基于可信平台模块的直接匿名认证协议的研究

以可信平台模块TPM为基础,研究支持可信计算的认证策略,包括简单背书公钥、隐私CA(Privacy Certification Authority)、直接匿名认证DAA (Direct Anonymous Attestation) 协议,并对简单背书公钥、隐私CA和直接匿名认证协议进行比较分析.最后,给出了直接匿名认证协议的整个处理流程及应用.     

面向电大远程教学视频的数字版权保护系统研究与设计

目前电大远程教学系统中的课程一般都配备IP课件、直播课堂等视频内容,但教学视频的版权保护尚存在问题,甚至还未引起重视。针对电大教学视频的发布、管理和使用等现状,在研究数字版权管理技术的基础上,设计了一套教学视频版权保护系统,给出了一个基于数字认证和内容加密的视频版权保护系统实现方案。     

一种基于端对端平台可信性互认证的可信迁移框架及协议

针对计算平台间的对象(如进行/线程、服务和移动代理)迁移的安全问题,提出了一种基于端对端平台可信性相互认证的迁移框架.从受保护的底层硬件开始,使用可信平台模块TPM的完整性度量机制来实现计算平台间、平台与服务以及封存状态数据的可信认证.通过提出的认证协议可保证迁移对象在可信的计算环境中转移.该迁移框架及认证协议为网格计算、集群和分布式计算取得高可用性、高安全性提供了一种可行性现实方案.     

基于Windows Media SDK的DRM系统开发

随着网络的发展，数字媒体文件的盗版问题的日益泛滥，Microsoft Windows Media9在编码过程中提供了对数字权限管理（DRM）的支持，可实现对数字媒体文件的加密保护。该文简要介绍了Microsoft的DRM技术原理及工作流程，叙述了如何采用DRM技术保护网站上的音频和视频资料。重点描述了如何基于Windows Media Rights Manager SDK创建认证服务器，提供认证许可的发放及身份的验证，如何基于Windows Media Encoder SDK创建一个数字权限管理（DRM）系统来生成密钥、打包、加密和发行数字媒体内容。     

网格环境下安全认证模型的研究

在分析了当前广泛采用的身份认证机制的基础上,结合网格发展的需要,研究了不同网格环境下GSI方案和 KX.509方案.借鉴 KX.509的代理思想,在 Globus 环境下提出了一种采用 Wen 登陆模块构建的网格身份认证模型,为校园网格用户提供透明的证书生成,使用和管理.用户在注册和认证过程中,Web登陆模块自动为用户产生数字代理证书,使用户无须拥有自己的数字证书.     

LDAP在数字校园统一身份认证系统中的应用

数字校园统一身份认证系统就是集成了多个应用系统的认证模块,所有应用系统都通过同一个认证模块进行认证和授权,从而避免了各应用系统维护多套用户名和密码.LDAP由于其跨平台性、高可读性和扩展性等,在数字校园的统一身份认证系统中得到了广泛的应用.在深入研究分析LDAP及其相关技术的基础上,设计并实现了数字校园中基于LDAP的统一身份管理,并且实现了新的目录信息录入接口,避免了命令行和LDIF文件录入的不方便性.     

基于可信计算的DRMS安全系统设计与仿真

数字版权管理系统旨在解决日益突出的数字版权问题,然而系统的认证环节却给用户带来安全隐患.针对解决系统用户安全问题进行研究,提出基于可信计算的数字版权管理系统.利用可信计算理论中的硬件级可信平台模块和直接匿名证明理论优化系统认证环节,对系统认证进行模型构建.通过ClearSight和SmartBits6000等设备构建仿真平台,仿真实验证明了理论的正确性,结果表明用户安全问题得到有效解决,数字管理体系更加全面、安全.     

基于零信任体系的数字身份安全平台设计与研究

高校在统一身份认证和访问控制方面的防控仍较薄弱,面对层出不穷的网络安全威胁显得力不从心。为此,提出基于零信任体系的数字身份安全平台解决方案。引入零信任SDP技术搭建高校零信任安全架构,重构统一身份认证与访问授权平台,按功能划分DMZ微隔离区,实现用户身份统一管理、平台多因素多维认证、服务端口和设备信息对外动态隐藏、访问链接动态授权。结合四网融合场景分析校内外5G用户、校内Wi-Fi用户、校园网用户和校外互联网用户访问数字身份安全平台的准入方式。研究成果极大地丰富了智慧校园研究内容,也为高校重构和升级统一身份认证和访问授权平台提供一种全新的解决思路。     

基于Globus的网格安全认证模型的研究与实现

在分析了当前广泛采用的身份认证机制的基础上,结合网格发展的需要,研究了不同网格环境下GSI方案和KX.509方案.借鉴KX.509的代理思想,在Globus环境下提出了一种采用Web登陆模块构建的网格身份认证模型,并加以实现,为校园网格用户提供透明的证书生成、使用和管理.用户在注册和认证过程中,Web登陆模块自动为用户产生数字代理证书,使用户不需拥有自己的数字证书.     

用TPM增强Kerberos协议的安全性

根据Kerberos协议基本原理和可信计算的特点,提出把TPM(可信平台模块)加入到Kerberos认证系统中,在用户请求认证的过程中对终端平台的完整性进行测量,并分析此平台的可信性,从而确保加入该Kerberos域的终端平台安全可靠.通过在Kerberos认证中心加入TPM增强Kerberos认证协议所信赖的可信第三方的安全性.这样,确保整个Kerberos认证系统安全可靠,并通过Kerberos的跨域认证实现基于Kerberos认证的可信网络.     

在Java2环境中实现可插入的认证及访问控制

本文将可插入的认证模型（PAM）扩展为可插入的认证及访问控制模型,分析介绍了PAM在Java环境中的实现JAAS,并根据对PAM扩展的基本原理对JAAS进行了扩展,使其同时具备可插入的认证和访问控制功能。     

一种简单跨域单点登录系统的实现

分布式体系架构下多站点协作网络的应用需要统一身份认证和资源访问控制机制，单点登录系统是完成这项功能的必备模块。采用一种应用于Web环境下轻量级的单点登录解决方案，它是一种基于HTTP重定向和票据，并以跨域Cookie的共享为核心的集中式认证系统。本方案在分布式数据资源共享网络建设中实现了多个站点的跨域全局登录、用户认证和用户授权等功能。通过建立规范的登录控制模块，简单地修改配置文件，就可方便地将分散网络节点加入认证体系，完成网络节点单点登录和资源访问控制问题。     

网上银行安全认证及控制分析

文章论述了基于动态口令的网上安全认证问题。首先分析网上银行安全存在的隐患问题,提出了一种动态口令认证方法,并定义了此动态口令认证方法在系统中的模块组成,它可以分为口令模块、控制模块、服务器模块以及应用服务模块四个模块,并描述了使用此动态口令认证方法在系统中的实现流程,并针对目前广泛存在的安全性问题,提出了一些具体的安全控制策略。本方法目前已上线运行,运行情况良好,具有很强的实用性。     

TRASEC: Belgian security system for electronic funds transfers

The Belgian banking community has designed a standard security system TRASEC (TRAnsmission SECurity) for EFT (Electronic Funds Transfer) between corporate customers and all financial institutions, which will become operational by the end of 1987. TRASEC ensures the integrity and authentication of EFT in an automated environment and is easily integrated in the actual banking procedures. The system is independent of the transfer medium, the application, and the configuration and type of the computers of the customer and the financial institution. The customer's system consists of a condensing module and an authentication module. The condensing module is a one-way-function, implemented as a program on the customer's computer, which condenses a transfer file to a digest. The digest is the input of the authentication module, which calculates a digital signature (MAC). This authentication module is a smart card which contains the message authentication algorithm based on DES, password management, secret keys, passwords, sequence number, etc…     

基于Axis的Web服务认证模块的设计和实现

Web Services为企业系统集成、电子商务等提供了规范的、开放的分布式应用环境。但现有的安全机制不能满足Web Services体系的安全需求,身份认证是安全问题中的一个基本问题,利用Apache Axis提供的Handler机制,设计和实现了一个认证模块,使服务使用者和服务提供者在不对原有代码作任何改变的条件下完成身份认证。     

基于Axis的Web服务认证模块的设计和实现

Web Services为企业系统集成、电子商务等提供了规范的、开放的分布式应用环境。但现有的安全机制不能满足Web Services体系的安全需求,身份认证是安全问题中的一个基本问题,利用Apache Axis提供的Handler机制,设计和实现了一个认证模块,使服务使用者和服务提供者在不对原有代码作任何改变的条件下完成身份认证。     

基于Web的RAP安全认证方案

该文介绍了一种新的基于Web的安全远程访问解决方案:安全远程控制系统RAP(RemoteAccessPass)。文章概述了RAP的安全需求,并根据RAP基于Web的特征以及系统模型自身的特点,给出了一种C/S结构的分布式安全认证模型,并设计了基于消息认证码MAC技术的安全认证方案,最后对认证方案的安全性进行了分析和讨论。该方案在不改变防火墙和内部架构的基础上,实现了内部信息系统对外部访问者的安全认证。     

一种灵活的认证授权系统的设计与实现

论文提出了一种基于Java认证授权框架和角色访问控制的认证授权系统的总体结构,并给出了具体的实现过程。特别对涉及到的关键技术包括认证模块的设计、授权模块的设计进行了详细的介绍。     

真实源地址框架下的特定源组播接收者认证*

为了解决特定源组播接收者认证问题,在研究真实IPv6源地址验证体系结构的基础上,提出了一种该体系结构下的特定源组播接收者认证方案。该方案在与主机直连的路由器上加载了认证功能,能够对组播接收者的组播认证码进行认证,以此实现组播接收者的合法性验证,防止网络中组播服务盗用;设计了一种存储于三层交换机的组播端口列表,解决了同一局域网内组播接收者访问控制问题。通过仿真实验证明,该方案能够实现对组播接收者的认证功能,而且对组播效率影响不大。     

网格环境下基于VO的统一认证授权研究

网格计算系统中的资源共享和协同工作建立在虚拟组织基础之上,各种资源的共享是受认证和授权控制的。可以说,认证授权是网格安全的本质,是网格计算系统成败的关键。因此,研究虚拟组织的认证授权模型具有重要意义。根据GSl模型提出了一种基于VO的统一认证与授权模型。