基于零信任的云环境数据存储加密模型研究

云存储资源高可用及弹性配置，也带来对资源的横向移动攻击、系统超级用户非授权访问、用户数据泄露等安全隐患。本文以NIST零信任架构为基础，扩展软件定义边界架构，提出SDP网关和存储加密网关双网关相结合的零信任云存储安全模型。细化控制面安全框架，定义主体可信判别、操作权限可信判别的访问控制模型，改进信任传递逻辑和密码安全机制，不但满足云计算环境先认证后连接，进而提供先认证后资源管理、先认证后操作存储数据安全。     

零信任在气象网络安全中的应用研究

分析了气象信息网络面临的新形势和存在的问题，设计了一种基于零信任的气象网络安全模型，采用全流量网络数据包认证的方法，解决了模型中零信任服务的主机安全问题以及资源请求全过程的通信安全问题，结合气象网络的实际特点，给出了零信任气象网络的部署方式，并将模型应用在重庆气象业务中的互联网远程访问、互联网/气象专网统一访问和气象云/政务云统一访问等场景，实践证明，该模型提高了气象数据资源的安全性。     

一种通过DNS实施零信任身份认证的方法设计与实现

随着网络攻击的不断演变，以传统的身份认证方式应对当下的安全威胁已经开始变得力不从心。文章介绍一种基于DNS实现零信任安全认证的方法，在零信任安全模式下，所有用户都被视为潜在攻击者，必须通过严格的身份认证才能获得访问权限。基于DNS的身份认证方法技术是较为新兴的技术方案，在国内关于DNS与零信任安全模式融合尚处于空白，能够有效抵御暴力扫描、DDoS攻击、域名劫持、DNS欺骗等多种攻击手段。通过研究针对DNS的零信任部署能够有效提高防护手段，降低在企业场景下来自内部与外部各类攻击的风险。     

基于虚拟组织的桌面云安全访问与共享机制研究

采用云计算技术实现托管式的虚拟桌面一般被称为桌面云。近年来桌面云被认为是云计算最为成熟的应用之一,本文着重研究桌面云安全访问与共享机制。我们使用基于PKI的证书认证建立了虚拟组织,在其上重点研究了虚拟机的创建,远程桌面访问,共享等应用。证书认证等机制可以使得访问更加安全可靠。而通过虚拟组织的信任关系,多个用户可以共享同一个虚拟机。为了确保远程通道的安全,我们采用了OpenVPN来构建虚拟专用网络,对虚拟机的使用者进行认证并对通信进行加密保护。     

基于桌面云的统一身份认证架构研究

桌面云是云计算的一种典型应用,能够有效提高资源利用率和维护效率,使人们应用桌面系统的方式发生了深刻变革。但是随着桌面云的广泛应用,如何集中管理和统一认证用户身份成为了桌面云面临的挑战。文章通过分析传统单点登录和桌面云认证技术,提出了一种基于桌面云的统一身份认证模式．并对该架构的优势进行了分析。     

浅谈桌面云在医疗机构中的应用

随着我国新医疗卫生体制改革的深入,医疗机构的信息化建设已跃入高速发展期,云桌面的扩展性较高,数据安全优势显著,广泛应用于医院信息化建设,信息化系统已经广泛应用于各医疗机构,现在需要更科学便捷的方案,解决对医疗桌面的随时随地更加便捷的访问。云计算技术给云桌面提供了技术支撑,通过设计实现了基于虚拟桌面基础架构的VDI模式的桌面云方案,使用可靠性较高,和高吞吐性能的方案,让临床医护都可以登录自己的虚拟桌面,对不同科室不同需求实现按需分配资源。同时对医疗机构的所有桌面资源进行统一管理,并支持不同使用者的不同设置,对临床数据进行实现了集中存储和处理,保证了数据的安全性和可靠性。高效解决了医疗机构计算机分布乱,维护难等问题,满足了医护弹性办公的要求,提升了医院的满意度。通过对传统医疗机构面对的困难问题进行分析,对桌面云架构在不同场景提出了桌面云建设方案。     

基于密钥共享的分层混合认证模型

随着信息时代的迅速发展,云计算数据访问安全已经成为了用户最关心的问题。身份认证技术是确保参与者在开放的网络环境中实现安全通信的一种重要手段,如何利用身份认证技术为云环境安全保驾护航,成为学者研究的热点。文中通过公钥基础设施(Public Key Infrastructure,PKI)颁发CA证书以在不同云服务间建立信任,将多个采用身份密码体制(Identity-Based Encryption,IBE)的云联合起来；采用分层身份加密体系,引入共享密钥技术,通过选取成环结构,提出一种PKI-IBE混合认证模型方案,并对方案的安全性进行分析,从理论上证明了云环境下PKI-IBE(Public Key Infrastructure-Identity-Based Encryption)同层成环模型提供服务的可行性。同时文中设计了一种基于该模型的签密技术,通过公私密钥对实现云内认证以及跨云认证。安全性理论证明与性能分析表明,该方案在计算量稍增加的前提下,保证了足够的安全性,更加满足云环境下的用户分属不同云域的认证以及用户安全访问的需求,有效解决了云环境中数据访问的安全问题。     

基于云桌面的内网信息安全管理系统实现

本系统公开了一种基于云桌面的内网信息安全管理系统,核心是数据来源服务器、核心网络设备、安全网关服务器、上网行为管理服务器、数据存储中心和云桌面系统,云桌面系统包括控制端和若干桌面虚拟客户端。系统以云桌面为技术支撑,以身份认证为基础,以数据安全为核心,以监控审计为辅助,可灵活全面的定制并实施各种安全策略,实现对内网中用户、计算机和信息的安全管理。     

基于零信任体系的数字身份安全平台设计与研究

高校在统一身份认证和访问控制方面的防控仍较薄弱,面对层出不穷的网络安全威胁显得力不从心。为此,提出基于零信任体系的数字身份安全平台解决方案。引入零信任SDP技术搭建高校零信任安全架构,重构统一身份认证与访问授权平台,按功能划分DMZ微隔离区,实现用户身份统一管理、平台多因素多维认证、服务端口和设备信息对外动态隐藏、访问链接动态授权。结合四网融合场景分析校内外5G用户、校内Wi-Fi用户、校园网用户和校外互联网用户访问数字身份安全平台的准入方式。研究成果极大地丰富了智慧校园研究内容,也为高校重构和升级统一身份认证和访问授权平台提供一种全新的解决思路。     

云桌面技术及安全问题

现阶段云桌面技术已被应用到了很多领域,其中云桌面的办公系统运用最多,极大提高了人们的办公效率。云桌面属于计算机科学技术,其中存在一定的安全问题。为了提高云桌面办公系统的安全性能,笔者在阐述云桌面相关技术优势的基础上,分析了云桌面办公系统存在的问题,并且有针对性地提出了解决的办法,以供参考。     

面向云桌面平台的攻防反馈防御图研究设计

随着云平台的飞速发展,移动办公、BYOD办公已经席卷全球,各个企业更是将云桌面办公作为首选,建立基于云服务的云桌面环境。然而,新的办公环境也将引入新的安全问题。目前云桌面安全的研究尚未成体系,云桌面的防御知识相对匮乏,国内也缺少全面、系统、有效的防御方案。云桌面的虚拟化结构决定了其不再是糖葫芦串式的防御结构,在一定程度上云桌面服务器防御比传统服务器更敏感。文章通过对云桌面的防御体系架构分析,提出了一套适用于云桌面的攻防反馈防御图的主动防御方案,将其防御结构过程和攻击结构过程展现出来,通过防御分析进行定向攻击设计,并基于生成的攻击图进行安全防御的反馈,再进行防御图的优化。文章采用了逆向广度搜索算法寻找攻击脆弱点,不漏掉不重复任何一个可靠的攻击路径。文章引入了攻防博弈模型,实现符合适度安全原则的防御优化方案。最后,文章通过某著名的云桌面提供商实验展现云桌面攻防反馈图的仿真过程。     

基于零信任的系统架构应用

当前,网络攻击、文件破坏、数据泄露等网络安全事件频频发生,内网访问和VPN访问的安全模式已经难以适应当前网络安全要求.为解决影响企业发展的网络安全问题,零信任的系统框架以用户为中心、以动态认证和最小授权为机制,通过终端、链路、节点全方位的安全监测为企业提供全过程的安全保障.在零信任机制上搭建的统一身份认证平台不仅解决了...     

IPSec-VPN中应用PKI的研究与实现方案

基于IPSec的虚拟专用网（VPN）尽管极大地改进了传统IP协议缺乏安全机制的问题，但在复杂情况下仍会因身份认证不完善而影响网络的安全性，PKI是一套可公开信任的提供认证服务的安全平台，可提供身份认证和角色控制服务，该文分析了IPSec和PKI在安全上的技术特点，提出了一种将PKI认证技术应用到IPSex-VPN中加强身份认证和角色访问控制，进而完善VPN安全的方案。     

基于云存储的多用户可搜索加密方案

云存储服务允许用户外包数据并以此来降低资源开销。针对云服务器不被完全信任的现状,文章研究如何在云环境下对数据进行安全存储和加密搜索。多用户的可搜索加密方案为用户提供了一种保密机制,使用户可以在不受信任的云存储环境下安全地共享信息。在现有的可搜索加密方案的基础上,文章提出了一种安全有效的带关键字搜索的加密方案,以及更加灵活的密钥管理机制,降低了云端数据处理的开销。     

服务环境下面向新能源场站轻量级安全认证方案的研究

新能源场站信息系统涉及数据多并且价值大，一旦相关数据发生泄露会使新能源企业的利益遭受侵害，提高网络通讯数据传输的安全性至关重要。本文提出了一个云服务环境下面向新能源场站轻量级安全认证方案，新能源场站用户与云服务提供商通过注册、登录和相互身份认证进行密钥协商最终达成会话密钥。安全性分析和仿真试验结果表明，本文提出的云服务环境下面向新能源场站轻量级认证方案提高了网络通讯数据传输的安全性。     

基于分段模型检测的云服务跨域认证协议的形式化分析与验证

针对多个云服务之间的跨域认证问题,提出一种基于SAML协议的云服务安全认证方案。阐明了该方案的关键技术机制,建立了云服务安全认证协议抽象模型;采用Casper和FDR软件的组合,通过模型检测法对云服务认证协议进行了形式化分析与验证;通过对安全认证协议进行分段模型检测,解决了安全协议形式化分析验证导致的状态空间爆炸问题。模型检测软件的实验结果验证了云服务跨域认证方案的有效性及安全性。     

桌面云在高校中的应用研究

高校信息化建设已进入快速发展阶段,云计算具有高灵活性、可扩展性和数据安全等优势,广泛应用于高校建设。通过对传统高校面临的问题分析,对常见桌面云架构分析,为灵活办公、多媒体教室、计算机实验室以及图书阅览室等场景提供桌面云的建设方案。从移动办公、数据安全、统一管理等方面阐述桌面云在高校中的应用价值。     

基于SDP的电力物联网安全防护方案

电力物联网的快速发展及海量终端的泛在连接和智能交互使得电力物联网的网络边界变得模糊,网络安全风险点和暴露面显著增多。文章摒弃传统的先连接后认证的安全认证措施,结合零信任安全机制提出一种基于软件定义边界的电力物联网安全防护方案,该方案利用改进的单包授权技术解决电力物联终端接入过程中存在的身份认证、电力物联系统资源隐藏及访问控制等问题,并从安全和性能两方面对方案进行分析。实验结果表明,该方案能有效抵御多类网络攻击,节省了电力物联终端的计算和通信资源,有效解决了电力物联网存在的安全认证等问题。     

基于 HIBC 的云信任分散统一认证机制

开放式云环境中,整合在同一云基础设施平台上的服务提供商之间既相互依存,又相互独立,相互合作的同时又相互竞争,不能接受同一个公用中央机构的完全控制。适用于大规模云环境下的统一认证机制面临中央机构安全瓶颈、密钥托管等问题。为解决此类问题,基于 HIBC（hierarchical identity‐based cryptography）算法,依据信任分散理论,提出了一种将中央机构的秘密值秘密共享给参与主体的思想,构建了一套完整的混合云统一认证机制,既实现了统一认证的需求又提高了参与主体对自身的控制能力,中央机构核心工作改由参与主体合作完成。运用伪公钥和滑动窗口机制有效防止了内部合谋攻击和外部截获攻击,加大了敌手攻击的难度。同时给出了跨域认证方案和会话密钥协商方案。最后,比较分析了所提出的方案在不依赖可信中心、无需证书维护、无密钥托管、跨域认证、监督机制、可规模使用等方面具有的优越性。     

基于零知识证明的跨域认证方案

针对基于PKI认证的有线网络与基于IBE认证的无线网络混合组网时,因安全策略、密码体制的不同而导致节点间身份认证困难的问题,设计了一种基于零知识证明的跨PKI/IBE域的身份认证方案,在两个异构信任域之间设置一个零知识证明承诺值代理节点,在此基础上,设计了一个异构信任域身份认证协议,实现域间实体的身份认证,并分析了该协议的正确性、安全性和效率,结果表明其可行有效.