一种基于HECRT的物联网密钥管理方案

针对物联网环境下的密钥管理、隐私保护等安全问题,提出一种基于同态加密与中国剩余定理(HECRT)的密钥管理方案,给出基于节点位置信息的分层网络模型,根据节点位置信息进行网络设施部署。通过构造双重密钥池实现网络密钥管理和分配,从而节省网络开销和节点资源消耗。在通信过程中采用同态加密技术处理节点隐私信息,以保障用户隐私数据的安全。仿真结果表明,该方案具有较好的网络连通性和较高的安全性。     

云存储环境下的支持隐私保护方案

作为云存储技术中的突出问题,安全始终受到用户的关注。针对云存储安全中的用户身份隐私保护和数据隐私保护设计了一种安全、高效的云存储方案。在该方案中构建了基于时间序列的多叉树存储结构（MTTS）,并在该结构基础上设计了一种密钥推导算法,不仅方便了密钥的生成和管理,并且节省了存储空间。通过对方案的安全性分析,结果表明该方案在确保数据存储安全的基础上也能很好地保护用户身份隐私。     

一种新的在线社交网络的隐私保护方案

针对用户数据隐私容易被截取的问题,提出了一种新的用户在线社交网络隐私保护方案.传统解决方案依赖于公共密钥基础设施或传统密钥分布技术,而新的方案则充分利用朋友和用户的私有属性熵之间的信任.通过重新构建密码模块建立安全协议,对在线社交网络提供安全信息服务、安全信息匹配和安全通信三种服务,最终使用户能够安全地存储自己的私有数据,并建立一个会话密钥的安全通信.     

一种基于双线性配对的移动通信认证组密钥协商方案

针对移动通信网络中的安全群组通信需求特点,通过引入基于椭圆曲线密码体制的双线性配对,提出一个高效的认证组密钥协商方案.同时,基于双线性计算性Diffie-Hellman困难问题假设(BCDHP)和双线性离散对数困难问题假设(BDLP)证明了该方案是安全的,能够抵抗恶意节点的身份假冒攻击和同谋破解攻击,具备完美的前向隐私性和后向隐私性,存储、通信和计算开销都比较小,非常适合于终端资源有限的移动通信网络.     

物联网中的隐私保护问题研究

在物联网中的认证和密钥协商过程中,如果用户的身份信息以明文的形式传输,攻击者可能追踪用户的行动轨迹,从而造成信息泄漏。针对大多数基于身份的认证和密钥协商协议不能保护用户隐私的问题,提出一个基于身份的匿名认证和密钥协商协议。在设计的认证和密钥协商方案中,用户的身份信息以密文的形式传输,解决了用户的隐私问题。     

基于区块链的医疗数据流共享

为解决医疗数据流场景存在的数据共享不灵活和医患关系泄漏问题，提出一种基于区块链的医疗数据流共享方案。提出基于密钥生成树的密钥管理策略和密钥搜索策略，用户可根据自身需求使用密钥流加密医疗数据且灵活地共享数据。此外，基于密码学原语提出有效的协议保护区块链上医生和患者的身份信息，实现医患关系隐私保护。安全分析和实验结果分析表明，所提方案可以实现医疗数据流安全和灵活的共享，以及医患关系的隐私保护。     

一种轻量级Web通信加密方案*

为保护用户Web通信安全,针对现有Web加密中的运算负荷问题,提出了可保护用户隐私的轻量级Web通信加密方案。该方案很大程度降低服务器在会话密钥协商时的运算负荷,实现通信业务流加密、抵抗第三方监控,进而有效保护用户隐私。     

Boneh-Boyen1基于身份加密体制的安全密钥分发

为了提高基于身份加密体制的用户密钥安全性,解决基于身份加密体制中的密钥托管问题成为一个重要课 题。提出了一种针对13onch-13oycn:基于身份加密体制的安全密钥分发方案,方案中系统的主密钥分片分别保存于一 个密钥生成中心和多个密钥隐私中心处,用户的私钥生成需要用户收到密钥生成中心和密钥隐私中心发来的多个私 钥分片,以避免密钥生成中心获取用户的私钥。在标准模型中证明了密胡分发方案能够保证密钥生成中心无法获取 用户的私钥,能够有效解决13onc卜13oycn:基于身份加密方案的密钥托管问题。     

区块链环境下支持隐私保护的数字权限管理

针对数字权限保护中对数字内容安全和用户隐私保护的需求,提出了一种支持区块链环境下隐私保护的数字权限保护方案,设计了区块链环境下数字内容权限全生命周期保护和用户隐私保护的框架,主要包括内容加密、许可授权和内容解密3个协议。利用Diffie-Hellman密钥交换和加法同态加密算法,实现了内容加密密钥的保护和分发,同时保证了内容加密密钥的安全性和用户的隐私性,防止区块链中的其他节点收集用户的敏感信息,如用户的使用习惯。与传统的数字权限保护方案相比,该方案基于区块链具有信息公开透明、信息不可篡改等特点,并且保护了内容安全和用户的隐私,具有较好的实用性。安全性分析表明,该方案在区块链环境下是安全的;仿真实验结果表明,该方案能够以较低的开销实现用户的隐私保护。     

可隐私保护的电子交易新方案

针对电子交易中的隐私安全问题,提出了一个可保护用户隐私的电子交易方案。方案将不经意传输协议和ElGamal签名相结合,实现了电子交易中交易双方的隐私安全。用户使用序号选择商品,匿名付费给银行;银行将商品的数字签名发送给用户,用户使用数字签名和商家进行不经意信息交互;对序号进行幂运算加密得到密钥,商家不知道用户订购何种数字商品,序号的隐蔽性和制约性也使得用户不能以没有选择的序号打开消息,用户得到且只能得到自己订购的数字商品。正确性证明和安全性分析结果表明,方案保护了交易双方在电子交易过程中的交互信息,同时防止商家恶意欺诈行为。方案签名短,计算量小,密钥动态变化,安全性强。     

WSN中一种高效鲁棒的对等认证方案

受Wacker A等人提出的基于P2P的大规模多用户虚拟环境中认证思想的启发,提出一种适用于无线传感器网络的高效鲁棒的对等认证方案。基于分布式信任模型,该方案通过分布式多节点表决方式保证公钥与私钥之间的对应关系,取代证书方式,避免了证书的颁发/更新、存储、索取等计算和通信开销,在提高公钥加密体制应用效率的同时还增强了系统的鲁棒性。形式化证明该方案是安全的。基于MICA2DOT无线传感器网络节点对方案的能量消耗进行了定量分析,结果表明该方案能很好地适用于资源受限的WSN环境。     

WSN中基于多项式的安全密钥建立方案

针对分层WSN节点的更新,使用二元对称多项式,提出一种安全的建立通信双方会话密钥方案。该方案可保证传输消息的秘密性和完整性,能有效地抵御攻击者对消息的非法篡改、替换和重放。此外,该方案支持通信双方更新会话密钥和增加对节点身份的认证,防止非法节点的欺骗攻击。通过分析可知,该方案和现有方案相比,具有更高的安全性,以及成本和效率的合理性。     

面向本地差分隐私的K-Prototypes聚类方法

为了在聚类分析中保护数据隐私的同时确保数据的可用性,提出一种基于本地化差分隐私（LDP）技术的隐私保护聚类方案——LDPK-Prototypes。首先,用户对混合型数据集进行编码;其次,采用随机响应机制对敏感数据进行扰动,而第三方在收集到用户的扰动数据后以最大限度恢复原始数据集;然后,执行K-Prototypes聚类算法,在聚类过程中,使用相异性度量方法确定初始聚类中心,并利用熵权法重新定义新的距离计算公式。理论分析和实验结果表明,所提方案与基于中心化差分隐私（CDP）技术的ODPC算法相比,在Adult和Heart数据集上的平均准确率分别提高了2.95%和12.41%,有效提高了聚类的可用性。同时,LDPK-Prototypes扩大了数据之间的差异性,有效避免了局部最优,提高了聚类算法的稳定性。     

新型安全电子邮件加密系统的设计与实现

基于身份公钥加密是一种以用户的身份标识符作为公钥的新型加密体制。本文首先介绍基于身份的公钥加密方案(IBE),给出IBE安全加密体制的基本框架结构与工作原理;设计了一个IBE密钥管理方案,实现IBE公钥和私钥的安全分发;提出了一套基于IBE的安全电子邮件系统,开发了一个PKG密钥服务器和Outlook邮件客户端加密插件,并实现IBE密钥管理方案;最后讨论了IBE邮件加密系统的安全问题。     

基于秘密共享的组密钥协商方案

基于[(t,n)]门限秘密共享的思想,提出一种组密钥协商方案,该方案应用对称多项式可以不需要提前保证组内用户间通信信道的安全。每个用户根据share计算自己的分量（Component）,通过秘密恢复机制实现组密钥协商和验证。在线可信第三方的情况下,新用户通过秘密共享机制与原有组用户协商新的组密钥,实现新用户的动态加入。使用组密钥加密通信信息,可以降低多播、组播及多跳通信时的计算开销。与传统的组密钥协商方案相比,该方案可以抵御[t-1]个内部攻击者,无需在线可信第三方,无需用户间预先存在安全信道,并且支持新用户的动态加入。因此,方案更加安全灵活。     

一种关于SM9的安全密钥分发方案

通过分析Wang等[12]关于BF-IBE的密钥分发方案,指出其潜在的数据库泄露攻击与篡改攻击;由于Geisler等[15]的关于SK-IBE的密钥产生方案未提出安全密钥分发协议,因此对前两者进行改进并提出一种关于SM9的可分离匿名分布式密钥产生分发(SADKI)方案。与几种同类型方案对比结果表明,该方案是安全高效的,实现了无对运算,不需要安全通道,具有可分离和匿名性,能够抵抗KGC数据库泄露攻击、篡改攻击、离线口令攻击。     

具有访问权限撤销的外包数据加密方案

对Zhou等提出的方案(ZHOU M, MU Y, SUSILO W, et al. Privacy enhanced data outsourcing in the cloud. Journal of network and computer applications, 2012, 35(4): 1367-1373)进行分析,指出了该方案无法实现对用户访问权限进行撤销的问题。针对该方案的不足,提出一种具有撤销用户访问权限的外包数据加密方案。首先,把数据分成多个数据块并分别对每个数据块加密;其次,通过密钥导出的方法减少数据拥有者管理和保存密钥的数量;最后,对同一个加密数据构造多个解密密钥,实现对某些用户的访问权限撤销,而未被撤销用户无需进行密钥更新。与Zhou等的方案相比,所提方案不仅保持该方案中的外包数据隐私保护优点,而且还实现了用户访问权限的撤销。分析结果表明,在离散对数困难问题(DLP)假设下,所提方案是安全的。     

基于身份签名的认证方案在WEP协议中的应用

分析了WEP协议,指出了WLAN安全机制的最终隐患是初始向量IV未经认证。针对初始向量IV提出一种基于身份签名的认证方案。该方案使用NAI（Network Access Identifier）作为用户公钥,简化了无线环境中的密钥管理问题,有效地解决了对初始向量IV的认证问题。安全性分析表明,该方案能在不改变对现有设施要求的前提下保证初始向量的机密性和不可否认性,能抗FMS分析方法、抗密钥流重复使用和已知明文攻击。     

属性匹配检测的匿名CP-ABE机制

属性基加密（简称ABE）机制以属性为公钥,将密文和用户私钥与属性关联,能够灵活地表示访问控制策略,从而极大地降低数据共享细粒度访问控制带来的网络带宽和发送节点的处理开销.作为和ABE相关的概念,匿名ABE机制进一步隐藏了密文中的属性信息,因为这些属性是敏感的,并且代表了用户身份.匿名ABE方案中,用户因不确定是否满足访问策略而需进行重复解密尝试,造成巨大且不必要的计算开销.文章提出一种支持属性匹配检测的匿名属性基加密机制,用户通过运行属性匹配检测算法判断用户属性集合是否满足密文的访问策略而无需进行解密尝试,且属性匹配检测的计算开销远低于一次解密尝试.结果分析表明,该解决方案能够显著提高匿名属性基加密机制中的解密效率.同时,可证明方案在双线性判定性假设下的安全性.