基于桥CA的高兼容性分布式信任模型

基于PKI(public-keyinfrastructure)的分布式信任模型能够更好地保证分布式系统的安全性.作为信任路径的载体,数字证书格式的差异性可能对不同信任域实体之间的信任路径的可用性产生影响.提出了证书格式兼容性的概念,并以此为基础分析了证书格式差异对证书有效性验证的作用方式.在桥CA(certificateauthority)的基础上,提出一种兼容性较高的分布式结构的信任模型,能够消除证书格式兼容性问题对不同信任域实体之间实现互连的干扰.

面向海洋信息管理的轻量级CA的设计与实现

面向海洋信息管理的需求,基于J2EE平台,使用Bouncy Castle提供的加密算法与工具,遵从PKI(Public Key Infrastructure,公钥基础设施)相关标准,实现了一个适用于中小型海洋信息管理系统的轻量级数字证书认证机构(CA,Certificate Authority)。该CA提供了适用于中小型海洋信息管理系统的数据存储与传输加密功能,为通过网络实现高效的海洋科研数据收集与共享管理提供了技术上的安全保障。

基于CA的电子印章系统设计与实现

针对分布式层次化网络安全应用,提出了一种分布式简化严格层次结构的PKI信任体系模型,为网络应用提供有效的认证、访问控制、授权、机密性、完整性、非否认服务。在该信任体系模型基础上,提出并建立了由CA签发的发章证书概念,来保证CA所辖域中印章文件的安全。系统通过CA签发的电子印章来对网络中电子公文和印章文件进行数字签名、验证,并由加密证书保护电子公文加密密钥,通过授权服务器管理用户打印印章权限。

一种CA私钥的容侵保护机制

保护CA私钥的安全性是整个PKI安全的核心。基于RSA公钥算法和(t,n)门限密码技术,采用分阶段签名方案,确保私钥在任何时候都无需重构。同时,在私钥产生、分发及使用过程中,即使部分系统部件受到攻击,也不会泄漏CA的私钥,CA仍可以正常工作(即系统具有一定的容侵性)。通过VC和Openssl对系统进行了实现。

一种入侵容忍的CA方案

CA(certificate authority)是PKI中的关键设施.CA的私有密钥一旦泄露,该CA签发的所有证书就只能全部作废.保护在线服务CA的私钥也就成为一个非常重要的课题.不是从保护系统或检测入侵出发来保证CA的安全,而是确保当少数部件被攻击或占领后,CA系统的机密信息并没有暴露.通过将私钥分发给不同的部件,并保证任何一个在线的部件无法恢复CA的私钥,从而保护了CA私钥的保密性.

基于开放源码的企业自建CA系统的研究与实现

分析了企业自建CA系统的必要性,通过一个PKI系统——myCA的设计与实现,论证了在企事业单位内部建立专有CA的可行性,并提出了隐藏PKI系统复杂性的具体方法。

分布式CA下空间网络认证密钥安全度量方法

基于分布式CA的密钥管理策略解决了空间网络中不易实施集中式密钥管理的难题,但也给认证密钥的安全带来了新的威胁。该文在描述和分析空间网络中认证密钥的安全威胁的基础上,提出了一种度量认证密钥安全强度的方法。该方法可根据系统门限值、密钥更新周期等参数的设置情况,定量度量认证密钥的安全强度。通过分析系统门限值和密钥分量更新周期对安全强度的影响,给出了合理设置这两个网络安全参数的方法。

基于证书权威(CA)中心的时间戳服务系统的实现

介绍了数字签名不具有抗抵赖的问题 ,以及数据抗抵赖在信息安全中的重要性。在对原有的时间戳协议缺乏可靠的身份认证和可信性分析后 ,提出了一种新的基于证书权威 (CA)中心的时间戳服务协议。利用CA中心的信任原理和数字证书的身份认证作用 ,使提供时间戳服务的服务方具备了可靠的身份鉴别和可信性。并利用XML标记对时间戳的数据内容进行描述 ,形成简单、直观的时间戳 ,且无需复杂的编解码过程。通过正确和可信的时间戳可以判定用户数据产生的时间 ,防止用户事后的抵赖行为 ,为网络应用提供更为安全的数据。

基于Yale-CAS的单点登录的设计与实现

随着网络信息化建设的加快,各种企事业单位依托网络进行数字化办公,用户经常遇到不同的系统,以至于必须来回切换登录。单点登录(Single Sign-On)就是为解决传统认证机制中存在的问题而提出的一种技术。在分析比较常见的单点登录技术的技术上,实现了基于Yale-CAS的单点登录系统,并针对原有系统缺点进行了改进,使得认证和授权分离,并且减轻了认证服务器的负担,减少了网络传输,方便用户快速访问资源。

一种CA私钥安全管理方案

CA(certificateauthority)是PKI中的重要组成部分,负责签发可以识别用户身份的数字证书.CA的私有密钥一旦泄露,它所签发的所有证书将全部作废.因此,保护CA私钥的安全性是整个PKI安全的核心.本文介绍的CA私钥安全管理方案主要基于门限密码技术.通过将不同的密钥份额分布在不同部件上、任何部件都无法重构私钥,来确保在密钥产生、分发及使用过程中,即使部分系统部件受到攻击或系统管理人员背叛,也不会泄漏CA的私钥,CA仍可以正常工作.

PKI/CA技术综述

公开密钥基础设施(PKI)是解决网络安全的技术。典型PKI应用系统包括安全Web、注册机构(RA)、认证机构(CA)、目录(LDAP)和数据库等服务器。RA验证客户证书申请后提交CA。CA检查信息完整和数字签名正确后把证书存放到证书库和目录服务器,并将签发证书序列号通知客户和RA。客户即可使用该号通过目录服务器下载证书。1993年以来,美、加、欧洲、韩、日等国已相继展开PKI研究。我国2001年将PKI列入十五863计划,并着手解决PKI标准化、CA互联互通等关键技术问题。

传统PKI与桥CA认证体系

本文首先分析了不同的PKI(公钥基础设施)体系以及它们各自的优缺点 ,论述了目前几种不同的PKI结构互连时遇到的一些困难。本文随后介绍了桥CA(BCA)概念、BCA认证体系和其面临的挑战 。

一种基于门限ECC的入侵容忍CA方案

门限密码学提供了建立入侵容忍应用的新方法。文中在介绍并分析了基于ECC的ElGamal数字签名方案和t out of n秘密共享方案的基础上,提出了一个基于ECC的零知识证明方法和一个基于ECC的门限数字签名方案;研究了该方法和方案在建立入侵容忍CA中的应用。最后,对比ITTC项目中关于入侵容忍CA设计的方案,分析显示该方案在安全性、效率和可用性方面具有良好的性能。

基于CA的移动终端安全邮件系统的研究与设计

研究了CA的通信结构,安全通信机制,加密原理以及主要算法,采用高效可靠的椭圆曲线算法,设计了一种基于第三方认证中心(CA)的移动终端电子邮件系统,保证了邮件的安全。

基于关系型数据库的CA系统

当PKI技术应用于企业或政府信息化时，它必须与其它业务系统集成。采用与业务系统相一致的关系型数据库，有利于不同系统的集成。当CA系统采用关系型数据库和浏览器/Web应用服务器/数据库服务器3层结构时，证书相关信息的查询可以通过HTTP协议简单实现，LDAP和OCSP引擎可以使系统与标准协议保持兼容。另外，在这种结构下，通过引入基于关系型数据库的角色、权限管理机制，可以大大简化CA/RA的管理，使系统的运行和维护更加容易。

MANET共识选举轻量级CA认证方案

移动自组织网是由一组自主的无线节点或终端相互合作而形成的独立于固定基础设施的分布式网络,具有无中心、自组织、多跳路由等特点。然而,移动自组织网先天具有的拓扑结构变化频繁和能量受限等缺点,使得移动自组织网络难以进行复杂的认证。针对该问题,结合轻量级证书颁发机构(CA)认证思想,借鉴区块链技术中的共识机制来选举CA,提出一种基于共识算法的轻量级轮转CA认证方案。通过共识算法周期性地选举出当前CA,全网快速达成共识后,即可确定CA,实现轻量级认证。该方案CA节点周期性轮换,无需证书管理,适合高度动态变化、生存周期短的移动自组网。详细分析了方案的安全性并基于BAN逻辑分析方法进行了形式化证明。理论分析表明,该方案可在一定程度上抵御拒绝服务(DoS)攻击、仿冒攻击等多种网络攻击,增强移动自组织网络的安全性能。

CA系统安全性的分层多方面设计

CA系统本身的安全性是影响Internet电子商务安全的关键问题。分析了CA系统的总体网络结构,提出了一种CA系统的分层多方面安全性设计方案,阐述了网络层安全设计和应用层安全设计。网络层安全采用划分安全区、多层防火墙保护、交换以太网等方法;应用层采用软件代码签名防篡改、数据包增加时间戳防重放攻击、敏感数据内存零化及数据库加密存储、集中监控等8个方面的安全性设计。该设计已实际应用于某CA中心,达到了良好的安全性目标。

一种容侵的CA私钥签名方案

保护CA私钥的安全性是整个PKI安全的核心.基于RSA公钥算法和(t,n)门限密码技术,采用分阶段签名方案,确保私钥在任何时候都无需重构.同时,在私钥产生、分发及使用过程中,即使部分系统部件受到攻击,也不会泄漏CA的私钥,CA仍可以正常工作.并通过VC和Openssl对系统进行了实现.

一种基于安全芯片的CA方案设计和实现

以符合可信计算联盟标准的安全芯片为基础,提出一种基于安全芯片的CA方案,它不仅解决了CA抵抗外部攻击,而且也解决了CA抵抗内部攻击的问题,同时该方案具有较高的性能和较低的成本。

容忍入侵的CA方案设计与实现

为了提高联网(certificate authority,CA)的安全性,基于(t,n)秘密共享思想,引入安全芯片及RSA分步签名方法,提出了一种具有容忍入侵能力的CA方案。新提出的CA方案从算法理论和系统架构两方面着手,克服传统CA的安全缺陷,保证CA私钥在产生、拆分和分步签名时的安全性,有效地解决了CA抵抗内外部攻击问题,确保了联网CA系统具有一定的入侵容忍能力。最后通过C++和OpenSSL实现了CA系统,验证了该CA方案的可行性。