Performance Comparison of Hyper-V and KVM for Cryptographic Tasks in Cloud Computing

As the extensive use of cloud computing raises questions about the security of any personal data stored there,cryptography is being used more frequently as a security tool to protect data confidentiality and privacy in the cloud environment.A hypervisor is a virtualization software used in cloud hosting to divide and allocate resources on various pieces of hardware.The choice of hypervisor can significantly impact the performance of cryptographic operations in the cloud environment.An important issue that must be carefully examined is that no hypervisor is completely superior in terms of performance;Each hypervisor should be examined to meet specific needs.The main objective of this study is to provide accurate results to compare the performance of Hyper-V and Kernel-based Virtual Machine(KVM)while implementing different cryptographic algorithms to guide cloud service providers and end users in choosing the most suitable hypervisor for their cryptographic needs.This study evaluated the efficiency of two hypervisors,Hyper-V and KVM,in implementing six cryptographic algorithms:Rivest,Shamir,Adleman(RSA),Advanced Encryption Standard(AES),Triple Data Encryption Standard(TripleDES),Carlisle Adams and Stafford Tavares(CAST-128),BLOWFISH,and TwoFish.The study’s findings show that KVM outperforms Hyper-V,with 12.2%less Central Processing Unit(CPU)use and 12.95%less time overall for encryption and decryption operations with various file sizes.The study’s findings emphasize how crucial it is to pick a hypervisor that is appropriate for cryptographic needs in a cloud environment,which could assist both cloud service providers and end users.Future research may focus more on how various hypervisors perform while handling cryptographic workloads.

Research of the Kernel Operator Library Based on Cryptographic Algorithm

The variety of encryption mechanism and algorithms which were conventionally used have some limitations.The kernel operator library based on Cryptographic algorithm is put forward. Owing to the impenetrability of algorithm, the data transfer system with the cryptographic algorithm library has many remarkable advantages in algorithm rebuilding and optimization,easily adding and deleting algorithm, and improving the security power over the traditional algorithm. The user can choose any one in all algorithms with the method against any attack because the cryptographic algorithm library is extensible.

Establishment and Application of Cryptographic Library Model

When doing reverse analysis of program’s binary codes, it is often to encounter the function of cryptographic library. In order to reduce workload, a cryptographic library model has been designed by analysts. Models use formalized approach to describe the frame of cryptology and the structure of cryptographic function, complete the mapping from cryptographic function property to its architecture, and accomplish the result presentation of data analysis and mapping at last. The model can solve two problems: the first one is to know the hierarchy of the cryptographic function in the library well;the second one is to know some kinds of information, such as related cryptology algorithm and protocol, etc. These function implements can display the result graphically. The model can find relevant knowledge for the analysts automatically and rapidly, which is helpful to the learning of the overall abstract structure of cryptology.

Feasibility analysis of two identity-based proxy ring signature schemes

Recently, proxy ring signature schemes have been shown to be useful in various applications, such as electronic polling, electronic payment, etc. Although many proxy ring signature schemes have been pro-posed, there are only two identity-based proxy ring signature schemes have been proposed until now, i. e., Cheng＇s scheme and Lang＇s scheme. It＇s unlucky that the two identity-based proxy ring signature schemes are unfeasible. This paper points out the reasons why the two identity-based proxy ring signature schemes are unfeasible. In order to design feasible and efficient identity-based proxy ring signature schemes from bilinear pairings, we have to search for other methods.

基于后量子密码算法的安全SoC芯片设计

后量子密码算法已经成为当前安全领域的研究热点。本文通过对NIST后量子密码算法竞赛候选的Saber算法进行研究,提出一种基于后量子密码算法的安全SoC芯片设计方案。该方案首先分析算法的硬件架构,优化矩阵运算和数值拼接等操作提升硬件效率,采用二次验证方式加强算法解密过程的安全性;然后,设计Hash随机数拓展生成模块、加解密模块和数据存储器以及随机数种子生成器,完成Saber算法的硬件IP核;其次,在RISC V处理器、总线和接口电路的基础上,结合时钟门控技术降低功耗,设计基于后量子密码算法的安全SoC芯片。实验结果表明,所设计的安全SoC芯片面积为2.6 mm^(2),等效逻辑门数为90k,芯片内核面积占比为75.2%,PAD面积占比为24.8%,芯片功耗为9.467 mW。

基于多因素认证的安全密钥协商方案优化分析

阐述现有的基于多因素认证的安全密钥协商方案,分析存在的问题和挑战,提出一种优化的安全密钥协商方案,该方案结合多因素认证技术和密码学算法,能够提高安全性、减少计算量和通信开销。

全同态加密软硬件加速研究进展

全同态加密(FHE)是一种重计算、轻交互的多方安全计算协议。在基于全同态加密的计算协议中,尽管计算参与方之间无需多轮交互与大量通信,加密状态下的密态数据处理时间通常是明文计算的10~3~10~6倍,极大地阻碍了这类计算协议的实际落地;而密态数据上的主要处理负担是大规模的并行密码运算和运算所必须的密文及密钥数据搬运需求。该文聚焦软、硬件两个层面上的全同态加密加速这一研究热点,通过系统性地归类及整理当前领域中的文献,讨论全同态加密计算加速的研究现状与展望。

基于国密算法的列车控制系统传输加密研究

为提高列车控制系统中铁路安全通信协议的机密性,消除数据明文传输存在的潜在威胁,提出了基于国家商用密码算法的列控系统核心网络加密技术实施方案。通过硬件、软件结合构建加密保护方案:在信号安全数据网子网内或子网间串接密码机,实现硬件的数据帧加密;采用三重SM4加密算法对通信报文的数据帧加密,实现列控系统软件应用数据的加密。搭建列控系统测试环境对加密技术方案进行验证,试验结果表明:该加密方案在对列控系统的业务处理能力无影响的情况下,可以有效提高列控系统重要数据在传输过程中的机密性和完整性。基于国密算法的列控系统传输加密研究为列控系统提供了传输加密可借鉴的方法和应用实例,也为铁路信号系统数据的安全高效传输提供了新的思路。

SeChain:基于国密算法的RISC-V安全启动机制设计与实现

开源RISC-V指令集为我国建立自主可控物联网生态提供了重大机遇.然而,物联网设备通常缺乏硬件加固措施,容易遭受物理级的固件篡改攻击,因此保障固件完整性以提高设备安全性至关重要.为此,已有基于安全启动技术的初步探索,但仍存在3个问题:1)传统软件信任根难以保证物理级可靠性;2)主流硬件级安全启动技术被国际芯片厂商掌握,技术未公开且不支持国密算法,无法保证安全自主可控;3)已有基于RISC-V CPU的安全启动研究缺乏对上层固件的校验机制.为解决上述3个问题,首次设计并实现基于国密SM9算法的RISC-V安全启动机制——SeChain.具体而言:1)在RISC-V SoC内部增加了签名计算单元(signature calculation unit,SCU),实现密钥对生成与签名;2)增加了密钥验证单元(key verification unit,KVU),实现验证算法的片内执行及固件完整性验证;3)设计实现基于验证引导的多级安全启动机制,从不可篡改的硬件信任根出发,逐级完成引导程序的完整性校验.基于上述设计,SeChain实现了信任根的不可篡改和安全可信,构造了一个可信的安全启动链,基于国密SM9算法为设备的安全启动和可信执行提供可靠保障.为了验证SeChain的有效性、高效性和可靠性,基于VexRiscv CPU在FPGA硬件平台完成了SeChain仿真验证实验.实验结果表明,SeChain能够有效抵御各类固件篡改攻击,并能对抗信任根攻击,且平均额外时间开销不超过6.47 s.SeChain适用于资源受限的IoT设备,在满足安全可信启动的同时,能为国产RISC-V生态的安全自主可控提供有力保障.

基于RISC-V指令扩展方式的国密算法SM2、SM3和SM4的高效实现

基于指令扩展的密码算法实现是兼顾性能和面积的轻量级实现方式,特别适用于日益普及的物联网设备.SM2、SM3和SM4等国密算法有利于提高自主可控设备的安全性,但针对这些算法进行指令扩展的相关研究还不够充分.RISC-V由于其开源、简洁及可扩展等优点已成为业界最流行的指令集架构之一,本文主要基于国产开源RISC-V处理器对国密算法SM2、SM3和SM4进行指令扩展和高效实现.本文基于软硬件协同的理念提出总体指令的扩展方案.对相关密码算法进行深入分析和方案对比,分别设计了硬件单元,提出高效的实现方式.设计实现的协处理器具有2级流水线结构,顺序派遣、乱序执行和顺序写回的指令执行模式,以及独立内存访问单元和大位宽寄存器.协处理器统一接管了密码算法的部分控制逻辑,降低硬件资源消耗.实验结果表明,本文设计的密码协处理器硬件结构精简,资源利用率高.SM2、SM3和SM4算法占用资源少,但执行速率相比纯硬件有一定程度下降,资源面积和花费时间的乘积与其他相关文献相比有不同程度的优势.

基于国密算法的MQTT安全机制研究与实现

针对现有MQTT协议缺乏有效身份认证以及数据以明文形式传输的问题,提出了一种基于国密算法SM2,SM3,SM4的MQTT安全保护方案。通过SM2算法实现客户端与MQTT Broker之间的双向身份认证;通过SM4算法加密MQTT协议中用户名、密码、主题的消息内容等数据;通过SM3算法保证MQTT协议传输数据的完整性。将自主可控的国产密码技术应用到MQTT协议中,可有效提升该协议的安全防护能力。安全性分析和实验结果表明,所提方案在解决了MQTT协议安全问题的同时,也可以满足实际的应用需求。

uBlock算法的低延迟一阶门限实现方法

目前已有文献给出了uBlock分组密码算法的侧信道防护方案,但是这些方案不仅延迟较高,难以适用于低延迟高吞吐场景,而且在毛刺探测模型下缺乏可证明安全性.针对这一问题,本文给出了在毛刺探测模型下具有可证明安全性的uBlock算法的低延迟门限实现方案.此外,我们引入了Changing of the Guards技术来避免防护方案在执行过程中需要额外随机数.对于防护方案的安全性,我们用自动化评估工具SILVER验证了S盒的毛刺探测安全性,并用泄露评估技术TVLA(Test Vector Leakage Assessment)验证了防护方案的整个电路的安全性.最后,我们用Design Compiler工具对防护方案的性能消耗情况进行了评估.评估结果显示,与序列化实现方式的uBlock防护方案相比,我们的防护方案的延迟能够减少约95%.

完备的IBE密码学逆向防火墙构造方法

斯诺登事件后,以算法替换攻击为代表的后门攻击带来的威胁受到广泛关注.该类攻击通过不可检测的篡改密码协议参与方的算法流程,在算法中嵌入后门来获得秘密信息.为协议参与方配置密码学逆向防火墙(cryptographic reverse firewall,CRF)是抵抗算法替换攻击的主要手段.基于身份加密(identity-based encryption,IBE)作为一种广泛应用的公钥加密体制,亟需构建合适的CRF方案.然而,已有工作仅实现了CRF再随机化的功能,忽视了将用户私钥直接发送给作为第三方的CRF的安全风险.针对上述问题,首先给出适用于IBE的CRF安全性质的形式化定义和安全模型.其次提出可再随机化且密钥可延展的无安全信道IBE(rerandomizable and keymalleable secure channel free IBE,RKM-SFC-IBE)的形式化定义并给出传统IBE转化为RKM-SFC-IBE以及增加匿名性的方法.最后基于RKM-SFC-IBE给出对应CRF的一般性构造方法,并给出标准模型下IBE方案的CRF构造实例与性能优化方法.与已有工作相比,提出完备的适用于IBE的CRF安全模型,给出一般构造方法,明确为表达力更强的加密方案构造CRF时的基本原则.

基于CRCLA的形式化描述与退火遗传映射算法

为解决密码算法映射到粗粒度可重构密码逻辑阵列(CRCLA)过程的描述困难问题,提出一种数据流图节点与划分后节点簇的描述形式,并以一种坐标序列描述形式精确显示CRCLA中资源的占用情况;针对密码算法映射到CRCLA上性能不高及编译时间过长的问题,提出一种能快速收敛到全局最优解的退火遗传算法,从初始温度、降温系数等方面对退火算法进行改进,增加遗传算法的筛选、交叉与变异流程。实验结果表明,编译时间与性能平均降低了30.6%与13.4%,验证了算法的高能效映射。

分组密码算法在x64平台上的软件实现速度测试方法研究

密码算法的软件实现速度是衡量其实现性能的重要指标之一。在密码算法的设计和评估工作中,测试密码算法的软件实现速度是一项必不可少的工作。在国内外已有的工作中,关于如何在x64平台上进行密码算法的软件实现速度测试没有形成统一的测试标准。本文以分组密码算法的速度测试为例,研究如何在x64平台上测试密码算法的软件实现速度。首先,我们通过实验分析在x64平台上对密码算法进行软件实现速度测试的过程中容易出现的问题。第二步,我们对目前已有的四种速度测试方法:Matsui速度测试方法,Fog速度测试方法,SUPERCOP速度测试方法和Gladman速度测试方法进行研究,对四种速度测试方法的异同进行比较,分析四种方法中存在的问题。第三步,我们采用理论分析与实验探究相结合的研究方法,研究如何降低速度测试过程中产生的波动性数据对实验结果的影响。我们对速度测试公式选择、样本量选择等问题进行了细致的研究。最终我们给出在x64平台上测试分组密码算法软件实现速度的最小值和平均值的有效方法。应用该方法得到的测试结果是稳定的(测试得到的速度随机性小,结果既不会偏大也不会偏小)、可靠(测试过程取样充分,测试得到的速度是可信的)、高效的(在保证测试结果可靠和稳定的前提下,取样量较小,测试过程耗时较少)。利用本文给出的速度测试方法,我们对AES算法和SM4算法在x64平台上的软件实现速度进行了实际测试。

一种基于国密算法的保密多方字符串排序协议

保密排序问题由百万富翁问题衍生而来,是安全多方计算研究的基本问题,多参与方字符串排序对于数据库保密查询及电子投票求和问题的研究具有重要意义。现有保密排序问题的研究多集中在私密数据排序或者两方字符串排序,高效的多参与方字符串排序方案尚处于探索中,该文基于改进的SM2同态加密算法与门限密码算法,提出半诚实模型下的保密多方单字符排序协议,进一步构造基于权重的保密单字符排序协议以及保密多方字符串排序协议。使用模拟范例对3种协议进行安全性证明,并对协议进行性能分析与仿真实验,结果表明该文提出的保密多方单字符排序协议与保密多方字符串排序协议性能相较现有同类方案均有明显提升。

GB/T 33134-2023等标准在国家域名服务技术平台中的应用

围绕国家域名服务技术平台对安全性、稳定性的需求,遵循公共域名服务系统安全要求、国产商用密码算法等网络安全国家标准,自主研发多项的国家域名注册系统、解析系统等关键系统,全面覆盖域名服务各大领域,有效满足国家域名注册、审核、存储、解析全生命周期在机密性、完整性和可用性等方面的安全需求,显著提升国家域名服务技术平台服务质量,并为多家政府机构及重要新闻媒体提供稳定解析服务。

国产密码算法标准在交通一卡通智慧出行领域的实践

为构建以国产密码为主要支撑的交通一卡通信息安全保障体系,遵循SM系列国产密码算法等网络安全国家标准的核心内容,将国产密码算法应用于交通一卡通互联互通智慧出行领域。通过对交通一卡通业务所涉及的各类系统、终端、用户端等方面进行国产密码算法的升级建设,进行国产密码的终端、用户卡等设备的量产和应用,建立了国产密码的支撑体系,提升了交通一卡通各相关系统的安全能力,为交通一卡通领域的高质量发展奠定了基础。

对称密码的量子分析法综述

随着量子计算技术的不断进步, 密码学研究者不得不深入研究量子计算模型对经典对称密码算法带来的安全威胁. 本文综述了近年来在量子计算模型下针对经典分组密码和结构、认证和认证加密算法、哈希函数等的量子通用攻击和专用攻击等. 由于量子计算模型在不同敌手假设下取得的攻击效率不同, 因此本文对不同攻击假设进行了分类, 并归纳总结了不同假设下密码研究者所取得的重要研究成果.

基于熵源验证的分组密码识别方案

现有的密码算法识别方案基于信息熵和随机性检测方法设计密文特征,存在识别准确率较低的问题。按照熵值估计方法提取密文特征,采用包含逻辑回归、支持向量机和决策树在内的5种常用机器学习算法,对DES、AES、3DES、Blowfish和CAST共5种分组密码进行分类实验。实验结果表明,基于熵源验证的识别方案能够对分组密码的工作模式进行有效区分,分类准确率达99%。同时,在ECB模式下对DES和AES的二分类识别准确率达95%,五分类实验识别准确率达62.7%,高于基于随机性检测识别方案的75%和52%。研究表明,使用熵源验证方法可以丰富密文特征库,提高密码算法识别准确率。