混合云环境下基于异构系统的跨域身份认证方案

在混合云环境下,为满足身份认证方案在不同密码系统之间的跨域认证需求,提出一种基于公共密钥基础设施(PKI)和无证书密码体制(CLC)的跨域身份认证方案。引入基于PKI的多中心认证管理机制,对不同密码系统安全域的用户匿名身份进行管控和追踪。在用户和云服务提供商的双向认证过程中,完成会话密钥的协商和不同密码系统匿名身份的转换。分析结果表明,该方案在实现不同密码系统之间跨域身份认证的同时,可抵抗重放攻击、替换攻击和中间人攻击,具有较高的安全性及计算效率。     

基于PKI技术的数字签名身份认证系统*

论述了一种基于公共密钥基础设施PKI体系结构的身份认证系统。数字证书是认证系统中的核心,随着PKI的建立和认证中心(CA)的建设,用于身份认证和实体鉴别的身份证书已形成了完备的体系。数据的数字签名不容易伪造,且由CA颁发的数字证书可以确定用户身份的合法性,因此,可以利用PKI技术,并结合数字签名的原理来进行通信双方身份的识别,并采用权威机构CA发放的证书作为通信双方的身份标识。     

一种新的信息服务实体跨域认证模型

为解决基于身份的信息服务多信任域认证系统不能实现身份即时撤销的问题,提出了一种可撤销的身份签名方案。在SM9(国产标识密码)签名算法的基础上,引进一个安全仲裁来保管实体的部分私钥,通过终止安全仲裁给实体发送签名信令来撤销实体的签名能力,从而实现 身份 的即时撤销。在该方案的基础上,利用基于证书的公钥基础设施(PKI)与基于身份的密码体制(IBC)的组合应用优点,提出了一种新的信息服务实体跨域认证模型。该模型不仅具有灵活高效的认证特点,而且适合构建大规模信息服务实体的应用环境。同时,设计了一种跨域认证协议,实现了跨信任域的双向实体认证和密钥协商。分析结果表明,该协议具有较高的安全性及较少的通信量和计算量。     

基于身份密码系统和区块链的跨域认证协议

随着信息网络技术的快速发展和网络规模的持续扩张,网络环境中提供的海量数据和多样服务的丰富性和持久性都得到了前所未有的提升.处于不同网络管理域中的用户与信息服务实体之间频繁交互,在身份认证、权限管理、信任迁移等方面面临一系列安全问题和挑战.本文针对异构网络环境中用户访问不同信任域网络服务时的跨域身份认证问题,基于IBC身份密码系统,结合区块链技术的分布式对等网络架构,提出了一种联盟链上基于身份密码体制的跨信任域身份认证方案.首先,针对基于IBC架构下固有的实体身份即时撤销困难问题,通过加入安全仲裁节点来实现用户身份管理,改进了一种基于安全仲裁的身份签名方案mIBS,在保证功能有效性和安全性的基础上,mIBS性能较ID-BMS方案节省1次哈希运算、2次点乘运算和3次点加运算.其次,本文设计了区块链证书用于跨域认证,利用联盟链分布式账本存储和验证区块链证书,实现域间信任实体的身份核验和跨域认证.所提出的跨域认证协议通过安全性分析证明了其会话密钥安全,并且协议的通信过程有效地减轻了用户端的计算负担.通过真实机器上的算法性能测试,与现有同类方案在统一测试标准下比较,本文方案在运行效率上也体现出了明显的优势.     

基于椭圆曲线密码体制的可认证的密钥协商设计与分析

椭圆曲线密码体制以其密钥短、安全强度高、速度快等优越性被广泛用于进行构建数字签名和用户身份认证方案.同样,它也可以用来构建密钥交换协议.Diffie-Hellman密钥协商协议对来自中间人的攻击是脆弱的.基于椭圆曲线离散对数难解性, 利用椭圆曲线密码体制的数字签名方案,提出了基于身份认证的密钥协商协议.该协议提供身份认证、密钥确认、完美前向安全性, 并能够防止中间人攻击.     

税收信息化建设中PKI技术的应用研究

税务系统已经采取了一些列的安全措施来保障网络与信息完全,但是尚未建立自己的PKI/CA体系.随着各种网络攻击技术的发展,使得原有的安全防护技术开始感到不足.信息安全的目的就是保证用户身份的安全认证、网络数据的保密性、完整性、和不可否认性.税务系统亟待解决这些问题.PKI使用数字证书和数字签名技术,从而提供分布式系统中的密钥管理服务,为大范围分布式环境中的信息分发提供身份认证、保密性、完整性和不可抵赖等安全保障.探讨了税务系统中PKI的体系结构和应用模型,分析了一个应用实例,即"网上报税系统",说明了PKI技术的应用是构建安全的税务系统信息化体系的有效手段.     

基于指纹识别与PKI的电子政务身份认证体系

通过分析传统PKI方式中一个弱因子(密码)和一个强因子(数字证书)的身份认证方式,提出了一种采用指纹识别和PKI的强双因子身份认证体系.该身份认证体系采用卡内比对的方式完成指纹模板的比对,创建电子政务平台中以人为源头的信任链.     

基于SM2数字签名的区块链匿名密钥交换协议

区块链技术因其去中心化、匿名性、不可篡改、不可伪造等优点, 已经成为我国的一项前沿技术, 在各领域得到广泛的应用。虽然用户可利用区块链发布匿名交易, 有效隐藏交易双方的身份信息, 但双方交易完成后传输交易相关数据可能破坏匿名性。这是因为在数据传输过程中, 为了保证双方通信安全, 往往使用认证密钥交换协议认证双方身份, 计算会话密钥建立安全信道。由于传统的认证密钥交换协议涉及双方的长期公私钥对信息, 所以将泄露交易双方的身份信息。虽然区块链匿名密钥交换可基于交易双方的历史链上交易完成密钥交换, 有效保障交易双方的匿名性, 但现有区块链匿名密钥交换协议主要基于国外密码算法设计, 难以适用于国产区块链平台, 不符合我国密码核心技术自主可控的要求。为丰富国产商用密码算法在区块链匿名密钥交换方面的研究, 满足区块链交易后双方匿名安全通信的需求, 本文以 SM2 数字签名算法和区块链为基础, 构造非交互式和交互式两种区块链匿名密钥交换协议。并在 CK 安全模型中证明非交互式的协议满足会话密钥安全, 交互式的协议满足有前向安全性的会话密钥安全。最后通过理论分析和编程实现结果表明, 本文协议在没有比现有协议消耗更多的计算开销与通信代价的前提下, 可适用于国产化区块链平台。     

基于区块链的去中心化身份认证及密钥管理方案

SM9是国内商用密码体系的重要组成部分,它是基于标识的密码体制,可以避免PKI系统中复杂的证书管理难题,为物联网安全应用提供了新的解决方案。但SM9需要可信第三方KGC为用户生成和管理密钥,密钥更新极为不便。为了解决SM9密钥更新的难题,文章利用区块链技术,提出一种去中心化的身份认证及密钥管理方案。在该方案中,用户仅需要首次由IGC(Identity Generator Center)为其生成身份标识符和密钥,随后用户可以自动对密钥更新,在此过程中身份标识符作为公钥保持不变,仅对私钥和参数更新,以便于身份认证。文章重新定义了交易的数据结构,并且更新过程以交易的形式记录在区块链上,通过区块链数据的不可篡改性保证了其真实可信。文章的研究为去中心化的物联网应用场景下身份认证及密钥管理提供了新的解决方案。     

通过数字认证解决网络安全问题

我们根据校园网安全方案要求设计、测试并部署了PKI组件，在校园网上建立CA，向用户发行数字证书，在Internet Explore、Outlook Express等用户端执行PKI申请实现身份认证、加密、数字签名等功能。     

基于安全SIM卡的移动通信研究

通过对当前电子商务及电子政务安全性以及灵活性的分析,结合双因子认证技术,实现了一种基于SIM卡的安全移动通信解决方案。该SIM卡以硬件方式实现了加解密、签名、认证等模块,运用PKI技术实现移动通信过程中签名用户身份、认证以及安全传输等特定的业务信息。同时SIM卡使用了PIN码技术,保证了用户对SIM卡访问的合法性,进一步增强其应用系统的安全性。     

基于PKI体系的无线局域网认证方案研究

本文提出了一个基于公钥基础设施PKI体系的认证方案。实现了认证服务器对接入点AP的认证,在临时密钥的分发过程中,实现了全加密的分发,即认证服务器向AP和用户分发临时密钥都进行加密。同时提出了三级密钥体系机制,即私钥、会话密钥和临时密钥,实现了认证密钥和加密密钥的分离。     

A look at public key certificates

Many Internet applications use public key technology for security purposes. These applications (i.e. World Wide Web protocols, Internet protocol security, digital signatures, user authentication and E-mail) require a public key infrastructure (PKI) to securely manage public encryption keys for widely distributed users or systems.¹ The use of public key technology requires that the user of a public key be confident that the public key belongs to the correct remote subject (i.e. person or system) with which the encryption mechanism will be used.² This confidence is obtained through the use of public key certificates.²     

VPN中的分布式访问控制

针对VPN系统中的分布式访问控制及其管理问题，分析了现有的IETF模型的不足，提出一种分布式管理的访问控制模型。该模型将全局策略分解为局部(SubDomain，每个SubDomain对应一个网关)策略数据库的集合，同时在IETF的模型中增加策略判决点，以转发用户认证请求。并通过VPN的加密隧道来保护VPN系统安全策略传输过程和用户认证数据的完整性、机密性。本文最后给出了基于CORBA的原型来说明该模型的工作模式，实战证明，该模型能有效解决安全VPN中的策略的分布式管理和用户的漫游问题。     

Secure-OSCAR中基于PKI的生物身份认证的设计

个体的生物特征的唯一性和“不可伪造性”使得它很适合于身份认证。生物信息本来是不保密的,所以不能象使用口令一样来使用它,否则将不能提高反而会降低系统的安全性。公钥机制(PKI)也被广泛应用于用户身份认证中,但它是基于私钥的安全性的,不可避免地存在冒用私钥的威胁。论文提出一个结合生物技术与PKI技术的认证方式的设计,具体描述了它在Secure-OSCAR中的实现。     

一种无线切换认证协议的性能改进*

切换认证协议是确保移动节点在无线网络中多个接入点之间进行快速安全切换的关键。在设计切换认证协议时,必须充分考虑移动节点计算、存储能力低以及电池容量小等特点。针对无线局域网的切换认证协议HashHand双线性对运算消耗资源大的缺陷,提出了一种新的快速切换认证协议。该协议不使用对运算,仅使用加法群的点乘运算替代,提高了协议的效率。并且具有用户匿名性与不可追踪性,有条件的隐私保护性。用户与认证服务器满足互认证性,能够安全地协商会话密钥并且周期性地更新。该协议能有效地抵制重放攻击和拒绝服务攻击。     

数字证书技术在网络实名制中的应用研究

文章主要从信息的真实性、保密性、不可否认性以及完整性四个方面对网络实名制身份认证的需求进行了分析,研究了基于PKI技术的数字证书身份认证技术,提出以基于PKI的数字证书作为网络实名制的身份认证技术,使用一种便捷的USB接口的硬件设备（内含密码算法）,作为用户证书的载体,通过这些技术解决了用户认证的便利、用户证书的移动以及安全问题,实现了虚拟网络社会中的实名认证制度。     

基于PKI的IPsec-VPN安全网关设计和研究

部署大型VPN网络的同时也意味着复杂度的增加，只有建立了有效的身份认证和授权机制才能有效地解决这个难题。文中阐述了如何在IPsec-VPN中将PKI证书机制同VPN安全技术结合起来，实现强身份认证和访问控制机制。基于PKI数字证书的身份认证具有良好的安全性和可扩展性、可部署性，对于大型VPN网络，采用PKI证书认证机制作为身份认证技术可能是惟一的选择。     

基于PKI体系的安全电子邮件系统的研究与设计

电子邮件发展出现的问题主要表现为机密泄露、信息欺骗、病毒侵害、垃圾邮件等.相关机构对此现象做出了一些针对性的解决方案,如电子签名法、反垃圾邮件等与电子邮件安全相关法律法规的制定.安全电子邮件系统的建立是在普通电子邮件系统的基础上来实现的,是与PKI与之相关联的CA认证、数字证书、加密、数字签名等技术相结合而产生的,还利用了综合防病毒技术、反垃圾邮件技术,从而给使用电子邮件的用户创造了一个安全的使用环境.     

无碰撞CPK的种子库构建和选取方案

组合公钥CPK(Combined Public Key)是我国拥有完全知识产权的认证技术,与PKI和IBC相比有其独特的优势。但由于密钥由种子密钥经过组合运算生成,因此可能发生碰撞,有效解决碰撞问题已成为CPK体制发展和完善的关键。介绍了CPK的发展、研究现状和存在问题;根据其构建特点,提出了两种新的种子公/私钥组合选取方法,使得在相同规模的安全需求下,所需种子公/私钥量大大减少;针对产生碰撞的两种可能因素提出了解决方案:用分组密码对用户标识进行映射、按照特定规则产生种子公/私钥库以及对椭圆曲线参数进行约束,从根本上消除了碰撞。优化后的CPK体制,无碰撞,种子库规模小,构建效率高,占用空间少,安全性高,可靠性强,便于管理。