为它上面的应用系统提供强身份认证、加解密、签名验签、时间戳等安全服务,有效地解决了电力应用系统网络上用户身份认证和安全传输的问题。PCSS的实施将加速数字电力系统的实现进程。

数字证书在线验证系统设计

数字证书是用来绑定身份和其相应公钥的数据文件。目前,许多数字证书应用场合为了认证的安全性,要求数字证书验证具有较高的实时性。针对定期发布CRL(证书撤消列表)不能满足实时验证证书有效性的缺点以及OCSP(在线证书状态查询协议)的局限性,设计实现了一种以OCSP协议为基础并进行扩展的数字证书在线验证系统,解决了用户数字证书实时验证需求的问题,从而增强了数字证书应用的安全性。

证书认证中心管理证书的策略及实现

提出一种基于认证中心CA的网络安全解决方案,实现了以下功能:(1)认证中心的基本功能:证书的签发、证书的更新、证书的状态查询、证书的撤销、证书的归档等;(2)双证书机制,将用户的签名密钥对与加密密钥对相分离;(3)将用户签名私钥保存到用户证书载体。此方案不但解决了网上用户身份认证和信息安全传输的问题,而且更有效保护了用户的隐私,提高应用系统的安全性。

Windows PKI中黑名单查询模块的集成技术研究

数字证书状态的有效验证对于PKI应用而言是非常重要的。Windows PKI平台中自带的黑名单查询模块在功能上和本地化支持上存在不足,无法满足国内的PKI应用需要。本文分析了Windows PKI平台中的黑名单查询机制,提出了在Win-dows PKI下集成新的黑名单查询模块的方法,实现了对国内CA系统证书查询验证服务的支持,并可支持在线证书状态的验证(OCSP),新开发的黑名单查询模块能紧密集成到Windows PKI平台中,为基于Windows PKI的应用系统准确验证数字证书的合法性提供透明支持。

一种高效和可扩展的OCSP系统

证书状态查询是PKI中的一个关键问题,OCSP是解决这个问题的一种重要机制。本文分析了OCSP协议的技术细节,并在此基础上设计了一种高效的、可扩展的OCSP系统。文中对该系统的关键技术和其自身的安全性问题进行了详细的论述。最后,给出了关于OCSP机制的一些未决问题以及某些思考。

关于OCSP应用模式的注记

文献《在线证书状态协议的改进及应用》[1]提出了一个基于OCSP(Online Certificate Status Protocol,在线证书状态协议)查询的数字签名验证应用方案,这个方案的安全性与可行性是值得商榷的。该文给出了一种攻击方法,并分析了其中的几个问题及问题产生的根源;最后给出了一种解决方案。

一个基于快表的PMI+PKI访问控制框架

提出了一种基于快表机制的PMI+PKI安全访问控制模型。该方案通过使用带有缓冲功能的快表机制,使应用PMI+PKI技术的Web站点自身具有验证证书状态和分配权限的功能,从而使大量的验证工作可以就地进行,避免证书多级认证造成的网络瓶颈和减轻了CA的负担。