PRINCE算法是J. Borghoff等在2012年亚密会上提出的一个轻量级分组密码算法, 它模仿AES并采用$\alpha$-反射结构设计, 具有加解密相似的特点. 2014年, 设计者发起了针对PRINCE实际攻击的公开挑战, 使得该算法的安全性成为研究的热点. 目前对PRINCE攻击的最长轮数是10轮, 其中P. Derbez等利用中间相遇技术攻击的数据和时间复杂度的乘积$D\times T={2^{125}}$, A. Canteaut等利用多重差分技术攻击的复杂度$D\times T={2^{118.5}}$, 并且两种方法的时间复杂度都超过了$2^{57}$. 本文将A. Canteaut等给出的多重差分技术稍作改变, 通过考虑输入差分为固定值, 输出差分为选定的集合, 给出了目前轮数最长的7轮PRINCE区分器, 并应用该区分器对8轮PRINCE进行了密钥恢复攻击. 本文的7轮PRINCE差分区分器的概率为$2^{-56.89}$, 8轮PRINCE的密钥恢复攻击所需的数据复杂度为$2^{61.89}$个选择明文, 时间复杂度为$2^{19.68}$次8 轮加密, 存储复杂度为$2^{15.21}$个16比特计数器. 相比目前已知的8轮PRINCE密钥恢复攻击的结果, 包括将A. Canteaut等给出的10轮攻击方案减少到8轮, 本文给出的攻击方案的时间复杂度和$D\times T$复杂度都是最低的.

针对用户使用第三方应用提供的服务时所带来的隐私泄露问题,  提出一种基于属性基加密和区块链的个人隐私数据保护方案. 方案利用区块链来保存个人隐私数据的哈希值和第三方应用的属性集, 而真正的隐私信息利用属性基算法加密后保存在分布式哈希表中. 本方案实现了个人数据的一对多的安全传输和数据的细粒度访问控制; 针对用户在不同时期的需求动态变化的特点, 提出了一种新的属性基加密方案, 用户可以随时撤销第三方应用的访问权限, 并且不需要可信第三方. 对整个方案进行了仿真实验, 验证了方案的可行性和实用性.

侧信道分析技术经过20多年的发展, 凭借其强大的分析能力及广阔的应用范围, 业已成为密码学界研究的热点. 而相关能量分析技术则是侧信道分析领域最常用也是最有效的分析方式. 本文针对相关能量分析方法无法确认出错的子密钥位置的缺陷, 设计了一种后向检错方案, 以AES算法为例对算法流程进行了介绍. 本方案利用AES算法列混合输出处的能量波形与对应中间值汉明重量的线性关系, 通过计算此相关系数, 划定阈值的方式, 以达到判别出错的密钥字节所在的列混合位置, 减小搜索空间的效果, 并在密钥枚举过程中, 对当前候选子密钥的正确性做出判断, 最终构建了一种能够将四个列混合分而治之, 四组子密钥分别恢复的密钥搜索方式. 实验证明, 即使单个字节密钥猜测准确率下降到70%, 传统相关能量分析方法几乎无法恢复密钥时, 后向检错方案仍能达到60%以上的成功率, 成功地将达到相同成功率的波形条数需求减少了30%.

两圆间的位置关系判定问题是常见的几何计算问题之一. 在保护两方各自输入圆信息的条件下, 本文设计了一个隐私保护的两方几何圆位置关系判定方案, 以实现在半诚实模型下安全地求解两圆间五种位置关系. 本文运用\textrm{Paillier}同态加密技术实现了圆心间欧几里德距离的保密计算, 通过将Paillier明文空间划分为两等长区间以实现解密结果在明文空间中正确映射的方法, 提出隐私保护的欧几里德距离计算协议. 此外, 基于该协议我们设计了一个隐私保护的两圆间位置关系判定协议, 在未泄露两圆半径与圆心等敏感信息的前提下提高了两方的计算效率. 本文给出了方案具体的设计步骤、详细的安全性分析和实际的性能测试. 实验结果表明, 在两圆相距较近和相距较远的情况下判定两圆相离、外切、相交、内切和内含五种位置关系时, 本方案均适用. 同时, 我们的方案具有计算复杂度不高及通信开销低等优势.

随着计算机技术及信息化的高速发展, 软件已经广泛应用于各行各业, 利用软件后门获取敏感信息的攻击事件不断发生, 给国计民生的重要领域带来很大损失. 通常, 软件后门的隐蔽性和其强大功能之间是矛盾的, 冗长的代码、复杂的功能往往导致后门的代码特征或行为特征过于明显. 本文借助差分故障分析、逆向分析、高级持续性威胁等技术, 给出了一种向分组密码软件植入后门的可行方案, 并以 DES 加密软件为载体进行了实现. 我们将后门激活时输出的故障密文、后门未激活时输出的正确密文进行结合, 通过差分故障分析最终恢复了完整的 DES 密钥. 该后门具有隐蔽性强、植入简单、危害性大等特点, 可作为一种高级持续性威胁的手段. 最后, 我们给出了该类后门的防御措施, 对后门植入和防范问题进行了辩证地讨论.

本文对完美彩虹表下的检查点算法进行了研究和改进. 时间存储折中攻击是由Hellman于1980年提出的一种适用于分组密码和哈希函数的算法. 该算法具有可以用空间复杂度来换取时间复杂度的特点, 然而由于链之间的碰撞, 算法具有较高的误报率. 其一个变种, Oechslin于2003年提出的彩虹表算法可以大幅减少碰撞的数量, 从而提升效率. 2005年, Avoine等人提出了另一种名为``检查点''的改进, 该算法从另一个角度, 即降低误报的影响来提升效率. 然而, 检查点的设置问题(数量和位置)仍未得到完全的解答. 在本文中, 我们对检查点算法在基于完美彩虹表的条件下进行研究, 对检查点的设置进行理论分析, 推导出最佳位置的计算式, 并构造实验来检验最优选择的结果. 在空间复杂度相当的条件下, 相较于没有设置检查点的彩虹表, 攻击时间可以减少10%到30%.

无证书密码系统中无需证书来管理公钥, 同时没有标识密码系统中的密钥委托功能. 本文描述一种基于SM2加密算法构造的无证书加密算法, 并在随机谕示和代数群模型下证明其安全性可以规约到Gap-Diffie-Hellman复杂性假设. 因此构造的算法具有可证明安全性, 并可基于已有SM2算法部件快速部署等优势. 采用该算法的密码系统具有简洁的密钥管理、高效的算法实现, 非常适合物联网等需要轻量级公钥算法的应用场景.

多输出布尔函数可由多个单输出布尔函数表示, 在分组密码中有着广泛的应用. 多输出$k$-旋转对称布尔函数($k$-RSBF)是多输出旋转对称布尔函数(RSBF)的扩展. 本文首先研究多输出旋转对称函数和多输出$k$-旋转对称函数的轨道分布情况, 给出了计算两类函数中长度相同轨道个数的方法. 其次研究了平衡多输出$k$-旋转对称布尔函数的存在性, 给出了在选择合适的$k$的前提下, $n=p^r$、$n=2p^r$和$n=2^r$时, 平衡$(n,m)$ $k$-RSBF的构造方法. 之后研究弹性多输出$k$-旋转对称布尔函数的存在性，分别给出了$r\geqslant3$，$n=2^r$, $2\leqslant m\leqslant 2^r-r$, $k=2$时$1$阶弹性$(n,m)$ $k$-RSBF的构造方法, 以及$p$为奇素数, $r\geqslant2$, $n=p^r$, $2\leqslant m\leqslant p-1$, $k=p$时$1$阶弹性$(n,m)$ $k$-RSBF的构造方法. 最后我们还对两种方法得到的1阶弹性多输出$k$-旋转对称布尔函数进行仿真测试.

对于序列密码, 输出密钥流比特可以视为关于密钥变元和IV变元的布尔函数, 而该布尔函数的代数次数是影响密码算法安全性的重要因素; 当代数次数偏低时, 密码算法抵抗代数攻击、立方攻击和积分攻击的能力比较弱. 目前, 针对Trivium-型序列密码算法, 最有效的代数次数估计方法是数值映射方法和基于MILP的可分性质方法. 本文通过分析两种典型方法的特点, 结合两种方法的优势, 对Trivium-型算法的代数次数估计进行了改进. 我们利用改进后的方法对大量随机选取的IV变量集进行了实验. 实验结果表明, 对于Trivium-型算法, 改进后的方法能够给出比数值映射方法更紧的代数次数上界. 特别地, 针对Trivium算法, 当输入变元为全密钥变元和全IV变元时, 即80个密钥变元和80个IV变元, 输出比特代数次数未达到160的最大轮数从907轮提高到912轮, 这是目前已知的全变元情形下的最优代数次数估计结果.

本文主要研究基于ARX结构的轻量级分组密码CHAM算法, 利用不可能差分分析、零相关线性分析对其进行安全性分析. 首先, 利用线性不等式组对算法的每个组件进行等价刻画, 描述了差分特征和线性掩码的传播规律, 建立了基于MILP (混合整数规划问题)的不可能差分和零相关线性自动化搜索模型. 其次, 根据CHAM算法四分支广义Feistel结构的特点, 得到CHAM算法特定形式 (输入或者输出差分(掩码)仅含有一个非零块)下的最长不可能差分路径和零相关线性路径具有的性质, 优化了搜索策略, 缩小了搜索空间. 最后, 利用搜索算法, 遍历特定的输入输出集合, 共得到CHAM-64的5条19轮不可能差分区分器, CHAM-128的1条18轮不可能差分区分器和15条19轮零相关线性区分器, 均为目前公开发表的最长同类型区分器.

本文提出了第一个紧致安全的基于身份的签名 (IBS) 方案. 我们的构造基于Bellare等人提出的基于证书思想的通用转化方法, 包括两个组件, 即选择消息攻击下不可伪造安全(EUF-CMA安全)的签名方案$\sfs$, 和多用户场景中选择消息攻击\&动态密钥窃取攻击下不可伪造安全(MU-EUF-CMA$^\corr$安全)的签名方案$\tilde{\sfs}$. 组件$\sfs$的公私钥用作IBS的主公钥和主私钥, 用户$\id$的签名私钥包含了组件$\tilde{\sfs}$所产生的一对公私钥, 以及主私钥对$\id$和$\tilde{\sfs}$的公钥的签名证书. 用户对消息的签名包含了组件$\tilde{\sfs}$的公钥和证书, 以及$\tilde{\sfs}$的私钥对此消息的签名. IBS的安全性可以紧致归约到组件$\sfs$的EUF-CMA安全性和组件$\tilde{\sfs}$的MU-EUF-CMA$^\corr$安全性. 最后, 我们给出了组件$\sfs$和$\tilde{\sfs}$的实例化, 并分别在随机预言机模型和标准模型下得到了紧致 (与几乎紧致) EUF-CMA\&CIA安全的IBS方案.

群签名是具有中心地位的密码系统, 其中一个重要的问题是成员撤销. 支持更多方式撤销的群签名方案能使群签名应用于更多的场合和领域; 提出一种可层次撤销的群签名方案的概念, 即不仅支持普通的VLR撤销某个群成员, 还支持撤销某个小组、大组等等的层次撤销; 与普通的VLR撤销相比在撤销一组多人时效率从$ O(R) $($ R $为撤销人数)提高到了$ O(1) $; 并基于RSA假设和多项式构建出了一个具体的层次撤销群签名方案, 构建方法具有独立的意义可用于其他密码系统的构建.

比特切片方法由Biham等人于1997年提出, 该方法可以高效提升算法的软件实现性能, 后来被广泛应用于Serpent、RECTANGLE、TANGRAM等分组算法. 本文针对扩散层采用简单行循环移位的RECTANGLE、TANGRAM等比特切片型分组算法, 根据算法S盒的性质以及行移位参数, 给出了快速判断其是否存在单轮循环差分/线性特征的方法. 基于找到的单轮循环差分/线性特征, 结合MILP自动化搜索技术, 实现了这类算法长轮数差分/线性特征的快速构造. 进一步, 我们扩展寻找单轮循环特征的思想, 利用MILP方法自动化搜索了不超过4轮的循环差分/线性特征, 基于此可以更方便构造长轮数差分/线性特征. 利用此方法, 我们找到了RECTANGLE算法的14轮差分特征和13轮线性特征, TANGRAM 128算法的24轮差分特征和23轮线性特征, TANGRAM 256算法的48轮差分特征和44轮线性特征. 特别地, 我们找到的TANGRAM 256算法的44轮线性特征是目前找到的最长轮数的线性特征. 我们的方法只依赖于算法的结构特点和$S$盒的性质, 该研究对采用这种结构的分组算法长轮数差分/线性特征的寻找和相应算法的设计都有重要意义.

为了保护医疗辅助诊断系统中患者的个人隐私, 本文提出一种新的结合决策树与不经意传输(Oblivious Transfer, OT)技术的双向隐私保护方法. 该方法首先利用决策树对已有诊断信息进行分类来形成辅助诊断, 并利用差分隐私确保决策树构建过程中不会泄露数据库的隐私. 其次利用OT技术保护查询过程中的隐私, 并提出一种决策树索引协议将决策树算法与OT协议有效结合. 提出的方法最早将决策树与OT技术应用于医疗辅助诊断系统, 并且在客户端进行医疗数据查询并得到准确查询结果的情况下, 能够极好地保护客户端、服务器以及数据库的隐私信息, 实现更全面的双向隐私保护. 理论分析结果表明, 本文提出的方法在保护隐私的同时具有较高的通信效率. 进一步地, 实验结果也表明, 提出的方法不仅具有较高的查询效率, 同时还具有较高的查询准确率.