基于属性签名的属性远程证明方案

摘 要: 可信计算中的远程二进制平台完整性证明方式存在平台（软,硬件）配置泄露问题,导致针对性攻击、差别化服务和匿名性破坏。提出利用属性基签名（attribute based signature,ABS）构造远程证明中的属性证明方案（property based attestation,PBA）。将属性签名中的签名策略（属性树）映射到远程证明中的安全属性。利用属性签名的匿名性的特点,验证者无法得知证明方的具体配置,仅能得知证明者是否满足签名策略也就是安全属性,达到验证属性证明目的。方案中无需使用属性证书,由不同授权机构管理平台配置,共同生成属性签名。在标准模型下对方案进行了安全性证明,满足正确性、不可伪造性和隐私性。     

基于计算平台安全属性的高效远程证明方案

现有的基于平台安全属性的远程证明方法对认证双方所传输的信息进行了加密,虽然可以实现数据保密,但认证过程耗时比较长,针对该问题,提出2个基于平台属性的远程证明方案以提高平台属性的验证效率,其中基于可部分否认的认证方案在远程证明的性能优化方面表现显著,基于Bloom过滤器与Paillier加密的认证方案的性能提升虽然不如可部分否认的认证方案,但是该方案对所传输的信息能够具备保密特性,这2个认证方案适用于对远程证明效率要求较高的应用场景,同时能够实现身份认证时对计算平台安全性的检查与校验.     

一种能提供网上安全属性服务的证书的研究

该文首先介绍实现网上安全属性服务的相关知识,然后对使用X.509证书和属性证书实现web安全属性服务局限性作了分析,在此基础上提出一种新型证书来解决这些问题,使得CA对证书的认证、发放、管理有了很大的提高,另外还给出用这种证书来实现WEB安全属性服务的模型.     

基于属性的私有密钥证书的安全框架及其实现

为了防止非法用户访问合法的资源,分析了当前已有安全协议标准中存在的问题,提出了一种含有属性的私有密钥证书,该证书可自由存放,操作简便,达到了防止攻击的目的,实现了对证书的安全管理.给出了使用具有权限和服务类型属性的证书所实现的鉴别过程.该方案已经用于计算机网络系统中.     

支持验证代理方的远程证明模型及其安全协议

针对现有的远程证明模型中存在的终端平台基本配置细节与安全属性特征等隐私的保护问题,提出了一种具有委托模式的支持验证代理方的远程证明模型(AP2RA)及其安全协议．引入可信第3方接受验证方的委托,实施终端软硬件的完整性和安全性证明,并可信地报告平台当前状态的布尔值,改进了基于验证双方的远程证明模式,有效地保护了被验证方的平台隐私．与已有的方案相比,该方案能够抵抗被验证方消息重放攻击和共谋攻击,以及追踪对验证代理方(APP)发起攻击的终端平台,适用于可信网络中的资源分发与信息共享等环境．     

硬件安全门级细粒度形式化验证方法

针对硬件设计长期缺乏有效的安全验证方法问题,提出了一种硬件安全门级细粒度形式化验证方法．该方法使用形式化语言在逻辑门层面上描述硬件电路的安全属性,构造包含安全属性跟踪逻辑的形式化语义语句,从而将硬件设计转化为电路语义模型,并结合霍尔逻辑三元组理论构造用于验证该模型安全属性的定理．定理的证明过程是以人机交互的方式在定理证明器环境下验证定理的合理性．实验结果表明,该方法能够形式化地遍历电路语义模型的状态空间,精确验证不同输入状态下电路语义模型的安全性．该方法通过构造安全属性跟踪逻辑提高了验证的精确性,结合定理证明提高了验证覆盖率,能够有效地验证硬件设计的安全性．     

无可信中心的门限身份认证方案及其博弈分析

提出了一种在无可信中心的情况下由组中成员共同颁发证书的安全门限身份认证方案.该方案利用门限的思想,从n个认证参与者中选取七个参与者依次对待验证者颁发子证书,当待验证者接到七个子证书时可以合成最终的证书.该方案还提出了惩罚机制,并将该机制运用到协议中.该方案将认证过程分为初始化阶段、密钥生成阶段、子证书生成阶段、证书合成阶段和证书验证阶段,并在标准模型下对各个阶段进行了安全性的博弈分析,表明该方案是健壮、安全的.     

可信的智能卡口令双向认证方案

提出一种基于智能卡的可信双向认证方案,使用散列函数认证身份,采用远程证明方法验证平台可信性.该方案支持安全会话密钥协商,支持用户身份匿名及口令自由更换,服务器平台证书可更新.分析表明,该方案可以抵抗针对智能卡口令认证方案的常见攻击,安全高效,满足安全设计目标.     

MapX4.0中存在的问题及查询性能研究

针对组件式GIS应用系统中普遍关注的空间、属性信息交互查询功能的实现问题展开研究.对比分析了空间信息和属性信息等几种不同查询方式的实现过程；探讨了应用地理信息系统二次开发组件MapX构建系统时，提高查询效率的不同方法.同时，指出了在系统开发实践中采用MapX40进行属性信息查询时存在的问题，并给出了具体的解决方案.     

单云服务提供者环境下的随机化属性保护研究

单云服务提供者环境下用户随机属性隐私保护包括防范属性集更新泄露与密钥关联属性泄露,主要通过代理认证、零知识证明、可信第三方和匿名签名实现.针对属性保护严重依赖第三方的密钥分配与属性授权,提出了一种密文策略属性基群签密随机属性保护方案.该方案利用无证书群签密的无连接交互验证特性,在用户计算密钥因子时防范云服务提供者获得密钥关联属性信息;利用属性撤销的密钥重构与属性分割的密文重构的相互独立特性,降低了用户签密所需要的最小属性集数量,抵制了攻击者利用属性集更新伪造签名;以密钥服务为中心设计了群签密的身份验证机制以防范其他用户身份伪装.结果表明:该方案实现了保护随机属性安全和消息隐私.     

校园物业实施ISO 9000质量管理模式的探索与实践

ISO 9000质量认证体系是国际通用的质量管理标准体系.利用ISO 9000来规范物业管理,有利于提高物业工作的整体管理水平和服务质量,从而达到物业管理的标准化、制度化和科学化.从校园物业管理的实际工作出发,着重论述了ISO 9000质量管理体系的导入过程、实施中应当注意的问题以及认证引入后所带来的变化.     

短群签名在可信计算中的应用研究

远程证明提供了平台身份匿名认证功能,并给出了基于隐私CA及直接匿名认证两种方案。直接匿名认证方案的提出意在解决隐私CA方案中的CA瓶颈问题。文章提出了一种全新的直接匿名认证方案：以标准模型下的短群签名机制为主线,以1-MOMSDH假设为安全基础,在与现有方案保持相似效率的前提下,提高协议整体安全性。     

嵌入式可信终端认证原型的研究与实现

针对目前终端面临的安全隐患,利用可信计算思想,提出了嵌入式可信终端认证原型的设计方案。该方案将口令、生物特征、证书机制和可信认证机制相互融合,构建出用户、终端和应用三层次嵌入式可信终端认证原型,并对可信终端的硬件环境构成、可信引导和可信认证等问题进行了深入分析。该原型对TCG定义的TPM功能进行了扩展和应用,可为嵌入式终端平台提供可信的计算环境。     

基于VPN技术的网络安全

VPN技术是在数据的传输过程中加上了加密和认证的网络安全技术,为在公网上实现专用网提供了一种解决方案。讨论了VPN技术的概念、关键技术、系统结构模型、相关协议以及其在网络安全中的应用。     

基于TPM的视频安全远程取证

为了保证视频内容被合法用户接收,且接收到的视频内容没有受到帧丢弃、帧重组等恶意攻击,对接收到的视频内容安全信息进行远程取证。提出了基于可信平台模块TPM的视频安全远程取证,对该远程取证的结构和过程进行了分析。为防止中间人伪造远程取证响应,提出了基于Fourier-Mellin的视频内容哈希算法,采用TPM对视频帧的特征进行认证;同时为提高远程取证的效率,提出了用于视频安全远程取证下的可区分粒度的取证模式,分析了如何能够有效地在粒度下视频序列中寻找不可信视频帧。通过实验证明了该视频哈希算法的有效性,并验证了可区分粒度取证模式的特点。     

基于双线性对的直接匿名认证方案

针对当前直接匿名认证(DAA)方案设计复杂度高、计算开销大,导致制约资源受限的嵌入式或移动可信智能设备的应用的现状,提出了一种改进DAA方案. 采用双线性对密码体制,以双线性对为工具,以q强Diffie-Hellman、判定性Diffie-Hellman安全假设为基础. 分析结果表明,该方案在确保正确、安全、匿名的基础上,计算开销得到了有效降低,解决了当前资源受限可信设备的计算瓶颈问题加速推进了DAA方案在移动领域的应用.     

基于Apache的Web安全技术的应用研究

对Apache的Web服务器安全性进行研究，分析了客户认证对受保护资源访问控制的策略，论证了数据加密和SSL协议对Web安全传输所起的作用，并在Linux和Solaris系统上实现了Apache的Web服务器的安全应用。     

基于AIC的IBE私钥分发协议

为了解决IBE用户私钥的安全分发所存的身份认证、私钥安全传输和私钥托管问题,提出一种基于身份证书的IBE私钥分发协议。该协议通过可信机构信任机构（TA）颁发的身份证书来验证用户的身份、采用一种盲技术保证了用户私钥在公共通道上传输的安全性以及基于多机构方式解决了用户私钥托管问题,且与Lee B协议相比至少减少了2t运算量。