非对称光学图像加密系统的已知公钥攻击

为了破解基于相位截断傅里叶变换的非对称光学图像加密系统,提出一种已知公钥的攻击方法,并通过理论分析和实验仿真进行了研究。结果表明,在已知公钥的攻击下,攻击者可通过获取通用解密密钥恢复基于相位截断傅里叶变换的非对称光学图像加密系统的明文,并取得了较好的破解效果。在整个攻击的实施过程中,除了公开的加密密钥,无需额外的资源,同时攻击难度大大降低,因此更具实际意义。     

基于数学模型的通信数据加密保护系统设计

通信数据在传输过程中,由于受到通信环境噪声以及非法攻击者的攻击影响,使得通信数据容量值降低,用户隐私数据安全受到严重威胁。针对这一问题,在引入数学模型的基础上,开展通信数据加密保护系统设计研究。通过通信传输设备选型、通信连接服务器选型等硬件设计和基于数学模型的通信数据系统加权处理、基于非法攻击者的通信信道盲符号引入、基于通信终端用户的通信数据加密和周期性更换通信数据加密保护密钥等软件设计,提出一种全新的加密保护系统。通过实验证明,新的加密保护系统在实际应用中可有效提高通信数据加密保护的容量值,确保通信数据的安全传输。     

分析泄漏功率攻击采用90ntoCMOS技术能加密器件

在电子商务与电子银行等应用中,安全要求越来越严格。虽然加密技术提供了强健的算法,但这些算法的物理实现一般会通过器件电气运行中的物理现象,泄漏一些信息,攻击者会利用它来探测密钥。这些“旁路”（side-channel）攻击利用加密实现硬件模块所泄漏的信息。该信息可能包含数据与功耗或时序之间的相互关系（参考文献1）。一种广为报道的强大旁路攻击方法是微分功率分析（differential—power analysis）,因为它能让攻击者用现售元件做出的测量设置探测出密钥（参考文献2）。攻击者依据的事实是,标准CMOS逻辑的动态功耗主要依赖于输入数据。例如,考虑一个简化的CMOS反相器模型,它以一只接地电容作为自己的负载。     

云存储中密文数据的客户端安全去重方案

云存储环境下,客户端数据去重能在本地进行文件重复性检测,有效地节约存储空间和网络带宽.然而,客户端去重仍面临着很多安全挑战.首先,由于将文件哈希值作为重复性检测的证据,攻击者很可能通过一个文件的哈希值获得整个文件;其次,为了保护数据隐私,收敛加密被广泛运用于数据去重方案,但是由于数据本身是可预测的,所以收敛加密仍不可避免地遭受暴力字典攻击.为了解决上述问题,本文首次利用盲签名构造了一个安全的密钥生成协议,通过引入一个密钥服务器,实现了对收敛密钥的二次加密,有效地预防了暴力字典攻击;并进一步提出了一个基于块密钥签名的拥有权证明方法,能够有效预防攻击者通过单一的哈希值来获取文件,并能同时实现对密文文件的文件级和块级去重.同时,安全分析表明本文方案在随机预言模型下是可证明安全的,并能够满足收敛密钥安全、标签一致性和抗暴力字典攻击等更多安全属性.此外,与现有方案相比,实验结果表明本文方案在文件上传和文件去重方面的计算开销相对较小.     

一种针对密钥的单比特电磁模板攻击方法

旁路信息泄露是安全设备面临的一种严重威胁,通过检测包括电磁在内的任何一种旁路,都可能提取密钥信息。提出一种通过被动的监视和利用数据加密标准(DES)密码芯片的电磁泄漏来获取密钥的单比特电磁模板攻击方法。该方法与传统的模板攻击相比有三点显著的不同:一是直接以密钥为攻击目标而不是密钥的算法置换;二是为单比特建立模板而不是多个比特;三是不需要已知明文或密文。针对DES加密方案的实验结果确认了这种方法在密码分析中的有效性。     

基于高级加密标准的远场电磁旁路攻击

电磁旁路攻击是旁路攻击中的一种有效方法，为了克服传统的电磁旁路攻击必须近距离获取电磁信息的局限性，针对没有电磁防护的密码设备提出一种基于相关性分析的远场攻击方法.使用微控制器运行高级加密标准算法，使用天线在远场探测电磁信号，先对采集的电磁信号均值和滤波以减少噪声的影响，再使用相关性分析方法进行旁路攻击，在天线距离微控制器10 m处成功破解出完整的密钥.同时也对远场电磁旁路攻击中的频率和样本量做了深入研究，带有密钥信息的电磁旁路主要集中在一段频率范围内，而且随着样本量的增加密钥信息越明显，以此为基础结合密码芯片产生密钥信息泄露的机理，提出了改进的电磁旁路攻击方法.     

云存储环境下无密钥托管可撤销属性基加密方案研究

属性基加密因其细粒度访问控制在云存储中得到广泛应用。但原始属性基加密方案存在密钥托管和属性撤销问题。为解决上述问题,该文提出一种密文策略的属性基加密方案。该方案中属性权威与中央控制通过安全两方计算技术构建无密钥托管密钥分发协议解决密钥托管问题。通过更新属性版本密钥的方式达到属性级用户撤销,同时通过中央控制可以实现系统级用户撤销。为减少用户解密过程的计算负担,将解密运算过程中复杂对运算外包给云服务商,提高解密效率。该文基于q-Parallel BDHE假设在随机预言机模型下对方案进行了选择访问结构明文攻击的安全性证明。最后从理论和实验两方面对所提方案的效率与功能性进行了分析。实验结果表明所提方案无密钥托管问题,且具有较高系统效率。     

一种抗DPA的AES的设计

为了防止智能卡在做加密运算时,旁路信息会通过功耗的变化而泄露,提出了一种抗差分功耗分析攻击的方法.首先研究了AES算法的加密规则,然后采用8位的处理器模拟智能卡,在智能卡上实现了对AES算法中的轮密钥加的差分功耗攻击.为了抵抗轮密钥加的差分功耗攻击,文中在算法级别上提出了一种掩码技术,其核心是用不同的随机量对密码运算过程中明文和密钥进行掩码,实验结果表明,该方法成功地抵抗了差分功耗攻击.     

一种基于字合成运算的射频识别双向认证协议

RFID系统由标签、读写器、后台数据库3部分组成,其中标签与读写器之间通过无线信道进行信息传输,存在易被攻击者截获通信信息的风险。提出一种基于字合成运算的射频识别双向认证协议。所提协议运用二次剩余定理对信息进行加密,增大破解难度;每轮通信加密过程中,随机数的添加使得前后通信消息均不一致,致使攻击者无法发起追踪攻击行为信消息加密过程中,同时采用字合成运算方法,能够有效减少RFID系统总的计算量;后台数据库端引入随机数校验机制,使系统能够有效抵抗异步攻击等攻击。安全性分析表明,基于字合成运算的射频识别双向认证协议具备较高的安全性;性能分析表明,协议具备轻行为量级计算量的标准。     

区块链上基于云辅助的密文策略属性基数据共享加密方案

针对云存储的集中化带来的数据安全和隐私保护问题,该文提出一种区块链上基于云辅助的密文策略属性基(CP-ABE)数据共享加密方案。该方案采用基于属性加密技术对加密数据文件的对称密钥进行加密,并上传到云服务器,实现了数据安全以及细粒度访问控制;采用可搜索加密技术对关键字进行加密,并将关键字密文上传到区块链(BC)中,由区块链进行关键字搜索保证了关键字密文的安全,有效地解决现有的云存储共享系统所存在的安全问题。该方案能够满足选择明文攻击下的不可区分性、陷门不可区分性和抗串联性。最后,通过性能评估,验证了该方案的有效性。     

椭圆曲线加密算法的边信道攻击

椭圆曲线加密算法是目前已知的公共密钥体系中加密强度最高的一种算法,为了将其破解,采用边信道攻击,即通过对密码机在加密过程中的功率变化的分析来尝试获取密钥信息,从而绕过了从数学上破译椭圆曲线密钥极其困难的问题。所搭建的实验平台,利用示波器探测正在运行加密程序的设备,对其中进行差分功率分析,从而找到加密规则。实验结果验证了所采用方法的有效性。     

PAVM: a framework for policy‐aware virtual machine management

The problem of efficient placement of virtual machines (VMs) in cloud computing infrastructure is well studied in the literature. VM placement decision involves selecting a physical machine in the data center to host a specific VM. This decision could play a pivotal role in yielding high efficiency for both the cloud and its users. Also, reallocation of VMs could be performed through migrations to achieve goals like higher server consolidation or power saving. VM placement and reallocation decisions may consider affinities such as memory sharing, CPU processing, disk sharing, and network bandwidth requirements between VMs defined in multiple dimensions. Considering the NP‐hard complexity associated with computing an optimal solution for this VM placement decision problem, existing research employs heuristic‐based techniques to compute an efficient solution. However, most of these approaches are restricted to only a single attribute at a time. That is, a given technique of using heuristics to compute VM placement considers only a single attribute, while completely ignoring the impact of other dimensions of placing VMs. While this approach may improve the efficiency with respect to the affinity attribute in consideration, it may yield degraded performance with respect to other affinities. In addition, the criteria for determining VM‐placement efficiency may vary for different applications. Hence, the overall goal of achieving VM placement efficiency becomes difficult and challenging. We are motivated by this challenging problem of efficient VM placement and propose policy‐aware virtual machine management (PAVM), a generic framework that can be used for efficient VM management in a cloud computing platform based on the service provider‐defined policies to achieve the desired system‐wide goals. This involves efficient means to profile different VM affinities and to use profiled information effectively by intelligent and efficient VM migrations at run time considering multiple attributes at a time. By conducting extensive evaluation through simulation and real experiments that involve VM affinities on the basis of network and memory, we confirmed that the PAVM architecture is capable of improving the efficiency of a cloud system. We elaborate the architecture of a PAVM system, describe its implementation, and present details of our experiments. Copyright © 2016 John Wiley & Sons, Ltd.     

关于发展云计算密码应用技术体系的看法

该文就云计算密码应用技术体系的发展提出了愿景和思路,同时就目前的云计算密码应用技术发展进行了较详细的需求分析,最后提出了云计算密码应用技术体系的6个发展内容:①建立和完善云计算密码应用技术体系;②建立健全的云计算应用技术标准体系;③建立健全的云计算密码检测体系;④研究新型网络环境下的云计算密码应用;⑤促进新型密码(SM2算法)技术和产品的应用;⑥建立云计算密码应用产业联盟。     

CPK随机碰撞概率分析

在认证系统中,密钥是重要的认证参数,因此密钥管理技术成为了关键技术,可以说认证系统是建立在密钥管理系统之上的,为解决密钥数据的管理问题,文献[1]中给出了CPK(combined public key)方案,本文给出了该方案的随机碰撞概率分析。     

FPGA上抗侧信道攻击的密码算法实现

密码算法在运行时可能会受到侧信道攻击,抗侧信道攻击的FPGA密码算法实现是目前研究的一个热点。通过随机数保护关键数据的S盒移位掩码法被认为是一种有效的防御手段。采用该方式实现的密码算法在提高运行安全性的同时,可能会带来硬件资源开销的增加及加解密速度的降低。通过对SM4算法的实现表明,采用合适的实现方式时S盒移位掩码法抗侧信道攻击实现对算法硬件资源开销及加解密速度影响不是太大,具有一定的实用价值。     

TCCL:secure and efficient development of desktop cloud structure

A secure and efficient development of desktop cloud structure:TCCL (transparent computing-based cloud),which was designed under the guidance of transparent computing,was proposed.TCCL applied the method,separating calculation and storage,loading in a block streaming way which was proposed in the transparent computing theory,to the cloud desktop system,and deployed the defense module of security threats under the cloud VM (virtual machine).As a result,the TCCL could improve the security level on the cloud VMs’ system files and data files,and could optimize the cloud virtual machines' storage efficiency.     

云计算与密码技术

文章在对云计算模式与密码技术的研究基础上,进一步研究了云计算模式与密码技术的有益结合。一方面,讨论了云计算中目前应关注的主要密码应用模式,从云存储中的数据加密、虚拟机的安全、身份认证与访问控制、安全审计等关键点出发,进行了概念性的讨论;另一方面,探讨了密码技术的云化,即以云计算模式作为构建密码系统的基础支撑,整合各种安全密码设备,形成密码服务资源池,实现"密码即服务"。     

Key-dependent side-channel cube attack on CRAFT

CRAFT is a tweakable block cipher introduced in 2019 that aims to provide strong protection against differential fault analysis. In this paper, we show that CRAFT is vulnerable to side-channel cube attacks. We apply side-channel cube attacks to CRAFT with the Hamming weight leakage assumption. We found that the first half of the secret key can be recovered from the Hamming weight leakage after the first round. Next, using the recovered key bits, we continue our attack to recover the second half of the secret key. We show that the set of equations that are solvable varies depending on the value of the key bits. Our result shows that 99.90% of the key space can be fully recovered within a practical time.     

Resource allocation in cloud virtual machines based on empirical service traces

One of the key technologies in cloud computing is virtualization. Using virtualization, a system can optimize usage of resources, simplify management of infrastructure and software, and reduce hardware requirements. This research focuses on infrastructure as a service, resource allocation by providers for consumers, and explores the optimization of system utilization based on actual service traces of a real world cloud computing site. Before activating additional virtual machines (VM) for applications, the system examines CPU usage in the resource pools. The behavior of each VM can be estimated by monitoring the CPU usage for different types of services, and consequently, additional resources added or idle resources released. Based on historical observations of the required resources for each kind of service, the system can efficiently dispatch VMs. The proposed scheme can efficiently and effectively distribute resources to VMs for maximizing utilization of the cloud computing center. Copyright © 2013 John Wiley & Sons, Ltd.     

基于双层信息流控制的云敏感数据安全增强

已有的云安全防护方法如加密、访问控制和虚拟机隔离等不能够提供数据端到端的安全防护。首先,提出了一个面向云环境的双层信息流控制模型,给出了模型的关键要素定义、集中式与分布式信息流控制规则、能力标记调整规则、标记传播规则和降密规则.然后,综合动态污点跟踪和虚拟机自省技术,设计并实现了原型系统IFCloud,可为云租户提供信息流跟踪与控制即服务,为云平台提供常见系统攻击如栈溢出、缓冲区溢出等攻击的防护机制.最后,给出了原型系统IFCloud的功能测试结果.表明IFCloud能够灵活、正确、实时地跟踪和控制云下敏感数据流.可应用于云平台下面向软件即服务的细粒度数据安全保护.