一种入侵容忍的CA方案

CA(certificate authority)是PKI中的关键设施.CA的私有密钥一旦泄露,该CA签发的所有证书就只能全部作废.保护在线服务CA的私钥也就成为一个非常重要的课题.不是从保护系统或检测入侵出发来保证CA的安全,而是确保当少数部件被攻击或占领后,CA系统的机密信息并没有暴露.通过将私钥分发给不同的部件,并保证任何一个在线的部件无法恢复CA的私钥,从而保护了CA私钥的保密性.

基于证书权威(CA)中心的时间戳服务系统的实现

介绍了数字签名不具有抗抵赖的问题 ,以及数据抗抵赖在信息安全中的重要性。在对原有的时间戳协议缺乏可靠的身份认证和可信性分析后 ,提出了一种新的基于证书权威 (CA)中心的时间戳服务协议。利用CA中心的信任原理和数字证书的身份认证作用 ,使提供时间戳服务的服务方具备了可靠的身份鉴别和可信性。并利用XML标记对时间戳的数据内容进行描述 ,形成简单、直观的时间戳 ,且无需复杂的编解码过程。通过正确和可信的时间戳可以判定用户数据产生的时间 ,防止用户事后的抵赖行为 ,为网络应用提供更为安全的数据。

传统PKI与桥CA认证体系

本文首先分析了不同的PKI(公钥基础设施)体系以及它们各自的优缺点 ,论述了目前几种不同的PKI结构互连时遇到的一些困难。本文随后介绍了桥CA(BCA)概念、BCA认证体系和其面临的挑战 。

基于PKI/CA的数据服务安全系统研究

数据服务是获取信息的重要方式,而安全性和可靠性是提供数据服务的重要前提。禁核试北京国家数据中心是我国禁核试核查相关监测数据的收集、存储、分析和处理中心,为实现其数据服务的安全保障,针对该系统进行了安全风险评估;设计和实现了基于PKI/CA技术的用户身份认证、访问控制机制的数据服务安全认证系统,并给出了数据安全服务的实现流程;针对所实现的数据服务安全系统,制定了相应的安全保障策略。

一种基于门限ECC的入侵容忍CA方案

门限密码学提供了建立入侵容忍应用的新方法。文中在介绍并分析了基于ECC的ElGamal数字签名方案和t out of n秘密共享方案的基础上,提出了一个基于ECC的零知识证明方法和一个基于ECC的门限数字签名方案;研究了该方法和方案在建立入侵容忍CA中的应用。最后,对比ITTC项目中关于入侵容忍CA设计的方案,分析显示该方案在安全性、效率和可用性方面具有良好的性能。

PKI系统中CA服务器的设计与实现

公开密钥基础设施(PKI)是解决网络安全的重要技术之一。典型PKI应用系统包括安全Web、注册机构(RA)、认证机构(CA)、目录(LDAP)和数据库等服务器。CA服务器是PKI系统的核心实体,起着发布、管理和撤消证书的重要作用。本文通过对PKI消息结构的分析,提出了基于多线程方案的CA服务器的设计原理,并描述了CA与注册机构RA之间的消息交互过程。

容忍入侵的CA方案设计与实现

为了提高联网(certificate authority,CA)的安全性,基于(t,n)秘密共享思想,引入安全芯片及RSA分步签名方法,提出了一种具有容忍入侵能力的CA方案。新提出的CA方案从算法理论和系统架构两方面着手,克服传统CA的安全缺陷,保证CA私钥在产生、拆分和分步签名时的安全性,有效地解决了CA抵抗内外部攻击问题,确保了联网CA系统具有一定的入侵容忍能力。最后通过C++和OpenSSL实现了CA系统,验证了该CA方案的可行性。

国内CA建设的探讨

CA作为电子商务安全策略的重要组成部分 ,承担着验证电子商务网络交易中传递的信息以及各方身份的重任。我国的 CA发展已具备一定规模 ,在实际应用中取得了一定成效 ,但是还存在着不少问题。文章通过对国内主要 CA的介绍与分析 ,探讨了 CA发展中的一些问题 。

用Java创建企业内部CA

为构建一个安全的企业内部网,可以创建企业内部私有的CA。文章探讨了用Java创建内部CA的关键步骤:使用J2SDK提供的工具生成CA的私钥以及自签名根证书,生成用户证书并使用CA私钥对证书签名,发布CA签名后的数字证书。

浅议PKI/CA技术在网络银行安全保障方面的应用

文章首先简要介绍了网络银行和PKI、CA的概念,然后介绍了PKI/CA、数字证书等安全技术及PKI技术在网络银行安全保障方面的实际应用。

多级桥CA模型构建及其LDAP服务器设计

为解决PK I信任体系互联互通问题,在对比分析现有PK I常用5种信任模型优缺点的基础上,借鉴已有信任模型,特别是桥CA模型的优点,提出了一个新的模型——多级桥CA信任(m u ltileve l bridge certificate au thority,M BCA)模型.阐述了多级桥CA信任模型的基本原理及其构建方法,给出了其总体架构;在总体框架下,对其原型系统中LDAP服务器进行了设计;并结合具体项目对方案的可行性进行了实验验证和分析.实验证明了该模型的可行性,有望对我国PK I建设工程有所帮助.

LDAP研究及其在CA中的应用

首先介绍了轻量型目录服务在网络中的重要意义 ,分析了它的特点、基本原理和体系结构 ;在此基础上阐明了认证中心 (CA)需要轻型的目录访问协议 (LDAP)的原因 ,设计了它的一般结构和工作流 ,说明了如何组织证书条目 ;最后针对分布式LDAP提出了一种搜索算法 ,并将其应用到层次式CA体系中 ,从而实现了证书的自动透明高效搜索。

容忍入侵的RSA分步签名方案及其在CA中的应用

本文应用容忍入侵以及脆弱点分析思想,结合当今PKI中关键设施CA中心的私钥保密问题及其签名服务的安全需求,提出了基于容侵思想的CA私钥分存管理以及分步签名的技术方案。该方案着重从算法理论和系统架构两个方面保证系统的容侵特性:即在即使遭受入侵的情况下,该方案可保证系统的服务能力而且CA私钥不会马上泄漏,从而提高了整个系统的安全性。

一种原型CA系统的设计与实现

该文提出了一种CA系统的原型,并对原型系统的基本功能与架构进行了探讨。论文还对系统的设计与实现的关键环节进行了阐述,包括数字证书的结构、编解码实现方法、基于WINDOWS2000Server的多线程编程实现等。

基于PKI/CA的中间件系统的设计与实现

通过对PKI/CA技术与规范的研究,在实践了PKI/CA中间件系统的设计与开发的基础上,提出了分布式认证服务技术来减小认证的开销,从而达到在保障安全之外提高了客户端与服务端交互的效率,并且研究了相应规范来获取时间戳服务,同时在J2EE的EJB容器环境下使用了代理模式以及Interceptor的技术来实现了PKI/CA中间件,并且实践了PKI/CA中间件的即插即用。

基于中国剩余定理的入侵容忍CA方案

在介绍和分析了中国剩余定理和t-out-of-n秘密共享方案的基础上,提出了一个基于中国剩余定理的门限数字签名方案和一个基于离散对数的零知识证明方法。设计了一个具有入侵容忍功能的认证机构,并将中国剩余定理与RSA结合实现签字运算。此系统不仅有效地解决了私钥的秘密共享,而且减少了系统的计算量,提高了系统的运算效率。

基于CA的安全电子邮票系统研究

互联网为电子邮票系统提供依托平台的同时,也带来了严重的信息安全传输问题。针对这一制约邮政业务拓展的主要因素,研究了以第三方认证为核心的解决方案。采用椭圆曲线加密算法作为CA安全性的保证,并结合其认证机制,构建了基于CA的电子邮票系统框架;重点分析其中CA模块的功能流程、用户与邮局服务器之间的双向认证及信息传输。该系统实现了通信双方在交互过程中信息安全传输。

基于PKI技术的数字签名身份认证系统

论述了一种基于公共密钥基础设施PKI体系结构的身份认证系统。数字证书是认证系统中的核心,随着PKI的建立和认证中心(CA)的建设,用于身份认证和实体鉴别的身份证书已形成了完备的体系。数据的数字签名不容易伪造,且由CA颁发的数字证书可以确定用户身份的合法性,因此,可以利用PKI技术,并结合数字签名的原理来进行通信双方身份的识别,并采用权威机构CA发放的证书作为通信双方的身份标识。

PKI和RBAC授权数字证书的设计与实现

设计并实现了授权证书(CA),扩展了数字证书的功能,利用ASN.1语法构造和编码证书授权扩展项,用RBAC中的访问控制信息为证书主体授权以实现证书对资源的访问控制。论述了该方式的优越性。该数字证书避免了传统方式的不安全因素。

远程教育管理系统的身份认证研究与设计

着重论述了远程教育管理系统中的通讯双方的身份认证问题及相关技术 ,尤其是对于数字签名技术进行了比较详细的讨论。