基于可信联盟的P2P网络身份认证机制

为了有效解决传统PKI体系中存在的CA交叉认证及单点故障等问题,提出了一种新的身份认证机制。首先,基于区块链技术构建基本架构,通过动态生成可信节点来构建可信联盟;其次,提出全网统一的唯一身份标识ID并采用SRT数据结构存储;最后,通过双层共识机制全网节点皆能进行统一身份标识认证。实验表明,本机制能够满足海量用户身份信息的查询和管理,并且能够保证身份认证过程中的高效与安全。     

基于绝对信任模型的Ad Hoc网络自组织公钥管理机制

传统网络中的身份认证工作一般都是由证书权威(CA)来完成,但在分布式的移动AdHoc网络中很难实现这种集中式的身份认证机制,引入这样的中心机构会带来潜在的安全威胁,一旦中心机构遭到破坏,将导致整个网络瘫痪,所以只能寻找其它更合适的方式来进行认证.本文提出一种基于绝对信任模型的自组织公钥管理方案,通信实体自己产生公私钥并颁发证书,不需要任何信任第三方以及认证服务器,信任关系按照自然人的可信关系得到可信传播,相对传统的自组织公钥管理,具备更短的平均认证路径长度以及较高的认证通过率,更重要的是,绝对信任证书模型更加符合实际中通信主机之间的信任需求.     

基于健康档案的医疗系统PKI信任模型研究

随着医疗信息技术的高速发展,我国医疗信息化建设中的信息安全问题显得越来越重要。而基于电子健康档案的医疗系统中身份认证管理已成为解决医疗信息系统中的安全问题中关键的一环。文章以基于电子健康档案的医疗系统中身份认证机制为出发点,分析PKI中各种信任模型的特点,对现有的方式进行研究和分析,设计出符合适合区域医疗信息平台的PKI信任模型,从而使基于电子健康档案的医疗系统中的身份认证机制更为安全、高效。希望给后续研究这一课题的研究者提供参考。     

基于信任的云计算身份管理模型设计与实现

随着云计算的发展,身份管理问题已经引起业界高度关注。基于群签名的身份认证机制保证了云服务提供者不能通过外包的数据回溯用户的身份信息,并广泛应用于云计算环境的身份管理中,但它无法阻止恶意用户对云服务的非法访问。针对此不足,改进了现有的身份管理模型,将信任管理与群签名机制相结合,设计了基于信任的身份管理模型。本模型首先计算用户信任度并将其作为群签名分组的依据,再利用群签名机制实现用户认证,在应用中既能保证用户隐私,又能帮助云计算提供者保护资源。实验结果表明,本模型能有效识别恶意用户,帮助云服务提供者阻止恶意用户对资源的访问。     

基于零信任体系的数字身份安全平台设计与研究

高校在统一身份认证和访问控制方面的防控仍较薄弱,面对层出不穷的网络安全威胁显得力不从心。为此,提出基于零信任体系的数字身份安全平台解决方案。引入零信任SDP技术搭建高校零信任安全架构,重构统一身份认证与访问授权平台,按功能划分DMZ微隔离区,实现用户身份统一管理、平台多因素多维认证、服务端口和设备信息对外动态隐藏、访问链接动态授权。结合四网融合场景分析校内外5G用户、校内Wi-Fi用户、校园网用户和校外互联网用户访问数字身份安全平台的准入方式。研究成果极大地丰富了智慧校园研究内容,也为高校重构和升级统一身份认证和访问授权平台提供一种全新的解决思路。     

身份认证可信度研究

身份认证过程存在很多不确定因素,导致认证服务的结果并不绝对可信;而现有研究成果主要集中在身份认证的某些方面,不具有通用性。基于对身份认证的形式化描述和其安全性的逻辑分析,将身份认证过程中不确定因素分为4个方面;通过引入信任分类、不可信因子和安全度,提出一种具有通用性的身份认证可信度计算方法;并对基于静态口令和数字证书的身份认证模型进行实例分析。     

基于TrustZone的分布式可信接入方案研究与实现

随着B/S模式访问盛行,其访问的安全性受到越来越多的关注。当前几乎全部单位允许自己的员工通过终端访问应用系统,以满足通信需求。显然,这种访问并未在安全认证环境下进行。此时,做好终端认证、用户认证、接入认证及应用系统认证尤为重要。所以我们需要一种可信接入方案,以保护通信和敏感信息。本文采用VUE及KONG LUA架构,基于零信任核心理念和原则提出一种分布式可信接入方案。从应用访问、接口调用两个维度,保证终端可信、身份可信、访问可信及动态控制,解决终端可信问题、身份可信问题、行为可控问题。并采用分布式设计,解决并发连接的问题,提升用户体验。     

基于互不信任企业联盟的统一身份认证模型

现有的统一身份认证模型采用单个密码对用户身份进行验证,这种方式无法对企业的商业秘密进行有效地保护,并且认证效率低,因而不被大多数企业所接受.为了解决这个问题,在对现有模型存在的问题进行分析的基础上提出一种新的认证模型.该模型把用户的信息分成两部分--共享信息和私有信息,并采用一对密码--本地密码和共享密码分别对这两部分信息进行保护.用户可以利用共享密码在不同网站中漫游,实现统一身份认证;而网站通过本地密码来保护属于商业秘密的那部分信息.该模型能够保护商业秘密,又能够在一定程度上提高认证效率.     

基于PKI及单点登录实现跨信任域身份认证研究

本文提出了一种通过单点登录来实现跨信任域身份认证的方法。文中设计了基于PKI的系统设计模型,以及强身份认证机制设计方案,并且提出了可信等级模块的初步设计。通过理论分析,通过此方法的实现,可以从用户角度大大提高用户访问效率,节省用户访问的时间,同时增强网络服务的安全性。     

基于移动agent的云计算身份认证机制研究

针对当前云计算的安全需求,提出了一种适用于云计算环境下的身份认证方案。首先设计出适用于云计算身份认证场景的移动agent(mobile agent)结构模型,然后给出了基于mobile agent的云计算安全认证策略。该方案引入了可信第三方机构对认证agent建立定量信任评估,每次进行认证前通过信任度的判断对认证过程进行控制;在认证完成后,又进一步引入了信任反馈评价机制。理论分析和原型系统的实现表明,提出的云计算认证方案具有一定的可行性和可用性。     

基于SAML和X.509的跨安全域信任关系构建机制

在对企业的各个应用系统集成到门户的过程中,信任关系的构建是解决不同安全域之间统一身份认证的有效方法。在分析和研究统一身份认证关键技术SAML和X.509数字证书特点的基础上,提出了跨不同安全域的信任关系构建机制。并从保证网络安全的角度,对该机制进行了深入探讨和改进。最后运用基于SAML规范的开源实现openSAML进行了简单的测试和验证。     

基于身份密码系统和区块链的跨域认证协议

随着信息网络技术的快速发展和网络规模的持续扩张,网络环境中提供的海量数据和多样服务的丰富性和持久性都得到了前所未有的提升.处于不同网络管理域中的用户与信息服务实体之间频繁交互,在身份认证、权限管理、信任迁移等方面面临一系列安全问题和挑战.本文针对异构网络环境中用户访问不同信任域网络服务时的跨域身份认证问题,基于IBC身...     

广播发射台统一认证系统的研究与设计

针对台内局域网中应用系统日益增多的情况,本文设计了一个基于指纹+USBKey双因素认证(2FA)模式的统一认证系统,实现用户的身份认证和资源授权.系统还兼有单点登录(SSO)的功能,用户只需要主动地通过系统进行一次身份认证,就可以无缝地访问所有被授权的网络应用系统资源.同时,管理员还可以通过统一认证系统对所有用户的身份...     

基于区块链的分布式可信网络连接架构

可信网络连接是信任关系从终端扩展到网络的关键技术.但是,TCG的TNC架构和中国的TCA架构均面向有中心的强身份网络,在实际部署中存在访问控制单点化、策略决策中心化的问题.此外,信任扩展使用二值化的信任链传递模型,与复杂网络环境的安全模型并不吻合,对网络可信状态的刻画不够准确.针对上述问题,在充分分析安全世界信任关系的基础上,提出一种基于区块链的分布式可信网络连接架构——B-TNC,其本质是对传统可信网络连接进行分布式改造.B-TNC充分融合了区块链去中心化、防篡改、可追溯的安全特性,实现了更强的网络信任模型.首先描述B-TNC的总体架构设计,概括其信任关系.然后,针对核心问题展开描述：（1）提出了面向访问控制、数据保护和身份认证的3种区块链系统;（2）提出了基于区块链技术构建分布式的可信验证者;（3）提出了基于DPoS共识的的远程证明协议.最后,对B-TNC进行正确性、安全性和效率分析.分析结果表明,B-TNC能够实现面向分布式网络的可信网络连接,具有去中心化、可追溯、匿名、不可篡改的安全特性,能够对抗常见的攻击,并且具备良好的效率.     

PKI网络信任模型的分析与研究

信任模型是整个网络安全体系的基础,决定了在网络上采用信任的形式与采用该形式带来的信任风险,并提供了建立和管理信任关系的框架。可见,对于信任模型的研究在网络安全中非常重要。文章着重分析了基于PKI的各类信任模型的信任机制、认证过程及其存在优缺点,指出了各类信任模型对网络信息安全产生影响的主要原因。通过总结与对比,指出了PKI信任模型的设计策略与发展趋势。     

新的基于鼠标行为的持续身份认证方法

随着互联网技术的快速发展,安全问题一直是人们关注的焦点。基于鼠标行为的持续身份认证对于保护计算机系统的安全起着至关重要的作用。针对鼠标行为认证方法存在的认证准确率较低和认证时间较长的问题,提出了一种新的基于鼠标行为的持续身份认证方法。该方法将用户的鼠标事件序列按不同的类型划分为相应的鼠标行为,并基于鼠标行为从多方面挖掘鼠标行为特征,对于时间和空间的特征值需要计算其统计值来唯一表示,从而更好地表示不同用户的鼠标行为差异,提高认证准确率。通过ReliefF算法得到鼠标行为特征的重要度,并在此基础上结合邻域粗糙集去除鼠标行为的无关或冗余特征,以达到降低模型复杂度和建模时间的目的,并采用二分类算法进行认证模型的训练。在身份认证时会根据每次收集的鼠标行为使用认证模型得到分类得分,再结合信任模型更新用户的信任值,当用户的信任值降低到信任模型阈值以下时,就会被判断为非法用户。在Balabit和DFL数据集上对所提方法的身份认证效果进行仿真实验,结果表明,该方法相较于其他文献的方法,不仅可以提高身份认证准确率、降低身份认证时间,而且对于外部用户的非法入侵具有一定的鲁棒性。     

SOA环境中的跨域认证方案研究

鉴于现在的网络越来越复杂,其中,用户数量大、服务类型多、安全机制不统一的特点决定了SOA环境中异构多域的情况,给出了一种基于模糊理论的信任管理方法,并将该方法与证书转换服务结合起来提出了一种 SOA 环境中的跨域认证方案,在该方案中,用户域使用信任管理方法来保证安全性,服务域结合信任管理与证书认证来保证安全性,并且用户可以透明地访问采用不同底层安全机制的域中服务,实现安全跨域认证。分析表明,该方案具有安全与普适的优势,可以满足SOA环境下身份认证的需求。     

基于LDAP和双因素身份认证的统一认证

从目前企业的安全体系和安全策略出发,本文设计了一套适用于目前多种企业应用的统一认证系统,使用LDAP标准协议管理用户信息,实现了统一管理、统一授权;采用了双因素认证服务器作为认证引擎,加强了身份认证的强度。     

基于国密算法的车载以太网控制器身份认证方法

随着智能网联汽车的发展,车载以太网的信息安全成为汽车行业关注的重点。安全认证是保证车载以太网信息安全的关键技术之一。现有的车载以太网认证技术难以兼顾安全性和车载控制器性能要求。国密算法在车载网络信息安全的应用逐渐成为趋势,但在车载以太网领域的应用研究还处于起步阶段。为了满足车载控制器相对较低的性能和车载以太网的安全要求,提出了基于国密算法的两阶段信任链车载以太网控制器身份认证方法。该身份认证方法可适用于车载以太网不同的网络拓扑架构,通过基于认证凭证的信任链将车载以太网控制器身份认证的初始化阶段和车辆使用阶段进行关联。初始化阶段认证在整车下线首次安装控制器或售后更换控制器时,由整车厂诊断仪触发。在初始化阶段,基于复杂的SM2国密算法和身份证书建立完整认证。车辆使用阶段认证在每次车辆重新上电或网络唤醒时,由以太网网关触发。在车辆使用阶段,基于SM4对称国密算法和认证凭证信任链建立快速认证。认证凭证通过认证凭证函数生成,并且每一次认证凭证都基于之前成功认证的随机会话编号动态产生,形成信任链。基于车载以太网控制器进行了测试验证,测试结果表明,该方法资源占用较低并具有较高的安全性,能够同时满足车...     

基于区块链的身份托管模型研究

针对现有中心化信任下用户多身份管理难的问题,提出一种基于区块链的身份托管模型。模型将用户拥有的各个系统的身份信息采用椭圆曲线算法加密签名,确保身份信息的所有权;设计了身份认证区块链模型和身份信息上链的智能合约,将身份签名结果存储到区块链中,确保其安全和不可篡改;设计了登录验证的智能合约,使用用户公钥对签名信息验证用户是否具有登录系统的权限。对该区块链身份托管模型在Hyperledger Fabric中进行实验论证,实验结果表明,该模型具有高的安全性和时间效率,能方便管理用户的多个系统身份信息。