身份认证技术

认证(Authentication)是证实实体身份的过程,是保证系统安全的重要措施之一。当服务器提供服务时,需要确认来访者的身份,访问者有时也需要确认服务提供者的身份。概括说来,有三个要素可以用于认证过程,即:用户的知识(Knowledge),如口令等;用户的物品(Possession),如IC卡等;用户的特征(Characteristic),如指纹等。在分布式系统中,有两类主要认证,即用户认证和主机认证。密码技术一直在身份认证中起到重要作用,根据所用密码体制的不同,可分为基于对称密钥技术的身份认证(如Kerberos)和基于公开密钥的身份认证(如CA)两类。     

面向智能家居的区块链轻量级认证机制

5G技术为智能家居行业开拓了更大的发展空间,但安全问题也日益突出,用户身份认证作为信息安全防护的第一道关卡备受关注.智能家居系统传统的认证方法存在中心化信任挑战,且资源开销大.区块链技术因其去中心化、不可篡改等优势成为研究热点,为实现分布式智能家居系统安全认证提供了新思路.但无中心认证面临着用户与多个分布式终端认证的效率问题和用户隐私泄露问题两个方面的挑战.提出了一种基于区块链的动态可信轻量级认证机制(dynamic trusted lightweight authentication mechanism, DTL). DTL机制采用联盟链构建区块链系统,既保证了仅授权的智能家居传感器节点可加入网络,又满足分布式高效认证和安全访问需求.DTL具有以下优点:(1)针对认证效率问题,通过改进共识算法建立面向智能家居的动态可信传感设备组(DTsensorgroup,DTSG)认证机制,避免了传统的用户端与传感终端或者网关节点之间一对一的频繁认证引起的接入效率低和用户访问速率低问题,实现了轻量级认证;(2)针对用户隐私保护问题,创新性地设计了DTSG机制和零知识证明结合的认证方案,在不泄露用户...     

广播发射台统一认证系统的研究与设计

针对台内局域网中应用系统日益增多的情况,本文设计了一个基于指纹+USBKey双因素认证(2FA)模式的统一认证系统,实现用户的身份认证和资源授权。系统还兼有单点登录(SSO)的功能,用户只需要主动地通过系统进行一次身份认证,就可以无缝地访问所有被授权的网络应用系统资源。同时,管理员还可以通过统一认证系统对所有用户的身份信息和权限进行集中管理,使网络安全工作更加符合网络安全等级保护制度2.0的技术要求。     

VPN安全仍不够 需要严格的身份认证手段来阻挡非法用户

企业通过虚拟专用网(VPN)建立了自己的网络后,还需要VPN的安全构件能可靠地认证用户、服务和网络,这样才能对企业资源的访问进行控制,拒非法用户于门外。认证可以基于下面三个属性之一:你所拥有的——硬件令牌;你所知道的——如口令;或你本身——过声波或视网膜的扫描。安全性研究专家们已达成这样的共识:仅凭单一的认证方法是不足以保护系统的安全,至少需要结合两个以上的属性才能达到强有力的安全认证。提供灵活性为了给VPN用户认证提供最大的灵活性,许多供应商们已经着力于采用RADIUS(远程认证拨入用户服务)和LDAP(轻型目录访问协议)技术,来集合和控制必需的用户信息。RADIUS能提供比PAP(口令认证协议)和CHAP(询问握手认证协议)更强的认证,但更重要的是,它能被链接到其它的安全认证系统上,如Axent Technologies Inc.、Secure Computing Corp.、Security Dynamics     

一种基于个人身份认证的正面人脸识别算法

利用小波分解提取人脸特征技术和支持向量机 (SVM)分类模型 ,提出了一种基于个人身份认证的正面人脸识别算法 (或称为人脸认证方法 ) .针对 M个用户的人脸认证算法包括二个阶段 :(1)训练阶段 :使用小波分解方法对脸像训练集中的人脸图象进行特征提取 ,并用所提取的人脸特征向量训练 M个 SVM(对应 M个用户 ) ;(2 )认证阶段 :先由待认证者所声称的用户身份 (姓名或密码等 )确定对应的一训练好的 SVM,然后用这一 SVM对小波分解方法提取的待认证人的脸像特征向量进行分类 ,分类结果将显示待认证人所声称的身份是否真实 .利用 ORL人脸图象库对该算法的实验测试结果 ,以及与径向基函数神经网络作为分类器时的实验结果比较表明了该算法性能的优越性     

基于用户使用移动设备习惯的隐式认证初探

在移动设备(特别是手机)上输入密码是非常麻烦的。随着越来越多的人使用移动设备访问Internet服务,或者从事移动商务活动,人们希望能够简化身份认证操作。为此,提出一种新的身份认证方法——隐式认证,它直接利用用户使用设备的习惯来认证用户,免除了用户输入密码的麻烦;给出了可用于隐式认证的数据及其来源,探讨了可用于隐式认证的具体方法和隐式认证的系统体系结构。所述技术对于隐式认证的进一步研究和应用具有实际意义。     

Web用户认证信息的安全性策略

文章重点讨论用户认证信息的安全性问题,分析了常用安全认证方法及其局限性,提出了一个用户认证安全性策略,即在信息交换前,进行计算机认证,保证对话双方能够同时且不受干扰(攻击者不能改动信息)地交换信息;采用随机算法,增加算法的复杂度,降低穷举攻击的可能性。     

一种新的用户登录可信认证方案的设计与实现

用户登录身份认证是建立操作系统可信性中一个非常重要的环节。操作系统采用口令、智能卡、USBKEY，甚至还采用了指纹、虹膜等认证方式来确认用户的身份，除了存在密码容易被遗忘、猜测、截获等一系列安全隐患外，还存在身份信息的存储安全和单向认证问题。基于可信计算联盟的规范，分析了操作系统用户登录传统认证方式的缺陷，提出了一种新的用户登录认证方式：基于可信平台模块(TPM)的用户登录可信认证。该认证方式是利用PC机USB接口外接TPM，将用户的身份信息、相关的密钥信息等存储在TPM中，并利用USBKEY技术、动态的口令技术来确保用户身份的真实可信。该认证方式克服了操作系统用户登录传统认证方式的缺陷，支持双向认证，为计算机获得更高的安全保障，进一步建立可信计算环境提供了基础。     

基于改进贝叶斯网络的电商用户行为认证方法

针对电商平台中不可信用户的入侵行为问题，提出一种基于改进贝叶斯网络的用户行为认证方法。结合贝叶斯网络信念推理的特点和用户行为证据对用户行为等级进行认证；通过卡方检验(Chi-square test)筛选出在贝叶斯网络计算过程中占比重要的行为特征，依据特征与类别之间的相关性进行降维，提高认证精度；对认证模型进行分析得到用户行为证据集的权重，并将其应用到行为认证算法中，确保认证结果的安全性和可靠性。实验结果表明，该方法有效提高用户行为认证的准确率和执行效率，并为用户信息安全检测机制提供了新思路。     

基于ESB的统一身份认证系统设计与实现

异构的信息系统由于具有各自独立的身份认证和用户管理模块,存在着用户身份不一致、信息重复,应用系统无法整合、安全性差等问题。为此提出了一种基于统一的数据交换标准和接口标准,将不同的用户管理模块和认证模块进行集成的方法,设计了系统模型、交互流程和认证协议,实现了基于企业服务总线(ESB)的统一身份认证系统。实验结果表明,系统能有效地避免身份认证逻辑的重复和数据的冗余,提高认证的效率和系统资源的利用率。     

PKI系统在IPv6网络中的应用研究

公钥基础设施(Public Key Infrastructure，PKI)是进行公钥管理和用户认证的机构。它通过X．509规范进行公钥管理，通过权威认证机构提供用户的身份认证，在网络中建立起用户的信任关系，提供数据源认证、访问控制和数据加密等安全服务。介绍了PKI认证系统的组成和功能，分析了在IPv6中构建PKI系统存在的问题并提出了解决方案。     

基于云计算环境的平台可信度认证问题研究

为了搭建可信的云计算环境,云平台和用户平台之间需要进行相互认证。鉴于云环境的基本特征,提出一种基于云环境的平台可信度认证模型(CCEBA)。该模型引用可信计算平台远程证明的思想,将改进的基于模块和组件属性的可信证明方案应用于云平台的可信度认证中。用户平台认证则采用改进的基于系统行为的可信证明方案。实验结果表明,该认证模型有效地提高了云平台和用户平台之间认证的可信度,并且提高了远程证明的效率,从而搭建了可信的云计算环境。     

基于Kerberos认证的虚拟专用拨号网络研究

本文介绍了实现VPDN常用的第二层隧道协议(L2TP)以及基于L2TP的VPDN中的用户认证过程,分析了Kerberos认证协议和基于Kerberos认证的VPDN的实现。     

基于改进OTP的用户认证技术的研究与实现

随着网络应用的不断发展，网络安全问题也变得越来越重要．用户认证机制是安全防护机制之一，认证信息可以用来认证需访问系统的请求用户的合法性。文中分析了无须第三方认证的“一次性口令(OTP)”技术及其存在的安全漏洞，结合Kerberos认证机制优点，提出了将用户的通行密语用服务器的公钥加密后保存在数据库中，并在服务器种子信息中加入时间戳和服务器IP地址的改进OTP技术，提高了认证系统的安全性。     

基于RSN框架的宽带接入网关设计及其实现

在宽带网接入中,对用户的认证、授权和计费是至关重要的。认证是授权与计费的基础,目前存在的DHCP认证、PPPOE认证和基于Web的认证等几种方式各有优缺点。随着网络接入技术得到发展,提出了802.1x协议及(RSN)安全认证体系结构。该文介绍了在RSN框架基础上实现的一个宽带接入网关,实现了用户的认证、授权和计费,并通过一个基于Wweb的管理平台,完整地解决了宽带接入的管理问题。     

VoIP认证与计费的设计与实现

基于RADIUS的VoIP认证系统，采用分散受理、集中管理的接入认证管理体系，数据集中存放在认证中心(RADIUS服务器)，用户身份认证由PC向网守发起，网守通过RADIUS协议向认证中心的认证服务器发起认证请求。这样，可以保证用户安全地使用网络资源，以确保用户身份的合法性。同时其落地话单经过处理，可进行计费及其它帐务处理。文中论述了RADIUS对VoIP的支持，提出了一个Gatekeeper与RADIUS结合的整体解决方案。     

采用一次交互优化IMS用户注册过程

移动用户向IMS(IP Multimedia Subsystem)网络注册需要经过二次认证过程:GPRS接入认证及IMS对移动终端的认证。两者的认证过程中均采用AKA协议,它们包含很多类似的操作,增加了接入过程的延时,缺乏效率。针对IMS用户注册过程进行研究,在前人研究的基础上,通过SGSN和HSS之间的交互完成用户及网络之间的认证,避免了认证失败造成网络带宽的浪费,对IMS用户的注册过程进行了进一步优化。分析结果显示,改进后的注册过程优于先前所提出的注册过程。     

基于智能卡的远程口令认证方案的研究

基于RSA密码系统和安全单向的哈希函数,提出了一种相对安全的远程口令认证方案。采用个人身份识别码(PIN)与智能卡相结合的双因素认证方式,用户不但可以自主选取用户口令,而且还可以根据自身的需要随时更新口令,极大地增强了系统的安全性,提高了系统的认证效率。     

对两个无线传感器网络中匿名身份认证协议的安全性分析

针对设计安全高效的无线传感器网络环境下匿名认证协议的问题,基于广泛接受的攻击者能力假设,采用基于场景的攻击技术,对新近提出的两个无线传感器网络环境下的双因子匿名身份认证协议进行了安全性分析。指出刘聪等提出的协议(刘聪,高峰修,马传贵,等.无线传感器网络中具有匿名性的用户认证协议.计算机工程,2012,38(22):99-103)无法实现所声称的抗离线口令猜测攻击,且在协议可用性方面存在根本性设计缺陷;指出闫丽丽等提出的协议(闫丽丽,张仕斌,昌燕.一种传感器网络用户认证与密钥协商协议.小型微型计算机系统,2013,34(10):2342-2344)不能抵抗用户仿冒攻击和离线口令猜测攻击,且无法实现用户不可追踪性。结果表明,这两个匿名身份认证协议都存在严重安全缺陷,不适于在实际无线传感器网络环境中应用。     

无线传感器网络用户认证协议研究进展

无线传感器网络(WSN,wireless sensor network)用户认证技术是传感器网络验证用户的合法性以避免网络数据信息泄露的有效手段之一,同时,用户也需验证传感器网络的合法性,避免获得错误或虚假数据信息。由于WSN节点能量、通信和计算能力等资源受限,且通常部署在敌对或无人值守的区域,因此传统用户认证协议并不完全适用于WSN。从WSN认证协议的安全攻击入手,给出其安全需求及理论基础,归纳总结了设计流程,针对其安全性分析,描述了安全攻击模型,并综述了形式化分析验证工具AVISPA体系结构和HLPSL语言构成。评述了当前的各种WSN用户认证协议,建议了未来研究方向,这些研究工作将有助于WSN用户认证协议的设计、分析与优化。