基于区块链的去中心化身份认证及密钥管理方案

SM9是国内商用密码体系的重要组成部分,它是基于标识的密码体制,可以避免PKI系统中复杂的证书管理难题,为物联网安全应用提供了新的解决方案。但SM9需要可信第三方KGC为用户生成和管理密钥,密钥更新极为不便。为了解决SM9密钥更新的难题,文章利用区块链技术,提出一种去中心化的身份认证及密钥管理方案。在该方案中,用户仅需要首次由IGC(Identity Generator Center)为其生成身份标识符和密钥,随后用户可以自动对密钥更新,在此过程中身份标识符作为公钥保持不变,仅对私钥和参数更新,以便于身份认证。文章重新定义了交易的数据结构,并且更新过程以交易的形式记录在区块链上,通过区块链数据的不可篡改性保证了其真实可信。文章的研究为去中心化的物联网应用场景下身份认证及密钥管理提供了新的解决方案。     

基于身份的无可信中心Ad-hoc密钥管理方案

针对移动Ad-hoc网络中迫切需要解决的安全问题是建立一个安全、高效、可行的密钥管理系统,提出了一种基于身份无可信中心的适合于Ad-hoc网络密钥管理方案,有效地解决了节点间的信任问题及基于身份密码体制的密钥托管问题,并给出了一种可以为用户在线周期性更新密钥机制。最后证明了所得用户公钥与用户身份的绑定及用户私钥的安全性。     

一类基于身份的无需可信中心的签名方案

论文分析了目前基于身份的各种签名方案的性能和安全性,并针对目前基于身份签名方案中去除了用户对私钥产生中心无条件信任的签名方案的不足,提出了一种新的基于身份的签名方案。该方案采用系统主密钥和用户提供的随机数字共同作用产生用户私钥,去除了用户对私钥产生中心的无条件信任;利用椭圆曲线上的双线性对同时验证系统主密钥和用户私钥,大大减少了验证签名的时间开销。     

分布式网络中基于IDPKC的私钥更新方案

提出了一种基于身份的公钥密码体制(IDPKC)的分布式网络私钥更新方案,新方案通过引入一个映射函数,将用户的更新请求均匀地分配在整个更新时段内,避免了更新请求的拥塞现象。并且进一步给出了新方案下用户私钥更新和会话密钥协商过程。通过分析,该方案能满足安全性要求,并且具有较好的扩展性。     

一种新的基于证书的盲签名方案

传统公钥密码系统需要用证书验证用户的身份,存在复杂的证书管理问题,身份公钥密码系统签名密钥是由第三方生成,存在密钥托管问题。基于证书密码系统,结合双线性对和盲签名技术,提出一个新的基于证书的盲签名方案,新方案中签名者的签名密钥是由证书和签名者任意选择的私钥构成,解决了密钥托管问题,证书是签名密钥的一部分,在验证签名有效性的同时也验证了证书的有效性,解决了复杂的证书管理问题。分析结果表明,该方案是正确的。     

基于身份自证实的秘密共享方案

为了解决现有秘密共享方案中秘密份额的安全分发问题,基于Girault密钥交换协议,结合基于身份(ID)的公钥密码技术提出了一个新的秘密共享方案,并对其进行了安全性和性能分析.该方案中,用户的私钥作为其秘密份额,无须秘密分发者为每个用户分发秘密份额.用户的私钥可以由用户自己选取,可信第三方无法获取其私钥.同时,任何人都可以以离线方式验证每一个参与者公钥的合法性.分析表明,文中所提出的基于身份的秘密共享方案具有更高的安全性和有效性,能更好地满足应用需求.     

基于签密的Ad Hoc网络密钥管理

AdHoc网络可以不依赖于现有网络基础设施,快速搭建起一个移动通信网络。然而它的灵活特性又使其安全性面临着严峻的挑战。文章首先分析了AdHoc网络的安全性,然后回顾了AdHoc网络安全性关键技术———密钥管理的研究现状,接着基于签密方案和门限密码方案给出一种新的AdHoc网络密钥管理方案。方案中不需要公钥证书的存在,用户以自己的身份标识作为公钥,极大地降低了用户终端计算、存储能力的需求和系统密钥管理的通信开销,而且可以实现用户的身份认证和私钥的周期性更新。     

一种无证书的移动Ad hoc网络密钥管理方案

结合无证书签密协议,提出一种分级移动Adhoc网络密钥管理方案。该方案不需要公钥证书,用户自己生成公钥,有效地降低了用户终端计算、存储能力的需求和系统密钥管理的通信开销;同时密钥生成中心为用户生成部分私钥,解决了基于身份密码体制中的密钥托管问题;分级的结构将网上节点分成一些相对独立的自治域,既提高了安全服务的可用性和可扩充性,也便于对某些紧急情况快速做出反应。     

一种基于身份的层次式空间网络组密钥管理方案

随着航天技术、移动通信技术和网络技术的迅速发展以及信息化建设的逐渐深入,空间信息系统也在向着网络化的趋势加速发展,其应用前景受到了极大的关注,故其对安全的要求越来越高。文中提出的基于身份的空间网络组密钥管理方案ID-GKM中,采用分层分组式的组密钥管理机制,方案除了包括常有的组密钥生成分发、密钥更新外,还考虑了私钥更新。在私钥更新部分,采用B&F提出的基于身份的公钥加密机制,提出了适合空间网络的私钥更新机制。该方案能够适应空间网络的层次化架构,满足其对强扩展性、高可靠性等的要求。另外,针对地面终端节点与空间节点不同的特点,提出地面组管理的密钥更新应采用批量更新的方案,该方案结合使用了定期和基于队列更新的思想,且可以考虑采用基于代理重加密的组密钥管理方案来解决LKH方案中组密钥更新时对用户必须在线的要求。     

无线自组网络上基于身份的密钥生成协议

着重研究了无线自组网络上基于身份的密码体制的密钥生成问题,设计了一个分布式的密钥生成协议。该协议不需要预先分发任何秘密信息,不需要假设用户间存在安全信道和可信第三方,在设定系统参数后,自组网络的各站点运行该协议,就可以安全有效地生成与自己身份相对应的用户私钥,从而有效地使用基于身份的密码体制实现自组网络内部的端到端认证和保密通信。     

抗签名密钥泄露的可撤销无证书签名

当用户的私钥泄露或使用权限到期时,系统如何撤销该用户是亟待解决的问题.这一问题在传统公钥系统TPKC和基于身份的公钥系统IBC下已有解决方案,然而在无证书公钥系统中,这一问题至今没有得到很好的解决.我们知道,无证书公钥系统没有庞杂的证书库和密钥托管问题,只是算法的计算量稍有增加,是TPKC和IBC之外的一种较理想的公钥系统,所以对它的撤销机制的研究十分必要.设计了一种可撤销的无证书签名方案,基本原理是:系统定期地给每个未被撤销的用户生成新的时间密钥,并通过公共信道传输给用户.相比现有的Al-Riyami和Paterson的撤销机制而言,该方案更加高效.同时,新方案达到了抗签名密钥泄露的安全性,且签名密钥的长度非常短.在CDH困难性假设下,该方案是UF-CMA可证明安全的.     

基于Shamir的动态强前向安全签名方案

目前基于Shamir的数字签名方案多数仍需可信中心参与子秘密（秘密份额）的分发,缺乏成员对群管理的反向监督,缺少强前向安全性。在这些问题的前提下,提出一种无可信中心参与、多个成员可定期更新私钥,同时解决了成员加入和退出问题的方案。该方案由产生签名、私钥更新、成员加入和退出三个部分构成,涉及的运算主要有拉格朗日插值计算,有较为良好的时间复杂度,实现了去可信中心化,并在保持公钥不变的情况下定期更新成员私钥,实现成员加入退出,进而保证消息的完整性及强前向安全性。     

基于CGA技术的MIPv6安全绑定更新方案研究

针对移动IPv6网络的移动节点和通信对端之间的绑定更新安全问题,提出了一种基于CGA技术改进的移动IPv6安全绑定更新方案。新方案对移动IPv6的BU信令及BU/BA过程进行格式扩展,并在绑定更新过程中引入两种不同的工作模式：不需要协商绑定管理密钥工作模式和需要协商绑定管理密钥工作模式。在生成管理密钥后,不用私钥签名和公钥验证,只采用协商好的管理密钥进行签验。该方案减少了冗余信令交互,降低了CGA计算复杂度,提高了路由优化过程的安全性。通过仿真,验证了方案的可行性。     

支持What-if分析的OLAP多版本管理机制

针对What-if分析中的多版本更新管理需求,根据不同的假设更新实现技术,提出支持What-if分析的内存OLAP系统中的多版本更新策略,其中包括常规的递归假设更新和基于差值的多版本假设更新,采用预合并机制的delta记录合并算法来提高级联假设更新模式下的多版本What-if查询性能。实验表明,与常规的递归假设更新相比,该算法无论在减少多版本更新代价方面还是在减少整体What-if查询时间方面均有效。     

基于中国剩余定理的动态门限签名方案

针对移动攻击,提出一种基于中国剩余定理（CRT）的动态门限签名方案。首先,成员交换影子产生各自的私钥和组公钥,然后由成员协作产生部分签名,最后通过部分签名合成签名。方案在签名过程中没有暴露组私钥,从而保证组私钥可重复使用;方案允许成员定期更新私钥,且组公钥不变,以保证更新前的签名仍然有效;此外,方案允许新成员加入,并保证老成员私钥和组私钥不会泄露。分析表明,该方案具有良好的前向安全性,能够有效地抵抗移动攻击;且理论分析和仿真实验结果表明,与基于Lagrange插值多项式方案相比,该方案更新时间消耗为常数级,时间效率较高。     

一种可撤销的KP-ABE方案

提出了一个支持私钥撤销的KP-ABE(Key Policy Attribute Based Encryption)方案, 该方案以直接撤销模式对用户进行撤销, 能够在不更新系统公钥和任何一个用户的私钥的情况下完成对用户的撤销, 更新代价较小.同时该方案基于访问树实现与Attrapadung 等人基于LSSS(Linear Secret Sharing Schemes)的支持用户撤销的KP-ABE 方案相比, 构造更为简单. 该方案的安全性可以规约到标准模型下的判定性q-BDHE(q-Bilinear Diffie-Hellman Exponent)假设.     

Location management techniques for mobile systems

Locating users in mobile environment is an essential problem in PCS that becomes more challenging as the network size increases and the user population grows. In third generation mobile systems, the signaling traffic and processing overhead of location updates is expected to grow tremendously leading to poor performance. Therefore location management schemes should aim at reducing the cost of updates. Yet, the lookup delay should be kept minimum. This paper aims at classifying the various approaches used for location management of mobile users by grouping them into two main categories. The first category comprises techniques that focused on reducing the cost of looking up a user and adjusted the update process accordingly. These are classified into replication, caching and selective paging techniques. The second category consists of techniques that focused on reducing the cost of updates and maneuvered the update policy to reduce the lookup cost by informing the system with the maximum possible information about user's mobility. This could be achieved by the use of statistic collection, estimation or prediction processes. We classify those schemes into three main classes: schemes based on forwarding pointers, learning-based schemes and prediction-based schemes. By investigating the technical significance of each class a new direction for future research is proposed which favors the second category of location techniques and emphasis the importance of adopting suitable learning and prediction techniques to optimize the overall location cost.     

基于身份一次性公钥的分析与改进

为了解决Intemet通信的匿名性,张胜等构造了一个基于身份一次性公钥系统.用户只需由可信中心颁发一次私钥,而在每次通信时自己生成不同的公钥,通过与之对应的签名方案,既认证用户身份,又保证用户的匿名性和多次通信之间的不可联系性.分析其安全性,指出了攻击者可以完全攻破该系统的签名过程;针对该漏洞,给出了两种改进,第一种改进仅仅改变一次性公钥但不改变签名过程的基础框架,而第二种改进则改变了签名过程及其对应的签名验证过程.     

O2O应用中二维码的混合认证服务系统

二维码作为一种信息载体,可以实现电子商务应用的线上与线下（O2O）并行互动,为消费者带来更便捷和快速的消费体验。但是,二维码不能有效应对移动互联网环境下的信息泄露、信息篡改、身份认证、抵赖性等安全挑战。文章针对二维码信息容量有限,无法在其中嵌入传统PKI体系的数字证书及证书链的问题,提出了一种结合PKI与IBC密码体制的技术方案,按照预先定义的规则为已持有数字证书的用户生成IBC密钥对,充分利用IBC密码体制中公钥信息量较少的优势。文章设计了密钥对申请及发放的协议流程,以及使用IBC密钥对来完成数字签名及验证的过程,同时借助数字证书的状态来判断用户是否有效,满足在O2O应用过程中的安全需求。该技术方案实现了在已建立PKI体系的场合下完成IBC密钥对的分发,有效解决了二维码在O2O应用中电子标签数据的认证问题,并且建立了基于数字证书的IBC数字签名信任链,满足数据传输的机密性、用户身份识别、信任关系的建立等安全目标,尤其适用于信息容量受到限制的二维码类型。     

基于身份和门限秘密共享的密钥管理方案

提出一种适用于无线Mesh网络的基于身份和门限秘密共享的密钥管理方案。该方案采用门限秘密共享技术实现系统私钥的分布式生成和传输,无需公钥证书的参与,只需在离线可信任机构处进行注册,将用户身份标识作为公钥,从而降低用户终端的存储和计算代价,并且可实现系统和用户私钥的周期性更新。分析结果表明,该方案安全性高、实用性强。