基于区块链技术的云身份管理信任模型设计

提出了基于区块链技术的云身份管理信任模型,该信任模型允许云服务提供商以动态和分布式的方式自主管理其信任关系,而无需诸如IDP等集中管理机构。该模型通过有效的身份验证机制,允许跨多个域分布的数据使用身份信息来简化操作,优化用户体验。为实现云身份管理的安全性和隐私性提供了身份管理安全问题参考解决方案。通过与传统的云身份管理模型对比,证明了本设计的稳定性。     

基于区块链技术的云身份管理信任模型设计

提出了基于区块链技术的云身份管理信任模型,该信任模型允许云服务提供商以动态和分布式的方式自主管理其信任关系,而无需诸如IDP等集中管理机构。该模型通过有效的身份验证机制,允许跨多个域分布的数据使用身份信息来简化操作,优化用户体验。为实现云身份管理的安全性和隐私性提供了身份管理安全问题参考解决方案。通过与传统的云身份管理模型对比,证明了本设计的稳定性。     

普适计算的隐私保护安全协议

提出了一个用户隐私保护的安全协议.该协议由服务发现者对用户进行认证和盲签名,随后用户以匿名的方式访问服务提供者提供的资源.根据匿名与不可关联性具有紧密的关系,设计了普适计算的匿名攻击模型,通过匿名攻击模型分析可以看出:隐私保护安全协议不仅允许服务提供者对用户的认证,同时也可以保护用户隐私,并且能够防止重放攻击以及设备间的恶意串通.     

浅析云计算的安全和可信计算的应用

随着云计算的普遍应用,使云计算安全问题成为业界关注热点.用户在享受云计算提供的资源和计算等服务时,面临非法入侵和隐私泄露等威胁.为了解决云计算安全问题,需要建立一种安全可信机制,保障系统和应用的安全性.把可信计算技术应用到终端设备上,从＂信任根＂出发,借助＂信任链＂把可信逐级传递下去,最终扩展到整个终端计算系统都是安全可信的.     

Ubiquitous Computing Identity Authentication Mechanism Based on D-S Evidence Theory and Extended SPKI/SDSI

Ubiquitous computing systems typically have lots of security problems in the area of identity authentication by means of classical PKI methods. The limited computing resources, the disconnection network, the classification requirements of identity authentication, the requirement of trust transfer and cross identity authentication, the bidirectional identity authentication, the security delegation and the simple privacy protection etc are all these unsolved problems. In this paper, a new novel ubiquitous computing identity authentication mechanism, named UCIAMdess, is presented. It is based on D-S Evidence Theory and extended SPKI/SDSI. D-S Evidence Theory is used in UCIAMdess to compute the trust value from the ubiquitous computing environment to the principal or between the different ubiquitous computing environments. SPKI-based authorization is expanded by adding the trust certificate in UCIAMdess to solve above problems in the ubiquitous computing environments. The identity authentication mechanism and the algorithm of certificate reduction are given in the paper to solve the multi-levels trust-correlative identity authentication problems. The performance analyses show that UCIAMdess is a suitable security mechanism in solving the complex ubiquitous computing problems.     

A cross-domain access control model based on trust measurement

Based on trust measurement, a new cross-domain access control model is proposed to improve the security performance of the cross-domain access control processes. This model integrates the trust management and trusted platform measurement, defines several concepts (user trust degree, platform configuration integrity and intra/inter-domain trust degree) and calculates them with users’ uniform identity authentication and historical access behavior analysis. Then this model expands the extensible access control markup language (XACML) model by adding inside trust manager point (ITMP) and outside trust manager point (OTMP), and describes the architectures and workflows of ITMP and OTMP in details. The experimental results show that this model can achieve more fine-grained access control, implement dynamic authorization in a simple way, and improve the security degrees of the cross-domain access control.     

Threshold signature scheme based on discrete logarithm and quadratic residue

Digital signature scheme is a very important research field in computer security and modern cryptography. A(k,n) threshold digital signature scheme is proposed by integrating digital signature scheme with Shamir secret sharing scheme. It can realize group-oriented digital signature, and its security is based on the difficulty in computing discrete logarithm and quadratic residue on some special conditions. In this scheme, effective digital signature can not he generatedby any h 1 or fewer legal users, or only by signature executive. In addition, this scheme can identify any legal user who presents incorrect partial digital signature to disrupt correct signature, or any illegal user who forges digital signature. A method of extending this scheme to an Abelian group such as elliptical curve group is also discussed. The extended scheme can provide rapider computing speed and stronger security in the case of using shorter key.     

一个基于椭圆曲线的无条件匿名签密算法

利用ECDLP和无条件匿名签名的思想,给出了一个基于椭圆曲线的无条件匿名的签密算法,并给出了相应的安全性证明。该方案在普通签密方案已有特性基础上,利用椭圆曲线群体签名隐藏个体身份信息的思想,进一步实现了签密者身份的完全匿名性,从而在最大程度上保护了签密者的隐私。该方案可以应用于许多特殊场合,如电子现金、匿名认证等。     

一种改进的基于中国剩余定理的群签名方案

在基于中国剩余定理的群签名的基础上,结合两种不同的ElGamal变体签名体制,分别用于加强群成员和群中心之间传递参数的验证和最终签名的生成,构造一种改进的有效的群签名方案.经安全性分析,提出的改进方案具有匿名性、可撤销性、不关联性,防伪造性等安全特性.同时选择的ElGamal变体签名能够减少签名方案的计算代价,提高整个签名方案的安全性和计算效率.     

基于双线性映射的匿名跨域认证方案

为保证跨域资源访问的安全性,提出一种基于双线性映射的匿名跨域认证协议,该协议可以避免传统基于公钥基础构架的跨域认证方案中证书传递的繁琐性,以及现有基于身份的跨域认证方案中权威机构冒充内部成员进行跨域访问资源的弊端,同时具有实体追踪能力,支持双向匿名实体认证.性能分析表明该方案具有较好匿名性和安全性.     

一种新的基于无证书数字签名的认证方案

针对现有无线网络安全认证过程比较繁琐,认证技术大多只是对硬件的认证而不是对用户本身的认证等问题,提出基于无证书数字签名技术和指纹识别技术相结合的认证方案.通过分级认证降低无证书数字签名认证的时间代价,提出以指纹识别结果的离散值作为身份标志以免去用户口令的设计理念和认证过程.定性分析表明,基于指纹识别和无证书数字签名相结合的认证方案可以为无线网提供更安全高效的认证.     

A Cloud Computing Security Model Based on Noninterference

In cloud computing, the risk of data leakage exists between users and virtual machines. Whether it is direct or indirect data leakage, it can be regarded as illegal information flow. Methods such as access control models can control the information flow rather than the covert information flow. Therefore, it needs to use the noninterference models to detect the existence of illegal information flow in cloud computing. Typical noninterference models are not suitable to verificate information flow in cloud computing. When concurrent access actions execute in the cloud architecture, security domains do not affect each other, because there is no information flow between security domains. Based on this, we propose noninterference for cloud architecture in which concurrent access and sequential access coexist. When the sequential actions execute, the information flow between security domains can flow in accordance with established rules. When concurrent access actions execute, there should not be the information flow between security domains.     

Privacy Preserving and Delegated Access Control for Cloud Applications

In cloud computing applications, users' data and applications are hosted by cloud providers. This paper proposed an access control scheme that uses a combination of discretionary access control and cryptographic techniques to secure users' data and applications hosted by cloud providers. Many cloud applications require users to share their data and applications hosted by cloud providers. To facilitate resource sharing, the proposed scheme allows cloud users to delegate their access permissions to other users easily. Using the access control policies that guard the access to resources and the credentials submitted by users, a third party can infer information about the cloud users. The proposed scheme uses cryptographic techniques to obscure the access control policies and users' credentials to ensure the privacy of the cloud users. Data encryption is used to guarantee the confidentiality of data. Compared with existing schemes, the proposed scheme is more flexible and easy to use. Experiments showed that the proposed scheme is also efficient.     

车载传感网中基于聚合签名的认证方案

利用无证书公钥密码体制构造一种新的聚合签名算法, 以实现车载传感网中车辆节点之间信息传输的安全认证. 该方案通过路侧单元生成的影子值与周围节点进行通信, 实现了车辆用户的条件隐私保护. 实验结果表明, 该方案不仅能消除复杂的证书维护成本, 也解决了密钥托管问题, 且满足了消息的认证性、 匿名性、 不可伪造性和可追踪性等性质, 通信效率较高, 消息验证时延较短.     

可信模块与强制访问控制结合的安全防护方案

基于可信计算思想,通过在现有移动终端中加入移动可信计算模块,并在核心网中加入安全服务提供者和安全软件提供商,构架了面向移动终端的统一安全防护体系,为用户提供安全服务.该方案有效利用了移动终端操作系统的特性,将基于角色的访问控制与可信验证相结合,实现了高效的可信链传递,使没有授权证书的非法软件和非法进程不能在系统中运行,...     

统一身份认证系统中的多因子身份认证方法

我国省级教育专网存在诸如应用分散、跨平台访问需要重复身份认证等问题,因此建设省级教育专网的统一身份认证系统势在必行。身份鉴别与认证是统一身份认证系统的关键环节,传统的基于单因子的身份认证方案存在诸多安全问题,因此多因子身份认证方案应运而生。本文总结了常用的身份认证方案,并介绍了基于统一身份认证系统的多因子身份认证方案,该方案综合使用了三种不同的认证因子,对于可能的非法登录行为进行预警,实验结果显示,系统可以识别出88.8%的非法用户。     

采用区块链的物联网数据共享方案

针对物联网(IoT)数据共享过程中存在的安全漏洞和隐私泄露风险,提出一种基于区块链的物联网数据共享方案.采用数据的不可篡改、分布式存储、隐私保护、可追溯及访问控制,将消息队列遥测传输(MQTT)作为通信协议和中间件,并为其提供身份认证和主题权限管理.结合国产加密算法实现密钥交换、数据摘要和加密传输,通过区块链记录设备的行为,在提高可信度的同时提供追溯的能力,采用智能合约对数据和主题进行共享和管理,实现链上链下数据协同保障数据的一致性.通过系统原型实现与测试,结果表明：该方案能够确保物联网设备之间共享数据时的安全性和隐私性,满足物联网应用性能需求,具有可行性.     

一种新型移动数据库终端身份认证方案

以SRP-6协议和ECC算法为基础设计一种移动数据库终端身份认证方案。与其他同类方案相比,该方案不仅具有较小的存储开销和计算量,而且支持用户和设备的双重身份认证,能够抵抗窃听攻击、重放攻击、伪装主机攻击以及位置隐私攻击等多种攻击行为,从而能够更好地满足移动数据库身份认证的功能需求和安全需求。     

云环境下用户数据安全性访问控制算法

针对传统的用户数据安全性访问算法存在安全性及整体性能低下的问题,提出一种新的云环境下用户数据安全性访问控制算法。通过介绍所提算法的基本概念,利用模糊层次分析法计算云环境中用户数据直接信任值;通过用户和其他云服务之间的信任值求取用户数据推荐值;在此基础之上,确定用户数据综合信任值。通过用户数据信任等级分配得到用户访问权限,针对信任水平较低的用户,云服务供应商通过拒绝其访问保证整个云环境的安全性。实验结果表明,所提算法安全性高,整体性能强。     

基于多技术融合的Web服务安全的研究与实现

随着Web服务的广泛应用,身份认证成为影响其发展的关键技术之一.本文在研究Web服务安全机制、数字签名技术(DSA算法)和智能卡技术的基础上,实现了一种基于多技术融合的Web服务安全的解决方案,有效的提高了Web服务的安全性,可以用于对Web服务安全性要求较高的信息系统.