基于纠错码的AW数字签名方案的分析

1993年Alabbadi和Wicker对基于纠错码的Xinmei数字签名方案提出了一种改进方案, 通常称为AW方案. 证明了该方案存在严重的安全问题: 任何人仅利用签名用户的公钥就可以构造等价的签名私钥, 从而成功地实现伪造签名. 同时指出, 基于大矩阵分解的困难性很难构造出安全性较高的数字签名方案.     

基于双线性对的新型门限代理签名方案

基于GDH签名(短签名方案), 首先提出了一类新型概率签名方案, 并证明了它的安全性. 而后用所提出的概率签名方案构造了基于双线性对的新型门限代理签名方案. 还应用了Gap Diffe-Hellman (GDH)群的基本性质(在GDH群中计算Diffe-Hellman问题困难, 但决策Diffe-Hellman问题容易). 文中的构造思想主要基于Bonel等最近提出的GDH签名方案. 其中的双线性对一般可以用Weil配对或Tate配对来实现. 提出的方案具有实现简单但安全性高的特点. 迄今为止, 这个方案也是第一类用双线性对来构造的门限代理签名方案. 最后给出了新型门限代理签名方案的安全性分析和它的执行效率.     

通用可组合的一次签名和广播认证

本文在通用可组合框架（universally composable framework,UC）下研究了基于一次签名的广播认证的问题.基于一次签名的广播认证的计算效率高,并能够实现即时认证,可以适用于能量受限的网络环境下广播消息的认证.在UC框架下,提出了基于一次签名的广播认证安全模型.在模型中形式化定义了一次签名理想函数F_OTS和广播认证理想函数F_BAUTH.并且设计了广播通信的理想函数F_BCOM和多值注册理想函数F_mREG.然后,在(F_OTS,F_mREG,F_BCOM)-混合模型下设计了安全实现理想函数F_BAUTH的广播认证方案π_BAUTH.同时,在UC框架下设计了安全实现F_OTS的一次签名算法HORS+;基于单向链构造了在F_REG-混合模型下安全实现F_mREG的协议OWC.在π_BAUTH的基础上组合协议HORS+和OWC,可以构造出新的一次签名的广播认证协议.根据组合定理,新的广播认证协议具有通用可组合的安全性,适用于能量受限网络中广播消息的认证.     

基于可编程hash函数的短签名

数字签名中的短签名由于其签名长度的优势，特别适用于通信带宽受限的场合．现有的短签名方案大多是随机预言模型下可证明安全的，但是随机预言模型通常被认为过于理想化，现实中没有一种hash函数能够模拟随机预言模型，而少数标准模型下可证安全的短签名方案，一般被认为是低效的或者基于强困难假设，即攻击者被给于一定数量的随机的已解决问题实例，要求去解决一个它自己选择的实例．可编程hash函数fprogrammablehashflmctions，PHF）是一种能模拟随机预言的某些可编程特性的特殊hash函数．可编程hash函数可嵌入到签名的基本构造中，产生标准模型下的短签名．本文利用可编程hash函数设计了一个基于因子分解假设的短签名方案．它具有的优点是：1）签名长度短，只需要一个群上的元素和一个小整数；2）签名和验证计算量小，不需要在签名过程中进行生成素数的运算；3）不需要嵌入变色龙hash函数便可实现标准模型下可证明安全．     

多方公平交换协议的形式化分析和设计

通过分析协议中消息项的起源和交易方之间的信道组成、事件及事件间的各种关系, 提出了一个简洁、紧凑、精确的一般公平交换协议层次化模型, 规范了能够更严格地反映公平交换协议内在要求的多种安全需求, 并对它们进行了细粒度的分解. 基于这一工作, 可高效细致地对多方公平交换协议进行分析、检测和设计.     

辫群上的共轭链接问题及基于辫群的数字签名方案的新设计

量子计算的发展给经典公钥密码系统的安全性构成了严重威胁,因此探索新的公钥密码平台、设计新的可抵抗量子攻击的密码方案成为信息安全理论的前沿课题.辫群密码系统是具有抵抗量子攻击潜力的密码系统之一.本文分析了基于辫群的密码学的研究现状,提出了辫群上的新密码学难题——共轭链接问题.基于此问题,本文构造了一种新的基于辫群的数字签名方案.该方案不仅高效,而且在随机预言模型下具有可证明安全性.本文亦将基于辫群的签名方案与基于RSA的签名方案做了对比.结果表明:基于辫群的签名方案的签名效率要远远高于基于RSA的方案,但是签名的验证过程较慢,因此适合于那些签名需要迅速完成而验证可以相对延迟的应用场景(如离线电子货币系统).此外,基于辫群的密码系统的密钥长度较大——私钥约2K比特位,公钥约12K比特位.相对于模指数等运算而言,辫群运算非常简单,因此可以考虑在那些计算能力相对较低而存储空间不太紧的设备上使用.最后,本文也从隐藏子群问题的角度对辫群密码系统抵抗现有量子攻击的能力进行了讨论.     

对Fu-Wang代理签名方案的进一步改进

代理签名可以让原始签名者把他的签名权委托给代理签名者,然后代理签名者就可以代表原始签名者对消息签名.本文重新给出了代理签名的形式化定义,并定义了新的代理签名的安全模型.然后本文指出Fu-Wang的代理签名方案存在原始签名者、代理签名者和第三方攻击者的伪造攻击,进而本文使用在散列函数中绑定公钥的方法和在标准签名、代理授权和代理签名生成时在消息前附加不同的特殊数字串的方法,给出了Fu-Wang方案的进一步改进,并在新的安全模型下给出了改进方案的安全性证明,对改进方案的效率也进行了分析.结果表明,改进方案是安全的和高效的.     

对适用于移动通信的代理签名方案的安全性分析

在代理签名方案中,允许一个原始签名者把他的签名权利委托给一个称为代理签名者的人,然后代理签名者就可以代表原始签名者进行签名.Lu等(Science in China Series F-Information Sciences,2008,51(2):183-195)提出了两个适用于移动通信的代理签名方案.尽管他们证明其方案在随机预言模型下是安全的,本文显示他们的方案是不安全的.     

UC安全的并行可否认认证新方法

可否认认证协议允许认证者向接收者认证某个消息，但是接收者不能向第三方证明该认证消息的来源．在考虑开放的异步多方通信网络环境和自适应的主动攻击者能力的情形下，基于UC（universally composable）安全模型提出了解决并行可否认认证问题的新方法．根据可否认认证协议的安全目标，定义了形式化的并行可否认认证理想函数FCDA，然后，利用可验证平滑投影散列函数构造了一个具体的协议方案，在公共参考串模型中，新的协议方案是可证明UC安全的，即新方法能够保证可否认认证协议的不同实例在并行复合情形下是安全的，当与其他协议同时运行时具有非延展性．为了实现可否认认证的前向可否认性，新方法基于陷门承诺构造了新的投影密钥函数和可验证平滑投影散列函数，基于证人不可区分，协议的安全性可以归约为确定性复合剩余假设，改善了协议的计算效率和通信效率．     

量子安全线路评估

鉴于经典安全线路评估存在的问题, 提出了一个量子解决方案. 在该方案中, 冗余纠缠态粒子插入法和量子签名协议被用来保证协议的安全性. 理论分析证明, 该协议对于经典攻击和量子攻击均具有很高的安全性.     

基于身份密码系统下Canetti-Krawczyk模型的安全扩展

Canetti-Krawczyk(CK)模型是分析密钥交换协议的一种形式化方法, 如果一个密钥交换协议用该模型证明是安全的, 则CK模型能够确保该协议具备许多安全属性. 但是我们发现在基于身份的密码系统下该模型不具有确保密钥生成中心(KGC)前向保密性的能力, 而对基于身份的密钥协商协议来说KGC前向保密性是一个重要的安全属性. 通过分析研究发现引起该缺陷的主要原因是CK模型没有充分考虑在基于身份的密码系统下攻击者的能力, 所以在该系统下通过对CK模型增添一个新的攻击能力: 攻陷KGC, 来对该模型进行了相应的扩展, 通过扩展该模型具有确保KGC前向保密性的能力.     

基于身份的跨域直接匿名认证机制

针对现有DAA方案存在计算开销大和无法满足跨域匿名认证需求的不足,本文提出基于身份的直接匿名认证机制,采用代理签名和直接匿名证明技术实现移动互联网下可信移动平台(TMP)的跨域匿名认证;验证者基于签名的合法性完成对TMP平台的真实性鉴别,并在认证过程中协商了会话密钥,增强了跨域证明系统的安全性;同时基于CK模型的安全性证明表明本文机制是可证安全的.分析显示,本文机制具有匿名性、无关联性和高性能等性质的同时,能够抵抗平台的伪装攻击、替换攻击和重放攻击等敌手攻击行为,其性能更适用于移动互联网等无线网络环境.     

通用可组合的可信网络连接模型和IF-T中的EAP-TNC协议

在UC框架下,研究了可信网络连接（TNC）协议.首先,设计了TNC理想函数F_TNC,EAP认证理想函数F_EAP以及EAP-TNC理想函数F_E-PA,构造了通用可组合的可信网络连接安全模型.其次,在(F_EAP,F_E-PA)-混合模型下提出了通用可组合安全的TNC协议TK-TNC.然后,通过安全性分析,得出D-H PN协议不能实现理想函数F_E-PA.最后,使用Twin DH交换技术设计了TD-H PN协议.通过证明分析,结果表明TK-TNC在(F_EAP,F_E-PA)-混合模型下安全实现F_TNC;基于CDH假设,TD-H PN可以在(F_REG,F_CERT)-混合模型下安全实现F_E-PA.     

极小特权数组上的理想多秘密共享方案

如何构造针对一般存取结构的理想的多秘密共享方案是一个比较困难的问题.本文首先解决了Spiez等最近提出的一个公开问题[Finite Fields and Their Application,2011,17:329–342],即在特权数组存在的前提下,设计求得任意长度的特权数组的算法.进一步,我们利用特权数组理论,以Pang等和Yang等的方案为例,分析了大多现有的基于Shamir门限体制的多秘密共享方案均不是完善的.最后,基于特权数组的算法,本文提出了一个多秘密共享方案,我们证明了该方案是理想的,并且方案的存取结构中的授权集比门限方案的更加丰富.     

DL假设下一种更高效的第三方权力受约束的IBE方案

鉴于基于身份加密方案(IBE方案)存在密钥托管问题,2007年Goyal创造性的提出了一种新的方法,即第三方权力受约束的基于身份加密方案(A-IBE方案),使得在一定程度上降低了用户对私钥生成方的信任需求.在Goyal的基础上,文中研究并提出了一种新的通用A-IBE方案.通过分析新方案的安全性证明可以看出:和Goyal的方案相比,新方案的安全性证明在一个更强的安全性定义(适应性选择挑战身份信息)下,基于一个更弱的难题(离散对数问题)实现了更"紧"的安全性规约.因此,相比Goyal的方案,新方案可以选择一个更小的安全参数,从而在一定程度上提高计算效率.在执行效率方面,新方案尽可能的减少了"对"运算的次数,且该次数达到最优,即不可能再减少该次数且不增加计算复杂性;在总的计算复杂度方面,新方案在相当的程度上比Goyal的方案更优.但遗憾的是,这些改进也会在一定程度上增加公开参数和通信量.因此实际应用中,可以选取折衷的或满足特定需求的公开参数的大小,进而平衡利弊.     

扩展的语义分析的WAP协议缺陷测试

首先介绍了一种基于语义分析的缺陷测试技术.该测试方法利用语义测试及软件错误注入来进行测试.它比传统测试的成本要小,同时能达到很好的效果.但该方法只能检测协议实现级别的漏洞,而不能检测协议设计中可能存在的缺陷.本文结合了Petri网在协议测试方面的优点提出了一种扩展的语义分析的协议缺陷测试方法.它能通过对协议Petri网模型的分析来捕获协议层面的缺陷,而为此所需的额外开销是很小的.这弥补了原缺陷测试在协议层面的不足.之后对该方法各个阶段进行了介绍.对WAP-WSP协议的进行了缺陷测试,并对结果进行了分析,证明其可行性.     

基于神经网络的递推分块方法求任意高阶多项式的根

提出一种新的基于约束学习神经网络的递推分块方法, 来分批(块)求解任意高阶多项式的任意数(小于多项式的阶)个根(包括复根). 同时给出了基于多项式中根与系数间的约束关系构造的用于求根的BP网络约束学习算法, 提出了对应的学习参数的自适应选择方法. 实验结果表明, 这种分块神经求根方法, 相对传统方法, 能够快速有效地获得任意高阶多项式对应的根.     

可验证安全外包矩阵计算及其应用

矩阵计算在科学计算和密码学领域中都有着重要的作用.许多密码协议、科学和数值计算问题都涉及到了矩阵计算.然而,对那些计算能力有限的用户来说,独立完成矩阵计算并不是件容易的事情.云计算拥有强大的计算资源,它使得用户的计算能力不再受限于他们的资源约束型设备,他们可以外包工作量给云.本文围绕矩阵计算展开研究,针对矩阵乘积、矩阵的行列式以及矩阵的逆这3种运算,分别设计了切实可行的可验证安全外包协议.与已有的关于这3种可验证外包计算的协议相比,我们的协议在效率和安全性方面都有了改进,而且我们的协议不需要任何的密码学假设.本文中,还为我们的协议给出两个具体应用,即为＂大型线性方程组的求解＂以及＂基于纠错码的密码体制的实现＂这两个问题分别构造了高效的可验证外包计算协议.     

基于知识结构的认证协议验证

认知逻辑的Kripke语义,已被成功地运用到分析无黑客存在的安全网络下的通信协议.提出认知逻辑的Kripke语义的一种简单而自然的形式,称之为知识结构,并把这种语义用到分析黑客存在的非安全网络环境中的通信协议,特别是认证协议.与类BAN的那一类逻辑相比,文中的方法可以直接转化成算法实现,对协议本身进行操作,而不需对协议进行一些难以把握的抽象判断.而且,在这套理论的基础上开发了安全协议分析器SPV.文中的方法是基于证明的而不是证伪的,即证明协议的正确性而不是找协议漏洞.     

基于单向陷门置换的长消息签密方案

在随机Oracle模型的基础上, 提出一种基于单向陷门置换（trapdoor permutations, TDPs）的、可并行的、长消息签密方案——PLSC （parallel long-message signcryption）. 该方法采用“整体搅乱, 局部加密（scramble all, and encrypt small）”的思想, 用一个伪随机数对要传送的消息和用户的身份（ID）进行“搅乱（scrambling operation）”, 然后对两个固定长度的小片段（并行地）进行单向陷门置换（TDP）操作. 这种设计使得整个方案可直接高效地处理任意长度的消息, 既可避免循环调用单向陷门置换（如CBC模式）所造成的计算资源的极度消耗, 也可避免由“对称加密方案”与“签密方案”进行“黑盒混合（black-box hybrid）”所造成的填充（padding）冗余. 不仅可以显著地节约消息带宽, 而且可以显著地提高整体效率. 具体地说, 该方法对任何长度的消息进行签密, 仅需进行一次接收方的TDP运算（相当于加密）, 以及一次发送方的TDP运算（相当于签名）, 从而最大限度地降低了TDP运算的次数, 提高了整体的运算效率. 因为, 对于公钥加密算法来说, 运算量主要集中在TDP运算上, TDP运算是整个算法的瓶颈所在. 另一方面, 由于避免了填充上的冗余, 新方案的效率也高于标准的“黑盒混合”方案.重要的是, 新方案能够达到选择密文攻击下的紧致的语义安全性（IND- CCA2）、密文完整性（INT-CTXT）以及不可否认性（non-repudiation）. 而且所有这些安全要求都可以在多用户（multi-user）、内部安全（insider-security）的环境下得以实现. 另外, 尽管新方案主要针对长消息的签密, 但它也可应用于某些不能进行大块数据处理的环境（智能卡或其他只有少量内存的环境）. 也就是说, 对于这些小内存设备来说, 仍然可以用该方案来实现长消息的签密处理.