A distributed adaptive multi-hop certification authority schemefor mobile Ad Hoc networks

This paper theoretically analyzes a deficiency of the existing scheme, and proposes a distributed multi-hop certification authority scheme for mobile Ad Hoc networks. In our design, we distribute the certification authority functions through a threshold secret sharing mechanism, in which each node holds a secret share and multiple nodes jointly provide complete services. Certification authority is not limited in a local neighborhood but can be completed within multi-hop location. In addition, we replace broadcast by multicast to improve system performance and reduce communication overhead. This paper resolves some technical problems of ubiquitous certification authority services, and presents a wieldy multi-hop certification authority algorithm. Simulation results confirm the availability and effectiveness of our design.

A New Approach to Provide Global Certificate Service in Virtual Enterprise

Certificate Authority (CA) is the core of public key infrastructure. However, the traditional structure of CA is either hierarchical or reticular, and none of them is suitable for security require-nients come from the new trend in enterprise cooperation, namely virtual enterprise (VE). In this paper a new idea - virtual certificate authority (VCA), is proposed, as well as its implemen-tation. The goal of VCA is to provide global certificate service over vital enterprise while keeping CA of each participant intact as much as possible. Unlike PEM, PGP, and BCA, by using secret sharing scheme, virtual CA avoids the need for TTP and supports virtual enterprise's feature of dynamical construction and destruction.

基于桥CA的高兼容性分布式信任模型

基于PKI(public-keyinfrastructure)的分布式信任模型能够更好地保证分布式系统的安全性.作为信任路径的载体,数字证书格式的差异性可能对不同信任域实体之间的信任路径的可用性产生影响.提出了证书格式兼容性的概念,并以此为基础分析了证书格式差异对证书有效性验证的作用方式.在桥CA(certificateauthority)的基础上,提出一种兼容性较高的分布式结构的信任模型,能够消除证书格式兼容性问题对不同信任域实体之间实现互连的干扰.

基于CA的电子印章系统设计与实现

针对分布式层次化网络安全应用,提出了一种分布式简化严格层次结构的PKI信任体系模型,为网络应用提供有效的认证、访问控制、授权、机密性、完整性、非否认服务。在该信任体系模型基础上,提出并建立了由CA签发的发章证书概念,来保证CA所辖域中印章文件的安全。系统通过CA签发的电子印章来对网络中电子公文和印章文件进行数字签名、验证,并由加密证书保护电子公文加密密钥,通过授权服务器管理用户打印印章权限。

面向海洋信息管理的轻量级CA的设计与实现

面向海洋信息管理的需求,基于J2EE平台,使用Bouncy Castle提供的加密算法与工具,遵从PKI(Public Key Infrastructure,公钥基础设施)相关标准,实现了一个适用于中小型海洋信息管理系统的轻量级数字证书认证机构(CA,Certificate Authority)。该CA提供了适用于中小型海洋信息管理系统的数据存储与传输加密功能,为通过网络实现高效的海洋科研数据收集与共享管理提供了技术上的安全保障。

一种入侵容忍的CA方案

CA(certificate authority)是PKI中的关键设施.CA的私有密钥一旦泄露,该CA签发的所有证书就只能全部作废.保护在线服务CA的私钥也就成为一个非常重要的课题.不是从保护系统或检测入侵出发来保证CA的安全,而是确保当少数部件被攻击或占领后,CA系统的机密信息并没有暴露.通过将私钥分发给不同的部件,并保证任何一个在线的部件无法恢复CA的私钥,从而保护了CA私钥的保密性.

一种CA私钥的容侵保护机制

保护CA私钥的安全性是整个PKI安全的核心。基于RSA公钥算法和(t,n)门限密码技术,采用分阶段签名方案,确保私钥在任何时候都无需重构。同时,在私钥产生、分发及使用过程中,即使部分系统部件受到攻击,也不会泄漏CA的私钥,CA仍可以正常工作(即系统具有一定的容侵性)。通过VC和Openssl对系统进行了实现。

基于证书权威(CA)中心的时间戳服务系统的实现

介绍了数字签名不具有抗抵赖的问题 ,以及数据抗抵赖在信息安全中的重要性。在对原有的时间戳协议缺乏可靠的身份认证和可信性分析后 ,提出了一种新的基于证书权威 (CA)中心的时间戳服务协议。利用CA中心的信任原理和数字证书的身份认证作用 ,使提供时间戳服务的服务方具备了可靠的身份鉴别和可信性。并利用XML标记对时间戳的数据内容进行描述 ,形成简单、直观的时间戳 ,且无需复杂的编解码过程。通过正确和可信的时间戳可以判定用户数据产生的时间 ,防止用户事后的抵赖行为 ,为网络应用提供更为安全的数据。

基于开放源码的企业自建CA系统的研究与实现

分析了企业自建CA系统的必要性,通过一个PKI系统——myCA的设计与实现,论证了在企事业单位内部建立专有CA的可行性,并提出了隐藏PKI系统复杂性的具体方法。

分布式CA下空间网络认证密钥安全度量方法

基于分布式CA的密钥管理策略解决了空间网络中不易实施集中式密钥管理的难题,但也给认证密钥的安全带来了新的威胁。该文在描述和分析空间网络中认证密钥的安全威胁的基础上,提出了一种度量认证密钥安全强度的方法。该方法可根据系统门限值、密钥更新周期等参数的设置情况,定量度量认证密钥的安全强度。通过分析系统门限值和密钥分量更新周期对安全强度的影响,给出了合理设置这两个网络安全参数的方法。

传统PKI与桥CA认证体系

本文首先分析了不同的PKI(公钥基础设施)体系以及它们各自的优缺点 ,论述了目前几种不同的PKI结构互连时遇到的一些困难。本文随后介绍了桥CA(BCA)概念、BCA认证体系和其面临的挑战 。

PKI/CA技术综述

公开密钥基础设施(PKI)是解决网络安全的技术。典型PKI应用系统包括安全Web、注册机构(RA)、认证机构(CA)、目录(LDAP)和数据库等服务器。RA验证客户证书申请后提交CA。CA检查信息完整和数字签名正确后把证书存放到证书库和目录服务器,并将签发证书序列号通知客户和RA。客户即可使用该号通过目录服务器下载证书。1993年以来,美、加、欧洲、韩、日等国已相继展开PKI研究。我国2001年将PKI列入十五863计划,并着手解决PKI标准化、CA互联互通等关键技术问题。

一种基于门限ECC的入侵容忍CA方案

门限密码学提供了建立入侵容忍应用的新方法。文中在介绍并分析了基于ECC的ElGamal数字签名方案和t out of n秘密共享方案的基础上,提出了一个基于ECC的零知识证明方法和一个基于ECC的门限数字签名方案;研究了该方法和方案在建立入侵容忍CA中的应用。最后,对比ITTC项目中关于入侵容忍CA设计的方案,分析显示该方案在安全性、效率和可用性方面具有良好的性能。

一种CA私钥安全管理方案

CA(certificateauthority)是PKI中的重要组成部分,负责签发可以识别用户身份的数字证书.CA的私有密钥一旦泄露,它所签发的所有证书将全部作废.因此,保护CA私钥的安全性是整个PKI安全的核心.本文介绍的CA私钥安全管理方案主要基于门限密码技术.通过将不同的密钥份额分布在不同部件上、任何部件都无法重构私钥,来确保在密钥产生、分发及使用过程中,即使部分系统部件受到攻击或系统管理人员背叛,也不会泄漏CA的私钥,CA仍可以正常工作.

基于CA的移动终端安全邮件系统的研究与设计

研究了CA的通信结构,安全通信机制,加密原理以及主要算法,采用高效可靠的椭圆曲线算法,设计了一种基于第三方认证中心(CA)的移动终端电子邮件系统,保证了邮件的安全。

认证中心CA理论与开发技术

ＣＡ公钥证书是ＲＫＩ（Ｐｕｂｌｉｃ Ｋｅｙ Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ）的核心，是密钥管理理论与技术发展的结晶。文章首先描述在Ｉｎｔｅｒｎｅｔ分布式网络环境下ＣＡ的总体结构，详细分析了其理论基础、研究进展、各部分的实现方式与开发技术。

安全CA实例——EJBCA的研究

出于商业利益考虑,商用CA的关键技术通常并不公开,至今未能很好地弄清CA的密钥生成过程、密码算法的保密强度等。为了常用CA更具有实用性,给出了一个开源的CA——EJBCA。为使EJBCA应用到电子政务实践中,对EJBCA做了介绍,然后对EJBCA的运行、管理、框架模型做了分析和研究,并根据其所需软件做了搭建和实现,最后对EJBCA所涉及的密码算法及其安全性做了研究和探讨。

PKI/CA技术的起源、现状和前景综述

随着网络技术的发展,网络安全问题越来越受关注,公开密钥基础设施(PKI)技术为全面解决网络安全问题提供了可行方案。各国政府先后提出了自己的PKI体系统结构及其工作原理。回顾了PKI/CA技术的起源,分析了PKI/CA的基本原理,阐述了PKI/CA的国内外应用现状及其应用前景,并描述了PKI领域存在的问题。

基于关系型数据库的CA系统

当PKI技术应用于企业或政府信息化时，它必须与其它业务系统集成。采用与业务系统相一致的关系型数据库，有利于不同系统的集成。当CA系统采用关系型数据库和浏览器/Web应用服务器/数据库服务器3层结构时，证书相关信息的查询可以通过HTTP协议简单实现，LDAP和OCSP引擎可以使系统与标准协议保持兼容。另外，在这种结构下，通过引入基于关系型数据库的角色、权限管理机制，可以大大简化CA/RA的管理，使系统的运行和维护更加容易。