浅析免撤销公钥框架(PKI)

数字签名通常作为不可反驳的密码学证据用于解决电子交易中的纷争,但是其可信的时间戳和证书撤销服务在实际使用中代价很高。免撤销公钥框架作为一种新的PKI使得终端用户可以控制他自己的公钥证书的有效性,使验证证书不需要折回到CA去获取证书撤销信息,从而降低其使用代价。     

基于CRL的证书状态信息发布机制的研究

随着数字证书不断的被接受和使用，人们从中获得了更大的动力寻找各种方法来撤销已停止使用的数字证书，并及时通知终端用户，避免他们使用已被撤销的证书。证书撤销的问题在广域网的PKI产品开发中愈加显得关键。文中阐述了证书撤销的需求与重要性，分析了目前被采用的各种基于CRL的证书状态信息发布机制，并着重讨论了MYPKI中Delta CRL的实现。     

证书撤销机制的分析与设计*

证书撤销管理是大规模公钥基础设施PKI中十分重要且耗费最多的操作。分析了在PKI实施中应用的证书撤销机制,比较了证书撤销列表CRL、增量CRL、分段CRL与重复颁发CRL在峰值请求大小、网络带宽影响、用户查询代价等方面的性能,指出了各种机制的优缺点,最后对不同PKI规模中的证书撤销系统进行了设计和性能分析。     

公钥证书与属性证书的结合——融合证书*

介绍了一种新的证书撤销方案——NewPKI证书撤销方案,运用这种新的撤销机制解决公钥证书与属性证书不能简单合并的问题。定义了一类新的属性——NewPKI属性,并且将NewPKI属性与X.509公钥证书相结合,从而提出一类新的证书——融合证书。融合证书保留与X.509 v3证书相同的证书格式,且能够将属性加到X.509身份证书中,它能够作为一个理想的机制来携带属性信息而不需要属性证书,在很多情况下十分有用。     

公钥证书撤销方法

分析了Internet公钥基础设施中公钥证书撤销的各种方法,研究了各种方法的优缺点。提出把前向安全数字签名技术应用于CA对撤销信息的签名的新方法,从而确保在CA的签名密钥泄露的情况下将损失减小到最小,新方法适用于现存所有证书撤销方案。     

公钥基础设施的架构及.NET下的设计开发

公钥基础设施(PKI)为保证网络的安全和通信的有效性，提供了可靠的环境。PKI使用公开密钥体制，为网络中各实体分发正确的公钥，从而各实体可以进行公钥加密和数字签名操作。文中介绍了PKI、CA及信任模型、证书库和证书的撤销机制，实现了基于.NET框架下的PKI应用系统的设计开发，并分析了在这种PKI应用设计中两实体间通信的过程。     

基于单向散列链的公钥证书撤销机制

证书撤销是公钥基础设施（PKI，Public Key Infrastructure）研究和应用的难点问题．本文首先讨论了当前应用最广泛的两类证书撤销机制一证书撤销列表（CRL，Certificate Revocation List）和在线证书状态罅议（OCSP，Online Certificate Status Protocol），剖析了这两种机制各自存在自的不足．在此基础上，提出了一种基于单向散列链的证书撤销机制．     

园区网PKI的设计与实现

大多数的安全应用现在都引入公钥密码算法,而公钥密码算法需要公钥基础设施PKI来支持公钥的分发。该文提出一种适合于园区网的单CA多RA加交叉认证的PKI模型的设计及实现。为了研究公钥证书管理流程,引进了证书生命周期,并讨论了园区网公钥管理中的交叉认证和证书撤销列表问题。     

抗签名密钥泄露的可撤销无证书签名

当用户的私钥泄露或使用权限到期时,系统如何撤销该用户是亟待解决的问题.这一问题在传统公钥系统TPKC和基于身份的公钥系统IBC下已有解决方案,然而在无证书公钥系统中,这一问题至今没有得到很好的解决.我们知道,无证书公钥系统没有庞杂的证书库和密钥托管问题,只是算法的计算量稍有增加,是TPKC和IBC之外的一种较理想的公钥系统,所以对它的撤销机制的研究十分必要.设计了一种可撤销的无证书签名方案,基本原理是:系统定期地给每个未被撤销的用户生成新的时间密钥,并通过公共信道传输给用户.相比现有的Al-Riyami和Paterson的撤销机制而言,该方案更加高效.同时,新方案达到了抗签名密钥泄露的安全性,且签名密钥的长度非常短.在CDH困难性假设下,该方案是UF-CMA可证明安全的.     

基于平衡二叉排序Hash树的证书撤销方案研究

分析了公钥基础设施PKI(Public Key Infrastructure)中公钥证书撤销的主要方法.提出了证书撤销平衡二叉排序Hash树的解决方案,从而克服了证书撤销树CRT(certification revocation tree)在更新时需要对整个树重新构造的缺点,新方案在更新时只需计算相关部分路径上的Hash值,缩短了平均查找路径长度,减小了目录服务器对提出证书查询成员的响应时间,减少了证书有效性验证的计算量.     

Windows PKI中黑名单查询模块的集成技术研究

数字证书状态的有效验证对于PKI应用而言是非常重要的。Windows PKI平台中自带的黑名单查询模块在功能上和本地化支持上存在不足，无法满足国内的PKI应用需要。本文分析了Windows PKI平台中的黑名单查询机制，提出了在Windows PKI下集成新的黑名单查询模块的方法，实现了对国内CA系统证书查询验证服务的支持，并可支持在线证书状态的验证（OCSP），新开发的黑名单查询模块能紧密集成到Windows PKI平台中，为基于Windows PKI的应用系统准确验证数字证书的合法性提供透明支持。     

基于UML构建PKI需求模型

本文以PKIX标准作为PKI的建设规范,在分析PKI需求的特点和构建需求模型的常用模式的基础上,提出使用UML的构件、参与者和用例三个概念为主体构建PKI需求模型,然后分析PKIX标准,定义出PKI需求模型所应当包含的构件、参与者和用例,最后确定PKI需求模型各个单元之间的关系,从部署和构件组合图、用例图和序列图三个视角实现PKI需求模型。     

PKI技术在IPSec系列协议中的应用

1 引言 PKI(Public Key Infrastructure)即“公共密钥基础设施”,是一个用公钥的概念和技术实施和提供安全服务的具有普遍适应性的安全基础设施,也是一个利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架。IPSec是网络层安全的事实上的标准,尽管IPSec协议在处理多播协议以及在B2B环境中使用保留地址组建VPN等方面还存在这样那样的问题,但它目前还是得到了广泛的应用,是IP层安全公认的标准,同时它也是目前广泛利用的VPN技术。     

PKI技术及其应用的分析

主要阐述构建网络安全基础与核心技术——公钥基础设施（PKI,Public Key Infrastructure）,它是解决网络交易和通信安全问题的一套完整解决方案。对PKI技术进行了全面的分析和总结,其中包括PKI组成、证书认证机构CA,给出了它的实际应用和发展状况以及未来的发展趋势。讨论了在我国开展PKI应用中存在的一些关键问题,并针对这些问题提出了推广PKI观念、规范PKI建设等相关的解决办法。     

基于路径发现的PKI扩展方法

ＰＫＩ的可扩展性主要是当证书服务用户的规模超出原有系统的容量时,能够通过增加ＰＫＩ管理实体的数量和层次来满足用户需求,并同时保证原有系统能够平滑地过渡到新的规模。本文探讨了ＰＫＩ管理域之内和之间可能的向下、平级和向上三种扩展方式,提出使用“路径发现”过程来减少ＰＫＩ扩展时对端实体的影响,从而提高ＰＫＩ服
服务范围的可扩展性。     

构建基于Windows .NET Server的企业PKI

Windows．NET Server的发布使企业可花费更少的代价自建PKI。文章介绍了PKI的组成,深入分析了Windows．NET Server内嵌的PKI,最后给出了具体实现。     

PKI的互操作与信任模型

首先明确公钥基础设施(PKI)互操作的具体含义,然后对PKI的基本信任模型进行了比较分析。在此基础之上,着重研究PKI的互操作模型,指出主要互操作动议的优缺点,进而得出实现PKI互操作的一些基本原则。     

WPKI与PKI关键技术对比

与有线网络相比,无线网络存在较多的环境制约,包括带宽窄、延迟大、稳定性差等;同时,手持设备存在诸如CPU功能弱、存储量小、功耗受限、显示窗口小等等问题。为了使公钥基础设施(PKI)应用扩展于无线环境,WAP论坛定义了无线公钥基础设施(WPKI)规范。WPKI的宗旨在于尽可能使用现有PKI协议,仅在需要时才定义新规范,对WAP PKI和PKI在应用环境、协议架构、数据及业务流程、加密算法、证书格式及协议标准方面进行了比较。     

基于PKI系统安全等级保护评估准则的评估方法

随着PKI的逐步发展，对PKI进行评估变得越来越重要，安全保护等级评估是PKI评估的一个重要方面。该文结合层次分析法、线性加权评估法，提出了一种PKI安全保护等级评估方法，对PKI系统的安全保护等级评估进行了探讨。     

电子商务平台认证中心的研究与设计

CA认证系统是PKI的核心组成部分,它负责为PKI中的实体颁发公钥证书。公钥证书是将实体的身份和公开密钥绑定在一起的一种数据结构,数字证书是整个PKI的核心技术,管理证书的证书系统就成为PKI的核心部分。