主机标识协议(HIP)研究综述

TCP/IP协议一开始就没有考虑主机的移动和多宿主问题,也没有提供对主机的安全性和认证机制.主机标识协议(HIP)成为同时解决主机移动、多宿主及安全问题的有效方案.文本介绍了主机标识协议(HIP)的体系结构及基本交换,详细阐述了HIP对主机移动、多宿主和安全的解决方案以及对现有系统和应用程序的迁移,文中也分析了HIP存在的问题.     

SAMS:一种新型身份/位置分离方案

当前互联网中的IP地址同时标识主机身份和主机位置,这种语义重载主要导致了两方面的问题.一方面,它使得核心网络路由表项数量急剧增长,引起路由可扩展性问题.另一方面,主机难以在不改变身份标识的情况下实现多宿主和移动中的高速切换.解决这两个问题的根本办法是主机的身份和位置分离,即分别使用相互独立的身份标识和位置标识.目前身份/位置分离方案得到了研究人员的广泛关注,然而现有的方案只是针对某一个问题,不能同时解决这两个问题.此外身份位置分离之后的真实身份问题也很重要.文中提出了一种新型身份/位置分离方案SAMS(Scalable Authentic Mobile identifier-locator Separation scheme),它将用户身份标识、主机身份标识、边缘网络位置标识和核心网络位置标识分离,并设计合理的体系结构将这4种标识结合在一起,对路由可扩展性,主机多宿主和移动能力都有很大的提高,并支持真实身份.文中实现了SAMS的原型系统,并在CERNET2主干网上进行了规模部署和实验,验证了方案的有效性和系统的兼容性.     

隐标识身份认证方法及其形式化语义分析

针对用户身份标识在身份认证机制中的安全问题,提出一种隐藏身份标识的身分认证方案,用户毋需提交身份标识即可与服务器实现身份认证,并采用形式化的SVO逻辑语言分析该协议。SVO逻辑体系下的实验表明,该协议达到了预期的设计目标。     

新型双因子认证系统

以传统的双因子认证技术作为研究对象,分析了其不足之处.提出身份标识文件(PIF)作为双因子认证中的第2个因子.据此,设计了服务器端进行身份识别,客户端进行身份认证独特的双因子认证系统.并采用J2EE技术实现了该系统.经实验表明,与其它双因子认证技术相比,具有易用、成本低、性能好的特点,切实保障了身份认证的安全.     

基于FIDO协议双因素eID实名认证方案

为解决当前传统在线认证方案的缺陷,提出一种基于FIDO协议的双因素eID(公民网络电子身份标识)实名认证方案。对当前传统认证方案进行分析,结合移动终端特点,设计了一种基于移动终端的高效可靠的eID双因素实名认证方案,研究FIDO协议特点,设计了一种改进的FIDO U2F协议,将FIDO协议与公民网络电子身份标识eID相结合,实现本地生物特征和eID双因素认证。实验结果表明,该认证方案更加安全便捷,同时能有效保护用户隐私。     

LISP-HIMS:一种基于LISP的层次化标识映射系统

针对目前全球路由表规模高速增长的问题,IETF提出可以通过分离主机的身份标识和路由标识地址空间来重新考量互联网寻址体系结构。思科公司提出的LISP(Locator Identity Separation Protocol)是基于该思想提出的主流方案之一。首先提出一种新的基于LISP的层次化标识映射系统,以克服目前其他LISP映射系统的不足,然后详细阐述该系统的模型、工作模式以及主机身份标识的分配方案;最后与其他LISP映射系统进行了分析与比较,结果表明,该系统具有良好的可扩展性以及更低的映射信息查询时延。     

一种基于安全芯片的可信移动存储设备的双向认证机制

随着信息技术和存储技术的发展,移动存储设备的安全问题日益突出并亟待解决。针对目前移动存储设备安全措施薄弱,对身份认证的能力不足的现状,本文提出向移动存储设备引入安全芯片,由安全芯片生成密钥以及身份信息,建立可信移动存储设备与主机的双向身份认证机制,以增强移动存储设备的安全性。认证双方由安全芯片产生身份密钥和加密密钥,交换加密密钥的公钥和身份信息,建立初始的信任关系,当可信移动存储设备需要与主机交互数据前,必须以消息请求响应的方式进行双向的身份认证,消息的传输由加密密钥来保护,身份信息的验证由身份密钥来实现。本文使用形式化分析的方法,对双向身份认证机制的过程进行了分析,证明了双向认证机制符合安全性要求,增强了移动存储设备的安全性。将安全芯片引入移动存储设备和主机,在此基础上建立主机与可信移动存储设备的信任关系,在数据交互前进行双向的身份认证,对双方的身份进行验证与核实,防止了数据的非法访问,增强了移动存储设备的数据安全性。     

USB身份锁识别过程的分析与加强

USB身份锁是网络身份认证系统中常用的信息载体,它在通过了认证系统中客户端主机的识别之后,可以与主机之间建立起一条传输用户身份信息的基础USB信道。文章提出在身份锁设备与其驱动程序之间补充实现特有的厂商认证来加强主机对身份锁的识别,并且以基于PDI-USBD12接口的USB身份锁为例,详细介绍了该设备从插入USB端口开始到厂商认证结束的整个识别过程。     

面向跨链系统的用户身份标识认证模型

随着区块链技术发展以及广泛应用,链与链之间交互成为关注焦点,跨链身份认证与管理是实现区块链可信交互的基础。针对当前跨链身份认证与管理中存在的安全性与性能不足问题,提出一种基于ECC-ZKP的面向跨链系统的用户身份标识认证模型。通过研究跨链身份标识模型,引入椭圆曲线加密算法和零知识证明,实现跨链身份标识注册、更新以及认证,为用户的跨链访问、通信提供可信身份认证服务。分析与测试结果表明,该方案具有较高的安全性,且在处理效率、资源利用率方面表现较好。     

CPK标识认证系统的设计及实现

介绍了组合密钥算法(CPK)的原理,提出了基于CPK的标识认证系统的一种构建方法.通过使用基于标识的组合映射算法的密钥管理方法,实现了规模化的密钥管理和独立于第三方的身份认证目的,解决了现有认证系统中认证效率低,可扩展性差等问题.系统通过测试,运行正常.     

基于SAML的Hadoop云计算平台安全认证方法研究

文章分析研究了Hadoop云计算平台当前的安全认证机制。通过分析Kerberos安全认证体系以及SAML认证标准,提出了适用于Hadoop云计算平台的安全认证方法——基于SAML的Hadoop云计算安全平台安全认证方法。该认证方法将认证授权票据简化为索引,避免了认证授权票据的直接传输。通过安全性逻辑证明该认证方法进一步保证了用户认证和服务授权的高效和安全。     

串空间模型中认证性测试方法的缺陷

指出了串空间模型中认证性测试方法存在的不足：1．分析认证性的过程中未考虑同一协议主体同时以不同身份参与协议运行的情况;2．分析认证性的过程中未考虑发生多轮协议同时运行的情况;3．认证性测试方法不能分析类型错误攻击。通过实例-——Needham-Schroeder协议分析了认证性测试方法存在不足的原因,并提出了改进方案。     

基于TOTP的Web改进认证

为了提高TOTP协议应用在Web认证中的安全性, 依照HOTP认证三原则改进了基于TOTP的认证设计. 改进后的认证系统在一个时间窗口内增加了一个认证次数阈值和时间戳用来更好的抗蛮力攻击和重放攻击, 增加随机数和MD5哈希算法轻量化地抵抗中间人攻击. 最后用PHP语言设计了一个安全、实用的Web认证系统.     

融入混沌理论的一种OTP方案研究

身份认证中广泛使用了一次性口令机制。该文分析了一种一次性口令认证方案,指出了其存在的不足;将混沌理论中混沌序列的技术应用到一次性口令当中,提出了一种新的一次性口令方案,该方案实现了双向认证,并在认证时间和存储空间上的开销得到了优化,提高了认证的强度和安全性。     

基于用户鼠标行为的身份认证方法

针对已有身份认证方法存在的问题,提出了一种基于用户鼠标行为的身份认证方法。首先,给出了基于用户鼠标行为的身份认证模型及其实体构成,之后采用层次化划分方法对用户鼠标行为进行了定义,同时给出了不同行为需要提取的特征值及对应的计算方法。采用随机森林分类器作为鼠标行为分类工具,以解决已有方案中存在的数据的过度拟合和数据噪声问题。在身份认证阶段,结合用户鼠标行为,采用层次结构的分类决策模型对用户身份进行认证。最后,对所提出的身份认证方法进行了实验分析,结果表明该方法具有较好的错误拒绝率和错误接受率。     

煤矿监控系统本质安全型互连认证方法研究

针对煤矿监控系统结构复杂多变、互连设备类型众多且不断增加的特点,分析了我国传统的本质安全型互连系统认证方法、国外的接口参数认证方法和系列本质安全型标准对我国煤矿监控系统本质安全型互连认证的适用性,指出目前煤矿监控系统本质安全性能的判定依据只能是GB3836.4-2000 equ IEC60079-11:1999,提出了煤矿监控系统非总线型接口设备本质安全型互连认证采用参数认证方法、总线型接口设备本质安全型互连认证目前应采用系统认证方法的方案,详细介绍了参数认证方法和系统认证方法的实施要点及未来实现总线型接口设备本质安全型互连参数认证的途径;还提出了煤矿监控系统接口设备的设计原则,以及煤矿监控系统本质安全型互连认证方法进一步的研究方向。该文有助于煤矿监控系统接口设备本质安全型互连参数认证方法的发展。     

移动IPv6网络层次化接入认证方法

对接入用户实施认证是移动IPv6实用化的前提.提出一种适用于移动IPv6网络环境的层次化接入认证方法HAMIPv6,对接入认证和移动注册进行层次化管理,利用认证矢量和消息捎带,减少切换认证过程中移动节点与家乡域的交互.HAMIPv6简化了切换认证处理流程,减小了切换延时和信令开销,实现了用户与网络相互认证及会话密钥发放.通过分析比较证明,HAMIPv6比传统方法处理效率更高,尤其是在MN远离家乡域及在一定范围内频繁微移动的情况下.     

基于密码协议认证目标的协议分析方法的研究

为了克服现有的逻辑方法不适合分析电子商务协议的缺点,本文提出了一种基于协议认证目标的协议分析方法,该方法针对不同功能的协议,给出了他们要实现的目标:实体认证目标、密钥认证目标和伴随有密钥建立的实体认证目标。在文章的最后我们通过分析Diffie-Hellman密钥建立协议验证了该方法的正确性和易用性。     

基于Hash函数的报文鉴别方法

基于当前网络通信中对报文鉴别码(MAC)的需求,介绍了Hash函数在密码学上的安全性质,分析了Hash函数在报文鉴别中的应用和针对Hash函数的主要攻击。在此基础之上,提出一种基于Hash函数的报文鉴别码——伪报文鉴别码(PMAC)。利用当前现有的Hash函数来构造MAC,而不改变原有的Hash函数的内部结构。在没有利用任何现有加密算法的基础上,仅应用一个密钥不仅对报文提供了鉴别,而且也提供了机密性。对该伪报文鉴别算法的安全性进行了初步分析。     

应用系统中身份认证建模及推理方法

逻辑推理是对身份认证进行形式化研究的重要手段,但现有研究成果主要集中在认证机制、认证协议等单个方面,并不考虑应用环境,通过引入身份认证域,对应用系统中身份认证进行形式化描述;在此基础上,提出一种基于谓词的身份认证建模及推理方法,包括7种谓词、8个推理规则和一种4步骤推理方法等,并对基于静态口令、动态口令和数字证书的身份认证模型进行实例分析.