网络身份管理发展趋势研究

在网络信息化社会空间,网络身份信任已成为电子政务、电子商务和各类网络在线应用的重要基础。当今世界各国对构建一个可信的网络环境已达成广泛共识,而网络电子身份制度及基础设施的构建在提高利用资源率、促进创新和经济增长、提升用户便利、加强安全和隐私保护等方面具有重大优势和意义。本文研究了世界主要国家电子身份（eID）管理的发展现状及趋势。     

两层架构的可信身份服务平台研究与设计

针对当前网络环境中基于用户真实身份安全管控需求与用户隐私保护需求之间的矛盾,引入主管机构作为可信方,将用户的真实身份管理与虚拟业务账号管理独立开来,建立两层架构的可信身份服务平台。平台通过身份绑定机制,建立用户业务账号与其真实身份之间的映射关系,实现基于真实身份的信任保障;并根据业务的应用场景配置策略为其提供用户属性,以保障用户隐私安全。     

身份管理发展趋势和中国科学院身份管理系统

用户通过使用网络身份访问互联网应用及服务。身份管理整合了用户身份信息保护和资源访问控制等诸多技术,为优化用户体验奠定基础。本文基于网络身份特点及身份管理基础框架,分析了身份管理的发展趋势,并介绍了基于云架构的中国科学院统一身份管理系统应用案例,该系统使用单点登录、多重认证和多级安全策略,实现了应用服务间网络身份的安全高效部署及融合。     

身份认证保障电子政务安全

我国的电子政务建设,注定与互联网身份认证和等级保护制度密不可分。为保障电子政务安全,中国启动了信息系统安全网络身份认证管理服务和等级保护体系。目前,公安部已经提出了比较完整的安全保护标准体系。2003年,在互联网身份认证和等级保护制度方面又有了新的发展,我国的电子政务建设也将进入全新的阶段。     

一种通用的身份模型及其构建流程

针对身份管理系统的功能需求以及不同身份管理系统间的融合需求,提出一种通用的身份模型。该模型由用户全局身份标识、本地身份标识、临时身份标识、访问信息组、用户凭证组、用户属性组、可信域组所组成。在此基础上,给出该模型的分阶段构建流程,完成属性和凭证信息的搜集工作以及可信域和访问信息的更新工作。应用结果表明,该模型对现有身份管理系统的融合、身份保护等功能提供了技术支持。     

身份管理策略技术综述

信息通信能力的增长和发展促进了各式各样的电子消费服务、电子商务服务和电子政府服务。网络上的业务服务已经越来越多,这直接导致用户在网络上的电子身份账号剧增,随之而来的就是身份信息的安全问题,而身份管理（IDM）就是用来解决上述问题的,其对实体身份的管理提供了通用方案。本文介绍了身份管理的相关概念,身份管理的模型与现状。     

一种基于集成可信身份识别和访问管理方法的安全可信网络框架

本文提出一种基于集成可信身份识别和访问管理方法的安全可信网络框架,该框架提供了一种灵活建模和描述数字用户身份的机制,同时支持基于事务的隐私保护和个人数据获取,以及灵活的第三方问责机制与端到端的安全交流,从而完成可信认证。     

以用户为中心的可信终端身份管理模型

针对终端用户身份管理难题和现有的身份管理技术的不足,为了满足终端用户在任何情况下访问网络资源的客观需求,文章提出了以用户为中心的可信终端域内、跨域和开放网络环境下的身份管理系统模型,在此基础上设计了包括终端用户身份安全保护机制、身份管理流程、终端用户身份管理协议的终端用户身份安全保护方案,对协议进行了安全性分析和形式化分析,并与其他身份管理模型的安全性进行了比较,结果表明该模型能够安全地管理用户身份和实现各种环境下的访问控制。     

eID移动身份认证系统的研究与实现

现有移动身份认证方式缺乏对用户的普适保护,导致用户隐私信息泄露问题时发。网络电子身份证e ID(electronic identity)在确保个人身份真实可信的前提下,可有效避免用户身份信息被保留在各种网络运营商处时曝光和泄露的风险。然而,常规的e ID终端载体仅支持USB端口的使用方式,无法适用于很少支持USB端口的移动终端设备。文章提出一种基于网络电子身份证e ID的移动身份认证系统,通过NFC(near field communication)技术将e ID与应用系统认证过程相结合,充分发挥NFC技术耗能低、通信高效且安全的优势,利用e ID的隐私保护、高度可信以及安全可靠等特点,设计并实现了e ID移动身份认证流程。在移动端完成用户真实身份的有效认证,保障用户身份安全可信的同时有效保护用户隐私,实现了前端虚名、后台实名的认证机制。实验证明该方法具有普适高效性,可以有效解决移动互联网使用e ID身份认证的问题。     

SS认证系统在数字园区中的服务模式研究

为解决不同的网络应用系统用户名和口令不统一的问题,对数字园区使用统一登录接口、统一身份认证系统,对用户的身份进行集中统一管理进行了研究。该技术保证了用户电子身份的唯一性,提高了数字园区应用系统的安全性。     

CMM :Credential Migration Management system based on trusted computing in CGSP

In grid computing environment, grid users often need to authorize remote computers acting as original users’ identity. But the original user may be under the risk of information leakage and identity abused for sending his credential to remote computing environment. Existing grid security practice has few means to enforce the security of credential delivery. Trusted Computing (TC) technology can be added to grid computing environment to enhance the grid security. With TC using an essential in-platform (trusted) third party, Trusted Platform Module (TPM), we can use TC to protect the user credential. In this paper we present credential migration management (CMM) system, which is a part of Daonity project, to manifest migrating credential in security between different computers with TPM.     

CMM: Credential migration management system based on trusted computing in CGSP

In grid computing environment, grid users often need to authorize remote computers acting as original users’ identity. But the original user may be under the risk of information leakage and identity abused for sending his credential to remote computing environment. Existing grid security practice has few means to enforce the security of credential delivery. Trusted Computing (TC) technology can be added to grid computing environment to enhance the grid security. With TC using an essential in-platform (trusted) third party, Trusted Platform Module (TPM), we can use TC to protect the user credential. In this paper we present credential migration management (CMM) system, which is a part of Daonity project, to manifest migrating credential in security between different computers with TPM.     

可信移动平台身份管理框架

针对网络用户身份管理难题及现有的身份管理方案存在的不足,基于可信移动平台完整性校验、保护存储、域隔离和访问控制以及远程平台校验等安全特性,提出了可信移动平台身份管理方案和协议;构建了对应于口令、证书、指纹等认证方式的身份矩阵;实现了多种方式的身份认证、身份认证审计记录,主密钥、审计密钥、平台AIK私钥的加密存储,以及移动平台的可信验证、加密身份的还原和服务提供者身份标志的查找定位,并实现了身份信息和认证数据的加密传输;进行了安全性分析,结果表明该方案在保护用户身份信息安全的前提下,大大减轻了用户身份管理的     

Enhanced dynamic credential generation scheme for protection of user identity in mobile-cloud computing

To improve the resource limitation of mobile devices, mobile users may utilize cloud-computational and storage services. Although the utilization of the cloud services improves the processing and storage capacity of mobile devices, the migration of confidential information on untrusted cloud raises security and privacy issues. Considering the security of mobile-cloud-computing subscribers’ information, a mechanism to authenticate legitimate mobile users in the cloud environment is sought. Usually, the mobile users are authenticated in the cloud environment through digital credential methods, such as password. Once the users’ credential information theft occurs, the adversary can use the hacked information for impersonating the mobile user later on. The alarming situation is that the mobile user is unaware about adversary’s malicious activities. In this paper, a light-weight security scheme is proposed for mobile user in cloud environment to protect the mobile user’s identity with dynamic credentials. The proposed scheme offloads the frequently occurring dynamic credential generation operations on a trusted entity to keep minimum processing burden on the mobile device. To enhance the security and reliability of the scheme, the credential information is updated frequently on the basis of mobile-cloud packets exchange. Furthermore, the proposed scheme is compared with the existing scheme on the basis of performance metrics i.e. turnaround time and energy consumption. The experimental results for the proposed scheme showed significant improvement in turnaround time and energy consumption as compared to the existing scheme.     

A temporal-credential-based mutual authentication and key agreement scheme for wireless sensor networks

Wireless sensor network (WSN) can be deployed in any unattended environment. With the new developed IoT (Internet of Things) technology, remote authorized users are allowed to access reliable sensor nodes to obtain data and even are allowed to send commands to the nodes in the WSN. Because of the resource constrained nature of sensor nodes, it is important to design a secure, effective and lightweight authentication and key agreement scheme. The gateway node (GWN) plays a crucial role in the WSN as all data transmitted to the outside network must pass through it. We propose a temporal-credential-based mutual authentication scheme among the user, GWN and the sensor node. With the help of the password-based authentication, GWN can issue a temporal credential to each user and sensor node. For a user, his/her temporal credential can be securely protected and stored openly in a smart card. For a sensor node, its temporal credential is related to its identity and must privately stored in its storage medium. Furthermore, with the help of GWN, a lightweight key agreement scheme is proposed to embed into our protocol. The protocol only needs hash and XOR computations. The results of security and performance analysis demonstrate that the proposed scheme provides relatively more security features and high security level without increasing too much overhead of communication, computation and storage. It is realistic and well adapted for resource-constrained wireless sensor networks.     

SOA环境中的跨域认证方案研究

鉴于现在的网络越来越复杂,其中,用户数量大、服务类型多、安全机制不统一的特点决定了SOA环境中异构多域的情况,给出了一种基于模糊理论的信任管理方法,并将该方法与证书转换服务结合起来提出了一种 SOA 环境中的跨域认证方案,在该方案中,用户域使用信任管理方法来保证安全性,服务域结合信任管理与证书认证来保证安全性,并且用户可以透明地访问采用不同底层安全机制的域中服务,实现安全跨域认证。分析表明,该方案具有安全与普适的优势,可以满足SOA环境下身份认证的需求。     

基于身份密码系统和区块链的跨域认证协议

随着信息网络技术的快速发展和网络规模的持续扩张,网络环境中提供的海量数据和多样服务的丰富性和持久性都得到了前所未有的提升.处于不同网络管理域中的用户与信息服务实体之间频繁交互,在身份认证、权限管理、信任迁移等方面面临一系列安全问题和挑战.本文针对异构网络环境中用户访问不同信任域网络服务时的跨域身份认证问题,基于IBC身...     

身份证实证书在可信计算中的应用

证书体系在可信计算中具有基础支撑作用,它参与完成了信任传递的整个过程。该文研究身份证实证书（AIK）的内容、产生和其他证书的关系,分析其在远端主机证明的作用和过程。用可信计算技术和AIK证书加强安全套接层（SSL）协议的方法和步骤解决SSL协议中无法验证服务器程序真实性的问题。