BLECA: A Blockchain-Based Lightweight and Efficient Cross-Domain Authentication Scheme for Smart Parks

Smart parks serve as integral components of smart cities,where they play a pivotal role in the process of urban modernization.The demand for cross-domain cooperation among smart devices from various parks has witnessed a significant increase.To ensure secure communication,device identities must undergo authentication.The existing cross-domain authentication schemes face issues such as complex authentication paths and high certificate management costs for devices,making it impractical for resource-constrained devices.This paper proposes a blockchain-based lightweight and efficient cross-domain authentication protocol for smart parks,which simplifies the authentication interaction and requires every device to maintain only one certificate.To enhance cross-domain cooperation flexibility,a comprehensive certificate revocation mechanism is presented,significantly reducing certificate management costs while ensuring efficient and secure identity authentication.When a park needs to revoke access permissions of several cooperative partners,the revocation of numerous cross-domain certificates can be accomplished with a single blockchain write operation.The security analysis and experimental results demonstrate the security and effectiveness of our scheme.

基于CA认证的网络终端安全监管系统的设计与实现

开放的互联网环境中存在着诸多的危险因子,形成对内网系统安全、信息安全、设备安全较大的威胁,再加上员工违规操作行为,易埋下网络安全风险。首先从网络终端身份认证、网络终端接入、网络终端用户行为以及数据安全等角度进行网络终端安全隐患的分析,明确网络终端安全监管系统的设计需求,其次基于证书授权(Certificate Authority,CA)认证进行系统混合工作模型、体系结构、功能模块等的设计,最后给出了系统开发环境及各功能模块实现的对策。

基于CA的电子印章系统设计与实现

针对分布式层次化网络安全应用,提出了一种分布式简化严格层次结构的PKI信任体系模型,为网络应用提供有效的认证、访问控制、授权、机密性、完整性、非否认服务。在该信任体系模型基础上,提出并建立了由CA签发的发章证书概念,来保证CA所辖域中印章文件的安全。系统通过CA签发的电子印章来对网络中电子公文和印章文件进行数字签名、验证,并由加密证书保护电子公文加密密钥,通过授权服务器管理用户打印印章权限。

基于桥CA的高兼容性分布式信任模型

基于PKI(public-keyinfrastructure)的分布式信任模型能够更好地保证分布式系统的安全性.作为信任路径的载体,数字证书格式的差异性可能对不同信任域实体之间的信任路径的可用性产生影响.提出了证书格式兼容性的概念,并以此为基础分析了证书格式差异对证书有效性验证的作用方式.在桥CA(certificateauthority)的基础上,提出一种兼容性较高的分布式结构的信任模型,能够消除证书格式兼容性问题对不同信任域实体之间实现互连的干扰.

面向海洋信息管理的轻量级CA的设计与实现

面向海洋信息管理的需求,基于J2EE平台,使用Bouncy Castle提供的加密算法与工具,遵从PKI(Public Key Infrastructure,公钥基础设施)相关标准,实现了一个适用于中小型海洋信息管理系统的轻量级数字证书认证机构(CA,Certificate Authority)。该CA提供了适用于中小型海洋信息管理系统的数据存储与传输加密功能,为通过网络实现高效的海洋科研数据收集与共享管理提供了技术上的安全保障。

一种入侵容忍的CA方案

CA(certificate authority)是PKI中的关键设施.CA的私有密钥一旦泄露,该CA签发的所有证书就只能全部作废.保护在线服务CA的私钥也就成为一个非常重要的课题.不是从保护系统或检测入侵出发来保证CA的安全,而是确保当少数部件被攻击或占领后,CA系统的机密信息并没有暴露.通过将私钥分发给不同的部件,并保证任何一个在线的部件无法恢复CA的私钥,从而保护了CA私钥的保密性.

一种CA私钥的容侵保护机制

保护CA私钥的安全性是整个PKI安全的核心。基于RSA公钥算法和(t,n)门限密码技术,采用分阶段签名方案,确保私钥在任何时候都无需重构。同时,在私钥产生、分发及使用过程中,即使部分系统部件受到攻击,也不会泄漏CA的私钥,CA仍可以正常工作(即系统具有一定的容侵性)。通过VC和Openssl对系统进行了实现。

基于证书权威(CA)中心的时间戳服务系统的实现

介绍了数字签名不具有抗抵赖的问题 ,以及数据抗抵赖在信息安全中的重要性。在对原有的时间戳协议缺乏可靠的身份认证和可信性分析后 ,提出了一种新的基于证书权威 (CA)中心的时间戳服务协议。利用CA中心的信任原理和数字证书的身份认证作用 ,使提供时间戳服务的服务方具备了可靠的身份鉴别和可信性。并利用XML标记对时间戳的数据内容进行描述 ,形成简单、直观的时间戳 ,且无需复杂的编解码过程。通过正确和可信的时间戳可以判定用户数据产生的时间 ,防止用户事后的抵赖行为 ,为网络应用提供更为安全的数据。

基于开放源码的企业自建CA系统的研究与实现

分析了企业自建CA系统的必要性,通过一个PKI系统——myCA的设计与实现,论证了在企事业单位内部建立专有CA的可行性,并提出了隐藏PKI系统复杂性的具体方法。

分布式CA下空间网络认证密钥安全度量方法

基于分布式CA的密钥管理策略解决了空间网络中不易实施集中式密钥管理的难题,但也给认证密钥的安全带来了新的威胁。该文在描述和分析空间网络中认证密钥的安全威胁的基础上,提出了一种度量认证密钥安全强度的方法。该方法可根据系统门限值、密钥更新周期等参数的设置情况,定量度量认证密钥的安全强度。通过分析系统门限值和密钥分量更新周期对安全强度的影响,给出了合理设置这两个网络安全参数的方法。

传统PKI与桥CA认证体系

本文首先分析了不同的PKI(公钥基础设施)体系以及它们各自的优缺点 ,论述了目前几种不同的PKI结构互连时遇到的一些困难。本文随后介绍了桥CA(BCA)概念、BCA认证体系和其面临的挑战 。

一种基于门限ECC的入侵容忍CA方案

门限密码学提供了建立入侵容忍应用的新方法。文中在介绍并分析了基于ECC的ElGamal数字签名方案和t out of n秘密共享方案的基础上,提出了一个基于ECC的零知识证明方法和一个基于ECC的门限数字签名方案;研究了该方法和方案在建立入侵容忍CA中的应用。最后,对比ITTC项目中关于入侵容忍CA设计的方案,分析显示该方案在安全性、效率和可用性方面具有良好的性能。

PKI/CA技术综述

公开密钥基础设施(PKI)是解决网络安全的技术。典型PKI应用系统包括安全Web、注册机构(RA)、认证机构(CA)、目录(LDAP)和数据库等服务器。RA验证客户证书申请后提交CA。CA检查信息完整和数字签名正确后把证书存放到证书库和目录服务器,并将签发证书序列号通知客户和RA。客户即可使用该号通过目录服务器下载证书。1993年以来,美、加、欧洲、韩、日等国已相继展开PKI研究。我国2001年将PKI列入十五863计划,并着手解决PKI标准化、CA互联互通等关键技术问题。

基于CA的移动终端安全邮件系统的研究与设计

研究了CA的通信结构,安全通信机制,加密原理以及主要算法,采用高效可靠的椭圆曲线算法,设计了一种基于第三方认证中心(CA)的移动终端电子邮件系统,保证了邮件的安全。

一种CA私钥安全管理方案

CA(certificateauthority)是PKI中的重要组成部分,负责签发可以识别用户身份的数字证书.CA的私有密钥一旦泄露,它所签发的所有证书将全部作废.因此,保护CA私钥的安全性是整个PKI安全的核心.本文介绍的CA私钥安全管理方案主要基于门限密码技术.通过将不同的密钥份额分布在不同部件上、任何部件都无法重构私钥,来确保在密钥产生、分发及使用过程中,即使部分系统部件受到攻击或系统管理人员背叛,也不会泄漏CA的私钥,CA仍可以正常工作.

PKI/CA技术的起源、现状和前景综述

随着网络技术的发展,网络安全问题越来越受关注,公开密钥基础设施(PKI)技术为全面解决网络安全问题提供了可行方案。各国政府先后提出了自己的PKI体系统结构及其工作原理。回顾了PKI/CA技术的起源,分析了PKI/CA的基本原理,阐述了PKI/CA的国内外应用现状及其应用前景,并描述了PKI领域存在的问题。

基于关系型数据库的CA系统

当PKI技术应用于企业或政府信息化时，它必须与其它业务系统集成。采用与业务系统相一致的关系型数据库，有利于不同系统的集成。当CA系统采用关系型数据库和浏览器/Web应用服务器/数据库服务器3层结构时，证书相关信息的查询可以通过HTTP协议简单实现，LDAP和OCSP引擎可以使系统与标准协议保持兼容。另外，在这种结构下，通过引入基于关系型数据库的角色、权限管理机制，可以大大简化CA/RA的管理，使系统的运行和维护更加容易。

CA系统安全性的分层多方面设计

CA系统本身的安全性是影响Internet电子商务安全的关键问题。分析了CA系统的总体网络结构,提出了一种CA系统的分层多方面安全性设计方案,阐述了网络层安全设计和应用层安全设计。网络层安全采用划分安全区、多层防火墙保护、交换以太网等方法;应用层采用软件代码签名防篡改、数据包增加时间戳防重放攻击、敏感数据内存零化及数据库加密存储、集中监控等8个方面的安全性设计。该设计已实际应用于某CA中心,达到了良好的安全性目标。

MANET共识选举轻量级CA认证方案

移动自组织网是由一组自主的无线节点或终端相互合作而形成的独立于固定基础设施的分布式网络,具有无中心、自组织、多跳路由等特点。然而,移动自组织网先天具有的拓扑结构变化频繁和能量受限等缺点,使得移动自组织网络难以进行复杂的认证。针对该问题,结合轻量级证书颁发机构(CA)认证思想,借鉴区块链技术中的共识机制来选举CA,提出一种基于共识算法的轻量级轮转CA认证方案。通过共识算法周期性地选举出当前CA,全网快速达成共识后,即可确定CA,实现轻量级认证。该方案CA节点周期性轮换,无需证书管理,适合高度动态变化、生存周期短的移动自组网。详细分析了方案的安全性并基于BAN逻辑分析方法进行了形式化证明。理论分析表明,该方案可在一定程度上抵御拒绝服务(DoS)攻击、仿冒攻击等多种网络攻击,增强移动自组织网络的安全性能。

CA安全认证系统自安全性的研究与实现

为提高CA(certification authority)安全认证系统的自身安全性,提出了从物理安全和环境安全、CA系统核心组件安全、证书管理安全和系统安全审计等方面入手,从而构建一个行业级的CA安全认证系统。通过CA自身安全的加强,避免由于自身系统的脆弱性而产生的风险,有效地提高了整个CA系统的安全性、完整性和有效性,从而保证构建在CA系统上各个业务系统的正常运行。该方案在烟草某省实施后,实际运行结果表明该方案切实可行。