改进的跨域口令认证密钥交换协议

跨域的端到端的口令认证密钥交换(C2C-PAKE)协议,可实现不同区域的两个客户通过不同的口令协商出共享的会话密钥.对C2C-PAKE协议的安全性进行了全面的分析,发现该协议易遭受诸如假冒发起者、假冒响应者等假冒攻击.同时基于口令验证子提出了一个改进的跨域口令认证密钥交换协议,该协议能够提供双向认证、会话密钥机密性和前向安全性,能够有效地抵抗多种攻击,包括服务器遭侵害的假冒攻击、口令泄露伪造攻击、离线字典攻击和不可检测的在线字典攻击.     

应对密钥攻击的低成本RFID改进安全协议

针对低成本RFID协议中攻击者仅需要对截获信息进行特定的异或运算,并采用穷举运算即可分析出标签密码信息的漏洞,提出了一种应对密钥攻击的改进型安全协议.在发送端将协议中标签的随机数与标签识别码的随机函数值进行异或运算来加密传输,以免被攻击者窃取,在服务器端通过相关反运算,与服务器保存的标签EPC随机函数值进行异或运算,获取本次通信的随机数,并与服务器密钥进行数值运算,判断认证是否成功.结果表明:该协议切实可行,同时能抵御窃听、重放、跟踪、阻断、模拟等多种攻击,并且该协议对存储空间和计算能力等方面的要求更低,适合低成本标签使用.     

一种奇异值填充加密的大数据量化编码方法

在大数据传输的公钥密码体制中,为了提高密文抵御短明文攻击的能力,提出了一种基于奇异值有限域填充加密的网络链路层大数据传输量化编码算法.对链路传输层的比特序列进行线性分段处理,采用多次重传机制进行大数据嵌入式自适应编码,采用奇异值分解方法进行加密密文的信源编码设计.利用伪随机序列构造量化编码密钥,在奇异值有限域中构造密钥协商协议,输入密钥敏感性参数,将公钥嵌入主密钥分布的有限域中,填充密钥中心的敏感域参数,实现加密比特序列的量化编码.仿真结果表明,采用该方法进行大数据传输的加密编码,密文的抗攻击能力较强,加密比特序列的泄漏概率较低,具有更高的安全性.     

能保护隐私且属性可扩展的云数据共享

提出一种具有隐私保护且属性可扩展的云数据共享方案。采用混合加密体制实现数据的机密性并保护用户的属性隐私,其中文件的加密采用标准的对称加密算法,对称密钥的加密采用密文策略下基于属性的加密算法。在匿名文件创建过程中,基于哈希函数对一个随机参数和文件进行绑定,实现系统的属性扩展。安全性分析表明,新方案具有语义安全性,可抵抗恶意用户和云服务器的合谋攻击,能在保护用户属性隐私的同时实现系统的属性扩展。     

基于非交互保密函数计算的移动代理保护

通过优化不经意传输(OT)协议,提出一种基于非交互保密函数计算的移动代理保护新方案.根据OT协议的计算开销主要集中在密集的取幂运算,将OT协议由二选一扩展为多选一,把OT调用由多个二选一合并成单个多选一,在此基础上定义新的并发OT协议,使取幂运算次数减少为常数次.将该并发OT协议与加密电路构造组合,得到一个非交互保密函数计算协议.所有主机贡献出加密电路当中代表自己函数的部分,各个子电路进行级联,从而构造出最终的加密电路.与同类方案相比,新方案具有计算开销低、安全性更强、系统更容易实现等特点.     

适用于移动商务环境的口令认证密钥交换协议

在移动商务环境下为了解决全自动区分计算机和人类的公开图灵测试（CAPTCHA）技术易被攻击而失效的问题,提出了适用于该环境的口令认证密钥交换协议．将认证密钥交换过程与CAPTCHA挑战/应答过程巧妙融合,在不增加协议通信轮数的条件下,通过对称加密方案保护CAPTCHA问题实例;采用适于移动终端的椭圆曲线公钥系统,基于智能卡的安全特性,提高了协议的效率和安全性;在随机预言机模型下,给出了安全性证明．与同类协议相比,新协议仅需3轮通信就能使CAPTCHA问题实例免受攻击,无须存储口令验证表,具备前向安全性.     

一种改进的适用于多服务器架构的匿名认证协议

针对Guo等提出的三因子认证密钥协商协议无法实现前向安全性且不支持用户的生物特征更新等安全缺陷,引入Diffie-Hellman密钥交换技术,提出了改进的匿名认证密钥协商协议。分析表明,改进协议在弥补原方案的安全缺陷的同时,满足多服务器架构网络环境的安全需求,能够抵御各类已知的攻击方法。     

高效的基于口令的三方密钥交换协议

基于口令的三方密钥交换协议,通过一个保存了客户的口令或是关于口令的验证值的可信第三方服务器,实现了两个需要相互通信的客户的身份认证和密钥协商。但由于口令的低熵性,使得现有的很多基于口令的三方密钥交换协议容易遭受字典攻击。在现有协议的基础上,利用对称加密算法和Diffie-Hellman两方密钥交换方法,提出了一个高效的基于口令的三方密钥交换协议。该协议能抵御各种现有的攻击,并提供完美的前向安全性。     

基于身份认证密钥协商的分析与改进

针对标准模型下可证明安全的基于身份认证密钥协商协议给出了一种有效攻击,指出其无会话密钥托管的协议存在安全缺陷.当密钥生成器(PKG)被恶意控制时,协商的会话密钥仍能被计算出来.为了抵抗这种攻击,给出了一种改进的基于身份认证密钥协商协议. 改进的协议在标准模型下是可证明安全的,具有无会话密钥托管的属性.     

一种新颖的动态软件版权保护协议

提出了一种新颖的动态分配软件许可权的协议SRMP(Software Right ManagementProtocol)。该协议将软件副本和核心代码分离,联合考虑核心代码、运行环境以及版权状态,有效地实现了安全注册、迁移。通过加密、认证和数字签名有效地保证了在网络环境中协议交互的数据安全和完整性;联机服务器动态注册核心代码,实现了动态分配软件许可权,解决了硬盘克隆攻击。     

改进的国际数据加密算法的子密钥扩展算法

提出了一种改进的国际数据加密算法(International data encryption algorithm,IDE-A)子密钥扩展算法。该算法采用伪随机序列产生具有无序性的子密钥,令攻击者无法有效地分析子密钥中初始密钥位的位置,也无法确定弱密钥的位置。无序的子密钥破坏了针对性攻击的攻击条件,使这些攻击无效。在只有伪随机序列产生的子密钥中,对初始密钥使用频率的不同会导致新弱密钥类的产生,因此引入线性探测再散列来防止该现象的发生。对该算法进行的验证性攻击实验及安全性、效率性分析都表明该算法是安全高效的。     

匿名鉴别的移动IP注册协议

为了解决移动IP注册过程中的用户匿名鉴别问题,提出了一个匿名鉴别的移动IP注册协议.移动用户采用Diffie-Hellman 密钥交换机制产生与家乡代理共享的动态会话密钥,并用它加密移动用户的真实身份,来构造注册请求消息中的临时身份标识符;家乡代理接收到临时身份标识符并进行解密得到移动用户的真实身份.由于每次注册请求消息中的临时身份标识符都不相同,从而实现了用户身份的匿名性和位置移动的不可跟踪性.该协议由公钥密码体制和共享密钥密码体制相结合来实现移动实体的鉴别.理论分析结果表明,该协议不仅实现了移动实体的鉴别,而且具有很强的匿名性;与彭华熹、冯登国提出的匿名无线认证协议比较,该协议减少了在移动用户端的运算负荷和时间.     

基于SMS4分组密码的彩色图像加密方法

为实现对数字彩色图像信息的有效保护,提出了一种采用SMS4分组加密的彩色图像加密方法。首先使用变参数的Arnold变换对图像进行位置置乱,其次使用外部密钥控制Logistic混沌映射产生各个SMS4分组的主密钥MK,以及任取32bit的随机整数作为加密子密钥并赋值给第1个SMS4分组加密图像的低32bit输入;再次分别将每个SMS4分组加密图像的低32bit输出作为下一个分组图像加密的低32bit输入,使得SMS4分组加密与反馈流密码相结合;最后将最后一组SMS4分组加密图像的低32bit输出作为图像解密的子密钥。加解密钥并不完全相同且解密子密钥与明文、密文紧密相关。实验结果表明,该方法具有良好的雪崩效应,可有效抵抗统计、差分和选择性明文等攻击。     

对RC4算法的错误引入攻击研究

错误引入攻击假设攻击者可以向密码设备(智能卡)引入错误,使其出现错误的加密结果。攻击者同时利用正确的和错误的加密结果来发现隐藏在密码设备中的秘密信息(密钥)。该文给出了一种对RC4算法的错误引入攻击方法。模拟实验表明,一轮攻击有可能找出RC4初始状态中3个位置的值,连续使用该算法能以较高(大于1/2)的概率恢复RC4的整个初始状态。恢复整个初始状态所需的密钥字个数约为O(216),引入的错误数量约为O(216)。     

多域环境下基于代理重加密的电子文档分发协议

针对多域环境下电子文档安全管理,提出一种基于代理重加密机制的电子文档分发协议.该协议中引入代理服务器,由文档拥有者将数据加密后发送给半可信服务端,服务端对数据密文进行安全存储,同时对数据密文重加密后发送给用户.该方案避免了服务端对数据密文解密后进行二次加密,降低了服务端对电子文档管理的复杂度,同时采用密文方式存储,以防止服务器被恶意攻击后敏感数据泄露.与其他协议对比结果表明,新方案显著降低了代理重加密算法的计算复杂度,同时提高了加解密效率,保持了敏感数据机密性.     

基于理想格的近似平滑投射Hash函数

近似平滑投射Hash（ASPH）函数是基于格（Lattice）的密码学中的一个重要组件,被Katz等用来构造抗量子攻击的口令认证密钥交换（PAKE）协议。已有的ASPH函数均是基于欧氏格上的困难性问题设计的,存在密钥长度过长、实现效率过低等问题。文章基于理想格上的错误学习（R．LWE）问题,设计了能适用于PAKE协议设计的新的公钥加密体制和ASPH函数,并对其安全性进行了证明。与已有方案相比,新体制具有密钥长度短、运算速度快、实现效率高等优点。     

一种基于六态量子密钥的图像加密算法

鉴于现有图像加密技术的局限性以及量子密钥分配方案的高度安全性,提出一种基于六态量子密钥的图像加密算法。在四态方案(BB84协议)两组共轭基的基础上,引入1对旋转测量基构成六态方案基矢空间;由六态方案产生随机的二进制密钥串,将密钥串与图像数据进行异或运算,对图像数据置换,实现图像的加密。实验结果与安全性分析表明:新算法密钥空间增大,可抵御穷举攻击;明密文相关度低,可有效抵御选择明文攻击;算法对密钥初始值敏感性强,安全性提高。     

基于分层身份加密的教务系统信息安全解决方案

具有层次结构的身份加密(HIBE)机制,是为了解决传统的身份加密(IBE)机制的密钥托管和效率低下问题,在原有机制基础上,通过使用分层密钥服务器来进行身份认证、数据加密、数字签名.针对教务系统中的网络安全问题,将HIBE机制应用到该系统中,提出了基于分层身份加密的教务系统信息安全解决方案,以HIBE为核心,利用表示用户身份的任意字符串为公钥、椭圆曲线困难问题加密和设置分层密钥服务器等方法,来简化用户认证、防止数据泄漏被篡改和提高系统的整体效率.用PBC代码库及C语言实现的分层模型进行实验,结果表明该方案可行有效.     

军网身份鉴别协议设计与分析

为了适应军网上应用系统高安全性和高效率的身份鉴别要求,考虑军网身份鉴别的作用对象主要为基于用户/服务器方式的访问服务,在分析了Kerberos鉴别协议和KryptoKnight身份鉴别协议特点的基础上,设计了一种新型的基于对称密钥加密体制军网身份鉴别协议。该协议对用户透明,简化了协议交换鉴别信息的步骤,大大提高了鉴别效率。经安全分析,协议能防止窃听攻击、重放攻击和假冒攻击等常见的各种攻击行为可能造成的安全威胁。该身份鉴别协议已经应用于军网分布式身份鉴别系统中。     

NTRU型多密钥全同态加密方案的优化

现有的NTRU型多密钥全同态加密方案多是基于2的幂次分圆多项式环构造的,全同态计算过程使用了复杂的密钥交换操作,这类方案容易遭受子域攻击,且同态运算效率较低,对此本文提出了一个安全性更好、效率更高的NTRU型多密钥全同态加密方案。首先,将现有方案底层的分圆多项式环扩展应用到素数次分圆多项式环上,给出了基于素数次分圆多项式环的NTRU型多密钥全同态加密的基础方案模型（文中B-MKFHE方案）,该方案模型可以抵御更多的子域攻击。其次,在B-MKFHE方案模型的基础上,通过扩展密文多项式维度,优化了NTRU多密钥同态运算结构,使得同态运算过程不再需要复杂耗时的密钥交换操作。最后,根据优化的多密钥同态运算结构,结合模交换技术,构造了无需密钥交换的层级型NTRU多密钥全同态加密方案（文中M-MKFHE方案）。通过与现有方案对比分析,本文提出的M-MKFHE方案改进了底层的分圆多项式环,提高了安全性;优化的同态运算结构具有较小的存储开销和计算开销,运算效率较高,并且方案在同态运算过程中产生的噪声值较小,支持更深层次的同态运算。