PKI和RBAC授权数字证书的设计与实现

设计并实现了授权证书(CA),扩展了数字证书的功能,利用ASN.1语法构造和编码证书授权扩展项,用RBAC中的访问控制信息为证书主体授权以实现证书对资源的访问控制。论述了该方式的优越性。该数字证书避免了传统方式的不安全因素。     

证书吊销的线索二叉排序Hash树解决方案

提出了公钥基础设施(publickeyinfrastructure,简称PKI)中证书吊销问题的一个新的解决方案--线索二叉排序Hash树(certificaterevocationthreadedbinarysortedhashtree,简称CRTBSHT)解决方案.目前关于证书吊销问题的主要解决方案有X.509证书系统的证书吊销列表(certificaterevocationlist,简称CRL)、Micali的证书吊销系统(certificaterevocationsystem,简称CRS)、Kocher的证书吊销树(certificaterevocationtree,简称CRT)及Naor-Nissm的2-3证书吊销树(2-3CRT),这些方案均不完善.在CRT系统思想的基础上,利用线索化二叉排序树及Hash树给出的新方案,既继承了CRT证明一个证书的状态(是否被吊销)不需要整个线索二叉树,而只与其中部分相关路径有关的优点,又克服了CRT在更新时几乎需要对整个树重新构造的缺点,新方案在更新时仅需计算相关部分路径的数值.新方案对工程实现具有一定的参考价值.     

高性能OCSP系统的设计与实现

在对在线证书状态协议(OCSP)深入分析的基础上,针对目前OCSP协议并没有规定响应器用来检索证书状态的信息源以及大量请求到达OCSP响应器易造成其崩溃等问题,利用CA证书库作为OCSP响应器的信息源并采用Hash表缓存机制、预签名技术和多线程机制,提出了一种高性能OCSP系统的实现方案.该方案极大提高了OCSP响应的正确性和及时性.     

一种基于概率可靠多播的MANET证书更新协议

完全自组织的密钥管理方案中证书库的更新策略只考虑了负载平衡，证书库更新效率不高。该文提出了一种基于概率可靠多播的证书更新协议。新协议包含两个阶段：更新信息传递和分布式更新服务。第1阶段在本地证书库中选取可靠并且在本地路由表中已具备路由信息的节点进行多播。第2阶段当未接收到更新信息的节点发送更新请求时，由目的节点的证书库中已经获得更新信息的节点来满足请求服务。它利用了现有的路由信息，降低了寻找路由带来的通信开销，通过将服务请求任务分散到网络中的多个节点上减少了证书颁发节点的负载，实现了负载平衡，同时可以预先概率分析其工作效率。     

PnP-PKI的研究

以PKI使用的大众化作为研究的主要目标,具体分析研究了PnPPKI的实现机制。首先分析PKI的一些具体现实问题,提出了PnPPKI需要解决的问题和实现目标;通过进一步分析一些具体服务定位协议和实现机制的优势和不足,提出了PnPPKI的实现机制,解决了普通用户使用PKI的透明性;最后通过对PnPPKI的测试与分析,证实PnPPKI能为非技术用户提供自动获取证书的方法,甚至用户没有意识到他们正在使用的证书,但用户能获知执行某件任务是否成功。这也为解决PKI使用的大众化提供了有价值的新思路。     

T.38协议栈中ASN.1模块的设计与实现

T.38协议栈作为IP网络传真代理的核心部分必须具有同时处理多个用户传真消息的能力,可见一个高效的ASN.1模块对T.38协议栈来说是十分重要的.然而,传统的ASN.1模块实现方案无法满足T.38协议栈在效率上的要求.本文在改进传统ASN.1实现方案的基础上,提出了一种T.38协议栈中ASN.1模块的设计方案.     

公钥基础设施中证书撤销机制的研究与改进

从证书序列号出发,引用位标识指针将证书序列号缩减,以减少证书撤销列表（Certificate Revocation List,CRL）所需空间,提高CRL的查询速度,并成功构造了一棵新型撤销证书查询树。该树既继承了证书撤销树（Certificate Revocation Tree,CRT)证明一个证书的状态(是否被吊销)不需要整个CRT,而只与其中部分相关路径有关的优点,又克服了CRT在更新时几乎需要对整个树重新计算的缺点。该树在更新时仅需计算相关部分路径的数值,加速了撤销树的更新速度。     

改进的线索二叉树在证书撤销管理中的应用

文中提出了公钥基础设施中证书吊销问题的一个解决方案--改进的线索二叉树解决方案.在CRT系统思想的基础上,利用改进的线索化二叉树给出新方案,既继承了CRT证明一个证书的状态(是否被吊销)不需要整个线索二叉树,而只与其中部分相关路径有关的优点,又克服了CRT在更新时几乎需要对整个树重新构造的缺点,新方案在更新时仅需计算相关部分路径的数值.     

网络电话中ASN.1编解码器的实现研究

简要介绍了抽象语法标记语言ASN.1,以及BER和PER编码规则,阐述了网络电话中H.323协议栈的ASN.1编解码器的设计与实现。     

LTE协议栈中ASN.1模块的设计与实现

开发长期演进(LTE)协议必须实现针对无线资源控制(RRC)消息的ASN.1编解码模块,但传统的ASN.1编解码方案函数调用频繁,编码效率较低。为此,分析LTE协议栈的软件需求,提出一种ASN.1编解码模块设计与实现方案。该方案采用模块化设计,从而简化函数调用、提高编码效率。在TD-LTE无线综合测试仪的协议栈软件中实现并进行测试,结果表明,该方案可实现对RRC消息的编解码。     

基于证书的无线认证协议的设计与分析

文章提出了一个基于数字证书的无线认证协议,实现了通信双方的相互认证,建立了一个经过双方确认的公正的会话密钥。通过BAN逻辑及各种可能的攻击分析,证明协议是安全的。     

轻量级目录访问协议在证书库中的应用

轻量级目录访问协议(LDAP)是互联网中的一门新技术,目录服务作为数字证书系统、统一认证和授权管理系统的核心基础设施,为公钥数字证书和公钥属性证书提供查询、证书废止列表查询.探讨了LDAP目录服务PKI/PMI中的应用方案,着重论述了如何建立证书库的应用.     

IPSec-VPN中应用PKI的研究与实现方案

基于IPSec的虚拟专用网（VPN）尽管极大地改进了传统IP协议缺乏安全机制的问题，但在复杂情况下仍会因身份认证不完善而影响网络的安全性，PKI是一套可公开信任的提供认证服务的安全平台，可提供身份认证和角色控制服务，该文分析了IPSec和PKI在安全上的技术特点，提出了一种将PKI认证技术应用到IPSex-VPN中加强身份认证和角色访问控制，进而完善VPN安全的方案。     

带有信任管理的漫游证书认证系统设计

利用漫游证书、私钥服务器和SSL协议构建了漫游证书认证系统，在客户浏览器上设计一个插件便可以使用现有的公钥基础没施PK1中的各种服务，没有VPN的复杂架构和高昂成本却可以到达到类似VPN的安全性。并在基于漫游证书认证系统的基础上增加了信任管理，解决安全系统中日益复杂的信任关系管理问题。     

IKE协议中的公钥证书的分析与实现

IKE协议是IPSec协议族中的重要组成部分，能够动态地建立和维护安全关联SA。它支持4种认证方法，其中的3种需用到公钥证书。对IKE中的公钥证书进行分析，指出需要建立一些机制来提高协议对证书的有效使用，在FreeS／W/AN基础上实现了一个简单的证书机制，用于对IKE相关部分的分析。这个证书机制也可用于独立的Intranet的IPSec应用。     

基于SSL的HTTP安全日志

SSL能够为电子交易提供认证性、私有性、完整性服务,却无法保证电子交易的不可抵赖性,无法为事后提供稳定的验证性。文章针对HTTP协议,在SSL基础上设计了SHL协议,有效地保证了电子交易的不可抵赖性。SHL协议工作在交易服务器和客户端,对交易请求和响应进行签名、验证、记录。SHL有SPC和SPS两个部分组成,SPC和SPS之间使用SSL安全通信。SPC对客户端请求签名,验证服务器签名;SPS验证客户端签名,对服务器请求签名。SHL为交易提供稳定的验证性,保证交易的不可抵赖性。     

802.11无线局域网的认证机制研究

详细论述了无线网络中的现存的和被提议的认证机制。对802．1X认证协议进行了分析，为了弥补802．1X协议的缺点，给出EAP—TLS交互认证协议，并结合实际运用对其进行了分析。     

基于CRT的gNB间切换认证方法与密钥协商协议

针对当前UE在gNB间的切换认证与密钥协商过程存在的只具有两跳前向安全性和易受拒绝服务攻击等问题,提出了一种基于中国剩余定理（CRT）的切换认证与密钥协商协议。该协议利用秘密共享原理,令源gNB和所有可能的目标gNB构成一个群体,把真实的参数作为“秘密”在源gNB和唯一的目标gNB间共享,使得关键参数NH和NCC能在源gNB和目标gNB间安全传输。实验结果表明,该协议是安全的,相比同类的改进协议具有效率优势。     

Experiences in developing a fair-exchange e-commerce protocol using common off-the-shelf components

Fair-exchange is an important property that must be ensured in all electronic commerce environments where the merchants and the customers are reluctant to trust each other. This property guarantees that none of the transacting parties suffer because of the fraudulent behavior of the other party in the transaction. In this paper, we describe our experiences in developing a new e-commerce protocol to address the problem of fair-exchange for digital products. The protocol is based on a novel cryptographic technique that we had proposed earlier. We show how to use common off-the-shelf software components to develop such a protocol.