指纹认证技术在远程网络教育平台中的应用

在远程教育平台的建设中,网络化导致的学生身份认证困难问题越来越突出。文中提出一种利用日趋成熟的指纹认证技术构建远程网络教育安全认证平台的设计方案。它的主要特征是在远程教育平台的各种接入层的客户端增加指纹采集设备,在远程教育平台接入层和业务系统层,即教学支撑系统之间增加指纹身份认证和权限管理安全层;从而利用指纹这种生物识别技术实现远程教育系统中用户的真实身份鉴别,以保证教育信息资源的访问安全。     

无需第三方签名链的移动代理认证协议

移动代理是一种能在不同平台之间移动的程序。移动代理安全中的一个关键问题就是认证移动代理所声称的历史路径（执行平台）是否属实。针对移动代理认证问题提出了一种基于身份加密的认证协议。此协议能使自组织网络中移动代理平台相互之间建立一种信任关系。通过对移动代理所声称的历史路径进行验证,进而建立基于身份信息加密的签名路径链,使移动代理系统在无可信第三方参与下实现身份认证,有效防止恶意的移动代理。     

基于可信计算的移动平台设计方案

在深入研究现有可信移动平台设计方案和TCG移动可信模块相关技术的基础上,提出了带有移动可信模块的可信移动平台设计方案.平台采用基带处理器和应用处理器分离的结构,利用移动可信模块构建了以应用处理器为中心的可信区域,为移动平台提供受保护的计算和存储空间,提高了移动平台的安全性、灵活性和可靠性.分析了现有可信移动平台安全引导过程安全漏洞,提出了改进的安全引导过程,并通过谓词逻辑对改进的引导过程进行了正确性验证.     

基于电子钱包的移动微支付方案

为了使移动微支付方案能够提供更安全便捷的支付服务,设计了一种基于电子钱包的微支付方案.该方案由用户、商家、可信支付平台(trusted payment platform,TPP)共同组成,电子钱包作为联系用户和商家的安全平台,可协助用户安全地完成移动微支付交易,且实现对微支付账户的管理和更新.利用哈希链生成支付节点,使用对称加密算法和公钥签名算法对数字交易过程进行加密并提供身份认证服务.结果表明,电子钱包的引入可以及时检测到用户的二次花费,该方案安全性能好,系统运行效率高.     

基于可信计算的安全移动电子支付系统的研究与设计

将可信计算引入到移动电子支付系统中，是一条有效解决移动电子支付设备安全问题的新思路。本文首先对可信计算的体系结构进行介绍，之后对在传统可信计算平台上构建适应移动环境的新型嵌入式可信平台模块进行阐述，并重点介绍了其硬件和软件环境的实现，为用户提供一个安全，便捷的支付环境。     

Google SafetyNet中Root检测机制安全性研究

Android系统中的Root是指利用系统漏洞或者通过刷机使得应用能够执行需要Root权限的操作.用户常常出于个性化设备、安装特权应用等目的将设备Root,而对设备Root会引入很大的安全风险.攻击方得到Root权限后可以进行静默安装恶意应用、窃取用户敏感数据及篡改应用程序等恶意操作.由于上述安全风险的存在,Android系统和大多数应用程序不希望设备被Root.为此,Google移动服务框架中的SafetyNet模块提供了平台级的Root检测.但SafetyNet Root检测机制本身的安全性及健壮性尚不完全清晰,突出的问题是此机制是否可能被绕开还不明了.为此,本文使用逆向工程的方法分析了Google移动服务框架中SafetyNet的Root检测机制,并结合Root的技术原理,分析了相关检测机制的实现方式并发现了其中的弱点.通过攻击实验,成功地揭示了Google平台级Root检测机制实现中存在有较高的安全风险,难以检测本文设计的Root方法.      

基于KVM的可信虚拟化架构模型

针对云计算安全中的虚拟化安全问题, 提出一种可改善虚拟化安全问题的可信虚拟化架构. 该架构通过在模拟处理器中添加虚拟可信平台模块, 在操作系统中添加可信平台模块驱动, 构造一个从底层基础架构到上层应用服务的可信架构. 该架构在虚拟化平台服务器中融合了可信平台模块, 可有效解决虚拟化平台服务器的安全性
问题.     

校际移动漫游的研究与实现

分析研究了高校对校际移动漫游建设的需求,从校际移动漫游的网络安全接入、校际移动漫游的网络认证和校际移动漫游中心的建设等3个方面,提出了使用中国强制性安全标准的WAPI证书,扩展漫游加密鉴权,叠加LDAP/RADIUS漫游认证的方式,结合漫游学校与归属学校的网络实际情况,分别采用返回归属学校认证和漫游中心认证2种漫游系统架构,在校际间实现了安全性能高、运行性能高和投入建设简洁的校际间的移动漫游,通过教育信息资源的共享,创造了更宽广的校际间的学术交流环境.     

城市数字视频监控系统的网络安全建设

平安城市的数字视频监控系统的网络安全保障系统主要边界包含安全、内网安全和整合应用系统用户及权限管理的CA身份认证系统,本文依据公安部边界标准、视频监控系统标准和地方标准详细阐述了网络安全系统架构,网络安全保障体系系统建设方案。     

移动商业二维条码识别系统

正无线网络的广泛使用和移动科技的发展,带来了市场对移动金融应用及相应服务的强烈需求,二维码的应用越来越广泛。基于条形码的识别(validation)技术是电子商业系统的重要组成部分,特别是在电子供应链系统上。本文以移动设备上的二维码识别系统作为移动贸易系统的一部分进行研究,分析了二维条形码识别系统的基本架构、服务端组成、客户端部件、安全部件及具体解决方案等,以实现在移动设备上对二维码的识别。     

A cross-domain access control model based on trust measurement

Based on trust measurement, a new cross-domain access control model is proposed to improve the security performance of the cross-domain access control processes. This model integrates the trust management and trusted platform measurement, defines several concepts (user trust degree, platform configuration integrity and intra/inter-domain trust degree) and calculates them with users’ uniform identity authentication and historical access behavior analysis. Then this model expands the extensible access control markup language (XACML) model by adding inside trust manager point (ITMP) and outside trust manager point (OTMP), and describes the architectures and workflows of ITMP and OTMP in details. The experimental results show that this model can achieve more fine-grained access control, implement dynamic authorization in a simple way, and improve the security degrees of the cross-domain access control.     

基于PPSK的物联网终端可信准入认证系统设计与实现

物联网技术在有力推进智慧校园建设的同时也对网络安全提出了更高的要求。目前,物联网终端准入可信认证机制尚未成熟：现有的基于MAC地址认证模式难以避免地址伪冒的问题,IEEE 802.1x认证模式存在终端适用性不强、管理维护难度高的缺点,而预共享密钥模式(pre-shared key,PSK)则不满足接入设备及身份具有不可否认性等合规性要求。为解决此类问题,本文基于私有预共享密钥模式(Private-PSK,PPSK)+用户预注册系统设计并实现了物联网终端准入可信认证系统。该系统可有效减少身份冒用、地址假冒等方面的安全问题,可大幅增强物联网终端管理安全。此外,本文进一步给出了在校园网内如何提高物联网系统的高可用性、高安全性的具体实践经验。     

基于Logic SQL的B2级安全机制的研究与设计

Logic SQL数据库是自主研制基于linux的高安全级别安全数据库，本文对Logic SQL安全数据库的B2级安全机制的研究与设计，从标识与认证机制、访问控制机制、审计机制、加密机制、三权分立机制、客体重用保护机制等方面进行研究．并展望下一阶段Logic SQL的B2级安全机制的实现还需要进行的研究．     

可信模块与强制访问控制结合的安全防护方案

基于可信计算思想,通过在现有移动终端中加入移动可信计算模块,并在核心网中加入安全服务提供者和安全软件提供商,构架了面向移动终端的统一安全防护体系,为用户提供安全服务.该方案有效利用了移动终端操作系统的特性,将基于角色的访问控制与可信验证相结合,实现了高效的可信链传递,使没有授权证书的非法软件和非法进程不能在系统中运行,...     

基于虹膜识别的网络安全认证系统

随着信息技术的飞速发展,传统的身份验证已不能完全满足电子信息安全的要求,通过对几种生物特征识别的性能进行比较,结合信息加密技术,提出了一种基于虹膜识别的网络安全认证系统,该系统与现存的很多认证体系(如Kerberos认证系统)相比,多了一层对网络身份的识别功能,本文从理论上证明了该系统的安全性和可行性。     

可信网络连接双向认证协议的设计与分析

针对可信网络连接认证协议的现有方案存在单向认证、平台身份和配置信息泄露、无法抵御伪装及重放攻击等安全问题,提出了一种新的认证协议。该协议通过引入可信第三方实现了双向用户身份和平台身份的认证,防止了伪装攻击。直接匿名证明方法和时间戳的应用,保护了平台身份和配置信息的安全,防止了重放攻击。采用BAN逻辑对协议进行形式化描述及分析,验证了本协议可以提高认证的安全性,具有较高的应用价值。     

一种层次信任的多粒度RBAC扩展模型

针对企业级网络应用集成环境中授权和访问控制要求,提出一种以信任角色授权的分层和多粒度的访问控制扩展模型(EmRBAC),结合NIST-RBAC的标准模型,利用可信凭证扩展用户和角色之间的层次,增加角色的信任层次,并从系统、应用、操作对象的功能和级别、操作数据的时间周期等多个维度对标准模型进行了访问权限的粒度细化,加强访问权限的多粒度控制,并通过角色状态分层预处理,降低权限判别时的复杂性,提高访问控制效率。最后以开源门户eXo Platform为实验平台,给出了模型的访问控制流程以及应用实例,以验证提出模型的有效性。     

组策略在医院网络管理中的运用

研究了医院信息化组织机构实施问题,以实现医院信息化数据资源、打印机、计算机等硬件资源统一管理功能和医院信息化软件的自动分发、安装功能,实现医院统一协作平台架构搭建及医院上网行为的管理功能. 方法主要包括活动目录安装和配置策略、设计组织单元策略、各种角色的确定、角色权限的确定等,数据共享资源的部署策略和访问控制策略,客户端软件的自动部署策略,系统用户之间的信息交互、资源共享、远程办公等,上网身份鉴别、时间控制、内容监控与过滤、网协议、流量监控等.     

基于Web服务的使能服务平台安全机制

介绍了一个在网络经济模式下,基于Web服务的、支持中小企业动态联盟的使能服务平台,并分析了其中面临的安全威胁,提出了一套适用该平台的安全机制·该安全机制可以为用户提供信息通信保密,访问权限控制,数字签名,身份认证,密钥管理以及入侵检测等安全性保障·其中使用了AES和混沌密码算法进行数据加密,RSA算法用于数字签名和密钥交换,Guillou Quisquater协议用于身份认证,一个基于RSA的秘密共享体制保存密钥·在入侵检测系统中,综合使用了神经网络,数据挖掘和计算机免疫方法·最后,分析了其安全性·     

基于VPN应用模式与关键技术的研究

VPN技术是解决网络安全、互联网‘专'用的一条有效途径。本文介绍了VPN技术的特点、运用平台、应用模式；分析了隧道技术、IPSec、用户认证技术、访问控制技术；探讨了VPN实施的典型方式与运作趋势。