基于椭圆曲线的门限身份认证方案

提出了基于椭圆曲线的门限身份认证协议。证书中心采用无可信中心的门限密钥系统，任何t个有效成员组合均能有效地将用户提交的ID号和公钥以证书的形式绑定在一起，但t-1个成员则无法运行发放有效证书，从而实现了在用户与用户之间无需第3方的身份认证。在生成证书过程中每个参与者均能检验前面参与者的签名是否有效，防止了假冒者或来自系统内的攻击。由于用户密钥采取分散管理体制，因而具有更高的保密性。     

云环境下基于PTPM和无证书公钥的身份认证方案

为了解决目前云环境下用户与云端之间进行身份认证时所存在的安全问题和不足,本文首次将PTPM(Portable TPM)和无证书公钥密码体制应用到云环境中,提出一种用于实现用户与云端之间双向身份认证的方案.和现有方案相比,新方案具有以下特点:在通过建立身份管理机制实现用户和云端身份唯一性的基础上,首先利用PTPM不仅确保了终端平台的安全可信和云端与用户之间认证结果的真实正确,而且支持用户利用任意终端设备来完成与云端的身份认证过程;其次,新方案基于无证书公钥签名算法实现了“口令+密钥”的双因子认证过程;最后,通过安全性理论证明和性能分析,证明本文提出的方案在保证EUF-CMA安全性的同时,显著提高了用户和云端之间身份认证的计算效率.     

一种基于生物证书的身份认证方案

基于非对称密钥的公钥证书进行身份认证存在很多缺点,如用户私钥可能会被遗忘或者被盗窃等。生物特征认证技术是利用人的生物特征进行身份认证,作为一种准确、快速和高效的身份认证方法越来越广泛地应用于各种需要身份认证的领域。结合和借鉴公钥基础设施,该文提出了生物认证基础设施,为用户提供了一套完整的生物认证方案。     

基于CFL的空间网络认证策略研究

卫星网络作为一种新兴的网络,具有覆盖范围广、传输环节少等优点,但拓扑结构复杂、链路频繁切换,因而面临诸多网络安全威胁。为解决卫星网络中身份认证等安全性问题,结合CFL认证体制,提出了一种适用于卫星网络的安全认证策略研究。在注册阶段,用户和卫星分别向地面控制中心申请证书,地面控制中心验证用户和卫星的身份后为用户和卫星签署证书;在认证阶段,用户与卫星互相交换证书,自主生成验证密钥并验证证书,实现用户与卫星的双向快速认证。分析结果表明,所提方案能够满足卫星网络的安全需求,抵御各种常见的网络安全攻击;与其他相关方案的相比,该方案无须地面中心参与认证过程,通信开销与计算开销较小,在保证安全性的基础上,与最低计算开销方法相比,将通信效率提升了33%,有效提高了认证效率。因此,本方案不仅适合星载资源有限的卫星网络,且能够增强卫星网络的安全性。     

基于数字证书企业应用单点登录的研究与实现

提出了一种利用数字证书身份认证实现企业应用单点登录的方法。该方法使用X．509数字证书标识用户,通过统一的用户管理服务器建立起数字证书与各个Web应用中用户身份的对应关系;设置专门的认证服务器,在Web应用服务器端嵌入认证代理,由该代理引导客户端完成与认证服务器之间的SSL认证,然后获取用户的应用身份信息并完成登录过程。某大型企业使用该认证方法实现了一张证书登录多个Web应用,达到了较好的应用效果。该方法对应用改造的要求低,具有较强的安全性,可以方便地扩展到单点登录。对于存在多个用户数据库的大中型企业,该方法具有较高的实用价值。     

基于无证书签名的云端跨域身份认证方案

针对基于无证书的身份认证方案无法满足跨域匿名认证需求的不足,利用双线性映射提出一种云环境下的跨域身份认证方案。基于无证书签名的合法性和消息的有效性,实现用户与云服务提供商的身份真实性鉴别,并在双向跨域认证过程中完成会话密钥的协商。引入分层ID树结构确保身份的唯一性,"口令+密钥"的双因子认证过程增强跨域身份认证方案的安全性。利用临时身份实现用户身份的匿名性,对用户的恶意匿名行为具有可控性。分析结果表明,该认证方案在CK模型中是安全的,并能抵抗伪造、重放与替换攻击,具有较高的安全性。     

基于PKI／PMI的单点登录系统的研究与设计

该文对比分析了当前实现单点登录的各种技术的主要优缺点,提出将PKI／PMI融合于单点登录技术,实现基于公钥证书的用户身份认证和基于属性证书的授权访问,利用通过认证后生成的身份凭证票据完成单点登录功能,从而提供了功能强大的安全性服务。     

基于身份的云存储完整性检测方案

在目前多数云存储完整性检测方案中,用户需要进行大量公钥运算和复杂的公钥证书管理操作。针对该问题,提出一个基于身份的云存储完整性检测方案。引入基于身份的密码体制,使用户无需进行复杂的公钥证书管理操作,并且可通过授权特定的第三方审计者为其完成上传数据、产生数据认证器、检测数据完整性等耗时操作,从而减轻用户端的计算负担。安全性与性能分析结果表明,该方案能够减少计算开销,并且在支持数据隐私性的同时,生成用户轻量级认证器。     

MANET自组织按需认证模型的研究

构建安全可信的MANET 必须考虑到其自身的特性。目前关于MANET 的安全认证研究大多是利用中心认证服务器为用户颁发证书,较少考虑到MANET 自身的自组织特点,很难完成网络的快速部署。结合MANET 的特性,提出一种自组织按需式认证方案。该方案不需要中心认证服务器,充分利用节点自身功能,在完成身份认证的同时具有良好的伸缩性。     

混合云环境下基于异构系统的跨域身份认证方案

在混合云环境下,为满足身份认证方案在不同密码系统之间的跨域认证需求,提出一种基于公共密钥基础设施(PKI)和无证书密码体制(CLC)的跨域身份认证方案。引入基于PKI的多中心认证管理机制,对不同密码系统安全域的用户匿名身份进行管控和追踪。在用户和云服务提供商的双向认证过程中,完成会话密钥的协商和不同密码系统匿名身份的转换。分析结果表明,该方案在实现不同密码系统之间跨域身份认证的同时,可抵抗重放攻击、替换攻击和中间人攻击,具有较高的安全性及计算效率。     

可信移动平台身份管理框架

针对网络用户身份管理难题及现有的身份管理方案存在的不足,基于可信移动平台完整性校验、保护存储、域隔离和访问控制以及远程平台校验等安全特性,提出了可信移动平台身份管理方案和协议;构建了对应于口令、证书、指纹等认证方式的身份矩阵;实现了多种方式的身份认证、身份认证审计记录,主密钥、审计密钥、平台AIK私钥的加密存储,以及移动平台的可信验证、加密身份的还原和服务提供者身份标志的查找定位,并实现了身份信息和认证数据的加密传输;进行了安全性分析,结果表明该方案在保护用户身份信息安全的前提下,大大减轻了用户身份管理的     

基于区块链和DNSSEC的身份认证模型

身份认证是网络安全的重要组成部分,当前身份认证技术通过PKI体系为服务端颁发证书实现,应用广泛,但存在对CA依赖较强、存在密钥泄露和单点失败等风险.本文基于区块链和DNSSEC技术,提出了一种新的身份认证模型,支持不依赖CA的服务端和用户端的双向身份认证,同时改进了用户证书,实现了对用户设备的授权管理,在安全性和灵活性方面具有一定优势.本文首先简要介绍了身份认证技术研究现状,随后详细描述了身份认证模型整体架构、工作流程和主要功能,最后对该模型进行了分析并提出了应用实例.     

基于IBE的无线网络身份认证模型研究

传统的基于PKI无线网络身份认证方案效率较低、适用性较差。基于IBE的身份认证方案无需通过颁发数字证书来绑定用户身份和公钥,可以提高认证效率。针对IBE的这个特点,就IBE在无线网络身份认证中的应用问题开展研究,在此基础上设计了基于IBE的无线网络认证模型和相关协议,并分析协议的效率和安全性。     

基于ESB的统一身份认证系统设计与实现

异构的信息系统由于具有各自独立的身份认证和用户管理模块,存在着用户身份不一致、信息重复,应用系统无法整合、安全性差等问题。为此提出了一种基于统一的数据交换标准和接口标准,将不同的用户管理模块和认证模块进行集成的方法,设计了系统模型、交互流程和认证协议,实现了基于企业服务总线(ESB)的统一身份认证系统。实验结果表明,系统能有效地避免身份认证逻辑的重复和数据的冗余,提高认证的效率和系统资源的利用率。     

一种基于集成可信身份识别和访问管理方法的安全可信网络框架

本文提出一种基于集成可信身份识别和访问管理方法的安全可信网络框架,该框架提供了一种灵活建模和描述数字用户身份的机制,同时支持基于事务的隐私保护和个人数据获取,以及灵活的第三方问责机制与端到端的安全交流,从而完成可信认证。     

一种新的用户登录可信认证方案的设计与实现

用户登录身份认证是建立操作系统可信性中一个非常重要的环节。操作系统采用口令、智能卡、USBKEY,甚至还采用了指纹、虹膜等认证方式来确认用户的身份,除了存在密码容易被遗忘、猜测、截获等一系列安全隐患外,还存在身份信息的存储安全和单向认证问题。基于可信计算联盟的规范,分析了操作系统用户登录传统认证方式的缺陷,提出了一种新的用户登录认证方式：基于可信平台模块(TPM)的用户登录可信认证。该认证方式是利用PC机USB接口外接TPM,将用户的身份信息、相关的密钥信息等存储在TPM中,并利用USBKEY技术、动态的口令技术来确保用户身份的真实可信。该认证方式克服了操作系统用户登录传统认证方式的缺陷,支持双向认证,为计算机获得更高的安全保障,进一步建立可信计算环境提供了基础。     

基于SIP协议的网络电话安全方案及实现

以基于身份的非对称加密技术为核心,引入身份证书和更具灵活性的XML格式属性证书,解决用户身份认证、私钥分发和安全实现增值服务问题。与话者在通话时,利用证书向PKDC进行身份认证,获取私钥,用于加密传输会话密钥。在信令协商过程中,CPL服务器通过验证用户的属性证书提取用户属性,更加便捷地实现增值服务。     

一种基于Diffie-Hellman密钥交换协议的OTP方案

分析了常见的几种一次性口令身份认证方案,提出了一种基于Diffie-Hellman密钥交换协议OTP方案。该方案不仅能够有效地保护用户的身份信息,而且安全性好,执行效率高,能提供通信双方的相互认证,能防止假冒攻击、中间人攻击、重放攻击等多种攻击方式。最后对该方案的安全性进行了剖析。     

元计算系统轻量资源保护策略

本文提出一种不依赖于用户身份 验证的资源保护策略SecurityBox，以适合某些不依赖用户身份的元计算系统，由于不再依赖于身份验证，因此系统在资源保护机制上的软件规模与开销被和到最低点，同时也尽可能消除密码等身份标志信息在网络上传送因泄露而造成的资源保护隐患，同时，由于弱化了用户身份的概念，此资源保护策略可以为是完全面向资源的，并且Securtybox完全可由元计算系统中各结点的本地管理员随时可定制，具有良好的灵活性与可扩展性，另外，本文中的资源保护策略与资源管理紧密结合在一起，在算法设计与实现上都非常简洁有效。