Journal of Cryptologic Research
 
引用检索 快速检索 DOI 高级检索
在线期刊
   » 最新录用
   » 网络预发表
   » 当期目录
   » 过刊浏览
   » 按栏目浏览
   » 综述文章
   » 摘要点击排行
   » 全文下载排行
  作者在线投稿
   » 作者投稿/查稿
   » 投稿须知
   » 模版下载
   » 版权协议
  专家在线审稿
   » 审稿登录
   » 审稿政策
   » 自荐为审稿人
热点文章

一种面向位置信息的安全Skyline查询方案

王维国, 李辉
2018, 5(2): 218-230. 全文: PDF (4441KB) (73)
摘要

作为多目标优化的一种重要手段, Skyline计算的研究一直是当前的热点. 然而现今大部分的研究在于如何提高Skyline计算的效率, 由云端Skyline计算所带来的数据泄露对数据提供者和用户隐私产生的巨大威胁却被人们忽视, 这是当前Skyline计算研究的新的挑战. 现有的Skyline安全计算的解决方案多需要多个云服务器相互协作, 但是多个云服务器存在共谋的风险, 并且使用多个服务器会大大增加计算的成本. 为了解决上述问题, 本文提出了一种基于位置信息的Skyline安全计算方案. 利用该方案, 只需使用一台云服务器和一台可信任的辅助计算的数据提供商服务器, 同时利用保序加密算法和${\rm R}^*$树结构就可以高效、安全地实现基于位置信息的Skyline计算, 其中位置信息是指Skyline计算对象是二维坐标上的目标, 这在实际问题中十分常见. 综合分析表明, 该方案可以实现安全的Skyline计算. 同时, 与明文上的Skyline计算相比, 该方案也可以很快地响应用户的查询请求.

一种多跳传输环境下安全的数据采集方法

刘镇, 韩益亮, 杨晓元, 潘峰
2018, 5(2): 206-217. 全文: PDF (1536KB) (60)
摘要

压缩感知可以高效地完成分布式多跳网络下的数据采集, 消除数据采集过程中的``热区''现象, 但不能为数据采集提供安全性保护. 压缩感知对称密码系统需要加解密双方事先共享密钥, 在每次加密时还需安全信道更新密钥和传递信号的能量, 且易受到合谋攻击, 因此在分布式多跳网络环境并不实用. 为了解决分布式网环境下数据采集过程中的安全问题, 本文将压缩感知对称加密推广到了公钥加密的情况, 提出了一个新密码原语——压缩感知公钥加密, 定义了压缩感知公钥加密算法模型, 结合格上的困难问题构造了一个压缩感知公钥加密算法实例, 并基于learning with errors (LWE) 假设, 在标准模型下证明了算法的抗选择明文攻击不可区分性安全. 该算法巧妙地利用格密码的矩阵特征, 很好地保持了压缩感知的线性结构, 将数据压缩测量与数据加密融合成了同一步, 能很好地适用于多跳环境下的数据安全采集. 同时, 算法以较小的通信代价弥补了多跳环境下压缩感知对称密码系统密钥分发与保存困难、每次加密需要安全信道传递信号能量以及易受到合谋攻击等不足.

基于局部敏感哈希的安全相似性查询方案

吴瑾, 彭延国, 崔江涛
2018, 5(2): 196-205. 全文: PDF (2924KB) (92)
摘要

随着云计算技术的不断发展, 可搜索加密方案备受关注. 传统的可搜索加密方案仅支持精确查询. 然而, 在实际应用中, 相似性查询具有更好的应用前景. 具体而言, 当输入的查询项拼写错误时, 相似性搜索方案依然能返回正确的查询结果. 与此同时, 现有的相似性可搜索加密方案会导致查询精确度降低. 为了解决密文上相似性查询精确度不高的问题, 本文提出了一种基于局部敏感哈希的安全相似性查询方案. 首先, 利用局部敏感哈希将原始数据量化为复合哈希关键字, 使用量化结果和对称加密技术构建安全索引. 然后, 引入基于复合哈希关键字的度量机制, 设计一种合理、高效的候选集定位策略; 同时, 优化候选集量化的方式, 以便从候选集中选择出与查询项最相似的结果. 查询时, 使用以上定位方法与候选集选择方法可以同时保证查询效率和结果的精确度. 本文从理论上证明了方案满足必要的安全要求. 最后, 将方案应用到真实数据集上, 实验结果证明了方案的有效性, 即查询的精确度明显提升.

保序加密技术研究与进展

郭晶晶, 苗美霞, 王剑锋
2018, 5(2): 182-195. 全文: PDF (1226KB) (204)
摘要

云计算是分布式计算、并行处理计算、网格计算等概念的发展和应用, 它实现了人们长期以来``把计算作为一种设施''的梦想. 随着云计算的快速发展, 越来越多的用户将数据外包存储到云服务器, 从而降低自身的数据存储开销. 由于云服务器不完全可信, 为了保护数据机密性, 用户上传数据之前必须进行加密处理. 但是, 传统的加密方案将会破坏明文数据原有的顺序信息, 使得数据的查询变得十分困难. 保序加密 (order preserving encryption, OPE) 是一种密文保持明文顺序的特殊加密方案. 它既能保护用户数据机密性, 也能够实现密文数据高效查询. 保序加密方案所能达到的最优安全性是~IND-OCPA, 其安全目标是保证~OPE~方案除明文顺序外而不泄露其他任何明文信息. 近年来, 保序加密方案的设计日趋多样化, 大量基于索引结构的保序加密方案被相继提出, 旨在于提高方案安全性和实用性. 本文首先回顾保序加密方案的发展历程, 并介绍保序加密方案的延伸方案顺序可见加密方案, 探讨各个方案的安全性和实用性, 同时介绍目前最新的研究进展以及这一方向需要解决的关键问题, 最后对未来的研究发展方向进行展望.

数据安全与隐私保护专栏序言

马建峰, 陈晓峰
2018, 5(2): 180-181. 全文: PDF (344KB) (156)
摘要

        随着计算机技术的飞速发展, 全球数据呈爆炸式增长之势, 数据的价值越来越受到人们的关注和认可, 各种数据服务与应用层出不穷, 人们对数据的依赖达到前所未有的程度. 对海量数据的不断挖掘和运用, 标志着我们已经进入到大数据时代. 现如今, 数据已成为新的经济增长点和科技战略制高点, 正在深刻影响着经济、政治、文化、科技、社会的发展进程, 对数据的安全保护日益得到重视和加强. 大数据的基础是海量异构数据的汇集、存储和访问, 途径是大规模异形数据的计算与分析, 目的是多样化的非标准业务和个性化服务, 终点是失效数据的遗弃和删除. 虽然这些方面都已有适用于各自的比较成熟的独立安全防护体系, 但是, 由于大数据的``5V''特征(数据体量巨大Volume、数据类型繁多Variety、数据价值密度低Value、数据处理速度快Velocity、数据真伪存疑Veracity)突破了传统安全防护范畴和能力; 同时, 数据防护必须不中断地贯穿于大数据全生命周期. 因此, 大数据面临着新的安全问题和挑战.

        另一方面, 云计算是一种具有动态延展能力的计算方式, 它可以看作是现有的分布式计算、并行处理计算、网格计算等概念的延伸和发展应用. 通俗来讲, 云计算是以用户为中心的一种计算服务. 这种服务就如同天上的``云''一般, 用户的不同需求决定``云''的``规模'' ``形状''和``配置''. 用户终端设备的计算和存储能力有限, 而拥有近似无限资源的云就为用户提供了很多便利. 云计算平台能在极短时间内处理非常大数量级的信息, 进而把资源(包括计算资源、存储空间及网络带宽等)以服务的形式用互联网提供给需要此类资源的个体或公司, 大大减轻了资源受限用户对软件管理及硬件维护的负担, 从而彻底改变了传统IT行业的架构和运行方式. 随着云计算技术的不断成熟, 云计算由于其自身的便利性、可延展性、动态性等特性, 越来越被人们所接受和使用. 目前, 云计算已经成为一种``基础设施''广泛应用在人们生活之中. 然而, 在云计算在提供多种高效弹性服务的同时, 数据安全问题变得愈发严重. 相对于传统的网络应用, 在云端进行存储和相关业务的处理会导致用户数据的所有权与管理权分离. 一方面, 为了利用云平台的计算和存储资源, 用户需要将数据存储到云服务器或者计算任务外包给云服务器, 这将泄露用户的敏感数据和计算结果. 另一方面, 云服务器一旦出现问题, 大量用户的数据与应用将会无法使用和运行. 因此, 如何有效保护用户数据的安全性, 特别是在云环境等新型环境下保护用户数据的安全性是目前亟待解决的问题.
        此外, 随着人工智能、机器学习技术的迅猛发展, 数据挖掘技术日益成熟, 数据挖掘在各个领域扮演着越来越重要的角色. 数据挖掘其目的在于从大量的数据中抽取出潜在或有价值的知识、模型和规则. 然而, 在数据挖掘技术发现知识的同时, 用户数据的隐私性面临极大威胁. 例如, 疾病控制中心需要收集各医疗机构的病例信息, 以进行疾病的预防与控制, 将不可避免地暴露敏感数据(如病人患病信息). 另一方面, 数据发布将数据库中的数据直接展现给用户, 如果不采取适当的保护措施, 将出现严重的敏感数据泄漏问题, 给数据拥有者带来严重的危害. 例如, 企业发布的最新产品信息、上市公司发布的年度财务报表. 因此, 不管是企业、个人, 都需要成熟的隐私保护技术来保护其数据的隐私性.
        目前, 数据安全和隐私保护问题已经成为了学术界、企业、政府三界关注的焦点. 因此, 《密码学报》组织本期数据安全与隐私保护专栏, 征集了这方面国内研究的部分工作, 共收录 4 篇文章, 为从事该研究方向的同行提供参考.
        在云存储中, 为了保护用户敏感数据的机密性, 用户上传数据之前通常会对其数据进行加密. 但是传统的加密方案会破坏其明文数据拥有的一些特征信息, 比如大小、顺序, 这使得密文数据的查询变得极为困难. 保序加密很好的解决了这个问题, 它在保护用户数据机密性的前提下也能支持密文数据的高效查询. 郭晶晶等人的文章《保序加密技术研究与进展》系统全面地综述了保序加密的发展. 该篇文章从保序加密的系统模型与安全性定义出发, 详细的介绍了保序加密方案的发展和现状, 分析了各种保序加密方案的安全性与交互性, 着重介绍了无陷门的顺序可见加密方案与陷门顺序可见加密方案, 并给出了比较加密方案与比较加密方案的改进方案. 最后, 对保序加密方案做出了总结与展望, 指出了现有保序加密方案在安全性、多场景、云服务器不完全可信方面的不足, 给出了未来研究工作的方向.
        可搜索加密方案可以实现密文环境下的精确查询操作. 但在日常生活中, 一些拼写错误常常会出现, 因此如何实现密文数据的相似性查询是目前可搜索加密技术的研究热点. 吴瑾等人的文章《基于局部敏感哈希的安全相似性查询方案》通过使用局部敏感哈希算法和基于复合哈希关键字的度量等机制实现了一个安全相似性查询方案. 此外, 通过定义复合哈希关键字间的线性顺序保证了查询效率. 进一步的, 该篇文章还改进了碰撞的记录方式, 能更好地量化碰撞效果. 通过实验数据表明, 该方案有效的改进了原有方案的缺陷, 提高了查询结果的精确度和召回率, 同时保证较快的响应时间.
        压缩感知是一种新颖的数据采集理论, 可以高效地完成分布式多条网络下的数据采集, 并能消除数据采集过程中的``热区''现象. 然而在压缩感知实现数据采集工作时并没有考虑安全性保护, 压缩感知对称密码系统需要加解密双方事先共享密钥, 在每次加密时还需安全信道更新密钥和传递信号的能量, 且易受到合谋攻击, 因此在分布式多跳网络环境并不实用. 刘镇等人的文章《一种多跳传输环境下安全的数据采集方法》将压缩感知对称密码推广到了公钥加密的情况, 提出了压缩感知公钥加密, 并基于learning with errors (LWE)假设, 在标准模型下证明了算法的抗选择明文攻击不可区分性安全. 通过将数据加密融合在数据采集过程中, 有效的保证了移动互联网及物联网环境下数据采集过程中的安全性.
        随着计算机技术的飞速发展、数据量的激增, 如何在大规模数据中快速找到需要的数据成为了亟待解决的问题. 为了解决多目标决策问题, Skyline计算技术应运而出. 然而在云环境下使用Skyline计算可能会产生数据泄露, 极大的威胁用户和企业的数据安全. 特别是现有的Skyline安全计算方案往往需要多个云服务器协同计算, 面临云服务器共谋的风险. 王维国等人的文章《一种面向位置信息的安全Skyline 查询方案》仅使用一台云服务器与一台可信的辅助计算的数据提供商服务器, 设计了一种基于位置信息的Skyline安全计算方案. 该方案针对位置信息的Skyline安全计算, 通过用户端、数据提供端和云服务器端的协同, 实现了在第三方平台安全、高效的Skyline查询计算. 通过在真实数据上的测试, 该方案与在明文上相同的Skyline计算相比, 不仅能保证用户数据和目标数据的安全, 并能高效的计算出正确的结果.
        目前, 大数据技术、云计算技术、人工智能技术与机器学习技术不断发展、不断成熟, 这些新兴技术在给人们生活带来方便的同时, 给数据的安全性与隐私性带来了极大地挑战. 不同于传统的存储环境, 一方面, 云环境中用户的数据往往存储在云服务器上, 这使得用户所有权与管理权分离, 这给数据的安全性带来极大阻碍; 另一方面, 随着数据挖掘技术的发展, 用户数据的隐私性变得更加难以保证. 因此, 设计支持云环境下的数据安全与隐私保护技术变得尤为重要. 我们期待能有更多的学者能重视数据安全与隐私保护问题, 并期待在数据安全与隐私保护方面能有更多实用的理论成果.
 
 

ZUC-256 流密码算法

ZUC 算法研制组
2018, 5(2): 167-179. 全文: PDF (1448KB) (301)
摘要

为了应对5G通信与后量子密码时代的来临, 本文提出ZUC-256流密码. ZUC-256流密码是3GPP机密性与完整性算法128-EEA3和128-EIA3中采用的ZUC-128流密码的256 比特密钥升级版本, 与ZUC-128流密码高度兼容. ZUC-256 流密码的设计目标是提供5G应用环境下的256比特安全性; 其认证部分在初始向量不可复用的条件下支持多种标签长度.

具有3或4位全局校验的SD码和PMDS码的构造

荣幸, 杨小龙, 胡红钢
2018, 5(2): 151-166. 全文: PDF (1398KB) (59)
摘要

存储系统中的纠删码用在整个磁盘被擦除的错误模式下恢复丢失的数据. 但在实际应用中, 磁盘和扇区同时被擦除的情况更易发生. 针对这种更一般的错误模式, Blaum等学者提出了SD码和PMDS码. 相较应用于RAID存储架构中的纠删码, 在磁盘和扇区同时被擦除的错误模式下, SD 码和PMDS码能够节省更多的存储空间. 设计具有良好容错能力的SD码和PMDS码是一个公开问题. 对SD码和PMDS码的构造主要基于校验矩阵或生成矩阵, 但局部校验数$m$和全局校验数$s$均有限制. 在已知的基于校验矩阵构造的SD码和PMDS码中, 当全局校验个数$s=3$或4时, 局部校验个数$m$满足$m\leqslant2$; 当局部校验个数$m\geqslant 1$时, 全局校验个数$s$满足$s\leqslant2$. 在本文中, 我们给出具有更高容错能力的SD码和PMDS码, 参数满足$m\geqslant 1$且$s=3$. 在已知的基于生成矩阵构造的SD 码中, 参数满足$m\geqslant 1$ 且$s=3$. 在本文中, 我们给出参数满足$m\geqslant 1$且$s=4$的SD码.

基于多变量公钥密码体制的门限环签名方案

郭秋玲, 向宏, 蔡斌, 桑军, 向涛
2018, 5(2): 140-150. 全文: PDF (1262KB) (129)
摘要

多变量公钥密码是后量子密码的主要候选者之一. 目前, 大多数多变量公钥密码的加密方案都存在安全性问题, 但有很多安全且高效的签名方案. 不过, 人们对具有特殊性质的多变量公钥密码签名方案的研究并不多, 比如门限环签名、盲签名、群签名等. 2011 年, Shangping Wang等人首次提出了基于多变量公钥密码体制的环签名方案, 该方案具有较高的效率. 门限环签名确保了一个群体中至少有$t$个成员参与了签名, 又不泄露签名者的身份. 本文结合Shangping Wang等人提出的环签名方案的特点, 提出一个基于多变量公钥密码体制的门限环签名方案. 该方案利用公平划分思想, 对一个环进行重复划分, 每次划分成$t$个互斥的子环, 形成一个$(n,t)$-完全划分系统. 签名时, 先计算各个子环的签名, 再将这些签名连接起来, 形成一个类环机制. 本文所提出的方案是一个关于多变量双极系统的门限环签名方案, 该方案可以抵抗量子计算机的攻击. 经过分析, 新方案满足门限环签名的正确性、匿名性要求. 同时, 在已知的关于多变量公钥密码的攻击下, 新方案具备不可伪造性.

改进的SKINNY算法的不可能差分分析

洪豆,陈少真
2018, 5(2): 126-139. 全文: PDF (3231KB) (253)
摘要

SKINNY算法是一种新型 SPN 结构的类 AES 型轻量级可调分组密码算法, 由 Beierle 等在 CRYPTO 2016上提出. SKINNY是一类采用可调密钥框架的可调分组密码算法, 根据可调密钥大小和分组长度分为6个不同版本. 本文评估了SKINNY在单密钥条件下抵抗不可能差分分析的安全性. 首先, 在区分器输入输出只有一个活动块的情况下, 利用中间相错技术寻找到SKINNY算法最长长度达到11轮的所有16个截断不可能差分路径. 其次, 选择其中一条不可能差分路径, 在单密钥条件下针对 20 轮 SKINNY-64-128 进行不可能差分分析. 利用S盒差分性质及SKINNY算法列混合变换的性质进行密钥猜测, 结合密钥编排算法存在的``周期性质", 推导得出的轮可调密钥块之间的线性关系, 将分析过程中需猜测的可调密钥块数量由 45 个减少至 33 个. 最后利用并行攻击技术和早夭技术, 有效降低了攻击的时间复杂度. 攻击需要 $2^{29}$ 个选择明文对, 存储量为$2^{94}$个半字节, 时间复杂度为$2^{119.3}$次加密. 相比于已有SKINNY 不可能差分分析结果, 选择明文数量和攻击时间复杂度有一定改进.

适用于移动客户端——多服务器环境的用户认证与密钥协商协议

刘波, 周雨阳, 胡飞, 李发根
2018, 5(2): 111-125. 全文: PDF (2952KB) (195)
摘要

随着电子商务的快速发展, 网络服务提供商为用户提供多种多样的服务, 而这些服务往往运行在不同的服务器上. 因此, 多服务器架构已经普遍存在; 同时, 越来越多的人通过手机等移动设备来快速获取网络服务, 这就是当前得到广泛应用的移动客户端——多服务器模型. 一方面移动设备为我们的生活带来了便捷, 另一方面移动互联网的开放性使得其安全性问题也越来越突出. 因此, 设计一种适用于移动客户端——多服务器环境的用户认证与密钥协商协议是非常有必要的. 但是由于移动设备与个人电脑相比具有资源受限的特点, 要设计一种兼具安全性与高效性的协议并不是一件容易的事情. 为了解决上述问题, 本文利用无证书公钥密码技术、提出了一种适用于移动客户端——多服务器环境的用户认证与密钥协商协议. 无证书公钥密码体制能够解决传统公钥密钥体制的证书管理问题和基于身份公钥密码体制的密钥托管问题, 所以其兼具高效性与安全性的优点. 同时, 由于移动设备具有资源受限的特点, 无证书公钥密码体制非常适合用来设计应用于移动设备的安全协议. 在随机预言模型下, 我们证明了该协议能够提供双向认证性和安全的密钥协商. 同时, 将该协议与其它同类型的协议做对比后得出, 该协议在计算效率上具有明显的优势.

相关随机分析线性子空间的伪适应性零知识证明

刘金会, 禹勇, 杨波, 吴万青
2018, 5(2): 101-110. 全文: PDF (1518KB) (233)
摘要

非交互式零知识(non-interactive zero-knowledge, NIZK)证明是零知识证明的一种, 它也是密码学协议中的一个重要工具. 非交互式零知识证明系统有着很多的应用, 可以将其应用在数字签名方案、公钥密码体制以及密钥分配体制等. 矩阵运算具有非交换属性, 基于非交换代数结构的公钥密码算法, 目前还没有量子计算算法, 因此, 基于矩阵的零知识证明具有抗量子计算攻击的潜力. Kiltz等人在EUROCRYPT 2015上构造了一个线性空间的伪适应性非交互式零知识证明(quasi-adaptive NIZK, QANIZK), 同时将该技巧推广到保持线性同态结构的签名方案. 针对这类方案, 本文主要介绍了一种相关随机攻击方法, 分别对线性空间的具有适应性合理性的QANIZK, 简单的具有适应性一次模拟合理性的QANIZK和QANIZK构造进行了相关随机分析. 在对方案的相关随机分析过程中, 首先给定一个合理的假设, 分析方案的公私密钥对, 通过求解代数方程组, 获取一些等价密钥, 进而伪造签名. 然后, 分别介绍攻击方法相关的算法描述, 有效性分析和攻击成功的概率. 最后说明攻击方法的合理性并提出进一步的分析研究.

Grain-128a 认证机制的安全性分析

王鹏, 郑凯燕
2018, 5(1): 94-100. 全文: PDF (537KB) (162)
摘要

Grain-128a是一个基于序列密码的认证加密方案, 泛杂凑函数是其认证部分的核心部件. 之前的研究侧重于寻找其中序列密码的弱点. 本文在假设序列密码是完美的基础上, 以泛杂凑函数的弱密钥分析为切入点, 研究Grain-128a的安全性. 由于这一泛杂凑函数是一个简单的仿射函数, 我们的研究表明其在Grain-128a中存在弱密钥集合, 攻击者可以有效判定泛杂凑函数的密钥是否属于这一集合, 如果密钥属于这一集合, 攻击者可以进行概率为1的伪造攻击. 同时, 我们在弱密钥分析的基础上, 进行密钥恢复攻击. 假设处理的消息是1比特, 我们仅需要1次加密询问和不超过232+l-1次解密询问, 就可以恢复泛杂凑函数l+31比特的密钥, 成功概率为1. 更进一步, 我们可以得到序列密码生成的几乎所有的密钥流, 从而可以进行任意的伪造攻击, 即对任意长度不超过$l$比特的消息, 伪造其密文及相应的鉴别码.  本文最后分析了之所以能进行这些攻击的原因和防止攻击相应的措施.

认证加密算法 FASER 的安全性分析

冯秀涛, 张凡
2018, 5(1): 83-93. 全文: PDF (530KB) (173)
摘要

CAESAR是日本于2013年发起的密码竞赛活动, 旨在面向全球征集对称认证加密算法. FASER是提交到CAESAR竞赛的认证加密算法簇, 它包括两个算法: FASER128和FASER256. 该算法簇基于流密码体制, 即根据输出密钥和初始随机向量生成与明文流等长的伪随机密钥流, 然后用该伪随机密钥流异或明文流进而输出密文流. FASER 包括加密算法和认证算法, 其认证算法于加密算法类似. 本文我们发现FASER的每拍输出字的比特之间有很强的相关性, 根据这种相关性我们给出FASER128 和FASER256的代数攻击. 首先我们给出FASER128加密算法的状态恢复攻击, 其时间复杂度约为229, 数据复杂度约为64个密钥字, 我们将该攻击算法在普通的个人计算机上实现, 该攻击算法在数分钟内即可恢复FASER128的状态. 进一步, 我们给出FASER128的密钥恢复攻击, 其时间复杂度约为236, 该攻击算法在多核计算机上可以并行实现. 例如在32核计算机上可以在几分钟之内恢复出种子密钥. 这表明FASER128不安全. 进一步, 我们的攻击可以很容易地移植到FASER256, 并在文章最后给出了针对FASER256的状态恢复攻击, 其攻击复杂度不超过248. 由于我们的工作, FASER 于2014年被撤销.

认证加密算法研究进展

吴文玲
2018, 5(1): 70-82. 全文: PDF (331KB) (529)
摘要

认证加密算法是能够同时保护数据机密性、完整性、以及数据源认证的对称密码算法, 在现实生活中有着广泛的应用需求. 在CAESAR竞赛的推动下, 认证加密算法研究发展迅速, 推出了一批新算法, 也给出了不少分析结果, 但进展并不顺利. 从现有成果看, 无论是安全目标的凝练刻画, 还是算法设计的理念, 或是分析评估的基本策略, 都呈现出一种五花八门、百家齐放的局面. 本文首先回顾认证加密算法的发展历程, 系统梳理认证加密算法的安全模型; 然后以CAESAR竞赛候选算法为对象, 归类总结认证加密算法的各种设计理念, 介绍各类认证加密算法的优势和最新的安全性评估结果; 最后探讨认证加密算法的发展趋势和存在问题.

认证加密算法专栏序言

胡磊
2018, 5(1): 68-69. 全文: PDF (121KB) (249)
摘要

认证加密算法同时实现两种最基本的安全功能, 即机密性和完整性, 是一类具有广泛应用前景的密码算法. 认证加密算法虽然研究历史很短, 但一直是密码研究的重要对象.

认证加密算法的研究经历了三次高潮.

第一次高潮是一体式认证加密算法的设计. 2000年之前, 学术界甚至还没有为认证加密给出一个严格的安全性定义, 多数密码研究者的认识仍然停留在``加密 + 认证 = 认证加密"这一初步的认识上, 这期间的学术界一直在探索一体式认证加密算法的设计, 但是都不成功, 这和当时缺乏安全性定义有直接的关系. 随着严格定义的给出, 特别是对密文完整性(INT-CTXT)的刻画, 认证加密才真正开始严密的科学研究. 不同于简单地将加密算法和认证算法组合在一起、一般需要对数据进行两遍处理的组合式设计, 一体式的设计则只需要对数据处理一遍即可同时实现机密性和完整性两种功能. 2000, OCB模式为代表的认证加密工作模式, 第一次完成了一体式的设计, 该模式中一个分组的数据平均只需调用一次分组密码, 较之以前组合式设计的运算效率大为提高. OCB模式在严格的安全模型下被证明是安全的, 即如果底层的分组密码是一个伪随机置换, 那么敌手攻击上层的OCB模式的机密性和完整性的成功概率都是密码意义下可忽略的.

第二次高潮是对认证加密标准化的讨论. 由于认证加密算法的广泛应用, 2000年开始, 各个标准化组织纷纷开始对认证加密算法进行标准化, 其中包括无线局域网络802.11i标准中的认证加密算法、美国国家标准与技术局(NIST)的认证加密算法标准、密钥信息加密的密钥包装(key wrap)标准、IEEE P1619存储加密标准等等. 这一过程极大推动了认证加密算法的发展, 例如密钥包装(key wrap)标准的讨论, 引发nonce误用问题的讨论, 也促成了确定性认证加密概念的提出. OCB模式虽然效率上有很大优势, 但是由于专利限制等原因, 在相关密码标准的制定过程中屡屡受挫, 组合式的GCM模式反而后来居上, 成为标准化过程中最成功的认证加密算法. 在这期间, 涌现出一批有代表性的设计, 例如CCMEAX. 2009, 国际标准化组织(ISO)的认证加密算法标准ISO/IEC 19772将这些认证加密算法全部都包括进去了, 可以看作是这一阶段认证加密算法研究的一个总结.

第三次高潮是近年来的CAESAR竞赛. 2012年开始, 应用最为广泛的认证加密算法GCM模式被发现出现了一些问题. 首先, GCM模式中的泛杂凑函数存在弱密钥; 其次, GCM模式的安全证明存在缺陷. 2014, NIST资助的CAESAR 竞赛应运而生, 使得认证加密算法再一次成为密码学界的研究热点. 这之后, 认证加密的研究更多地偏向应用安全. 例如, 在资源受限的环境下, 认证加密的解密设备可能无法在进行完整性通过后才输出明文, 而是输出完明文之后才给出完整性的判断, 这是所谓的明文未认证发布(release unverified plaintext, RUP)问题. 在这一场景的安全性需求下, 很多认证加密算法的安全性都是有问题的. 又例如, 在线处理数据的认证加密, 之前的研究将其和在线密码(online cipher)绑定在一块. 对于这一特殊的对象, 独立于在线密码的安全模型如何定义才算合理, 仁者见仁智者见智, 众说纷纭.

本期``认证加密算法专栏", 我们刊登三篇各具特色的论文, 希望对国内认证加密算法的研究有所启示.

第一篇是题为《认证加密算法研究进展》的综述文章. 该文回顾了认证加密算法的发展历程和相关的安全模型, 然后以CAESAR竞赛候选算法为对象, 总结了认证加密算法的设计理念, 分类介绍了第三轮评估的15个候选算法. 最后, 该文对认证加密算法的发展趋势和存在问题进行了探讨, 抛砖引玉, 期望更多国内学者参与其中的研究.

第二篇论文, 题为《认证加密算法FASER的安全性分析》, 对提交到CAESAR竞赛的认证加密算法FASER进行了分析. FASER包含两个算法: FASER128FASER256. 该文首先给出FASER128加密算法的状态恢复攻击和密钥恢复攻击, 32核计算机上只需要几分钟时间就可以实时恢复出密钥. 进一步, 该文还给出了FASER256的状态恢复攻击. 由于这一工作, FASER主动退出了CAESAR竞赛.

第三篇论文的题目是《Grain-128a 认证机制的安全性分析》, 该文以弱密钥分析为切入点对认证加密算法Grain-128a进行了研究. 研究表明Grain-128a认证部分的泛杂凑函数存在弱密钥集合, 攻击者可以有效判定泛杂凑函数的密钥是否属于这一集合, 一旦密钥落入这一集合, 就可以进行概率为1的伪造攻击. 这一分析方法和对GCM的弱密钥分析是一脉相承的.

CAESAR竞赛早已接近尾声, 最终获胜算法的公布日期却一再拖延. 无论如何, 认证加密算法的科学研究还将继续下去.

无双线性对的基于证书多域条件代理重加密方案

徐洁如, 陈克非, 沈忠华, 徐晓栋
2018, 5(1): 55-67. 全文: PDF (887KB) (161)
摘要

已有的基于证书条件代理重加密(CB-CPRE)方案有效保护了云中的数据, 解决了复杂的证书管理问题和密钥托管问题. 但是现有的基于证书条件代理重加密方案仍然存在着应用方面的缺陷, 只考虑了授权人和被授权人在同一个域内的情况, 而新型云环境中, 域间和域内的用户需要进行数据共享, 不同服务商需要相互协作, 为用户提供云服务. 对此, 本文通过结合多域这一概念, 在已有方案基础上, 提出了基于证书多域条件代理重加密(CB-MD-CPRE)方案的定义及其安全模型, 使得不同域内用户能相互访问数据, 有效解决了上述存在的问题. 且结合椭圆曲线群, 本文进一步构造了一个无双线性对的基于证书多域条件代理重加密方案, 并给出证明过程, 说明了该方案在随机预言模型下满足适应性选择密文攻击下的不可区分安全性. 最后, 通过对比分析本方案和其他相关方案, 可以看到本方案在性能方面有明显的优势, 且计算量较低, 在一定程度上限制被授权人解密权限的同时又支持域间和域内用户交流. 因此, 所提方案更适用于实际的云计算应用场合.

弱半 bent 正交序列集的构造

夏婷婷, 孙玉娟, 解春雷
2018, 5(1): 43-54. 全文: PDF (1056KB) (132)
摘要

扩频通信系统的码序列在近些年一直是备受关注的研究课题之一, 扩频通信序列目前已经被广泛应用于军事以及民用通信. 对于扩频序列, 相关值决定了系统的抗干扰性, 它要求具有良好的互相关性质, 为满足越来越密集的人口通信, 还需要保证每个蜂窝里的用户数量足够大. 本文提出弱半bent布尔函数和弱半bent序列集的定义,并利用Maiorana-McFarland类密码函数构造技术, 构造出弱半bent 正交序列集. 与半bent正交序列集相比, 利用弱半bent序列集可以使单个蜂窝内用户的数量更多. 本文还给出弱半bent序列集的两种优化方案. 第一种优化方案仍然是以增大单个蜂窝用户数为主要目标, 在某些情况下数量比目前最优结果大一倍. 第二种优化方案是用弱半bent正交序列集构造出半bent正交序列集, 使不相邻蜂窝间的用户干扰较弱半bent正交序列集更低, 并且没有减小单个蜂窝内的用户数. 弱半bent正交序列可用于同步CDMA系统的蜂窝用户码, 可以实现用户数量和抗干扰性的较好折中.

基于区块链的密钥更新和可信定位系统

李大伟, 刘建伟, 关振宇, 秦煜瑶, 伍前红
2018, 5(1): 35-42. 全文: PDF (1140KB) (474)
摘要

随着物联网技术发展, 智能设备数量激增, 无线智能物联网设备采用的自组织网络模式具有拓扑动态性、无中心分布性、无固定基础设施等特点, 然而这些特点为通信与定位的安全性带来众多问题. 首先, 为实现无线智能设备的安全通信, 往往采用单双钥加密相结合的方式, 然而一旦设备密钥丢失或泄露, 其密钥更新难以在自组织网络中及时同步; 其次, 在自组织网络中, 多设备之间会话密钥的协商往往需要复杂的交互和运算; 第三, 在城市、野外等复杂环境下, 采用自组织网络模式的智能设备难以接收来自外部足够强的定位信号, 而现有的APS定位算法在缺乏基站等可信第三方基础设施情况下难以确保其定位安全性; 最后, 现有定位算法难以确保无线智能物联网设备所获得的定位信号未遭篡改, 也难以保证网络监控下各移动设备所显示定位的真实性. 针对上述问题, 本系统将无线智能物联网设备之间建立的区块链作为可信基础设施, 记录用户身份对应的密钥更新链, 并便于多用户间会话密钥协商; 基于共识机制实现在无定位信号或弱定位信号下物联网智能设备之间可信相互定位, 并保障设备获取和发出的定位信息真实. 本系统可使用现有安全的密码算法构建, 能够高效安全地实现密钥更新与可信定位, 适宜在实际物联网设备安全通信系统中使用.

基于 LWE 的全同态身份基广播加密方案

冯翰文, 刘建伟, 伍前红
2018, 5(1): 21-34. 全文: PDF (742KB) (189)
摘要

全同态加密方案是一类允许第三方在不知晓解密密钥的前提下对密文进行任意运算的加密方案, 为云计算场景下数据隐私保护提供了有效的密码学工具, 具有重要的应用价值. 在复杂的网络环境下, 消息的接收者往往不是单一的. 如何将一个具备可计算性的密文安全地分享给一个任意选定的接收者集合, 是传统的全同态加密方案尚未解决的问题. 本文结合全同态加密和身份基广播加密的思想, 提出了新的密码学原型——全同态身份基广播加密(identity based broadcast fully homomorphic encryption, IBBFHE), 并基于LWE困难问题假设给出了具体的方案. 数据通过IBBFHE方案加密后允许不具备解密能力的第三方进行同态运算, 且仅能被指定集合内的接收者正确解密, 从而实现了云计算环境下数据的动态群组分享. 本文在LWE假设下, 证明了所提方案的抗半适应性选择身份集合选择明文攻击的安全性. 由于LWE 问题是公认的抗量子攻击难题, 本方案也具备抗量子攻击的安全性.

一种基于格签名算法的数字证书方案

李子臣, 梁斓, 孙亚飞
2018, 5(1): 13-20. 全文: PDF (1229KB) (277)
摘要

随着全球信息化时代的到来, 学习、办公、生活中都离不开网络的使用. 因此网络的安全问题也成为人们关注的焦点. 数字证书的出现很好地解决了网络的身份认证问题, 将用户身份与公钥通过权威第三方机构绑定到一起, 从而证明了用户身份的合法性. 数字证书认证技术更是为我国的电子政务与电子商务的安全保驾护航, 因此, 对数字证书的研究具有很大的意义. 现有的数字证书系统中使用的签名算法大都是基于大数分解或者离散对数, 而随着``量子计算机''的快速发展, 这些签名算法都面临着巨大的安全威胁. 针对这一问题, 提出了一种基于格理论的数字证书方案. 在方案中, 可信第三方证书授权中心(certificate authority, CA)在证书签发过程中使用的签名算法是基于格理论的, 其安全性是基于小整数解困难问题(small integer solution, SIS), 并证明了基于该算法设计的证书是不可伪造的. 这大大提高了证书的安全性. 与传统的RSA、ECDSA证书方案相比较, 本方案不仅可以抵抗量子攻击, 而且在安全比特相同的情况下, 具有更高的签名、验签效率. 与以往的格签名方案相比, 密钥以及签名值的尺寸更短, 便于在证书中存储.

Page 1 of 12 233 records
版权所有 © 密码学报
技术支持: 北京玛格泰克科技发展有限公司