谁动了你的秘密宝盒？——金士顿DT Locker全新“密盘”为私密信息保驾护航

全新的金士顿DT Locker“密盘”，内建了目前最顶级的硬件加密技术256-bit Advanced Encryption Standard，可以对用户的私密数码和文件进行保护。为了确保私密信息的绝对安全，它还支持数据分区。用户可以将数据存储空间区分为“公共区”和“私密区”，这样就可以更加方便地对所有信息进行管理，也可以有效的对私密信息进行保护。     

基于可信计算的云用户安全模型

随着云计算的发展,它的安全问题不容忽视。根据云用户所面临的数据安全及身份的隐私性问题,提出了基于可信计算的云用户安全模型。安全模型以可信计算技术为支撑,除了采用传统的安全策略外,提出了建立私有虚拟机,为用户提供一个私密的运行空间,防止其他恶意用户或管理员访问该虚拟机;给出了用户信息匿名化的方法,当高安全级用户申请服务和变更服务时保证用户身份信息的私密性,防止服务提供商恶意利用和泄露用户信息,为用户提供一个安全的运行环境。     

基于功率旁路泄露的硬件木马设计

攻击者在现场可编程门阵列芯片设计、生产过程中能够偷偷嵌入恶意的所谓硬件木马以形成隐藏的后门,从而得到非授权的私密信息。为此,论述一种基于器件功率旁路泄露特性的硬件木马,以有意形成功率旁路来传递私密信息。通过实验证明了在器件有效的功率噪声级别下,该功率旁路木马能够泄露私密信息,采用扩展频谱技术实现多位密钥的并行泄露体现了硬件木马的设计灵活性。     

解读PC硬件身份证

ID，作为身份识别代码已经不是什么新鲜词．电脑中每个即插即用设备都有一个独一无二的ID编码．操作系统通过读取ID编码．就知道这台设备的类型和制造商名称等许多信息．并通过分配一个正确的设备驱动程序来管理和使用它。想了解硬件的身份证吗？请随笔者一起去破解这些神秘代码吧！     

一种基于WMI和Hash算法的软件激活方案

软件激活是对计算机软件进行保护的一种手段。基于WMI,可以获得用户计算机的身份识别信息;对该计算机身份识别信息进行Hash算法可获得＂硬件指纹＂,同时又能保护用户隐私。结合使用软件安装序列号,配合SHA512生成的激活码,可实现一个安全、实用的软件激活方案。     

网络匿名能有多匿

美国加州大学的博士生tadayoshi Kohno最近在网络身份识别上取得了突破性的进展。他通过对计算机硬件标示的识别，从而绕过安全系统，跟踪网络匿名用户。由于硬件设计的差异，所对应的时钟脉冲相位差也各异。通过TCP头部的时间标签，可以登记下硬件设备的特有信息。这样就可以准确地判断在不同时间、不同地点、不同IP连入网络的设备是否属于相同的物理设备，从而监视网络匿名用户。     

USB身份锁识别过程的分析与加强

USB身份锁是网络身份认证系统中常用的信息载体,它在通过了认证系统中客户端主机的识别之后,可以与主机之间建立起一条传输用户身份信息的基础USB信道。文章提出在身份锁设备与其驱动程序之间补充实现特有的厂商认证来加强主机对身份锁的识别,并且以基于PDI-USBD12接口的USB身份锁为例,详细介绍了该设备从插入USB端口开始到厂商认证结束的整个识别过程。     

不容忽视Win XP硬件配置文件

Windows XP中有一个硬件配置文件，它保存了所有硬件设备的安装信息，在启动时，可由它控制系统启动所需的相应设备及配置。不过在通常情况下，许多朋友都只会在“设备管理器”中对硬件进行操作，大多都忽略了硬件配置文件的功能。其实如果合理的使用好硬件配置文件，那将使Windows XP的运行效率进一步提升。     

开天拥有安全全芯

5月14日,联想推出采用安全芯片的商用高安全PC——开天4820安全电脑,开天4820通过安全芯片提供的强大防护功能,从计算机加电开始,便能够监控计算机的关键进程。开天4820具备用户身份识别和私密信息保护两大功能。开天4820安全电脑通过软、硬件结合的方式,将     

VPN工具智能化——三厂商联手提供基于策略的硬件

远程访问硬件提供商ADC Kentrox、防火墙公司Internet Dynamics和带宽管理软件制造商Packeteer等三家公司正在结盟开发基于政策的VPN硬件。为了给虚拟专用网络用户提供更好的安全和管理能力,ADC Kentrox公司正推出一个名为WANTop Boxes的访问设备系列,该系列设备中将集成Packeteer和Internet Dynamics公司的软件。WANTop设备包含的Packeteer公司的PacketShaper带宽管理技术可以使网络管理人员能够对每一类型的网络信息进行优先排队和速率控制,同时实施服务质量协议。WANTop设备还将采用InternetDynamics公司的Conclave技术以便在VPN中实现网络安全。与Conclave 1.5的集成将为WANTop用户提供防火墙和VPN服务,例如身份鉴别、加密、病毒     

Boneh-Boyen1基于身份加密体制的安全密钥分发

为了提高基于身份加密体制的用户密钥安全性,解决基于身份加密体制中的密钥托管问题成为一个重要课 题。提出了一种针对13onch-13oycn:基于身份加密体制的安全密钥分发方案,方案中系统的主密钥分片分别保存于一 个密钥生成中心和多个密钥隐私中心处,用户的私钥生成需要用户收到密钥生成中心和密钥隐私中心发来的多个私 钥分片,以避免密钥生成中心获取用户的私钥。在标准模型中证明了密胡分发方案能够保证密钥生成中心无法获取 用户的私钥,能够有效解决13onc卜13oycn:基于身份加密方案的密钥托管问题。     

Multi-device anonymous authentication

Recently, a few pragmatic and privacy protecting systems for authentication in multiple systems have been designed. The most prominent examples include Pseudonymous Signatures for German personal identity cards and Anonymous Attestation. The main properties are that a user can authenticate himself with a single private key (stored on a smart card), but nevertheless the user’s IDs in different systems are unlinkable. We develop a solution which enables a user to achieve the above-mentioned goals while using more than one personal device, each holding a single secret key, but different for each device. Our solution is privacy preserving: it will remain hidden for the service system which device is used. Nevertheless, if a device gets stolen, lost or compromised, the user can revoke it (leaving his other devices intact). In particular, in this way we create a strong authentication framework for cloud users, where the cloud does not learn indirectly personal data. Our solution is based on a novel cryptographic primitive, called Pseudonymous Public Key Group Signature.

     

基于双方交集计算的指纹认证方案

针对开放网络中指纹认证的隐私保护问题,利用智能卡设计通用可组合安全的隐秘双方交集计算协议。该协议使用对称加密算法实现双方交集计算,具有较高的计算和通信效率。在此基础上,提出一种隐私保护型身份认证方案,使服务器能安全地比较现场指纹细节点集合与注册模板集合的匹配程度,确认用户身份。分析结果表明,该方案在认证过程中可保证双方私有数据的保密性。     

基于IC协议的分块加密方案及其应用

快递面单泄密问题在给个人带来安全隐患的同时,也制约着快递企业的快速发展。针对快递面单隐私保护进行了研究。将基于身份的加密体制（BF-IBE）、权限设计思想及二维码技术相结合,设计了一种分块加密方案,采用一种新的用户私钥分发协议（IC协议）来解决密钥管理问题。将分块加密方案应用于快递隐私保护领域,设计了新型隐私面单与快递业务流程。结果分析表明,分块加密方案所采用的IC协议无须求逆运算,双线性对运算有效降低,便于密钥管理。在加解密效率上分块加密方案与BF-IBE相当,安全性基于椭圆曲线上的离散对数问题,应用于快递领域能有效保护用户隐私,可推广至其他有分块加密需求的领域。     

Understanding identity exposure in pervasive computing environments

Various miniaturized computing devices that store our identity information are emerging rapidly and are likely to become ubiquitous in the future. They allow private information to be exposed and accessed easily via wireless networks. When identity and context information is gathered by pervasive computing devices, personal privacy might be sacrificed to a greater extent than ever before. People whose information is targeted may have different privacy protection skills, awareness, and privacy preferences. In this research, we studied the following issues and their relations: (a) identity information that people think is important to keep private; (b) actions that people claim to take to protect their identities and privacy; (c) privacy concerns; (d) how people expose their identity information in pervasive computing environments; and (e) how our RationalExposure model can help minimize unnecessary identity exposure. We conducted the research in three stages, a comprehensive survey and two in-lab experiments. We built a simulated pervasive computing shopping system, called InfoSource. It consisted of two applications and our RationalExposure model. Our data show that identity exposure decisions depended on participants’ attitudes about maintaining privacy, but did not depend on participants’ concerns or security actions that they claimed to have taken. Our RationalExposure model did help the participants reduce unnecessary disclosures.     

针对LBS中非可信用户协作构建匿名域的研究

基于位置的服务作为一种不断发展的新型服务模式,为人们的生活带来了极大的便利。但另一方面,用户的位置隐私也受到了很大的威胁。从LBS位置隐私保护的实际应用出发,根据现有的位置隐私保护模型,分析了在用户协作构建匿名域的方式下,用户非完全可信时,位置隐私面临的威胁,提出了User-Cooperation Security（UCA）匿名算法,在P2P空间匿名算法的基础上引入数字签名技术,实现用户之间的身份认证,并且在通信过程中,用接收方的私钥加密位置信息,避免了攻击者窃取他们的位置信息。算法中还加入了用户可以容忍的最大等待时间这一参数,通过等待一段时间重新进行节点发现,有效地提高了匿名成功率。通过实验验证,该算法可以更好地保护用户的位置隐私。     

Simplified security notions of direct anonymous attestation and a concrete scheme from pairings

Direct Anonymous Attestation (DAA) is a cryptographic mechanism that enables remote authentication of a user while preserving privacy under the user’s control. The DAA scheme developed by Brickell, Camenisch, and Chen has been adopted by the Trust Computing Group for remote anonymous attestation of Trusted Platform Module, which is a small hardware device with limited storage space and communication capability. In this paper, we provide two contributions to DAA. We first introduce simplified security notions of DAA including the formal definitions of user controlled anonymity and traceability. We then propose a new DAA scheme from elliptic curve cryptography and bilinear maps. The lengths of private keys and signatures in our scheme are much shorter than the lengths in the original DAA scheme, with a similar level of security and computational complexity. Our scheme builds upon the Camenisch–Lysyanskaya signature scheme and is efficient and provably secure in the random oracle model under the LRSW (stands for Lysyanskaya, Rivest, Sahai and Wolf) assumption and the decisional Bilinear Diffie–Hellman assumption.     

Fully distributed identity-based threshold signatures with identifiable aborts

Identity-based threshold signature (IDTS) is a forceful primitive to protect identity and data privacy, in which parties can collaboratively sign a given message as a signer without reconstructing a signing key. Nevertheless, most IDTS schemes rely on a trusted key generation center (KGC). Recently, some IDTS schemes can achieve escrow-free security against corrupted KGC, but all of them are vulnerable to denial-of-service attacks in the dishonest majority setting, where cheaters may force the protocol to abort without providing any feedback. In this work, we present a fully decentralized IDTS scheme to resist corrupted KGC and denial-of-service attacks. To this end, we design threshold protocols to achieve distributed key generation, private key extraction, and signing generation which can withstand the collusion between KGCs and signers, and then we propose an identification mechanism that can detect the identity of cheaters during key generation, private key extraction and signing generation. Finally, we formally prove that the proposed scheme is threshold unforgeability against chosen message attacks. The experimental results show that the computation time of both key generation and signing generation is <1 s, and private key extraction is about 3 s, which is practical in the distributed environment.     

一种改进的差分隐私参数设置及数据优化算法

基于差分隐私的数据扰动技术是当前隐私保护技术的研究热点,为了实现对敏感数据差分隐私保护的同时,尽量提高数据的可用性,对隐私参数的合理设置、对添加噪声后数据进行优化是差分隐私保护中的关键技术。提出了隐私参数设置算法RBPPA以及加噪数据的优化算法DPSRUKF。RBPPA将隐私参数设置构建于数据访问者和贡献者的信誉度之上,并与数据隐私度以及访问权限值关联,构造了细粒度的隐私参数设置方案; DPSRUKF采用了平方根无味卡尔曼滤波处理加噪数据,提高了差分隐私数据的可用性。实验分析表明,该算法实现了隐私参数的细粒化设置以及加噪数据优化后数据精度的提高,既为敏感数据的应用提供了数据安全保障,又为数据访问者提供了数据的高可用性。     

隐藏访问策略的可追踪属性基加密方案

属性基加密作为一种一对多的加密机制,能够为云存储提供良好的安全性和细粒度访问控制。但在密文策略属性基加密中,一个解密私钥可能会对应多个用户,用户可能会非法共享其私钥以获取不当利益;另外,访问策略通常包含敏感信息,这对隐私性要求较高的场合造成了重大挑战。针对上述问题,提出一个隐藏访问策略的可追踪密文策略属性基加密方案。该方案基于合数阶双线性群进行构造,通过将用户的身份信息嵌入到该用户的私钥中实现可追踪性,将访问策略中的特定敏感属性值隐藏在密文中实现策略隐藏,利用解密测试技术提高解密效率,给出了在标准模型下方案是完全安全和可追踪的证明。对比分析表明,该方案在解密运算方面有所优化,从而降低了解密运算开销,提高了效率。