支持多种安全级别的文件加密工具设计

针对目前加密工具存在加密算法单一、密钥管理不方便、密文文件共享不安全、文件重要性未区分等问题,设计了一个支持多种安全级别的文件加密工具。该工具的密钥随机生成,按用户分组组织,保存于密钥文件中,并按照文件的重要性,把它分成一般、中等和高3个安全级别。一般和中等安全级别文件加解密时,自动从密钥文件中查找密钥,而后者解密时需要进行用户认证,高安全级别文件的密钥不在密钥文件中,加密时随机生成,用投票者的公钥加密后保存到服务器,解密时需要所有投票者同意才能解密。该工具加密时随机选择加密算法,密钥无需用户记忆,通过密钥管理保证不同级别密文文件共享的安全,既具有操作的方便性,又具有较高的安全性。     

一次一密加密系统设计与实现

文中在VC 6.0环境下设计并实现了一次一密文件加密系统。针对文件加密的特点:在文件的头部和尾部有相同或类似关于文件类型的信息,为了防止这部分信息对文件加密产生的影响,提出了相应的加密方法,并通过穷举法和分析破译法对加密有效性进行验证。同时设计并实现安全的随机密钥产生系统,通过特定算法,使密钥序列更接近随机序列。用户可以输入密钥序号系统自动采用相应密钥进行文件加密,也可以自定义密钥,密钥定期更新,以保证系统具有较高的安全性。     

一种基于文件过滤驱动的Windows文件安全保护方案

针对提高文件安全级别需要较高安全成本问题,提出了一种低成本高安全的Windows文件保护方法。该方法采用Windows NT驱动框架,基于文件系统过滤驱动技术实现对文件进行透明加解密。文件内容用快速的对称算法加密,并且一文件一密钥。文件密钥用安全性更高的非对称算法加密,加密密钥保存于专用密钥文件中,用户私钥存放在密钥U盘里。在此基础上,提出了一种文件安全共享的方法。分析和应用表明,该方案在增加较少硬件成本基础上,可有效保护存储设备遗失或被盗、管理员密码被破解、文件共享时的文件安全。     

一次一密加密系统设计与实现

文中在VC＋＋6．0环境下设计并实现了一次一密文件加密系统。针对文件加密的特点：在文件的头部和尾部有相同或类似关于文件类型的信息，为了防止这部分信息对文件加密产生的影响，提出了相应的加密方法，并通过穷举法和分析破译法对加密有效性进行验证。同时设计并实现安全的随机密钥产生系统，通过特定算法．使密钥序列更接近随机序列。用户可以输入密钥序号系统自动采用相应密钥进行文件加密，也可以自定义密钥，密钥定期更新，以保证系统具有较高的安全性。     

Office文件加密机制的安全性

Microsoft Office是使用最为广泛的办公软件,Office文件的安全性主要是通过对Office文件进行加密来实现的.尽管自Office97发布以来,Microsoft公司对Office办公软件的文件加密功能进行了不断改进,但是,Office加密文件的安全性仍然难以保证.通过对Office文件加/解密过程进行分析,提出了存在的攻击,同时分析了各版本Office所采用的具体加/解密算法,设计了破解实验,得出了实验测试数据,并以时间代价为指标,对Office加密文件是否安全进行了详细的论证.     

基于双密钥算法的科研信息采集加密系统设计

为了提高存储在计算机终端的科研信息的安全性,本文引进双密钥算法,从硬件与软件两个方面,对科研信息采集加密系统展开设计。设计的系统硬件由PCI结构构成,其中集成了加密处理芯片、解密芯片、脉冲调制器等设备。在软件设计方面,本文提出设计Hash采集加密函数的方式,在系统中对科研信息进行初步保障与加密;并结合双密钥算法的使用,生成私钥签名,用于信息导出与复制过程中的验证工作,设置科研信息采集密钥,对接用户身份与信息文件,实现对科研信息采集的加密。最后,本文通过实例应用证明设计系统在实际应用中的有效性。     

文件的共享加密及其实现

分析了对文件共享密钥的问题,不同的用户各自生成随机密钥,这种密钥具有香农密钥的特征,安全性好,同时,使用这些密钥产生一个共同的密钥,并用这个密钥来加密和解密文件,并给出了分析和算法。     

基于组密钥服务器的加密文件系统的设计和实现

网络存储技术在方便数据共享的同时带来了新的安全隐患,加密文件系统通过密码学方法保证存储在不受用户直接控制的服务器上的文件数据的机密性和完整性.现有的针对共享加密文件系统的密钥管理方法不能同时满足安全性、灵活性和高效性的需求.该文提出了加密文件系统GKS-CFS.引入可信的组密钥服务器(GKS)集中管理文件加密密钥,GKS上可以实施灵活的访问控制策略.通过使用访问控制块和锁盒子,降低了对GKS的计算和存储需求,使之可以用硬件实现来增强安全性;通过文件数据的分块加密和密钥版本技术,降低了权限撤销的开销.作者在Lustre上实现了GKS-CFS的原型系统并进行了测试.测试结果表明,由于避免使用了公钥密码算法,和其他系统相比,GKS-CFS的普通文件操作中的密码学操作开销减少了一个数量级,顺序读写和随机文件操作的性能分别平均降低了42.0%和8.4%.     

一种改进的高安全性密钥恢复机制

针对用户密钥丢失导致加密数据不可恢复和传统数据库保护数据存在的问题,设计了一种高安全性的密钥恢复机制;该机制通过非对称加密算法、随机密钥加密用户备份信息,以及"一次一密"加密数据库等手段有效解决传统密钥恢复机制在密钥产生、存储、备份、恢复过程中的安全问题;安全性分析表明该方案能够有效地维护密钥的安全,确保除用户以外任何机构和个人都不能获得密钥,同时在用户丢失密钥时,能够安全恢复密钥,具有一定的实践性和推广价值。     

安全共享的密文数据库研究与设计

为解决数据库中敏感数据的安全性,提出了一种数据库加密系统设计方案.该方案借鉴数字证书技术,在确保数据机密性的同时又为用户提供了安全高效的数据共享机制.综合运用对称加密算法和公钥算法,既保证敏感信息的存储安全又为密钥提供安全高效的管理.从增强数据库安全性出发,对数据库加密的原理、算法和密钥管理等关键技术进行了分析研究.通过分析,该方案可有效地解决多个授权用户的共享访问并具有较高的安全性.     

一种安全的具有匿名性的可搜索加密方案

2004年,Boneh等利用匿名的基于身份加密方案构造了一个公钥可搜索加密方案（PEKS）,解决了特定环境下对加密数据进行检索的这一困难工作。已有的可搜索加密方案,都是实现对关键词信息的保护,其实一个真正安全的可搜索加密方案,在保证搜索能力的前提下,不仅要实现对关键词信息的保护,也要实现对消息查询方信息的保护。提出具有匿名性的基于身份可搜索方案（ANO-IBEKS）的构造算法,给出了方案在随机预言机模型下语义安全性的证明。该方案可以很好地解决大量数据交给第三方服务器存储（比如网络存储）的关键词密文查询问题,可以有效地保护查询关键词和查询者身份等敏感信息,无法追踪究竟是哪个用户查询了什么信息。     

一种支持分级用户访问的文件分层CP-ABE方案

文件分层的密文策略基于属性的加密（FH-CP-ABE）方案实现了同一访问策略的多层次文件加密,节省了加解密的计算开销和密文的存储开销.然而,目前的文件分层CP-ABE方案不支持分级用户访问,且存在越权访问的问题.为此,提出一种支持分级用户访问的文件分层CP-ABE方案.在所提方案中,通过构造分级用户访问树,并重新构造密文子项以支持分级用户的访问需求,同时消除用户进行越权访问的可能性.安全性分析表明,所提方案能够抵御选择明文攻击.理论分析和实验分析均表明,与相关方案相比,所提方案在计算和存储方面具有更高的效率.     

基于区块链的动态可验证对称可搜索加密方案

对称可搜索加密(symmetric searchable encryption, SSE)能实现密文数据的检索而不泄露用户隐私, 在云存储领域得到了广泛的研究与应用. 然而, 在SSE方案中, 半诚实或者不诚实的服务器可能篡改文件中的数据, 返回给用户不可信的文件, 因此对这些文件进行验证是十分必要的. 现有的可验证SSE方案大多是用户本地进行验证, 恶意用户可能会伪造验证结果, 无法保证验证的公平性. 基于以上考虑, 提出一种基于区块链的动态可验证对称可搜索加密方案(verifiable dynamic symmetric searchable encryption, VDSSE); VDSSE采用对称加密实现动态更新过程中的前向安全; 在此基础上, 利用区块链实现搜索结果的验证, 验证过程中, 提出一种新的验证标签——Vtag, 利用Vtag的累积性实现验证信息的压缩存储, 降低验证信息在区块链上的存储开销, 并能够有效支持SSE方案的动态验证. 由于区块链具有不可篡改的性质, 验证的公平性得以保证. 最后, 对VDSSE进行实验评估和安全性分析, 验证方案的可行性和安全性.     

Secure communications between microcomputer systems

A data security communications interface unit has been developed to allow data transfer between Apple terminals in either plain or encrypted format under user control. The unit employs the Data Encryption Standard algorithm and has a degree of sophistication sufficient to meet most user needs. The unit uses the 6502 microprocessor to control encryption, decryption and communications. In addition to the transfer of encrypted data, the interface also provides a facility for storing encrypted program and data files locally in the Apple disc system. Further, the encryption system has been designed to allow storage and retrieval of completely encrypted or partly encrypted frames of information on the Prestel database. The interface has been tested extensively using several DES modes of operation.     

Key Derivation Policy for data security and data integrity in cloud computing

Cloud computing is currently emerging as a promising next-generation architecture in the Information Technology (IT) industry and education sector. The encoding process of state information from the data and protection are governed by the organizational access control policies. An encryption technique protects the data confidentiality from the unauthorized access leads to the development of fine-grained access control policies with user attributes. The Attribute-Based Encryption (ABE) verifies the intersection of attributes to the multiple sets. The handling of adding or revoking the users is difficult with respect to changes in policies. The inclusion of multiple encrypted copies for the same key raised the computational cost. This paper proposes an efficient Key Derivation Policy (KDP) for improvement of data security and integrity in the cloud and overcomes the problems in traditional methods. The local key generation process in proposed method includes the data attributes. The secret key is generated from the combination of local keys with the user attribute by a hash function. The original text is recovered from the ciphertext by the decryption process. The key sharing between data owner and user validates the data integrity referred MAC verification process. The proposed efficient KDP with MAC verification analyze the security issues and compared with the Cipher Text–Attribute-Based Encryption (CP-ABE) schemes on the performance parameters of encryption time, computational overhead and the average lifetime of key generation. The major advantage of proposed approach is the updating of public information and easy handling of adding/revoking of users in the cloud.     

基于文件系统过滤驱动的安全增强型加密系统技术研究

应用层加密系统在实际的应用中一般要求用户在访问文件前手动进行加解密操作,有些系统中文件正常使用时必须以明文形式存储在磁盘上.基于文件系统驱动的加密文件系统减少了用户的参与操作,同时保证了磁盘上文件处于加密状态,但是其在设计与实现上较为复杂.针对上述方法存在的问题,本文采用Windows NT内核操作系统的驱动框架,基于文件系统过滤驱动技术实现对数据进行透明加解密.通过这种方法不仅解决了应用层加密系统存在的不足,与加密文件系统相比开发实现较简单灵活.另外使用智能卡作为加解密密钥的存储容器,进一步增强整个系统的安全性.     

高并行可配置的GF(p)域ECC处理器

提出一种基于传输触发架构的可配置高并行性素域椭圆曲线密码处理器。该处理器用于快速实现点乘运算,通过配置特殊的功能单元、总线以及寄存器文件堆,可针对不同安全需求进行扩展。超长指令字的指令格式使处理器具有高并行性。设计的特殊功能单元 MMAU加速了模乘运算的实现。仿真结果表明,在0.18 μm CMOS工艺下,处理器所占面积为83 Kgates,能工作在最大120 MHz时钟频率下,可以在0.425 μs和2 ms内完成一次192 bit的模乘和点乘运算。     

一种新的密码学原语研究——流程加密

在许多实际的应用场景中,当用户需要获取敏感数据时,需要判断该用户是否满足某些“流程”的要求.现存的加密方案不能有效应用到以上场景中.为了解决这一新问题,提出了一种新的加密原语：基于流程的加密（process based encryption,简称PBE）,并把PBE分成两种类型：密钥策略的PBE（KP-PBE）与密文策略的PBE（CP-PBE）.运用双线性映射与线性秘密共享协议的工具,给出了一种KP-PBE的构造方法.随后,把KP-PBE方案与传统属性加密进行对比,指出在描述流程数量方面,KP-PBE与传统属性加密方案存在数量级的差异,从而体现了KP-PBE方案在描述流程方面的优越性.最后,在选择性安全的模型下,证明了该方案的安全性.     

基于S／MIME的SIP安全性方案

针对会话初始协议（SIP）端到端的安全性问题,提出一种基于S／MIME的SIP签名与加密机制,并对其进行设计和实现。该安全机制将S／MIME的功能移植到SIP用户代理,实现对端到端通话中SIP消息体SDP的保护。仿真测试结果表明,该安全性方案具有较高的可行性,可保证SDP的完整性和不可抵赖性,达到了预期的安全效果。     

基于同态加密的全文检索方案设计与实现

为了有效保障外包数据的安全性,满足用户高效检索储存在云中的数据。提出一种基于同态加密的云存储全文检索方案。该方案以整数向量加密技术为基础,建立向量空间模型,进而在密文下计算检索向量与文档向量的余弦相似度,进行检索。方案利用加密算法的同态性,在上传文件,检索以及下载文件的整个过程中,云服务器均无法获取明文数据,方案可进行多关键词检索。在第三方不可信云存储场景中具有准确和更高的检索效率,方案描述简单,保证了用户数据的机密性,在实际场景中具有良好的应用。