基于OpenPGP的安全邮件系统的研究与设计

研究了OpenPGP加密原理、加密密钥和密钥环、数据包、信任关系模型以及OpenPGP使用的几种主要算法,提出一种基于OpenPGP协议的客户端设计方法,保证了邮件安全.     

客户端密文去重方案的新设计

云存储可以使用户在不扩大自身存储的情况下保存更多数据,而客户端去重技术的引入使用户在本地对重复数据进行有效删除,极大提高云存储利用率,节省通信开销.本文利用文献[10]中基于盲签名随机化收敛密钥的思想,提出了一个新的基于客户端密文去重方案.新方案中重复验证标签和拥有权证明可有效抵抗暴力字典攻击,并利用三方密钥协商方案的思想设计了灵活的加密密钥管理方案.实验结果表明新方案能够有效降低用户存储和计算开销.     

高效联邦学习：范数加权聚合算法

在联邦学习中,跨客户端的非独立同分布(non-IID)数据导致全局模型收敛较慢,通信成本显著增加。现有方法通过收集客户端的标签分布信息来确定本地模型的聚合权重,以加快收敛速度,但这可能会泄露客户端的隐私。为了在不泄露客户端隐私的前提下解决non-IID数据导致的收敛速度降低的问题,提出FedNA聚合算法。该算法通过两种方法来实现这一目标。第一,FedNA根据本地模型类权重更新的L₁范数来分配聚合权重,以保留本地模型的贡献。第二,FedNA将客户端的缺失类对应的类权重更新置为0,以缓解缺失类对聚合的影响。在两个数据集上模拟了四种不同的数据分布进行实验。结果表明,与FedAvg相比,FedNA算法达到稳定状态所需的迭代次数最多可减少890次,降低44.5%的通信开销。FedNA在保护客户端隐私的同时加速了全局模型的收敛速度,降低了通信成本,可用于需要保护用户隐私且对通信效率敏感的场景。     

Skype会话建立过程分析与话路检测

Skype是一个基于P2P应用的网络电话软件.它使用了专用的通信协议,对用户之间、用户和服务器之间的通信数据进行全程加密,并且其客户端采用随机端口传送数据.因此传统的基于端口和基于内容的检测方法不能有效地检测出Skype网络数据.对Skype的通信连接机制进行了深入分析.在此基础上,提出了一个对Skype会话连接进行检测的算法.该算法综合利用了Skype的端口使用情况、数据包大小以及数据包的有效载荷特性.     

基于机器指纹的移动数字版权管理模型的研究

本文提出了一种基于机器指纹的移动数字版权管理模型，此模型采用一种新的许可证密钥产生、分配和认证方法，使内容许可证跟用户的机器指纹和用户的个人信息绑定。数字内容采取自主设计的安全性达到一定要求的对称密钥算法加密。用户只能在本地移动设备上按照内容许可证的要求进行解密度可控使用数字内容，从而在整个数字内容生命周期实行版权保护。     

基于版权保护的数字内容安全交易系统的设计与实现

现在网上传播的数字内容存在着大量的盗版和侵权问题,对数字内容的网上交易进行版权保护,成为一个迫切需要解决的问题.系统采用了一种新的许可证密钥产生、分配和认证的方法,使内容许可证跟用户的机器指纹和用户的个人信息绑定.数字内容采取高强度的对称密钥算法加密,只能在本地机器按照内容许可证的要求进行解密及可控使用,从而在整个数字内容生命周期实行版权保护,消除了一般版权保护系统的缺点.     

数据库加密与验证机制的研究

以关系数据库为数据模型,在分析数种已有的数据加密技术基础上,研究数据库数据以密文方式存储并建立相应的数据库验证机制,立足于解决数据库中最为关键的数据库验证机制等方面的理论、方法和技术问题;提出基于连接的子密钥生成算法以及基于用户信息的密钥管理技术和字段的记录验证技术,保证数据库的安全;有效地管理生成子密钥的字段加密技术所需的密钥,适应于客户端或服务器的加解密,适应于字段验证技术的灵活性和记录验证技术的安全性。     

数据库加密与验证机制的研究

以关系数据库为数据模型,在分析数种已有的数据加密技术基础上,研究数据库数据以密文方式存储并建立相应的数据库验证机制,立足于解决数据库中最为关键的数据库验证机制等方面的理论、方法和技术问题;提出基于连接的子密钥生成算法以及基于用户信息的密钥管理技术和字段的记录验证技术,保证数据库的安全;有效地管理生成子密钥的字段加密技术所需的密钥,适应于客户端或服务器的加解密,适应于字段验证技术的灵活性和记录验证技术的安全性.     

基于Shamir算法的多QKD网络密钥共享策略

量子通信是近年来发展的新型交叉学科,是量子论和信息安全论相结合的新研究领域。量子密钥分发(Quantum Key Distribution,QKD)是最先实用化的量子通信技术,其需求主要包括小型化、低成本、应用场景等。当前应用主要局限于传输距离有限,需要专用基础设施。针对目前存在的问题,基于Shamir密钥共享算法设计了一种密钥共享策略,使处于不同QKD网络内的用户可直接通过量子密钥进行加密通信。     

加密代理服务器通信行为安全性研究

随着网络信息全球化的发展,代理服务器成为人们获取网络信息的选择途径之一,然而其通信安全性也受到越来越多人们的关注.本文利用网络抓包工具和反汇编逆向分析技术,对代理软件客户端与服务器的通信行为进行了安全性分析研究,详细分析了代理软件的密钥协商过程和通信数据包格式.     

可搜索加密机制研究与进展

随着云计算的迅速发展,用户开始将数据迁移到云端服务器,以此避免繁琐的本地数据管理并获得更加便捷的服务.为了保证数据安全和用户隐私,数据一般是以密文存储在云端服务器中,但是用户将会遇到如何在密文上进行查找的难题.可搜索加密（searchable encryption,简称SE）是近年来发展的一种支持用户在密文上进行关键字查找的密码学原语,它能够为用户节省大量的网络和计算开销,并充分利用云端服务器庞大的计算资源进行密文上的关键字查找.介绍了SE机制的研究背景和目前的研究进展,对比阐述了基于对称密码学和基于公钥密码学而构造的SE机制的不同特点,分析了SE机制在支持单词搜索、连接关键字搜索和复杂逻辑结构搜索语句的研究进展.最后阐述了其所适用的典型应用场景,并讨论了SE机制未来可能的发展趋势.     

基于大数据分析的用户信息多重加密存储技术

在大数据的分析中,当前方法对信息进行加密存储时,主要以线性微分求解对混合加密存储方法进行优化。在对密钥进行扩展的过程中,信息链路加密存储的信息出现非线性的突变,造成加密存储的信息安全性较低。鉴于此,提出一种基于超带宽的用户信息多重加密存储方法。利用混沌映射给用户信息增加反破解的保护外壳,以 达到大数据分析下用户信息多重加密的目的,克服了当前方法存在的弊端,降低了加密信息存储产生的非线性突变。利用超带宽多重加密存储技术对用户信息进行多重加密存储,有效地增强了加密存储信息的抗攻击性,提高了用户信息多重加密存储的安全性,完成了对基于大数据分析的用户信息多重加密存储技术的研究。实验结果表明,利用该方法进行信息的多重加密存储提高了信息的安全性。     

Key Derivation Policy for data security and data integrity in cloud computing

Cloud computing is currently emerging as a promising next-generation architecture in the Information Technology (IT) industry and education sector. The encoding process of state information from the data and protection are governed by the organizational access control policies. An encryption technique protects the data confidentiality from the unauthorized access leads to the development of fine-grained access control policies with user attributes. The Attribute-Based Encryption (ABE) verifies the intersection of attributes to the multiple sets. The handling of adding or revoking the users is difficult with respect to changes in policies. The inclusion of multiple encrypted copies for the same key raised the computational cost. This paper proposes an efficient Key Derivation Policy (KDP) for improvement of data security and integrity in the cloud and overcomes the problems in traditional methods. The local key generation process in proposed method includes the data attributes. The secret key is generated from the combination of local keys with the user attribute by a hash function. The original text is recovered from the ciphertext by the decryption process. The key sharing between data owner and user validates the data integrity referred MAC verification process. The proposed efficient KDP with MAC verification analyze the security issues and compared with the Cipher Text–Attribute-Based Encryption (CP-ABE) schemes on the performance parameters of encryption time, computational overhead and the average lifetime of key generation. The major advantage of proposed approach is the updating of public information and easy handling of adding/revoking of users in the cloud.     

用户可自定义的低调整率保序加密算法

不可信云计算环境下存储数据的隐私保护问题已逐渐引起人们的关注,目前保护数据隐私安全的方法之一是采用加密技术将数据加密后再存储到数据库,但必须要解决对密文的运算、检索等问题。提出一种可变保序编码方案gmOPE,基于广义平衡二叉搜索树（AVL-N）进行保序编码,允许用户自定义加密算法与调整策略,保证加密的信息保留明文的顺序关系,使用户能直接对数据库中密文进行高效的顺序相关查询。gmOPE支持任意数据类型的保序加密,运用新型重平衡调整策略,提高数据库增减操作的效率。实验结果表明,gmOPE方法有效地降低了用户与数据库交互和编码变更带来的额外开销,提高了密文数据库的运行效率。     

一种基于ECC签密的消息交换方案

提出一种基于ECC签密的消息交换方案.方案中对交换的消息进行数字签名和加密处理,其认证和保密的基础都是建立在ECC之上,利用有限域上椭圆曲线的点群中的离散对数问题难解性来增强方案的安全性.通信的各方产生自己的私钥和公钥对,用户的证书由CA(Certification Authority)签发后交给用户保存,交换的消息和其签名等信息采用压缩加密传输,避免了消息在传输的过程中被第三者窃取或篡改,保证了数据的机密性、完整性和不可否认性.     

Public-key encryption with bidirectional keyword search and its application to encrypted emails

A traditional Public-key Encryption scheme with Keyword Search (PEKS) allows multiple senders to encrypt keywords under the public key of a receiver such that the receiver can search on these encrypted keywords using his/her searching secret key. In encrypted email systems, an email user not only needs to search on encrypted emails received from other users, but also needs to search on encrypted emails sent to other users. Motivated by this, the paper proposes a cryptographic method to allow these two types of user (i.e., senders and receivers) to search on encrypted keywords, which is called Public-key Encryption with Bidirectional Keyword Search (PEBKS). We give formal definitions of a PEBKS scheme and its indistinguishable security model to capture the scenario that no adversary can efficiently distinguish two ciphertexts of keywords from each other, even if the adversary can adaptively obtain search trapdoors of many keywords. Specifically, we propose a concrete PEBKS scheme, whose security relies on a standard hard problem, i.e., bilinear Diffie–Hellman problem, in the random oracle model. Finally, we simulate the proposed PEBKS scheme to assess its practicability and convinces that its feasibility to be applied to encrypted email systems.     

应用于数据库安全保护的加解密引擎系统

针对系统业务数据安全存储问题,采用加解密引擎服务对应用端发送数据进行加密,根据用户ID来识别不同用户的传输命令,利用用户私有的KEY进行加密存储。该方案在云计算平台下具有保护用户数据存储安全、隔离数据的功能。当应用端用户查询已加密数据时,加解密引擎服务端根据用户ID读取缓存区用户密钥,解密数据返回给应用端明文数据。当加解密系统和第三方应用进行集成时,加解密引擎将载人用户定义的加密算法、加密矢量等信息,按照用户自身的密钥加密敏感数据,可保证用户敏感数据存储安全并隔离不同用户的业务数据。以某市人口库系统集成为例,验证了方案的可行性。     

基于二叉树存储的多用户ORAM方案

随着大数据及数据挖掘技术的发展,云计算环境中用户访问模式成为泄露用户隐私的一种途径.不经意随机存取技术(ORAM)是保护用户访问模式的一种有效途径.现有的ORAM方案中,大部分只支持单个用户,而唯一支持多用户的ORAM方案是基于分层ORAM方案设计的,但是其混淆过程的计算复杂度高.为了避免混淆过程,在基于二叉树ORAM方案的基础上,构造了一个多用户的ORAM方案.首先,改进了一个代理加密方案,然后在多个用户和服务器之间引入一个代理,利用改进的代理加密机制,将不同用户加密的数据,通过代理再次加密成相同密钥加密的数据存储到服务器.该方案的安全性基于伪随机函数的不可区分性,其最差情况下的计算复杂度和平均计算复杂度均为O(log2n),比现有的多用户ORAM方案的效率高.     

基于CP-ABE和XACML多权限安全云存储访问控制方案

为了保护云存储系统中用户数据的机密性和用户隐私,提出了一种基于属性加密结合XACML框架的多权限安全云存储访问控制方案。通过CP-ABE加密来保证用户数据的机密性,通过XACML框架实现基于属性细粒度访问控制。云存储系统中的用户数据通过对称加密机制进行加密,对称密钥采用CP-ABE加密。仿真实验表明,该方案是高效灵活并且安全的。安全性分析表明,该方案能够抵抗共谋攻击,具有数据机密性以及后向前向保密性。     

基于离线密钥分发的加密数据重复删除方法

重复数据删除技术受到工业界和学术界的广泛关注.研究者致力于将云服务器中的冗余数据安全的删除,明文数据的重复删除方法较为简单.而用户为了保护隐私,会使用各自的密钥将数据加密后上传至云服务器,形成不同的加密数据.在保证安全性的前提下,加密数据的重复删除较难实现.目前已有的方案较多依赖在线的可信第三方.提出一种基于离线密钥分发的加密数据重复删除方案,通过构造双线性映射,在不泄露数据隐私的前提下,验证加密数据是否源自同一明文.利用广播加密技术实现加密密钥的安全存储与传递.任意数据的初始上传者能够借助云服务器,以离线方式验证后继上传者的合法性并传递数据加密密钥.无需可信第三方在线参与,实现云服务器对加密数据的重复删除.分析并证明了方案的安全性.仿真实验验证了方案的可行性与高效性.