边缘计算环境下基于区块链的跨域认证与密钥协商协议

身份认证与密钥协商是接入物联网首先要考虑的安全问题.传统的物联网身份认证是基于"云中心-终端设备"的认证架构.而随着边缘计算技术的引入,认证架构转变为"边缘设备-终端设备"的架构,传统的认证方式不再适用.此外,物联网中存在多个通信域,不同域中的设备之间需要进行跨域间认证与密钥协商.针对以上问题,本文设计了边缘计算环境下...     

泛在电力物联网可信安全接入方案

为全面提高全业务泛在电力物联网安全综合防御能力,解决目前全业务泛在电力物联网安全防护指导和终端认证机制的缺失和不足,本文提出一种泛在电力物联网可信安全接入方案。首先给电力物联网终端层设备确定一个唯一标识的指纹信息;然后结合该指纹信息,采用身份标识密码技术实现终端层设备的接入认证,阻断非法终端的接入;最后设计合法终端的身份信息安全传递机制,根据身份信息对合法终端的异常行为进行溯源。     

改进PBFT算法的配电物联网接入认证方法

随着物联网与配电网深度融合,海量终端设备接入系统给配电物联网安全稳定运行带来巨大挑战。针对传统身份认证方式过于中心化且无法承载大规模终端等现状,设计一种基于区块链共识机制的配电物联网终端接入认证方法。由配电物联网网关负责对待接入终端节点登记注册,采用共识算法进行分布式认证,将合法终端上链存储。在传统PBFT算法的基础上,设计了配电物联网终端共识算法。该算法引入权重机制,根据终端节点权重选取认证节点,缩小共识规模;引入可验证随机函数增强主节点安全,避免启动视图切换协议,提高共识效率;结合实际应用场景优化一致性协议,降低通信开销。实验分析表明该方法可有效规避多种网络攻击,通信开销和吞吐量优于其他方法,系统抗攻击性较强,满足配电物联网对认证效率和系统可靠性等要求。     

基于SDP的电力物联网安全防护方案

电力物联网的快速发展及海量终端的泛在连接和智能交互使得电力物联网的网络边界变得模糊,网络安全风险点和暴露面显著增多。文章摒弃传统的先连接后认证的安全认证措施,结合零信任安全机制提出一种基于软件定义边界的电力物联网安全防护方案,该方案利用改进的单包授权技术解决电力物联终端接入过程中存在的身份认证、电力物联系统资源隐藏及访问控制等问题,并从安全和性能两方面对方案进行分析。实验结果表明,该方案能有效抵御多类网络攻击,节省了电力物联终端的计算和通信资源,有效解决了电力物联网存在的安全认证等问题。     

移动网络可信匿名认证协议

针对终端接入移动网络缺乏可信性验证问题,提出一种移动网络可信匿名认证协议,移动终端在接入网络时进行身份验证和平台完整性认证。在可信网络连接架构下,给出了可信漫游认证和可信切换认证的具体步骤,在认证时利用移动终端中预存的假名和对应公私钥对实现了用户匿名隐私的保护。安全性分析表明,协议满足双向认证、强用户匿名性、不可追踪性和有条件隐私保护。协议中首次漫游认证需要2轮交互,切换认证需1轮即可完成,消息交换轮数和终端计算代价优于同类可信认证协议。     

基于PKI的内网信息安全访问控制体系设计与实现

为解决内网信息安全管理问题,依据安全等级防护标准和信息安全技术的研究,提出了一种基于公开密钥基础设施(PKI)在内部网构建信息安全访问控制体系的设计模型。该模型通过身份认证、终端防护、SSL安全认证网关的有效结合,建立由终端至涉密资源之间可信、完整、有效的信息安全传输机制。应用实例表明了该方法在实际信息安全访问控制中的可靠性和有效性。     

面向移动终端的隐式身份认证机制综述

面向移动终端的隐式身份认证机制通过监测移动终端环境以及用户行为等信息对用户进行透明且持续地认证,能够增强现有身份认证机制的可用性与安全性。该文对隐式身份认证技术的研究现状进行介绍。介绍了基于本地与基于网络的隐式身份认证框架;归纳总结出五类数据采集方式;对基于机器学习等多种用户分类算法进行了介绍,分析比较了各算法的正确率;归纳出两类访问控制机制,并对隐式身份认证所面临的模拟行为攻击以及用户隐私泄漏安全问题进行了讨论。     

RFID快速隐私保护认证协议

基于对称密码体系的RFID隐私保护认证协议的构造是学术界和工业界研究的热点问题.具有完整性隐私保护协议的效率不够高效,需要对系统中所有的标签进行穷尽搜索,难以应用于物联网海量终端的环境.给出了一种高效的RFID隐私保护认证协议的构造方法.构造的协议采用了单比特输出的伪随机函数,将协议的认证过程分解为多个步骤,与传统的基于对称密码体系的RFID认证协议相比,构造的协议显著提高了读写器对标签的搜索效率.构造的协议具有隐私性,并且计算开销小,读写器端对标签的搜索效率高,能够很好地应用于海量终端的物联网环境.     

5G移动边缘计算场景下的快速切换认证方案

5G 万物互联为用户带来极致网络体验的同时也提出了新的挑战,用户的超低时延体验、移动状态下无顿感的获取业务以及安全防护问题备受关注。移动边缘计算能够满足 5G 低时延、大连接、高带宽的严苛要求,作为一种多信任域共存的计算范式,多实体之间、跨信任域之间互联互通频繁,身份认证作为安全防护的第一道关口尤为重要。通过对现有边缘计算范式下的身份认证机制研究,提出了一种通过构建信任域的基于预认证的轻量级快速切换认证方案,不同区域间移动的用户能实现快速安全的切换认证。所提方案将服务和计算由云端下沉到边缘侧,生物指纹技术被用于用户端以抵御终端被盗攻击,不同区域的边缘服务器采用预认证的方式来满足快速切换需求,用户与边缘服务器采用实时协商共享会话密钥的方式建立安全通道,认证方案以异或和哈希运算来保证轻量级。对所提方案从安全性与性能两方面进行评估,其中,安全性从理论设计分析和形式化工具验证两方面进行。采用形式化分析工具AVISPA验证了在存在入侵者的情况下所提方案的安全性,与其他方案相比所提方案更安全。性能主要从认证方案的计算成本和通信成本进行评估,仿真表明,所提方案在通信成本上有较好的优势,计算开销能够满足资源受限的移动终端用户需求。后续需要从两方面对方案进行改进,一是要加强方案可扩展性的改进以确保用户及边缘服务器能随时加入退出。二是要加强方案普适性的改进以满足第三方服务商的接入部署。     

一种基于联盟链的物联网匿名交易方案

针对物联网终端交易的跨平台、去中心化、隐私、安全需求,提出基于联盟链的匿名交易方案,确保用户身份隐匿。通过划分基础域和互联域实现中心化身份认证和去中心化交易;对身份认证,提出基于Merkle树的双因素认证方案,实现各节点身份与消息的去耦;针对通信中明文消息暴露用户身份问题,提出基于CoinJoin思想的聚合签名隐私保护方案,混淆交易身份,以抵抗身份关联分析攻击;最后针对一致性和记账权问题,提出基于信誉评价策略的共识机制。安全性与效率分析表明,所提方案能以较低存储和计算开销保护终端身份隐私。     

移动可信接入轻量级认证与评估协议

为增强移动终端可信网络接入认证与评估协议的可用性,降低网络通信负载及终端计算负载,提出一种轻量级的身份认证与平台鉴别评估协议。协议基于接入双方在首次接入时共享的认证密钥以及对方的可信平台配置信息,在不需要可信第三方参与的情况下,完成快速的身份认证与鉴别评估。协议减少了网络数据交换次数以及接入双方的计算工作量,在保证接入认证与评估所需的安全属性的同时,还增强了平台配置信息的机密性以及抵抗重放攻击的能力。安全性和性能分析表明,所提协议适合无线网络通信环境下的移动终端可信网络接入。     

WAPI接入鉴别协议WAI的安全性分析和验证

研究和分析无线局域网鉴别和保密基础设施WAPI的接入鉴别过程,即WAI协议,利用CK模型,对其安全认证和密钥协商过程进行了安全性分析。分析结果表明,WAI能够实现消息完整性保护、相互的实体认证、相互的密钥控制、密钥确认等安全属性,满足无线局域网的安全目标,从而可以用来替代WEP增强无线局域网的安全性。     

基于假名的智能交通条件隐私保护认证协议

在智能交通、无人驾驶等场景中,车辆节点与路边设施进行数据交换以实现车路协同,有助于提高交通安全、缓解交通拥堵。但该场景下的数据交换面临很多安全问题,隐私泄露是其中的主要安全风险之一。现有智能交通隐私保护方案多涉及复杂度较高的运算或需配置高成本的防篡改设备,效率较低,不能满足无人驾驶等智能交通应用的实时要求。为此,文章提出一种轻量级基于假名的条件隐私保护认证协议,该协议包括基于变色龙哈希的身份认证与基于椭圆曲线的消息认证,实现了车辆节点在数据交换过程中的匿名性与可追踪性,并可抵抗多种安全攻击。性能分析表明,该协议在计算、通信及存储等方面的开销均优于对比方案,在智能交通场景下的可行性更强。     

具有隐私保护的边缘计算高效数据卸载方法

针对用户终端数据卸载过程中难以同时实现高隐私安全和低时间消耗的目标,提出了一种具有隐私保护的边缘计算高效数据卸载方法.首先,利用时间计算模型和隐私熵值分别将用户终端时间消耗和数据隐私安全程度进行量化,并建立一个多目标优化问题模型;其次,利用改进强度帕累托进化算法对时间消耗和隐私熵值进行联合优化;最后,利用基于熵权法的多属性决策方法选取最优的时间消耗和隐私熵组合策略.在多终端用户多计算任务的边缘计算下展开实验研究和对比分析,结果表明,该方法在降低传输时间的基础上还增强了数据卸载传输的安全性.     

基于分离机制网络的可信域内快速认证协议

分离机制网络明确地分离了主机身份与位置信息,将互联网体系划分为接入网与核心网两大类,很好地解决了互联网的扩展性和移动性等问题.基于分离机制网络,结合可信计算技术,提出一种终端域内切换时的快速认证方案,在对终端用户身份进行认证的同时,对终端平台进行身份认证和完整性校验.在本方案中,终端进行域内切换时不需要本域的认证中心再次参与,仅由接入交换路由器通过Token即可完成认证.认证过程可以保持用户身份和平台信息的匿名性,减轻了认证中心的负担.与其他方案相比,本方案在认证开销、认证延迟以及安全性等方面均有明显优势.安全性分析结果表明本方案是安全高效的.     

可监管匿名认证方案

随着互联网中隐私保护技术的发展,身份认证已成为保护计算机系统和数据安全的一道重要屏障.然而,信息技术的快速发展使传统身份认证手段暴露出一些弊端,例如,区块链技术的兴起对身份认证提出了更高的要求,在认证身份的同时需要保护用户的身份隐私等.采用匿名认证技术可解决用户身份隐私泄露的问题,但目前大多数方案未考虑可监管的问题,一旦用户出现不诚信行为,很难进行追责,因此,需要在匿名认证过程中建立监管机制.针对以上问题和需求,主要设计了一种可监管的匿名认证方案,通过匿名证书的方式确定用户的资源访问权限和使用权限,同时,用户在出示证书时可选择性地出示属性,确保用户的隐私信息不过度暴露;此外,方案中引入监管机制,可信中心（CA）对匿名认证过程进行监管,一旦出现欺诈行为,可对相关责任人进行追责.该方案主要采用安全的密码学算法构建,并通过了安全性的分析证明,能够高效实现可监管的匿名身份认证,适宜在区块链（联盟链）和其他具有匿名认证需求和可监管需求的系统中使用.     

车联网中基于雾计算和多TA的条件隐私保护认证方案

车联网在生活中扮演着越来越重要的角色,它可以有效地防止交通拥堵从而减少交通事故。然而,在车联网中总是有非法车辆试图接入车联网并发布虚假消息。此外,现有方案多数存在计算效率低下的问题。针对上述存在的问题进行了研究,提出了一种车联网中基于雾计算和多TA的条件隐私保护认证方案。在保护车辆用户身份的条件下实现了车辆、雾节点、TA三者之间的身份认证,且在车辆追踪阶段可以还原车辆用户的真实身份,从而实现条件隐私保护。雾计算的使用降低了方案的计算和通信开销,同时多TA模型的使用也解决了单TA单点故障的问题。安全性证明和性能分析的结果表明该方案是安全且高效的。最后对当前方案进行了总结以及对未来研究作出了展望。