An Internet Key Exchange Protocol Based on Public Key Infrastructure

Internet key exchange (IKE) is an automated key exchange mechanism that is used to facilitate the transfer of IPSec security associations (SAs). Public key infrastructure (PKI) is considered as a key element for providing security to new distributed communication networks and services. In this paper, we concentrate on the properties of the protocol of Phase 1 IKE. After investigating IKE protocol and PKI technology, we combine IKE protocol and PKI and present an implementation scheme of the IKE based on PKI. Then, we give a logic analysis of the proposed protocol with the BAN-logic and discuss the security of the protocol. The result indicates that the protocol is correct and satisfies the security requirements of Internet key exchange.

Public Key Infrastructure: An Enhanced Validation Framework

Public Key Infrastructure (PKI) is a comprehensive information security framework for providing secure information and communication over the internet. Its need and use has grown over the years and continually grows. This research work examines the current PKI framework’s validation process as operated by vendors and subscribers to identify the drawbacks and propose enhanced approaches to its validation mechanism. Using an approach of reviewing secondary data, critical weaknesses of integrity, proof of trust and single point-of-failure were identified with the current PKI framework. This study therefore advances proposed solutions to address the identified weaknesses by specifically introducing multiple Certificate Authorities, storage, visibility and searchability of subscriber information in public repository. A comprehensive detail of its implementation is proposed to address the identified weaknesses of uncertain integrity, trust for certificate authorities and prevent a single point of failure. Furthermore, the proposed enhancements are validated with the protection motivation theory and a framework for empirically testing the enhancements is suggested. Further research would be required to factor in multi-factor authentication without compromising performance.

A Photo Certificate-A Framework for Generating Visualized Public Key Certificates

In the proposed photo certificate, the principal component is the image, for example, the user＇s photo. User-related fields, such as the subject＇s name, the issuer＇s name, and the expiration period, which are meaningful to users, are embedded into the surface of the photo by using a visible watermark algorithm, so that the reader can capture this information without the requirement for special software. The remaining fields in the certificate are embedded into a marked photo. Later, the whole photo certificate is eryptographically signed by certification authority （CA） private key to guarantee the integrity of our photo certificate. By such arrangement, the eertificate＇s verification is divided into two layers. The first layer is human visual system oriented and the second layer is the software-oriented. User can determine whether the user＇s photo and its subject＇s name are consistent and cheek whether the expired period is valid first. The second layer＇s verification is lunched only when the first layer＇s verification is passed. To sum up, the proposed photo certificate not only inherits the functions of a traditional certificate, but also provides a friendlier operational environment of X.509 certificate.

基于PKI体系的电力物资信息系统安全机制研究

针对传统安全机制缺乏动态管控、难以满足复杂系统安全需求等问题,提出了一种基于PKI体系的电力物资信息系统安全机制。该机制结合公钥基础设施(PKI)与授权管理基础设施(PMI)构建了PKI-PMI体系,从而解决了单一PKI体系无法实现权限管理的问题。同时,还设计了基于实体行为的可信度模型用于感知用户行为的动态变化,有效提高了用户信息的可靠性,并进一步保证了系统信息安全。实验结果表明,当每小时发生1000次网络攻击时,所提机制的安全性仍高于85%,且运行时间仅为15.28 ms,能够较好地保证电力物资信息系统的安全。

基于PKI／PMI的变电站自动化系统访问安全管理

随着信息技术的发展,电力工业的信息安全已成为影响电力系统稳定运行的重要问题。IEC 61850标准的推出对变电站通信系统与网络提出了新的要求,其中有关智能电子设备(IED)的访问 安全管理是确保操作主体身份与授权合法的关键问题。IEC 61850要求使用虚拟访问视图实现 IED的访问安全,而公钥基础设施／权限管理基础设施(PKI／PMI)体制正在电力系统企业中广泛 推行,通过设计专用的认证访问处理模块实现二者的有机结合,采用基于角色的访问控制(RBAC) 模型设计了满足多用户、多角色需求的访问控制方法。通过对执行过程的实时性分析,证明该系统 能够满足IED的实时控制要求。系统设计紧扣IED虚拟访问视图设计标准和多类电力自动化应 用系统统一管理的实际需要,相关的密码算法遵循国家密码管理局的商用密码管理条例,设计内容 既符合国际标准的发展方向,为电力系统通信安全标准的制定提供了参考,又能满足国家对信息安 全方面的特殊要求。

WPKI与PKI关键技术对比

与有线网络相比,无线网络存在较多的环境制约,包括带宽窄、延迟大、稳定性差等;同时,手持设备存在诸如CPU功能弱、存储量小、功耗受限、显示窗口小等等问题。为了使公钥基础设施(PKI)应用扩展于无线环境,WAP论坛定义了无线公钥基础设施(WPKI)规范。WPKI的宗旨在于尽可能使用现有PKI协议,仅在需要时才定义新规范,对WAP PKI和PKI在应用环境、协议架构、数据及业务流程、加密算法、证书格式及协议标准方面进行了比较。

公钥基础设施PKI的设计

介绍了公共基础设施PKI系统设计目标、PKI系统开发遇到的主要难点和采用的对应技术，并就证书处理的格式与编码、安全传输使用的SSL技术、浏览器的PKI接口结合开发经验和实例作了比较详细的分析。

PKI的发展及问题分析

PKI技术已日臻成熟并在许多方面得到应用,但是PKI中也还存在着很多问题有待解决。本文介绍了PKI技术的发展及应用,并就PKI在产品兼容性、复杂性、CA的信任危机、密钥管理、证书验证机制、证书撤消、X.509存在问题、相关法律、法规的缺乏、用户认识不足、个人隐私、赔付机制的缺失、成本等几个方面存在的问题,进行了分析。

PKI技术在电子政务中的应用

分析了美国政府在PKI(PublicKeyInfrastructure)行动中所取得的进展 ,阐述了在电子政务中推广PKI技术将面临的种种困难 ,并由此对PKI技术在我国电子政务中的应用发表了一些看法和建议。

基于PKI和PMI的生物认证系统研究

生物认证技术作为一种准确高效的身份认证方法越来越广泛的应用于身份认证领域。但是目前还没有一种面向开放式网络的通用生物认证系统出现。由于在开放式网络中,基于X.509的公钥基础设施和权限管理基础设施(PMI)是目前应用广泛且有效的身份认证技术和权限管理技术,所以在PKI和PMI技术基础上,该文创新性的提出了一种基于生物证书的能实现身份认证和权限管理的通用生物认证系统。最后通过设计一个能实现身份认证和权限管理系统的高安全性生物智能卡,验证了基于PKI和PMI生物认证系统的可行性和可操作性。

一种开放式PKI身份认证模型的研究

分析了传统PKI(Public Key Infrastructure)身份认证模型存在的问题,基于OCSP(Online Certificate Status Protocol)协议的证书状态验证服务和密钥验证服务相分离,造成了传统PKI身份认证模型的信任度下降,增加了身份认证的风险,跨CA(Certificate Authority)认证复杂度高,CA机构提供的身份认证服务不完整等问题。提出了一种开放式PKI身份认证模型,由CA中心独立完成两个验证服务,将OCSP应答机制改进为提供身份证明文件的方式,可有效解决上述问题。通过云信任评估模型对两种认证模型进行了量化评估,证明了本文提出的开放式身份认证模型可有效提高信任度。对该模型进行了原型实现,重点对性能问题进行了优化,实验测试表明,该模型具有实用价值。

一种基于PKI技术的跨异构域认证模型

针对PKI域和Kerberos域难于相互认证,提出了一种主要基于PKI技术的跨异构域认证模型,并详细设计了不同域中的用户跨异构域访问资源的认证过程.该模型能够实现PKI信任域和Kerberos信任域间的跨域认证,并支持双向认证.对方案中的协议模型进行分析,结果表明,该方案具有较好的兼容性、扩展性、可靠性、并行性、安全性,证明本模型适用于在以PKI为主的较大规模的网络环境中实现PKI域和Kerberos域的跨域认证.

椭圆曲线加密算法在PKI中的应用

随着计算机网络的发展,社会对网络安全的要求也越来越紧迫,PKI技术正是能够实现信息安全的热门技术。对PKI技术的关键技术——数据加密算法进行了分析,介绍了ECC的运算,重点讨论了椭圆曲线加密系统(ECC)在PKI中的应用和系统的模型结构与设计,分析了ECC的安全性,说明了ECC在PKI中很好的应用前景。

基于PKI的IPSec-VPN网关的设计与实现

针对IPSec-VPN网关开发的特点，提出了PKI代理网关的概念，并就一个基于PKI的IPSec-VPN网关开发的实例作了比较详细的描述，给出了实现的框图和几个主要算法。

基于PKI的网络边界安全监控方法

针对网络边界安全防御的需求和特点,提出一种基于PKI技术的网络边界安全监控方法。该方法结合基于PKI的身份认证机制、入侵检测技术与VPN技术,通过对网络流量和系统日志的关联分析,能够在实时发现入侵行为的同时,准确定位入侵来源并实时阻断攻击,相比通用的特征检测和异常检测方法具有更强的准确性和可用性。

一种新的基于PKI的动态身份认证系统的设计

针对现有身份认证技术存在的缺点,将PKI技术与挑战/应答认证机制相结合,提出了一种新的基于PKI的动态身份认证系统,并具体论述了该系统的结构和认证协议,同时对此身份认证系统的安全性进行了分析,指出了优点和不足。

基于PKI防欺诈的门限密钥托管方案

本文基于 PKI(Public Key Infrastructure)提出了一个防欺诈的密钥托管方案,并提出了密钥托管分配机制。由于该方案的秘密共享采用基于状态树的(t,n)秘密共享,所以具有计算量小,效率高的特点。这个方案不仅有效地解决了用户欺诈的问题,而且托管用户可根据需要而改变托管代理的数量。本文在数字证书的发放与密钥托管之间建立了一种机制,把两者联系在一起,以真正实现密钥托管的目的。

PKI中的证书和发证机构

1 引言 Internet从诞生之日起就是一个开放的系统,把许许多多的计算机系统互联起来形成一个庞大的通信网络,但是这种开放性使得Internet中的信息很容易被拦截、监视和窜改,导致人们不愿意使用Internet交流一些敏感或机密信息,如商业信息等。这在一定程度上阻碍了Internet的发展进程。 Internet用户所面临的问题可以归为两大类:信息保密和身份验证。信息保密要求传送的信息在途中不得被修改,而身份验证要求通信的双方确认对方的身份。解决的方法之一是加密,确保信息的保密和安全;二是认证(certification),保证通信是在预期的两者之间进行。公钥加密机制非常适合于In-

基于PKI的网络信息安全的研究与应用

PKI技术是目前被广泛采用的一套完整的网络信息安全解决方案。文章论述了网络信息安全的需求和基本技术以及企业 PKI的基本组成和运作机制等 ,并结合石油化工集团 YZZY工业监控系统对网络信息安全的需求 ,构造了一个企业的 PKI系统 ,同时开发了相应的基于 PK

LDAP服务器在PKI中的应用研究

数字证书服务与信息存储服务是PKI服务的基础,LDAP以其自身的固有特性成为认证服务中信息存储服务的首选。文章探讨了LDAP目录服务器的特点,给出了LDAP服务器与数字证书服务器的典型架构模式,以及如何使数字证书服务器与LDAP目录服务器协同的具体方法。