PKI认证模型的现状与发展

认证系统大多基于PKI基础,作者在系统的分析和比较成熟的基于PKI的认证系统的基础上，结合认证系统及其应用需求的发展研究，提出PKI认证的一种新的设计模型。     

PKI信任模型研究及其在铁路中的应用

介绍公钥基础设施(PKI)信任模型的相关概念,研究分析当前一些主流的PKI信任模型的特点和适用范围.重点研究铁路TMIS的安全平台的信任模型及其构造.对多种可能的PKI安全平台的互联模型进行比较研究,结合铁路实际情况,提出一种适合铁路的PKI安全平台递次建设的互联模型.     

客运专线运营调度系统中CA认证中心的设计

介绍PKI/CA的基本概念,针对客运专线运营调度系统提出一种CA结构设计,同时应用面向对象的Java鳊程语言,给出用根证书验证实体证书的一个应用实例.     

PKI交叉认证互通模式概述

我PKI体系正处于起步阶段，各家CA中心有待实现认证的交叉互通，为进一步走向国际奠定基础。文章采用逐步深入的方式论述了PKI的基础技术，探讨了各种PKI信任模型的特点，并对我国PKI交叉认证互通提出了构想，最后展现了我国PKf产业发展的美好前景。     

PKI技术增强3G安全性研究

3G系统执行认证与密钥分配协议,在移动台和服务网络之间进行双向认证,在互相确认对方身份的基础上生成数据加密密钥CK和数据完整性密钥IK。3G安全体系的鉴权认证阶段是其薄弱环节,针对其缺陷,结合PKI技术,提出基于SSL握手协议的鉴权认证方案。在3G网络中加入认证中心及注册中心,用于验证用户身份、发放和恢复证书。针对无线终端特性,为服务器端使用的证书定义一个新的PKI证书格式———WTLS证书,并使用短时效证书SLC作为验证证书有效期的方案。该认证方案可以与3G现有安全模式并行,建议3G设置双模式认证方式来提高其安全强度。在无线终端侧实现了用户证书的存储管理,从而实现了加解密、数据完整性保护等各方面的功能,验证了基于SSL握手协议的鉴权认证方式是可行的。     

基于Chebyshev多项式的公钥加密和密钥交换方案的改进

构成一种公钥加密方案的关键是找到一个带陷门的单向函数。Kocarev利用Chebyshev映射的半群特性，提出了一种混沌公钥加密方案。但是经分析发现其是不安全的，由于三角函数的固有周期性，使得攻击者很容易破解，攻击者在已知密文的条件下很容易解出明文。基于此，提出了一种改进方案。该方案将Chebyshev多项式的状态空间扩展到实数域，从而利用Chebyshev多项式的半群特性构成具有单向带陷门的公钥加密算法，同时又可以避免上述已知密文的攻击。经过对其性能的研究发现，新方案是安全有效的；同时提出基于这种扩展的Chebyshev多项式的半群特性的密钥交换方案。     

基于PKI的认证策略

PKI是目前保障网络安全最有效的实用密码技术,CA是其技术实现的关键.本文探讨了CA的严格层次结构、水平交叉结构及桥式结构的优缺点,并提出CA的构建原则.     

基于无证书公钥密码的铁路通信网访问控制方案研究

基于无证书公钥密码技术的铁路通信网访问控制，能够在显著降低系统开销、快速响应网络访问控制的同时，解决加密访问控制信息的公钥的真实性无法保证的问题。研究过程中使用了无证书公钥密码（CL-PKC，Certificateless Public Key Cryptography）技术和基于角色访问控制（RBAC，Role-Based Access Control），保证系统不被非法操作，相较于使用证书的密码技术，减少系统确认信息真实性的时间。此研究使得铁路通信网的访问控制实现了信息真实性和效率的充分兼顾，能够简单、高效地实现对铁路通信网内信息的保护，满足应用要求。     

“北京交大-北京握奇数据安全联合实验室”揭牌仪式化北京交通大学举行

2008年7月2日，北京交通大学和北京握奇数据系统有限公司在北京交通大学举行了“北京交通大学-北京握奇数据安全联合实验室”揭牌仪式。联合实验室是由北京握奇数据系统有限公司出资，北京交大和北京握奇双方联合建设成立的。联合实验室主要服务于本科和研究生信息安全方面的教学、科研和创新实践活动。实验室已开设密码学、PKI技术、智能卡技术、身份认证与访问控制、生物识别技术和网络攻防技术等多门实验课程。今后，双方还将在智能卡与数据安全、网络银行和移动支付领域开展进一步的合作研究。     

“北京交大—北京握奇数据安全联合实验室”揭牌仪式在北京交通大学举行

2008年7月2日,北京交通大学和北京握奇数据系统有限公司在北京交通大学举行了北京交通大学—北京握奇数据安全联合实验室揭牌仪式。联合实验室是由北京握奇数据系统有限公司出资,北京交大和北京握奇双方联合建设成立的。联合实验室主要服务于本科和研究生信息安全方面的教学、科研和创新实践活动。实验室已开设密码学、PKI技术、     

对TSS数字程控交换机几个问题的探索与实践

TSS(Telecommunication switch system)程控交换机是由铁道部此进的德国PKI公司生产的铁路专用交换机。自1995年11月上海地区程控交换网开通投入使用后，对促进本地电话交换网的使用、提高电话交换的接通率发挥了高教的作用，并使交换设备的技术升级实现质的飞跃。我段承担着上海地区周边五个程控总机、一个程控模块局的管理和设备养护工作。上海地区程控网开通后，发现该交换机在软件设置与硬件配置上有不少需改进的地方。如：局数据设置、用户等级表格设置不合理，     

基于PKI的简化安全策略研究

从铁路信息系统当前的特点及未来的发展趋势出发,以PKI为基础对简化安全策略进行研究,提供一种适用于铁路系统的安全策略,可以在基本不增加系统额外负担的前提下满足安全需求.     

南京轨道交通线网AFC系统的数据传输

阐述数据传输是轨道交通自动售检票系统（AFC）的基础和必要条件,数据传输系统的安全性、可靠性、快速性会直接影响轨道交通AFC系统的性能。在轨道交通线网AFC系统的体系框架下,分析AFC数据传输系统的功能和性能需求;在比较各种数据传输方式的基础上,提出南京轨道交通AFC系统数据的传输方案,同时给出基于PKI的数据传输安全方案。     

NTRU译码错误研究

NTRU[1,2]是一种建立在环上的新型公钥密码体制,其理论安全性依赖于格上的难题。实验表明NTRU的运算速度远远快于RSA[2]。但是,如果NTRU的参数选择不当,那么在解密的过程中可能发生译码错误[3]。本文首先分析了译码错误产生的机理,然后在分析的基础上提出了保证无译码错误发生的NTRU参数选择的理论界。在此基础上设计了一种可以有效纠正NTRU译码错误的“补偿算法”,这个算法优于现有的NTRU纠错算法。最后给出了在NTRU推荐参数下译码错误的实例,并利用“补偿算法”对该错误进行了纠正。     

铁路客票系统电子支付关键技术的研究

铁路客票发售电子支付的关键在于保证电子交易的安全性。PKI、数据库审计技术、数字时间戳技术、业务流程控制、访问与控制技术、虚拟技术等是构建电子支付平台的技术基础。在电子支付相关关键技术的基础上,对构建铁路客票发售的电子支付关键技术进行深入研究,并以此为基础优化业务逻辑,保证铁路客票发售电子支付的安全性。     

铁通调度指挥平台中的CA系统设计

针对传统CA系统构造复杂,技术要求较高等造成CA认证不能普及应用的特点,提出了一种基于linux平台上Openssl技术和JSP技术的CA认证系统的设计和实现方案.对传统CA系统的证书申请审核和证书生成作了整合,结合Linux平台的Openssl对证书CRL列表产生进行了改进.从而使得系统易于搭建,复杂度小,便于在铁通调度指挥平台中大范围推广.     

轨道交通联网AFC系统设备认证管理研究

设备认证是保证轨道交通AFC系统中信息资源正确、安全及可靠使用的前提条件。设计了三级设备认证体系的总体方案,分析设备认证系统中数字证书和黑名单服务的功能等,阐述AFC系统设备管理的总体流程。分析设备启用、设备停用、设备移动、设备丢失等设备认证管理业务。最后,详细设计了设备双向认证流程。     

铁路信息系统安全体系研究

分析中国铁路信息系统的安全现状和面临的信息安全威胁,提出铁路信息安全系统的顶层建设构思,构建基于铁路安全管理中心和PKI/CA认证中心支持下的安全应用环境子系统、区域边界防护子系统、通信网络防护子系统三重防护技术体系,以客票系统为例检验该体系的适用性。     

数字证书的使用

阐述了数字证书的基本原理、概念及对一些问题的解决方法和在实际中的一些应用。     

基于Chebyshev多项式的公钥系统

通过对2种已提出的基于有限域上Chebyshev映射的公钥方案的研究,发现这2个方案的共同问题,通过改变参数选取的条件和增加逆元存在的条件,给出了改进的公钥加密方案,并对改进后方案的合理性、可行性和安全性进行分析,给出了快速实现的算法。