可信计算直接匿名验证

研究了匿名分组身份验证算法，该算法可以非常可靠地解决网格计算平台之间的身份匿名验证问题．算法使用一个硬件模块TIM解决远程的身份验证，并通过TPM机制提供可靠的匿名验证和平台认证功能．算法中所有涉及的验证过程都是基于匿名机制实现的．除了实现匿名验证机制以外，算法还提供一套完整标记恶意网络实体的方法．提出了网格计算中虚拟分组的匿名认证平台架构，并在此架构基础上分5步实现该匿名验证算法．     

基于TPM的单向匿名认证密钥协商协议

为了对密钥协商协议实现匿名认证,进而有效保护通信方身份秘密,提出了一种基于可信平台模块(trusted platform module,TPM)的单向匿名认证密钥协商协议.该协议基于可信计算平台,引入TPM技术,不但实现了认证和密钥协商的安全属性要求,还满足了用户匿名的需求,使通信一方在不泄露其真实身份的前提下,向验证方证明其为某个群系统的合法成员,并在群管理员的配合下生成一个临时身份,提供了较好的安全性,适用于计算和存储资源有限的应用场合.     

改进的直接匿名认证方案

为了解决可信计算平台直接匿名认证(DAA)方案复杂、计算开销大、应用受限等问题,进一步应对可信平台模块（TPM）计算能力的局限性,使TPM能广泛应用在嵌入式等资源受限环境,以双线性对为工具,以q强Diffie Hellman、判定性Diffie Hellman安全假设为基础,提出一种基于双线性对的DAA方案. 经分析结果表明该方案是安全的,同时其计算效率有较大改进,有效缓解了可信平台的计算瓶颈.     

一种新的不安全信道上的匿名认证方案

基于双线性对构造了一种基于身份的签名算法,利用双线性对的双线性和非退化性,使得算法中签名矢量的验证结果相对于用户身份为一个常量．然后基于该算法提出一种新的匿名认证方案,解决了在不安全信道上进行用户匿名认证的问题．在匿名认证方案中,用户生成临时身份,服务器利用该临时身份计算用户帐户索引,获得用户真实身份并认证用户．新方案实现了用户匿名性及自主口令更新,且服务器无需维护用户通行字或临时身份列表,解决了现有方案无法同时保证不安全信道上的认证安全性和用户匿名性的问题．     

一种用于移动通信的匿名认证方案

为了使移动网络向用户提供匿名服务,保证用户的身份和行踪等信息的机密性,提出了一种匿名认证方案,不仅解决了用户在漫游网中的匿名问题,而且也解决了在归属网中难以实现的匿名服务问题.本方案不仅通信量小,而且也无需每次更换密钥.本方案以知识证明为基础,采用直接匿名认证协议理论并结合加密传输和签名验证来实现.理论和分析实验表明,用户漫游时无需到家乡代理验证身份,且在归属网中无需映射出自己的真实身份,有效地实现了全网匿名.     

基于USBkey的可信平台模块的研究与仿真设计

本文在介绍TPM的结构和功能基础上,重点分析了TPM的密钥管理和认证机制,针对目前我国政府部门可信计算机改造的现状提出一种在USBkey上仿真实现外挂可信平台模块的设计思路,并给出了仿真实现可信平台认证的设计方案,对我国实现自主可控的可信终端改造进行了探索.     

一种可信的轻量级J2EE架构的研究及应用

随着J2EE的广泛应用,用户对系统的可信性要求也日益增加,而现有的J2EE平台缺少必要的可信认证支持。该文分析了可信认证的直接匿名证言机制的优缺点,将其与SSH架构相结合,提出了在直接匿名证言机制支持下整合SSH架构形成一个完整的开发J2EE程序的组合框架D-SSH架构,并应用于电力部门职工绩效考评系统中,体现了SSH架构的优越性并增强了系统的可信性。     

TD-LTE下行分组调度研究

为解决分组调度架构在TD-LTE中的使用局限性,研究了TD-LTE下行分组调度,并设计出适用于TD-LTE的下行分组调度架构。通过OPNET软件搭建该分组调度架构,对3种经典调度算法在该架构下的使用进行仿真。仿真结果表明,该分组调度架构适用于不同目的的调度算法。同时也验证了这3种调度算法在吞吐量和公平性方面的性能。     

嵌入式可信终端认证原型的研究与实现

针对目前终端面临的安全隐患,利用可信计算思想,提出了嵌入式可信终端认证原型的设计方案。该方案将口令、生物特征、证书机制和可信认证机制相互融合,构建出用户、终端和应用三层次嵌入式可信终端认证原型,并对可信终端的硬件环境构成、可信引导和可信认证等问题进行了深入分析。该原型对TCG定义的TPM功能进行了扩展和应用,可为嵌入式终端平台提供可信的计算环境。     

短群签名在可信计算中的应用研究

远程证明提供了平台身份匿名认证功能,并给出了基于隐私CA及直接匿名认证两种方案。直接匿名认证方案的提出意在解决隐私CA方案中的CA瓶颈问题。文章提出了一种全新的直接匿名认证方案：以标准模型下的短群签名机制为主线,以1-MOMSDH假设为安全基础,在与现有方案保持相似效率的前提下,提高协议整体安全性。     

基于安全多方计算的车载网隐私保护机制

为了解决当前车载网隐私保护机制的安全性和效率问题,基于安全多方计算理论和匿名认证协议,提出了一种新的车载网节点隐私保护方案.该方案利用线性方程组的求解理论,采用安全高效的茫然传输机制,避开了传统的计算复杂的公钥密码算法.对方案的安全性和效率分析的结果表明,新方案不仅能够解决车载网中发送者隐私、接收者隐私、匿名性、共谋攻击、重放攻击等多种安全问题,而且认证效率也得到了有效提高,在计算性能受限的物联网环境中,具有理论和应用价值.     

一种交互式身份认证及访问控制安全信息平台的设计与实现

电子政务运行环境作为一种协同开放的网络环境,网络的安全可靠尤为重要,在电子政务网络安全基础建设中可靠信任的身份认证和合理有效的授权管理更是成为重中之重。然而现有的电子政务类信息系统都是针对各个领域相对独立开发的身份认证和访问控制机制,不利于电子政务平台中的信息共享与交换、协同工作和集成化开发建设。基于上述问题,本文结合电子政务对协同工作及系统安全的需求,设计了一种交互式身份认证及访问控制安全信息平台,采用扩展化的PKI和RBAC等技术,用于提供整个电子政务平台安全访问控制策略,同时构建客户端与服务端的数据安全传输通道,为电子政务安全建设提供一种有效的解决方案。     

基于代理的隐私CA模型

身份证明是可信计算的基本特征,针对隐私CA可能成为证明过程的性能瓶颈且不存在合适的商业模型的问题,提出了一种基于代理的隐私CA模型,通过代理代替隐私CA签发身份证明证书和引入有效性证书,能有效降低隐私CA负载,提供更强的隐私保护能力,增强隐私CA的安全性,并在此基础上提出了对涉及的3类公钥证书进行撤销的有效方法。     

基于计算平台安全属性的高效远程证明方案

现有的基于平台安全属性的远程证明方法对认证双方所传输的信息进行了加密,虽然可以实现数据保密,但认证过程耗时比较长,针对该问题,提出2个基于平台属性的远程证明方案以提高平台属性的验证效率,其中基于可部分否认的认证方案在远程证明的性能优化方面表现显著,基于Bloom过滤器与Paillier加密的认证方案的性能提升虽然不如可部分否认的认证方案,但是该方案对所传输的信息能够具备保密特性,这2个认证方案适用于对远程证明效率要求较高的应用场景,同时能够实现身份认证时对计算平台安全性的检查与校验.     

OpenStack身份认证安全性分析与改进

Open Stack是一个开源的云平台管理项目,旨在提供可靠的云部署方案和良好的可扩展性,但在重复失败登录、密码强度、密钥和数字证书管理等方面存在安全性问题。本文采用USB Key存储用户的密钥及数字证书,保证了双因子认证。采用基于角色的访问控制进行业务鉴权,同时设置反向认证令牌,实现用户和业务系统间的双向认证。利用PKI在Keystone进行密钥和数字证书颁发以及对数字证书的验证,增强认证的安全性。实现了Open Stack身份认证安全性的改进。方案已在校园网云存储平台上应用,为Open Stack安全性改进提供了参考。     

可信网络匿名连接方案

在开放式网络连接环境中,可信网络终端在进行身份证明时不希望暴露自己的身份,本文提出了一种基于环签名的可信网络连接客户端匿名认证方案,引入环管理员机制以保证环成员都是合法的可信网络连接客户端,本方案的安全性基于CDH假设和强单向函数,且参数较短,易于实现.     

基于令牌的单点登录协议及其形式化分析

提出一种新的适用于分布式网络的单点登录协议，利用令牌将身份认证和服务授权结合起来由一个验证服务器实现，授权校验的同时进行密钥分配，实现了用户和应用服务器的双向认证，令牌使用户只需在登录网络时进行一次身份认证即可接入各应用服务器。从而提高了网络认证效率，同时使验证服务器不需要保存用户的状态，有效提高验证服务器的性能，采用BAN逻辑对该协议进行形式化分析表明，协议达到了认证和密钥分配的目标，具有较强的安全性。