公钥基础设施

摘要： 随着智能网联汽车和现代信息技术的迅猛发展,车联网逐渐成为影响国计民生的重要网络形式之一。车联网的安全问题涉及国家数据主权、公民隐私以及行驶安全。首先,分析了车联网的网络特点及安全需求,介绍了国内车联网安全领域的学术成果,指出了车联网安全互信体系建设的紧迫性;其次,提出了一种基于V2X的安全证书管理系统,描述了其组成框架。在此基础上,针对车联网存在众多独立公钥基础设施系统的情况,勾勒出车联网互信互任体系架构;最后,对全文进行了总结,并对未来车联网安全的发展进行了展望。

摘要： 公钥基础设施(PKI)作为互联网空间安全基础设施的重要组成部分,为互联网的信息传输提供必要的真实性、完整性、机密性和不可否认性。现有的公钥基础设施存在证书颁发机构权力过大、吊销查询困难等问题。随着区块链技术的发展,可以利用区块链技术去中心化、透明度高、结构扁平等优点来解决上述公钥基础设施存在的问题,提高整个互联网建立信任关系的能力和效率。因此,提出基于区块链的高透明度PKI认证协议。该协议通过加入门限签名技术提出了改进的实用拜占庭容错共识算法(TS-PBFT)。TS-PBFT算法降低了原有实用拜占庭容错(PBFT,practical Byzantine fault tolerance)共识算法的通信复杂度,减少了通信开销;TS-PBFT算法在视图切换协议的主节点选举引入了外界监督机制,增加了可监管性;TS-PBFT算法在快速一致性协议中引入了批处理机制,提升了共识过程的性能。该协议一方面在提出的PBFT算法的基础上引入了区块链技术,提升了证书吊销查询的安全性,并引入了计数布隆过滤器,提升了证书查询的效率;另一方面,该协议在证书的生命周期管理中增加了证书审计流程,对证书颁发机构的行为做出监管,促使其提高安全标准,达到限制其权力的目的。安全性分析和效率实验分析表明,所提协议系统具有抵抗伪装申请证书攻击等安全属性,与已有PKI协议相比在TLS/SSL握手耗时上具有优势。

摘要： 作为未来固网、移动统一的核心网络架构平台,IP多媒体子系统(IP Multimedia Subsystem,IMS)的安全性问题不容忽视。标识密码技术基于双线性对的标识密码算法,利用用户身份作为公钥,实现用户身份和公钥的天然绑定,构建相对简化、复杂度低的公钥密码体系,在数字签名、数据加密等方面具有天然的优势。通过对分布式标识密码机制进行研究,基于IMS网络设计私钥安全分发、终端入网认证、业务密钥协商等工作流程,有效解决IMS网络的安全防护问题,最后对方案的安全性进行了评估分析。

摘要： 随着5G/6G移动通信技术的发展,车联网对于车辆对基础设施、车辆对车辆之间快速交换信息的要求明显提高。然而,在5G/6G网络切片技术中,不同的网络切片采用不同的密码体制,从而会形成异构网络通信。异构车联网可以实现车辆信息的即时共享,但开放的无线通信通道使车辆隐私信息易被泄露,这需要保证共享数据的机密性和完整性。提出一种隐私保护性异构聚合签密方案。该方案使用异构签密技术,在公钥基础设施和基于身份的密码系统(IBC)网络切片环境中可实现不同密码系统注册车辆之间的异构安全通信,同时采用聚合技术,在IBC环境中的车辆将接收到的密文消息进行聚合并对其解密。为确保解密后的密文消息完整,接收车辆对消息进行批量验证,以减少解签密过程所需的时间及传输量。在随机预言模型下,该方案对适应性选择密文攻击具有不可区分性,对适应性选择消息攻击具有存在性与不可伪造性。实验结果表明,相比基于边缘计算的无证书聚合签密方案与车联网高效签密方案,该方案在发送车辆对消息进行签密的阶段中所用时间减少了18.91%~63.12%,在接收车辆对密文进行解签密的阶段中所用时间减少了5.91%~33.66%,具有较高的计算效率。

摘要： 随着信息技术的发展,万物互联成为当今科技领域的主流发展方向.在物联网设备节点日益增加的同时,物联网的安全认证问题变得日益突出.近几年,物联网的信息安全问题频出,大量的微型物联网设备缺乏网络认证机制.基于传统PKI机制的电子认证和密钥管理服务,需要复杂的数字证书管理机制,消耗大量的计算和网络资源,难以适用于物联网应用场景.相较于传统的认证方案,对于物联网设备而言,隐式证书方案在内存占用和计算量上更符合内存和计算资源受限的物联网应用环境.分析了物联网场景下PKI技术的局限性;研究了适合物联网应用的隐私证书机制以及基于商密SM2算法的隐式证书机制;讨论物联网中PKI技术的一些挑战和建议.

摘要： 为保障异构环境网络通信安全,借鉴异构签密和数字签名思想,提出了异构数字签名的概念.基于双线性Diffie-Hellman困难问题,提出了安全的公钥基础设施PKI与基于身份加密IBC之间的双向异构数字签名方案,该方案支持正确性、不可伪造性和不可否认性.基于双线性Diffie-Hellman困难问题和随机预言机模型,又提出了不可伪造性的安全证明模型,该模型包含初始化参数阶段、询问阶段和伪造阶段.基于此模型,证明了所提方案的不可伪造性.最后,对性能进行了分析,结果表明,提出方案的计算量较少.

摘要： 信任模型是建立公钥基础设施信任体系的基础,决定着在构建整个PKI信任体系及进行跨域认证的技术框架.在车联网V2X PKI体系中,建立不同CA之间的信任模型,解决CA之间的互信互认是车联网V2X PKI大规模商用必须解决的问题.文章通过深入分析常见的几种CA信任模型的基础上,结合欧美V2X PKI信任模型的比较,并结合我国PKI标准及行业发展现状,对我国V2X PKI的网络信任模型进行了分析并提出建议.

摘要： 现有公钥基础设施(PKI)存在跨域身份认证难的问题,本文通过分析现有PKI信任模型,利用桥CA信任模型的优点,结合区块链具有数据不可篡改、分布式去中心等优点,将跨域认证技术与区块链技术相融合,提出一种基于区块链技术的跨域身份认证解决方案,方案设计了区块链的信任模型(BCBCA)和系统架构,通过改进X.509证书设计出区块链证书,制定了用户跨域认证协议与重认证协议流程,并对安全性进行了分析.分析表明,该方案具有较好的扩展性、安全性、可靠性,能实现域间高效、安全的跨域认证.

摘要： 现有PKI、IBC认证技术与SSL/TLS通信协议已不能满足当今网络空间新兴信息产业的毫秒级信息安全需求.针对新兴信息产业的毫秒级通信安全问题,以CFL为原点技术,并基于CFL_BLP模型给出CFL SSL协议及其形式化描述,从协议层面上证明该协议可实现毫秒级双向认证、通信的机密性和完整性保护、自主可控以及防止中间人攻击等信息安全属性.实验结果表明,与SSL/TLS协议相比,该协议的可用性和安全性更高,且能够满足各种新兴信息产业通信机制的毫秒级信息安全需求.

摘要： 公钥基础设施(public key infrastructure,PKI)是基于公钥密码加密技术和数字证书来提供系统安全服务并验证用户身份合法性的一种体系.在系统介绍PKI体系结构及相关技术实现原理和功能特点的基础上,从网络攻击与防御角度,重点分析RSA算法、USBKey数字证书和证书颁发机制(certificate authority,CA)存在的安全问题,提出相应的解决方法和思路.同时,着重从技术和管理2个层面分析数字证书从申领到应用全过程中存在的安全风险,并有针对性地给出具体的应对策略.

摘要： 公钥基础设施(Public Key Infrastructure,PKI)在公钥密码学的理论基础上,主要解决密钥认证的问题.在PKI系统中,由证书认证中心(Certificate Authority,CA)验证Web服务器的身份并签发数字证书,绑定服务器身份信息和公钥.当浏览器和Web服务器建立SSL/TLS连接时,服务器会将自己的订户证书以及一个或多个中间证书发送给浏览器,浏览器利用自身维护的一组根证书列表验证从根证书到订户证书的信任链,获取Web服务器的公钥,建立加密连接.然而,CA可能由于各种原因签发虚假证书,使得证书中绑定的公钥不可信.为了解决此类安全问题,产生了大量新的PKI研究方案,本文将现有的主流方案进行分类整理,详细地梳理了它们的功能和不足.

摘要： 电视台IT化发展在提高生产效率的同时,在数据可信性等方面也带来新的挑战,如何确保台内数据在制播体系内的各个环节安全交付已成为保障电视台安全播出的关键因素.本文介绍可信环境构建的基本理论,阐述公钥基础设施体系的组成及架构,论述数字签名和数字信封技术的原理和实现方法.

摘要： 结合实际应用,介绍了在电子招投标系统中如何应用PKI/CA(公钥基础设施/证书授权机构)技术加强系统的安全性.综合运用数字证书的认证、签名与加密功能,实现了身份确认、标书加密和解密的业务需求;通过在客户端对标书文件的数字运算、开标过程的对称密钥的加密处理,增强了投标信息在网络传输、服务器存储、标书解密过程等方面的安全性。

摘要： 本文仅从分析我国互联网是否已经广泛采用PKI技术来评估中国互联网是否安全，主要从SSL证书、浏览器不信任的自签证书等方面的问题来分析中国互联网的安全风险。PKI(Public Key Infrastructure，公钥基础设施)，是保障互联网安全的唯一可靠技术，其核心应用之—是“加密”，核心应用之二是数字签名，通过对所有通信、电子邮件、软件等进行加密，来保护信息的安全。

摘要： 随着我国道路基础设施建设及智能交通的快速发展,面向智能运输系统的信任体系研究成为一个重要的研究方向.本文立足于对国内外信息安全应用现状的分析,提出以面向智能运输系统的公钥基础设施为基础,构建面向智能运输系统的信任体系,实现智能运输系统中车-车、车-路以及车-人的安全通信与协调.

摘要： 本文以基于专利地图理论对PKI（公钥基础设施）技术进行专利可视化分析，剖析浙江大学图书馆为企业提供竞争情报知识服务过程的案例，探索研究型高校图书馆提供企业竞争情报产品的专利地图的理论和方法、数据来源和专利分析软件，构建为企业提供竞争情报信息服务的模式。通过分析，可以发现PKI技术领域的专利申请量一直处于较平稳增长并有所回落的状态，表明这已是一个非常成熟的技术。从世界范围看，美国、韩国、日本、中国、欧洲、德国、英国、加拿大、中国台湾和澳大利亚该技术领域中有较强的技术优势。日立集团、IBM、日本电气公司、三星电子有限公司等公司和研发机构十分关注这一领域技术的发展，它们围绕着PKI技术申请了较多的专利，走在了其他企业的前面，是该技术领域中实力最强劲、最值得关注的专利权人。

摘要： 信息安全作为交通运输行业信息化建设的基础保障手段，对保障交通运输又好又快发展具有重要意义。从行业总体信息安全需求的特点、已有安全机制存在的问题和行业信息安全建设存在的普遍问题3个方面进行分析，归纳并总结现阶段行业信息安全所面临的主要问题，同时结合未来物联网对行业信息安全建设的潜在影响，初步探讨并提出通过行业统一的密钥管理和公钥基础设施解决交通运输行业信息安全问题的方法。

摘要： 本文提出了一种基于区块链技术构建PKI数字证书系统的方法,利用区块链去中心化、不可篡改等特点,解决了传统PKI技术中存在的单点失败问题以及多CA互信难等问题,可降低传统PKI技术中CA中心建设、运营及维护成本,提高证书申请及配置的效率,提升用户使用体验.该系统作为安全基础设施可以应用于多个领域,如4G小基站设备认证、网络切片认证、多CA互信等.

摘要： 本文提出了一种基于区块链技术构建PKI数字证书系统的方法,利用区块链去中心化、不可篡改等特点,解决了传统PKI技术中存在的单点失败问题以及多CA互信难等问题,可降低传统PKI技术中CA中心建设、运营及维护成本,提高证书申请及配置的效率,提升用户使用体验.该系统作为安全基础设施可以应用于多个领域,如4G小基站设备认证、网络切片认证、多CA互信等.

摘要： 本文提出了一种基于区块链技术构建PKI数字证书系统的方法,利用区块链去中心化、不可篡改等特点,解决了传统PKI技术中存在的单点失败问题以及多CA互信难等问题,可降低传统PKI技术中CA中心建设、运营及维护成本,提高证书申请及配置的效率,提升用户使用体验.该系统作为安全基础设施可以应用于多个领域,如4G小基站设备认证、网络切片认证、多CA互信等.

摘要： 本发明实施例公开了一种公钥基础设施的公钥处理方法及装置，所述方法包括：获取公钥；确定所述公钥的状态标志；生成包括所述公钥及所述状态标志及账号标识的区块链证书；将所述区块链证书广播到区块链网络，其中，所述区块链证书，用于在通过所述区块链网络验证之后写入区块链的区块中。

摘要： 本申请公开了一种公钥基础设施管理系统和相关装置，该方法包括：公钥基础设施管理系统包括业务应用程序和公钥基础设施管理模块，业务应用程序接收终端应用程序发送的公钥基础设施请求，根据公钥基础设施请求和对应规则向公钥基础设施管理模块发送公钥基础设施请求，公钥基础设施管理模块根据公钥基础设施请求进行公钥基础设施处理。可见，新增公钥基础设施管理模块实现多个终端应用程序对应的业务应用程序的公钥基础设施功能，减轻业务应用程序的功能需求，降低原有业务应用程序实现证书管理和密钥管理等各方面管理功能的基础模块的开发难度，且业务应用程序的升级维护不涉及公钥基础设施管理模块，避免数字证书和密钥等数据丢失。

摘要： 本发明公开了一种基于区块链的资源公钥基础设施的资源冲突检测方法，目的是提高资源证书颁发过程中资源冲突的检测效率。技术方案是构建由资源颁发者、资源交易应用客户端、资源接收者、区块链网络组成的基于区块链的资源公钥基础设施系统，资源交易应用客户端由资源交易模块、资源证书生成模块、显示模块组成；构建资源交易结构和资源树；资源颁发者的资源证书生成模块颁发RC，对RC资源进行冲突检查；区块链的智能合约或链码对RC颁发交易进行资源冲突检查；资源颁发者的资源证书生成模块颁发ROA，对ROA资源进行资源冲突检查；智能合约或链码对ROA颁发交易进行资源冲突检查。本发明能提升资源证书系统的自身安全性，检测效率高。

摘要： 一种基于区块链的资源公钥基础设施的证书交易验证方法，目的是避免交易时产生冲突或非法交易而导致出现的安全威胁，提高安全性。技术方案是：构建由资源颁发者、资源交易应用客户端、资源接收者、区块链网络、验证节点组成的资源公钥基础设施RPKIB系统；将资源证书以及路由起源授权ROA的操作设计为交易，资源颁发者发起的各种资源交易操作都作为交易向区块链网络提交，验证节点运行智能合约对交易进行验证，区分操作是授权机构的恶意行为，还是正常操作。本发明可有效提升基于区块链的RPKI的安全性，有效避免在RPKIB系统中，各种资源交易在区块链中交易产生的资源冲突以及资源颁发者提交不合法交易，导致某些合法路由不合法的安全威胁。

摘要： 本发明实施例公开了一种公钥基础设施的公钥处理方法及装置，所述方法包括：获取公钥；确定所述公钥的状态标志；生成包括所述公钥及所述状态标志及账号标识的区块链证书；将所述区块链证书广播到区块链网络，其中，所述区块链证书，用于在通过所述区块链网络验证之后写入区块链的区块中。

摘要： 本发明提供一种基于公钥基础设施的可重用公钥证书方案，该方案包括步骤：(1)申请者将用户主公钥和申请者的相关信息提交给认证机构，认证机构认证通过后发布由认证机构签名的用户主公钥证书；(2)申请者自行生成用于具体应用的应用用户公钥和应用公钥验证信息；(3)消息发送者对应用用户公钥的归属进行验证，若验证为申请者所有，则消息发送者利用应用用户公钥进行相关公钥密码运算；(4)申请者利用应用用户公钥对收到加密消息进行解密，或者是利用应用用户公钥对应的私钥进行数字签名。本发明的公钥密码系统使用非常方便，不仅安全程度高，而且还大大提高了公钥基础设施中证书签发者(CA)的工作效率。

摘要： 本发明涉及一种用于技术设施的公钥基础设施的软件数据库。提出技术设施的控制系统(1)的一种服务功能(6、9)，该服务功能设计用于在至少一个设施部件的证书申请时在技术设施的至少一个注册机构(11、12)与至少一个设施部件之间调解，其中，至少一个设施部件已经是技术设施的一部分，或者设置为集成在技术设施中，并且其中，服务功能的调解至少是：识别技术设施的负责至少一个设施部件的注册机构(11、12)，并且将至少一个设施部件的证书申请转发到相应的注册机构(11、12)，其中，注册机构(11、12)被设计和设置用于，将证书申请转发到技术设施的认证机构(14)。

摘要： 本发明属于密码的技术领域，具体为一种基于区块链和属性签名的分布式公钥基础设施方法。本发明将传统公钥基础设施的单节点CA变成布置在区块链上的协同进行证书颁发/验证的多节点CA，并引入了基于属性的签名与零知识证明等密码学算法，使得证书代表的身份更为细粒度；本发明方法包括：系统初始化，用户初始化，签名颁发证书，证书验证，证书撤销等步骤；本发明是通用的方案，适用于各种基于证书的身份认证场景，并利用属性所涵盖的广度使得身份更为立体,同时整个方法具有细粒度的身份认证以及一定的容错性，本发明结合非交互式零知识证明实现了证书的不可否认性，扩展了本发明的应用广度。

摘要： 本发明公开了一种从无证书到公钥基础设施的在线离线签密方法，包括系统参数初始化；生成基于无证书环境的密钥和生成基于公钥基础设施环境的密钥；CLC环境的发送端利用系统参数和自己的私钥，通过指数运算和点乘等运算，得到离线密文η；根据离线密文η、消息m，发送端的身份信息、公钥、接收端的身份信息，发送端通过异或运算和哈希等轻量级运算，得到在线密文δ；PKI环境的接收端根据在线密文δ，发送端的身份信息和公钥以及接收端的私钥，通过双线性对运算、异或运算、哈希运算和点乘运算计算出验证等式；若验证通过，则接收这个密文并输出消息m；否则，拒绝该密文并输出错误符号。与现有技术相比，本发明通信双方能够在异构的系统下进行安全通信。

摘要： 本发明公开了一种基于资源公钥基础设施区块链的路由器证书颁发方法，以实现基于区块链的EE证书颁发。技术方案是：构建由安装有资源交易应用客户端的资源颁发者和资源接收者、区块链网络、验证节点组成的RPKIB，资源交易应用客户端的资源交易模块将颁发、撤销、获取EE证书的操作转化为区块链上的交易，根据验证结点的共识结果判断交易是否成功；验证节点运行资源证书交易智能合约对EE证书交易进行验证，运行共识算法对EE证书交易达成共识；路由器通构建和更新EE证书列表，根据EE证书列表查找对应EE证书，获取EE证书公钥，验证路由路径签名数据正确性；采用本发明能成功完成EE证书的颁发，支持域间路由协议的路径认证。