群签名和环签名允许用户以群组的名义匿名地签名消息, 在支持身份认证等安全服务的同时保护了用户隐私, 在可信计算、车联网、电子投票、数字货币等场景有重要应用. 量子计算机的发展对经典密码体系造成了体系冲击. 基于抗量子计算的困难问题重新构建公钥密码体系是主要的应对途径. 群签名和环签名签名作为有重要应用价值的密码学原语, 其后量子安全的构造方法受到了研究者的广泛关注. 本文综述了近十年来基于格上困难问题和对称密码学原语两类抗量子假设的群签名环签名研究成果, 概述了群签名和环签名的基本模型和设计思路, 从技术角度对现有方案进行分类总结, 归纳了现有技术的特点和局限, 讨论了该领域未来需要研究和解决的主要问题. 

深度学习在图像、文本、语音等多种数据类型的处理上取得了显著进展. 然而, 深度学习的不可解释性导致深度学习的输出缺乏可信性, 致使其在许多安全领域的应用受到了严重的制约. 研究人员发现通过对原始样本加入微小扰动所生成的对抗样本能够有效欺骗深度学习模型, 并将生成对抗样本的方式称之为对抗攻击. 对抗攻击能够使深度学习以高置信度的方式给出错误的输出, 实现针对深度学习检测服务的逃逸攻击. 本文首先介绍了对抗攻击的基本原理, 并从扰动范围、攻击者掌握目标模型知识的情况、攻击目标的针对性、攻击频次等4个方面对对抗攻击进行分类. 然后, 总结了近年来计算机视觉领域中对抗攻击研究的代表性成果, 对比分析各种攻击方案的特点. 特别针对对抗攻击在自然语言处理、语音识别、恶意软件检测和可解释性对抗样本等4种典型场景下的应用进行了详细介绍, 进一步揭示了对抗样本对深度学习服务的安全威胁. 最后, 通过回顾对抗攻击的发展历程, 探究该技术面临的主要挑战并指出其未来潜在的发展方向.

近年来, 部分学者致力于神经网络和密码学的交叉研究, 并取得具有重要意义的研究成果. 本文首先梳理并归纳了神经网络和密码学发展历程, 探索其内在联系与神经密码学的交叉可行性. 同时从密码设计、密钥管理、密码分析这三个密码学原语角度, 综述了神经网络在加密算法、随机数、密钥协商、侧信道等领域的代表工作和最新成果, 逐一研究并阐明其中的优势特点、瓶颈问题与潜在方向. 随后以安全通信、图像加密、密文处理、身份认证为例, 分析了交叉研究在现实应用中的具体表现与发展前景. 最后对神经网络与密码学之间的相互作用加以总结凝练, 并结合该交叉领域的整体发展提出三点展望.  

可链接环签名是一类特殊的环签名, 不仅具有环签名匿名性功能, 还可以通过链接算法检测用户是否用同一个私钥完成了两次或多次环签名, 能够在区块链应用中满足隐私保护的同时, 防止用户出现双重花费问题. 针对传统基于身份的可链接环签名不能抵抗量子攻击的问题, 本文基于原像抽样和拒绝抽样技术构造了一个格上基于身份的可链接环签名方案. 首先利用陷门生成算法获取系统主密钥; 然后基于原像抽样算法生成用户的私钥, 有效提升了用户密钥提取的效率; 最后运用拒绝抽样技术生成用户的签名, 使得签名生成的效率进一步提高. 在随机谕言机模型下证明了本文方案具有无条件匿名性、不可伪造性以及可链接性. 安全性分析表明, 方案的不可伪造性可归约至小整数解(small integer solution, SIS)困难假设. 性能分析表明, 本文方案与现有基于格的可链接环签名方案相比, 用户密钥生成和签名验证时间分别平均缩短约64.53%、38.21%.

现有基于区块链的群体智能网络框架存在通用性与扩展性低、集中处理数据导致延时大等不足. 本文提出了一种新的基于区块链的通用群体智能网络框架, 不同于最近被提出的各类基于区块链面向特定应用的众包方案, 这是一种为了提高基于区块链的群体智能应用构造效率, 所设计的通用群体智能框架. 不设全局智能合约, 避免全局控制结构, 从而提高框架的横向扩展性, 并且提供了一个具体的设计实现方案. 将边缘计算引入群智网络框架, 利用各类智能设备作为边缘处理节点, 为群智网络提供边缘数据处理能力, 设计专门智能合约实现边缘数据处理跟踪管理机制, 达到降低任务延时的目的. 分析了框架的安全性, 对框架所包含的智能合约进行了详细设计, 通过Solidity对所提三种智能合约进行仿真与测试, 表明本文提出的框架是可行的.

在基于Ring-LWE体系的格密码算法中, 快速数论变换是加速多项式环乘法的常见方法, 但该方法对于系数域模数小于多项式长度的多项式环乘法不适用. 本文通过对多项式系数域构造扩域, 扩大系数域的阶数, 使小模数的多项式环乘法也能够使用快速数论变换来加速. 扩域上的有限域乘法会带来额外的计算开支, 但快速NTT变换的使用可以带来指数级的加速效果, 总体来说节省更多的计算复杂度. 常见的快速数论变换使用与快速傅里叶变换相似的折半定理, 进行基2的快速变换, 而系数域构造扩域后由于其阶数无法满足基2变换的条件, 本文通过将多项式长度进行质因子分解来推导复合基的快速数论变换, 最终为小模数多项式环乘法提供可观的加速效果.

利用多密钥全同态加密方案(multi-key fully homomorphic encryption scheme, MFHE)可以设计一个安全多方计算协议.在公共随机串(common random string, CRS)模型中构造的安全多方计算协议,每一个参与方在生成公钥阶段要用到一个公共随机矩阵,这削弱了每个人独立生成公钥的能力. 本文首先设计一个无CRS的基于GSW的安全多方计算协议,与已有的同类协议相比,由于我们的方案利用了编码操作,从而把单密钥密文扩展成多密钥密文,提高了效率,并将解密噪音从2(m^4+m)mNB_{\chi}降低到(2+m)mNB_{\chi}.我们也以LWE假设为依据构造了一个无CRS模型的3轮安全多方计算协议,并证明其在半恶意敌手的情形下是安全的.

目前的2选1不经意传输协议可以分为两类: 一类是接收方有50%的概率可以获取自己想得到的消息, 另一类是接收方有100%的概率可以获取自己想得到的消息. 考虑到复杂网络情形, 以固定概率获取所需信息的接收方受到限制. 本文分别在Even、Bellare和Naor的2选1不经意传输协议的基础上, 对接收方成功恢复所需的秘密信息的概率进行了一般化处理, 使得接收方可以以一般的概率来成功恢复自己想得到的秘密信息, 并分析了协议的安全性及正确性. 由于概率可以根据需求进行设置, 因此可以在应用方面更加灵活.

现有基于格的3PAKE协议皆属于对称协议, 即用户口令被以明文或哈希值的形式存储在服务器上, 这使得协议易遭受服务器泄露攻击. 而基于验证元的格基3PAKE协议则可以抵抗这类攻击. 因此, 首先在通用可组合框架下, 基于Gentry等人提出的非对称口令认证密钥交换理想功能, 定义了基于验证元的3PAKE理想功能. 然后, 基于Gao等人于2017年所提出的理想格上基于验证元的两方口令认证密钥交换协议  , 并同时借鉴Abdalla等人关于构造通用可组合安全协议的设计思想, 构造出一个理想格上基于验证元的3PAKE协议. 接着, 证明新协议可以安全地实现基于验证元的3PAKE理想功能. 最后, 通过与相关协议进行比较, 表明新协议在提高了安全性的情况下, 仍与它们具有相当的计算与通信效率.

旁路功耗分析已成为密码芯片渗透性测试的重要手段.为了在电路设计阶段验证防护措施的有效性,通常设计者会利用功耗仿真工具或FPGA来测量电路功耗,并进而进行旁路分析.在对一些通过安全认证的密码芯片进行试验后,发现用仿真功耗方法对这些芯片的原始电路代码进行分析,仍旧可以发现一些旁路泄露信息.甚至是对于一些采用掩码的防护措施,也可以通过一阶分析的方法攻击成功.并且不同实现方式下,不同功耗数据形式下,分析存在一定差异.本文通过理论和实验结合,以分组密码算法DES为例,深入分析了仿真功耗和实际功耗的差异,揭示已有防护措施仍旧存在旁路信息泄露的原因.本文的实验结果证实了功耗仿真和FPGA平台的有效性,改进建议有助于低价带防护方案的实现.

签密融合了数字签名和数据加密的功能, 有效减少系统的计算开销和通信开销. 标识签密消除了证书, 避免了传统公钥密码体制中的证书管理问题. 然而, 现有标识签密方案主要以国外设计为主, 不符合核心技术自主创新、信息安全自主可控的要求. SM9标识密码算法是我国自主设计的商用密码, 已成为我国密码行业标准, 用于保护数据安全. 本文凝练SM9密码算法的核心技术, 提出首个基于SM9的高效签密方案. 方案具有定长的系统公钥、用户私钥和密文, 其中用户私钥由一个群元素组成, 密文由两个群元素和n比特组成(n为签名数据长度). 方案的安全性基于q-SDH和q-BDHI困难问题假设. 在随机谕言模型中, 证明方案在适应性选择消息和标识攻击模型下满足存在性不可伪造, 且在适应性选择密文攻击模型下是不可区分的. 理论分析表明, 方案的通信开销和计算开销与现有高效标识签密方案相当, 实验仿真证明方案实际可行.

差分分析方法的核心是构造高效的差分区分器. 2019年Aron Gohr采用深度学习残差网络的方法构造差分区分器, 应用于减轮Speck32/64密码算法, 五轮和六轮的差分器成功率分别是0.929和0.788. 本文采用PU学习(positive-unlabeled learning)的方法, 对Speck32/64算法的差分对数据进行训练, 利用神经网络中的多层感知机与基于PU学习构造的损失函数, 训练得到了一个基于PU分类的差分区分器, 并对于减轮Speck32/64算法进行攻击, 五轮和六轮差分器成功率分别是0.965和0.860.

本文研究了SKINNY算法的中间相遇攻击. 中间相遇攻击广泛用于基于SPN结构的分组密码的安全性分析中. 2018年亚密会上, 史丹萍等人提出了SKINNY算法的中间相遇攻击. 通过自动化搜索的方法, 史丹萍等人结合算法中可利用的相关约束条件, 给出了22轮SKINNY-128-384算法的中间相遇攻击. 然而, 在其中间相遇区分器的搜索过程中没有考虑轮密钥的猜测, 仅通过猜测部分状态值确定中间相遇区分器. 针对这一点, 本文对自动化搜索SKINNY算法中间相遇区分器的方法进行了改进, 将搜索过程中一部分状态的猜测转化为密钥的猜测, 同时结合密钥桥技术, 降低了密钥的猜测量, 从而达到降低区分器存储复杂度的目的. 本文所给出的SKINNY-128-384中间相遇攻击在不增大数据复杂度和时间复杂度的情况下, 降低了攻击过程中的存储复杂度.

隐私保护计算技术已逐步从理论设想发展为可应用的实践技术, 两方集合并交集基数的隐私计算 (Private Set Union/Private Set Intersection Cardinality, PSU/PSI-CA) 问题是隐私算领域中一类基础又重要的问题. 而当前解决这一问题的相关协议在使用场景、可用性、具体效率上都有着许多不足. 如当前最先进的协议之一的Dong-Loukides协议离线计算开销较大, 不适用于数据集频繁更新的场景. 此外由于它在在线阶段只能串行执行, 因此在广域网设置下执行时间较长. 为解决Dong-Loukides协议总体计算开销较大且广域网设置下执行时间长的问题, 输入集合的布隆过滤器, 本文基于离线-在线 (offline-online) 框架提出一种新协议, 并给出了新协议在半诚实模型下的基于模拟的安全性证明. 该协议的在线通信轮数为常数轮, 且计算开销几乎为零. 在本文进行的与Dong-Loukides的PSU-CA协议的对比实验中, 我们分别选定了10^3,10^4,10^5量级的输入数据, 在局域网环境下, 结果显示新协议的总耗时相对于Dong-Loukides协议的总耗时分别为20.4%,12.4%,9.3%.