基于数字证书认证的访问控制研究

分析了当前网络应用系统中访问控制方面的不足,深入研究和分析了RBAC访问控制机制,提出了结合数字证书用户认证技术和RBAC的访问控制技术,实现网络用户认证、访问控制和授权管理相统一的安全网关系统,解决了信息系统访问控制管理能力不足、认证能力差的缺点。     

认证网关在电子政务专网中的应用

认证网关是用户进入CA（认证中心）证书认证服务的网络信任域和电子政务专网应用服务系统前的接入和访问控制设备。它具有用户身份认证代理的功能,能够和证书认证服务系统交互,完成用户身份认证,根据认证结果核对该用户的可信网络访问权限,完成网络接入的鉴权控制。     

基于J2EE过滤器技术的统一身份认证与访问控制技术

为了解决信息化应用系统的安全性问题，特别是用户身份认证与访问控制自身的安全性问题，通过分析、研究用户身份认证、访问控制原理及J2EE Servlet过滤器技术，在基于Web应用系统特点和J2EE Servlet过滤器技术的基础上，提出了企业信息化应用系统的统一用户身份认证与访问控制的实现方法，并在J2EE应用框架中得到了应用。结果表明：该方法满足设计要求，提高了企业信息化应用系统的安全性。     

电信ASP平台中统一安全认证系统的设计和实现

本文论述了上海电信ASP(application service provider)商用平台中统一安全认证系统的设计原则和方法.安全认证系统,是在互联网的应用或服务环境中,对虚拟网络身份可信度进行管理的安全服务体系.安全认证系统为管理分布式互联网的用户标识、角色和安全提供了基础结构,实现统一用户管理、集中访问控制、身份认证和应用授权、单点登录(single sing on,SSO)、用户访问策略与保密、有效的身份管理和审计等核心服务.上海电信ASP商用平台集成了跨行业的多种应用系统,兼容各种已有的和未来新的技术标准,能适应多种用户、角色及数据模型需求,符合多种应用管理策略的集成要求.安全认证系统能够使ASP商用平台实现"统一管理,共享资源;统一认证,灵活扩展;统一授权,运维安全;统一规划,降低风险".     

基于云服务的气象数据信息安全认证技术研究

传统的身份认证技术无法对云端的海量访问认证请求进行有效的管理.目前的多因素认证机制中,用户的验证码由云服务提供商支持的多因素认证设备免费生成,而基于专门的动态口令卡的多因素认证服务则需要收取一定的费用.为了实现免费身份认证,采用一种区分性模型方法实现声纹识别说话人身份的确认,并采用信道补偿算法进一步提高系统性能.做了与生成性模型声纹识别身份认证技术进行对比和分析的实验,得到新方法具有鲁棒的身份认证性能的结论.     

基于J2EE Web服务的统一身份认证系统的设计与实现

基于单点登录技术,构建一个统一身份认证服务平台,有效地整合校园网络中所有的应用系统和资源为目的。采用模块化的方法对系统各个功能模块进行详细设计,然后采用MyEclispe开发平台、tomcat 5.5为服务器、J2EEWeb设计语言、MVC开发模式实现本系统,结合统一身份认证系统整体设计思想,设计统一身份认证系统。实现用户的一次登录,可以访问整合校园网络中所有系统和资源。提高系统管理效率和安全性。     

PKI技术在电子政务中的应用

0 前言 随着计算机网络及应用在政府办公中的日益普及,"数字化公务员"将提上应用系统的建设日程:使一个具备数字化身份的用户可以随时随地访问授权的办公网络信息资源."数字化公务员"的实现首先需要对用户进行全网统一的身份认证和对全网的信息资源进行属性定义、密级划分,以确定用户身份和资源访问权限之间的对应关系,实现访问控制.达到这一目标的关键是建设适合电子政务信息系统和运用特点的PKI系统.     

基于Cookies的单点登录系统的设计与实现

在多应用系统组成的园区网中,如何实现术同应用系统中用户身份的统一管理成为研究的重点。文中分析了统一身份认证中匿名用户和认证用户的访问特点,利用单点登录和URL（统一资源定位地置）重定向技术构建了身份认证框架,并对涉及的关键技术和实现方法进行了研究,最后以ASP（应用服务器提供者）为开发环境给出了软件实现方法。     

WDPF系统中认证授权流程的设计与实现

WDPF（Wireless Digital Picture Frame,无线数码相框平台）系统是一个平台与终端紧密结合的新型业务。安全性是所有可以用来对资源或信息进行保护和验证的机制。认证授权处于业务核心层,用于识别用户身份,允许特定用户访问特定资源或信息,起访问控制作用,保证系统资源和信息的安全。该文介绍了业务平台中不同模块采用不同认证方式,重点介绍基本认证、摘要认证和OAuth认证在业务平台中的设计与实现。     

基于事件的一次性口令双向认证的实现

针对静态口令身份认证技术易受攻击的安全缺陷,在事件同步一次性口令产生机制的基础上,结合公钥密码体制,设计并实现了一种新的一次性口令双向认证方案。与传统的挑战／响应双向认证方案相比,该方案实现简单、执行效率高,适用于电子商务过程中的身份认证,能够实现网络环境下用户和服务器的双向认证,避免各种攻击,可以大大提高用户访问的安全性,有效保护用户信息。     

基于5G用户卡的5G接入认证分析及试验

用户卡承载移动用户身份标识和网络接入认证的重要功能。5G SA网络在接入认证方面新增不同于4G网络的用户隐私保护、EAP-AKA'认证/5G AKA认证、5G密钥体系及5G安全上下文等特性,这些特性对5G用户卡提出新的要求。本文首先介绍5G SA网络的安全模型,然后介绍5G用户卡为支持5G接入认证特性所支持的的SUCI、双向认证、新增卡文件及服务等功能,在此基础上介绍5G SA实验网络中开展的基于5G用户卡的接入认证试验及其成果。     

基于MGC的软交换安全认证机制研究

分析了软交换网络安全认证的特点和相关协议,结合工程实践提出了基于媒体网关控制器(Media GatewayControllor,MGC)的软交换网络安全认证机制,并对该机制实现的基本原理、使用协议和认证信息流程分别进行了阐述和说明,实现了软交换系统设备注册、动态接入识别、用户授权访问等安全认证功能。     

基于软件定义的网络准入控制体系

网络准入控制主要通过安全认证与控制实现端点的安全接入,各类准入控制技术不断涌现和发展以解决局域网边界安全问题,然而随着网络复杂性和部署管理便捷性要求的提升,固定的准入控制手段已不能适应种类繁多的安全场景需求。综述准入控制框架及技术发展,提出一种基于软件定义思想的准入控制体系,阐述其模型、架构、主要技术及应用场景,通过资源编排、资产管理与态势统一呈现等设计适应不同用户环境的安全准入和资产管理需求。     

基于AKA的IMS接入认证机制

IP多媒体子系统(IMS)作为3G网络的核心控制平台,其安全问题正面临着严峻的挑战。IMS的接入认证机制的实现作为整个IMS安全方案实施的第一步,是保证IMS系统安全的关键。基于认证和密钥协商(AKA)的IMS接入认证机制是由因特网工程任务组(IETF)制定,并被3GPP采用,广泛应用于3G无线网络的鉴权机制。此机制基于"提问/回答"模式实现对用户的认证和会话密钥的分发,由携带AKA参数的SIP消息在用户设备(UE)和IMS网络认证实体之间进行交互,按照AKA机制进行传输和协商,从而实现用户和网络之间的双向认证,并协商出后续通信所需的安全性密钥对。     

VPN用户认证技术

虚拟专用网络绕开防火墙的安全保障机制提供对内网资源的访问,因此高强度的用户认证功能是必须的。目前常用的认证技术包括无中心式的基于签名技术的认证机制以及基于数字证书的中心式认证机制。文章对这两类认证技术在ＶＰＮ中的应用进行了细致的研究和分析,为ＶＰＮ用户认证技术的实现提供了技术框架。     

3GPP与WLAN互连的技术

主要介绍第三代移动通信合作计划(3GPP———3GPartnershipProject)与无线局域网(WLAN)互连的结构,3GPP用户可通过WLAN开展WLAN接入业务。在WLAN中,通过3GPP预约,使用客户识别模块(SIM)/用户服务识别模块(USIM)接入通用IC卡(UICC),使3GPP与WLAN终端互连。文中还介绍基于3GPP的WLAN接入认证授权、IEEE802.11i中的认证和密钥协定、3G-WLAN互连中的认证和授权、复用3GPP的归属位置注册器等,描述了用户数据如何选路和接入业务,最后介绍WLAN中基于3GPP的计费方法(预付费和后付费),以及如何对这些用户计费和对归属网络中基于IP的计费。     

Threshold password authentication against guessing attacks in Ad hoc networks

Password authentication has been accepted as one of the commonly used solutions in network environment to protect resources from unauthorized access. The emerging mobile Ad hoc network, however, has called for new requirements for designing authentication schemes due to its dynamic nature and vulnerable-to-attack structure, which the traditional schemes overlooked, such as availability and strong security against off line guessing attacks in face of node compromise. In this paper, we propose a threshold password authentication scheme, which meets both availability and strong security requirements in the mobile Ad hoc networks. In our scheme, t out of n server nodes can jointly achieve mutual authentication with a registered user within only two rounds of message exchanges. Our scheme allows users to choose and change their memorable password without subjecting to guessing attacks. Moreover, there is no password table in the server nodes end, which is preferable since mobile nodes are usually memory-restricted devices. We also show that our scheme is efficient to be implemented in mobile devices.     

3种接入认证技术的浅析与比较

接入认证技术支撑了宽带接入的发展.目前,应用最为广泛的认证技术有3种:以太网上传送PPP协议(PPPoE,PPP over Ethernet)、Web和802.1x .文章先给出了用户认证系统的基本模型,并基于此对这3种用户认证技术进行了分析与比较.从可扩展性上考虑,Web认证技术的可扩展性是最好的.文章最后给出了作者的观点:Web认证在将来会得到更好的发展.     

Secure and efficient token based roaming authentication scheme for space-earth integration network

Aiming at the problem of prolongation and instability of satellite and terrestrial physical communication links in the space-earth integration network,a two-way token based roaming authentication scheme was proposed.The scheme used the characteristics of the computing capability of the satellite nodes in the network to advance the user authentication process from the network control center (NCC) to the access satellite.The satellite directly verified the token issued by the NCC to verify the user's identity.At the same time,the token mechanism based on the one-way accumulator achieved the user's dynamic join,lightweight user self-service customization and billing,and the introduction of Bloom Filter enabled effective user revocation and malicious access management.Compared with the existing scheme,the scheme can guarantee the security of roaming authentication and significantly reduce the calculation and communication overhead of the authentication and key negotiation process.