可计算密文加密体制研究

可计算密文加密体制是指对密文可以进行的一系列指定函数运算的加密体制,与传统加密体制最大的不同是加密后的密文不再是“混乱”的,而是具有某些隐含关系,其可成为某些特定函数的有效输入并且经过函数计算后可成为用户的有效信息。由于可直接对密文进行操作,可计算密文加密体制在保证信息机密性的前提下大大提高了信息的可用性效率,已经成为现代公钥密码学研究的热点方向。文章对谓词加密、全同态加密、函数加密3类可计算密文加密技术做了具体概述,介绍了各类可计算密文加密体制的关系,分析了可计算密文加密体制的计算隐私与应用要求,为以后研究可计算密文加密技术提供了指导。     

混合加密型勒索软件密文还原方法研究

以混合加密型勒索软件为研究对象,将设置诱饵文件和文件操作监控方法相结合,获取勒索软件文件加密过程中采用的加密密钥、加密算法、密文起始字段和密文长度等相关信息,并提出了被加密文件的还原方法。针对8个流行的勒索软件家族进行密文还原测试,测试结果表明了提出的还原方法的有效性。该密文还原方法适用于混合加密勒索软件密文还原,是现行勒索软件防御策略的有效补充。     

基于明文长度的椭圆曲线密码密文构建方法

针对存储椭圆曲线密码加密生成的密文与明文相比需要的存储空间较多的问题,提出了一种基于明文长度的构建椭圆曲线密码密文的方法。首先,该方法通过分析椭圆曲线密码加密运算流程,推导出明文椭圆曲线点的数量决定存储密文椭圆曲线点需要的存储空间。其次,该方法融合明文分割和明文组合的加密模式,建立了信息加密模型;在建立的模型中针对明文分割和明文组合信息加密模式,设计出能够生成最小数量明文椭圆曲线点的明文分割算法和明文组合算法。最后,该方法计算出存储密文椭圆曲线点需要的存储空间,并通过分析决定存储空间需求的影响因素,给出减少生成密文椭圆曲线点数量的解决途径。分析和示例计算表明,与加密单个字符方式相比,应用基于明文分割信息加密模式,存储密文椭圆曲线点占用的存储空间减少了88.2%;应用基于明文组合信息加密模式,存储密文椭圆曲线点占用的存储空间减少了90.2%。研究结果表明,提出的加密方法能够有效地减少生成密文椭圆曲线点的数量,降低存储密文椭圆曲线点对硬件存储空间的需求。     

可抵御唯密文攻击的基于格的公钥加密

针对最新提出的对Cai-Cusick公钥加密方案的唯密文攻击进行研究, 提出了一个可抵御该攻击的新的公钥加密方案。通过对原始加密方案中某些参数的修改, 改变了公钥中向量长度, 从而实现对原始方案攻击的有效抵御, 并且通过程序模拟出新的加密方案。从数据分析可得, 随着实验次数的增加, 该方案抵御唯密文攻击的成功概率近似为百分之百。这说明了新的加密方案能有效抵御最新提出的唯密文攻击, 且由于该方案延续了原始加密方案的加密步骤, 其也具备了更少密文扩展的特性。今后将进一步研究语义安全的可抵御唯密文攻击的有效加密方案。     

一个安全可追踪的策略隐藏属性基加密方案

传统的属性基加密方案中存在着访问策略所包含的属性会泄露用户的敏感信息、恶意用户泄露私钥获取非法利益而不会被追责的问题,同时私钥长度、密文长度和解密运算量均会随属性数量增加而带来较大的通信开销和计算开销。对现有多种隐藏策略的属性基加密方案和可追踪的属性基加密方案分别进行深入研究,采用多属性值的方法,并引入一个安全的签名机制,提出了一个用户私钥长度、密文长度和解密运算量均固定的支持可追踪和隐藏策略的密文属性基加密方案,即STH-CP-ABE方案。并基于DBDH(Decisional Bilinear Diffie-Hellman)假设,在标准模型下证明了方案的安全性。     

敏感信息的密码学保护方法

本文介绍了一种可以应用于敏感信息保护的密码学方法--保留格式加密。保留格式加密是一种全新的密码学技术,将一种特定格式的明文加密成相同格式的密文,因此密文的类型和长度与明文相同,不需要改动数据在数据库中的存储结构,降低数据库应用系统改造的成本,可以成为敏感信息保护的有效方法,具有较广的应用前景。     

Hadoop环境中基于属性和定长密文的访问控制方法

随着云计算技术的广泛应用,人们越来越关注安全和隐私问题。由于云端是第三方服务器,并非完全可信,数据属主需要将数据加密后再托管云存储。如何实现对加密数据的高效访问控制是云计算技术亟需解决的问题。结合Hadoop云平台、基于属性与固定密文长度的加密方案提出并实现了一种在Hadoop云环境下基于属性和固定密文长度的层次化访问控制模型。该模型不仅具有固定密文长度、层次化授权结构、减少双线性对计算量的特点;同时经过实验验证,该模型能够实现云计算环境下对加密数据的高效访问控制,并解决了云存储空间有限的问题。     

一种新的基于身份的匿名加密

针对目前基于身份的加密方案大都不是匿名的,结合合数阶双线性群的性质,同时基于双线性DH假设构造了一个新的基于身份的匿名加密方案。结果表明,方案的安全性不依赖于随机预言机,密文和私钥均为固定长度。最重要的一点是方案实现了匿名性,由于密文不能得到接收者的任何身份信息,从而保护了接收者的隐私。最后分析了方案的效率,并和类似方案进行了对比。     

完全安全且固定密文长度的分层内积加密方案

分层内积加密方案为内积加密体制提供了私钥分发功能,可有效降低系统根节点的任务量。针对现有分层内积加密方案密文长度过长的问题,首先提出一个完全安全且固定密文长度的内积加密方案,并以该方案为基础,构造了一个新的分层内积加密方案,利用对偶系统加密的新技术,在标准模型下证明了该分层内积加密方案是完全安全的。新方案密文长度达到了固定值,并且解密时只需要7个双线性对运算。与现有方案比,新方案计算效率高,且易于实现,占用通信带宽低,具有一定的优势。     

固定密文长度的基于身份的单向多跳代理重加密方案

针对基于身份的单向多跳代理重加密方案中密文长度随跳数增加而增大导致效率降低的问题,基于一种新的代理重加密思想,通过改变重加密密钥的生成方,由发送者生成重加密密钥,设计了一种基于身份的单向多跳代理重加密方案,该方案中第一层密文与第二层密文形式相同,重加密后密文长度没有增加。效率分析表明,该方案减少了运算量较大的指数运算、数乘运算和双线性对运算的数量。在随机预言机模型下,基于判定性双线性Diffie-Hellman（DBDH）假设,证明了方案是选择密文攻击安全的。     

异构数据库加解密系统的关键技术研究与实现

对数据进行加密是保护信息机密性的一种有效途径,针对一般加解密系统的异构数据库兼容性差以及密文查询方式单一的问题,提出了一种新的数据库加密方式：以领域元数据为支撑,采用对象关系映射模型屏蔽异构数据库,通过构建密文索引来实现灵活多样的密文查询;设计并实现了异构数据库加解密系统。实验结果和理论分析表明：系统能够支持多种类型数据库的加解密,提供多种方式的密文查询,并提高了数据库加密的安全性。     

基于最佳桶划分策略的密文索引技术

在过去的几十年中,人们一直为寻求适用于数据库系统且安全高效的数据加密方法而努力,取得了一些研究成果,但到目前为止仍然没有解决加密后秘密查询命中率低、后处理代价大和密文索引安全性差的问题.本文将视图安全的判定条件k-匿名引入到了对密文索引列安全性的判定中,并针对由于构建密文索引而造成的信息泄露问题,提出了通过构造哈希函数和对多敏感属性统一进行桶划分并建立密文索引两种解决方案.最后提出了一种最佳桶划分策略,在桶划分子区间数目根据安全要求被限定的情况下,利用该桶划分算法建立密文索引可获得最优的查询命中率,从而平衡了密文索引的安全性和查询效率的问题.     

基于单密钥的特定源多播安全机制

由于多播网络体系结构中多播数据发送不是点对点的方式,因此传统的端到端的安全不适合多播网络体系结构.在多播数据发送前,多播数据的接收者只要公布自己的公/私钥对中的公钥以及在发送加入组成员消息时告诉多播数据的发送者它的一个密钥,而无须知道多播源发送数据的加密密钥;多播数据发送者在每一次发送多播数据时,随机地选出一个密钥对发送的信息进行加密,但该密钥不是直接告诉多播数据接收者;接收者在进行解密数据时,首先必须利用自己的私钥以及发送给多播数据发送者的密钥求得加密数据的密钥,然后才能进行原文解密.     

基于AES和模运算的密文索引方案

为密文添加安全索引是解决密文外包后检索困难问题的一种有效方法。针对安全密文索引建立问题,基于AES加密和模运算,提出了一种循环分区索引方案。该方案的索引由客户端对属性值进行AES加密和模运算得到,具有部分保序的性质。在有效支持范围查询的同时,该方案明显降低了等值查询时客户端的无效解密负载,且满足基本隐私保护需求。方案存储开销和安全性分析结果表明,其存储量在合理范围内。     

SunOS下基于一次性口令和封装保护的网络安全设计与实现

多数网络守护神的实现很少考虑全球性访问的卷入问题,在某些情形下,这样的访问可允许灵敏信息的全球发布,如加密口令。在其它情形下,运行在网络任何地方的进程都会引起局部变化。针对可能出现的这些问题,在SumOS环境下,在防火墙上实施一次性口令认证以及封装保护措施,主些措施实现起来比较容易,而且可增强网络的安全性。     

基于错检期望值的密文索引技术

如何提高密文数据库的查询效率是数据库加密技术面临的一个主要问题.密文索引技术是提高数据库中密文查询效率的手段之一,但现有的密文索引方法存在查询命中率低和信息泄露衡量问题.本文首先根据查询概率的实际分布情况,提出整体错检期望值的概念,以此为基础提出一种适用于非等概率查询的复合桶划分密文索引技术,并给出了相应的密文查询策略.然后,针对密文索引的信息泄露问题给出衡量和消减方法.最后,通过实验对算法进行了分析和验证.     

高效椭圆曲线密码芯片的VLSI设计

根据素数域上椭圆曲线的点乘，提出了一种椭圆曲线密码芯片VLSI新结构和控制算法。针对其中的核心运算模乘，结合Montgomery算法，提出了一种改进的模乘器结构，有效降低了芯片的面积，提高了模乘的运算速度。该芯片具有面积小、速度快的优点，适合用于时钟频率低和存储空间受限的智能卡中。     

基于手写签名认证的安全机制

该文阐述了现存密码技术中的一些缺陷,并提出一种手写签名认证与密码技术相结合的改进方法,该方法使得网络用户无须保存其密钥也可以安全地与其他用户进行通信。同时提出了手写签名的快速认证方法,该方法采用了包括笔迹起点、终点信息、笔迹方向信息及笔划数等信息在内的匹配函数,在签名对准过程中,根据曲折点的曲率、方向确定旋转、平移变换,大大减少了对准时间。     

Information flow control on encrypted data for service composition among multiple clouds

Homomorphic encryption allows the direct operations on encrypted data, which provides a promising way to protect outsourcing data in clouds. However, it can not guarantee the end-to-end data security if different cloud services are composed together. Especially for the operations on encrypted data, it may violate the standard noninterference, which can not be solved by traditional information flow control approaches. In order to analyze the information flow with encrypted data, we define a new type of flow called the encryption flow to describe the dependence relationship among different encrypted data objects across multiple services. Based on the new definition on encrypted flow, we propose the secure information flow verification theorem and specify the improved security constraints on each service component. Then a distributed information flow control framework and algorithm are designed for verification on regular and encrypted flow across multiple clouds. Through the experiments, we can obtain that our approach is more appropriate for the verification across multiple clouds and provides a more effective way compared with centralized verification approaches.     

基于RSA的广播加密新方案

根据RSA加密系统和小公钥的动态放大技术,提出了一种面向不同组的用户的广播加密新方案。在新方案中,每个用户都采用相同的小公钥,利用它可同时对不同组的接收者进行广播加密传送消息。加密阶段发送者根据接收用户数计算安全的放大因子,然后引入随机整数,将明文消息加密生成广播传送的密文。这样不仅提高了RSA的加密速度,而且可同时抵御低指数攻击和重发攻击,并实现对不同组的接收者进行广播加密传送消息。