一种新的不安全信道上的匿名认证方案

基于双线性对构造了一种基于身份的签名算法,利用双线性对的双线性和非退化性,使得算法中签名矢量的验证结果相对于用户身份为一个常量．然后基于该算法提出一种新的匿名认证方案,解决了在不安全信道上进行用户匿名认证的问题．在匿名认证方案中,用户生成临时身份,服务器利用该临时身份计算用户帐户索引,获得用户真实身份并认证用户．新方案实现了用户匿名性及自主口令更新,且服务器无需维护用户通行字或临时身份列表,解决了现有方案无法同时保证不安全信道上的认证安全性和用户匿名性的问题．     

桌面云的接入身份认证方法

为了解决桌面云瘦终端面临的安全问题,将域认证、指纹认证、USB Key认证和域+动态口令的双因素认证共四种认证方法引入到瘦终端的身份认证之中,并采用思杰的安全接入网关来监控和防止用户截屏及二次跳转操作。通过分析说明四种身份认证方法在保障瘦终端接入身份认证安全方面是可行的。     

基于PAM的身份认证系统研究

保证登录用户身份的真实是保证计算平台“值得信任”的前提。基于PAM的身份认证技术与外部认证实体相结合,提出了基于PAM的双因素身份认证解决方案。该方案能够为可信计算平台提供高可靠性的用户身份认证。在Linux PAM框架下实现了一个基于UsbKey的可信计算平台身份认证系统。     

基于USBKEY的OA系统身份认证方案

针对办公自动化（ OA）系统的用户登录安全问题,提出了一种基于USBKey身份认证的OA系统。该系统利用USBKey完成身份认证,用USBKey的内置加密算法和密钥完成对用户身份资料的加密,用户登录的签名检验和会话密钥的传递,并对该系统的安全性进行了分析。     

一种基于ElGamal数字签名的双向用户鉴别方案

提出了一种实用的基于ElGamal数字签名和零知识证明的双向用户鉴别方案,通过随机数和在线的挑战-响应交互机制,保证了身份认证过程中身份认证请求信息的可靠性和有效性;同时利用智能卡技术充分保证了用户秘密信息的安全可靠,有效地解决了用户鉴别方案中密钥信息的安全分配与存储问题. 最后,在离散对数计算困难假设的前提下,分析了该方案的安全性.     

基于分层身份加密的教务系统信息安全解决方案

具有层次结构的身份加密(HIBE)机制,是为了解决传统的身份加密(IBE)机制的密钥托管和效率低下问题,在原有机制基础上,通过使用分层密钥服务器来进行身份认证、数据加密、数字签名.针对教务系统中的网络安全问题,将HIBE机制应用到该系统中,提出了基于分层身份加密的教务系统信息安全解决方案,以HIBE为核心,利用表示用户身份的任意字符串为公钥、椭圆曲线困难问题加密和设置分层密钥服务器等方法,来简化用户认证、防止数据泄漏被篡改和提高系统的整体效率.用PBC代码库及C语言实现的分层模型进行实验,结果表明该方案可行有效.     

统一身份认证平台的设计

统一身份认证平台是数字化校园建设的基础，主要实现用户管理、身份认证、分级权限管理和单点登陆等功能，以解决校园信息化建设过程中用户定义模糊、用户身份组织零乱、交叉权限管理无法定义和应用系统出口多样性等棘手的问题．同时给出了校园统一身份认证平台的功能、流程以及接口设计的方法．     

基于AIC的IBE私钥分发协议

为了解决IBE用户私钥的安全分发所存的身份认证、私钥安全传输和私钥托管问题,提出一种基于身份证书的IBE私钥分发协议。该协议通过可信机构信任机构（TA）颁发的身份证书来验证用户的身份、采用一种盲技术保证了用户私钥在公共通道上传输的安全性以及基于多机构方式解决了用户私钥托管问题,且与Lee B协议相比至少减少了2t运算量。     

具有用户匿名性的移动IP注册协议

为了解决移动IP注册过程中的匿名认证问题,提出了一个具有用户匿名性的移动IP注册协议．移动用户通过对家乡代理的身份和新建立的Diffie-Hellman 密钥进行Hash运算,并把该Hash值与移动用户的真实身份进行异或,来构造注册请求消息中的临时身份标识符; 家乡代理把接收到的临时身份标识符和重新计算的Hash值进行异或可以得出移动用户的真实身份;每次注册请求消息中的临时身份标识符都不断变化,从而实现了用户身份的匿名性和位置移动的不可跟踪性．理论分析结果表明,该协议不仅实现了移动实体的认证,而且具有很强的匿名性;与彭华熹、冯登国提出的匿名无线认证协议比较,该协议减少了在移动用户端的运算负荷和时间．     

基于鼠标行为时频联合分析的用户可信认证

提出了一种基于时频联合分析的鼠标动力学认证方法.对用户操作鼠标行为的连续时序信号进行小波包变换,依据不同频带的子信号提取其时频联合分布特征,并使用递归特征消除法筛选出特征.采用随机森林算法建立用户独特的鼠标行为模式,据此进行用户身份认证.为验证方法的有效性,采取单因素实验设计,以特征分析方法为唯一因素,采集真实网络环境中40个用户在31个月内的鼠标行为数据,对其中18个用户分别采用时序分析和时频联合分析提取并筛选特征;使用相同算法建立用户鼠标行为模式,对比了基于2种特征分析方法的可信身份认证系统的性能差异.结果显示,相比时序分析方法,所提方法将可信身份认证的操作特性曲线下的面积从97.02%提升为99.10%.     

异构无线网络融合方案及其接入认证机制研究

异构无线网络融合方案及其安全问题一直是目前的研究热点。文章首先对比分析了具有代表性的网络融合方案;然后从融合网络安全需求角度出发,根据网络实体功能的差异,将异构无线融合网络划分为4个域：归属域、服务域、接入域和用户域;并在区域划分的基础上,提出了一种无冗余标识方案和统一的通用可信接入认证机制,较好地解决了接入认证中的身份信息冗余问题及安全防护能力的短板效应。     

一种交互式身份认证及访问控制安全信息平台的设计与实现

电子政务运行环境作为一种协同开放的网络环境,网络的安全可靠尤为重要,在电子政务网络安全基础建设中可靠信任的身份认证和合理有效的授权管理更是成为重中之重。然而现有的电子政务类信息系统都是针对各个领域相对独立开发的身份认证和访问控制机制,不利于电子政务平台中的信息共享与交换、协同工作和集成化开发建设。基于上述问题,本文结合电子政务对协同工作及系统安全的需求,设计了一种交互式身份认证及访问控制安全信息平台,采用扩展化的PKI和RBAC等技术,用于提供整个电子政务平台安全访问控制策略,同时构建客户端与服务端的数据安全传输通道,为电子政务安全建设提供一种有效的解决方案。     

通用可组合安全的Internet密钥交换协议

通过对新一代Internet密钥交换协议(IKEv2)进行分析,指出了其初始交换过程中存在发起者身份暴露和认证失败问题．而在无线接入网络环境下,对发起者身份等敏感信息进行主动保护是十分必要的．提出了一种适用于无线网络环境下的Internet密钥交换协议,该协议让响应者显式地证明自己的真实身份,实现了对发起者主动身份保护．并通过重新构造认证载荷,有效防止了认证失败问题．在通用可组合安全模型下,证明了该协议达到了通用可组合安全．性能分析和仿真实验表明,该协议具有较少的计算量和通信量．     

Efficient encrypted data aggregation scheme for wireless sensor networks

Data aggregation in a wireless sensor network is an important method to reduce redundant transmission and energy consumption. Authors propose an efficient encrypted data aggregating method for wireless sensor networks, the aggregators complete the data integrity checking, source identity authentication and data aggregation without a plaintext and provide the end-to-end security for data transmission. Compared with related schemes, besides higher security,the proposed scheme makes better utilization of high redundancy of neighbor sensors' readings and reduces the communication overhead effectively.     

网络认服务可靠性和安全性

认证就是标识和确认实体身份的过程,认证服务是维护系统安全的基础,其质量直接影响到系统的安全和性能。认证服务的损坏,会导致破坏整个系统的安全性;许多活动不经过认证就不能进行。文中介绍了一种基于门限机制的认证服务;分析了该认证服务的可靠性和安全性;讨论了门限参数对可靠性和安全性的影响,选取适当的门限值,使系统既有高的可靠性,又有强的安全性。     

一种公众网络统一身份认证服务架构

针对目前只能在某一特定范围内实现"统一身份认证"的问题,按照身份认证与IT服务结合的思想,提出一种基于公众网络的统一身份认证的服务模式架构。该架构整合已有的"统一身份认证"系统,构建了由认证评估自治系统、服务组织资源树、身份集成服务中心构成的统一身份服务网,并按照三级部署,将身份认证服务范围扩大至公众网络领域。     

铁路客票安全系统的设计与实现

铁路网络安全是网络迅速发展和实现电子商务的基础.本文以Intranet的安全为研究对象,实现了网络数据加密、认证等相关模块,完成一种新的远程动态口令鉴别方案.在此.本文结合IC卡技术构成了一个完整的铁路售票安全系统,并得到了具体应用.     

一种移动无线多跳网络中的新型切换认证方案

通过门限方案设计了切换分配认证的安全通信模型,然后配发交叉证书的进程,描述和分析了从节点离开前网络到进入新网络的漫游切换认证的步骤．在没有证书颁发机构的情况下,提议了一种新型无线多跳网络中不同网域之问的漫游切换认证方案。并为节点的漫游切换和安全通信提供了一种有效方法,该方法能够获得和避免对单节点的攻击,因而有更好的灵活性和安全性,在未来的无线多跳网络应用中有重要的参考价值．     

OpenStack身份认证安全性分析与改进

Open Stack是一个开源的云平台管理项目,旨在提供可靠的云部署方案和良好的可扩展性,但在重复失败登录、密码强度、密钥和数字证书管理等方面存在安全性问题。本文采用USB Key存储用户的密钥及数字证书,保证了双因子认证。采用基于角色的访问控制进行业务鉴权,同时设置反向认证令牌,实现用户和业务系统间的双向认证。利用PKI在Keystone进行密钥和数字证书颁发以及对数字证书的验证,增强认证的安全性。实现了Open Stack身份认证安全性的改进。方案已在校园网云存储平台上应用,为Open Stack安全性改进提供了参考。     

军网身份鉴别系统的设计与实现

基于对称密钥密码体制的军网身份鉴别系统,其主要特点是安全强度高,密钥采用集中管理方式,身份鉴别协议简洁,鉴别步骤少,密码处理量小,效率高,适合于局域网络环境下的身份鉴别。本文从系统的硬件组成和软件结构、密钥数据库和密码模块的设计、增强用户端安全性的措施等方面对军网域内身份鉴别系统设计与实现过程中的有关问题作了较详细的介绍。结合各个部分可能出现的安全漏洞,论述了增强系统安全性所采取的措施。军网身份鉴别系统满足了军网应用系统的安全需求。