一种安全高效的强口令认证协议

提出了一种基于轻量级客户端的、基于散列函数的、用户端和服务器端双向基于口令的认证协议SPAS。指出了以往类似协议中存在的攻击问题,并分析了SPAS的安全性,指出SPAS能够抵御拒绝服务攻击、重放攻击、冒充攻击、服务器端验证信息泄密后的攻击。SPAS协议能够应用于各种使用轻量级用户端的、在公共信道上进行认证的用户认证应用场景。

HIP——主机标志协议的技术研究

分析了TCP/IP协议在解决主机的移动、多宿主、动态IP地址变化、网络安全、NAT/NAPT等问题上的缺陷,介绍了一个综合解决这些问题的方案———HIP及其实现框架,深入介绍了协议的实现细节,分析了该协议如何解决了上述一系列问题,最后总结了HIP的意义和存在的问题。

基于动态口令验证因子认证的密钥交换协议

传统的密钥交换协议一般只考虑到通信过程的安全性,忽略了服务器端的安全性。一旦服务器被攻陷,则所有用户的口令信息都将被窃取,攻击者就可以冒充合法用户登录系统。目前有一些协议运用零知识证明的方法来解决该问题,但都需要较大的计算量。一种基于动态口令验证因子认证的密钥交换协议(DV-AKE)被提出,其服务器的口令验证因子是动态变化的,使用了轻量的散列函数来实现零知识证明,尤其适合于轻量的客户端和有大量用户同时连接服务器的应用场景。

基于IP网络的移动技术研究综述

介绍了目前主要的几种移动技术在网络层、传输层和会话层上的实现,如MobileIP、基于组播的移动技术、基于代理的MSOCKS传输层移动方案、MIGRATE移动技术等,分析了它们主要的技术特性,比较了它们的优缺点,并总结了移动技术的发展趋势。

一种防窃取的私钥保存及使用方案

目前广泛采用的私钥保存方法是使用用户密码将私钥加密后保存在用户存储设备上,但当该存储设备被攻击者获取时,攻击者很容易使用离线字典猜测攻击获取用户私钥.本文提出一种利用在线服务器协助签名和解密的方法来安全保存并使用用户私钥的方案,用户必须通过在线服务器的认证和协作才能使用存储在用户设备上的私钥.攻击者即使获得用户设备也无法离线猜测用户密码来获取私钥.本方案具有分布式的私钥安全保存,及时的证书撤销和分布式信任管理等优点.

基于Intranet的MIS解决方案

本文针对MIS系统如何从传统的Client/Server结构到Intranet环境下的三层体系结构过渡这一问题,提出了在Intranet中建立企业信息网络系统的一个基本方案,并就其中的关键技术,如系统数据库的存取,应用平台的转移和Web技术的应用等作了深入讨论。

创建Web服务器/浏览器

介绍了如何运用 Internet技术在局域网上建立 Web服务器 /浏览器 ,并通过一个安装调试的实例 ,充分展示了在 Windows NT平台上建立 Web服务器的全过程 ,使其能广泛地运用于各个应用领域中。

一种基于XACML访问控制策略决策服务的安全模型

访问授权是分布式系统中关键的组成部分之一,但一般没有作为独立节点实现,甚至被忽略。本文提出并实现了一种基于XACML构建策略决策点的安全模型,给出了模型三种应用基本模式,使模型适应各种环境需求,实现安全的细粒度访问控制。

自适应P2P网络搜索算法

提出了一个基于查询代理的无结构P2P网络盲搜索算法,该算法在查询过程中感知并分析P2P网络的相关信息,根据查询满足情况自适应地控制子查询规模。与已有的盲搜索算法相比,查询代理算法实现了更细致的冗余开销控制,并避免了已有算法存在的优化难题。与已有盲搜索算法的对比实验的结果证实该算法可以更有效地降低冗余开销。

网格环境中身份认证的研究与应用

在分析网格环境中身份认证特殊需求的基础上,研究了适合不同网格应用场景的GSI方案和KX.509方案,提出并实现了一种针对整合分布W eb资源以构建数据网格资源平台的身份认证方案。科学数据网格采用GSI方案来解决其安全认证问题,该方案则在国家科技基础条件平台统一身份认证系统中得到了实际的应用。

IPSec-VPN与几种典型网络协议的互操作问题

分析了IPSecVPN在一些特殊网络应用场景中与几种典型网络协议的互操作问题,并讨论了一些可行的解决方案。研究内容包括:在IPv4网络中与NAT网关互操作问题;在无线网络场景中与性能提升代理互操作问题;在动态拓扑VPN网络环境中与动态路由协议互操作问题;在移动网络环境中与移动IP协议互操作问题。

一种内网主机拨号上网监测系统的实现

针对某些单位为防止信息泄漏和防范攻击,禁止内网主机用户拨号上网访问Internet的 问题,提出了一些可能的监测内网主机非法外连的解决方案,详细介绍了一种利用ICMP和SNMP协 议实现内网拨号监测的方法,并介绍了本系统在Windows上的实现。

一种适合远程访问场景的认证和密钥交换方案

提出了一种基于基本ECMQV协议的非对称式认证和密钥交换方案AEAS,可实现对客户端的口令认证和对服务端的公钥认证;AEAS中的客户端口令认证具有零知识安全属性,允许用户使用弱口令,并能抵御各种字典攻击和重放攻击;与同类非对称认证和密钥交换方案相比,AEAS具有最少的公钥计算开销。AEAS协议能集成到现有WTLS协议框架中,从而实现一种高安全性和低计算开销的WTLS扩展,它完全可满足无线终端在企业远程访问场景下的高安全性要求。

使用ECMQV密钥交换方案增强WTLS协议安全性

ECMQV协议是一种基于ECDH的认证和密钥交换方案,它具有高安全性和低计算开销 等优点。通过将ECMQV协议集成到WTLS协议框架中实现了一种WTLS扩展协议,它在略微增加 无线终端计算开销情况下明显提高现有WTLS协议安全性。在协议中采用了Cookie技术来防止可 能的拒绝服务攻击。该WTLS扩展协议可在轻量级无线终端上实现,以满足无线终端在企业远程访 问环境下的高安全性要求。

一种基于WTLS的轻型移动VPN方案

各种传统的远程访问VPN方案(包括IPSec-VPN和SSL-VPN)都只是为固网环境下外出企业员工的“游牧访问”而设计的,它不适合于未来的移动无线网络场景。本文针对移动无线场景中特有的无线终端计算能力和网络带宽限制等问题,提出了一种基于WTLS安全协议的轻型移动VPN方案。该移动VPN方案支持移动节点在不同无线接入网络之间的自由切换,允许外出企业员工在任何时间、任何地点、使用最佳的无线接入网络连接到企业网络并安全地访问企业内部资源。

一种针对整合分布Web资源的身份认证方案

在充分利用并融合多种安全技术的基础上,提出并实现了一种针对整合分布的Web资源以构建资源信息平台的身份认证方案。采用本方案建立起来的统一身份认证系统为国家科技基础条件平台的建设提供了安全认证框架。

一种分布式系统的用户认证授权机制及其应用

针对用户认证和授权问题提出了一种对用户集中认证、分散授权的解决方案。通过借鉴网格环境中的虚拟社区授权服务的体系结构,构造了统一身份认证和资源访问控制的系统框架,并实现了单点登录、细粒度用户访问控制的安全机制,对该方案的安全性进行了评价。

侧入式单端面机械密封摩擦副温度场的研究

对侧入式单端面机械密封的温度场进行了研究。通过建立二维轴对称传热的有限元模型,用有限单元法求解了机械密封环的稳态温度场,在自主设计的试验台上进一步对静环温度进行测量,得到了不同工况下的静环温度实测值。结果表明:增大弹簧比压、介质压力和转速,密封端面温度显著升高。将计算结果与实测结果进行比较,其影响趋势基本一致,误差在可接受的范围内,说明文中所介绍的计算密封环温度的方法可行,为进一步研究此类典型结构密封环的热特性提供了参考。

无涡流的高效永磁密封传动磁路设计

基于对现有永磁密封传动的基本结构、磁路设计和涡流的分析。从内外磁体排布方式入手,提出内磁体和外磁体之间轴向交替异性磁极对位的排布方式,这种方式有效地避免了涡流的产生。与传统结构相比,这种结构设计虽然降低了传递的转矩,但省去了冷却循环系统,这不仅简化了整体结构,同时对保持磁体的性能稳定性和延长产品使用寿命都有益处,具有重要的工程意义。如果兼顾考虑传递的转矩和减小涡流损耗,可以采用轴向和周向磁极均交替排列的磁体摆放形式,这种设计相对于传统结构,传递的转矩降低不大,但是涡流损耗减小较多,传动效率有所改善。

自吸式反应器在湿法炼锌工艺沉铁过程中的应用

对现有湿法炼锌工艺中水解沉铁反应过程存在的需要通入压缩空气、能耗高且分布管容易堵塞等弊端,开发了自吸式搅拌反应器。介绍了自吸式反应器的工作原理和设计过程,并将它应用到沉铁水解槽的工业装置改造中,使得水解沉铁的能力和效率得到大幅提高。