文件头中存储加密标识技术的研究与实现

为了解决目前文件安全方面存在的问题,进一步提高对文件数据的保护强度,对基于文件系统过滤驱动的文件透明加/解密技术进行了研究,针对传统方法在加密标识识别方面存在的不足,提出了文件头保存文件加密标识的方法。该方法通过过滤驱动为密文文件添加一个包含加密标识的文件头,在进行文件操作时通过该加密标识识别密文文件。同时过滤驱动在处理文件的读写操作时,通过设置文件读写偏移跳过文件头,完成正确的读写操作。结合实例,对测试结果进行了分析,验证了该设计的准确性、有效性和可行性。

支持等式测试及密码逆向防火墙的SM9标识加密方案

支持等式测试的标识加密(identity-based encryption with equality test, IBEET)体制解决了传统等式测试方案中证书管理的问题,得到了广泛的关注.但现有的IBEET体制难以抵抗渗透攻击,且都是基于国外密码算法设计,不具有自主知识产权.基于此,提出一种支持等式测试并具有密码逆向防火墙的SM9标识加密方案(SM9 identity-based encryption scheme with equality test and cryptographic reverse firewalls, SM9-IBEET-CRF).该方案在用户与云服务器的上行信道间部署密码逆向防火墙(cryptographic reverse firewalls,CRF),对用户发出的信息执行重随机化以达到抵抗渗透攻击的作用.该方案拓展国密算法SM9至IBEET领域中,提升其运行效率并丰富国密算法在云计算领域的研究.给出了SM9-IBEET-CRF的形式化定义和安全模型,并在随机预言机模型中考虑2种不同的敌手将此方案在选择密文攻击下的不可区分性与单向性分别形式化地规约到BDH困难假设上.同时,该方案通过考虑第3种敌手证明CRF的部署为其带来维持功能性、保留安全性以及抵抗渗透性.实验仿真和分析结果展示了该方案的有效性.

一种基于SM9的可撤销标识广播加密方案

文章提出一种基于国密标识算法SM9的可撤销标识广播加密方案。该方案在SM9标识广播加密方案的基础上,结合可撤销广播加密方案,利用二叉树对用户进行权限管理,实现授权用户的撤销和加入。密钥生成中心利用二叉树为未被撤销的用户更新密钥,用户只能通过该密钥获得相应的会话密钥,从而解密广播密文并获得数据。文章在随机预言模型下证明了该方案满足选择明文攻击下的不可区分性。效率分析表明,该方案效率较高,具有较好的实用性。

具有否认认证的SM9标识加密算法

SM9标识加密算法是我国自主设计的商用标识加密算法,它已成为国内标识加密算法行业的标准,并被广泛应用于诸如电子邮件、电子投票和网上谈判等。然而SM9标识加密算法不能有效保护发送者的身份隐私。为此,基于SM9标识加密算法,并结合否认认证协议,提出具有否认认证的SM9标识加密算法。该算法允许发送者在协议运行后否认其参与,只有预期的接收者可以识别给定消息的真实来源;与此同时,接收者不能使任何其他第三方相信消息是由特定发送者发送的。在DBDH困难问题假设下,给出具有否认认证的SM9标识加密算法的形式化定义和安全模型,并在随机预言模型下给出算法的安全性分析,证明该算法可同时满足否认性、保密性和否认认证性。理论分析和仿真实验表明,该算法不仅保持了SM9标识加密算法的效率优势,而且计算开销低于其他具有否认认证的标识加密算法。

基于国密SM9的匿名标识广播加密方案

标识广播加密将广播加密与标识加密相结合,在具备广播加密特点的同时,避免了耗费大量资源的证书管理工作.为满足我国密码技术自主可控的战略需求,赖建昌等人首次设计了基于我国SM9标识加密算法的高效标识广播加密方案,并给出IND-sID-CPA安全性分析.但目前为止,仍缺失基于SM9的匿名标识广播加密方案的研究,匿名标识广播加密能够有效避免数据接收者具备判断其他接收者是否合法的能力.因此,借鉴He等人的通用匿名标识广播加密方案的构造思想,利用双线性对技术,设计了第1个基于国密SM9的随机谕言模型下IND-nID-CCA2安全和ANO-ID-CCA2安全的匿名标识广播加密方案.该方案更易与当前基于国密SM9标识加密算法的系统相融合.对于所设计方案的安全性给出分析过程.性能分析表明方案安全性较好且具备一定的理想特性,即方案主公钥、主私钥、接收者私钥的长度与计算成本恒定,解密计算成本恒定.

可信PLC和标识认证加密在水电站监控系统的应用研究

在网络安全形势愈发严峻的今天,传统电力专网边界防护体系已无法完全满足水电站安全生产需要,构建全方位、全覆盖的主动免疫系统是网络安防体系的重要发展方向。本文针对PLC安全防护缺陷,对可信PLC及国密IBC标识认证加密技术应用于监控系统进行了试验分析,为水电行业工控系统安防体系补齐PLC防护短板提供了可行方案。

微过滤驱动中文件加密标识的实现

分析了企业信息化过程中面临的信息安全问题。针对文件透明加解密系统的开发过程中难于区分文件是否已经加密的问题,提出了一种基于微过滤驱动的文件加密标识实现方法。首先给文件增加一个4kB"隐藏"的文件头,将加密标识、加密算法、密级信息等嵌入其中,然后对文件的操作(查询、读/写等)进行偏移设置,使得文件透明加解密系统的研发更加高效。试验结果表明该方法具有有效性。

基于仲裁的SM9标识加密算法

SM9-IBE是我国于2016年发布的标识加密算法行业标准.标识加密算法以用户的标识(如邮件地址、身份证号等)作为公钥,从而降低系统管理用户密钥的复杂性.然而,标识加密算法的密钥撤销和更新问题却变得更加困难.此外,SM9算法的结构特殊使得已有技术无法完全适用于该算法.为此,本文提出一种基于仲裁的SM9标识加密算法,可快速实现对用户访问权限的撤销和更新操作.该算法引入一个可信第三方(即仲裁者)用于管理用户的部分私钥,使得用户必须借助仲裁者的帮助才能访问SM9密文,同时仲裁者无法从用户密文中获取任何有用信息.在安全性方面,该算法被证明在随机预言机模型下满足适应性选择标识和可复制选择密文攻击安全性.在效率方面,该算法不仅保持了原始SM9算法的效率优势,而且使用户的解密时间缩短了将近10倍.

三峡电源电站主动免疫的可信及加密通信的应用

目前网络安全形势愈发严峻,数据安全传输成为网络安防体系中不可或缺的一部分。为保障水电站设备终端数据传输具备高安全性、可靠性,同时检具实时性,三峡电源电站计算机监控系统采用了基于可信计算的主动免疫系统和新型标识认证加密系统,通过可信和加密技术有效降低系统数据泄露、信息扰乱及恶意篡改的风险。

基于文件系统容灾备份数据的透明加密机制设计

针对容灾系统的备份数据安全保护问题进行分析,设计一个基于文件系统的容灾备份数据的透明加密机制。采用基于文件系统过滤驱动程序的方法进行加密模块的添加;并进行了程序上的设计和模拟实现。其主要思想是将容灾系统的生产环境和容灾环境进行区分,系统的透明加密机制只在生产中心的存储设备中进行保存。一旦容灾中心的备份数据丢失,没有相同的数据加密环境,文件不能被正确恢复,极大地提高了容灾系统的数据安全性。

一种基于标识的隐私资源保护方案

隐私资源的保护是多域间互操作以及P2P等技术实施的关键性安全问题。已有的解决方案虽然解决部分问题,但仍然存在着隐私信息泄露的可能,并没有很好地保证隐私资源的机密性,或者会泄露其他的隐私信息。分析了隐私资源保护的安全目标,提出了一种基于标识的保护方案。该方案不仅满足了安全目标,而且一次通信就能完成隐私资源的交换。最后,该方案被证明具有IND-CCA2语义安全性。

电子邮件IBE加密研究

提出了一种电子邮件IBE加密方案。方案采用了伪RSA密钥和IBE插件技术。伪RSA密钥是一种存放有用户标识即邮箱地址的假的RSA密钥数据。在伪RSA密钥基础上,引入自签发的伪RSA数字证书以及IBE密码模块。伪RSA数字证书的公钥是伪RSA公钥。IBE插件插入到电子邮件客户端中,当用户发送加密邮件时,IBE插件自动插入邮件加密所需的伪RSA数字证书,当用户读取加密邮件时,IBE插件自动插入邮件解密所需的用户带私钥的伪RSA数字证书;IBE密码模块将邮件客户端使用伪RSA数字证书及私钥所进行的密码运算转化为使用IBE密钥的密码运算,由此实现电子邮件的IBE加密、解密而无需对邮件客户端作任何修改。

标识密码技术在IMS网络中的应用

作为未来固网、移动统一的核心网络架构平台,IP多媒体子系统(IP Multimedia Subsystem,IMS)的安全性问题不容忽视。标识密码技术基于双线性对的标识密码算法,利用用户身份作为公钥,实现用户身份和公钥的天然绑定,构建相对简化、复杂度低的公钥密码体系,在数字签名、数据加密等方面具有天然的优势。通过对分布式标识密码机制进行研究,基于IMS网络设计私钥安全分发、终端入网认证、业务密钥协商等工作流程,有效解决IMS网络的安全防护问题,最后对方案的安全性进行了评估分析。

无线传感器网络簇结构中基于IBE的组密钥管理方案

探讨了已有一些组密钥管理方案的优缺点,提出了基于无线传感器网络分簇结构的组密钥管理方案,将簇头作为密钥管理器,采用基于IBE改进的算法来安全分发组密钥.对方案的可行性,安全性和性能进行了理论分析,结果表明方案具有良好的综合性能.

基于身份标识的加密技术

随着互联网的快速发展,信息安全问题显得日益重要。公钥密码技术能够保证互联网上信息传输的安全,目前PKI技术已获得一些应用,由于其复杂的使用步骤以及繁琐的后台证书管理问题,在某些领域和某些方面其使用受到很大的局限性。IBE技术不采用数字证书的概念,用户使用和后台管理都很方便,特别适合企业和外部用户进行安全信息传输的情况。

基于秘密共享的IBE移动密码系统

本文针对在手机等移动终端上使用公开密钥密码IBE时,如何安全地使用IBE私钥这一问题,提出了一种基于秘密共享的IBE移动密码系统。用户的IBE私钥被分割成n份,其中1份私钥秘密份额保存在用户移动终端中,其余n-1份私钥秘密份额保存在n-1个密码服务器上。当移动终端中的应用程序需要使用用户的IBE私钥时,移动终端的密码模块以及相关的密码服务器分别使用自己的私钥秘密份额进行密码运算,最后通过组合计算结果得到最终的密码运算结果。本文采用了两种对IBE私钥进行共享的方案,分别是普通秘密共享和门限秘密共享。普通秘密共享方案要求获得所有n份私钥秘密份额的密码运算结果才能得到最终密码运算结果;(t,n)门限秘密共享只要求获得n份私钥秘密份额中的t份密码运算结果就可得到最后的密码运算结果。本论文的系统能在不使用专门的密码芯片或密码装置的情况下,保证移动终端使用用户IBE私钥的安全。

一种引入通配符的身份密码密钥更新机制

自从2001年BF-IBE方案提出,各种基于标识的加密机制逐渐发展起来。但由于用户公钥完全公开且不易更改,IBE机制的密钥更新问题亟待解决。具有等级结构的身份密码体制(HIBE)的提出,解决了单个私钥生成中心(PKG)无法满足大用户量应用环境的负担和安全保障问题。文章通过引入通配符提出了WIBE方案,可以对HIBE的用户组进行一次性加密。同时在WIBE基础上提出了WKU方案,是一种以年限为单位的密钥更新机制,对用户公私钥的有效期限进行了管理。

一种具有等级结构的IBE密钥管理方案

基于标识的加密机制的出现解决了公钥密码体制中证书管理的问题,但由于用户公钥完全公开且不易更改,IBE机制的密钥管理问题成为讨论焦点。具有等级结构的身份密码体制(HIBE)的提出,解决了单个私钥生成中心(PKG)无法满足大用户量应用环境的负担和安全保障问题。文章提出的HKM方案解决了HIBE的PKG层次图中存在多父节点用户的复杂层次关系,并通过引入通配符的IBE方案,提出了基于WIBE的等级结构密钥管理方案。

基于高效可信进程认证的文档加解密系统

为提高目前文档加解密系统可信进程的认证效率,解决文档易损毁的缺陷,提出基于高效可信进程认证的文档加解密系统。利用进程映像文件的哈希值与进程PID的唯一性,构成可信进程认证方案的基本要素,同时将文件加密属性标识存放于文件头部,以降低文档损毁风险。实验结果表明该方案中可信进程认证效率明显提高,文档损毁风险大幅降低。

低开销三进制域Eta双线性对硬件加速器

基于身份标识的加密(Identity-Based Encryption,IBE)在物联网领域有很高的潜在应用价值,双线性对运算是其中的关键运算.本文针对物联网需求设计了一种低开销的双线性对硬件加速器.它选择了低开销的超奇异椭圆曲线上的三进制域eta对.该设计将Miller算法与幂运算分为两个硬件部分,流水线执行,增加了电路的吞吐率.Miller算法硬件实现中通过将Miller循环中的GF(36m)上的稀疏乘法与立方结合并重新调度和优化,减少中间值相关的开销.优化后的方案,具有更简单的运算单元,减少了寄存器的使用和存储器的读写.核心模乘运算采用了最高位优先的字串行结构.考虑到电路的规模较大,控制较复杂,采用了微码控制的方式进行实现.本文选取定义在GF(3^(97))上的椭圆曲线上的eta对进行了ASIC实现,在90 nm工艺下,版图面积650×650µm^(2),计算时间为16.7µs,面积延时积比现有eta对ASIC实现减小了38.8%.