基于可信计算平台的统一认证系统模型

将数字证书技术、认证代理技术和可信计算技术相结合,针对园区网环境,提出了一种基于可信计算平台的统一认证系统模型,该模型通过在计算终端引入可信平台模块、对用户身份统一认证、对计算平台进行身份及完整性验证等方法,解决了存在多个应用系统时口令容易混淆、访问效率低下和终端的可信性难以保证的问题.系统的安全性分析和测试结果表明,用户只需一次认证,即可访问其拥有权限的多个应用系统,效率和安全性得到了很大的提升,而且可以保证终端的可信性.     

具有消息链接的可转换的认证加密方案

当前多数认证加密方案存在以下问题:1)当签名者否认签名时,接收者不能向其它验证者证明签名者的诚实性;2)当消息很长时,通信代价和计算代价将会很大,为了解决这些问题,设计出一种可转换的消息链接认证加密新方案,与其它消息链接认证加密方案相比,该方案通信代价和计算复杂度都比较小,并且在该方案中,当签名者否认签名时,接收者在没有签名者合作的情况下,可单独将该认证加密签名转换为一段签名.     

可信授权技术的研究和实现

针对认证和授权脱离，给系统留下了缓冲区溢出攻击导致认证机制被旁路的安全隐患问题．提出了可信授权的思想，将用户的认证可信度作为授权的基础，使用户获得的授权是真正可信的，从而避免认证机制被旁路造成的危害，并且能真正实现管理员分权．同时本文基于Kylin操作系统安全版的角色定权框架，给出了可信授权的实现技术和途径．     

可证明安全的RFID群标签识别与认证协议

为了克服RFID系统的标签识别中存在的安全性问题和识别死循环问题,提出了一种群标签的识别与认证协议GIA.GIA协议在识别过程中采用假名进行防冲突识别,防止标签敏感信息的泄露,在认证过程中只用伪随机数发生器实现了阅读器和标签之间的相互认证,解决了中间人攻击、前向安全、重放攻击和克隆等安全问题,同时也满足了低成本标签的要求.用可证明安全模型证明了GIA满足了安全性目标.与现有的相关研究进行比较,GIA在存储开销、计算代价和通信开销上具有较好的性能.     

一种使用智能卡的网络身份认证密钥分发体制

提出了一种基于智能卡物理安全性的身份认证密钥分发体制，并对体制进行了讨论．与其它体制相比，该体制非常简洁，便于实现．最后，给出了该体制的一个实例，并对该实例稍作改造，构作了一种直接身份认证密钥分发系统．     

实用智能卡操作系统的认证系统

阐述了一种实用的智能卡操作系统MAXCOS的认证系统,包括对持卡人的身份认证、卡与读写设备之间的认证、安全报文传送,对这几种认证机制进行了详细的阐述和分析．     

基于Shibboleth的校际跨域认证研究与实现

分析比较跨域认证相关技术,基于Shibboleth的跨域认证系统最适合用于校际间的身份认证,实现资源和服务的单点登录和共享,因此通过对Shibboleth认证机制的改进,实现校际间的LDAP认证方式、关系型数据库认证方式和SAML2认证方式的认证集成.最后,在跨校认证基础上构建资源共享应用和全局服务应用.     

一种基于身份的匿名无线认证协议

针对移动用户漫游时需进行匿名认证问题,利用双线性对和椭圆曲线的相关特性,提出了一种基于身份的匿名无线认证协议.并对该协议的安全性和匿名性进行了详细分析,给出了移动用户匿名性在非认证链路模型下安全的形式化证明.分析表明,该协议实现了用户与接入点的双向身份认证和移动用户身份的匿名性,满足无线网络环境的安全需求.与同类协议相比计算量大幅减少,为匿名无线认证提供了一种较实用的解决方案.     

基于移动Agent的分布式网管系统安全认证机制

在实现基于移动Agent的分布式网管基本系统的基础上,分析了Agent系统所面临的安全威胁.针对Agent系统的特点,提出了一个完整的3层相互信任关系模型.深入研究了Agent系统的认证机制,提出并实现了具有系统授权Tickets功能的证书签发协议及其安全迁移认证方法.采用该方法,可以在不显著增加移动Agent系统的复杂性的前提下加强其安全可靠性.     

SET电子商务中更安全的密钥和证书保护方案

在Internet开放式环境中的身份认证是电子商务安全进行的前提和基础,文章对Set安全电子交易协议中身份认证进行了分析,提出了一种更为安全的密钥和证书保护机制——智能卡系统认证模型,该模型充分利用了智能卡的数据处理能力．     

AES算法EAX加密认证模式优化技术研究

通过深入分析AES算法的EAX加密认证模式,提出一种新加密认证模式PEAX（Parallel—EAX）,其中的加密和认证模式分别采用RCTR（Random CTR）和POMAC（Parallel OMAC）模式,使EAX．AES算法处理过程完全并行化,从而在软件和硬件实现上都达到满意的性能．PEAX保持EAX的优点,并能使认证处理和加密处理都基于相同的加密核心单元进行的,有效地降低实现过程的复杂度．最后并通过Visual Studio 2005软件仿真,验证PEAX模式优化的性能．     

基于PKI的校园移动应用身份认证设计

运用公开密钥基础设施非对称密码算法原理和技术,设计了基于PKI的移动应用身份认证系统.详细阐述了该身份认证系统的模块结构、模块功能以及数字证书的验证流程,可为相关应用提供参考.     

对ARAP认证协议的攻击及其改进

分析了射频识别（RFID）系统中匿名RFID认证协议（ARAP）存在的安全缺陷,指出攻击者可利用该协议存在的异或运算使用不当的安全缺陷发起身份假冒攻击.为此,提出了一种改进的RFID双向认证协议,该协议修改了ARAP认证协议中部分异或运算和验证操作,仍采用假名机制提供隐私性保护,防止攻击者对标签进行跟踪.结果分析表明,改进后的协议具有双向认证、前向安全性和匿名性等安全属性,并能够抵抗冒充、跟踪和重放等攻击.同时,性能对比分析表明改进后的协议具有比较好的效率,实用性较强.     

一种移动Agent的安全认证方案的设计与实现

针对移动Agent的安全问题，简要介绍了几种常用的安全认证技术，并在公钥密码体制认证方案的基础上，提出并实现了一种可用于移动Agent和Agent平台之间安全认证的方案。证书采用X.509证书格式，使用RSA和IDEA混合加密的算法，密钥管理采用PGP算法中公私钥环的方式，使该认证方案具有很高的安全性。文中详细说明了方案的实现流程，并深入分析了其安全性。结果表明，采用该方案能有效改善移动Agent的安全性。     

Web Services身份认证与授权系统的研究与实践

讨论了构建Web Services身份认证与授权系统的若干相关问题，着重阐述了如何使用SOAP标头解析模块实现Web Services的身份认证与授权，并给出了这种模式在Microsoft.Net平台上的实现。     

动态门限追踪匿名认证方案

现有的门限可追踪匿名认证方案中,追踪的门限值是固定不变的,如果改变门限值,系统需要重新初始化,导致私钥等信息的利用率较低.为解决这个问题,基于离散对数假设和Diffie-Hellman(DDH)假设,提出了一种动态门限追踪的匿名认证方案.该方案具有两个特点:1)借助环签名,匿名认证实现简单;2)引入动态认证加密思想,追踪的门限值允许动态改变.有效性分析表明:与已有方案相比,在允许动态改变匿名追踪的门限值的情况下,计算代价增加不多.因此该方案更能推向实际应用.     

关联规则增量式更新的改进算法

关联规则是数据挖掘中的重要研究内容之一，对在事务数据库不变，只对最小支持度和最小可信度进行改变的情况下，针对关联规则的维护问题，设计了一个增量式更新的改进算法AIUA。     

基于身份密码体制在无线局域网安全协议中的应用

通过引入基于身份(Identity-based)的公钥密码体制，提出了一个基于身份的802．11无线局域网安全认证结构．文中详细描述了从初步建立系统参数，动态的共享密钥的生成，到4-way握手的相互身份认证的认证协议过程以及Weil Palring的实现，并且通过上海交通大学无线网络测试，说明了该协议在安全性方面和实际应用中相对于目前的无线局域网安全协议的优越性．     

一种基于手机令牌和NFC技术的身份认证系统

针对目前Web站点的身份认证安全问题,提出了一种基于手机令牌和近距离无线通信(NFC,near field communication)技术的身份认证方法,并在Android平台上实现了该系统.该系统利用手机使用手机令牌实现了USBKey的主要功能,当用户访问站点进行注册时,将获得惟一的手机令牌并存于带有加解密功能的手机中.在下次访问站点进行身份认证时,用户可通过手机直接在Web站点进行身份认证,也可通过NFC技术将手机令牌传于PC机,使得用户可在PC机上利用手机进行身份认证.该系统将手机作为类USBKey设备,在增强Web站点身份认证安全的同时,省去了为用户颁发USBKey的流程和成本,具有较强的实用价值.     

可证安全的Internet密钥交换协议

针对IKEv2初始交换存在认证失败和发起者的身份暴露问题，提出了一种改进协议．新的协议采用SIGn-and-Mac认证方法来完成显式密钥认证，并且在协议中让响应者首先证明自己的身份，实现对协议发起者的主动身份保护．同时协议双方在自己发送的消息中包含期望的消息接收者来防止认证失败．另外协议中还引入了不可否认性，使得协议交互双方对自己发送的消息内容不可抵赖．分析表明：新的协议在Canetti-Krawczyk模型中是会话密钥安全的，并且性能上相对于IKEv2仅仅增加了一次对称加密运算，大大优于IKEv1．