基于可信计算平台的认证机制的设计

身份认证是可信计算平台的基本功能。其中,平台必须能够向外部实体认证自己,让其它实体以确信系统是正确可信的。基于可信计算平台的认证机制设计的出发点是,在利用PKI认证机制的基础上,实现平台身份和平台状态的双重验证。身份认证证书（AIK）是认证实现的基础,可信CA是整个认证系统中的核心,负责所有可信计算平台的身份认证证书的颁发,同时描述了一套具体的基于可信计算平台的认证协议。     

基于可信芯片的平台身份证明方案研究

对基于可信第三方的平台身份证明方案进行了研究,提出了一种用证书和令牌标识可信计算平台并直接使用令牌证明平台身份的方案。与其他方案相比,该方案降低了证明过程的计算量和通信量,并且验证方验证平台身份的同时能够确认平台状态可信,获得了更高的安全性。利用协议组合逻辑证明了方案满足平台身份验证正确性和匿名性。原型系统实验结果表明,该方案平台身份证明效率高,特别适用于无线网络环境。     

一种新的安全电子商务协议CPK-SET

现在所流行的安全电子商务协议（SET）是基于PKI构建的,购买者、商家和支付网关之间的身份认证靠传递和验证证书来实现,交互过程复杂,计算量大,效率不高,而且还不满足商品原子性和确认发送原子性。基于组合公钥算法和新型认证技术给出一种安全电子支付协议,能够简单地实现交易三方的相互身份认证,克服了SET存在的不足。通过安全性分析和与SET的比较,说明其具有更好的安全性、更高的效率且更容易实现。     

基于可信证书验证代理的无线接入认证方案

PKI认证机制由于效率原因,不宜直接应用于无线网络环境.本文引入可信证书验证代理(TCVP),设计了一个基于公钥密码的无线接入认证协议.该协议中,TCVP基于PKI认证无线移动节点的身份,并为其签发证书有效性凭据(CVT).在无线接入过程中,移动节点仅需出示CVT,即可证明其身份,无需在线验证接入网关证书的有效性,减少了认证协议的消息数量和大小.与SSL和WTLS的对比分析表明,该协议具有更高的效率.     

基于可信计算平台的统一身份认证系统研究

统一身份认证将用户在不同应用中所使用的用户ID、口令等一些信息进行集中存储和管理,使用户方便、高效地使用各个应用系统。针对一般的统一身份认证系统的不足,例如未考虑到终端可信性等问题,引入可信计算技术来提供终端可信性的支持。依据可信计算技术的核心——可信平台模块(TPM)来实现计算平台的可信。它是具备密码运算和存储功能的一个小型的片上系统。通过提供密钥管理和配置管理等技术,实现计算平台的可信。     

基于PKI的CA系统在企业办公系统的应用

随着网络信息技术的发展,信息的完整性、机密性、身份鉴别和不可否认性越来越重要.CA是PKI的核心,是具有权威性、可信任性、公正性的第三方机构,通过向用户颁发公钥证书,将用户身份信息与所持有的公钥相互绑定.利用OpenSSL开源软件实现基于PKI的CA系统,系统具有根证书下载安装、用户证书申请、颁发、撤销等功能.所发布证书遵守X.509标准.提出可行的应用于企业办公系统的基于PKI的CA系统.     

IKE的研究及其在IPSec中的应用

分析了IKE协议及IKE协议中的验证方式。将IKE以一种模块架构应用于IPSec,实现了自动协商功能,提高了IP隧道协商效率。提供基于PKI的身份认证技术,支持X.509和PKCS12证书格式。     

DAA 协议中平台隐私数据的保护方案﹡

针对当前可信计算平台身份证明最好的理论解决方案——直接匿名认证（DAA ,Direct Anonymous Attestation）协议中平台隐私数据（,A e ）是以明文方式直接存储在平台上很容易受到攻击的问题,基于 TPM 的安全存储功能,提出了平台隐私数据（,A e ）的保护方案。该方案根据用户的身份生成隐私数据（,A e ）的保护密钥和授权数据,利用 TPM 的安全存储功能对该保护后的隐私数据进行存储,并通过理论分析和实验验证,表明了所提方案在保护隐私数据（,A e ）的同时,对直接匿名认证协议的性能影响也不大,增强了 DAA 协议的身份认证可信。     

一种面向远程证明的双向完整性报告方案

 国际可信计算组织（Trusted Computing Group,TCG）所定义的可信计算平台支持远程证明功能,即向一个远程实体证明本地平台的完整性信息,称为完整性报告。由于现有的完整性报告方案都是基于Client/Server模型,所以它们用于实现双向完整性报告时存在一些问题。为了克服这些问题,本文提出了一种面向远程证明的双向完整性报告方案。该双向完整性报告方案通过将平台身份证明密钥（Attestation Identity Key,AIK）证书的有效性验证功能和平台完整性的校验,及评估功能集中实现于网络中的可信中心,可有效地减小完整性报告双方的计算负荷和保护完整性报告双方的平台配置。此外,该双向完整性报告方案还通过设置平台组件隐私保护策略来防止完整性报告双方互相探询对方的平台配置。     

基于区块链技术的跨域认证方案

针对现有交互频繁的信息服务信任域（PKI域和IBC域）之间不能实现信息服务实体（ISE）安全高效的跨域认证的问题,提出一种基于区块链的跨异构域认证方案.在IBC域设置区块链域代理服务器参与SM9（国产标识密码）算法中密钥生成,并与PKI域区块链证书服务器等构成联盟链模型,利用区块链技术去中心化信任、数据不易篡改等优点保证模型内第三方服务器的可信性.基于此设计了跨域认证协议与重认证协议,并进行SOV逻辑证明.分析表明,与目前相关方案相比,协议在满足安全需求的前提下,降低了用户终端的计算量、通信量和存储负担,简化了重认证过程,实现域间安全通信,在信息服务跨异构域身份认证过程中具有良好的实用性.