现有互联网因最初缺乏安全性设计而易遭受攻击,要实现网络可信,最根本是要实现网络实体身份持有和使用的可信追责。也即网络身份和所进行的网络行为能够真正追责到其所有者,才能避免各种欺骗攻击,保证网络实体可信和网络行为可信。可信网络依赖于网络身份的可信管理,它首先为每个网络身份赋予公钥,通过密码认证加密等手段,为所有身份的分配、认证、授权和使用等网络行为附加可信证明,实现通信与服务的可认证性、完整性和机密性,最终实现网络实体与行为的可信可追责。当前现有的网络身份可信管理多依赖传统的公钥基础设施PKI,身份持有者被分配身份标识的同时,需要利用第三方CA为其签署证书。它在网络控制层面和网络应用层面都存在一些问题:(1)相对分散的网络应用层面服务实体身份管理中,CA的安全可信问题突出,证书的签发和撤销易被恶意利用,难以监管;(2)而依赖集中式信任机构的安全身份管理方案往往不透明,缺乏审计,中央集权存在职权滥用的弊端;(3)证书管理复杂导致在网络控制层面的可布署性降低,复杂的证书查询和验证给网络带来了很大速度时延和性能损耗;带外安全加固的方式使得原有协议更加复杂。针对上述问题,本文首先将新型信任体制——区块链引入到网络实体身份管理当中,分别在服务证书和互联网编号管理方面,设计有效安全的管理机制和基础设施,其次将新型密码体制——身份基密码应用到网络身份管理中,重点研究密钥撤销问题,进一步为域间路由安全设计新的基于身份基密码的路由认证授机制。本文的主要研究工作和贡献包括:1、提出一个基于公开区块链的可扩展撤销和证书透明方法BRT来增强SSL PKI的安全性,从而有效地处理诸如证书撤销和更新、证书监管、证书透明性证明。通过一个链上审计机制和链下存储/计算机制,BRT不需要直接在区块链上记录证书,仅在链下记录附加的、可审计的公共日志和撤销信息。BRT能够抵御恶意操纵,DDos和镜像世界等攻击,通过受激励的日志监控和行为异常报告机制,实现经济有效的证书签发透明和撤销更新。2、针对集中式信任机构互联网资源实体编号管理缺乏审计的问题,提出了一个值得信赖的基于区块链的互联网编号管理基础设施BGPCoin。它通过分散的基础设施记录互联网号码分配和授权,并通过跟踪号码资产的所有权和使用权的变化,支持BGP路由器用以匹配源路由通告,检测和丢弃前缀劫持。BGPCoin满足透明性,可审计性和安全性,并可增量部署。3、对网络身份基密码的撤销管理问题进行深入研究,提出了两种可撤销身份基加密方案,匿名可撤销身份基加密方案ARIBE和层次不受限的可撤销层次身份基加密方案U-RHIBE。针对ARIBE的设计,我们克服了在指数逆构造在添加可撤销功能的困难,提出通过拉格朗日系数方法实现构造,并利用完全子树方法实现O(log N)量级的密钥更新。接着我们提出首个具有自适应身份安全的层次不受限的可撤销层次加密方案U-RHIBE,并具有抗解密密钥泄露和短公共系统参数的特性。通过仔细的形式化证明,U-RHIBE覆盖了6种优势属性:自适应身份安全,层次不受限的密钥分发,高效撤销,无状态的密钥更新,抗密钥泄露和抗内部入侵。4、针对BGPsec证书管理复杂,部署动力不足等缺陷,提出一种基于身份基密码的网络路由自认证授权通告与聚合认证机制SIRAA,不需要使用由可信第三方维护的CA机构所签发的数字证书对BGP实体的身份和公钥进行绑定,从而避免建立管理PKI的负担以及管理和认证公钥证书带来的开销,因此可减少路由器的计算和存储开销。我们设计一个可部分聚合的前向安全的层次身份聚合签名HIBPAS,并基于HIBPAS提出SIRAA用于BGP路径通告与授权的证明与认证。SIRAA能够很好保持经典BGP安全方案所能达到的安全性,并相比其他改进的BGP安全通告方案,能够在存储效率、计算开销等方面取得很好的平衡,具有良好的可行性。