适用于智能医疗的匿名基于身份的认证密钥协商协议

在智能医疗场景中,病人需佩戴各种传感医疗设备,传感医疗设备会在检测过程中收集病人的心率、呼吸频率、脉搏等生理和医疗信息,并将这些医疗信息传输到云服务器,但日益增长的数据量在传输过程中必会带来额外的通信开销和传输时延,若发生数据窃取和窜改,将会造成难以控制的后果。除此之外,近年来量子计算技术飞速发展,基于经典公钥密码体系的公共网络基础设施的安全性面临巨大挑战,保障量子安全已具有现实意义。由此,提出了一个能够抵抗量子计算攻击并适用于智能医疗的基于身份认证密钥协商协议,避免部署公钥基础设施(public key infrastructure,PKI),并证明其在改进的ID-BJM模型下是安全的,其安全性可以归约到环上带误差学习(ring learning with errors,RLWE)问题的难解性。所提协议通过两轮信息交互实现了隐式认证,且可保护自身设备的身份信息,并可抵抗信号泄露攻击,保证在数据传输过程中的安全性,与其他相关的格上基于身份认证密钥协商协议方案相比,在安全性或执行效率方面更具优势。

面向车联网的群组密钥管理机制

基于车联网的特点,提出一种基于树的轻量级群组密钥管理机制(lightweight tree group key management mechanism, LTGKM),实现了车联网中组播和广播通信的安全性.LTGKM采用层次化方式进行群组密钥的生成、分发和更新;各个管理节点采用HMAC函数作为密钥导出函数生成对应群组密钥,并基于加密认证算法将群组密钥层层分发到叶子节点;密钥更新时新加入节点由父节点生成新的群组密钥并分发给新节点,其余节点自行更新群组密钥;用户离开时非叶子节点自行更新群组密钥,叶子节点由自己父节点分发新的群组密钥.安全性分析表明,LTGKM实现了群组密钥生成和更新的随机性、前向安全和后向安全、密钥分发的机密性、完整性和不可否认性.性能分析实验结果表明,LTGKM在存储、计算和通信开销等方面都具有明显优势.

无人机网络中基于无证书的群组认证密钥协商协议

随着无人机技术在物流行业等场景下的应用越来越广泛,在一些需要多无人机协同工作的场景下无人机之间需要对收集的数据进行交换,使用对称密钥进行加密和解密操作时,由于网络的通信环境是开放的,极易遭到第三方的窃听,通信前无人机协商的会话密钥也容易遭到泄露。因此,本文面向无人机网络通信中的身份认证及数据隐私需求,提出一种基于无证书密钥体系的群组认证密钥协商协议。本文协议将无人机群组分为一个高算力的中心节点和多个低算力的节点,以降低通信开销及计算开销。协议共分为注册、协商、加入/退出3个阶段。注册阶段会为每个节点生成密钥对;协商阶段进行会话密钥的计算,群组中高算力中心节点是中枢节点,承担大部分的计算与通信任务,所有节点在注册阶段计算好密钥对后,只需进行高算力的中心节点与低算力节点的两轮交互即可完成密钥协商;此外,在有无人机退出或加入群组的情况下,该协议支持无人机单元及群组密钥的动态变更。本文对所提协议进行了安全性分析并在eCK模型下进行了安全证明,分析结果表明,该协议满足不可否认性、前后向保密性以及抗公钥替换攻击。在模拟实验中与同类型协议进行了计算开销和通信开销的对比,实验结果表明,该协议具有较低的计算开销和通信开销。由于该协议不基于双线性配对构造,所以更适合轻量化的无人机通信场景。

基于差异阈值循环分组的密钥生成算法

针对无线通信中通信双方提取的信道特征存在明显差异,导致双方的密钥生成速率和一致率较低的问题,提出差异阈值循环分组的密钥生成算法(TGKG)。首先,对信道状态信息(CSI)进行差异阈值分组,使任意组内元素间的间隔均大于该值,提高组内数据的差异,减小量化误差以降低密钥不一致率;循环分组只需一方进行,防止因数据误差导致的分组不一致。同时,提取信道系数的实部和虚部量化,增加量化比特数目,提高了密钥生成速率。通过概率论及信息论公式证明了所提算法在密钥不一致率、密钥可达速率和安全性3方面的优势。实验结果表明,所提算法在5 dB信噪比(SNR)条件下,通信双方的密钥不一致率约为2%,密钥生成速率约为142%。

一种基于GR-LWE问题的密钥交换协议

密钥交换协议能确保两个用户在不受信任的通道中安全交换密钥,其中Diffie-Hellman协议最为著名。但随着量子计算技术的发展,基于经典数论问题的密钥交换协议逐渐变得脆弱。因此,后量子密码学受到了关注,基于格的密码学成为其中最具吸引力的领域之一。目前,基于容错学习(Learning with Errors,LWE)问题的格密码是主流。提出了一种基于群环上的容错学习(LWE from Group Rings,GR-LWE)问题的密钥交换协议,将密钥交换协议扩展到二面体非交换群环上,提供了长期安全性,并且可抵抗量子计算机的攻击。

基于身份的密钥隔离的多云多副本可证数据持有方案

可证数据持有方案(Provable Data Possession, PDP)可以让用户在不下载全部数据的情况下验证其外包数据是否完好无损。为了提高外包数据的可用性和安全性,许多用户将数据的多个副本存储在单云服务器上,但是单云服务器在发生故障或者其他意外情况时,用户存储的数据副本也会遭到破坏因而无法恢复原始数据。同时,许多可证数据持有方案依赖于公钥基础设施(Public Key Infrastructure, PKI)技术,存在密钥管理问题。此外,现有的可证数据持有方案大多是在用户端使用密钥对数据进行处理。由于用户端的安全意识较弱或者安全设置较低,密钥可能会有泄露的风险。恶意云一旦获得了用户端的密钥,就可以通过伪造虚假的数据持有证明来隐藏数据丢失的事件。基于上述问题,提出了一种基于身份的密钥隔离的多云多副本可证数据持有方案(Identity-Based Key-Insulated Provable Multi-Copy Data Possession in Multi-Cloud Storage, IDKIMC-PDP)。基于身份的可证数据持有方案消除了公钥基础设施技术中复杂的证书管理。多云多副本确保了即使在某个云服务器上的副本被篡改或者被破坏的情况下,用户仍然可以从其他云服务器上获取副本并恢复数据。同时,方案中使用了密钥隔离技术实现了前向和后向安全。即使某一时间段内的密钥泄露,其他时间段内云存储审计的安全性也不会受到影响。给出了该方案的正式定义、系统模型和安全模型;在标准困难问题下,给出了该方案的安全性证明。安全性分析表明,IDKIMC-PDP方案具有强抗密钥泄露性、可检测性以及数据块标签和证明的不可伪造性。实验结果表明,与现有的多云多副本相关方案相比,IDKIMC-PDP方案具有相对较高的效率。

电力物联网下终端密钥全生命周期安全管理方案

针对电力物联网下的终端规模化接入及终端通信安全问题,提出了一种电力物联网下终端密钥全生命周期安全管理方案。首先,方案基于国密算法采用两级密钥分发架构,实现了电力终端在不同阶段的安全接入认证;其次,方案基于逻辑密钥层次结构采用组密钥管理模式,实现了对单播和广播数据的轻量级加密,保障电力终端的通信安全;另外,方案按照密钥用途不同采取不同的存储和访问管理策略,实现了终端密钥的混合式存储和管理,缩短终端密钥的访问时间。通过性能分析可知,相较于传统的接入认证和基于逻辑密钥层次结构的密钥管理方案,所提方案优化了终端计算量,减少了计算开销,简化了密钥更新过程,相较于常规终端密钥的存储和管理方式,所提方案在不改变现有硬件平台的基础上提升了密钥访问性能。

量子密钥分发与量子身份认证技术的融合应用分析

量子密钥分发与量子身份认证技术是量子密码学的核心,提供了全新的信息安全保障思路。量子密钥分发技术通过利用量子力学原理确保密钥在传输中的安全性,而量子身份认证技术则通过量子态的特性确保身份认证的真实性和无法伪造性。量子密钥分发与量子身份认证技术的结合,能够有效应对量子计算带来的安全挑战,并提供更高的防护等级。

非交互密钥协商综述

非交互密钥协商作为一种重要的密码学原语是一种极具潜力的安全信道建立范式,持续受到学术界和工业界的密切关注.本文综述了非交互密钥协商协议的发展概况以及待解决的问题.有别于以往的综述,我们在对传统的非交互密钥协商协议进行全面回顾的同时,还对由消息层安全协议衍生的一类部分非交互密钥协商协议进行了深入的探讨.这类协议的突出特点在于,它们能够(部分)非交互式地为群组建立(初次)会话密钥;且后续在群组需要动态变化时,仅需其中一个参与者发送一条请求消息,其他参与者进行监听就能完成群组会话密钥的更新.此外,本文首次讨论了一种基于非对称群密钥协商构造多方非交互密钥协商协议的潜在技术路线,以及利用区块链技术作为公钥基础设施扩充组件用于解决非交互密钥协商协议设计中潜在风险的方法.

无线传感器网络中基于临时初始密钥的密钥管理协议

针对网络中相邻节点对通信、局部广播通信及新节点认证中的安全问题,提出无线传感器网络中基于临时初始密钥的密钥管理协议-PLA协议.该协议要求在网络部署的时候为每个节点分配唯一的标识符和一个临时初始密钥.节点基于临时初始密钥和相关信息建立用于节点对之间通信的密钥(Pairwise Key,简称点对密钥)、用于与其所有邻居节点同时通信的局部广播密钥(Local Broadcast Key,简称局部广播密钥)以及用于认证新加入节点的认证密钥(Authentication Key,简称认证密钥).与现有协议如LEAP协议和OTMK协议相比较,该协议降低了能耗,提高了安全性.

密钥协商协议进展

密钥协商协议允许两个或多个用户在公开网络中建立一个共享密钥,是最基本的密码原型和公钥密码学的基础。本文综述密钥协商协议的研究进展,包括密钥协商的安全模型、传统离散对数环境下的密钥协商协议、最近发展起来的基于双线性对的密钥协商协议以及基于口令的密钥协商协议,指出了密钥协商协议中的公开问题和未来可能的发展方向。

基于MAP准则的无线信道密钥量化算法

在物理层安全领域中,基于无线信道的密钥生成技术包括信道探测、量化、密钥协商和保密增强等4个步骤。针对传统量化方案仅关注量化端点值设计、初始密钥不一致率(Key Disagreement Rate,KDR)偏高的问题,通过搭建对合作方量化结果进行概率推算的数学模型,获取其量化符号信息和比特软信息,提出了基于最大后验判决准则(Maximum a Posteriori,MAP)的量化算法。仿真结果表明,所提算法能取得更低的KDR,在信噪比为10 dB环境下,该算法的KDR比等概量化降低了43%,比信道交互量化(Channel Quantization Alternating,CQA)降低了35%;采用2比特量化,该算法的可生成密钥长度较CQA提高了2倍。

车载网中条件隐私保护认证与组密钥协商方案

针对车载自组网中群组通信安全和组密钥更新的效率问题,提出一种条件隐私保护认证与组密钥协商方案。设计基于单向哈希链的组密钥生成和分发机制,实现组密钥快速更新,同时保证组密钥的前向和后向安全。为减轻可信机构的存储管理负担,车辆使用长期假名并利用随机数对长期假名进行随机化,隐藏车辆真实身份,实现不可链接性。可信机构使用系统私钥计算车辆的唯一标签,将标签与长期假名绑定,实现车辆的追溯。安全分析与实验结果表明,所提方案能够满足条件隐私保护、前向保密、后向保密等多种安全要求,与相关组密钥管理方案相比,能够有效降低计算开销和通信开销。

一种改进的对称密钥动态生成算法及应用

针对目前对称加密算法对称密钥传输不安全的现状,提出了基于初始密钥和动态密钥合成函数矩阵的改进密钥生成算法,在不牺牲计算速度的前提下有效地实现了密钥传输的安全性。最后,通过实例说明了这一改进的对称密钥动态生成算法的实现模式和实现过程。本研究结论是这种改进的对称密钥动态生成算法原理简单,效率高,适于加密领域作进一步的研究和推广使用。

面向SQLite的多密钥页级别加密系统

目前国内外对于SQLite的加密的研究粒度级别都是文件级别,且采取的都是单一密钥,加密粒度粗、破解难度低。针对SQLite的安全性不足的问题,设计了一个多密钥页级别加密系统。首先,为每一个物理页设置一个独立的页密钥,每个页面独立加解密,并引入密钥文件存放所有页密钥;其次,在内存中引入一个页密钥缓存器KeyCache生成和缓存物理页的页密钥,减少页密钥频繁I/O读写的性能损失;再次,设计了加解密模块Crypto实现物理页的加密和解密功能,Crypto通过KeyCache快速获取页密钥从而提升整个系统的处理性能。将所提系统和典型的SQLCipher等进行对比实验:在读取测试和修改测试中,相较于SQLCipher,所提系统的执行时间平均缩短了1.5%和3.0%,能在安全级别更高的情况下达到更好的性能;而在新增测试和删除测试中,所提系统相较于SQLCipher的性能损失很小,在大幅提升安全级别的情况下性能损失接近。实验结果验证了所提系统的有效性。

基于关联规则的群组共享密钥协议研究

静态的密钥管理策略难以适应网络动态变化.针对这一问题提出一种基于关联规则的群组密钥管理方案,使用关联规则分析移动分布式网络中密钥之间的关系,通过路由中密钥使用频率挖掘群组密钥之间的频繁关系,根据可信度建立合理的密钥共享方案.在效率上,该方案适应网络动态变化,降低对先验知识的需求,发现频繁密钥集规模与路由延时之间的折中关系,网络实体可根据密钥之间的频繁关系动态调整群组密钥管理方式.在安全性上,节点根据密钥规则选择密钥策略,在频繁密钥集上实施共享密钥协议,提高了安全性.

量子密钥分发过程中编码技术专利研究

实现量子密钥分配QKD的第一个重要步骤就是对脉冲进行编码。本文以CNABS、DWPI数据库为主,从专利申请整体发展趋势、专利申请国家分布、各技术分支功效分析、技术演进路线等多个角度对量子密钥分配中编码领域的全球、中国专利申请情况进行分析。安全密钥率是衡量量子密钥分配QKD系统安全性和实用性的主要指标。系统每秒生成安全的最终码正比于系统重复率与每脉冲成码率,除了误码率和损耗率的影响,每脉冲成码率还取决于编码技术。

公钥加密综述

上世纪中叶起,信息化技术的飞速发展引发了人类社会组织形态的根本性变革,从集中式迁移为分布式,“海内存知己,天涯若比邻”从诗歌意象走进现实世界.面向分布式环境下的隐私保护需求,1976年Diffie和Hellman开创了现代密码学的新方向---公钥密码学.半个多世纪以来,公钥密码学一直处于最活跃的前沿,引领驱动了密码学的研究进展,极大丰富了密码学的学科内涵.公钥加密作为公钥密码学最重要的组成部分,在理论方面孕育了可证明安全方法、将各类数学困难问题纳入工具库、启发了一系列密码原语和重要概念,已有多项突破性成果获得Turing奖和Gödel奖;在应用方面则是各类网络通信安全协议的核心组件,在公开信道上实现保密通信.当前,公钥加密仍处于快速发展阶段,在安全性方面,各类超越传统语义安全的高级安全属性研究已经日趋成熟,基于复杂性弱假设的细粒度模型下的安全研究正在兴起;在功能性方面,函数加密的研究方兴未艾,全同态加密的研究如火如荼.本综述按照安全性增强和功能性扩展这两条并行的线索对公钥加密的发展历程和前沿进展做系统性的梳理,旨在引领读者快速登高俯瞰,将重要的概念、主要的结果和关键的技术尽收眼底,在领略公钥加密沿途美景之余,远眺待探索的广袤深邃领域.

PKI体系中的密钥管理技术及实现方案

论述了PKI体系中密钥管理的重要性,同时给出了密钥管理的体系结构模型,并给出了相应密钥的管理方案,包括CA根密钥的管理、服务器密钥的管理、交换密钥的管理以及用户密钥的管理等。

基于PKI的具有私钥可更新属性的公钥加密方案

公钥加密技术的出现解决了对称加密技术长期存在的密钥分发、密钥管理、抵赖否认等问题。然而基于PKI的公钥加密方案仍存在2个问题,一是如果私钥长期使用不更新,易造成密钥泄露的问题,降低方案的安全性;二是如果私钥频繁更新,则公钥也需要随之更新,造成证书管理困难问题。针对现有公钥加密方案的不足,提出了一种基于PKI的具有私钥可更新属性的公钥加密方案,该方案可在保持公钥不变的前提下进行私钥更新,有效解决了上述问题。