银行业机构开展个性化安全意识教育研究与探讨

近年来,银行业机构网络安全形势愈发严峻,网络攻击者往往通过社会工程学的手段绕过企业防护严密的“正面战场”,通过高度伪装的钓鱼邮件、钓鱼网站、电话诱骗等方式获取企业员工的敏感信息,或诱使其安装、运行病毒木马等,直接控制企业员工的设备或以员工身份接入企业内部,让人防不胜防。虽然银行业机构已经普遍通过加强日常培训、定期开展全员安全意识实测等方式强化员工安全意识,但久而久之员工的安全意识及对安全重要性的认知度容易下降。

隐私保护且支持用户撤销的属性基加密方案

自从Sahai和Waters提出了基于属性加密的概念,密文策略的属性基加密(ciphertext-policy attribute-based encryption,CP-ABE)体制因其使用场景的广泛性受到了各界的青睐.对于使用移动设备进行属性基加解密的用户而言,大量的双线性对运算带来的电池耗费是不经济的;同时,由于在云环境系统下用户属性的动态性和访问结构的公开性,也会导致属性失效和用户隐私泄露的问题.为了解决上述问题,构造了一个隐私保护的且支持用户撤销的属性基加密方案,达到了完全隐藏访问结构并通过密钥更新机制灵活地实现用户撤销;同时,该方案将计算代价较高的双线性对操作外包给云存储提供方执行,以降低移动设备用户的计算代价,为了遏制云端的不端行为或对云端恶意攻击,提供了对转换密文的验证功能,保证了转换后密文未被非法替换,使之更适用于安全的手机云应用.

高效数据外包的基于多授权中心的ABE方案

Chase的多授权中心的属性基加密方案由具有绝对权利的可信中心CA来发布私钥,违背了最初的分散控制目的,且因其应用于手机设备等终端存在的耗能和计算能力等问题限制了其在现实中的发展。针对上述问题,现提出了高效数据外包的基于多授权中心的属性基加密方案,该方案不再依赖中央授权方,降低了授权中心泄露用户隐私的风险,并高效而安全地对解密密文进行外包,提高了解密效率,最后对方案的正确性、安全性和效率进行了分析。

结合在线/离线方法的无证书签密

作为密码学原语,签密同时具有签名的认证性与加密的机密性。在线/离线签密结合了在线/离线的方法,在已有基础上提高了系统的效率。但目前的在线/离线签密方案大多数都是在基于身份的环境下实现的,都存在密钥托管的安全问题。基于无证书密码体制撤销证书管理及无密钥托管问题的优点,提出了一种安全的在线/离线的无证书签密方案,满足离线阶段不需要确定接收者身份信息的条件,并在随机预言模型中证明了方案的安全性。

基于访问树的属性基签名算法安全性研究

2013年马春光等人发表了一篇基于访问树的属性基签名算法并声称他们的算法在标准模型下基于判定性BDH问题相对于适应性选择消息攻击存在不可伪造性。利用部分密钥替换攻击方法构造了一种针对该方案的攻击方式,通过替换方案的公钥和私钥的部分信息,使得伪造的签名成功地通过了验证,导致方案在一定条件下安全性受到破坏,为以后的属性基签名方案提供了一些研究思路。

银行业App个人信息保护合规性研究与探索

随着移动App的快速发展,个人信息保护成为安全关注的热点内容。2019年1月,中央网信办、工业和信息化部、公安部、市场监督总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,成立专项工作组开展App违法违规收集使用个人信息专项治理行动,个人信息保护迎来强监管时代。2020年3月,中国人民银行发布了《中国人民银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》(2020年银发45号令),要求做好个人金融信息的保护工作,保障信息主体的合法权益。两会期间,全国人大常委会工作报告中指出将制定《个人信息保护法》《数据安全法》。