支持访问控制与密钥更新的加密去重方案

在数据外包的场景中,访问控制与密钥更新具有重要的应用价值。然而,现有的加密去重方案难以为用户外包数据提供灵活有效的访问控制与密钥更新。针对此问题,提出一个支持访问控制与密钥更新的加密去重方案。首先,基于密文策略属性基加密和所有权证明技术设计了加密去重场景下的高效访问控制方案,其将访问控制与所有权证明相结合,仅需通过客户端与云服务器之间的一轮交互,便可同时验证客户端是否具有正确的访问权限以及是否具有完整的数据内容,可有效防止敌手的数据未授权访问和所有权欺骗攻击,具有计算开销低和通信轮数少等特性;其次,结合服务器辅助加密和随机收敛加密的设计思路,设计了适用于加密去重场景的可更新加密方案,并将其与所提的访问控制方案相结合,实现了多层次且用户透明的密钥更新。安全分析与性能评估的结果表明,所提方案可为用户外包数据提供机密性和完整性,同时可实现高效的数据加解密和密钥更新。

基于密钥协商和身份匿名技术的社交发现隐私保护方案

针对移动社交网络中用户进行属性匹配时,服务器与用户可能会搜集查询用户的属性信息,恶意的攻击者可能发起中间人攻击、重放攻击和伪造身份攻击等问题,提出一种基于密钥协商和身份匿名技术的社交发现隐私保护方案。在该方案中,身份通过系统认证的查询用户与响应用户,基于查询用户随机选定的不可逆哈希函数与随机数,生成各自的属性哈希值集;服务器负责计算所有响应用户与查询用户的属性匹配值,根据值的大小向查询用户推荐好友。系统合法用户查询匹配过程中以及建立好友关系之后的保密通信使用的私钥,基于迪菲–赫尔曼密钥协商技术,经由服务器保密传输公开参数而生成,但对服务器保密。安全分析表明,该方案能够防止系统用户隐私信息泄露,进而保障了其身份的匿名性。同时,基于jPBC密码算法库在MyEclipse平台上对方案进行仿真实现,实验结果表明,该方案在减轻用户计算与通信负担方面比同类方案更加有效。

时控性加密的匿名查询机制构造

现实世界中,很多问题都具有在特定时间开展相关业务的需求。时控性加密(timed-release encryption,TRE)是一种由发送方指定接收方解密时间的密码原语,可满足该需求。针对目前TRE方案中,基于非交互时间服务器周期性广播时间陷门的方式无法满足用户任意指定解密时间,而能够满足任意解密时间的交互式时间服务器方式无法保障用户身份隐私的问题,提出一种使用洋葱路由网络的TRE方案。在该方案中,接收方在临近解密时间时,将时间陷门请求作为最内层洋葱,构造层层加密的洋葱传递给时间服务器,时间服务器生成对应的时间陷门按照原路由返回给接收者,使得用户可以在进行任意时间的陷门查询时隐藏其身份信息。同时,针对洋葱路由传递过程中的节点失效问题,提出一种基于广播加密技术构造每层洋葱的方法,使得每层洋葱节点均可以解密该层洋葱。该方案在保证用户身份匿名的前提下,实现向时间服务器成功查询任意时间的陷门。安全性分析表明,该方案对于可能遇到的单点推测、监听攻击、重放攻击及共谋攻击是安全的,并具有较强的鲁棒性。效率分析表明,与基于配对的洋葱路由方案相比,该方案解决节点失效问题的耗时减少约59%,从而实现了高效的匿名查询。

基于多时间服务器的时控性加密体制研究

时控性加密(TRE)是一种被称为“向未来发送消息”的密码原语,接收方在未来指定时间之前无法解密密文。目前,大部分TRE方案采用非交互式单时间服务器方法,系统用户能够正常解密,依赖于单一时间服务器在预定解密时间计算并广播的时间陷门。如果单一的时间服务器遭受攻击,或被腐败,则容易直接威胁TRE的安全应用。因此,需要将1个时间服务器“分散”成多个。但已有多时间服务器TRE方案既没有给出安全性分析,也没有给出严格的安全性证明。为此,该文给出一种随机预言机模型下基于双线性迪菲·赫尔曼(BDH)问题的多时间服务器的TRE模型MTSTRE,构造出一种可证明安全的具体和通用方案,并严格证明所提具体方案在自适应选择明文攻击下是安全的。效率分析表明,与已有最有效的多时间服务器TRE解决方案相比,所提具体方案的计算效率也略有提高。

杏白兰地发酵工艺研究

以河北串枝红杏为原料,研究杏果胶酶酶解,杏白兰地的发酵工艺,通过正交试验优化果胶酶酶解工艺,采用单因素试验和Box-Behnken响应面试验优化杏发酵工艺。结果表明,最佳酶解工艺条件为果胶酶添加量0.10%,酶解温度45℃,酶解时间3.0 h。此优化酶解工艺条件下,杏酶解液综合评分为89.35分。最佳发酵工艺条件为发酵温度24℃,酵母添加量0.08%,初始糖度24.8%,此优化发酵工艺条件下,带渣一次蒸馏后酒精度为16.0%vol,感官评分为88.22分。将一次蒸馏液进行二次蒸馏后,得到杏白兰地的酒精度为38.0%vol、酒体透亮、口感醇厚、具有杏果显著风味特征。

密文去重系统中的数据访问控制策略

针对云存储中现有密文去重系统大多使用收敛加密,数据所有者无法对外包数据进行有效访问控制的问题,设计了支持身份认证、授权去重、权限更新等访问控制功能的密文去重系统。外包数据仅与授权用户去重,未授权用户无法获取数据信息;通过CP-ABE与ElGamal私钥的动态拆分更新数据的访问权限;使用自我控制对象封装用户数据及其访问策略,对数据访问者进行身份认证并确保访问控制策略有效执行。安全性分析与仿真实验表明,所提系统实现了数据访问控制且具有较高的执行效率。

基于同态加密的DBSCAN聚类隐私保护方案

为了降低数据外包聚类运算过程中存在的隐私泄露风险,提出了一个基于同态加密的DBSCAN聚类隐私保护方案。为了加密实际场景中的浮点型数据,给出了针对不同数据精度的3种数据预处理方式,并提出了一种基于数据特点且综合考虑数据精度和计算开销等方面的数据预处理方式的选择策略。由于同态加密不支持密文比较运算,设计了一个用户端与云服务器之间的协议实现密文比较功能。理论分析和实验结果表明,所提方案能够保证数据隐私安全,并且具有较高的聚类准确率和较低的时间开销。

加密去重场景下基于AONT和NTRU的密钥更新方案

密钥更新是对抗密钥泄露的有效方法。现有加密去重系统大多基于消息锁加密实现,拥有相同数据的多个用户共享同一加密密钥,某一用户更新密钥时其他数据所有者需同步该更新,这将引起较大的计算和通信开销。针对这一问题,提出了一种基于AONT和NTRU的密钥更新方案,设计了一个AONT的变体以解决多用户密钥更新时的同步问题,引入了一种基于NTRU的代理重加密方案以降低密钥更新过程中的系统通信开销和客户端计算开销。效率分析与实验结果表明,所提方案与现有方案相比具有更高的加解密效率,显著降低了密钥更新过程中的时间开销。

发动机进、排气系统漏气对碳平衡影响的试验研究

针对发动机进、排气系统漏气影响碳平衡偏差问题,分别对进、排气系统不同管路漏气进行万有特性、稳态循环、瞬态循环试验,测试和分析碳平衡偏差随漏气位置和漏气量的变化规律。结果表明:压气机后进气管或排气管路漏气时,测试工况点的碳平衡偏差均为正值,其中压气机后进气管漏气的最大碳平衡偏差为35%、排气管路漏气的最大碳平衡偏差为1.7%;压气机前进气管路漏气时,碳平衡偏差为负值,最大为-6.3%;碳平衡偏差的绝对值随进气系统漏气量的增加而增大,但排气系统漏气量不影响碳平衡偏差。碳平衡偏差主要受进气管漏气影响,当碳平衡偏差超过3%时,若碳平衡偏差为正,应优先排查压气机后进气管路;若偏差为负,应优先排查压气机前进气管路。

基于NTRU的多密钥同态代理重加密方案及其应用

为了提高同态加密算法在多用户云计算场景下的实用性,构造了一个基于NTRU的多密钥同态代理重加密方案。首先利用密文扩张思想提出了一种新的NTRU型多密钥同态密文形式,并基于此设计了相应的同态运算和重线性化过程,从而形成一个支持分布式解密的NTRU型多密钥同态加密方案;然后借助于密钥交换思想设计了重加密密钥和重加密过程,将代理重加密功能集成到该NTRU型多密钥同态加密方案中。所提方案保留了多密钥同态加密和代理重加密的特性,而且在用户端的计算开销较低。将所提方案应用于联邦学习中的隐私保护问题并进行了实验,结果表明,所提方案基本不影响联邦训练的准确率,加解密、同态运算和重加密等过程的计算开销也可接受。

A Sensor Anonymity Enhancement Scheme Based on Pseudonym for Clustered Wireless Sensor Network

Security problem is an important issue for Wireless Sensor Network.The paper focuses on the privacy protection of WSN applications.An anonymity enhancement tactic based on pseudonym mechanism is presented for clustered Wireless Sensor Network,which provides anonymity for both the sensors within a cluster and the cluster head nodes.Simulation experiments are launched through NS2 platform to validate the anonymity performance.The theoretical analysis and empirical study imply that the proposed scheme based on pseudonym can protect the privacies of both the sensor nodes and the cluster head nodes.The work is valuable and the experimental results are convincible.

An Intrusion Detection Method Based on Hierarchical Hidden Markov Models

This paper presents an anomaly detection approach to detect intrusions into computer systems. In this approach, a hierarchical hidden Markov model （HHMM） is used to represent a temporal profile of normal behavior in a computer system. The HHMM of the norm profile is learned from historic data of the system＇s normal behavior. The observed behavior of the system is analyzed to infer the probability that the HHMM of the norm profile supports the observed behavior. A low probability of support indicates an anomalous behavior that may result from intrusive activities. The model was implemented and tested on the UNIX system call sequences collected by the University of New Mexico group. The testing results showed that the model can clearly identify the anomaly activities and has a better performance than hidden Markov model.

Intrusion Detection Method for Program Vulnerability via Library Calls

Library function call sequence is the direct reflection of a program＇s behavior. The relationship between program vulnerability and library calls is analyzed, and an intrusion detection method via library calls is proposed, in which the short sequences of library call are used as signature profile. In this intrusion detection method, library interposition is used to hook library calls, and with the discussion of the features of the library call sequence in detail, an algorithm based on information-theory is applied to determine the appropriate length of the library call sequence. Experiments show good performance of our method against intrusions caused by the popular program vulnerabilities.

信息安全与法学复合型人才培养模式

信息安全专业自2001年创设以来,其满足社会需求的网络安全人才知识和能力体系,以及相应的人才培养模式一直受到人们的关注。从社会需求出发,分析了网络安全人才的基本知识和能力要求,认为复合型人才是网络安全事业的重要需求;以南开大学信息安全与法学双学位班为例,介绍了信息安全与法学复合型人才的培养模式,以期为我国网络安全人才培养模式的构建提供参考。

信息提示缓解拥堵系统在辉白高速公路上的应用

本文针对吉林省辉南至白山高速公路如何通过设置交通监控系统数据采集设备、信息发布设备、信息发布软件等手段实现交通信息的及时发布,充分利用数据资源提高道路通行能力,缓解交通拥堵的作用。

提高fuzzing边覆盖率的改进方法

针对AFL边覆盖不全、未充分利用边覆盖信息和有效字节信息的问题,提出了改进方法。首先,设计了新的种子选择算法,在一轮循环中可完全覆盖所有已发现的边;其次,按边覆盖热度对路径评分,以此调整种子的测试次数;最后,对有效字节进行更多的变异。基于上述方法实现了新的fuzzing工具-efuzz。实验表明,efuzz的平均边覆盖数比AFL和AFLFast分别增加了5%和9%;在LAVA-M测试集中,efuzz发现的漏洞数超过了AFL;在常用软件中,efuzz发现了3个新的CVE漏洞。所提方法可以有效提高fuzzing的边覆盖率、提升漏洞发现能力,具有实用性。

机器学习算法在同态加密数据集上的应用

大数据时代要求数据在云端进行存储和计算,这导致敏感数据隐私泄露的问题。该文提出了一种在同态加密数据集上应用机器学习分类算法的方案:首先对明文进行预处理,保证其满足对数据进行同态加密的要求;然后在加密数据集上通过协议实现比较、排序等操作;最后获取分类结果。客户端将加密数据上传,可以保证服务器端不会获取任何敏感信息;选取同态加密算法,能够保证服务器端仍可对密文执行相关操作。实验结果表明:该方案适用于Bayes、超平面和决策树分类器,其经过修正具有良好的适用性能,准确率高。

An Efficient Format-Preserving Encryption Mode for Practical Domains

Format-preserving encryption （FPE）, which makes sure that ciphertext has the same format as plaintext, has been widely used in protecting sensitive data in a database. Aiming at efficiently solving the FPE problem on a collection of practical domains, we propose the RREM （random reference-based encryption mode）, which constructs bijection between the original domain and integer set through distance computation. If an appropriate distance function is predefined, the proposed mode can solve the FPE problem on linear equidistance domain in a more efficient way than previous methods. Furthermore, we make a classification on various types of domains, show the application of RREM in some practical domains, and specify RREM’s capability of solving the FPE problem on frequently-used fields in database quite efficiently.

A Punching Scheme for Crossing NAT in End Hopping

End hopping is one of the good methods to defend against network attack,but has problems with network address translation（NAT） because packets sent from an unknown endpoint would be dropped by NAT.To avoid the dropping of packets,we propose a punching scheme：a client sends a punching packet to create mapping rules in NAT,so that the packets from the server would be able to pass through effectively with such rules.In this paper,some preliminaries and definitions are provided for building the model of end hopping.Then we discuss the main reason of such packet dropping and specify all the failure situations based on the model.What＇s more,we analyze how the punching scheme helps end hopping cross NAT.Finally,we validate the feasibility of this scheme with empirical results：if the client is behind a NAT and with punching scheme,the service rate increases to 100%.Therefore,our proposed scheme can greatly improve the performance of crossing NAT in end hopping with little security and computational overhead.