云计算安全认证与可信接入协议研究进展

随着云计算技术的蓬勃发展,越来越多的终端用户在云端使用计算资源、存储资源和其他网络资源,产生了大量的云服务访问认证请求.通过对用户及终端的可信认证保障云接入安全,已成为解决云计算安全问题的重要途径.文章综述了云计算环境下的主要安全问题,以及终端用户认证和可信接入方法、机制和安全协议等,展望了未来在云接入和认证安全方面的主要研究方向.     

一体化网络中可证明安全的三方认证协议

为了有效地保证终端、接入交换路由器和认证中心的安全,本文提出了一体化网络中可证明安全的三方认证协议.该协议实现了终端和认证中心之间及接入交换路由器和认证中心之间的相互认证,不仅可以有效防止非授权终端接入网络,还可以防止伪造的认证中心和接入交换路由器对终端的欺骗.在BR扩展模型下,可证明该协议是安全的.通过性能分析得出,协议具有很高的效率.     

一体化标识网络中的用户身份认证协议

一体化标识网络解决了传统网络中IP地址二义性问题,是一种基于网络的身份与位置分离体系.本文在一体化标识网络中提出一种用户身份认证协议,基于该协议设计了一种利用数字证书构建的接入标识.这种接入标识唯一的表示一体化标识网络中的终端,实现用户身份信息与终端的绑定.该用户身份认证协议基于Diffie-Hellman密钥交换完成用户到用户真实身份的双向认证,采用谜题机制和无认证状态防止应答方受到DoS攻击.通过C-K安全模型分析用户身份认证协议的安全性,分析表明该协议是会话密钥安全的.     

无线局域网低时延切换的一种两级认证方法

IEEE 802.11无线局域网已得到了广泛的部署.在无线局域网中,终端移动时经常发生切换,需要进行安全认证,这导致较长的处理时延,降低了服务质量.目前的认证方法,如AAA和IEEE 802.1x,不能支持低时延切换.本文提出了一种两级认证方法,移动终端在快速切换协议中可以执行认证.在漫游到新域之前从目标接入点获取一个临时身份,通过使用该临时身份继续认证快速接入.移动终端在短时间内必须执行再认证,以便完成正常的认证过程,否则,认证接入将被终止.仿真结果表明,本文提出的两级认证方法在切换过程中显著地减少了切换时延和丢包率.     

可信网络连接双向认证协议的设计与分析

针对可信网络连接认证协议的现有方案存在单向认证、平台身份和配置信息泄露、无法抵御伪装及重放攻击等安全问题,提出了一种新的认证协议。该协议通过引入可信第三方实现了双向用户身份和平台身份的认证,防止了伪装攻击。直接匿名证明方法和时间戳的应用,保护了平台身份和配置信息的安全,防止了重放攻击。采用BAN逻辑对协议进行形式化描述及分析,验证了本协议可以提高认证的安全性,具有较高的应用价值。     

可信环境下的WLAN接入认证方案

在第3版WLAN鉴别基础设施(WAI)协议的基础上,提出了基于预共享密钥模式和基于证书模式的可信环境下的WLAN接入认证方案.实现了站(STA)和接入点(AP)之间的双向用户认证和平台认证,且与第3版WAI协议后向兼容,其中鉴别服务器(AS)负责STA和AP的用户证书验证、平台证明身份密钥(AIK)证书验证和平台完整性评估,STA和AP的存储完整性度量日志(SML)是利用数字信封技术加密传输给AS的,从而有效地解决了可信WAI(TWAI)所存在的问题.此外,利用针对于可信接入认证协议的串空间模型,证明了它们是安全的.     

基于直接匿名证言的可信平台身份证明协议的设计

直接匿名证言(DAA)既解决了隐私CA的瓶颈问题,又实现对TPM的认证和匿名,是当前可信计算平台身份证明最好的理论解决方案之一,TCG在TPMv1.2中将其作为解决平台身份证明问题的标准.但该标准中仅仅重点描述了DAA实现认证和匿名的原理、复杂运算和关键步骤,并没有给出具体和完整的协议流程.基于DAA基本原理设计了可信平台身份证明的安全协议:AI-DAA.该协议不仅能够实现可信平台身份认证和隐私保护,而且还能保证协议实体之间的双向身份认证和信息传输的机密性.协议安全性分析表明,AI-DAA不仅能防止消息重放攻击,而且还能抵御中间人攻击.     

基于可信计算的无线网络终端认证机制研究

针对计算机可信计算设计理念中存在的WSN终端数据安全问题,提出了一种基于可信计算的无线传感器网络终端身份认证机制。通过引入可信平台模块（TMP）,结合生物识别技术的思想,实现用户与TMP之间的相互认证,由TPM直接控制指纹模板和生物校验软件,渐少了数据传输过程中可能发生的潜在威胁,提高了无线传感器网络终端的可靠性。分析认为,该方案对可信计算在终端安全方面的研究有着重要的参考价值。     

基于可信计算的车联网云安全通信模型

基于可信计算思想提出了一个车联网云平台用户间的安全通信模型.该模型借助可信第三方,在申请通信服务过程中为车联网云用户生成临时身份,即对车联网云用户身份进行匿名化处理,以实现对用户身份隐私的保护.在通信过程中,该模型采用双线性对签名的算法分别对用户的身份合法性和平台可信性进行认证,并有效地使用了随机数、密钥和时间戳,以密钥和散列函数确保了签名的不可伪造性,以时间戳确保了密钥的时效性,以随机数机制防止了重放攻击.分析结果表明:在车联网云平台中采用该通信模型可以使通信过程具备可信性、安全性和匿名性.     

基于PPSK的物联网终端可信准入认证系统设计与实现

物联网技术在有力推进智慧校园建设的同时也对网络安全提出了更高的要求。目前,物联网终端准入可信认证机制尚未成熟：现有的基于MAC地址认证模式难以避免地址伪冒的问题,IEEE 802.1x认证模式存在终端适用性不强、管理维护难度高的缺点,而预共享密钥模式(pre-shared key,PSK)则不满足接入设备及身份具有不可否认性等合规性要求。为解决此类问题,本文基于私有预共享密钥模式(Private-PSK,PPSK)+用户预注册系统设计并实现了物联网终端准入可信认证系统。该系统可有效减少身份冒用、地址假冒等方面的安全问题,可大幅增强物联网终端管理安全。此外,本文进一步给出了在校园网内如何提高物联网系统的高可用性、高安全性的具体实践经验。