一种CA私钥的容侵保护机制

保护CA私钥的安全性是整个PKI安全的核心。基于RSA公钥算法和(t,n)门限密码技术,采用分阶段签名方案,确保私钥在任何时候都无需重构。同时,在私钥产生、分发及使用过程中,即使部分系统部件受到攻击,也不会泄漏CA的私钥,CA仍可以正常工作(即系统具有一定的容侵性)。通过VC和Openssl对系统进行了实现。

一种安全增强的基于椭圆曲线可验证门限签名方案

以NybergRuepple签名体制和Pedersen可验证秘密共享方案为基础,提出一种安全增强的基于椭圆曲线的(k,n)可验证门限签名方案.该签名方案通过周期地重分派方式在不同访问结构中共享密钥d,增强了签名密钥d的安全性,从而提高该签名方案的安全性.可以证明重分派协议重分派签名密钥后,签名密钥保持不变.与现有基于椭圆曲线的可验证门限签名方案相比,该安全增强的可验证门限签名方案不仅具有更强的安全性,而且具有入侵容忍能力.

具有入侵容忍特性的身份认证系统

描述了一个具有入侵容忍特性的分布式身份认证系统,利用多代理和冗余共享验证服务器的设计,使得认证系统具有容忍入侵的能力。将用户密码数据分布存储在多个共享认证服务器中,使得少数服务器受到入侵时仍能继续提供认证服务并且不会暴露用户的密码信息,提高了认证系统的可用性及安全性。

基于主动秘密共享的Web容侵策略研究

在基于传统秘密共享的Web服务中,入侵者可长时间攻击,降低了系统的可靠性,不再适用。本文提出了一种基于主动秘密共享的Web服务器入侵容忍方案,并给出了改进可验证秘密共享方案后的影子产生算法和更新算法。该方案在不改变共享Web服务器私钥的情况下,周期性地更新私钥影子并且销毁原来的影子值,使得入侵者的可利用时间缩短在一个周期内,从而保证Web私钥的长期安全性。

二方共享与(t,n)门限方案相结合的容侵CA方案

分析了现有容侵CA方案,提出了一种基于二方共享与(t,n)门限方案相结合的容侵CA方案,即先由CA应用服务器(CAA)、密钥服务器(SS)共享CA私钥,而后进一步将SS的共享密钥SK2利用门限密码的思想分成n份,并由n个密钥共享服务器(SSS)共享。在签名过程中既不需要由d2i(1≤i≤n)重构SK2,也不需要由d2i(1≤i≤n)与SK1重构SK。签名被分为CAA的初次签名与SS的二次签名,在形成正式签名前CAA要与SS相互认证,一旦发现对方签名异常,可即时向仲裁中心报警,从而提高了CA系统的安全性及容侵能力。

一种入侵容忍的密钥分发方案

提出了一种入侵容忍的密钥分发方案。在该方案中,密钥的生成由若干服务器通过秘密共享机制协作完成,每个服务器并不知道所生成的密钥,只持有其秘密份额。密钥分发的过程同样基于秘密共享实现,由用户获取各服务器所持有的秘密份额进行恢复从而获取密钥。分析表明,该方案中不存在唯一失效点,即使一定数量的服务器被攻击者控制后,系统仍然可以完成密钥分发。

基于门限秘密共享的入侵容忍数据库设计方案

传统的入侵容忍数据库较好解决了数据的可用性和完整性,但是不能保证数据的机密性。门限密码学提供了建立入侵容忍应用的新方法。基于门限秘密共享的入侵容忍数据库由策略调节及冗余的DB Proxy、DB Agent、异构数据库服务器等组成,通过采用(n,t+1)门限秘密共享方案,不仅实现数据的可用性和完整性,而且能保证机密性,可以有效抵御来自内外的篡改、DDOS等恶意攻击。

一种安全高效的入侵容忍CA方案

CA是PKI中的关键设施。CA的私钥一旦泄漏,该CA签发的所有证书就只能全部作废;因此,保护在线CA私钥的安全是非常重要的。将CA的私钥以门限密码技术分享在n个部件中,不仅保证了CA私钥的机密性和可用性,同时使CA具备了入侵容忍性。所提出的CA方案,私钥以Shamir的拉格朗日多项式方式分享,更适合实际需求,实验表明具有良好的性能。

先应秘密共享系统安全性的动态分析和评估

针对目前先应秘密共享系统基于经验的设计和系统管理问题,采用随机过程的建模技术,建立了系统的安全性与配置参数之间的定量关系.将先应秘密共享系统中的服务器组由初始安全态向失效态转移的渐进过程抽象为马尔可夫过程,因而可在服务器组构成多样性的前提下,获得对先应秘密共享系统安全性的理论估算.通过建立系统的状态转移强度图和转移方程,获得了系统的配置参数与其安全性之间的定量关系,并给出了应用该方法的具体步骤.仿真实验验证了该方法在秘密共享系统安全性动态分析与定量评估方面具有有效性.

容忍入侵的CA方案设计与实现

为了提高联网(certificate authority,CA)的安全性,基于(t,n)秘密共享思想,引入安全芯片及RSA分步签名方法,提出了一种具有容忍入侵能力的CA方案。新提出的CA方案从算法理论和系统架构两方面着手,克服传统CA的安全缺陷,保证CA私钥在产生、拆分和分步签名时的安全性,有效地解决了CA抵抗内外部攻击问题,确保了联网CA系统具有一定的入侵容忍能力。最后通过C++和OpenSSL实现了CA系统,验证了该CA方案的可行性。

一种容侵的CA私钥签名方案

保护CA私钥的安全性是整个PKI安全的核心.基于RSA公钥算法和(t,n)门限密码技术,采用分阶段签名方案,确保私钥在任何时候都无需重构.同时,在私钥产生、分发及使用过程中,即使部分系统部件受到攻击,也不会泄漏CA的私钥,CA仍可以正常工作.并通过VC和Openssl对系统进行了实现.

有条件容忍入侵的数字签名协议

基于新的(t,n)秘密共享机制将CA私钥进行分存,使用其身份作为私钥份额的标识,提供私钥保护的容侵性。该协议不是从保护系统或检测入侵出发来保证CA的安全,而是确保当少数部件被攻击或占领后,CA系统的机密信息并没有暴露;能根据攻击的类型,动态调节密码协议的运行,以容忍、阻止一部分攻击行为,更好地保护密码协议的运行安全。协议采用系统整体安全策略,综合多种安全措施,实现了系统关键功能的安全性和健壮性。

一种私钥容侵的数字签名方案

数字证书的可信任性取决于数字签名本身的有效性。为增强数字签名的有效性,提出一种认证中心(CA)签名私钥可以容忍入侵的高安全性签名方案。使用RSA算法产生CA私钥,保证私钥的不可伪造性。基于新的(t,n)秘密共享机制将CA私钥进行分存,使用其身份作为私钥份额的标识,提供私钥保护的容侵性。在进行数字签名时,基于RSA签名本身的特性,设计一种无需重构CA私钥的分步签名方案,进一步增强CA私钥的高容侵性。通过仿真实验对(t,n)门限取值结果的影响进行验证,表明方案的有效性。

基于秘密共享理论的安全组通信研究综述

秘密共享是密码学中的一个新课题,随着对其理论的不断研究,秘密共享方案越来越多地被应用到安全通信中,特别是在安全组通信中的应用使得通信的保密性、鲁棒性、完整性以及通信效率都得到了很大的提高。从秘密共享的基本理论出发,着重介绍了秘密共享在门限密码系统、组密钥管理、密钥托管、数字签名和认证以及分布式容侵系统中的应用,并且提出了秘密共享理论及其应用的发展趋势,为今后进一步的研究指明了方向。

一种基于容忍入侵技术的CA方案

CA是PKI中的关键设施.CA的可信任性依赖于CA的私钥。CA的私钥一旦泄露,该CA签发的所有证书就只能全部作废。确保CA的私钥不泄漏极其重要。容忍入侵技术不是通过传统的防火墙或入侵检测技术来保证CA的安全,而是确保当少数部件遭受入侵后,CA系统的机密信息并没有泄漏,即具有容忍入侵性。通过RSA加密算法和(t,n)秘密共享机制,将私钥分发给不同的共享服务器,并且私钥在任何时候都无需重构,保护了CA私钥的保密性,增强了CA的容忍入侵性.

基于门限ECC的容侵CA私钥保护方案

CA是PKI中的关键设施,负责签发用于鉴别用户身份的数字证书。CA的可信任性依赖于CA的私钥。CA的私钥一旦泄露,其签发的所有证书就只能全部作废。因此,保护CA私钥的安全是整个PKI安全的核心。基于椭圆曲线ECC算法和(t,n)门限密码技术,结合主动秘密共享方法,提出了一种容侵的CA私钥保护方案。方案确保私钥在任何时候都无需重构。同时,在私钥产生、分发及使用过程中,即使部分系统部件受到攻击,也不会泄漏,保护了CA私钥的安全性,从而保证了在线CA所签发数字证书的有效性。并通过Java和Openssl对系统进行了实现。

身份认证方案的安全性分析

针对入侵容忍身份认证方案的安全性进行了详细分析,并用状态转移图描述了系统的安全行为。该方案的特点是基于Shamir秘密共享算法将用户密码分片后存储在多个认证服务器中,使得少数服务器受到入侵时仍能继续提供正确的认证服务,且在认证身份时不需要重构用户原来的密码数据,提高了认证系统的可用性、完整性和机密性。

一种在线CA安全增强方案

CA私钥的安全性决定了签发证书的有效性。基于ECC(椭圆曲线算法)和(t,n)门限密码技术,结合先应秘密共享机制,提出了一种容侵的CA私钥保护方案。方案通过(t,n)秘密共享机制把CA私钥分发到t个服务器,并通过先应秘密共享体制进行私钥份额动态更新,结合可验证的秘密共享(VSS)方案,实现了CA私钥的容侵保护。最后,通过Java和Openssl对系统进行了实现。结果表明,本方案比目前基于RSA的同类方案相比,具有更高的安全性和效率。

一种基于秘密共享的容忍入侵安全软件系统构建方案

容忍入侵是数据安全领域的核心技术之一,其目标是在系统受到攻击时仍能对外继续提供服务。本文基于秘密共享的方法,针对操作系统和应用软件中需要实时保护的关键数据,提出了一种容忍入侵的安全软件系统构建方案,可以保证关键数据在系统运行期间的机密性、完整性和可用性,并对方案的计算复杂度、安全性等问题进行了分析和讨论。

入侵容忍技术在CA中的应用研究

基于RSA公钥算法和(t,n)门限密码技术,把CA私钥分割成一些份额在n个共享服务器中进行分配,并确保私钥在任何时候都无需重构。通过VC和Openssl对系统进行了实现。