基于X.509证书测量的隐私泄露分析

SSL协议由于易于部署以及集成在Web浏览器中的天然属性,被广泛应用于保障网页浏览、电子邮件、文件传输等应用服务的信息传输安全,其中最典型的应用是HTTPS.然而,实践中往往由于HTTPS服务的部署存在问题,比如服务器采用自签名X.509证书等,给用户带来严重的安全威胁,包括信息遭窃取、用户身份和行为隐私泄露等.本文从标识服务器身份的X.509证书出发,通过对真实环境HTTPS服务端证书的大范围测量和分析来揭示采用自签名证书的HTTPS服务存在的应用服务类型泄露问题,以及由此引起的用户网络行为隐私泄露威胁.针对大规模真实环境中用户网络行为的测量分析和海量日志挖掘结果表明,X.509自签名证书提供了较强区分服务器加密应用类型的身份信息,加密HTTPS应用服务器的身份隐藏手段在很大程度上可以通过统计行为分析来识破,提供相同或相似的特定应用服务的服务器的被正确分类的准确率最高可达95%.

基于USBKey的X.509身份认证

在对X.509身份认证协议及其安全性分析的基础上,结合对USBKey关键技术的研究,提出了一种用USBKey实现X.509身份认证的新方法。它明显提高了X.509身份认证协议的安全性,同时增强了用户使用的灵活性。

X.509数字证书有效性自验证方案研究

X.509数字证书在部署时一个重要的环节就是证书有效性验证机制.CertificateAuthority(CA)与客户之间大规模的数据交互成了数字证书状态验证的一个主要瓶颈.本文基于XML数字签名技术提出了一个新颖的数字证书有效性自验证方案,该方案的主要思想是在证书中心颁发一个数字证书后,证书的拥有者添加证书状态并进行数字签名.这样一个改进后的数字证书包含了该证书的当前有效状态信息,不需要客户与CA通信进行状态的验证,使得数字证书有效性检验变得简单、高效.评估结果显示,提出的数字证书自验证方案比传统采用的证书作废列表和证书状态在线验证协议具有更高的实际使用效率,解决了数字证书实际使用时有效性验证的瓶颈问题.

构造基于X.509公钥证书的密钥管理系统

CA及公钥证书是目前Internet上各类安全应用系统的主要密钢管理方式。这里首先描述了在Internet分布式网络环境下管理公钢的PKIX.509证书管理模型及其研究进展，提出了基于PKIX．509公钥证书的密钢管理系统的设计方案，利用LDAP目录服务和存取协议．给出了构造证书服务器的方法以及安全认证方法。

基于数字证书X.509的身份认证系统的研究

该文依托校园网设计与实现基于数字证书X.509的身份认证系统。通过实施单点登录功能,使用户只需一次登录就可以控制访问其权限下的资源,提高系统易用性,安全性和稳定性。使用LDAP目录服务器提高了数字证书的查询效率。对传输数据加密,确保信息安全。

基于X.509标准的CA数字证书系统的设计与实现

文章首先对CA(证书认证中心)体系中数字证书系统的地位和机制加以阐叙和说明,然后详细讨论了构造数字证书系统所要用到的技术和相关标准,最后在此基础上对整个数字证书系统的设计与实现作了具体的描叙。

数据库加密系统中基于X.509证书的椭圆曲线加密身份认证机制

身份认证问题是网络安全的重要研究课题,利用椭圆曲线密码系统相对于其他公钥密码体制具有密钥长度短、运算速度快、计算数据量小的特点,结合X.509证书构建一个新的、高效的、安全的身份认证方案。

基于X.509证书的授权管理中RBAC策略的研究

描述了基于角色的访问控制(RBAC)的策略以及基于策略的权限管理的系统框架,介绍了一个X.509权限管理模型及怎样来实现 RBAC,以及如何用XML设计网上交易系统权限管理的RBAC策略模型。

基于X.509标准的证书交换接口的安全性研究

基于互联网的应用日益普遍,安全性和登录灵活性越来越成为使用者关心的问题。基于X.509标准的证书登录很好的解决了安全性,QQ互联方式很好的满足了登录的灵活性,本文将这两种技术结合到一起,提出一种新的登录认证模型,很好地解决了安全性与灵活性。

X.509证书库的设计与实现

X.509证书是PKI(公钥基础设施)的重要组成部分,目前得到了很广泛的应用。设计并实现了一个轻量级的X.509证书库,比较了国内外同类产品的优缺点,给出了该证书库的具体模块设计,并指出了其应用前景。

基于SAML和X.509的跨安全域信任关系构建机制

在对企业的各个应用系统集成到门户的过程中,信任关系的构建是解决不同安全域之间统一身份认证的有效方法。在分析和研究统一身份认证关键技术SAML和X.509数字证书特点的基础上,提出了跨不同安全域的信任关系构建机制。并从保证网络安全的角度,对该机制进行了深入探讨和改进。最后运用基于SAML规范的开源实现openSAML进行了简单的测试和验证。

基于X.509建立医院公钥基础结构

随着电子商务,信息交换,网络资源访问的应用越来越广泛,对网络的安全性和可靠性的要求越来越高。当前的网络环境缺乏统一有效的安全保证能力。PKI旨在为大规模的网络提供基本的安全能力,其根本的手段是通过数字证书鉴别实体身份,在确定了实体身份的基础上开展授权,审计,建立加密通道等一系列外围服务。本文讨论了在大规模网络上构架PKI所要涉及到的主要方面,提出一种建立医院网PKI的体系结构。

面向Web服务的XKMS模型设计与实现

针对XKMS安全规范应用的局限性,提出一种面向WebService的XKMS服务模型。该模型将XKMS规范与底层PKI解决方案相结合,构成一个开放的、模块化的体系结构,它通过一个Web服务接口实现不同PKI规范之间的集成。首先给出了该模型的体系结构并详细描述了各模块的功能和执行方法,接着描述了表示数字证书状态的数据结构以及XKMS与底层PKI系统之间进行通信的接口方法,最后用Java实现了所提出的XKMS服务模型的原型系统。实验分析表明,实现的XKMS系统具有良好的安全性能和执行效率。

基于ECC算法的Wimax系统证书改进

X.509数字证书机制是WiMax网络和用户之间进行相互认证的基本手段。基于椭圆曲线加密(ECC)算法对采用RSA算法的X.509证书进行了改进,提出了初步的改进思路和实现方案,并对改进后的证书性能进行了分析。分析表明改进后的X.509证书的在维持其原本的运行机制的基础上,提高了攻击者伪造用户数字证书的难度,进一步提高了IEEE802.16e标准下的双向认证的安全性。

A Photo Certificate-A Framework for Generating Visualized Public Key Certificates

In the proposed photo certificate, the principal component is the image, for example, the user＇s photo. User-related fields, such as the subject＇s name, the issuer＇s name, and the expiration period, which are meaningful to users, are embedded into the surface of the photo by using a visible watermark algorithm, so that the reader can capture this information without the requirement for special software. The remaining fields in the certificate are embedded into a marked photo. Later, the whole photo certificate is eryptographically signed by certification authority （CA） private key to guarantee the integrity of our photo certificate. By such arrangement, the eertificate＇s verification is divided into two layers. The first layer is human visual system oriented and the second layer is the software-oriented. User can determine whether the user＇s photo and its subject＇s name are consistent and cheek whether the expired period is valid first. The second layer＇s verification is lunched only when the first layer＇s verification is passed. To sum up, the proposed photo certificate not only inherits the functions of a traditional certificate, but also provides a friendlier operational environment of X.509 certificate.

Notification Services for the Server-Based Certificate Validation Protocol

The Server-Based Certificate Validation Protocol allows PKI clients to delegate to a server the construction or validation of certification paths. The protocol’s specification focuses on the communication between the server and the client and its security. It does not discuss how the servers can efficiently locate the necessary PKI resources like certificate or certificate revocation lists. In this paper we concentrate on this topic. We present a simple and effective method to facilitate locating and using various PKI resources by the servers, without modifying the protocol. We use the extension mechanism of the protocol for notifying the servers about PKI repositories, certificates, and revocations. We specify the tasks of the servers and certificate issu-ers and define the messages that are exchanged between them. A proof of concept is given by implementing an SCVP server, a client, and the proposed method in Java.

基于角色访问控制的权限管理系统

介绍了一种基于角色的权限管理系统的架构。该架构使用X.509属性证书来存储用户角色。授权管理基础设施(PMI)具有权限的分 配、委派、发布功能及访问控制请求的处理与决策功能,为整个系统提供统一的授权管理和访问控制服务,实现全系统统一的授权的访问控 制策略与机制。

认证中心CA理论与开发技术

ＣＡ公钥证书是ＲＫＩ（Ｐｕｂｌｉｃ Ｋｅｙ Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ）的核心，是密钥管理理论与技术发展的结晶。文章首先描述在Ｉｎｔｅｒｎｅｔ分布式网络环境下ＣＡ的总体结构，详细分析了其理论基础、研究进展、各部分的实现方式与开发技术。

一个利用数字证书实现的RBAC模型

针对 Intranet资源共享需要解决的访问控制问题 ,本文提出一种方法 ,在企业 PKI和目录服务的基础上 ,使用X.5 0 9证书和属性证书灵活方便地实现

SSL协议的ECC扩展实现

针对SSL协议中握手协议的工作过程,详细描述了如何使用椭圆曲线密码算法对SSL协议做算法扩展,实现了椭圆曲线密码算法库以及ECDSA、ECDH密钥交换算法,对SSL握手协议使用的X.509格式的证书进行了ECDSA算法扩展,并在OpenSSL0.9.7d的版本上作了性能测试。