基于直接匿名证言的可信平台身份证明协议的设计

直接匿名证言(DAA)既解决了隐私CA的瓶颈问题,又实现对TPM的认证和匿名,是当前可信计算平台身份证明最好的理论解决方案之一,TCG在TPMv1.2中将其作为解决平台身份证明问题的标准.但该标准中仅仅重点描述了DAA实现认证和匿名的原理、复杂运算和关键步骤,并没有给出具体和完整的协议流程.基于DAA基本原理设计了可信平台身份证明的安全协议:AI-DAA.该协议不仅能够实现可信平台身份认证和隐私保护,而且还能保证协议实体之间的双向身份认证和信息传输的机密性.协议安全性分析表明,AI-DAA不仅能防止消息重放攻击,而且还能抵御中间人攻击.     

基于可信计算的无线网络终端认证机制研究

针对计算机可信计算设计理念中存在的WSN终端数据安全问题,提出了一种基于可信计算的无线传感器网络终端身份认证机制。通过引入可信平台模块（TMP）,结合生物识别技术的思想,实现用户与TMP之间的相互认证,由TPM直接控制指纹模板和生物校验软件,渐少了数据传输过程中可能发生的潜在威胁,提高了无线传感器网络终端的可靠性。分析认为,该方案对可信计算在终端安全方面的研究有着重要的参考价值。     

可信网络连接双向认证协议的设计与分析

针对可信网络连接认证协议的现有方案存在单向认证、平台身份和配置信息泄露、无法抵御伪装及重放攻击等安全问题,提出了一种新的认证协议。该协议通过引入可信第三方实现了双向用户身份和平台身份的认证,防止了伪装攻击。直接匿名证明方法和时间戳的应用,保护了平台身份和配置信息的安全,防止了重放攻击。采用BAN逻辑对协议进行形式化描述及分析,验证了本协议可以提高认证的安全性,具有较高的应用价值。     

无可信中心的门限匿名认证方案

现有的匿名认证方案中,大多存在可信中心,匿名的可控性比较随意,而采用基于离散对数方法求解困难。针对这个问题,提出了一个新的无可信中心的门限匿名认证方案。该方案不需要可信中心,借助群签名的思想,实现示证者身份的认证;采用安全多方计算协议,实现示证者身份的门限匿名追踪。方案中认证者的匿名性、示证者的可追踪性和身份的不可冒充性满足了匿名认证的安全需求,避免了可信中心存在时的权威欺骗。     

论数字版权管理技术(DRM)的法律规制

数字版权管理技术(DRM)不同于传统的版权保护技术措施(TPM),具有一定的特殊性。由于DRM技术的特殊性及相关立法的滞后性,DRM技术的应用引起了一系列的法律问题,如公众合理使用权的保护问题、消费者权益保障问题、行业间的公平竞争问题等。基于DRM技术的特殊性和国外立法经验,在结合我国目前立法现状的基础上,提出了我国DRM技术法律规制的立法完善建议。     

一种基于软令牌的企业即时通信双向认证方案

为了提高EIM(Enterprise Instant Messenger)的安全性,在对比当前常用认证技术的基础上,提出了一种结合HASH函数、对称密码机制以及挑战/应答机制的基于软令牌的双向认证方案.最后对该方案进行了性能分析.结果表明:该方案具有保护用户身份信息,防止诸如重放、假冒和穷举等常见身份认证攻击,实现双向...     

基于P2P持久存储技术的P2P认证方案

分析了认证方式的安全性、易用性和代价,认为在P2P系统中引入基于密码的认证方式是必要的.利用持久存储技术、可信计算思想和虚拟系统思想,通过构造存储用户信息的分布式的用户数据库和用于认证的可信实体,解决基于密码的身份认证中的两个关键问题:用户的个人信息无法存储及缺乏客观可信的认证实体执行认证,实现基于密码的认证方式.理论分析和原型系统证明了方案的可行性.该方案对于完善P2P的认证方式是一次有益的尝试.     

零信任体系架构的可跨域连续身份认证

连续身份认证是零信任架构的核心,旨在确保通信和资源访问的安全性。传统身份认证方案存在一系列问题,比如依赖可信第三方、普适性差、中心化管理、高成本、低效率和缺乏隐私保护等。为了满足当前网络发展的需求,遵循“永不信任,始终验证”的零信任原则,提出了一种可跨域连续身份认证方案,利用统一多域标识和信道状态信息实现轻量级的连续认证和可跨域认证。通过安全协议分析本征逻辑方法对所提方案进行了正式分析,证明了其安全性,并展示了在零信任应用场景中的强大潜力。     

基于USBkey的虚拟实验平台动态身份认证方案设计及实现

本文提出了一种基于USBkey的动态身份认证方案,该方案利用公钥密码算法和USBKey的硬件保护特性,使密钥能够安全方便的分发和保存,避免了使用时间戳带来的重放攻击的潜在风险,并能抵抗假冒攻击和口令攻击.该动态身份认证方案很好地满足了虚拟实验平台身份认证系统的实际需求.     

基于电子钱包的移动微支付方案

为了使移动微支付方案能够提供更安全便捷的支付服务,设计了一种基于电子钱包的微支付方案.该方案由用户、商家、可信支付平台(trusted payment platform,TPP)共同组成,电子钱包作为联系用户和商家的安全平台,可协助用户安全地完成移动微支付交易,且实现对微支付账户的管理和更新.利用哈希链生成支付节点,使用对称加密算法和公钥签名算法对数字交易过程进行加密并提供身份认证服务.结果表明,电子钱包的引入可以及时检测到用户的二次花费,该方案安全性能好,系统运行效率高.     

可信环境下的WLAN接入认证方案

在第3版WLAN鉴别基础设施(WAI)协议的基础上,提出了基于预共享密钥模式和基于证书模式的可信环境下的WLAN接入认证方案.实现了站(STA)和接入点(AP)之间的双向用户认证和平台认证,且与第3版WAI协议后向兼容,其中鉴别服务器(AS)负责STA和AP的用户证书验证、平台证明身份密钥(AIK)证书验证和平台完整性评估,STA和AP的存储完整性度量日志(SML)是利用数字信封技术加密传输给AS的,从而有效地解决了可信WAI(TWAI)所存在的问题.此外,利用针对于可信接入认证协议的串空间模型,证明了它们是安全的.     

一种可控量子隐形传态身份认证的方案

提出了一种实现可控量子隐形传态身份认证的方案.可信第三方Charlie利用纠缠交换原理对接收者Bob进行身份认证,在确定Bob的合法身份并将消息反馈给发送者Alice后,Alice再对量子信息进行传送.本方案能有效解决假冒身份攻击,从而保证量子信息传送的安全性.     

云计算环境下隐私保护方案

云计算中的用户隐私保护问题是云计算安全应用的挑战之一。现有的隐私保护方案大多面向用户可用数据的保护而忽视了个人身份信息的保护。为了解决这个问题,该文首先针对可用数据保护提出基于二次混淆的隐式分割机制;同时针对用户身份信息的保护提出基于可信服务器的云存储架构,实现数据存储和用户个人信息管理隔离。云服务器利用可信服务器提供的存储认证码判断用户的存储权限,用户的身份信息存储于可信服务器。安全分析表明:该架构能够隐藏存储在云服务器上的数据子块的特征,并且能对用户身份信息进行有效保护。     

基于DAA和TLS的匿名远程证明协议

为了解决使用直接匿名证明方法进行远程证明易受伪装攻击的问题,提出了一种基于直接匿名证明和安全传输层协议(TLS)的匿名远程证明协议.使用可信平台模块,完成平台配置和匿名身份的度量并生成签名信息;改进身份认证和证书校验机制,并使用TLS协议的扩展消息传输远程证明内容;结合匿名证明、完整性报告和密钥协商机制设计总体协议,从而在交互双方构建出匿名认证的可信信道.分析表明:改进方案满足身份认证的不可伪造性、匿名性、可控的可链接性和不可克隆性,能够抵御重放攻击和伪装攻击,且设计的协议兼容扩展的TLS协议架构,便于部署.     

一种基于AAA证书和身份签名的混合认证方法

基于移动IPv6结合证书认证和身份签名认证,对移动节点安全提出一种快速、低成本和扩展性好的混合认证方法.该方法综合证书认证和身份签名认证的优点,在认证过程中不完全依赖于可信第三方的安全认证,能够实现移动节点与接入网络的双向认证.并用BAN逻辑方法对提出的改进方法进行了分析,结果表明该方法提高了移动节点的认证效率.     

云环境下融合FHE和人脸识别的身份认证方案

基于人脸识别的身份认证技术可以在云计算环境下保证用户物理身份和数字身份的一致性,密码协议与人脸识别的结合能够在开放的云计算环境中保护用户的人脸隐私信息。为解决受密码协议约束导致的低识别率和低效率问题,利用改进后的整数环上的全同态加密(FHE),提出云计算环境下融合FHE和人脸识别的分布式身份认证方案。采用与FHE相容的欧式距离分类,采用神经网络模型进行人脸特征提取,通过将欧式距离的计算转换为点积计算,从而在保障人脸识别率的同时降低计算复杂度。在分布式环境中的测试结果表明,该方案能够在不降低人脸识别性能的同时有效保护用户隐私,提高了桌面云身份认证的安全,具有较好的适用性和推广价值。     

面向可管理和可控制的P2P内容存取的DRM系统

为了在P2P网络环境下保护数字化音视频内容,提出和实现了一个新的服务于广播电视系统影视资料分发与交换的DRM系统(PCADRM).PCADRM以适用于P2P应用环境的智能节点重叠网络为架构,将权限证书与媒体资源文件分开存储,通过PKI的双向身份认证提供混合模式的权限代理实现对媒体资源文件的访问控制,通过基于视频水印提取和验证的行为监测进行盗版追踪实现事后控制.在PCADRM的实践中证明,所提出的带有智能节点重叠网络的系统架构和采用的数字版权技术,实现了对P2P内容存取的管理和控制.     

C-TNC:适用于Openstack的可信云接入协议

在Openstack云接入认证过程中引入可信网络连接(TNC)思想,实现了一种强身份认证的终端接入云C-TNC协议.该协议从信道安全、平台安全、用户身份安全角度出发,将可信连接思想应用到云平台接入过程中,有效弥补了目前Openstack云平台存在的认证不足问题,从接入源头保证了云环境的安全.安全性实验结果显示:本协议可以有效防止由接入终端不可信导致的各类安全攻击.     

M2M网络上的改进直接匿名认证方案

针对现有可信计算平台中的直接匿名认证(DAA)方案存在计算过于复杂的问题,在已有的DAA协议基础上,结合M2M网络特点,提出了一种适用于M2M网络的I-DAA方案.该方案建立在椭圆曲线上的离散对数困难性问题的基础上,利用零知识证明和双线性映射理论,在证书申请阶段将部分DAA证书中原来由TPM计算的参数改为用系统公开参数替代,极大降低了资源相对较宝贵的TPM模块的计算量.同时,该方案中TPM的秘密信息改由TPM自己选取,从而减少不必要的计算开销.另外,TPM只需要申请一次DAA证书,以后即可直接向验证方提交验证信息,避免了一些现有协议的通信瓶颈.分析结果表明,I-DAA方案在保证安全的前提下降低了总体系统中尤其是TPM侧的计算复杂度,更适合于M2M系统及其他嵌入式系统应用环境.     

基于CP-ABE和区块链的车联网匿名身份认证算法

车联网匿名身份认证技术是向用户提供有效服务的基础,能够保证车联网通信过程的安全性。针对现有的匿名身份认证方案在认证效率、计算开销等方面存在的不足,提出了一种基于CP-ABE和区块链的匿名身份认证算法。采用动态属性和静态属性相结合的认证策略,认证机构为车辆分配假名,实现了车联网中的细粒度匿名身份认证,减少冗余认证,提高时间效率,保护用户隐私。同时,结合区块链技术,对认证策略进行管理,防止身份认证过程中认证策略被恶意篡改。实验结果表明,该算法能够实现快速的加解密,满足车联网身份安全、高效认证的需求。