可证安全的属性集合加密策略研究

基于密文策略的属性集合加密(ciphertext-policy attribute-sets based encryption,CP-ASBE)是一种更具有实用性的适用于细粒度访问控制的加密方法.针对现有CP-ASBE策略构建复杂的问题,提出了一种改进的CP-ASBE策略.该策略简化了用户的密钥结构,而且选用AND门作为策略的访问结构,只有用户的密钥结构满足AND门访问结构才能解密密文.通过分析表明,该策略在判定双线性Diffie-Hellman假定条件下是选择明文攻击安全的.由实验结果可以得出,相比现有策略,该策略具有较高的加密和解密效率.     

Kerberos协议在可信平台下的设计与实现

为了解决Kerberos协议缺乏对计算机网络终端的保护的问题,引入可信计算技术对协议进行安全加固,加入对客户端完整性的验证,将数字签名引入传统的票据中,以保证客户端的完整性和密钥的安全性;在Linux下搭建可信计算平台,通过调用TPM功能,实现Kerberos协议的可信安全加固方案.验证平台表明,使用可信计算平台技术对Kerberos协议进行安全加固是切实可行的.     

支持可信认证的移动IPSec VPN系统设计

基于IPSec协议的移动VPN系统为移动终端的远程接入提供了可行的解决方案,但IPSec协议的普通身份认证没有考虑移动终端系统的完整性和可信性,造成终端安全漏洞,给被接入系统和被访问信息带来安全隐患.针对这个问题,提出支持可信认证的移动IPSec VPN系统,并给出其系统架构和关键技术.该系统在实现了普通IPSec VPN系统的安全功能之外,增加了多因子与可信证明相结合的复合认证功能、基于信任的动态访问控制功能.并对其进行了原型实现和性能测试及分析,表明了在将时间代价合理控制的前提下,该系统有效确保了终端的可信接入、通信信道中数据传输的安全可靠以及被接入网络的资源安全及应用服务的可用性和可管控性.     

无线网络环境中一种安全的组密钥管理方案

对于部署在开放式网络环境下的分布式协同应用来说,在某些环境下参与应用的用户可能随时加入或离开由多方用户组成的一个群组,这种成员关系的动态性使得分布式网络环境下的协同应用对群组通信系统的安全性提出了更高的要求和挑战。基于标识的密码技术和门限密码技术,提出一种安全的分布式组密钥管理方案。方案能有效地抵制主动攻击和恶意节点的合谋攻击,而且具有鲁棒性和自适应性的特点。     

基于她分解与多项式的无线传感器网络密钥算法

提出了基于QR分解与二元多项式的密钥建立与分配方案。该方案以二元多项式的计算结果作为无线传感器网络的密钥。二元多项式的其中一个参数由对称矩阵进行QR分解生成,节点部署后交换Q矩阵的行信息再与R矩阵的列信息相乘生成多项式的参数。多项式的另一个参数由各自生成的随机数确定。分析结果表明：该方案可以提高存储效率、网络连通性、抗捕获性能,并能提供额外的通信链路验证。     

一种自定义动态密钥预防DDoS攻击的算法

DDoS攻击表现形式有多种,主要造成后果是导致Web服务器无法提供网络服务,最终造成一系列损失。针对通过某一网页端口进行的DDosS攻击,提出了一种预防算法,自定义动态密钥,并采用自定义算法调用,动态改变被攻击端口处的文件名。该算法使得攻击者无法通过加密后的文件来得到原文件名称,从而达到预防此种DDoS攻击的目的。实验证明,此算法有效。     

云存储中基于可信平台模块的密钥使用次数管理方法

为保护云存储中数据的机密性并控制密钥的使用次数,提出了一种基于可信平台模块的密钥使用次数管理方法.首先,通过基于密文策略的属性加密算法对密钥加密,使得只有满足一定属性的指定用户能够解密密钥.然后在本地将密钥与可信平台模块绑定,保证密钥的安全存储,并利用可信平台模块的物理单调计数器为每一个密钥生成一个虚拟的单调计数器.其次,通过比较单调递增的计数器值和预定的密钥使用次数值,判断密钥是应被删除还是能继续使用,从而控制密钥的使用次数.最后,利用可信平台模块的防物理篡改功能、计数器的单调性和数字摘要防止攻击者对硬盘数据进行重放攻击.实验结果表明,所提出的方案性能开销小,能够安全有效地存储和保护密钥,达到密钥使用次数受限制的目的.     

物联网感知层一种分层访问控制方案

在物联网感知层中,用于信息采集的感知层节点需要根据隐私、安全或定制消费等需要,按不同级别提供授权用户的数据访问,这导致传统的访问控制方案无法满足用户安全高效的按需访问需求.为此,提出了一种分层访问控制方案.将同安全级别感知节点划分为一个层次节点,由层次节点之间形成的偏序关系构成一个分层的访问控制模型.本方案的优势体现在:每个用户和分层节点仅存储单个密钥材料,通过密钥推导获得访问当前及下层所有资源的密钥值,减少存储开销的同时提高了系统的安全强度;支持层次节点的动态扩展及密钥材料的动态更新;满足标准模型下的可证明安全及其他扩展安全.分析表明,方案能很好地满足物联网感知层的访问控制需求.     

密钥提取中降低初始不一致率的预处理方法

在密钥生成过程中,传统量化算法会导致量化结果初始不一致率较高,从而降低最终的密钥生成速率。为解决该问题,提出一种基于奇偶校验的预处理方法。合法双方对量化比特进行合理分组,交互每组的奇偶校验位,且双方同时删除校验位不一致的分组。仿真结果表明,该方法能降低初始序列的不一致率,进而提高后端信息协商的效率,特别是当初始不一致率较高时性能改善明显,如当初始不一致率为0.26时,采用该预处理方法的剩余比例较未采用该预处理方法提高近9倍。     

一种改进的三方认证密钥协商协议

针对三方认证密钥协商协议容易遭受假冒攻击和中间人攻击的缺点,提出一种基于身份的三方认证密钥协商改进协议.该协议综合运用基于身份的密码学、椭圆曲线密码学和哈希函数技术建立用户之间的认证关系,以抵抗假冒攻击和重放攻击.分析结果表明,该协议基于CDH假设是可证安全的,与Tan改进协议相比,效率较高.