基于属性证明的可信网络接入方案

为保证终端接入网络时的可信计算平台配置满足特定的安全要求,可信计算组织提出了可信网络接入框架,在该框架中终端向网络决策判定方请求接入网络时采用二进制证明方案进行平台证明,存在完整性管理复杂、暴露用户平台配置隐私等问题.针对上述问题,本文提出了一种基于属性的可信网络接入方案,采用基于属性的远程证明方法,将可信网络接入中的平台证明交给一个可信的安全属性证书颁发方,此属性证书颁发方根据终端平台的完整性颁发安全属性证书,负责网络接入判定的网络接入决策者根据属性证书进行网络接入判定,有效地解决了传统可信网络接入中网络接入决策者完整性管理复杂以及终端平台配置暴露等问题,并能够根据安全属性将平台接入到不同的隔离域,实现了网络中平台多域的隔离.本文在802.1X框架下实现了上述方案,实验结果显示该方案能够根据平台的安全属性实现终端平台VLAN的隔离.     

面向智能电网的移动终端可信网络通信方案

针对智能电网中存在的缺乏对硬件设备的认证、无法验证初始双方的计算环境安全的问题,提出了一种基于国密算法的、面向智能电网场景的移动终端可信网络通信方案。该方案基于FPGA(field programmable gate array)实现了国密算法以满足智能电网防护自主可控的安全需求,从物理层面增强了智能电网下移动终端的安全性;将可信网络连接技术应用到智能电网移动终端中,设计出适用于智能电网系统中终端的数据安全传输方案,在保证通信链路安全的同时,保证接入智能电网系统中终端的合法性。本文设计并实现了所提方案的原型系统,并基于原型系统完成了仿真实验。实验结果表明,本文提出的可信通信方案可有效提升移动设备网络接入安全性,在智能电网中具有良好的应用前景。     

WSNs中基于Chebyshev多项式的可认证密钥协商方案

无线传感器网络中节点之间的通信在整个网络中有着重要地位,其安全性也逐渐受到关注.本文基于Chebyshev多项式提出了一种节点之间可认证的非对称密钥协商方案,利用Chebyshev多项式的半群特性和计算上的单向性设计会话密钥机制完成节点之间的认证功能,分析结果表明本文方案可以抵御无线传感网中的典型攻击.     

抗授权劫持攻击的安全电子交易方案

针对现有的网络交易安伞方案中存在授权与认证分离及与交易相关的敏感操作在复杂、未审计环境下完成等问题,本文提出了一个基于可信计算模块的安全电子交易方案.该方案采用可信设备(如,安全智能于机、安全PDA等)作为安全交易认证与交易授权终端;将交易认证与交易授权绑定,确保安全敏感操作在独立可信强审计计算环境中完成.即使敌手拥有对客户端计算机的完全控制,本方法亦可有效抵抗中间人攻击、浏览器劫持、交易授权劫持、以及keylogger等间谍软件威胁.     

动态门限追踪匿名认证方案

现有的门限可追踪匿名认证方案中,追踪的门限值是固定不变的,如果改变门限值,系统需要重新初始化,导致私钥等信息的利用率较低.为解决这个问题,基于离散对数假设和Diffie-Hellman(DDH)假设,提出了一种动态门限追踪的匿名认证方案.该方案具有两个特点:1)借助环签名,匿名认证实现简单;2)引入动态认证加密思想,追踪的门限值允许动态改变.有效性分析表明:与已有方案相比,在允许动态改变匿名追踪的门限值的情况下,计算代价增加不多.因此该方案更能推向实际应用.     

SET电子商务中更安全的密钥和证书保护方案

在Internet开放式环境中的身份认证是电子商务安全进行的前提和基础,文章对Set安全电子交易协议中身份认证进行了分析,提出了一种更为安全的密钥和证书保护机制——智能卡系统认证模型,该模型充分利用了智能卡的数据处理能力．     

云环境下去中心化跨域身份认证方案

为解决传统公钥基础设施(public key infrastructure,PKI)体系下跨域认证困难的问题,提出一种云环境下去中心化跨域身份认证方案。该方案基于星际文件系统和区块链技术,构造了一种去中心化的跨域身份认证模型。一方面通过设计高效的存储模式和存储控制分离方式,实现海量身份数据下的快速响应;另一方面通过设计跨域认证与隐私保护机制,优化跨域身份认证流程并限制跨域共享数据的类型,实现对跨域认证用户的隐私保护。通过分析潜在的攻击手段,说明了本文方案的安全性;通过实现原型系统,并与其他方案进行对比,验证了本文方案在跨域存储、校验、认证等方面的优越性能。     

基于CDMA 1X无线网络的视频监控系统

无线网络的日益发展为许多领域的应用带来了翻天覆地的变化,视频监控就是其中之一.基于中国联通公司的CDMA 1X无线网络,提出了一种完善和方便的移动视频监控系统.该系统整合了CDMA无线互连技术、视频采集技术、视频压缩技术、计算机处理技术等,使用户从有线网络中解脱出来,随时随地都可以迅速的接入系统,进行远程监控管理.     

一种通用的Beyond 3G Multi-Radio接入架构

下一代移动通信网(Beyond 3G)是多种无线接入(Multi-Radio)共存的融合网络.如何有效集成异构无线网络,优化使用全部的无线资源是B3G研究领域内关键课题之一.在分析目前多种异构无线网络整合方案的基础上,借鉴欧洲IST 6th框架中Multi-Radio接入架构的基本思想,考虑在链路层实现异构无线网络之间的整合,从而提出一种通用B3G Multi-Radio接入架构模型,该模型可以无缝融合多种无线接入技术、有效利用全网无线资源.     

对ARAP认证协议的攻击及其改进

分析了射频识别（RFID）系统中匿名RFID认证协议（ARAP）存在的安全缺陷,指出攻击者可利用该协议存在的异或运算使用不当的安全缺陷发起身份假冒攻击.为此,提出了一种改进的RFID双向认证协议,该协议修改了ARAP认证协议中部分异或运算和验证操作,仍采用假名机制提供隐私性保护,防止攻击者对标签进行跟踪.结果分析表明,改进后的协议具有双向认证、前向安全性和匿名性等安全属性,并能够抵抗冒充、跟踪和重放等攻击.同时,性能对比分析表明改进后的协议具有比较好的效率,实用性较强.     

基于矩阵填充问题的高效零知识身份认证方案

针对目前大多数身份认证密码协议容易遭受量子计算机攻击且实现效率较低的问题,基于矩阵填充问题设计了一种新型零知识身份认证协议。与现有类似方案相比,本文的方案具有密钥尺寸小、易于实现等特点。矩阵填充问题属于NPC(non-deterministic polynomial complete)问题,本文提出的协议具有抗量子计算攻击潜力。利用本文方案并采用Fiat-Shamir标准转换方法,可得到一种安全高效的抗量子计算数字签名算法。     

一种基于环签名的属性配置远程证明方案

针对二进制证明中的平台配置泄露的问题,本文提出一种基于属性的远程证明方案.借鉴公钥基础设施中的证书撤销列表思想,提出属性配置列表.采用环签名,签名前利用属性配置列表确定环签名成员,实现了对平台配置的证明.该方案保证了平台配置证明的隐私,利用属性配置列表解决了无第三方的PBA方案中的配置列表协商问题,有效降低了证书颁发方的负担,可以在离线状态下完成平台配置证明.本文设计了属性配置远程证明方案的模型,给出了具体的构建,并证明方案的安全性,证明其满足正确性,不可伪造性和配置隐私性.     

蓝牙Mesh配网协议的形式化安全性分析

蓝牙Mesh是一种无线网状网络组网技术。新设备必须经过配网才能加入蓝牙Mesh网络。配网协议的安全性是蓝牙Mesh网络安全性的基础,但目前针对该协议安全性的研究尚不充足,现有的模型无法捕获协议中存在的某些攻击。因此,借助符号模型下的协议分析工具Tamarin Prover对蓝牙Mesh配网协议进行形式化建模,该模型覆盖了所有的配网阶段和方法。同时,借助Tamarin Prover的构建和解构规则以及内置的消息理论,提出了一种在符号模型下建模AES-CMAC原语的新方法,该方法可以准确地描述消息长度为任意块的AES-CMAC函数的性质,从而能对配网过程中的认证阶段进行更细粒度的建模。对该模型的安全属性进行了验证,验证结果表明,该形式化模型可以捕获之前发现的原语误用攻击。此外,借助该形式化模型和验证的结果,提出了针对原语误用攻击的修复方案,并通过形式化的方法验证了该方案的有效性。     

改进的基于IPv6的802.1x认证方法

提出了一套完整的基于纯IPv6环境的802.1x认证解决方案.在适应IPv6无状态地址自动配置新特性的基础上,通过改进802.1x认证流程,使认证服务器可以主动获得节点用户的全局IPv6地址,为后继的用户管理奠定基础.其次,改进了802.1x的"认证之后不管"的管理缺陷,由在线检测服务器监控IPv6在线用户的行为,对非法行为和异常下线的用户,通过SNMP向接入交换机发送"强制下线"指令实现主动管理.     

基于汉明码的MPEG-4标准视频精确认证方案

针对目前视频认证方案尚不能检测突发的位错误等问题,提出并实现了一种MPEG-4标准的视频精确认证方案,通过对1帧像素进行汉明码编码.结合环面自同构和位旋转进行篡改证明,在增强安全性的同时,对被篡改区域进行定位和恢复.实验结果表明,该方案能有效消除突发的位错误,进行像素级别的完整性认证,篡改定位效果好,恢复精度高,对精确认证、视频抗干扰有较好的可行性和实用性.     

一种移动Agent的安全认证方案的设计与实现

针对移动Agent的安全问题，简要介绍了几种常用的安全认证技术，并在公钥密码体制认证方案的基础上，提出并实现了一种可用于移动Agent和Agent平台之间安全认证的方案。证书采用X.509证书格式，使用RSA和IDEA混合加密的算法，密钥管理采用PGP算法中公私钥环的方式，使该认证方案具有很高的安全性。文中详细说明了方案的实现流程，并深入分析了其安全性。结果表明，采用该方案能有效改善移动Agent的安全性。     

基于自适应分簇和演化博弈的异构车载网络选择方法

高效的网络选择方法是异构车载网络环境中保证多用户服务质量体验的关键。针对现有方法从优化车辆个体出发选择最佳接入网络,导致网络资源分配不均和部分网络拥塞的问题,提出一种基于自适应分簇和演化博弈的异构车载网络选择方法(adaptive clustering and evolutionary game based network selection method,AENS)。首先,采用自适应分簇减少直接接入网络的车辆数量,有效降低车流密集情况下的网络拥塞概率;接着,分别基于模糊层次分析法和指标相关性权重法计算候选网络属性的主、客观权重,得到更加准确评估候选网络性能的综合效用值;最后,将车辆对网络的选择抽象成基于复制动态的演化博弈模型,并引入记忆效应以加快其收敛速度,最终通过策略更新获得系统最优的网络选择策略集合。实验结果表明,在融合5G/6G的异构车载网络环境下AENS方法能够有效减少网络切换次数、提升网络吞吐量和平衡网络负载,在提高网络资源利用率的同时实现了负载均衡,且在车流密集情况下优势更为明显。     

可选子密钥的门限追踪匿名认证方案

在现有的一些匿名认证方案中,成员不能自主选择子密钥,示证者不能自由选择匿名集,导致方案的计算代价较大,匿名认证过程较复杂.为了解决这两个问题,本文提出了一种新的门限追踪匿名认证方案.该方案允许成员自主选择子密钥,计算屏蔽子密钥作为签名私钥以保护成员的子密钥;示证者使用自由选择的匿名集和自己的签名私钥,借助1/n签名实现匿名认证;基于Lagrange插值,t个成员合作实现门限追踪,并验证追踪到的示证者身份的真实性.与现有方案相比,该方案计算代价较小,成员自主性更大,匿名认证更简单,匿名追踪更安全.在离散对数假设和DDH(Decisional Diffie-Hellinm)假设的前提下,该方案满足匿名性、门限可追踪性,可抵抗外部伪装攻击和一致性攻击.     

一种新的IEEE 802.16系统调制编码模式切换方案

IEEE 802.16系统支持多种调制编码模式以实现通信质量和传输速率最优化.为了降低无线信道衰减时变性和随机性的影响,提高系统的最大吞吐量,提出了一种新的调制编码模式切换方案.该方案综合考虑了前向纠错码机制（FEC）和选择性自动重传机制（SR-ARQ）对系统吞吐量的影响.通过OPNET对信道质量和系统吞吐量建模,比较了传统的调制模式切换方案与新的调制编码模式切换方案的性能.仿真结果表明：在允许的网络丢包率范围内,新方案可进一步提高系统的吞吐量.     

基于TPM的家庭基站安全架构

针对基于SIM卡安全机制的家庭基站平台完整性无法保护,容易产生通过家庭基站的恶意攻击等安全威胁,提出了基于TPM的家庭基站保护机制,采用TPM的安全计算、安全存储和认证机制,实现了核心网对家庭基站的设备认证、家庭基站软硬件完整性验证、家庭基站身份认证、家庭基站位置认证与锁定、用户接入家庭基站的认证.