Feasibility analysis of two identity-based proxy ring signature schemes

Recently, proxy ring signature schemes have been shown to be useful in various applications, such as electronic polling, electronic payment, etc. Although many proxy ring signature schemes have been pro-posed, there are only two identity-based proxy ring signature schemes have been proposed until now, i. e., Cheng＇s scheme and Lang＇s scheme. It＇s unlucky that the two identity-based proxy ring signature schemes are unfeasible. This paper points out the reasons why the two identity-based proxy ring signature schemes are unfeasible. In order to design feasible and efficient identity-based proxy ring signature schemes from bilinear pairings, we have to search for other methods.

加密API及其体系结构

API是基于应用层加密所必需的开发接口,加密API设计的优劣,很大程度上决定了密码系统的应用状况。文中分析了加密API所应该具备的功能与体系结构,并在此基础之上设计了一套完整的加密SEC＿API接口,该接口的设计考虑了完整性、可靠性、易用性以及可扩充性等,在应用中取得了良好的效果。论文重点对SEC＿API的体系结构、特点等进行了分析探讨。

侧信道攻击通用框架设计及应用

目前,密码算法、模块、设备在设计生产时都增加了评估侧信道风险这一过程。侧信道攻击的对象主要分为无保护的密码算法/模块和有保护的密码算法/模块两大类,如果针对每种攻击对象单独设计攻击方案是费时费力的,所以,基于实际侧信道攻击基础理论,结合经典侧信道分析思路,文章提出一种通用型分析框架涵盖所有攻击流程。文章将实际侧信道攻击分为3个递进的步骤,分别是侧信道逻辑漏洞评估、侧信道信息采集以及侧信道分析优化,详细阐述各步骤的实现方法,并利用该框架对改进的低熵掩码与指令乱序的双重方案对被保护的软件进行攻击测试。实验结果表明该框架具备合理性和有效性,能应对绝大多数侧信道攻击。

面向SOA的密码服务安全框架研究

SOA环境下用户管理的分布性、业务协作的动态性、以及服务的开放性给密码服务带来了极大的安全挑战。文章建立了一种安全框架,该框架定义了完整的安全服务集合和接口,可满足密码服务安全接入、访问控制、安全共享的特殊要求,为面向SOA的密码服务提供了安全保障。

发挥密码基础支撑作用，整体保障云计算安全

云计算作为信息化发展方向,为大数据应用、智能制造、人工智能、智慧城市等提供计算、网络、存储资源,已经广泛深入到我国政务、交通、能源等各个领域,出现了政务云、交通云、能源云等。云计算安全直接关系到我国关键信息基础设施的安全,因此,必须充分发挥密码在云计算安全中的核心支撑作用,从整体保障角度,构建以密码为核心的云安全保障体系,指导密码应用和云计算应用场景的深度融合,从技术体系角度,打造密码应用技术支撑框架,促进密码技术产品更好适应云计算应用场景。从而在云计算时代,科学、全面、合规的使用密码,体系化发挥密码整体保障效能,护航数字中国。

密码服务API通用可组合框架

密码服务API是各类信息系统获取密码服务的入口,为信息系统的密钥协商、信息加密和身份认证等提供密码算法的调用与处理,当前攻击者针对API设计缺陷或漏洞,绕过系统安全策略或者非正常调用密码处理过程,从而达到欺骗密码服务系统,获取密码系统内部的密码资源或秘密信息.本文通过研究密码服务API功能函数组合应用的安全性证明问题,提出了密码服务API的通用可组合框架,旨在通过形式化分析方法对密码服务API的安全性进行验证.在通用可组合安全框架下,添加了支持密码服务API全局状态的记录、读取和操作,提出了密码服务API通用可组合安全框架.对理想模型下、现实模型下和混合模型下的密码服务API执行过程进行了形式化描述,通过基础定理的证明验证了在API通用可组合框架下,以API基础功能为基础,验证复杂API安全性是可行的.

嵌入式Linux下文件管理系统的设计与实现

目前的文件管理系统大多是基于Windows操作系统的,很少有针对Linux系统。针对目前计算机中文件信息不能有效保护,易于泄露和篡改,设计基于Linux系统的文件管理系统。该设计使用Java加密框架完整实现文件系统的加密,同时利用校验技术对用户进行认证。通过测试,该加密文件系统在功能和性能上满足设计的目标,达到很好的试验效果。

一种基于TrustZone的硬件密码资源主动发现与安全使用方法

为解决各类密码设备提供商各自为政、安全运维工作量大和安全应用开发不便的问题,研究者在操作系统层面建立了密码服务框架,以统一各类软硬件密码资源。然而,现有的密码服务框架一方面不具备对系统硬件密码资源主动发现和主动挂载的能力,仍然需要用户主动加载密码设备和将密码资源挂载到密码服务框架,然后才能在安全应用中调用;另一方面可能导致高密级的硬件密码设备被越权访问和使用。为解决上述问题,文章提出一种基于TrustZone的硬件密码资源主动发现与安全使用方法。通过TrustZone提供的安全隔离计算环境对密码服务框架进行扩展;通过与操作系统内核的互动,使得密码服务框架具备主动检测和安全加载系统硬件密码资源的能力。文章在飞腾FT-2000/4处理器平台上实现了原型系统,测试表明,文章所提出的方法能够成功实现硬件密码资源的主动发现和安全使用。

Identity-based aggregate signcryption in the standard model from multilinear maps

Signcryption is a public key cryptographic method that achieves unforgeability and confidentiality simultaneously with significantly smaller overhead than that required by ＂digital signature followed by public key encryption＂. It does this by signing and encr.ypting a message in a single step. An aggregate signcryption scheme allows individual signcryption ciphertexts intended for the same recipi- ent to be aggregated into a single （shorter） combined ciphertext without losing any of the security guarantees. We present an aggregate signcryption scheme in the identity-based setting using multilinear maps, and provide a proof of security in the standard model. To the best of our knowledge, our new scheme is the first aggregate signcryption scheme that is secure in the standard model.

调和UC模型和DDMP模型的方法

通过对基于计算复杂性方法的UC模型和基于逻辑证明方法的DDMP模型这两种密码协议分析模型的研究和比较,提出结合两个模型的方法,证明两个模型中安全性的对应关系。应用示例结果表明,使用该密码协议分析方法能够得到通用可组合的、计算可靠的、清晰易检查的协议安全性形式化证明,有助于揭示UC模型中理想功能的结构内涵。

UC安全性证明中模拟器构造方法研究

在UC模型(通用可组合安全分析模型)中密码协议安全性证明的难点是模拟器的构造,而目前模拟器的构造没有通用有效的方法可循,针对这一问题,提出了一种构造模拟器的通用有效的方法。研究了UC模型的构建原理,分析了UC安全性的本质要求,指出了符合UC安全性本质要求的模拟器存在条件以及模拟内容,在此基础上,阐述了构造模拟器的方法,并给出了该方法的正确性分析。为正确使用UC模型进行密码协议的UC安全性证明提供了切实可行的方法。

智能锁密码应用标准框架设计

为促进自主可控密码技术在智能锁领域的普及应用,制定智能锁密码应用标准势在必行.分析了制定智能锁密码应用标准过程中需要应对的挑战,指出智能锁支持"无钥匙"、"非钥匙"的特性导致现行锁具标准中的钥匙相关要求不适用于智能锁,而智能锁普遍支持网络通信功能导致智能锁标准需要与现行的锁具标准和锁系统标准协调一致;提出锁(系统)的概念,在此基础上给出智能锁(系统)的定义,实现了智能锁、锁具和锁系统的统一描述;设计了适用于智能锁密码应用标准制定的智能锁(系统)基本模型,基于现行标准分析了智能锁(系统)的密码应用需求,并提出了一种与现行相关标准协调一致、可用于智能锁密码应用标准制定的框架,对于相关的标准化工作有一定的参考价值.

一般化通用可组合安全框架研究

分析一般化通用可组合安全框架(GUC框架)解决的关键问题及其机理。在此基础上深入研究实现GUC承诺的一个协议示例,得出GUC框架虽然要求仿真器与现实敌手共用同一个全局可信建立,但是二者对于该全局可信建立的利用程度是不同的。将GUC框架与UC框架及其改进版本进行比较,发现能实现包括安全计算在内的所有良好形式的理想功能的现有框架拥有一个共性,即仿真器的能力比现实敌手的能力强。讨论了GUC框架仍然存在的不足。

面向工业控制系统的密码应用测评思路简析

工业控制系统被广泛应用到我国诸多关键基础设施行业,工业控制系统的信息安全事关经济发展、社会稳定和国家安全,使用密码技术保护工业控制系统安全已经成为当今工业发展所需的必要保障。然而工业控制系统不同于传统信息系统,传统的密码技术与产品无法直接迁移于工业控制系统,这对于工业控制系统及密码产品的测评技术、测评方法提出了新的要求与挑战。本文在初步介绍工业控制系统安全及密码应用后,从密码产品本身以及工业控制系统分层结构及特性来简析密码测评过程、指标与评估办法,并给出面向工业控制系统的密码应用测评的初步思路。

一种基于mbedtls框架的物联网安全算法

文章主要利用mbedtls工具展开研究,提出了一种基于mbedtls框架的物联网安全算法,在Linux系统中搭建mbedtls运行环境,利用mbedtls自身携带相关的密码算法套件,配合cmake、zephyr等工具,对运行在物联网环境中的密码算法进行模拟仿真,分析比较各算法的资源消耗情况,得出直观的数据对比结论,为实际应用环境中物联网应用密码算法的选择提供建议。本文的研究,对物联网的安全发展和运行效率提高有重要的意义。

基于身份的在线电子现金系统设计

本文在了解并分析国内外的盲签名技术应用现状和发展趋势,特别是基于身份的部分盲签名技术方案的基础上设计并实现了基于身份的在线电子现金系统。作者设计实现了在电子支付流程中3个身份主体(用户、银行、商家)间4个主要过程:开户注册、提取现金、用户消费、银行支付。最后对本文工作进行了总结并展望系统的发展。

移动通信网络应用系统安全框架设计

文中针对移动通信网络应用系统特点及可能受到的主动攻击和被动攻击两大类安全威胁进行分析,提出六类安全防护措施,设计了一种基于密码技术的安全框架,依托安全模块提供的数字签名、认证鉴别、加密解密等密码服务,实现接入层、网络层、传输层、应用层的安全应用,保证应用系统传输信息的机密性、完整性、可用性、可控性和不可否认性,为移动通信网络应用系统提供安全支撑,满足安全需求。