Performance Comparison of Hyper-V and KVM for Cryptographic Tasks in Cloud Computing

As the extensive use of cloud computing raises questions about the security of any personal data stored there,cryptography is being used more frequently as a security tool to protect data confidentiality and privacy in the cloud environment.A hypervisor is a virtualization software used in cloud hosting to divide and allocate resources on various pieces of hardware.The choice of hypervisor can significantly impact the performance of cryptographic operations in the cloud environment.An important issue that must be carefully examined is that no hypervisor is completely superior in terms of performance;Each hypervisor should be examined to meet specific needs.The main objective of this study is to provide accurate results to compare the performance of Hyper-V and Kernel-based Virtual Machine(KVM)while implementing different cryptographic algorithms to guide cloud service providers and end users in choosing the most suitable hypervisor for their cryptographic needs.This study evaluated the efficiency of two hypervisors,Hyper-V and KVM,in implementing six cryptographic algorithms:Rivest,Shamir,Adleman(RSA),Advanced Encryption Standard(AES),Triple Data Encryption Standard(TripleDES),Carlisle Adams and Stafford Tavares(CAST-128),BLOWFISH,and TwoFish.The study’s findings show that KVM outperforms Hyper-V,with 12.2%less Central Processing Unit(CPU)use and 12.95%less time overall for encryption and decryption operations with various file sizes.The study’s findings emphasize how crucial it is to pick a hypervisor that is appropriate for cryptographic needs in a cloud environment,which could assist both cloud service providers and end users.Future research may focus more on how various hypervisors perform while handling cryptographic workloads.

Research of the Kernel Operator Library Based on Cryptographic Algorithm

The variety of encryption mechanism and algorithms which were conventionally used have some limitations.The kernel operator library based on Cryptographic algorithm is put forward. Owing to the impenetrability of algorithm, the data transfer system with the cryptographic algorithm library has many remarkable advantages in algorithm rebuilding and optimization,easily adding and deleting algorithm, and improving the security power over the traditional algorithm. The user can choose any one in all algorithms with the method against any attack because the cryptographic algorithm library is extensible.

Establishment and Application of Cryptographic Library Model

When doing reverse analysis of program’s binary codes, it is often to encounter the function of cryptographic library. In order to reduce workload, a cryptographic library model has been designed by analysts. Models use formalized approach to describe the frame of cryptology and the structure of cryptographic function, complete the mapping from cryptographic function property to its architecture, and accomplish the result presentation of data analysis and mapping at last. The model can solve two problems: the first one is to know the hierarchy of the cryptographic function in the library well;the second one is to know some kinds of information, such as related cryptology algorithm and protocol, etc. These function implements can display the result graphically. The model can find relevant knowledge for the analysts automatically and rapidly, which is helpful to the learning of the overall abstract structure of cryptology.

全同态加密软硬件加速研究进展

全同态加密(FHE)是一种重计算、轻交互的多方安全计算协议。在基于全同态加密的计算协议中,尽管计算参与方之间无需多轮交互与大量通信,加密状态下的密态数据处理时间通常是明文计算的10~3~10~6倍,极大地阻碍了这类计算协议的实际落地;而密态数据上的主要处理负担是大规模的并行密码运算和运算所必须的密文及密钥数据搬运需求。该文聚焦软、硬件两个层面上的全同态加密加速这一研究热点,通过系统性地归类及整理当前领域中的文献,讨论全同态加密计算加速的研究现状与展望。

SeChain:基于国密算法的RISC-V安全启动机制设计与实现

开源RISC-V指令集为我国建立自主可控物联网生态提供了重大机遇.然而,物联网设备通常缺乏硬件加固措施,容易遭受物理级的固件篡改攻击,因此保障固件完整性以提高设备安全性至关重要.为此,已有基于安全启动技术的初步探索,但仍存在3个问题:1)传统软件信任根难以保证物理级可靠性;2)主流硬件级安全启动技术被国际芯片厂商掌握,技术未公开且不支持国密算法,无法保证安全自主可控;3)已有基于RISC-V CPU的安全启动研究缺乏对上层固件的校验机制.为解决上述3个问题,首次设计并实现基于国密SM9算法的RISC-V安全启动机制——SeChain.具体而言:1)在RISC-V SoC内部增加了签名计算单元(signature calculation unit,SCU),实现密钥对生成与签名;2)增加了密钥验证单元(key verification unit,KVU),实现验证算法的片内执行及固件完整性验证;3)设计实现基于验证引导的多级安全启动机制,从不可篡改的硬件信任根出发,逐级完成引导程序的完整性校验.基于上述设计,SeChain实现了信任根的不可篡改和安全可信,构造了一个可信的安全启动链,基于国密SM9算法为设备的安全启动和可信执行提供可靠保障.为了验证SeChain的有效性、高效性和可靠性,基于VexRiscv CPU在FPGA硬件平台完成了SeChain仿真验证实验.实验结果表明,SeChain能够有效抵御各类固件篡改攻击,并能对抗信任根攻击,且平均额外时间开销不超过6.47 s.SeChain适用于资源受限的IoT设备,在满足安全可信启动的同时,能为国产RISC-V生态的安全自主可控提供有力保障.

uBlock算法的低延迟一阶门限实现方法

目前已有文献给出了uBlock分组密码算法的侧信道防护方案,但是这些方案不仅延迟较高,难以适用于低延迟高吞吐场景,而且在毛刺探测模型下缺乏可证明安全性.针对这一问题,本文给出了在毛刺探测模型下具有可证明安全性的uBlock算法的低延迟门限实现方案.此外,我们引入了Changing of the Guards技术来避免防护方案在执行过程中需要额外随机数.对于防护方案的安全性,我们用自动化评估工具SILVER验证了S盒的毛刺探测安全性,并用泄露评估技术TVLA(Test Vector Leakage Assessment)验证了防护方案的整个电路的安全性.最后,我们用Design Compiler工具对防护方案的性能消耗情况进行了评估.评估结果显示,与序列化实现方式的uBlock防护方案相比,我们的防护方案的延迟能够减少约95%.

基于CRCLA的形式化描述与退火遗传映射算法

为解决密码算法映射到粗粒度可重构密码逻辑阵列(CRCLA)过程的描述困难问题,提出一种数据流图节点与划分后节点簇的描述形式,并以一种坐标序列描述形式精确显示CRCLA中资源的占用情况;针对密码算法映射到CRCLA上性能不高及编译时间过长的问题,提出一种能快速收敛到全局最优解的退火遗传算法,从初始温度、降温系数等方面对退火算法进行改进,增加遗传算法的筛选、交叉与变异流程。实验结果表明,编译时间与性能平均降低了30.6%与13.4%,验证了算法的高能效映射。

完备的IBE密码学逆向防火墙构造方法

斯诺登事件后,以算法替换攻击为代表的后门攻击带来的威胁受到广泛关注.该类攻击通过不可检测的篡改密码协议参与方的算法流程,在算法中嵌入后门来获得秘密信息.为协议参与方配置密码学逆向防火墙(cryptographic reverse firewall,CRF)是抵抗算法替换攻击的主要手段.基于身份加密(identity-based encryption,IBE)作为一种广泛应用的公钥加密体制,亟需构建合适的CRF方案.然而,已有工作仅实现了CRF再随机化的功能,忽视了将用户私钥直接发送给作为第三方的CRF的安全风险.针对上述问题,首先给出适用于IBE的CRF安全性质的形式化定义和安全模型.其次提出可再随机化且密钥可延展的无安全信道IBE(rerandomizable and keymalleable secure channel free IBE,RKM-SFC-IBE)的形式化定义并给出传统IBE转化为RKM-SFC-IBE以及增加匿名性的方法.最后基于RKM-SFC-IBE给出对应CRF的一般性构造方法,并给出标准模型下IBE方案的CRF构造实例与性能优化方法.与已有工作相比,提出完备的适用于IBE的CRF安全模型,给出一般构造方法,明确为表达力更强的加密方案构造CRF时的基本原则.

分组密码算法在x64平台上的软件实现速度测试方法研究

密码算法的软件实现速度是衡量其实现性能的重要指标之一。在密码算法的设计和评估工作中,测试密码算法的软件实现速度是一项必不可少的工作。在国内外已有的工作中,关于如何在x64平台上进行密码算法的软件实现速度测试没有形成统一的测试标准。本文以分组密码算法的速度测试为例,研究如何在x64平台上测试密码算法的软件实现速度。首先,我们通过实验分析在x64平台上对密码算法进行软件实现速度测试的过程中容易出现的问题。第二步,我们对目前已有的四种速度测试方法:Matsui速度测试方法,Fog速度测试方法,SUPERCOP速度测试方法和Gladman速度测试方法进行研究,对四种速度测试方法的异同进行比较,分析四种方法中存在的问题。第三步,我们采用理论分析与实验探究相结合的研究方法,研究如何降低速度测试过程中产生的波动性数据对实验结果的影响。我们对速度测试公式选择、样本量选择等问题进行了细致的研究。最终我们给出在x64平台上测试分组密码算法软件实现速度的最小值和平均值的有效方法。应用该方法得到的测试结果是稳定的(测试得到的速度随机性小,结果既不会偏大也不会偏小)、可靠(测试过程取样充分,测试得到的速度是可信的)、高效的(在保证测试结果可靠和稳定的前提下,取样量较小,测试过程耗时较少)。利用本文给出的速度测试方法,我们对AES算法和SM4算法在x64平台上的软件实现速度进行了实际测试。

GB/T 33134-2023等标准在国家域名服务技术平台中的应用

围绕国家域名服务技术平台对安全性、稳定性的需求,遵循公共域名服务系统安全要求、国产商用密码算法等网络安全国家标准,自主研发多项的国家域名注册系统、解析系统等关键系统,全面覆盖域名服务各大领域,有效满足国家域名注册、审核、存储、解析全生命周期在机密性、完整性和可用性等方面的安全需求,显著提升国家域名服务技术平台服务质量,并为多家政府机构及重要新闻媒体提供稳定解析服务。

基于国密算法的列车控制系统传输加密研究

为提高列车控制系统中铁路安全通信协议的机密性,消除数据明文传输存在的潜在威胁,提出了基于国家商用密码算法的列控系统核心网络加密技术实施方案。通过硬件、软件结合构建加密保护方案:在信号安全数据网子网内或子网间串接密码机,实现硬件的数据帧加密;采用三重SM4加密算法对通信报文的数据帧加密,实现列控系统软件应用数据的加密。搭建列控系统测试环境对加密技术方案进行验证,试验结果表明:该加密方案在对列控系统的业务处理能力无影响的情况下,可以有效提高列控系统重要数据在传输过程中的机密性和完整性。基于国密算法的列控系统传输加密研究为列控系统提供了传输加密可借鉴的方法和应用实例,也为铁路信号系统数据的安全高效传输提供了新的思路。

国产密码算法标准在交通一卡通智慧出行领域的实践

为构建以国产密码为主要支撑的交通一卡通信息安全保障体系,遵循SM系列国产密码算法等网络安全国家标准的核心内容,将国产密码算法应用于交通一卡通互联互通智慧出行领域。通过对交通一卡通业务所涉及的各类系统、终端、用户端等方面进行国产密码算法的升级建设,进行国产密码的终端、用户卡等设备的量产和应用,建立了国产密码的支撑体系,提升了交通一卡通各相关系统的安全能力,为交通一卡通领域的高质量发展奠定了基础。

对称密码的量子分析法综述

随着量子计算技术的不断进步, 密码学研究者不得不深入研究量子计算模型对经典对称密码算法带来的安全威胁. 本文综述了近年来在量子计算模型下针对经典分组密码和结构、认证和认证加密算法、哈希函数等的量子通用攻击和专用攻击等. 由于量子计算模型在不同敌手假设下取得的攻击效率不同, 因此本文对不同攻击假设进行了分类, 并归纳总结了不同假设下密码研究者所取得的重要研究成果.

基于国密算法的MQTT安全机制研究与实现

针对现有MQTT协议缺乏有效身份认证以及数据以明文形式传输的问题,提出了一种基于国密算法SM2,SM3,SM4的MQTT安全保护方案。通过SM2算法实现客户端与MQTT Broker之间的双向身份认证;通过SM4算法加密MQTT协议中用户名、密码、主题的消息内容等数据;通过SM3算法保证MQTT协议传输数据的完整性。将自主可控的国产密码技术应用到MQTT协议中,可有效提升该协议的安全防护能力。安全性分析和实验结果表明,所提方案在解决了MQTT协议安全问题的同时,也可以满足实际的应用需求。

基于国密算法的CoAP安全协议研究与实现

随着接入物联网的小型设备增多,受限应用协议(constrained application protocol, CoAP)的使用频率上升,对CoAP通信安全性的关切也日益突显。为确保客户端与服务器通信的安全性,提出一种基于国产密码算法的创新性CoAP安全方案。在配置阶段,将预共享密钥硬编码到设备中;身份认证及密钥协商阶段采用基于有效负载的加密方法,通过两条握手消息完成双方身份认证,并获取用于数据传输的协商密钥;数据传输阶段采用观察者模式,客户端发送观察资源请求,依赖服务器加密传输资源,实现节能观察。安全方案使用SM4算法对身份认证和数据传输的数据进行加密,利用SM3算法验证消息完整性,有效提升了CoAP的安全防护能力。安全性分析和仿真实验结果展示了其在计算、通信和存储方面的卓越性能,确保了方案能够满足实际应用需求。

采用流式并行架构处理数据帧的优化方法

相较于其他软硬件平台的高速优势和基于时序的特有控制方式,FPGA在通信领域中的应用愈发广泛。论文对网口、串口等多业务接口的通信数据帧加密运算的逻辑处理架构进行了分析与优化。优化后的逻辑架构实现了数据帧流式传输、快速并行处理、业务优先级仲裁,以及算法资源动态分配功能。大大减少时间开销,提高逻辑处理模块的运算效率和算力分配的灵活性。文末采用综合仿真的方法验证了该种优化的可行性。

南京市电子病历文件管理系统国产商用密码应用改造实践

随着新兴技术在医疗行业的广泛应用,医疗卫生数据的价值凸显,安全挑战随之而来。如何实现医疗卫生领域密码应用的安全自主可控,推进建立卫生行业商用密码安全性应用的统一标准规范,成为医疗安全领域的重要议题。南京市卫生信息中心利用国产商用密码技术,以南京市电子病历文件管理系统为实践载体,从硬件、网络、设备、应用数据、密钥管理和部署等角度进行改造,建立了商用密码应用安全支撑体系,并通过安全性评估三级,可为各卫生机构数据安全和国产商用密码应用改造提供参考。

国产密码算法在信创领域中的研究及应用

随着信息技术的快速发展和全球化进程的加速,信息安全问题日益突出,基于国家安全战略的考虑,我国积极推动信息技术国产化,以降低对外部技术的依赖,提高自主创新能力和国家安全水平。其中,SM密码算法作为国产密码算法的代表,具有较高的安全性和性能优势,成为了国产化信息系统建设中的重要组成部分。本文将对国产SM密码算法在信创中的作用进行研究和分析,并结合实例探讨其应用前景。

一种行业用户无线通信专网设计

无线通信网络对行业用户的安全保卫、突发事件处置、日常业务开展等方面的通信保障起着十分重要的作用,但现有无线通信网络存在通信体制繁杂、集群调度能力弱、安全性低等不足,已无法满足业务发展需求。针对现有无线通信网络痛点,充分考虑未来发展要求,结合用户安全及使用需求,采用国产警用数字集群(Police Digital Trunking,PDT)通信体制、国密算法和加密标准,为行业用户构建无线通信专网。通过对专网通信体制、安全保密体系架构、技术路线等的研究,对专网进行了总体设计,并提出了实现途径。

S-box:six-dimensional compound hyperchaotic map and artificial bee colony algorithm

Being as unique nonlinear components of block ciphers,substitution boxes（S-boxes） directly affect the security of the cryptographic systems.It is important and difficult to design cryptographically strong S-boxes that simultaneously meet with multiple cryptographic criteria such as bijection,non-linearity,strict avalanche criterion（SAC）,bits independence criterion（BIC）,differential probability（DP） and linear probability（LP）.To deal with this problem,a chaotic S-box based on the artificial bee colony algorithm（CSABC） is designed.It uses the S-boxes generated by the six-dimensional compound hyperchaotic map as the initial individuals and employs ABC to improve their performance.In addition,it considers the nonlinearity and differential uniformity as the fitness functions.A series of experiments have been conducted to compare multiple cryptographic criteria of this algorithm with other algorithms.Simulation results show that the new algorithm has cryptographically strong S-box while meeting multiple cryptographic criteria.