基于DSP的电力VOIP系统嵌入式安全终端设计

为实现电力VOIP系统的安全通信,确保电力调度的语音、视频图像的可靠传输,设计了一种基于DSP的电力VOIP系统安全终端。该安全终端由软件系统和VOIP安全通信平台组成;在硬件设计上,以OMAP-L137DSP为核心处理器,用安全芯片、噪声源芯片等辅助处理器实现系统的密钥算法,采用智能卡认证机制确保用户身份的合法性。在软件设计上,给出了电话模块与安全模块之间通信的数据帧格式,介绍了系统的流媒体交互方式,提出了一种基于身份签名的通信双方双向认证的密钥协商算法。通过系统测试表明,该VOIP安全终端的数据处理速度为52.312Mbps,满足电力系统实时调度通信的要求;密钥协商阶段平均耗时627ms,明码通信与加密通信的转换效率高;多台终端间网络视频通话的声音清晰逼真,画面无明显失真;该系统可扩展性和可移植性强,具有很好的应用推广价值。     

改进PBFT算法的配电物联网接入认证方法

随着物联网与配电网深度融合,海量终端设备接入系统给配电物联网安全稳定运行带来巨大挑战。针对传统身份认证方式过于中心化且无法承载大规模终端等现状,设计一种基于区块链共识机制的配电物联网终端接入认证方法。由配电物联网网关负责对待接入终端节点登记注册,采用共识算法进行分布式认证,将合法终端上链存储。在传统PBFT算法的基础上,设计了配电物联网终端共识算法。该算法引入权重机制,根据终端节点权重选取认证节点,缩小共识规模;引入可验证随机函数增强主节点安全,避免启动视图切换协议,提高共识效率;结合实际应用场景优化一致性协议,降低通信开销。实验分析表明该方法可有效规避多种网络攻击,通信开销和吞吐量优于其他方法,系统抗攻击性较强,满足配电物联网对认证效率和系统可靠性等要求。     

电力系统下的轻量级自适应认证系统

电力物联终端种类繁多,绝大多数处于资源受限的状态下,在实际应用上存在安全需求。本文设计了一种基于LBlock加密算法的挑战应答协议和基于国家商用密码认证方案的轻量级自适应身份认证系统。系统通过树莓派仿真资源受限的电力物联终端测试身份认证以及密钥协商效率与安全性。测试结果表明,该轻量级自适应认证系统可以实现边缘物联代理与各类受限电力物联终端的双向身份认证,有效保证了电力系统自适应认证的需求。     

电力安全控制过程可信任客户端身份认证仿真

传统的身份认证方法的服务器端口操作快捷且稳定,但易被非法用户侵入.为确保电力系统安全、有序地运行,以可信任客户端为基础,探究其在电力安全控制过程中的身份认证方法.通过分析客户端在电力安全控制系统中的效用,构建身份认证管理模块、基站网络鉴权中心以及可信任客户端的安全认证方法,形式化与交互化表示参与认证的三个部分后,逻辑化处理认证管理模块与可信任客户端,获取两者的共享密钥,经过可信任客户端身份授权流程后建立授权映射,更改加密请求结果的传输格式,发送至可信任客户端,从而完成身份认证.从身份认证效率、稳定性、安全性以及延迟性四个方面评估方法性能,根据实验结果可知:上述方法认证效率较高,使电力系统稳定性得到大幅提升.     

BIOS级身份认证系统的设计及实现

针对单机环境下通用PC终端常用身份认证方法存在安全隐患的缺点,提出了一种在计算机BIOS级进行用户身份认证的解决方案,用于增强主机系统的安全防护能力.在研究计算机BIOS系统安全功能增强技术的基础上,论述了基于USB Key的BIOS级身份认证系统的工作流程,详细分析了身份认证系统的组成结构及关键技术,并给出了相应的实现方法.实验结果表明,该身份认证系统能够较好地抵御典型的恶意攻击,满足PC终端安全防护的需要.     

IPSec协议的远程证明扩展

传统IPScc协议在建立安全通信连接时,没有考虑终端自身安全问题,而可信计算的远程证明机制就是为被接入方提供接入方的自身安全证明,将其引入IPSec协议可以弥补建立IPSe。连接时的终端安全漏洞。首先分析了IPScc协议的IKE协商过程和可信计算技术的远程证明机制,然后以基于数字签名的IKE主模式流程为例,提出在IKE协商阶段引入远程证明机制的IPScc远程证明扩展协议流程及安全分析。该协议引入带有SKAE扩展项的身份证书,实现对终端身份和系统完整性的双重认证,确保端到端的安全连接。协议在保证通信信息的机密性、完整性、新鲜性之外,也充分保护终端平台隐私性。     

基于国密算法的智能终端语音加密系统设计

设计了基于国密算法的智能终端语言加密系统,该系统采用移动互联网、通信技术和密码学技术相结合的方法,基于国密算法和标准的PKI证书机制,完成统一签名身份认证、安全访问控制和语音数据加解密功能,从而实现手机终端的端到端安全语音通信。     

一种基于可信计算的VPN接入认证方案

平台安全性在远程访问企业资源显得越来越重要.目前VPN客户端认证在对终端用户身份和平台身份认证的同时,尚未很好地保证终端平台的安全性,使得终端平台成为入侵者获得非法访问权限的途径.通过采用智能卡和可信平台模块相结合的方案,提高了终端平台身份认证的安全性,确保网络接入和通信的安全可信.     

基于TNC的网络终端认证模型设计

针对可信计算平台终端在网络连接认证时存在的安全隐患,提出一个基于可信网络连接框架的网络终端认证模型TNTAM。该模型通过加入身份认证系统模块、信息访问鉴别模块IADM和引入策略管理器来加强终端认证的安全性,实现了用户、改进的认证智能卡以及可信终端三者间的相互认证,并确保了可信终端请求网络服务的可信性和通信安全。对TNTAM模型的具体应用流程进行了设计。最后对比分析表明,该模型减小了可信终端在网络认证时存在的安全隐患并为加强终端认证安全提供了一种思路。     

基于PKI的内网信息安全访问控制体系设计与实现

为解决内网信息安全管理问题,依据安全等级防护标准和信息安全技术的研究,提出了一种基于公开密钥基础设施(PKI)在内部网构建信息安全访问控制体系的设计模型。该模型通过身份认证、终端防护、SSL安全认证网关的有效结合,建立由终端至涉密资源之间可信、完整、有效的信息安全传输机制。应用实例表明了该方法在实际信息安全访问控制中的可靠性和有效性。     

eID移动身份认证系统的研究与实现

现有移动身份认证方式缺乏对用户的普适保护,导致用户隐私信息泄露问题时发。网络电子身份证e ID(electronic identity)在确保个人身份真实可信的前提下,可有效避免用户身份信息被保留在各种网络运营商处时曝光和泄露的风险。然而,常规的e ID终端载体仅支持USB端口的使用方式,无法适用于很少支持USB端口的移动终端设备。文章提出一种基于网络电子身份证e ID的移动身份认证系统,通过NFC(near field communication)技术将e ID与应用系统认证过程相结合,充分发挥NFC技术耗能低、通信高效且安全的优势,利用e ID的隐私保护、高度可信以及安全可靠等特点,设计并实现了e ID移动身份认证流程。在移动端完成用户真实身份的有效认证,保障用户身份安全可信的同时有效保护用户隐私,实现了前端虚名、后台实名的认证机制。实验证明该方法具有普适高效性,可以有效解决移动互联网使用e ID身份认证的问题。     

面向智能产线的R-ECC身份认证方法

在智能制造与“工业4.0”环境下,智能产线作为智能制造的重要载体,在其智能运维、状态监控与数据采集方面具有较高研究意义.本文针对工业物联网智能产线中,基于Android的智能产线移动终端与OPC UA服务器通信过程中存在的通信资源受限、数据传输安全性要求高等问题,在现有OPC UA通信模型的基础上,设计了一种面向智能产线移动终端的身份认证方法R-ECC （Random-Elliptic Curve Cryptography）.该方法在认证过程中引入了随机数和椭圆密码体制,在提高OPC UA身份认证安全性的同时,降低了通信资源的消耗量.实验结果表明,面向智能产线的R-ECC身份认证方法可以有效提高身份认证过程的安全性,在降低智能产线移动端硬件资源消耗量的同时加快了身份认证速度.     

泛在电力物联网可信安全接入方案

为全面提高全业务泛在电力物联网安全综合防御能力,解决目前全业务泛在电力物联网安全防护指导和终端认证机制的缺失和不足,本文提出一种泛在电力物联网可信安全接入方案。首先给电力物联网终端层设备确定一个唯一标识的指纹信息;然后结合该指纹信息,采用身份标识密码技术实现终端层设备的接入认证,阻断非法终端的接入;最后设计合法终端的身份信息安全传递机制,根据身份信息对合法终端的异常行为进行溯源。     

基于联盟链的分布式高效身份认证

为了解决传统身份认证中用户认证流程繁琐、身份信息不安全、认证系统易受攻击等问题,提出了一种基于联盟链的分布式身份认证方法,利用区块链的去中心化、不易篡改的特性和非对称加密等方法,提高用户身份认证系统的安全性和稳定性.在此基础上设计了分布式认证方案,包括身份注册和认证流程,并对其中的核心共识算法PBFT进行了优化,以提高...     

安全高效的异构无线网络可控匿名漫游认证协议

分析传统的匿名漫游认证协议,指出其匿名不可控和通信时延较大的不足.针对上述不足,提出异构无线网络可控匿名漫游认证协议,远程网络认证服务器通过1轮消息交互即可完成对移动终端的身份合法性验证,当移动终端发生恶意操作时,家乡网络认证服务器可协助远程网络认证服务器撤销移动终端的身份匿名性.该协议在实现匿名认证的同时,还具有恶意匿名的可控性,有效防止了恶意行为的发生,且其通信时延较小.安全性证明表明,该协议在CK安全模型中是可证安全的.相对于传统漫游机制而言,该协议更适合于异构无线网络.     

基于TrustZone的分布式可信接入方案研究与实现

随着B/S模式访问盛行,其访问的安全性受到越来越多的关注。当前几乎全部单位允许自己的员工通过终端访问应用系统,以满足通信需求。显然,这种访问并未在安全认证环境下进行。此时,做好终端认证、用户认证、接入认证及应用系统认证尤为重要。所以我们需要一种可信接入方案,以保护通信和敏感信息。本文采用VUE及KONG LUA架构,基于零信任核心理念和原则提出一种分布式可信接入方案。从应用访问、接口调用两个维度,保证终端可信、身份可信、访问可信及动态控制,解决终端可信问题、身份可信问题、行为可控问题。并采用分布式设计,解决并发连接的问题,提升用户体验。     

配电网IEC60870-5-104协议的抗中间人攻击算法

馈线终端单元（Feeder Terminal Unit,FTU）采用IEC60870-5-104协议进行远动信息传输。但是由于该104协议报文采用明文传输,缺乏基于数字签名的认证机制,导致其存在中间人攻击的安全隐患。为了验证104协议通信存在的问题,本文构建了馈线终端FTU与主站的通信系统,验证了中间人攻击截获的104协议数据,为了增强协议安全,提出了一种基于身份认证的（BM-RAP,Bellovin-Merri based RSA&AES Protocol）改进方法,在虚拟机实验环境下,完成一次主从站身份认证时间在20-80毫秒之间,实验结果表明,该方法增强了抵御中间人攻击的能力。     

无双线性对的动态口令认证与密钥协商方案

提出了一种椭圆曲线密码体制下基于身份的双向认证方案,用于解决基于移动终端的动态口令机制身份认证方案在双向认证和会话密钥方面的不足。该方案使用移动端令牌生成动态口令,采用三次握手原理实现身份认证,支持安全会话密钥协商、一次性口令、双向认证和轻量级服务器存储。分析表明,该方案可以抵抗针对移动终端口令认证方案的常见攻击,安全有效,满足安全设计目标。     

基于区块链技术的电力物联网终端安全认证系统应用研究

电网状态全感知的目标意味着物联网技术在电网的广泛应用,大量物联网终端通过传感技术、通信技术和计算机技术接入网络。电力物联网终端分布呈现数量大、地域广、采集数据复杂的特点,容易被攻击者突破和入侵,而且传统的中心化认证存在单点失败、性能瓶颈等问题。本文基于区块链技术,研发并应用了基于终端标识符的DID数字身份、区块链多源适配的DID解析器、基于终端凭证信息的零知识证明、基于机器学习算法的设备管理等技术,设计出了一种基于区块链的电力物联网终端安全认证系统。该系统在电网内成功应用,实现了物联网设备接入认证的去中心化,降低了设备接入的网络安全风险,减少了中心化基础设施建设和维护的成本,提高了运维人员的工作效率。