可信环境下的WLAN接入认证方案

在第3版WLAN鉴别基础设施(WAI)协议的基础上,提出了基于预共享密钥模式和基于证书模式的可信环境下的WLAN接入认证方案.实现了站(STA)和接入点(AP)之间的双向用户认证和平台认证,且与第3版WAI协议后向兼容,其中鉴别服务器(AS)负责STA和AP的用户证书验证、平台证明身份密钥(AIK)证书验证和平台完整性评估,STA和AP的存储完整性度量日志(SML)是利用数字信封技术加密传输给AS的,从而有效地解决了可信WAI(TWAI)所存在的问题.此外,利用针对于可信接入认证协议的串空间模型,证明了它们是安全的.

基于特征选择和超参数优化的恐怖袭击组织预测方法

针对恐怖袭击事件难以找到恐怖袭击组织以及恐怖袭击事件数据的样本不平衡问题,提出了一种基于特征选择和超参数优化的恐怖袭击组织预测方法。首先,利用随机森林(RF)在处理不平衡数据上的优势,通过RF迭代来进行后向特征选择;然后,利用决策树(DT)、RF、Bagging和XGBoost这四种主流分类器对恐怖袭击组织进行分类预测,并利用贝叶斯优化方法对这些分类器进行超参数优化;最后,利用全球恐怖主义数据库(GTD)评价了这些分类器在多数类样本和少数类样本上的分类预测性能。实验结果表明:所提方法提高了对恐怖袭击组织的分类预测性能,其中使用RF和Bagging时的分类预测性能最佳,准确率分别达到0.8239和0.8316,特别是在少数类样本上的分类预测性能有明显提高。

基于预共享密钥的LAN安全关联方案改进与分析

针对基于预共享密钥的有线局域网(LAN)安全关联方案中交换密钥建立过程的通信浪费问题,提出了一种改进的LAN安全关联方案。该方案通过对基于预共享密钥的鉴别及单播密钥协商过程的改进,生成了新加入交换机和认证服务器之间的成对主密钥,并用于新加入交换机与各个不相邻交换机之间的交换密钥协商过程。然后,在该方案基础上提出了一种可信计算环境下的LAN安全关联方案。该方案在改进的基于预共享密钥的鉴别及单播密钥协商过程中进一步增加对终端设备的平台认证,从而实现终端设备的可信网络接入,有效增强了LAN的安全性。最后,利用串空间模型(SSM)证明了这两个LAN安全关联方案是安全的。性能对比分析结果表明,该方案有效减少了交换密钥建立过程的消息交互数和计算量。

三元对等鉴别机制的安全性分析

为了分析三元对等鉴别(Trie-element Peer Authentication,Te PA)机制的安全性,利用串空间模型(Strand Space Model,SSM)对Te PA机制进行分析。通过分析可知,Te PA机制在一些情形下虽未能达到完全的认证一致性,但仍然安全,所以Te PA机制在SSM下是安全的。此外,提出针对Te PA机制的2种改进措施,使得改进后的Te PA机制能达到完全的认证一致性。

可信计算环境下的MACSec安全关联方案

为满足跨交换机间的媒体访问控制(MAC)层安全通信需求,提出一种改进的MACSec安全关联方案。该方案建立了新加入交换机与不相邻交换机之间的安全关联密钥(SAK),用于保护它们之间的MAC层数据通信。为了使得该方案进一步适合于可信计算环境,在该方案基础上提出了一种可信计算环境下的MACSec安全关联方案。该方案增加了对终端设备的平台认证,从而实现了终端设备的可信网络接入,有效增强了局域网络的安全性。最后,利用串空间模型(SSM)证明了这两个MACSec安全关联方案是安全的。

基于证书的有线局域网安全关联方案改进与分析

在基于三元对等鉴别(TePA)的有线局域网(LAN)媒体访问控制安全(TLSec)中,基于证书的LAN安全关联方案在交换密钥建立过程中存在通信浪费和不适用于可信计算环境的问题。为了解决这两个问题,首先提出了一种改进的基于证书的LAN安全关联方案。该方案简化了新加入交换机与各个不相邻交换机之间的交换密钥建立过程,从而提高了交换密钥建立过程的通信性能。然后,在该方案基础上提出了一种可信计算环境下的基于证书的LAN安全关联方案。该方案在基于证书的鉴别过程中增加了对新加入终端设备的平台认证,从而实现了新加入终端设备的可信网络接入,能有效防止新加入终端设备将蠕虫、病毒和恶意软件带入LAN。最后,利用串空间模型(SSM)证明了这两个方案是安全的。此外,通过定性和定量的对比分析可知,这两个方案要优于相关文献所提出的方案。

可信计算环境下的IKEv2协议扩展方案

在IKEv2协议基础上,利用ISO/IEC 9798-3:1998/Amd 1:2010中的认证机制,提出了一种可信计算环境下的IKEv2协议扩展方案,实现了发起者和响应者之间的双向身份认证和平台认证,并建立了它们之间的会话密钥,且与IKEv2协议是向后兼容的,其中可信第三方(TTP)负责它们的身份证书验证、平台证明身份密钥(AIK)证书验证和平台完整性评估,它们的存储完整性度量日志(SML)被加密传输给可信第三方,从而有效地解决了现有可信计算环境下IKE协议扩展方案所存在的问题.此外,利用针对可信网络连接协议的串空间模型证明了该IKEv2协议扩展方案是安全的.

可信计算环境下的WLANMesh安全关联方案

针对第3版WLAN鉴别基础设施(WAI)协议用于建立WLAN Mesh安全关联时所存在的问题,提出了一种基于改进WAI协议的WLAN Mesh安全关联方案。通过性能对比分析,该方案提高了WLAN Mesh安全关联的性能,特别是降低了认证服务器(AS)的负载。为了适用于可信计算环境,继而在该方案的基础上提出了一种可信计算环境下的WLAN Mesh安全关联方案。此外,利用串空间模型(SSM)证明了这2个WLAN Mesh安全关联方案是安全的。

废热驱动金属氢化物热变换器的性能分析

以 LaNi4.5Al0.5/LaNi5 为金属氢化物热变换器的工质对,建立了考虑反应器相对质量和比热容、热回收率等因素的金属氢化物热变换器能量分析和 分析模型,分析了热源温度、反应器相对质量和比热容、热回收率以及氢气的转化率对系统性能的影响,并提出了相应的改进措施,从而提高了金属氢化物热变换器的性能。

非共沸混合工质压缩制冷循环的不可避免损失

以非共沸混合工质替代 CFCS是比较有效的替代方案。通过对给定节点温差下的蒸发器和冷凝器内的温度匹配分析 ,提出利用调节非共沸混合工质的配比来优化蒸发器和冷凝器内的温度匹配 ,并可计算出循环的实际不可避免灯用损失 ,从而提出采用非共沸混合工质的蒸气压缩制冷循环的实际不可避免灯用损失的计算方法 ,并提出利用最佳配比和实际不可避免的灯用损失的计算 ,对各种非共沸混合工质对进行筛选 ,以进一步减少循环可避免的灯用损失 ,为优化蒸气压缩制冷循环 ,提高循环的性能奠定基础。

一种面向远程证明的双向完整性报告方案

国际可信计算组织（Trusted Computing Group，TCG）所定义的可信计算平台支持远程证明功能，即向一个远程实体证明本地平台的完整性信息，称为完整性报告。由于现有的完整性报告方案都是基于Client／Server模型，所以它们用于实现双向完整性报告时存在一些问题。为了克服这些问题，本文提出了一种面向远程证明的双向完整性报告方案。该双向完整性报告方案通过将平台身份证明密钥（Attestation Identity Key，AIK）证书的有效性验证功能和平台完整性的校验，及评估功能集中实现于网络中的可信中心，可有效地减小完整性报告双方的计算负荷和保护完整性报告双方的平台配置。此外，该双向完整性报告方案还通过设置平台组件隐私保护策略来防止完整性报告双方互相探询对方的平台配置。

一种分析和改进安全协议的新方法

分析安全协议的执行过程,给出驱动模块(Driving Module,DM)的定义,利用串空间模型构建常规DM和攻击DM,由此给出一种基于驱动模块的模型检验方法。理论分析显示,该方法搜索广度和深度完善,能避免状态空间爆炸问题,可用于获得有缺陷安全协议的攻击剧本,并证明无缺陷安全协议的安全性。用该方法分析OtwayRees协议和TLS协议,获得了Otway-Rees协议的攻击剧本,得出了Otway-Rees协议的两个安全改进版本,说明了TLS协议的安全性。

一种分析会话密钥分配协议的新方法

通过对协议执行过程的分析,给出了驱动模块(Driving Module,DM)的定义。然后,结合串空间模型构建了常规者DM和攻击者DM,并在此基础上提出了一种分析会话密钥分配协议的新攻击构造法——基于DM的模型检验方法。定理证明和实例分析表明,该方法的搜索广度和深度都是完善的,而且可以避免状态空间爆炸问题。

一种增强型WAI证书鉴别过程

在现有WAI证书鉴别过程的基础上提出了一种增强型WAI证书鉴别过程,它除了实现现有WAI证书鉴别过程的功能外,还可以建立站(STA)与鉴别服务单元(ASU)之间的安全通道,以及接入点(AP)与ASU之间的安全通道,从而能很好地支撑可信连接架构(TCA)的平台认证。此外,利用串空间模型(SSM)证明了该增强型WAI证书鉴别过程是安全的,并指出了它与现有WAI证书鉴别过程是向后兼容的。

换热器中的不可避免损失

为了分析实际热力过程、设备和循环中的节能潜力,而将(火用)损失分为可以避免和不可避免(火用)损失。通过对换热器的传热温差以及流体粘性摩阻引起的不可逆(火用)损失热力学分析,提出了确定换热器不可避免(火用)损失的方法。利用所提出的方法和推导的公式,可以对换热器的可避免和不可避免的(火用)损失进行分析和计算,从而减少可避免的(火用)损失,以改进换热器和提高换热器的(火用)效率。

蒸气压缩制冷循环中的不可避免损失

通过内可逆逆卡诺循环传热温差引起的不可逆损失分析,提出确定内可逆逆循环不可避免损失的方法.利用推导的公式和平均温度的概念,可以对实际蒸气压缩制冷循环中温差传热引起的可避免和不可避免的损失进行分析和计算,从而为减少可避免的损失、改进循环和提高循环的效率奠定基础.

一种多应用智能卡数据的保护方法

当前存在于多应用智能卡的数据访问逻辑缺陷和共享模式下的非法终端访问,将导致信息泄露、被篡改或攻击。在分析多应用智能卡文件系统和安全状态的基础上,提出了一种适合跨领域多行业应用的数据访问保护方法,该方法基于椭圆曲线算法密钥证书的生成、分发和应用等,实现了卡内行业数据的安全加载,和应用阶段的读卡端与卡身份验证、密钥协商、密文传输、和数字签名等安全措施。与现有方式比较,该方法从卡片发行直到持卡人应用,全方位地对卡内数据的访问提供严密而高效地保护,有效地解决了对卡数据访问的潜在安全隐患,推动了多应用智能卡的应用和发展。

一种基于智能卡的视频终端保护方法

针对政府部门、军方机构在使用远程视频会议系统时,可能存在非法设备或者非法用户对数据的捕获、窃听以及对正常会议的攻击干扰等安全问题。通过分析当前视频会议流程,结合智能卡对数据保护性高、更新维护方便、成本低廉的优势,提出一种软硬件结合的数据保护方案,对终端设备植入智能卡芯片,从设备角度提供会议系统的终端身份识别、信令鉴别、媒体流加密等多重保护。与当前软安全方案相比,整个方案操作性强、效率高,可有效提升视频会议系统的安全性。

基于时空约束密度聚类的职住地识别方法

为了从移动终端位置数据中精准识别居民职住地,提出了一种基于时空约束密度聚类的职住地识别方法。首先,利用基于K-means的DBSCAN(density-based spatial clustering of applications with noise)时空驻点聚类过程将居民多天的原始轨迹点分成不同的时空驻点簇;然后,利用基于速度阈值的停留点簇和移动点簇识别过程将居民的每一个时空驻点簇区分为停留点簇或移动点簇;接着,利用基于K近距离的DBSCAN重要停留点聚类过程将居民的停留点分成不同的重要停留点簇;最后,利用基于KD-tree优化的KNN(K-nearest neighbor)职住地识别过程将居民的每个重要停留点识别为工作地、居住地、职住同一区域或兴趣地点区域。实验结果表明,该方法的每个过程都是合理有效的,并且最终的职住地识别效果要优于时间阈值法、累加时间法和信息熵法。

对结合TLS的TNC IF-T协议的安全性分析与改进(英文)

The TNC IF-T Protocol Binding to TLS(TIPBT) is specified by Trusted Computing Group(TCG) for TNC assessment exchanges.However,the TIPBT cannot be analysed by current Strand Space Model(SSM) because of the different requirements from the traditional security protocols.In order to solve this problem,first,we give an extension of the SSM and point out the TIPBT cannot prevent Man-in-the-Middle(MITM) attacks in some cases based on the extended SSM.Then,we improve the TIPBT and show that the improved TIPBT can resist MITM attacks in the extended SSM.