OpenStack身份认证安全性分析与改进

Open Stack是一个开源的云平台管理项目,旨在提供可靠的云部署方案和良好的可扩展性,但在重复失败登录、密码强度、密钥和数字证书管理等方面存在安全性问题。本文采用USB Key存储用户的密钥及数字证书,保证了双因子认证。采用基于角色的访问控制进行业务鉴权,同时设置反向认证令牌,实现用户和业务系统间的双向认证。利用PKI在Keystone进行密钥和数字证书颁发以及对数字证书的验证,增强认证的安全性。实现了Open Stack身份认证安全性的改进。方案已在校园网云存储平台上应用,为Open Stack安全性改进提供了参考。     

论云平台安全等级保护的基本技术要求

剖析了云计算平台面临的风险与挑战,提出了云平台安全建设的通用技术要求,重点论述了云平台为什么要通过三级等保认证以及三级等保认证的技术要求;明确了等保认证中的两大主体即云服务提供商和租户的责任划分,以政务云为例,具体描述了责任划分的细则.还引入了对云平台进行安全监管的建设思路.     

基于签密的多级安全网络接入认证协议

为增强多级安全网络(Multi-Level Security Network,MLSN)接入认证的性能和安全性,提出了一种新的接入认证协议.它对可信网络连接(Trusted Network Connection)进行增强,实现了双向的平台可信性评估;通过引入了安全属性检查组件,对平台接入中的失泄密隐患进行分析,进一步增强了MLSN接入的安全性;采用签密技术,减少了MLSN接入认证过程中的公钥运算次数和消息交互轮数.通过对协议的比较和形式化分析,结果表明,所提出协议的计算和通信开销较小、安全性较高.     

私有云环境下身份管理技术研究与实现

针对私有云环境下的安全性问题,提出了一种私有云身份管理解决方案。方案基于开源云Openstack云平台和Free IPA安全组件,实现了接入私有云的身份认证、授权和访问控制等身份管理功能。给出了总体架构设计和部署方案,并对注册、单点登录和授权进行了功能测试。     

云存储系统安全技术研究

目前,云计算应用日益普及,其中云存储是使用比较广泛的云应用之一,它的便利性毋庸置疑,已经成为数据存储的一种趋势。但是,其安全问题也日益突出,本文在对云存储系统结构进行介绍的同时,重点分析了与云存储系统安全性相关的重要技术,主要包括数据加密、身份认证和访问控制等。经过深入分析,提出使用混合加密算法、挑战-应答身份验证、Kerberos身份验证、基于角色的访问控制等安全技术可以有效提高云存储系统的安全性。     

基于CA的安全电子邮票系统研究

互联网为电子邮票系统提供依托平台的同时,也带来了严重的信息安全传输问题。针对这一制约邮政业务拓展的主要因素,研究了以第三方认证为核心的解决方案。采用椭圆曲线加密算法作为CA安全性的保证,并结合其认证机制,构建了基于CA的电子邮票系统框架;重点分析其中CA模块的功能流程、用户与邮局服务器之间的双向认证及信息传输。该系统实现了通信双方在交互过程中信息安全传输。     

基于CAS的Web-SSO模型的一种实验性开发

针对企业构建统一门户平台进行应用集中时面临的\"身份集成\"的问题,提出了统一认证和单点登录方案.基于Web单点登录的基本架构及其实现条件,引入集中认证服务(CAS)单点登录的开源工具,描述了CAS协议模型,对其单点登录的实现流程和协议进行了安全性分析.通过简单的环境配置和Java编程,对基于CAS的单点登录(SSO)模型作了实验性开发,并验证了其合理性和可行性.     

一种PPPoE的安全认证方式设计

PPPoE协议目前在宽带接入中广泛被使用,但其本身存在着一定的安全性问题.本文对PPPoE的工作原理及数据包格式进行了分析,指出其潜在的几种不安全漏洞,提出了一种改进的双向认证方案.该方法通过采用类MS-CHAPv2的认证方式,并且对PPP进行了加密设置配置,提高了PPPoE的身份认证安全性.部分方法已在2台计算机上初步实现.     

电力信息内网可信管控平台的设计与实现

电力信息网相对互联网较为封闭,信息安全隐患和威胁更多的来自网络内部,内网终端面临着身份认证安全性不高、主机非法外联、主机非法操作审计不足等安全问题.针对传统的电力信息网安全防护体系没有针对性对内网终端进行管控.本文提出了电力信息内网终端可信管控平台的安全解决方案,将用户登录认证、违规监控管理、日志审计及用户管理集成,并对集成后的可信管控平台的应用功能进行了测试分析.结果表明,该平台实现了基于USB Key的Windows登录认证、内部涉密主机违规外联监控等功能,同时方案中的程序保护模块增强系统安全性,验证了所提方案的有效性.     

无需后端数据库的RFID认证协议

为了克服使用后端数据库模式的无线射频识别(RFID)安全协议存在的缺点,基于通用可组合
安全模型,设计了一个轻量级不需要后端数据库的RFID认证协议,该协议实现了匿名、不可
追踪和双向认证. 因该协议的实现仅使用伪随机函数原语,所以具有较高的效率. 通用可组
合安全性保证了该协议在任意的和未知的多方环境中运行时仍然是安全的.