在线证书有效性验证方法研究与改进

针对公安系统对移动警务通在证书状态验证的要求,文章深入分析了传统的证书状态验证协议OCSP,针对协议的查询方法、协议的安全性、可扩展性和可用性进行了研究,并针对传统OCSP协议在证书验证方面的不足提出了解决办法。文章最后提出了一种采用LDAP的元素匹配技术对在线证书进行有效性验证的方法。     

基于OCSP协议的证书状态查询系统

证书状态查询是PKI系统中的一个关键问题,OCSP是解决这个问题的一种重要机制。本文分析并改进了OCSP协议,并在此基础上设计了一种高效的证书状态查询系统。文中对该系统的重要组成部分以及关键技术进行了详细的论述。     

无线PKI中证书状态查询机制研究与实现

无线PKI技术在移动电子商务中扮演着重要角色,而证书状态查询机制是其关键部件.对无线PKI中的3种常见的证书状态查询机制进行了分析和比较;OCSP协议能够提供实时的证书状态查询服务,但由于无线PKI的特殊限制,并不能直接应用于无线PKI环境中.在充分考虑无线PKI特殊的限制条件基础上,给出了一种基于OCSP协议的适合无线PKI环境的证书状态查询设计方案;详细描述了该设计在具体实现中需要特别注意的几项关键技术,以提高系统的性能和安全性.     

OCSP证书状态查询机制与实现

证书状态查询是公钥基础设施中最重要的问题之一,OCSP是解决这个问题的一种重要机制。文章分析了CRL协议、OCSP协议、状态缓存、线程池、预签名,设计了一种OCSP服务器的实现方法,详细描述了该设计在具体实现中需要特别注意的几项关键技术,以提高系统的性能和稳定性。     

高性能OCSP系统的设计与实现

在对在线证书状态协议(OCSP)深入分析的基础上,针对目前OCSP协议并没有规定响应器用来检索证书状态的信息源以及大量请求到达OCSP响应器易造成其崩溃等问题,利用CA证书库作为OCSP响应器的信息源并采用Hash表缓存机制、预签名技术和多线程机制,提出了一种高性能OCSP系统的实现方案.该方案极大提高了OCSP响应的正确性和及时性.     

OCSP协议分析和实现

对在线证书状态协议（OCSP）进行了详细分析，给出了协议有关数据的形式化描述，分析了协议的特点和局限性，并提出了OCSP的实现模式。     

关于OCSP应用模式的注记

文献《在线证书状态协议的改进及应用》提出了一个基于OCSP(Online Certificate Status Protocol,在线证书状态协议)查询的数字签名验证应用方案,这个方案的安全性与可行性是值得商榷的。该文给出了一种攻击方法,并分析了其中的几个问题及问题产生的根源;最后给出了一种解决方案。     

基于OCSP的证书状态查询机制研究与实现

证书状态查询是PKI中的一个十分重要的问题,OCSP是解决这个问题的一种重要机制。分析了OCSP协议,结合Hash快速查找、缓存设计、线程池和Linux内存管理的方法,在保证兼容性、安全性和正确进行数字签名的前提下,提出一种OCSP服务器的实现方法。最后,通过分析证明该系统缩短了平均签名时间,提高了性能。     

基于改进型OCSP的交叉认证方案

针对在线证书状态协议（OCSP）存在的安全、证书信息源及响应器寻址等问题,提出一种改进型OCSP协议以及一个用于交叉认证系统的设计方案。该方案提高了响应器的性能,在检测证书状态的同时还可建立证书路径并验证其是否有效,避免了因信任域结构不同产生的构建证书路径难的问题。     

WPKI中证书撤销验证的代理OCSP方案

在WPKI中,如何在无线终端设备中验证服务器证书是否撤销是一个复杂的问题。对此提出一种新的方案,称之为“代理OCSP方案”。它是对OCSP协议的改进,能够用较小的代价获得证书的实时状态。给出这种方案的详细设计,并和其他方案进行了比较。     

一种高效实用的证书验证机制的研究

在公钥基础设施当中,数字证书有可能在没有到期就要撤销它.PKI主要提供了两种证书撤销方法,就是周期性发布的证书撤销列表CRL和在线证书状态协议OCSP.详细地分析了CRL和OCSP两种证书撤销机制的优点和局限性,结合两者各自的优点,提出了一个高效实用的证书验证机制.给出了该机制的工作原理,并详细地介绍了的实现方法.     

PKI证书的撤销与验证

随着电子商务公司越来越多地使用数字证书 (由认证中心签发的电子身份证 )来保证在线交易的安全性 ,这一行为引发了对另一种安全性的需要 ,即对数字证书的有效性进行验证。因此 ,CA认证的一个重要操作就是验证用户的证书是否被撤销或者挂起。证书的撤销采用证书撤销列表 ,而用于验证证书状态的机制一般使用轻型目录存取协议或者在线证书状态协议。简要介绍了证书撤销列表以及基于轻型目录存取协议的目录服务机制 ,而重点讨论了基于在线证书状态协议的目录服务 ,并例举了一个在线证书状态协议的实际应用。     

Tracking adoption of revocation and cryptographic features in X.509 certificates

SSL certificates hold immense importance when it comes to the security of the WebPKI. The trust in these certificates is driven by the strength of their cryptographic attributes and the presence of revocation features. In this paper, we perform a historical measurement study of cryptographic strength and the adoption of revocation mechanisms in the X.509 SSL certificates. In particular, it provides a real-world picture of the adoption of new certificate features and pushing new changes to the WebPKI ecosystem. We analyze the features like Online Certificate Status Protocol (OCSP) Stapling, RSA public key collisions, and the strength of certificate serial numbers. We observe the improvement in the adoption and reliability of these features for 2011–2020. Our analysis helps in identifying weaknesses and negligence in certificate issuance practices of Certificate Authorities such as lack of revocation, weak serial numbers, and issuance of the same public key across different certificates for different entities on the web known as the public key collision problem. Our results show that there is an overall increase of up to 97% in the adoption of OCSP-Stapling and OCSP extensions. Along with this, there are also significant improvements in the certificate serial number length with the top 6 CAs in our dataset issuing the majority of certificates with serial byte count greater than 30. We also discovered 803 public key collision sets in our dataset. To distinguish public key collisions, we provide a working criterion to distinguish permissible, safe collisions from unsafe, risky ones. Analysis of these features holds immense importance as weakness in any of these features could allow an adversary to forge certificate(s) and conduct several attacks examples of which include Flame malware, breach of the DigiNotar and Comodo certificate authorities.

     

基于短消息的数字证书状态发布系统的研究

在任何一个基于公钥基础设施的安全应用系统中,数字证书的验证对保证系统的安全具有至关重要的作用。简要描述了因特网中通过OCSP进行在线证书状态查询的方法,说明了目前加密手机无法像因特网一样进行在线数字证书状态查询的原因,提出了一种基于短消息的数字证书撤销状态发布方案,有效地解决了无线环境中的数字证书状态验证问题,提高了加密手机的安全水平。     

A robust and flexible digital rights management system for home networks

A robust and flexible Digital Rights Management system for home networks is presented. In the proposed system, the central authority delegates its authorization right to the local manager in a home network by issuing a proxy certificate, and the local manager flexibly controls the access rights of home devices on digital contents with its proxy certificate. Furthermore, the proposed system provides a temporary accessing facility for external devices and achieves strong privacy for home devices. For the validation of delegated rights and the revocation of compromised local managers, a hybrid mechanism combining OCSP validation and periodic renewal of proxy certificates is also presented.     

基于数字证书X.509的身份认证系统的研究

该文依托校园网设计与实现基于数字证书X.509的身份认证系统。通过实施单点登录功能,使用户只需一次登录就可以控制访问其权限下的资源,提高系统易用性,安全性和稳定性。使用LDAP目录服务器提高了数字证书的查询效率。对传输数据加密,确保信息安全。     

OCSP协议的改进和实现

对标准在线证书状态协议(OCSP)进行分析,发现该标准协议存在一定的局限性。在此基础上对其进行改进,改进型OCSP响应包括基本类型OCSP回复和A类型OCSP回复。改进型OCSP响应器采用预签名技术,能提高性能且有效抵御重传攻击。对该响应器进行效率和安全性分析。实验结果表明,改进后的响应器的平均响应时间减少27%,提高了响应器的响应速度。     

一种改进的OCSP证书撤销方案

在WPKI中,无线终端设备必须验证服务器证书是否己经撤销.撤销验证是一个复杂的处理过程,因此要选择一个代价较小、简单可靠、适合无线环境的撤销验证方案.在已有的OCSP(On-line Certificate Status Protocol)方案基础上提出一种新的方案,称之为改进的OCSP方案.它是对OCSP协议的改进,能够用较小的代价获得证书的实时状态.给出了这种方案的详细设计,并和其他方案进行了比较.