基于双伪随机变换和Feistel结构的轻量级分组密码VHF

针对资源受限的移动终端对轻量级密码的需求,提出了一种 基于双伪随机变换和Feistel结构的新的轻量级分组密码算法VHF。类似于许多其他轻量级分组密码,VHF的分组长度为128bit,密钥长度为80bit和128bit。VHF的安全评估结果表明,其可以对已知的攻击实现足够的安全性,如差分分析、线性分析和不可能差分分析等。在安全的基础上测试软件效率及硬件实现,与现有的轻量级分组密码进行的对比表明,VHF的软硬件效率都高于同为面向8位平台的国际标准CLEFIA算法。     

基于Feistel结构的超轻量级分组密码算法(PFP)

面向无线终端资源受限环境对加密算法的应用需求,借鉴PRESENT算法的设计思想,采用Feistel结构,并修改扩散层的P置换,设计了一种超轻量级分组密码算法PFP。其硬件实现需要1355GE,优于PRESENT算法,满足资源极端受限环境的需求(2000GE以下)。速度测试结果表明,PFP算法的软件实现效率约为PRESENT算法的1.5倍。依赖性测试、线性分析、差分分析、不可能差分分析和密钥编排攻击表明,PFP算法满足轻量级分组密码的安全需求。     

用CSP开发CE.Net FIGS加密传输构件

农田信息采集系统FIGS是精准农业系统的重要组件,嵌入式采集终端和处理中心的安全、准确的数据传输是系统发挥效用的关键,CSP是WINDOWS CE平台主要的密码服务标准,在桌面系统和嵌入式系统中得以广泛应用;分析了嵌入式农田信息采集系统的安全需求,设计了构件的功能函数接口、数据结构,研究了CSP的原理和体系结构,应用CSP和Cryp-toAPI实现了构件,完成了工程目标,讨论了解决方案在CSP本地化和上层应用适应性维护两方面存在的优点。     

基于抽象服务的密码服务组合模型设计与实现

传统的密码服务与应用系统的紧耦合,不能满足新的业务需求,同时严重制约了密码服务的发展。为了提高密码服务质量和扩展其应用范围,根据密码服务的特点,对其进行抽象归类,构建抽象服务。并在此基础上结合面向服务的体系架构,利用BPEL和Pi演算的转换,设计了可以动态调度和智能优化的密码服务组合模型。该模型不但可以实现业务流程的图形化编排,而且可以对流程进行形式化分析和正确性检测。最后给出了原型系统的设计思想和实现方法。     

密钥管理系统研究与实现

密码技术是信息安全问题的核心技术之一,密钥管理技术是密码技术的基础,在密钥的产生、存储、分配、更新、吊销、控制、销毁等密钥全生命周期过程中保证密钥的安全,保证对称密钥和非对称密钥的有效和安全管理,并提供高效、经济的密钥服务十分关键。文中从基础设施层到系统的管理层设计了将对称密钥和非对称密钥在整体上统一管理的密钥管理系统,实现了对密码设备的实时安全监控,可以作为一个独立提供对称密钥和非对称密钥全生命周期安全管理服务的密钥管理系统,也可以扩展作为数字证书发布系统的密钥管理系统后台。     

椭圆曲线密码高效软件实现技术研究进展

伴随云计算技术与物联网技术的快速发展,用户敏感数据呈现爆发式增长,为保障网络中用户隐私数据的安全,国家相继出台了以《密码法》为核心的一系列法律法规,进一步明确密码应用的规范要求.无论是以云计算为代表的服务侧,还是以物联网为代表的终端侧,结构复杂的公钥密码的计算能力都面临极大的挑战.椭圆曲线算法相比于传统的RSA密码算法,具有更短的密钥长度,在计算速度、资源存储、数据带宽等方面具有重要的优势,可用于实现密钥交换、数字签名、公钥加密等密码原语,是当前应用最为广泛的公钥密码技术之一.本文通过简要分析服务侧与终端侧两种不同的应用场景,明确端云两侧在软硬件、密码算法需求等方面所存在的巨大差异,归纳了各类椭圆曲线密码算法标准与硬件开发平台参数.基于上述内容,本文总结了椭圆曲线密码的高效软件实现技术研究进展,着重介绍了国产椭圆曲线密码的研究现状,并展望了椭圆曲线密码算法实现的未来发展趋势.     

并行密码服务器的密钥同步管理协议

针对并行密码服务器在安全模块之间实现密钥同步时面临的系统内部安全问题,建立密码服务系统密钥同步管理的安全模型,从工程化角度对安全模块间密钥同步协议进行设计与实现,包括密码服务器密钥同步初始化协议、同步主密钥的生成与管理协议、密钥初始化环境建立协议、新HSM的密钥同步协议4个子协议,给出协议的安全性分析。     

面向计时攻击的形式化分析

旁路攻击方法从密码算法在密码设备上实现时所泄漏出来的旁路物理信号入手进行分析,从中萃取出密码系统的秘密信息甚至密钥,开辟了与传统密码分析方法迥然不同的新方向.采用等价关系和等价类划分的方法对旁路攻击中计时攻击进行形式化定性分析,结合信息熵度量方式对计时攻击者能力进行定量评价,通过对面向RSA二进制模幂运算进行计时攻击的...     

密码算法研究

密码算法是信息安全的重要保证。介绍了密码体制的数学定义,并比较了对称密码算法和非对称密码算法,比较了DES、AES对称密码算法,两者中AES具有比DES更好的安全性、效率、灵活性;分析比较了RSA、ECC、NTRU等非对称密码算法,要实现相同的安全水平NTRU所需要密钥长度最短。     

密码算法研究

密码算法是信息安全的重要保证。介绍了密码体制的数学定义，并比较了对称密码算法和非对称密码算法，比较了DES、AES对称密码算法，两者中AES具有比DES更好的安全性、效率、灵活性；分析比较了RSA、ECC、NTRU等非对称密码算法，要实现相同的安全水平NTRU所需要密钥长度最短。     

Cit-CSP及其应用

介绍了Cit-CSP--Cit/E-commerce信息安全保障平台子系统，并阐述了它所提供的消息摘要、块加密、加密(公钥)、签名和MAC等功能和服务。     

密码协议的一种安全模型

将密码协议与密码算法视为一个系统,建立了密码协议系统的一种安全模型.基于假设/保证的组合推理技术提出了新的假设/保证推理规则和假设/保证推理算法,证明了该规则的完备性,实现了密码协议系统的模型检查,并重点解决了系统分解问题、假设函数的设定问题、进程+逻辑的系统特性描述问题等难题.以kerberos密码协议系统为例,利用该安全模型和假设/保证推理技术对密码协议系统进行了安全验证.     

基于嵌入式系统的自适配安全构件的研究与设计

提出了既能运行在传统桌面和企业计算平台,又能解决嵌入式系统安全问题的自适配安全构件,分析了其必要性。介绍了自适配安全构件的设计原则及目标,给出了其详细设计,针对其中加密服务提供者及加密引擎结构,详细阐述了其跨平台,可定制的特点。自适配安全构件应用了设计模式及面向构件等技术,在“和欣”网络操作系统下开发。     

基于综合安全保护质量的安全服务协商模型

在基于分布式服务的系统体系中,上层应用系统需要确定下层安全服务能够按照要求提供安全服务功能,根据不断变化的实际需要和当前系统状态自适应地调整服务者和服务要求,并同时保障系统的安全性。本文探讨了在应用系统和安全服务之间对安全保护质量进行协商的协议模型,目标是使应用系统所要求达到的安全水平能获得安全服务的支支持,并能得到下层安全服务的有效遵守,使系统的整体安全水平得到保障。     

Certificate sharing system for secure certificate distribution in mobile environment

As mobile and Internet technologies evolve, mobile services (e.g., Internet banking, social commerce) continuously expand and diversify. In order to use these mobile services, it is essential that security services, especially distribution certificates (e.g., bank certificates), relevant to mobile devices be provided. Some approaches to providing distribution certificates between a user's mobile device and a personal computer (PC) have been proposed. However, the existing approaches do not guarantee that the certificate in the mobile devices same with the issued one from the PC, causing constraints on mobile services such as mobile phone banking and mobile commerce (M-commerce).In this paper, we propose a novel approach that shares certificates securely without modification of the existing standard certificate format between a smartphone and a PC. We also implemented the certificate sharing system (CSS) in a virtual private network (VPN). The CSS provides strong end-to-end data security for the certificate with a key size of 192-bits which is able to guarantee an expiration date of three years. It also provides strong data security on physical devices with the use of device ID. The certificate that is shared between devices is available only through the CSS's authorization process. In addition, the CSS provides a flexible and extensible system for sharing certificates in enterprise environments. The CSS module of a PC was implemented by way of a standard web language, and the CSS module of a smartphone was developed with the assistance of mobile applications with a small size of 1210KB.     

基于Restful的身份认证服务

利用Restful Web服务技术,设计一种身份认证服务。该服务将身份认证发布为Rest服务,供本地用户和远程用户调用,同时采用加密令牌方式将用户认证信息保存客户端的令牌中,应用服务不再使用Session保存认证用户信息,而是通过解密令牌密文获取认证用户信息,既保证用户的信息安全,又使得应用服务器具有良好的动态伸缩性。     

通用CORBA安全服务的研究与实现

基于CORBA平台的各种分布应用(尤其是企业商务应用,政府网上办公系统,电子金融等)对CORBA环境的安全性提出了新的挑战。这些应用不仅要求CORBA环境提供高强度的安全功能,而且要求CORBA环境的安全服务具有通用性和灵活性,能够满足多领域的、多变的、复杂的安全需求。已有的大多数CORBA安全服务虽能够提供高强度的安全功能,但是却不能满足通用性和灵活性方面的各种要求,因而它们难以应用于大规模多领域分布应用环境。该文参照主流分布平台的安全模型以及相关的各种安全标准,实现了通用的CORBA安全服务─DOCE安全服务。该安全服务已在测控信息管理信息系统中获得成功应用。将安全服务真正安全地和透明地挂接在各种CORBA产品上要面临许多问题,该文对此作了深入的探讨。     

一种新颖的Web服务安全性测试方法

针对传统的Web服务安全性测试方法存在的低效、缺乏灵活性、不适应复杂安全功能测试及难以实现异常测试等问题,本文提出一种基于WSDL文件动态解析和安全功能分解的Web服务安全性测试方法。该方法采用运行时动态解析WSDL文件的方式解决了传统测试方法与被测Web服务紧耦合的问题,将复杂安全功能分解为7类原子安全处理类型,使其能够有效适应复杂安全功能测试的需要,采用故障注入机制生成错误的SOAP消息使其支持异常测试。实验结果表明,该方法具有灵活性、高效性和先进性。     

有条件容忍入侵的数字签名协议

基于新的（t,n）秘密共享机制将CA私钥进行分存,使用其身份作为私钥份额的标识,提供私钥保护的容侵性。该协议不是从保护系统或检测入侵出发来保证CA 的安全,而是确保当少数部件被攻击或占领后,CA系统的机密信息并没有暴露;能根据攻击的类型,动态调节密码协议的运行,以容忍、阻止一部分攻击行为,更好地保护密码协议的运行安全。协议采用系统整体安全策略,综合多种安全措施,实现了系统关键功能的安全性和健壮性。     

USB安全钥模型的构建与实现

针对目前密码设备存在的不足,构建了一种USB安全钥模型,给出了模型对应的硬件整体结构及其系统工作流程,并介绍了安全钥关键功能模块的具体实现.USB安全钥集中了多种传统密码设备的功能,因而可以代替目前使用的部分密码设备应用于电子商务、电子政务等的安全解决方案中.