云计算身份认证模型研究

云计算是在继承和融合众多技术基础上的一个突破性创新,已成为当前应用和研究的重点与热点。其中,云用户与云服务之间以及云平台中不同系统之间的身份认证与资源授权是确保云计算安全性的前提。在简要介绍云计算信息基础架构的基础上,针对云计算统一身份认证的特点和要求,综合分析了SAML2.0、OAuth2.0和Open ID2.0等技术规范的功能特点,提出了一种开放标准的云计算身份认证模型,为云计算中逻辑安全域的形成与管理提供了参考。     

一种改进的超轻量级RFID认证协议

针对当前超轻量级RFID认证协议中存在的安全缺陷,提出一种改进的超轻量级RFID双向认证协议。通过引入新的函数,使消息之间的数学关联性更加复杂,避免了泄露标签标识符,提高了阅读器和标签在开放环境中通信的保密性。对该协议的安全性和效率进行分析,并利用OPNET软件对该协议仿真实验,结果表明,该协议能抵抗代数攻击,重传攻击,假冒攻击等多种常见恶意攻击,在同等计算量下具有更高的安全性,可用于实际的移动身份认证环境。     

物联网移动节点直接匿名漫游认证协议

无线网络下传统匿名漫游协议中远程域认证服务器无法直接完成对移动节点的身份合法性验证,必须在家乡域认证服务器的协助下才能完成,导致漫游通信时延较大,无法满足物联网感知子网的快速漫游需求.针对上述不足,提出可证安全的物联网移动节点直接匿名漫游认证协议,远程域认证服务器通过与移动节点间的1轮消息交互,可直接完成对移动节点的身份合法性验证.该协议在实现移动节点身份合法性验证的同时,具有更小的通信时延、良好的抗攻击能力和较高的执行效率.相较于传统匿名漫游协议而言,该协议快速漫游的特点更适用于物联网环境.安全性证明表明,该协议在CK安全模型下是可证安全的.     

PalmPhasor算法性能的理论分析

模板的安全性和隐私性是掌纹系统实际应用的关键问题,然而生物特征保护的多项指标通常相互冲突并且难以同时满足.作为解决上述冲突的一种可撤销掌纹编码算法,PalmPhasor实现了高效、安全的掌纹认证.建立了系统分析PalmPhasor性能的完整框架.为了便于具体分析,将情景分为4种情况,并且提供了支持相应分析的预备知识,包括辅助定理以及Gabor滤波掌纹图像实部和虚部分布特性.在统计学基础上建立的理论分析和实验结果均表明:即使在用户口令被盗的情况下,多方向分数级融合增强的PalmPhasor算法也可以同时有效地满足可撤销生物特征的4项指标.     

一种可信第三方医学影像数据云平台身份认证

身份认证是云计算安全应用的挑战之一。针对Hadoop医学影像数据平台,提出改进的双服务器模型,并采用基于三角形原则的密码存储方法存储口令。其次,在该模型的基础上提出基于可信第三方的云存储架构。安全分析表明：基于双服务器模型的身份认证机制能够一定程度上改善口令认证的不足,加强口令存储安全,基于可信第三方的云存储架构能够实现用户信息管理和数据存储的分离,保护用户隐私。两者有机结合加强了医学影像平台的身份认证安全,防止攻击者访问云平台,窃取Dicom数据用于非法途径。     

基于键盘行为数据的用户身份识别

用户击键行为作为一种生物特征,具有采集成本低、安全性高的特点。然而,现有的研究方法和实验环境都是基于实验室数据,并不适用于极度不平衡的真实数据。比如,在实验室数据上效果出色的分类算法在真实数据上却无法应用。针对此问题,提出了基于真实击键行为数据的用户识别算法。该方法将聚类算法和距离算法结合起来,通过比较新来的击键行为和历史击键行为相似度以实现用户识别。实验结果表明,该算法在100名用户的3015条真实击键记录组成的数据集上准确率达到88.22%,在投入实际应用后,随着样本集的增大算法的准确率还可以进一步提升。     

安全仪表系统设计的多目标优化

安全仪表系统在过程工业中日益受到更多关注,为满足安全仪表系统多目标优化问题对于安全完整性等级的综合要求,提出一种改进的多目标遗传优化方法.首先研究了安全仪表系统多目标优化中存在的问题,然后结合安全仪表系统优化问题的特殊性提出了一种更加适合用于安全仪表系统多目标优化的方法,最后将该方法应用于一个实例.结果表明:改进的方法能够解决安全仪表系统优化对于安全完整性等级要求的优化偏好问题,所得到的解比原有方法的解更具参考价值.     

基于P2P网络的机顶盒VoD系统条件接收机制

近年来,基于对等网络(Peer-to-Peer,P2P)的视频点播(Video-on-Demand,VoD)作为付费网络电视业务的一种新趋势受到了越来越多的关注,然而对等网络自身存在的不稳定性、异构性等缺陷,导致这种系统存在较大的信息安全隐患,从而严重阻碍了其推广使用.基于P2P网络的机顶盒VoD系统条件接收机制分析了现有系统的不安全因素及问题症结,提出了一种适用于P2P网络的VoD系统动态双向条件接收(Conditional Access,CA)机制,通过采用双向认证协议来保证通信双方身份的可靠性.同时在身份认证中可以结合密钥协商,生成用于传输控制字的业务密钥.另外,在简化设计的同时,也进一步提高了系统的安全性.     

基于混合机制的Kerberos安全性增强方案

针对Kerberos协议的弱点和安全性问题,提出了一个基于混合加密机制的Kerberos改进方案,目的是防范口令攻击和内部攻击。给应用服务器和AS服务器分配公钥和私钥,用户与服务器之间的会话密钥由DH密钥交换生成。给出了改进后的 Kerberos 协议的六个步骤,并对安全性进行分析。分析结果表明,新方案能够增强Kerberos协议的安全性,而且比公钥加密机制高效。     

基于事件逻辑的改进Needham-Schroeder协议安全性证明

安全协议是现代网络安全的基础,密码协议的安全性证明是一个挑战性的问题。事件逻辑是一种描述分布式系统中状态迁移的形式化方法,用于刻画安全协议的形式化描述,是定理证明的基础。用事件序语言、事件类和一个表示随机数、密钥、签名和密文的原子类,给出身份认证协议可以被形式化定义和强认证性证明理论。利用该理论对增加时间戳的Needham-Schroeder协议安全性进行证明,证明改进的Needham-Schroeder协议是安全的。此理论适用于类似复杂协议形式化分析与验证。