基于X.509证书测量的隐私泄露分析

SSL协议由于易于部署以及集成在Web浏览器中的天然属性,被广泛应用于保障网页浏览、电子邮件、文件传输等应用服务的信息传输安全,其中最典型的应用是HTTPS.然而,实践中往往由于HTTPS服务的部署存在问题,比如服务器采用自签名X.509证书等,给用户带来严重的安全威胁,包括信息遭窃取、用户身份和行为隐私泄露等.本文从标识服务器身份的X.509证书出发,通过对真实环境HTTPS服务端证书的大范围测量和分析来揭示采用自签名证书的HTTPS服务存在的应用服务类型泄露问题,以及由此引起的用户网络行为隐私泄露威胁.针对大规模真实环境中用户网络行为的测量分析和海量日志挖掘结果表明,X.509自签名证书提供了较强区分服务器加密应用类型的身份信息,加密HTTPS应用服务器的身份隐藏手段在很大程度上可以通过统计行为分析来识破,提供相同或相似的特定应用服务的服务器的被正确分类的准确率最高可达95%.

基于属性证书的X.509证书改进方案

传统X.509证书实现Web安全属性服务时有其一定的局限性。文章详细描述了Farrell等提出的属性证书格式,并给出了用一种基于属性证书的改进证书方案来实现Web上安全属性服务的模型。

X·509证书管理系统及其实现

Ｘ．５０９证书已经在许多网络安全应用中得到了广泛使用，本文设计了一个高效、可靠、易于扩展的Ｘ．５０９

携带权限信息扩展的X.509证书机制

网络资源的丰富,种类逐渐细化,用户需要在网络中提供和鉴别身份,还需要提供和鉴别 权限信息,以确定用户对某种网络资源是否具有某种级别的访问权限,保护网络资源,保证网络交互 的安全。阐述了在PKI体系基础上以X.509证书作为身份和权限信息的公共载体,在X.509证书的 证书扩展中增加Clearence属性,体现用户权限信息,将用户身份和权限信息绑定的实现方法。

基于X.509证书PKI认证系统的研究

公钥基础设施(Public KeyInfrastructure,PKI)的出现为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性、不可抵赖性等。文中阐述了PKI体系的技术、组件以及应用,让读者对PKI体系有个简单而全面的认识。

数据库加密系统中基于X.509证书的椭圆曲线加密身份认证机制

身份认证问题是网络安全的重要研究课题,利用椭圆曲线密码系统相对于其他公钥密码体制具有密钥长度短、运算速度快、计算数据量小的特点,结合X.509证书构建一个新的、高效的、安全的身份认证方案。

X.509证书库的设计与实现

X.509证书是PKI(公钥基础设施)的重要组成部分,目前得到了很广泛的应用。设计并实现了一个轻量级的X.509证书库,比较了国内外同类产品的优缺点,给出了该证书库的具体模块设计,并指出了其应用前景。

构造基于X.509公钥证书的密钥管理系统

CA及公钥证书是目前Internet上各类安全应用系统的主要密钢管理方式。这里首先描述了在Internet分布式网络环境下管理公钢的PKIX.509证书管理模型及其研究进展，提出了基于PKIX．509公钥证书的密钢管理系统的设计方案，利用LDAP目录服务和存取协议．给出了构造证书服务器的方法以及安全认证方法。

X.509数字证书有效性自验证方案研究

X.509数字证书在部署时一个重要的环节就是证书有效性验证机制.CertificateAuthority(CA)与客户之间大规模的数据交互成了数字证书状态验证的一个主要瓶颈.本文基于XML数字签名技术提出了一个新颖的数字证书有效性自验证方案,该方案的主要思想是在证书中心颁发一个数字证书后,证书的拥有者添加证书状态并进行数字签名.这样一个改进后的数字证书包含了该证书的当前有效状态信息,不需要客户与CA通信进行状态的验证,使得数字证书有效性检验变得简单、高效.评估结果显示,提出的数字证书自验证方案比传统采用的证书作废列表和证书状态在线验证协议具有更高的实际使用效率,解决了数字证书实际使用时有效性验证的瓶颈问题.

基于数字证书X.509的身份认证系统的研究

该文依托校园网设计与实现基于数字证书X.509的身份认证系统。通过实施单点登录功能,使用户只需一次登录就可以控制访问其权限下的资源,提高系统易用性,安全性和稳定性。使用LDAP目录服务器提高了数字证书的查询效率。对传输数据加密,确保信息安全。

基于X.509数字证书的Web服务身份认证

首先提出Web服务的身份认证问题并对其解决措施进行了比较.然后介绍X.509数字证书的基本格式,并通过一个具体签名的SOAP消息实例阐述了X 509数字证书在Web服务身份认证中的应用.最后经过对具体试验数据的分析比较,显示了基于X 509数字证书的签名认证对Web服务性能的影响.

SSL中ECC数字证书的设计与实现

针对当前SSL协议中使用RSA证书的局限性,提出了将ECC数字证书应用于SSL握手协议的交互过程,并且设计和实现了签发及验证该ECC证书的PKI系统。

WebLogic中证书路径的生成与验证

证书路径处理是实现Internet公钥基础设施中安全认证的重要技术。本文研究了WebLogic中查找和验证X509证书链的证书查找和验证方法,使用WebLogic Server的默认证书路径提供程序,给出生成和验证X509证书链的应用程序代码,以实现对WebLogic资源的保护。

RBAC授权模型及其属性证书实现机制的应用研究

在基于角色的访问控制RBAC模型中,通过角色将用户和权限相联系,极大降低了授权管理的复杂性,不失为一种灵活有效的安全措施。作为PKI技术新发展的X.509属性证书,提供了一种较好的机制来支持这一模型。首先对RBAC模型和属性证书的有关特性分别进行了介绍,而后就属性证书在RBAC中的应用进行了分析研究。

基于ECC算法的Wimax系统证书改进

X.509数字证书机制是WiMax网络和用户之间进行相互认证的基本手段。基于椭圆曲线加密(ECC)算法对采用RSA算法的X.509证书进行了改进,提出了初步的改进思路和实现方案,并对改进后的证书性能进行了分析。分析表明改进后的X.509证书的在维持其原本的运行机制的基础上,提高了攻击者伪造用户数字证书的难度,进一步提高了IEEE802.16e标准下的双向认证的安全性。

基于属性证书的RBAC实现模型研究

基于角色的访问控制提供了灵活安全管理授权机制 ,公钥基础设施 (PKI)提供了一个强有力的认证系统 ,授权管理基础设施 (PMI)作为一项新的技术提供了有效授权和访问控制管理。为了满足现在的安全需求 ,结合X .5 0 9公钥证书(PKCs)和属性证书 (ACs) 。

支持ECC数字证书的IKEv2认证设计

数字证书对因特网密钥交换协议版本2IKEv2(Internet Key Exchange version2)的初始化交互协商的安全及效率有很大的影响。提出了一种基于ECC数字证书的身份认证机制,并在IPSecVPN系统的IKEv2初始化过程中应用ECC数字证书实现了通信双方的身份认证。在同等测试条件下,相同安全等级的ECC证书与RSA证书对IKEv2协商效率的对比结果表明,采用基于ECC的X.509证书进行身份认证,能够有效地提高IKEv2初始化过程的效率和安全强度。

应用数字证书实现基于角色的访问控制

基于HTTP的Web应用其局限性表现在如下3个方面:1)明文传输信息,不适宜传输敏感信息;2)认证手段太简单;3)没有规范的授权访问模型。设计了一个基于角色的访问控制系统,该系统以PKI体系中的X.509数字证书为基础,能够在客户机与Web服务器之间建立要求双向验证的安全的SSL连接,并根据用户身份授予对服务器的资源访问权限,从而解决了上述问题。

基于X.509的VPN的安全认证模型

目前VPN广泛应用,但没有一个完善的认证体系,针对于此,提出了基于X.509技术的VPN安全认证模型。论述了确定怎样为VPN通道颁发X.509数字证书,怎样进行证书体系管理的问题,实现了CA系统的证书认证PKI体系在VPN中的安全认证模型。可用于使用公钥认证的VPN中。

基于SAML和X.509的跨安全域信任关系构建机制

在对企业的各个应用系统集成到门户的过程中,信任关系的构建是解决不同安全域之间统一身份认证的有效方法。在分析和研究统一身份认证关键技术SAML和X.509数字证书特点的基础上,提出了跨不同安全域的信任关系构建机制。并从保证网络安全的角度,对该机制进行了深入探讨和改进。最后运用基于SAML规范的开源实现openSAML进行了简单的测试和验证。