异构云匿名身份认证方案设计

针对异构云间资源互访、信息交互的需求,提出了一种基于双线性映射和身份密码体制的异构云匿名身份认证协议.该协议避免了传统认证协议建立和维护证书的繁琐弊端,实现了异构云间双向实体认证和资源访问主体匿名性.通过认证过程的鉴别验证和设置身份期限,既保障了认证安全性、密钥新鲜性,又减少了频繁异构云服务申请的过渡认证开销.通过分析对比,协议具有安全高效的特点,能满足异构云间用户数量众多、服务访问频繁的认证需求.     

视频监控设备身份认证机制的设计与实现

针对视频监控系统接入层中前端设备的身份安全问题,通过对会话初始协议(Session Initia-tion Protocol,SIP)进行研究和扩展,设计并改进了一种基于超文本传输协议(Hyper Text Transfer Pro-tocol,HTTP)摘要访问认证的SIP安全机制.前端设备在接入视频监控系统前,需要通过该安全机制与系统安全管理平台上的SIP服务器进行身份认证.认证双方基于公钥基础设施数字证书认证体系(Public Key Infrastructure/Certificate Authority,PKI/CA)获取对方的数字证书后解析公钥,在摘要认证的基础上使用公钥加密和私钥签名来保护认证序列的安全性,解密认证序列后通过异或校验和摘要校验实现双向身份认证.测试与分析结果表明,改进的安全机制能够抵御常见的SIP安全风险,实现设备与安管平台间的双向身份认证,在适当损失效率的情况下确保接入系统的设备身份合法可信.     

一种新的基于PKI的双向身份认证系统的设计

在信息系统中,身份认证是维护信息系统安全的第一道防线。文中针对传统身份认证模式的不足,提出了一种新的以PKI（公钥基础设施）为基础的双向身份认证方法,并依据该方法详细设计了一个身份认证系统,同时还对该系统的安全性进行了分析,指出了其优缺点。     

RFID匿名认证协议的设计

在分析RFID协议安全需求的基础上,基于通用可组合安全模型,设计了一个低成本的RFID匿名认证协议,在标准模型下证明了RFID匿名认证协议的安全性.设计的协议提供匿名、双向认证和并发安全,并且协议的实现对于一般的RFID结构都是切实可行的.     

TD-LTE电力专网接入机制的研究及改进

为了更好地适应电力专网的安全需求,结合IEC 62351标准,分析了TD-LTE的认证与密钥协商协议EPS-AKA,发现其存在安全性不够高,扩展性差等不足。针对这些不足并考虑到电力专网所需基站较少的实际情况,提出了一种基于无线公钥体制的改进协议,实现了实体间的双向身份认证,保护了用户和网络标识等关键信息,增强了安全性和可扩展性。最后通过形式化方法证明了改进协议的安全性和有效性。     

基于临时安全域的网格安全认证模型的研究

分析了现有网格安全体系结构模型存在的问题,结合网格固有的特点设计了一个网格环境下的认证模型,该模型以虚拟组织和信任域为基础,针对域内和域间环境采用不同的认证策略并且引入了临时安全域(TSD)的概念,通过分析表明该模型在提供安全身份鉴别的同时简化了实体之间的认证,满足网格环境的安全需求。     

基于SAML的统一身份认证技术的应用研究

根据统一身份认证系统的核心逻辑,在分析安全断言标记语音SAML的基础上给出了会话管理方法,提出动态账号绑定策略,设计了注销管理的过程,并分析了基于SAML的统一身份认证需要解决的安全方面的问题。基于该方案设计的系统,可把SAML规范和会话管理有机结合,增强了系统的安全性,实现了用户的更好体验。     

基于层级化身份的可证明安全的认证密钥协商协议

目前基于身份的认证密钥协商协议均以单个私钥生成器(PKG)为可信第三方,但这种系统结构难以满足身份分层注册与认证需求。该文以基于层级化身份的加密(HIBE)系统为基础重构了私钥的组成元素,并利用椭圆曲线乘法循环群上的双线性映射提出一个基于层级化身份的认证密钥协商协议,为隶属于不同层级的云实体提供了安全的会话密钥协商机制。基于CDH(Computational Diffie-Hellman)与GDH(Gap Diffie-Hellman)假设,该文证明了新协议在eCK模型下具有已知密钥安全性、前向安全性和PKG前向安全性,并且能够抵抗基于密钥泄露的伪装攻击。     

基于零知识证明的多实体RFID认证协议

物联网的发展对射频识别(RFID)系统的安全性能提出了越来越高的要求。虽然基于密钥阵列的RFID认证协议解决了传统RFID认证协议在多实体环境中存在的内部攻击问题,但基于交换实体身份信息的认证方式存在信息泄露的安全隐患。针对这一问题,设计了基于零知识证明的多实体RFID认证协议(MERAP)。该协议采用分布式密钥阵列抵御内部攻击,利用零知识证明方案实现双向认证时敏感身份信息零泄露。性能分析结果显示,MERAP协议在维持一定复杂度和标签成本的基础上,可抵抗包括重传、跟踪、拒绝服务和篡改等多种外部攻击和内部攻击。     

基于“北斗”的战场移动装备域间身份认证方法

为了实现对移动装备在不同管理域间切换时身份的快速、安全认证,基于“北斗”卫星导航系统所提供的安全可靠的短报文通信功能和高精度的授时功能,提出了一种基于“北斗”的战场移动装备域间身份认证方法,设计了基于“北斗”的战场移动装备域间身份认证体系结构和战场移动装备域间身份认证协议。该认证体系采用两级认证机制。整个移动网络通过“北斗”系统的高精度授时实现全网时钟的精确同步,将“北斗”系统提供的时钟信息作为时间戳加入到身份认证信息中,并利用“北斗”系统传输身份认证信息。经过对协议的安全性分析表明,该协议安全可靠,可以实现域间身份认证时新管理域中的认证中心与移动装备的双向认证,也可以实现移动装备的匿名认证,同时具有抗重放攻击能力。此外,该协议有效地减小了家乡域认证中心的开销。     

一种改进的基于挑战/应答机制的短波接入认证系统研究与设计

挑战/应答方式是一种常用的安全性较高的动态身份认证技术,但窄带信道条件和高效率、高安全性要求限制了其在军事短波环境中的应用。基于短波终端和岸基短波台站已有的安全基础—预共享对称密钥,设计了一种改进的基于挑战/应答机制的短波接入双向认证系统。针对短波接入网实际应用,在认证过程中引入随机数和时间戳两种动态因子,在增强接入认证系统安全性的同时,有效减少了认证过程中的开销,实现通信双方相互认证的同时还能够完成会话和完整性密钥的协商。     

基于区块链的信息网络信任支撑环境构建研究

网络信任体系是信息网络安全的重要基础设施。针对网络信任体系建设中存在的身份认证技术体制不统一、跨信任域互信互认难实现、跨体制统一信任管理缺手段、统一信任服务应用难满足等突出问题,通过采用安全可控的联盟区块链技术,研究构建信息网络信任支撑环境,建立全网统一信任源,实现多认证体制互信互认、统一身份认证服务和网络信任安全监管,为信息网络安全保障能力建设和信息网络共享应用提供有效支撑。     

Openstack authentication protocol based on digital certificate

As the industry standard for open source cloud platforms,openstack uses the single-factor authentication method based on username and password that provides by keystone components to identity authentication mechanism,while it is not suitable for application scenarios with high security level requirements.A digital certificate-based identity authentication protocol which had cloud user identification protocol and authentication protocol was designed to meet the requirements.With expending the keystone component to achieve a digital certificate-based identity authentication system,a combination of authentication server,UKey technology,encryption technology and well-established key management and so on was used.According to the research,the system can effectively resist multiple cyber-attacks and improve the security of cloud users when they log in to the cloud platform.     

IPTV终端网管鉴权系统的设计与实现

根据目前IPTV业务的安全性目标和需求,针对IPTV终端网管系统中未授权用户非法接入和业务权限控制问题,采用HTTP摘要认证机制和SSL/TLS协议结合RSA非对称加密算法,设计并实现了一套终端网管鉴权系统.经过测试分析,鉴权系统满足终端设备身份和业务权限鉴权的需求,提高了系统的安全性.     

无线交易系统的身份认证研究

介绍了“一卡通”系统的组成,根据系统应用的要求,使用GPRS无线交易终端进行远程交易。根据系统的安全要求,对系统中使用GPRS无线交易设备进行的无线交易过程中的安全技术进行分析,针对身份认证问题进行深入研究,设计了使用智能卡存储的数字证书进行身份认证的安全解决方案,能够有效解决无线交易过程的身份认证问题,确保“一卡通”交易的安全进行。     

一种基于临时证书的互联网实名认证方案

互联网实名认证是国家正在进行探索的规范互联网使用的重要举措,文中从互联的访问特点出发,利用已有的互联网安全技术手段,提出了一种基于临时证书的实名认证方案.本方案不仅利用了数字证书实现身份认证的安全性,而且避免了数字证书在管理方面的一些缺陷,同时设计了实名认证的主要协议流程,并进行了安全性分析.     

基于手机令牌的动态口令身份认证系统

随着无线网络的日益完善,通过手机无线接入Internet的用户不断增加,因此解决无线接入用户的身份认证问题极为重要。动态12令已经成为认证机制新的发展趋势,它提供了比传统静态口令更高的安全性。文中设计了一种基于挑战／应答机制的动态口令认证协议,并根据此协议设计了一个基于手机令牌的动态口令身份认证系统,论述了系统的组成、认证过程,分析了系统的安全性。分析表明,该系统具有安全性高、适用面广、使用方便、系统成本低的特点。     

Anonymous Shared Certificate Entity Authentication Protocol

Currently most existing entity authentication protocols can not guarantee anonymity against compromised verifier in semi-honest model. To solve the question, this paper puts forward a shared certificate entity authentication model, by which some qualities for anonymous entity authentication in semi-honest situation are suggested reasonably. On basis of our proposed model, this paper designs two anonymous entity authentication protocols including an anonymous shared certificate bi-entity authentication protocol and an anonymous shared certificate multi-entity authentication protocol. In proposed protocols it is only single certificate that is used to verify identity correctly and anonymously for legitimate users who has different identity secret. Any compromised verifier has capability to verify correctly whether the user identity is legitimate or not, but it is difficult for it to judge which legitimate user has been verified and distinguish who the verifying user is in particular, therefore attacker does not learn any useful information from legitimate user by spying upon the information of public channel or compromising the certificate. So the security requirements of anonymous entity authentication are achieved successfully, meanwhile the proposed model is more feasibly and effective than zero knowledge protocol in practical applications.