基于密码学原理的安全解决方案是网络空间安全研究的重要内容, 能够为信息系统提供各种必要安全保障. 然而, 许多现实事例表明, 在信息系统中完善地实施密码技术并非易事. 尤其是, 在现实系统中, 实现密码理论方案的运行假设和前提条件非常困难, 例如, 选用语义安全的协议、不可预测的随机数和攻击者不能访问的密钥等. 近年来, 学术界取得了大量相关技术研究成果, 包括安全问题和相应的解决方案(本文称为密码应用安全技术研究). 另一方面, 密码模块检测一直都是密码技术实际应用的重要环节: 通过对密码模块的技术要求和检测, 确保能够正确有效地实现密码算法功能. 本文分析了当前密码应用安全技术研究和密码模块检测的安全要求, 揭示了二者在密码理论方案的实现安全方面的联系和差异. 然后, 本文总结了现有密码应用安全技术研究成果, 包括密码理论方案的选用、随机数发生器的设计和实现、密钥安全、密码计算的使用控制、密钥管理和PKI基础设施、以及应用功能密码协议的实现安全等方向. 最后, 基于现有密码应用安全技术研究成果, 本文讨论了软件密码实现的特殊性和具体实施的注意事项.

密码算法的白盒实现是保护密钥安全的一种重要技术. 当前, 对称密码的白盒实现已有不少成果, 但是公钥密码的此类成果极少. 除去商业保护的原因, 公钥密码运算通常需要较大规模的数学计算, 导致其白盒设计难度更大. 本文针对椭圆曲线倍点运算设计了一种新型白盒实现方法, 具有安全、高效、低存储等优点. 该方法的基本策略是, 首先将倍数表示成特殊的形式, 然后通过构造查找表保护其中每个分量, 通过网络化查表消除单表的掩码并实现最终结果正确计算的目的, 使得倍数信息在整个计算过程中不被泄露. 我们选择恰当的余数系统分解模乘、模加等大数运算, 以此降低查找表的规模, 同时也提高了查表效率. 基于该方法, 我们设计了标准I/O接口的SM2/9解密算法白盒实现方案, 方案可以有效隐藏解密私钥, 有助于加强SM2/9解密算法在不可信平台上的安全防护. 进一步地, 我们将该设计策略推广到模幂运算, 构造了RSA算法的白盒实现方案. 本文所提出的设计思路也可应用于其它公钥密码算法的白盒实现.

``棱镜门''等一系列相关事件显示, 部分国家的情报机构能通过颠覆攻击的手段窃取用户隐私信息. 目前, 密码体制具有抗颠覆性主要以无隐写性作为标准, 该标准要求较高, 使得大部分现有防御方法可行性较低. 针对这一问题, 本文提出了一种新的针对颠覆攻击的安全定义---抗颠覆安全保留性. 相比于无隐写性, 抗颠覆安全保留性不再要求监视者无法区分颠覆执行的输出与算法说明的输出, 而仅要求所有能通过黑盒测试的颠覆执行仍然能够实现某种具体的安全性, 因此要求低于无隐写性; 并且能够更加直观地反映现实颠覆威胁下的安全需求, 能够为设计抗颠覆密码体制提供更多的思路和空间. 在此安全定义下, 本文提出了算法隔离运行的防御方法, 在``分割-融合模型''的基础上, 对分割后的部分算法进行隔离, 使之无法获取密码系统的业务数据, 具有更高的现实可行性; 分别在部分颠覆模型和完全颠覆模型下, 设计了基于算法隔离运行的满足抗颠覆安全保留性的对称加密体制构造方法.

差分故障分析 (differential fault analysis, DFA) 是一种通过对密码算法中间状态注入错误从而获取密钥信息的侧信道攻击方法. 由Bos等人创造性的用于白盒分组密码方案并成功破解多个公开发表的白盒AES实现 . 本文基于随机冗余轮函数 (DummyRounds) 和 Chow 等人的AES 白盒实现 (以下简称Chow-WBAES), 提出一种称为 NoisyRounds 的白盒AES安全加固方案 (以下简称NoisyRounds-WBAES). 该方案通过改变Chow-WBAES的第 10 轮并在其后添加相互抵消的结构, 使得NoisyRounds-WBAES能对DFA分析产生混淆作用. 通过NoisyRounds-WBAES与Chow-WBAES实施DFA攻击的分析结果表明, 在带外部编码的情况下, NoisyRounds 与现有保护方案一样能抵抗 DFA 工具的分析. 但相应的算法的输出结果也将带上外部编码, 从而失去不同系统间的兼容性, 在不带外部编码的情况下,  $n$组 NoisyRounds 对 DFA 分析将产生 $O(n^4)$ 的计算复杂度.

在白盒攻击环境中, 攻击者能够访问密码算法的实现过程, 观测密码算法的动态执行, 掌握算法的内部细节, 并任意修改. Chow等人提出白盒密码的概念, 以应对白盒攻击环境, 并给出白盒AES实现和白盒DES实现. 本文提出一种SM4算法的新型白盒实现方案, 对密码算法的内部状态进行扩充并在密码算法运行的过程中加入随机数对密钥进行混淆, 使每一轮通过查找表加密后有一半信息是有用的, 一半信息是混淆的. 整个加密过程使用查找表与仿射变换进行表示, 该方案需占用内存空间276.625 KB, 查找表对应的白盒多样性与白盒含混度的值分别为$ 2^{646} $与$ 2^{86} $. 该方案针对林婷婷等人的分析方法的复杂度为$ O(2^{51}) $, 针对潘文伦等人的分析方法的密钥空间为$ 61\,200\cdot 2^{32} $, 针对仿射等价算法的时间复杂度为$ O(2^{97}) $, 可以有效抵抗代码提取攻击以及BGE攻击.

车载自组网(VANETs)对开放的网络和资源受限的环境在安全性和效率方面提出了更高的需求. 目前大多数密码方案由于效率较低、计算开销较大等原因无法直接应用于VANETs. 针对传统密钥协商协议通信轮数偏高、密钥更新效率较低等问题, 本文设计了一种支持高效密钥更新和动态特性的VANETs密钥协商协议. 提出了一种基于移位寄存器的SBIBD(对称平衡不完全区组设计)构造方案, 提升了构造效率. 采用不可区分混淆技术从而支持用户的动态操作, 提升了密钥更新效率. 给出了密钥生成和密钥更新阶段的威胁模型并给出了相应的安全性分析, 表明基于现有的安全密码学方案, 本文协议能够保证密钥协商和密钥更新的安全. 基于PBC密码学库对本文协议进行模拟并与同类型的协议进行对比, 表明本文协议在性能上优于现有同类协议.

无证书签名消除了传统公钥基础结构中证书的必要性, 并解决了基于身份的签名中的密钥托管问题. 本文提出了线性化方程分析方法, 然后使用线性化方程分析方法证明了一些文献中的无证书签名方案不能抵抗类型I攻击者和类型II攻击者的攻击, 并总结出无证书签名方案中的攻击者成功伪造签名的本质原因. 为了打破简单的线性化关系, 我们提出了一个改进的无证书签名方案, 并在随机预言模型中基于椭圆曲线离散对数问题的假设下, 证明了其对攻击者的不可伪造性.

基于区块链技术, 提出了一种新型的密钥生命周期演示设计方案. 方案通过构建区块链网络, 将密钥存储的职责交由各节点共同承担, 相较于传统的中心化公钥系统能够提供更好的响应性能和抗干扰能力, 同时分析了缺陷对公钥管理的影响进行了一定的技术改进, 有效规避了能源浪费等问题. 分析常见的针对公钥系统的攻击方式, 证明了系统对攻击者通过欺骗节点干扰共识的达成和传播有着较强的抗干扰性. 方案具有去中心化、集体维护、安全可信、可溯源和防篡改等优势.