基于Web的证书管理系统的设计与实现

公钥基础设施PKI(Public Kcy Infrastructure)已成为当前解决信息安全问题的主流方法。如何构建安全可靠的证书管理系统是PKI技术的主要问题之一。从安全性和扩展性角度提出了一个基于Web的证书管理系统的框架模型，着重阐述了模型中证书数据处理和主要的证书管理机制，并讨论了实现证书管理系统的关键技术。     

证书验证树CVT的扩展

通过对证书验证树和证书吊销列表的比较，得出两者总体性能的一致性结论；通过一次性为签名人颁发更多的短时效证书，将证书验证树方案进一步扩展，得到的方案与前两个方案在性能上完全具有可比性，并且继承了原方案的大部分优点。说明在设计PKI系统时，可以在存储量、计算量和通信量3个复杂度指标之间做一调和，以达到不同的应用目的。     

基于OCSP的域间证书验证的研究

介绍了PKI中两种证书撤销方式以及它们的特点,分析了交叉认证中证书验证存在的问题。根据在线证书状态协议（OCSP）的要求以及使用穿越NAT技术,提出了一个不同信任域之间证书撤销信息的验证机制。     

基于移动代理实现证书状态确认的互操作

介绍了目前证书管理中状态确认的主流机制CRL ,OCSP ,CRT等 ,从实效性、可用性、可控性等方面分析了各种机制的优缺点 ,提出并分析了证书状态确认机制的互操作的架构 .并给出基于移动代理 (MA)技术实现证书状态确认机制灵活、透明的互操作运行模型 ,描述了异构分布系统、工具集、应用集的三层结构 ,定义了工具层各个模块的功能和作用 ,通过开放技术Java ,CORBA等实现系统的良好灵活性和互操作性 .最后描了述系统应用模型 ,完整刻画了基于移动代理实现证书状态确认机制互操作的实现     

证书验证服务及在下属层次信任模型下的实现

对基于服务器的证书验证协议(SCVP)作了简要介绍,分析了协议的优缺点.针对下属层次信任模型的特点,给出了此种信任模型下协议的一个模型系统设计与实现方案.     

一种利用随机Treaps进行证书吊销的方案

针对当前几种常用证书吊销方法的不足，提出了利用Random Treaps这种数据结构构造证书吊销树的新方案。其构造方法类似于2－3CRT，但实施比2－3CRT要简单得多，大大降低了查找和更新成本。新方案既继承了CRT证明一个证书的状态不需要全部CRT的优点，又克服了CRT在更新时几乎需要对整个树重新构造的缺点，对工程应用有一定的参考价值。     

CA中心证书撤销机制研究

本文分析了基于X.509标准的公钥基础设施数字证书授权机制,通过对PKI技术的阐述分析了在PKI系统中各种证书撤销方式原理、优缺点和适应的网络环境。     

基于增量CRL证书撤销机制的改进

文章提出了改进的增量CRL机制,在Delta-CRL的发布周期内,CA发布Base-CRL和Delta-CRL,用户除初始化外,其他时刻只下载Deha-CRL即可,可在客户端重构完整的CRL.与传统增量CRL相比,能够有效减少CRL的下载尺寸,降低通信载荷,提供更为及时的证书撤销信息,而不会增加平均请求率.     

基于IPv6对等网技术的资源共享方法

为了改善P2P（Peer-to-Peer）软件带宽消耗高、网络利用率低的问题,提出了将资源发现过程与资源共享过程分开执行的方法,并在IPv6环境下定义了两个私有协议P2PIEP（Peert-to-Peert Information Exchchange Protocol）和P2PDEP(Peer-to-Peer Data Exchange Protocol)。这两个协议分别服务于资源发现过程和资源共享过程。P2PIEP使用小世界模型,用于发现资源信息;P2PDEP封装在UDP（User Datagram Protocol）数据报中且具有较小的协议首部,从而达到提高网络利用率的目的。     

IPSec—VPN中应用PKI的研究和实现方案

本文分析了PKI和IPSec的技术特点，提出将PKI身份认证技术应用到IPSec—VPN通信中，加强了通讯过程的身份验证和角色属性的控制，解决了IPSec—VPN在大规模网络或者众多用户时的安全缺陷；另外还引入了PKI代理网关，简化了IPSec—VPN网关的设计。     

一种评估过量发布CRL机制的模型

分析了应用证书撤消列表(CRL)发布公共密钥基础设施(PKI)证书状态信息的传统模型,在此基础上,提出了一个评估回收策略的模型,该模型通过分析确认过程中的系统带宽和用户请求率等最重要的指标参数,对过量发布CRL的系统性能进行评估,本模型具有简单易用的特点,能对证书撤消机制进行高效的系统评估。     

一种新的PKI证书撤销机制

根据PKI证书撤销机制的评价标准，对当前几种证书撤销机制－分段式CRLs,Delta-CRLs和重叠发布CRLs进行了分析比较。针对这几种机制的优缺点，提出了一种新的PKI证书撤销机制－重叠发布滑动窗口分段式Delta-CRLs，分析了该机制的性能。该机制减小了信任方所需下载的CRL大小，降低了CRL库的峰值负荷和平均负荷，改善了时间碎片问题和可扩展性问题。     

一种有效的数字内容保护系统证书吊销问题解决方案

现有数字内容保护系统在处理设备吊销同题时,都要求在设备中维护一个完整的证书吊销信息列表,对设备存储量的要求很高并且具有可预见的不完备性.本文通过对设备生命周期内所能连接的其他设备的总数加以限制,在设备中只需维护本地的合法设备和不合法设备列表.设备维护的本地列表对存储量的要求是一个小的常数,系统在不增加计算开销的同时可以对吊销信息进行完备处理.所提出的方法可以在家庭网络中统一部署,用来实现对系统吊销问题的统一处理.     

基于对等网络的信任模型

在Client/Server网络架构得到普遍应用的格局中,对等网络却异军突起迅速发展。针对这种新兴架构提出了与传统架构不同的一种安全信任模型。它依据网络的推荐值建立节点间的信任关系,更好地保证网络的安全性和避免恶意攻击。给出了求解信任值的数学模型和具体算法,并对信任模型的安全性能进行了理论评测。     

关于财务信息系统网络的安全

对网络信息安全技术进行分析,提出使用公钥基础设施PKI技术来构架财务信息系统的安全体系．解决了财务信息系统中数据机密性、数据完整性、身份验证和不可否认性的基本安全问题。     

基于公开密钥基础设施的单点登录系统的设计

研究一种安全性高、应用范围广的单点登录系统.通过使用公开密钥基础设施和中间件技术,设计并实现了一种基于公开密钥基础设施的单点登录系统.通过实现授权应用登录代理、基于安全套接字层(SSL)协议的身份认证及登录凭证库的集中管理,能够完成对授权应用的安全、透明登录.构建了独立的认证机构(CA),不需要对现有应用做任何改动,就能实现一个安全、透明、使用方便的单点登录系统.     

基于SIP的P2P NAT穿越解决方案

NAT设备的广泛使用限制了很多P2P应用软件的使用,能否顺利地穿透各种类型的NAT是P2P软件成功的重要因素。提出了P2P的NAT 穿越方法,借助于SIP协议,不仅能顺利地实现UDP的NAT穿越,同时也能实现TCP的NAT无缝穿透,SIP 服务器只应用在穿透之前,连接建立之后即可独立工作,效率高。在各种NAT的分类的基础上,介绍了使用SIP协议实现UDP的NAT穿越的方案,提出了基于SIP的TCP的NAT穿越方案。