基于EPASS1000网络身份安全认证 解决方案的设计

网上身份认证是网络安全的一个关键环节,为此,提出了采用EPASS1000进行网上身份安全认证的解决方案.EPASS1000是一种便携式的通过USB接口与计算机相连的硬件设备,内置了MD5加密安全算法,该算法在加密原文中引入自由因子,使同一原文在不同的加密过程中具有不同的结果.实现了EPASS1000的安全特性与网上实际应用的完美结合,给出了身份安全认证的实现过程,构建了EPASS1000网上身份安全认证逻辑模型,并以ASP(Active Server Pages)为语言工具给出了一个具体的程序实现,有效地解决了网上安全身份认证问题.      

一种基于身份的移动自组网认证机制

针对移动自组网无公钥基础设施的特点,采用基于身份的密码学算法、分布式秘密共享算法和椭圆曲线加密算法,实现安全高效的移动节点认证.简单讨论基于身份的数字签名算法;介绍如何使用Lagrange插值公式,实现分布式的系统主密钥;然后给出节点密钥安全分发的模型,并在此模型的基础上,基于椭圆曲线加密算法实现安全的分布式节点密钥签发;给出算法安全性和效率分析;根据双线性对的特点,讨论会话密钥的产生和更新.给出的认证方法,具有分布式实现和安全高效的特点,同时可以非交互式产生一次性会话密钥,适用于分布式移动网络环境.      

基于移动代理的自动入侵响应实施方法研究

为了在发现入侵行为后,对系统实施快速、有效的保护,提出了基于移动代理的自动入侵响应系统.通过响应分析自动产生响应计划,并自动派遣移动代理对被攻击主机实行封帐号、封端口、扬声器报警、关机等动作,或通过移动代理进行防火墙联动.响应计划的执行受到动态监控,并根据执行情况动态调整响应计划.所实现的原型系统已在金航网动态防御体系中得到应用,运行结果表明基于移动代理的自动入侵响应能对系统提供有效的保护.      

多服务器环境下基于动态ID的轻量级身份认证协议

为了实现用户和服务器之间的通信安全及高效的身份认证,设计有效的身份认证协议成为研究热点。分析了已有协议的安全性,发现仍存在不能抵抗拒绝服务攻击（DOS）和离线口令猜测攻击的缺陷。因此,提出了新的基于动态ID的轻量级单向哈希函数身份认证协议,并通过非形式化安全性分析、随机预言机模型（ROM）分析和AVISPA实验仿真3种安全性分析,以及计算开销和通信开销的分析,比较证明了所提协议能够实现安全高效的身份认证。      

一种基于UML的协同入侵检测系统分析方法

为了提高对分布式协同攻击的检测能力,提出了一种具有广泛适用性的分布式协同入侵检测模型,该模型以多代理为构造基础,通过协调代理协同下层检测代理,实现对复杂攻击的协同检测.采用统一建模语言(UML),对模型的主要功能、静态组织结构、代理内部的推理行为和代理间的交互行为进行了分析和设计.UML为协同入侵检测系统的分析和设计提供了有效的手段,方便了与其它安全系统的集成.      

云计算环境下动态用户行为认证的机制、模型与分析

在云计算中,终端用户对云资源软硬件的影响和破坏远比目前用户利用因特网进行资源共享要严重的多,因此相对于用户的身份,用户的行为是否真实可信是云计算研究的一个重要内容。提出了户行为认征的机制,包括行为认证集的确立、行为证据的获得、行为认证的策略,建立相应的随机Petri网模型,并通过量化瞬时变迁的实施概率来模拟不同的认证选择,利用系统达到稳定状态时位置中的平均标记数来评价认证效果,为云计算的安全应用奠定理论和实践基础。     

一种远程身份认证方案的分析与改进

口令认证是远程身份认证中实用的方法.分析了一个给出的使用智能卡的口令认证方案的安全性,指出该方案是不安全的:不能抵御并行会话攻击,攻击者可以利用截获的信息生成合法的登陆信息假冒合法用户登陆,并通过认证获得授权,而不需要知道用户口令;不能抵御更改时戳攻击,攻击者可以更改截获信息的时戳,假冒合法用户登陆远程主机或假冒合法远程主机.同时,引入登陆计数器,采用一卡一密,给出了一种改进的使用智能卡的口令认证方案.该方案允许用户自主选择并更改口令,实现了双向认证;能够抵御重放攻击、内部攻击,具备强安全修复性;能够抵御并行会话攻击和更改时戳攻击,具有更好的安全性.     

基于动态ID的远程认证方案的改进

智能卡由于具有低功耗、安全计算和便携性的特点,常常被用做身份认证终端.基于静态口令的认证方案不能由用户选择密钥并且需要在服务器保存一个密钥表,而基于动态ID的方案能解决这些问题.提出了新的方案,指出Liao-Lee-Hwang方案中不能抗偷窃攻击的缺点,并在其基础上做了改进.新的改进方案不仅继承了原方案中抗猜测攻击、实现共同认证、服务器不会泄露用户密钥的的优点,同时也避免了窃取攻击;并且新的改进方案在计算量上也小于Liao-Lee-Hwang的方案.      

分布式安全应用框架中的证书系统

介绍了分布式证书系统的特性,提出一个基于客户/服务器模式的分布式安全应用的框架,阐述了如何将分布式证书系统纳入安全应用框架中,并为分布式应用环境提供身份鉴别、访问控制、授权等主要的安全服务机制.根据安全需要,给出了实现上述机制的主要方法,简要分析了采用这些方法的特点和安全性.最后提出未来研究的方向和设想.     

对一种远程用户口令认证方案的改进

口令认证是远程身份认证中重要的方法.分析了一种基于hash函数强图形口令远程认证方案,指出该方案不能抵抗校验值丢失攻击:攻击者利用口令校验值可以假冒服务器,欺骗合法用户发送认证信息,生成登录信息假冒用户登录,并通过认证获得授权,而不用知道用户口令.引入了智能卡的应用,提出一种改进方案.智能卡用来存储服务器认证信息,实现了用户和服务器的双向认证,攻击者不能冒充服务器和用户的任何一方,并且攻击者从截获的信息中不能获得有用的用户认证信息.改进方案保留了原方案抵抗重放、拒绝服务、口令猜测、伪造、口令文件丢失以及内部攻击的特点,并能够抵抗校验值丢失和智能卡丢失攻击,具有更好的安全性.      

基于切比雪夫混沌映射和生物识别的身份认证方案

云计算中访问控制和安全性是两大问题,且与传统的身份认证存在一定区别。利用切比雪夫多项式的半群特性、混沌特性,提出了一种基于切比雪夫混沌映射和生物识别的口令认证密钥协商方案。用户和服务器首先在云服务提供商（CSP）处进行注册,随后无需CSP的参与即可完成认证,建立会话密钥。安全性分析和性能比较表明,方案满足许多安全因素,如双向认证、用户隐私保护、多因素安全、前向安全性,即使CSP的主密钥被泄露,前向安全性也能确保用户会话密钥的机密性;此外,方案还能抵抗中间人攻击、离线口令猜测攻击和仿冒攻击等,并且支持多服务器环境中用户口令和生物特征的高效变更。      

空间Internet的安全体系结构

根据信息系统安全体系结构设计原则和方法,结合空间通信的特性,通过分析空间Internet的安全威胁、安全需求、安全等级、安全策略和安全机制,提出了空间Internet的安全体系结构模型。     

Web服务运行管理平台安全结构的研究与实现

使用安全管理域等基本概念分析了Web服务运行管理平台WSR(Web Service Runtime)的应用模式和安全需求.提出了基于链式处理结构的WSR安全结构.该结构支持多种新型安全技术和规范,灵活、可配置,为WSR及其所管理的Web服务提供了较为全面的安全保护.      

基于码片幅度调制的导航信号扩频码认证方法

信号认证是满足全球卫星导航系统(GNSS)民用信号安全性需求的关键，相比于导航电文认证(NMA),扩频码认证(SCA)具有更强的安全性。为了在实现SCA的同时不对非认证用户造成影响，提出了一种基于码片幅度调制(CAM)的导航信号SCA方法，对民用信号的扩频码的码片幅度进行了调制，实现了在扩频码层面的认证特征的引入。为了验证所提方法的有效性，采用理论和仿真分析，与GPS L1C采用的Chimera SCA方法进行了比较。结果表明，所提方法在检测性能方面提升了2.55～2.78 dB。研究成果可为下一代高安全卫星导航信号的设计提供支持。     

一种嵌入式软件安全漏洞的代码加固方法

软件定义的概念和技术的发展和应用,装备嵌入式系统的功能主要由软件定义完成,导致装备嵌入式软件规模性和复杂性都在急剧增加,软件安全问题已经成为嵌入式系统乃至装备产品研制和运行维护的核心关注点.借助主流软件代码安全性检测技术,对装备嵌入式软件的漏洞行为和结构分析,建立装备嵌入式软件漏洞特征和系统不安全行为属性规约,通过对软件属性规约的逻辑演算,形成软件安全性加固需求,提出基于安全规约属性模板的漏洞加固代码生成技术,对软件代码中潜在的安全漏洞进行修复和加固,实现装备嵌入式软件强制安全保障.     

同轴接入设备的系统升级机制设计

高性能同轴网络(HINOC,High performance Network Over Coax)是面向下一代广播电视网的同轴电缆接入新技术,是实现模拟电视系统双向数字改造以及广播电视三网融合战略的关键技术之一.HINOC系统中的嵌入式设备HB(HINOC Bridge)与HM(HINOC Modem)需要通过在线升级实现软件版本的不断更新.针对目前一般的软件在线升级系统中普遍存在的整体加密传输效率低、硬件失效缺乏保护等问题,本升级系统设计在文件的传输和文件烧写的基本步骤上引入了文件差分编码解码、文件校验与加密解密以及异常保护机制.实际测试结果显示,升级系统能够满足HINOC系统在效率、安全性和可靠性方面的要求,保证了嵌入式系统的信息安全以及嵌入式设备在异常情况下的稳定工作.