面向虚拟化平台的透明加密系统设计与实现

针对虚拟化平台下数据防泄漏系统的要求,本文结合可信平台模块(trusted platform module,TPM)的密钥管理优势,提出了一种基于eCrytpfs文件系统的透明加密系统设计与实现方法.该文件保护系统MeCryptfs(modified-eCryptfs)使用自定制TPM密钥管理模块,改善了eCryptfs用户空间的密钥管理部分,通过取消多用户模式进一步增强了整个系统的安全性.测试结果表明,该透明加密系统具有较高的性能,能够满足加解密透明性要求.     

一个基于随机函数族的新广播加密方案

通过构建一个随机甬数族,本方案可成功地为用户分配密钥,使合法用户以概率为1地获得解密,而用户的密钥存储仅为(l 1)个.在系统开始运行前,每一个用户从每一个密钥池获得一个密钥.对于退出用户,广播中心只需用他们所不拥有的其他(辅助)密钥加密会话密钥即可;而对于未退出用户,在一定程度上他们总可以找到一个密钥与广播中心在加密会话密钥时所使用的密钥相匹配.本方案较目前基于二叉树结构的广播加密方案(如SD)在密钥存储量上有显著的优势,同时在一定条件下可使传输成本最小.     

一种基于C#的XML加密方法的研究与实现

针对在Internet应用中,XML文档传输安全的重要性,研究并提出了一种基于C#.NET环境下XML加密的方案,使用XML加密机制来保证XML信息的安全性。通过研究XML加密的密钥交换方法及基本实现模式,将高级加密算法(AES)与目前广泛应用的公钥算法(RSA)相结合,提出了一种数据安全传输的解     

基于时间限制的用户撤销CP-ABE方案

用户撤销是属性基加密中的一个主要环节,但现有的用户撤销方案都采用重新加密和更新密钥来实施用户撤销,导致方案安全性差或计算量大.因此,本文提出一种基于时间限制的用户撤销密文策略属性基加密方案.方案中对每个用户指定一个访问数据的有效期,一旦有效期到期,用户就无法访问数据,从而实现用户的定时撤销.为了防止有效期的篡改或伪造,使用了短签名方法,从而提高了数据的安全性,并且有效地降低整个算法的计算量.     

TPM 2.0策略授权机制的安全缺陷及其改进方案

分析了可信平台模块TPM 2.0策略授权方式的安全性,开发了专门的灰盒测试系统对TPM 2.0的安全性进行了一系列测试,发现它存在两个潜在的安全隐患:信息泄露安全隐患和授权认证安全隐患.给出了利用该安全隐患暴力破解策略授权的实现方法并提出了一种基于共享密钥的授权会话加解密方案来对整个策略授权过程进行改进.实验结果表明,该改进方案可以很好的保证策略授权过程的安全性.     

Ng-vTPM:新一代TPM虚拟化框架设计

虚拟可信平台模块v TPM(virtual trusted platform module)是云环境中提供可信功能的重要部件,针对已有v TPM在安全存储属性、可信身份属性、信任传递属性以及迁移时这些属性的保持在设计上的不足,本文提出一个Ng-v TPM框架.该框架结合TPM2.0的新特性,由物理TPM产生v TPM密钥提供安全存储属性,基于物理TPM背书平台种子与虚拟背书密钥的映射关系,提供虚拟机可信身份,将信任链由物理平台扩展到虚拟机平台,并提出使用基于平台配置寄存器策略的封装存储方法解决v TPM迁移后数据的可用性.最后以Xen-4.3.0架构为基础实现此框架.实验分析表明,该框架能够有效保证v TPM设计的安全需求.     

一种新的授权数据管理方案

针对TCG规范TPMv1.2的授权数据管理机制存在的管理复杂、密钥数据更新的同步问题,提出了一种新的授权数据管理方案,一个授权数据对应多个密钥对象,简化了管理复杂性,同时,构造授权数据列表,采用集中的授权数据管理方式,解决了密钥数据更新的同步问题,提高了TPM密钥管理的可信性和安全性.     

基于多线性映射的可撤销属性基加密方案

针对现有的可撤销属性基加密方案密钥量过大且不稳定和效率不高的缺点,本文提出了一种新的基于多线性映射的撤销方案.该方案基于多线性映射问题,并将公钥广播加密与密文策略的属性基加密相结合,设计两层密文.效率分析表明,该方案达到了私钥和更新密钥的固定量级,提高了效率;在可选择的撤销列表模型下,基于3重多线性Diffie-Hellman Exponent((3,N)-MDHE)假设,证明了方案是选择明文攻击安全的.     

基于多线性映射的可公开验证加密方案

为提高可公开验证加密方案的安全性,提出一种标准模型下基于多线性映射的可公开验证加密方案.通过用户公钥验证密文中陷门的合法性,结合多线性映射性质实现可公开验证,使用一次签名算法提升方案的安全性,并进行了安全性证明.分析结果表明,该方案是标准模型下选择密文攻击安全,不需要用户的私钥就能对密文进行验证,在安全性上有很大提高.     

基于多线性映射的高效广播加密方案

采用多线性映射的方法构造了适用于新场景的高效广播加密方案,以广播子群为单位通过聚合成员身份信息生成广播公钥,使公钥对子群用户长度达到定长;采用分层的临时公钥动态生成与管理结构,提高了公钥使用效率,避免了密钥管理中心(KGC)性能瓶颈的出现;在保证计算量和网络带宽占用不显著增加的同时,采用多线性映射灵活迁移计算,使广播加密的时间和空间复杂度达到最优的折中.     

基于耦合混沌和循环移位的彩色图像加密算法

针对彩色图像RGB分量的特点,为了提高加密的安全性能,改写Logistic、Cubic、Chebychev映射构造耦合混沌加密系统,由Henon混沌映射生成行列和像素循环移位矩阵,实现像素位置置乱和像素值的置换;设计了密钥参数动态扰动数学模型、RGB分量的单独和联合加密方案.该算法钥密空间大且敏感性强,直方图均匀且相关性小.通过水印、自然和绘画书法图像的仿真试验,结果表明该算法能有效抵抗穷举、统计和差分攻击的能力,彩色图像加密安全性高.     

一种改进的可信计算平台密码机制

在分析可信计算组织TCG可信计算平台现有密码机制的不足的基础上,给出了一种改进的可信计算平台密码机制,在可信平台模块(TPM)内增加了对称引擎,采用统一的授权协议,精简了密钥授权访问认证,解决了TPM密钥内外部不同步的问题.通过在可信计算平台相关标准和产品中的实际应用表明,改进后的密码机制进一步增强了TPM的安全性,提高了可信计算平台的适用性.     

基于认证公钥的抗合谋攻击加密方案

针对Gentry基于认证的公钥加密方案不能抵抗拒绝服务攻击和合谋攻击的问题,改进并优化了基于认证公钥加密方案,给出了该方案的安全模型、具体算法和标准模型下安全分析.在该办案中,用户利用第三方对其公钥和/或身份的认证对自选公钥进行签名;在加密消息前加密者将验证接收方对自选公钥的签名;公钥发布者如果没有合法授权将不能给出正确的签名,在保留Gentry方案优势的条件下能拒绝服务攻击和抵抗合谋攻击.     

应用于安全处理器的RSA／SHA复用加密单元设计

提出了一种加速RSA和SHA算法的复用硬件架构设计方法,通过在RISC处理器中集成一种RSA/SHA复用加密单元来取得高败的密码运算能力.以一种使用该加密单元的安全处理器来验证该方案的有效性,结果表明密钥长度为1024位的RSA算法执行时间为190 ms,SHA-1的吞吐率达到64 Mb/s.本方案采用SMIC0.18μm标准CMOS工艺进行了逻辑综合,RSA/SHA复用加密单元的最高时钟频率可达到196 MHz,核心电路面积约为2 600个等效与非门.     

基于L-R混沌系统和双重扩散的图像加密算法

为解决加密算法中的密码只受密钥控制、与明文无关,并且加密使用的混沌系统较为单一而容易被攻击破解、安全性差等问题,提出一种密钥与明文紧密相关联的双重扩散图像加密方案.将密钥分为两级,初始密钥代入超Lorenz混沌系统迭代生成混沌序列,运用混沌序列从明文图像中选像素点;为了提升加密效率,对已有的运算规则进行改进,将改进后的...     

一种可证明安全的代理聚合签名方案

通过对现有的代理聚合签名方案的分析,发现KGC(key generation conter)分发密钥均基于一个假设的安全信道,在实际应用中会有安全漏洞:假设KGC在分发密钥的过程中泄漏了私钥,则敌手可成功伪造任何消息的合法签名.本文提出了一种基于双线性对的可证明安全的代理聚合签名方案,在该方案中,签名方案的公钥由KGC和用户共同产生,这样即使敌手在通信中获取KGC分发的私钥也不可伪造签名.在随机预言机模型下,证明了即使在对手最大限度获得相关权限的情况下,也可归约为解决CDH(Compute Diffie-Hellman)难题,并对签名方案进行了效率分析.从分析结果可以看出我们设计的方案更加安全和高效.     

一种新型的数据安全存储系统模型

目前电子数据的安全存储主要依赖加密技术,数据通常只用一个密钥进行加密,并且密钥的管理过于集中,无法应对内部人员的密钥泄漏问题。设计了一种数据存储系统模型,包括访问控制子模型,用于数据的安全存储。一份完整的数据被分割成数份后加密存储在多个存储服务器上,一个或多个服务受到攻击时,攻击者无法从这些数据分片还原出完整的数据明文,从而达到安全存储的目的。最后将分析该模型的安全性能以及存储效率。     

基于RSA算法的网络安全体系构造

提出了一种完全基于RSA算法的网络安全参考模型NetRSA．采用分布式KDC分配方案,并且对通信报文以加密方式进行数字签名,有效地防止了报文被非法窃听、篡改或伪造．本模型实现了密钥管理、加密管理、数字签名以及身份认证等功能,     

多授权中心可验证的基于属性的加密方案

在本文构造的方案中,将可验证的属性加密方案由单个授权中心推广剑多个授权中心,使得多授权中心的基于属性的加密在解密出错时,可以榆验出是哪个授权中心部分的密钥出错,只需要去找该授权中心重发,不用让所有授权中心均重发;其次各个授权中心在被检查出错时,也只需要重发对应部分的信息;当密钥通过验证,而解密依然出错,说明是加密过程中或者密文跟随的消息属性出了问题,不会出现无法判断哪里出错的情况.同时证明了加入可验证性后,在经过修正的安全模型下,并不影响多授权中心基于属性加密的安全性.     

基于簇的无线传感器网络密钥预分配方案

通过把网络划分为多个六边形区域,每个节点预先存储多个子密钥空间中的密钥信息,采用基于组的部署方式,提出了一种新的基于分簇结构的无线传感器网络密钥预分配方案.该方案能够动态更新节点的密钥,从而解决了由于节点被捕获所导致的密钥连通性下降和密钥更新通信开销大等问题.性能分析和仿真结果表明,与现有的密钥预分配方案相比,该方案可以确保任意两个相邻节点之间都能够建立一个惟一的对密钥,节点所需的密钥存储空问减少,密钥建立和更新所需的通信开销很小,网络的抗攻击能力得到较大提高.