基于非平衡哈希树的平台完整性远程验证机制

为提高计算平台完整性度量的远程验证效率,提出一种基于非平衡哈希树的平台远程验证机制。平台可信实体的散列值以非平衡哈希树叶子节点的结构存储,远程验证时,查找度量实体对应的叶子节点,记录该叶子节点到根节点的验证路径,然后传递根节点和验证路径给验证方,最后根据验证路径重新计算根节点来验证度量值的有效性。实验结果表明,该机制能够有效降低散列值存储的空间和时间开销,完整性度量验证的时间复杂度为O(lb N)。     

动态Huffman树平台配置远程证明方案

为了进一步提高平台配置远程证明方案的效率,在基于Merkle哈希树的远程验证机制RAMT的基础上,改进了可信实体散列值的存储方案,提出了基于动态Huffman树的平台配置远程证明方案RADHT,给出了算法效率的理论证明过程。认真讨论了可信实体的散列值存储方案,详细描述了动态Huffman树平台配置远程证明方案的体系结构、度量及验证过程,给出了一个完整性度量算法示例,并讨论了新机制的隐私保护能力和验证效率。与RAMT方案相比,新机制考虑了可信实体的散列值被查询的概率及其概率的动态更新问题。结果表明,新机制改进了平台配置远程证明方案的效率。     

一种改进的组签名平台配置远程证明机制

针对远程证明效率低、隐私保护能力及可伸缩性差的问题,提出一种基于可动态调整的非平衡Merkle哈希树的平台配置远程证明机制。借鉴Merkle哈希树远程证明方案,考虑可信实体完整性度量值被请求的概率,综合利用组签名技术和动态Huffman树构造算法的优势,不仅能大幅减少可信实体度量日志的存储空间,屏蔽具体的可信实体的哈希值,而且缩短认证路径长度。给出具体的软件分发算法、完整性度量和验证算法,并从验证效率、隐私保护和可伸缩性3个方面分析算法的优势。分析结果表明,该机制可提高远程证明算法的效率、隐私保护能力及可伸缩性。     

一种基于局部性原理的远程验证机制

为了提高嵌入式平台配置远程证明方案的效率,在基于Merkle哈希树存储结构的基础上,结合程序的局部性原理,考虑平台下程序验证的时间特性,对存储程序模块完整性度量值的数据结构进行了改进,提出了一种基于局部性原理的远程验证机制。实验分析表明,新的机制可以减少构造存储度量日志的时间消耗,缩短应用程序实时认证路径的长度,提高平台配置远程证明的验证效率。     

基于哈希树的度量证据可信存储方案设计

计算平台的可信性由远程证明过程中提供的度量证据进行验证,验证程序根据计算平台在启动过程创建的度量证据建立信任。度量值扩展操作创建的度量证据和相关度量记录是线性的,查找效率较低。提出一种基于平衡二叉哈希树的构建度量证据的方法。计算平台上组件的度量值作为树叶,所有组件的度量值集合的度量值作为树根。在验证计算平台的过程中,使用哈希树的度量记录和根寄存器,在度量证据与标准值比较时显著提高错误组件查找的速度,从而提高效率。实验结果表明,平衡二叉哈希树模型在不增加空间复杂度的同时,查询时间开销显著减少。     

度量行为信息基的可信认证

为了提高远程认证的灵活性和效率,提出将Merkle哈希树应用到基于可信平台的行为动态验证中,给出创建认证度量行为信息基AM_AIB的过程。通过度量当前行为,计算得到行为发生时根哈希值,然后远程认证。根哈希值由可信平台模块(TPM)签名,传递给服务器端验证,如果和服务器端的根哈希值一致,表明该行为是可信的。可根据行为特性设计不同粒度的行为信息基。实验结果表明,该模型能提高时间性能,验证方式灵活,保护平台隐私,克服了基于属性验证的静态特点,确保了平台应用软件运行时可信。     

基于改进索引散列树的动态大数据审核方法

为了解决公共审核和数据动态性问题,以及降低计算成本,提出一种改进的索引散列树的数据审核方法。该方法在经典Merkle散列树MHT(Merkle Hash Tree)和BLS签名的基础上,提出一种改进的MHT。增加节点字段,修改MHT树的节点信息,使每个节点信息均包含存储数据块的哈希值和相对索引。通过时间戳字段与MHT的根节点相关联,以提供数据新鲜性。数据分析表明,该方法的不当操作检测概率较高,具有较好的安全性。与其他方法相比,该方法的计算成本较低,服务器和审核者的总体时间复杂度为O(n),验证了对MHT的改进行之有效。     

基于散列时间有效性的轻量级完整性监测方法

实时监测节点完整性状态是资源受限节点安全保护的有效手段。分析针对资源受限节点的主要篡改攻击模式及对散列时间带来的影响,提出基于散列时间有效性检验的纯软件完整性监测手段。基于对散列时间有效性可检验条件分析,提出采用验证值伪造惩罚系数描述散列模块抗篡改能力,设计一种融入程序状态的轻量级散列算法,通过简化算法结构与融入程序状态,增大验证值伪造难度,提高验证值伪造惩罚系数。设计支持消息认证的监测协议防止消息伪造,基于验证值比较与散列时间有效性统计,判定节点完整性状态。实验结果表明：该方案以微小的节点开销为代价,获得了更高的散列时间有效性检验可靠性,增强了对散列时间与消息传输时间波动干扰的容忍能力,提高了资源受限节点防篡改攻击性能。     

多源网络编码数据完整性验证方案

基于同态向量哈希函数和向量合并算法,提出一种能够抵御污染攻击的多源网络编码数据完整性验证方案。通过信源节点计算发送向量的哈希值,利用私钥对该哈希值进行签名,并将消息向量、哈希值以及哈希值的签名发送至中间节点。中间节点和信宿节点基于系统公钥,验证来自不同信源节点的线性编码消息的完整性。实验结果表明,当信源节点数大于200时,该方案的计算效率优于现有多源网络编码方案,更适用于大规模分布式网络数据的安全验证。     

一种高效的平台配置远程证明机制

对平台配置远程证明机制的验证效率进行研究,指出现有平台配置证明机制没有考虑应用软件完整性度量值的查询频率,致使所有待查询应用软件完整性度量值的查询路径长度相同,这大大加长了平均查询路径的长度。为此,提出一种平台配置远程证明机制。依据不同应用软件完整性度量值的查询概率分布,构建一棵应用软件完整性度量值的哈夫曼树,使得查询频繁的应用软件完整性度量值节点获得较短的查询路径。结果表明,该机制可缩短应用软件完整性度量值的平均查询路径长度,提高验证效率。     

云环境中基于相对索引散列树的数据审核方法

为了确保云环境外包数据不受窜改，提高数据完整性审核的效率，提出一种基于相对索引散列树(RI-MHT)的数据审核方法，首先修改经典MHT的每个节点以存储两条信息，即数据块的哈希值和节点的相对索引，将MHT与节点的相对索引集成，以降低数据块搜索的计算成本；然后通过添加数据的最后修改时间，确保数据的新鲜性。实验结果验证了所提方法的有效性，与其他同类方法相比，所提方法在计算成本、通信成本和存储成本方面具有一定优势，并以较高的概率检测服务器的不当操作。     

一种新型的Merkle哈希树云数据完整性审计方案

在云存储中,针对现有云数据完整性审计方案所采用的认证数据结构存在的缺陷,设计了一种二叉有序默克尔哈希树认证数据结构BO-MHT。在节点上存储数据块信息提高节点利用率;采用局部权威根节点缩短认证路径长度。通过在节点增设版本标识来维持节点信息的新鲜性;在数据持有性证明PDP模型下采用BO-MHT结构设计实现一种新型的云数据完整性审计方案。理论分析及实验结果表明,该方案较好地实现了完整性审计功能,能有效地降低计算及通信开销,并且具有较高的审计效率。     

一种基于MB 树的网络共享数据查询和检验方法*

网络数据共享机制将数据置于远程网络服务商处并通过外部访问接口进行共享,用户无需保存数据副本,网络服务商负责数据的安全保障,因此无副本情况下数据用户对网络服务商处存储数据的查询和安全效验至关重要。分析目前对远程存储数据查询和检验常用的Merkle散列树方法,就其对大规模数据进行检验时存在验证过程冗余、验证辅助数据量大等不足,提出一种基于MB 树的网络共享数据查询和检验方法,帮助数据用户确认位于网络服务商处数据的正确性和完整性。利用MB 树非叶结点包含多出度、叶结点直接映射数据等特性对数据文件进行抽象组织,避免Merkle散列树的结点数和深度随数据文件块的增多而呈现线性增长的问题,同时缩短检验过程中的查询认证路径,减少检验所需的辅助认证信息,有效地控制了时间和空间消耗。通过实验分析可知,相较于常用的方法（如Merkle散列树）,处理大规模数据时MB 树更易于构建,也能够更加快速地查询和检验数据文件。     

一种保护隐私的高效远程验证机制

基于Merkle哈希树提出了一种效率高、方式灵活并能保护平台隐私的远程验证机制.针对特定的目标应用场景,分析IMA(integrity measurement architecture)体系架构的不足,详细描述基于Merkle哈希树的远程验证机制的体系架构和度量验证过程,阐述新机制对现有TPM(trusted platform module)的功能增强即TPM_HashTree命令的功能及伪代码,并分析讨论新机制的优点.     

IaaS环境可信证明方法研究

提出一种基于时间戳的基础设施即服务(IaaS)动态可信证明方法。通过对云节点进行实时的动态度量,并将度量结果与度量时间绑定,验证云节点的当前运行状态可信。基于该方法,结合IaaS的服务业务流程,设计云节点注册证明、虚拟机启动证明及虚拟机关闭证明等远程证明方法,证明用户虚拟机运行于状态可信的云节点上,同时保证虚拟机数据的完整性和机密性。     

结合哈希网络和敏感散列的图像检索推荐研究

面对当今社会的各种海量图像数据,基于图像内容的检索方法对于检索结果的查全率和查准率较为差强人意,并且对于相似图像的检索也会花费较长的时间。为了提升检索效率和检索结果的准确性,提出一种结合深度哈希网络和局部敏感散列的检索推荐方法。首先建立深度哈希网络模型完成对于图像内容特征的提取,并利用球哈希编码优化计算得到汉明空间距离作为特征度量方式,根据度量结果使用局部敏感散列构建索引表提高检索效率;然后对于被检索目标图像进行特性提取,计算汉明空间距离完成特征度量和散列映射,最后可以在索引表中匹配到最相似的若干图像,作为检索到的推荐图像。以泳装版型图像进行实验测试,所构建的推荐模型可以较为快速地完成相似图像的检索,具有较高的准确率。实验结果表明,设计的检索推荐方法基本可以实现相似图像的高效检索。     

基于贡献值和信誉度的区块链共识机制

目前工作量证明（PoW）共识机制存在节点资源消耗过大和算力不平衡等问题,针对以上缺陷,提出了一种基于贡献值和信誉度证明（PoCaC）的区块链共识机制。首先,动态调整哈希计算的目标难度值,减少计算随机数的时间和电力;其次,引入贡献值、信誉度和奖惩机制,为每个节点赋予贡献值和信誉度,在规定时间内,计算出随机数的节点,均获得贡献值奖励,根据节点行为增加或者扣除信誉度;最后,考虑节点计算随机数时间,由贡献值、信誉度和计算时间三者计算权重得到最终值fValue,fValue最大的节点获得打包记账权。搭建了基于PoCaC共识机制区块链,节点的记账权次数的方差为5.67,与PoW相比,PoCaC的共识时间减少了90%,数据吞吐量提高了10倍。实验结果表明,PoCaC不但能够提升区块出块速度、减少算力浪费和平衡节点记账权竞争,而且提高了节点维护区块链系统的积极性,增强了节点对恶意行为的抵抗性,保障了系统安全性。     

传感器网络中一种基于单向哈希链的过滤方案

已有传感器网络中,过滤机制只能在转发过程中过滤虚假数据而无法过滤重复数据,且无法防范协同攻击.提出了一种基于单向哈希链的过滤方案HFS.在HFS中,节点在部署后将密钥和初始哈希值预分发给部分中间节点存储,每个数据包附带t个MAC和新鲜哈希值,转发节点同时对数据包中检测节点之间相对位置关系的合法性、MAC 和哈希值的正确性以及哈希值的新鲜性进行验证.理论分析及仿真实验结果表明,HFS 可同时过滤传感器网络中的虚假数据和重复数据,并能有效对抗协同攻击.     

基于哈希函数的正弦投影身份认证方案

正弦函数具有多个自变量对应于单个变量值的多映射特性,为此,在单向散列函数SHA-1的基础上,设计一种适用于无线传感器网络的轻量级身份认证方案。该方案将平台发送的随机数及自身密钥进行哈希变换,并组合成取值范围较广的正弦函数变量进行正弦投影,由此获得一组取值简单的映射值,完成身份认证要素的变换运算。在MICAz无线节点上进行实验,结果证明该方案在提高SHA-1安全性、抵抗传统攻击的基础上,具有存储小、能耗低的特点。     

基于分布式压缩感知和散列函数的数据融合隐私保护算法

针对群智感知网络数据融合传输过程中隐私泄露、信息不完整、数据窜改等安全问题,提出了一种基于分布式压缩感知和散列函数的数据融合隐私保护算法。首先,采用分布式压缩感知方法对感知数据进行稀疏观测,去除冗余数据;其次,利用单向散列函数求取感知数据观测值的散列值,将其和不受限的伪装数据一起填充到感知数据观测值中,达到隐藏真实感知数据的目的;最后,在汇聚节点提取伪装数据之后,再次获取感知数据的散列值并验证数据的完整性。仿真结果表明,该算法兼顾了数据的机密性和完整性保护,同时大大降低了通信开销,在实际应用中具有很强的适用性和可扩展性。