基于可信计算平台的体系结构研究与应用

介绍了可信计算平台的关键部件组成及其功能,描述了可信计算平台的特点和原理机制,以及目前可信计算平台的研究进展情况,分析了基于可信计算平台技术的应用前景和存在的问题,并对未来的趋势进行了展望。基于863项目“可信计算系统平台”的安全芯片研制成功,展现了可信计算的良好应用前景。     

基于可信计算平台的身份管理框架*

针对网络用户身份管理难题及现有的身份管理方案存在的不足,基于可信计算平台完整性校验、保护存储和访问控制以及远程平台校验等安全特性,提出了可信计算平台身份管理方案和协议。本方案实现了多种方式的身份认证及身份、身份认证审计记录和主密钥、审计密钥、平台AIK私钥的加密存储,以及移动平台的可信验证、加密身份的还原和服务提供者身份标志的查找定位,并实现了身份信息和认证数据的加密传输。最后,进行了安全性分析,结果表明该方案在保护用户身份信息安全的前提下,大大减轻了用户身份管理的负担。     

基于可信计算平台的Web服务身份认证机制研究

本文针对当前较为常用的Web服务身份认证方法在安全性、执行效率上的不足,通过引入可信计算技术,结合DAA（直接匿名认证）协议,提出了一种基于可信计算平台的身份认证方法,并给出相应的安全性分析。     

可信计算认证技术的研究

随着计算机网络的发展,通信安全和身份保护成为了一个重要的问题。在保证安全连接的时候,往往会暴露通信双方的身份信息。可信计算集团(TCG)定义的TPM标准版本1.2中使用了直接匿名认证技术。直接匿名认证技术(Direct Anonymous Attestation,简称DDA),使得通信双方在建立连接时,就可以确信对方是安全的计算平台,因此可以进行安全的数据交互;同时,此协议也保证了用户的隐私,使用无组员撤销的群签名机制使得通信双方在安全连接的时候不会暴露各自的身份信息。这种机制所依赖的主要算法是80年代末90年代初开始出现的零知识认证技术(Zero-Knowledge Proof)。     

基于可信计算技术的认证方案研究

提出一个基于可信计算技术的应用于专网的强认证方案,通过该方案的实施,可以确保用户身份、设备凭证证书以及设备IP地址的绑定。该绑定过程可以分为两部分:绑定的初始状态的确认和绑定状态的维持。绑定初始状态的确认通过认证来实现,而绑定状态的维持通过使用交换机端口和IP地址的绑定来实现。通过对该认证方案的安全性进行分析,该方案具有很好的安全性。     

基于可信计算的移动终端用户认证方案

摘要针对移动终端（ME）的特性,提出了结合USIM（Universal Subscriber Identity Module）和TPM（可信平台模块）的可信移动平台（TMP）,并以智能手机主流处理器为基础,讨论了TMP的设计案例以及TPM在ME中的三种构建方法．在提出的TMP框架内,利用RSA-KEM（密钥封装）机制和Hash函数,设计了口令、指纹和USIM相结合的用户域认证方案,实现了用户和ME、用户和USIM间的相互认证,强化了用户域的安全,并可满足TMP标准草案中安全等级3对用户认证的要求．该方案在不要求使用者与ME预先协商信任关系的前提下,既可区分攻击者和合法用户,又可辨别ME的主人和普通使用者,并能在认证过程中及早发现攻击行为,避免不必要的计算花销．定量及定性分析表明,该方案的离线和在线两种工作模式在三种不同的TPM架构下的安全性、通用性和执行效率均优于TMP标准中引用的方案,且获得了比Lee等众方法更高的安全性和通用性．     

基于可信计算平台的接入认证模型和OIAP授权协议的研究与应用

在参考现有认证技术的基础上,提出了一种基于可信计算平台的可信接入认证模型.利用此模型可以及时发现待接入设备是否是安全可信,然后进行正确处理.在确定接入的设备是安全可信后,考虑到下一步此设备需要使用认证授权协议OIAP向服务资源发出申请,但是OIAP协议本身存在基于口令机制的缺陷,为此本文还提出增强OIAP协议安全性的方法.在＂八六三＂项目＂可信计算系统平台＂中的实际应用证明上述的模型和方法的有效性,并展现了其良好的应用前景.     

基于Linux平台的身份认证系统的设计

信息安全是人们日益关注的一个问题。身份认证是保障信息安全的首要环节。文章基于Linux平台进行了身份认证系统的设计。     

电信企业信息系统统一身份认证平台

随着电信业的快速发展,各电信运营商进行了大量的信息系统建设,众多系统产生了用户安全认证、安全管理等问题,本文探讨了建立统一身份认证系统的重要性和必要性,并提出了解决方案,旨在帮助企业简化其内部系统,同时保持必要的高度安全性、可管理性以及互用性。     

基于可信计算的可信认证模型研究

针对传统的网络用户接入的安全问题,提出了一种基于可信计算的可信认证模型.通过计算评估当前网络用户安全状态信息和采用相应的访问控制策略,进行网络用户身份的可信认证,保证了网络用户接入的安全性.     

一个基于PAM的身份认证系统的设计与实现

当今网络安全越来越受到人们的重视,身份认证作为同络安全的重要组成部分,已成为保证应用系统安全的有力手段。当前的一些身份认证产品的缺点是认证方法单一,缺少扩展性,很难满足不同应用系统的需要。本文提出了一个基于Linux PAM(Pluggable Authentication Modules)的身份认证系统,可支持多种认证方法,而且具有良好的扩展性。本文首先介绍了PAM,讨论了基于PAM开发的关键问题,然后给出了系统的设计,最后结合具体实例阐明了系统的工作原理。     

基于PAM保护Linux系统应用程序的安全性研究

以Red Hat Enterprise Linux5．0系统为研究平台,针对如何使用可插入验证模块（Pluggable Authentication Modules,PAM）保护Linux系统应用程序的安全性进行分析,研究了PAM的基本原理以及有效地使用认证模块来保护应用程序的安全性。     

基于Kerberos协议的用户到用户认证系统的研究

基于Kerberos协议的典型系统为单点登录身份认证系统,即单域身份认证系统,而关于用户到用户的身份认证系统,多采用NTLM协议.为了研究基于Kerberos协议的用户到用户认证系统,在充分研究Kerberos协议的体系结构和工作流程的基础上,对用户到用户的Kerberos身份认证系统的认证过程进行了详细的设计,分析了用户到用户的Kerberos身份认证系统的典型结构.研究表明,当一个客户端需要访问另一个客户端中运行的服务时,Kerberos身份认证协议支持在两个客户端之间的身份认证.     

基于强身份认证的网络应用单点登录系统研究

利用数据加密技术，实施一种基于挑战／应答方式的安全身份认证。并在该身份认证的基础上，开发出针对园区网环境的网络应用单点登录系统。园区网用户可通过该系统访问注册过的各项B／S和C／S网络应用，且效率和安全性都得到了更大的提升和保证。     

基于Hook技术的认证系统研究

通过对接入和访问内网的各用户和终端主机身份认证,进而对主机用户进行授权与限制,确保内部网络的安全性。该文首先提出基于Agent的认证系统,然后着重从技术上探讨了认证Agent的具体实现细节,即利用Hook系统核心函数的方法来实现客户端认证Agent软件。这是一种工作于内核模式下的类软件防火墙技术,实现效率高、安装容易、运行稳定。     

基于PKI的CA认证系统的研究

随着网络应用的不断发展,PKI技术逐渐成为解决网络安全问题的核心技术之一。本文首先阐述了PKI及相关技术,其次剖析了PKI在电子邮件、Web安全以及VPN中的应用,并进一步探讨了CA认证系统机构间的通信。     

基于TCP/IP应用层密码认证协议的研究

认证是获得系统服务所必需的第一道关卡,对系统认证协议进行研究和分析是保证网络安全通信的必要条件。文章简要描述了用户口令认证协议（PAP）、询问握手协议（CHAP）、Kerberos认证协议和X.509协议的基本思想,从系统的实用性、扩展性和管理性方面进行综合对比,并给出其使用的环境,重点对Kerberos认证协议进行详细地讨论,提出对其改进的认证协议设计思想。     

基于OTP和RSA的身份认证系统研究

该文应用RSA密码机制既可对数据加密又可对私钥拥有者进行身份认证的原理,对挑战/应答方式的动态口令身份认证系统进行了改进。改进后的系统通过对在网络上传输的认证数据进行加密确保了数据在传输过程中的安全性,同时实现了用户和服务器间的双向认证。另外,改进方案利用软件来产生随机挑战大大节省了开销成本。     

基于认证技术的可信校园网络体系的研究

传统模式的校园网采用防火墙加上一定的访问控制策略来保证网络的安全,这种模式的网络只能抑制来自网络外部的威胁,而不能有效防治网络内部的安全隐患,因此提高网络内部的安全性是进一步提高校园网整体安全的重要环节。本文分析可信网络的原理和特点,将可信网络体系应用到校园网中,提出一种新型的基于认证技术的可信校园网体系,同时描述该网络的组成和结构,给出网络的拓扑图,最后分析网络的安全机制原理和具体的实现方法。