科技资源应用集成环境中的单点登录研究

本文首先分析了基于公钥基础设施的单点登录模型的不足.在此基础上.提出了一种基于PKI/PMI的单点登录模型,并详细介绍了该模型在网络科技资源应用集成环境中的应用.新模型利用公钥证书进行用户身份认证,而将授权管理任务独立出来交予属性证书完成,完全支持基于角色的访问控制,并且能够与原有业务系统无缝结合,可实现一个安全、灵活的单点登录访问控制系统.     

基于PKI/PMI的多域单点登录研究

本文提出了一种基于公钥基础设施PKI和授权管理基础设施PMI的多域单点登录模型,该模型使用公钥证书进行身份认证,通过属性证书支持基于角色的访问控制。并采用分布式认证方法,支持用户跨域访问应用服务器,有效实现了多域环境下的单点登录。最后,讨论了与原有应用系统的无缝融合技术。     

一种新的公钥基础设施—SPKI

1 引言简单公钥基础设施(Simple Public Key Infrastructure,SPKI)是一种新的公钥证书标准。它能为分布式计算环境提供简单而精确的命名及授权体制。1999年,IETF组织将SPKI标准化。 SPKI主要用于访问控制,它的突出特点有二:分布式安全管理、使用密钥来代替以往X.509体制使用的名字。此外,在SPKI的证书里可以定义不同形式的许可权限。应该说,SPKI的全部思想都是基于公钥加密体制。所以,不管是证书的产生还是证书的使用,密钥都占主导地位。     

IPv6网络中PKI安全平台的设计与实现

通过分析IPv6网络和传统网络体系结构的差异，指出了IPv6网络中安全应用的特点。针对这些特点，提出了一种新的基于分布式的公钥基础设施。该安全平台对系统部署、证书管理、策略使用和访问控制提出了新的应用方式，能够为基于IPv6互联网络的安全应用提供更好的安全基础设施。     

基于属性证书的PMI授权管理模型应用研究

公钥基础设旌PKI技术通过方便灵活的数字证书与密钥管理机制，解决了可信的身份问题。但是，仅仅依靠PKI机制无法完全满足大型分布式网络环境下授权管理和基于角色的访问控制等需求。该文在深入研究PMI及属性证书的基础上，提出了一个基于属性证书的PMI授权管理模型，并对模型的具体实现进行了研究。     

角色访问控制在PKI中的实现

PKI是一个主要使用公钥密码算法来实现数据的机密性、完整性和防抵赖性的基础设施服务。访问控制的目的是要处理计算机和通信系统中的非授权信息。文章介绍了特权管理基础结构中的角色模型,并设计了角色属性中心,通过它对角色属性证书的管理实现了在PKI中的基于角色的访问控制模型,并分析比较了该模型与传统的访问控制模型的优缺点。     

基于PMI访问控制系统的设计

为了解决网络应用系统的安全问题,需要对应用系统进行一定的改造,文章所出的访问控制方案是基于PKI和PMI的技术体系。使用公钥证书实现对用户的身份认证,使用属性证书实现对用户的授权访问,可以方便灵活地实现网络资源的安全访问访问控制。     

基于角色访问控制的权限管理系统

介绍了一种基于角色的权限管理系统的架构.该架构使用X.509属性证书来存储用户角色.授权管理基础设施(PMI)具有权限的分配、委派、发布功能及访问控制请求的处理与决策功能,为整个系统提供统一的授权管理和访问控制服务,实现全系统统一的授权的访问控制策略与机制.     

基于PMI访问控制系统的设计

为了解决网络应用系统的安全问题，需要对应用系统进行一定的改造，文章所出的访问控制方案是基于PKI和PMI的技术体系使用公钥证书实现对用户的身份认证，使用属性证书实现对用户的授权访问，可以方便灵活地实现网络资源的安全访问访问控制．     

PKI与PMI联合安全认证系统及其设计

文章在研究X．509 V3所定义的公钥证书和属性证书的基础上,分析了PKI和PMI的系统组织结构，设计了一个PKI和PMI联合安全认证系统，给出了证书存储与管理目录服务器的配置与管理程序设计，系统使用公钥证书进行身份认证，使用属性证书进行角色控制，可以方便灵活地实现网络资源的安全访问控制。     

基于PKI的园区网络安全系统平台设计

公钥认证体系已逐渐成为网络信息安全系统的主流,以 ＩＴＵ－Ｔ Ｘ．５０９［１］协议为证书标准的 ＰＫＩ（Ｐｕｂｌｉｃ ｋｅｙ ｉｎ－ｆｒａｓｔｒｕｃｔｕｒｅ 公钥基础设施）为其代表,ＰＫＩ在实现上就管理需求的满足和整体性能的提高两方面还有很多待探索的问题,文章以园区网为背景设计了一个基于ＰＫＩ的安全系统平台,围绕安全策略、访问控制、应用安全编程接口三个主题进行了一些探讨,并从工程实现的角度给出了一些改进方案。     

一种专用PKI系统的研究与应用

随着电子签名的规范化和法律化，应用X．509数字证书已成为网络信息安全的重要组成部分。本文针对某些专用领域提出了一种专用公开密钥基础框架（PPKI），用于解决网络身份认证、通信加密和资源管理等问题。最后详细分析了PPKI系统的设计和应用。     

基于PKI的CA平台研究与设计

公钥认证体系已经逐渐成为网络安全系统的主流。长课题设计了一个基于PKI的校园网络安全系统平台,系统所使用的证书格式符合ITU-T的X.509标准,CA证书的请求和发布使用PKCS标准。     

基于PKI的IPv6安全邻居发现协议

介绍邻居发现协议(NDP)存在的安全威胁,分析其中的安全邻居发现算法(SEND)的工作机制,在NDP报文中加入CGA和RSA签名等选项,以抵御一些欺骗性攻击,针对SEND中未解决的公钥管理问题引入公钥基础设施,建立依靠证书的安全通信,进一步提高NDP的安全。     

基于windows2k PKI的企业CA的实现

Windows 2000的发布使开发中小企业的CA成为可能。CA在基于PKI的电子商务安全应用中起者核心的作用。文章详细地介绍了 PKI的结构和组成,深入地分析了Windows2000 PKI的结构和其认证服务。最后给出了如何在win2k PKI和其中的认证服务框架下,定制企业独立CA认证中心的技术方法,即如何编写用户的策略模块,并且给出了采用了Visual Basic 6.0具体实现。     

一种新的私钥安全存取方案

安全的私钥存取机制是构建可靠PKI系统的关键问题之一。从对私钥拥有者的强身份认证和保护私钥存储机密性这两个角度出发,提出了一种新的基于GQ(GuillouQuisquater)零知识身份认证体制的私钥安全存取方案。该方案将端实体的私钥以密文形式存放在CA中。当端实体使用私钥时,系统采用双因素认证技术(GQ体制和秘密值h)验证端实体身份, 可以有效抵御认证过程中潜在的各种攻击,同时避免信息泄漏。此外,端实体首次使用私钥后,重新生成保护密钥,利用该保护密钥对私钥加密,再将密文传回CA, 从而最大限度地确保了私钥传输和存储的机密性。     

数字证书透明性CT机制安全威胁研究

公钥基础设施（Public Key Infrastructure,PKI）和SSL/TLS加密协议,是当今互联网进行安全通信的关键要素,但存在被攻击或恶意CA所导致的重大安全隐患.2013年,谷歌提出证书透明性（Certificate Transparency,CT）技术用于对CA签发的HTTPS证书进行公开审计.目前,大多CA都支持CT,在谷歌生态中,浏览器也广泛部署CT技术,但CT也引入了新的运行风险.本文从信任机制、安全威胁两个角度梳理了CT技术,归纳总结出基于CT的Web PKI信任模型和安全威胁模型,并提出安全保障机制及应用部署建议,最后对于CT技术的发展进行了总结和展望.     

基于P2P网络的Over-Issued CRL机制研究

目前关于公钥基础设施（public key infrastructure）中证书撤销问题的主要解决方案是使用X.509证书撤销列表（Certificate Revocation List）来定期发布证书状态信息。现有的发布机制存在CRL存储库峰值负荷过重,导致PKI部署成本过高的问题。通过对Over-Issued CRL模型和P2P技术的分析,给出一种基于P2P网络和Over-Issued CRL发布机制,它结合了上述两种技术的优点,有效降低了CRL存储库峰值负荷。     

基于PKI的网络边界安全监控方法

针对网络边界安全防御的需求和特点,提出一种基于PKI技术的网络边界安全监控方法。该方法结合基于PKI的身份认证机制、入侵检测技术与VPN技术,通过对网络流量和系统日志的关联分析,能够在实时发现入侵行为的同时,准确定位入侵来源并实时阻断攻击,相比通用的特征检测和异常检测方法具有更强的准确性和可用性。     

智能卡私钥文件潜在风险分析

在病毒、木马泛滥的情况下,智能卡终端的安全性得不到保障,因此在智能卡私钥文件的生命周期中(如产生、更换、撤销过程)仍然存在安全风险,导致以私钥安全为核心的各类PKI应用出现各种问题。为此,介绍原有智能卡安全体系,对私钥在整个智能卡生命周期中的使用进行研究,并对潜在的风险进行全面分析,提出一种基于生产公钥证书的智能卡私钥保护方案。