近些年, 椭圆曲线中的配对在密码学中的应用日趋广泛, 对配对的计算效率也有了越来越高的要求. 为了提高配对的计算效率, 研究者们一方面从理论与算法的角度改进已有的配对, 另一方面构造新的更快速的配对. 本文对近二十年来配对的发展历程作了详细的综述. 与配对有关的快速算法, 如配对友好型椭圆曲线的构造、Miller算法的改进等, 以及与配对有关的计算困难问题, 如双线性Diffie-Hellman问题、双线性求逆问题等, 一直是密码学的研究热点. 本文结合最新研究成果对它们作简要的综述.

为构建适合低成本标签且高效、安全的 RFID 认证协议, 本文基于传统密钥矩阵加密算法, 提出一种可实现标签认证过程中密钥矩阵的模参数在线更新的变模密钥矩阵加密算法, 通过矩阵初等变换方法使得密钥矩阵可以实现自更新, 以进一步弱化明文与密文的相关性, 相比传统密钥矩阵加密算法提高了安全性. 在密钥矩阵的加解密过程中引入 Winograd 算法, 仅增加少量加法运算, 可大幅度减少乘法运算数量, 减小了标签认证过程的计算量. 计算结果表明, 当明文长度 n 大于 8 时, 使用 Winograd 算法后的安全协议加解密过程的的乘法运算次数比普通矩阵乘法次数减少近 50%. 此外, 可根据不同的应用场景, 选择不同的模 p 值, 提高特定应用场景下的协议安全性. 通过 BAN 逻辑化分析以及协议安全性分析, 证明了本文协议能够有效防范 RFID 系统常受到的多种典型攻击.

SLIM是2020年提出的新型轻量级分组密码算法, 因其极低的门电路功耗和良好的硬件实现性能, 在受限的小规模加密场合具有一定应用前景. 差分故障攻击是研究轻量级密码算法的有效手段, 本文采用半字节故障攻击模型对SLIM算法进行研究, 分析算法差分扩散规律, 结合密钥扩展方案, 提出一种故障注入策略. 分别在第2至32轮注入宽度为1至4个半字节的故障, 最少共注入62组故障可将恢复主密钥的计算复杂度降低至2^3. 本文研究SLIM算法S盒的差分不均匀性, 通过分析输入差分、输出差分和可能输入值之间的对应关系建立S盒差分分布表, 将差分方程的求解直接转化为查表操作, 快速缩小方程解空间. 进一步利用S盒差分分布统计规律系统分析了方程是否存在唯一解的情形, 基于概率学知识计算出不同故障注入组数下各轮密钥恢复成功率, 得到恢复主密钥所需故障注入组数期望值68.15组. 经仿真模拟实验, 1000次攻击恢复主密钥所需故障注入组数均值为69.07组, 与理论结果较为接近.

对于 5G 移动通信网络, 3GPP 组织标准化了 5G AKA 等协议, 用于身份认证和密钥协商. 本文使用安全协议验证工具 Tamarin 对 5G AKA 协议进行了形式化分析. 首先基于 3GPP TS 33.501 v17.0.0 版本, 完成了对 5G AKA 协议及期望其满足的安全性质的形式化建模. 安全性质考虑了保密性质和Lowe鉴权性质, 保密性质包括安全锚点密钥K_{SEAF}和长期共享密钥K的保密性, 鉴权性质包括协议参与实体之间在参数SUPI、SNID、K_{SEAF}上的非单射一致性, 以及在K_{SEAF}上的单射一致性. 然后本文在 Tamarin 中验证了 5G AKA 协议是否满足相关安全性质, 发现保密性质全部得到满足, 鉴权性质一共验证了 36 种情况, 其中有 23 种情况没有得到满足. 最后针对协议不满足的鉴权性质, 本文采用了三种修改方法来对协议模型进行改进, 并对改进前后的验证结果进行了分析总结.

本文首先构造了一种支持多比特加密的全同态加密方案(以下简称MBGSW), 该方案以李增鹏等人提出的一种支持多比特加密安全性基于DLWE的全同态加密体制为基础, 通过修改其加密算法使之成为无CRS模型多比特全同态加密方案. 然后运用LinkAlgo算法将单密钥密文扩展成多密钥密文, 从而实现多密钥全同态加密(multi-key fully homomorphic encryption, MFHE)方案. 多密钥全同态加密允许在不同密钥下加密的密文之间进行同态操作, 最终实现多比特多密钥全同态加密(MMFHE)方案.

差分错误分析(differential fault analysis, DFA)作为一种主动性的物理攻击,对密码产品的安全性造成了一定的威胁.为了有效地抵抗DFA攻击, Aghaie等人提出了一种错误检测电路. 在密码算法的硬件实现中, 该检测电路要求S盒的电路满足独立性以避免错误扩散. Aghaie等人利用查表(lookup table, LUT)的方式实现了S盒电路的独立性. 我们提出一种搜索已知S盒独立特性的布尔函数实现的算法, 使S盒在硬件综合之前就以没有共用门电路的形式满足独立性. 传统的LUT方式由综合器采用内置优化算法得到S盒的门电路实现, 但对于实现复杂的S盒, 这种通用性的优化算法往往效率不高.  我们将搜索给定S盒的独立性实现的算法应用一些具体S盒如GIFT、Khazad、LBlock等中. 实验结果显示, 对于不同的S盒, 实现效率均有不同程度的提升.

资源受限环境下图像数据如何高效传输并保证图像的安全性和鲁棒性具有挑战性. 本文设计了一种基于置乱块压缩感知的图像鲁棒加密算法, 实现了兼顾高效、安全的图像鲁棒传输. 该算法使用小波变换(DWT)对图像进行稀疏表示, 采用置乱的块压缩感知进行测量, 有效减少数据传输量同时作为第一层加密; 设计量化器对测量值量化为有限精度; 由Logistic-Tent混沌映射产生的密钥对量化值采用混淆-扩散机制来进一步增强安全性. 解密过程包括逆混淆-扩散的解密操作, 采用GRSR重构算法获得图像高性能重建并保证传输鲁棒性. 通过实验仿真结果以及对比分析表明, 原始图像在0.05的采样率下其重构图像的PSNR值为20.4 dB; 在90%的丢包率下重构图像PSNR值也达到22.24 dB; 在 256×256 的剪切攻击下重构图像仍保留主要信息且视觉可接受. 本文算法具有较高的压缩性能, 且能够抵抗蛮力攻击、统计攻击、丢包攻击、剪切攻击、噪声攻击等常见攻击并具有较好鲁棒性.

随着集成电路设计制造的全球化, 芯片存在被植入硬件木马的隐患. 目前的硬件木马检测方法中, 逻辑测试激活硬件木马的概率较低, 侧信道检测受电路工艺偏差、硬件木马面积影响较大. 本文提出基于激光注入的硬件木马检测方法, 通过诱发数据翻转主动激活硬件木马触发逻辑, 同时可以定位硬件木马触发逻辑的物理位置. 采用1064 nm皮秒脉冲激光成功激活了基于FPGA的异步累加器型硬件木马. 研究表明对于具有逻辑触发结构的硬件木马, 激光注入方法与硬件木马的触发条件无关. 通过设计高覆盖率的注入方式, 能够高概率的激活硬件木马.

安全多方计算是隐私保护的核心技术, 也是密码学研究的热点. 由于生活中很多问题可转化为对集合的运算, 因此集合是安全多方计算研究的重要内容. 现有对集合的运算包括保密计算集合的交 (并)集、保密计算集合的势、保密判定元素与集合的关系、保密判定集合包含等. 本文主要利用保密替换、加密选择、密码系统的加法同态性研究了三个新问题, 分别为集合交 (并) 集的势与阈值关系的保密判定、元素与集合交 (并) 集关系的保密判定、集合与集合交 (并) 集关系的保密判定. 首先, 在数据范围已知情况下,将数据转化为数组进行计算, 在计算过程中不泄露集合的交 (并) 集, 只得到最终结果. 同时, 利用 lifted ElGamal 门限密码系统设计出抗合谋的安全协议. 最后, 利用模拟范例对协议的安全性进行证明.

 侧信道攻击是一类强大的密码分析攻击, 自该理论提出以来受到了密码学界的广泛关注. 近年来深度学习技术被越来越多地应用于侧信道攻击领域, 其中如何提升深度学习模型的性能是研究的热点. 本文根据攻击目标数据的特点, 提出了一种新的卷积神经网络结构CBAPD, 此网络将卷积层中的激活函数去除, 然后在卷积层后加入了批标准化层, 并且在批标准化层后加入一个激活层来激活敏感信息. 为评估模型的性能, 在两个公开数据集ASCAD和DPA-contest v4上进行了测试. 实验结果表明, 本文所提出的CBAPD网络在ASCAD同步数据集上仅需要50条能量迹就可以攻击成功, 在最大异步量为50和100个样本点的数据集上分别需要160和1850条能量迹就可以使rank值降到0并保持不变. 在DPA-contest v4数据集上, CBAPD模型仅需要3条能量迹即可攻击成功. 同时, 通过对比2019年Benadjila等人所提出的CNN_{best}, 2020年陈等人所提出的SincNet网络和Zaid等人所提出的模型, CBAPD模型在最大异步量为50个样本点的ASCAD数据集上成功攻击时所需能量迹可减少34.426%~96.8%. 而在DPA-contest v4数据集上, CBAPD模型与Zaid等人所提出的模型攻击效果相同, 且优于其他两个模型. 因此, 本文所提出的CBAPD模型在不同的数据集上均有良好的表现.

Pollard rho算法与其分布式版本算法是目前求解有限域上椭圆曲线群的离散对数问题被公认的最优算法.自该算法提出以来,许多密码学家提出了多种分布式Pollard rho算法的改进算法.本文对基于不同迭代函数的三种的分布式Pollard rho算法的效率进行分析,并针对ECC2-131在通用CPU上对算法进行软件程序的实现.本文发现基于r-加游走的算法在理论分析和程序实现上都有着最优的效率,说明基于r-加游走的分布式Pollard rho算法在求解ECDLP上仍占有很大优势.本文给出在计算机工作站和天河二号超级计算机上测量得出的Pollard rho算法的效率,发现在当前求解离散对数问题的算法和计算机的计算能力上求解ECC2-131仍然是困难的,在时间和金钱上的开销不符合实际.本文还找出有限域F_{2^{131}}上运算性能最优的不可约多项式.通过域的同构诱导出椭圆曲线的同构, ECDLP能在同构后得到的椭圆曲线上进行求解.若算法的软件实现使用同构后得到的椭圆曲线,则有限域模运算有11.29%的效率提升,乘法运算有11.23%的效率提升.通过有限域运算效率的提升可以进一步提高求解ECDLP的效率.

在云存储服务中, 安全的加密数据去重通常需要依赖可信第三方服务器 (trusted third party, TTP). 为了解决这一问题, 提出了一种基于英特尔软件防护扩展 (Intel software guard extension, Intel SGX) 的安全数据去重方法, 利用硬件安全技术协助客户端进行密钥管理. 将 Intel SGX 提供的飞地 (Enclave) 作为可信执行环境, 使用远程认证机制构建云服务器与客户端 Enclave 之间端到端的安全信道, 完成敏感信息的传输, 保护客户端隐私数据; 利用数据密封机制实现隐私数据的安全存储. 安全性分析与性能评估表明, 相较于以往的方法, 本文方法在密钥以及通信等方面具有更高的安全性，在系统开销和平均执行时间等方面也具有一定优势. 此外, 由于无需使用可信第三方的支持, 在现实场景下易于实现, 具有一定的应用价值.

Canetti 等人 (CRYPTO 1997) 提出了可否认加密的概念, 使得即使发送者/接收者在加密通信以后, 仍然能产生 “否认” 的随机数 (与真实的随机数不可区分), 打开密文为另一个不同的明文. 目前而言, 设计双方案可否认加密方案 (包括可否认编辑方案和预先计划可否认加密方案两种) 似乎是达到高效率的唯一途径. 然而, 经过二十多年的发展, 即使考虑私钥场景 (发送者与接收者共享相同的密钥), 存在可否认加密方案的具体效率仍然较低. 本文集中于设计在私钥场景下具体高效的双方案可否认加密方案. 具体而言, 本文设计了新的私钥接收者可否认编辑方案, 其密文长度比 Goldwasser 等人 (TCC 2017) 的方案减少了超过 2|C_Edit|κ + 3ℓκ 比特, 其中 |C_Edit|是关于编辑函数的布尔电路表示中 AND 门数量、 ℓ 表示编辑描述长度和 κ 是安全参数. 而且, 提出的方案将否认密钥长度从 2(ℓ + κ)κ 比特降低到仅 κ 比特. 该方案的效率主要来源于新设计的单密钥私钥函数加密方案, 其中敌手能做至多一个私钥询问以及特殊的加解密性质需要被满足以设计可否认编辑方案. 与 Goldwasser 等人的单密钥私钥函数加密方案比较, 本文提出的方法不仅减少了一半以上的密文长度, 而且简化了特殊解密算法的构造. 基于提出的私钥可否认编辑方案和混合加密技术, 本文也设计了预先计划的私钥接收者可否认加密方案, 支持预先计划 t 个否认明文. 该方案适合于加密较长的明文, 当 t = O(1) 时能够达到 O(1) 的密文率, 获得比提出的可否认编辑方案显著更短的密文.