密码协议的代数模型及其安全性

引入了一个新的代数系统——称为密码协议代数(cryptographic protocol algebra, CPA), 刻画具有多种密码运算的消息代数性质, 并基于CPA提出了一个新的密码协议代数模型. 模型中, 用子代数、自由生成元和多项式代数等概念刻画主体的知识扩张过程, 并用类似于代数中的正合序列概念描述了密码协议的攻击过程, 从而为密码协议的安全性分析建立了一种数学方法. 基于这个模型, 利用代数的技巧证明了对于具有一定对称性的协议, 任意多主体参与运行的协议安全性分析可归结为几个主体与攻击者参与的协议安全性分析. 研究了密码协议安全的一致性问题, 给出了两个协议合成保持安全性的一个充分条件, 并提供两个安全的密码协议的合成安全的例子, 推广了相关工作.     

基于挑战——响应的安全协议分析

安全协议的本质是协议主体采用密码学方法通过挑战一响应来对协议其他方的存在做出判断，同时完成一些数据如会话密钥的协商．大部分国内外现有的分析方法或者采用状态检测等定理证明技术，或者采用认证逻辑等推理技术，存在着分析能力与可操作性之间的矛盾．为了解决这个问题，文中提出一种新的安全协议保密性和关联性的分析方法，该方法基于线空间模型理论给出了协议保密目标和认证目标的形式化定义，采用认证逻辑作为基础分析手段．保密性分析被分解为显式泄密和隐性泄密两种情况，其中隐性泄密分析依赖于关联性的判断，而关联性的分析被总结为Strand的存在关系和参数一致性分析的问题．新的分析方法既具有线空间模型的分析能力，又具有认证逻辑的易用性．     

基于约束构造算法的密码协议安全性分析

基于形式化方法开发自动分析工具是密码协议安全性分析的一种有效的方法，然而，由于密码协议参与主体的任意性、消息运算复杂性和运行的并发性，密码协议的安全性分析是高度计算复杂性的难题。基于最近提出的密码协议代数（CPA）模型，采用代数方法描述密码协议活动，精简密码协议描述，提出一个高效的密码协议安全性自动分析算法。该算法通过泛多项式方程求解技术，减少密码协议安全性分析过程中产生的冗余状态数量，并可提供在无限状态空间运行的协议安全性分析。根据该算法，实现了一个密码协议自动分析系统ACT-SPA，应用该系统分析了二十多个密码协议，结果显示系统显著提高了运行效率，并发现了新的密码协议攻击。     

UC安全的并行可否认认证新方法

可否认认证协议允许认证者向接收者认证某个消息，但是接收者不能向第三方证明该认证消息的来源．在考虑开放的异步多方通信网络环境和自适应的主动攻击者能力的情形下，基于UC（universally composable）安全模型提出了解决并行可否认认证问题的新方法．根据可否认认证协议的安全目标，定义了形式化的并行可否认认证理想函数FCDA，然后，利用可验证平滑投影散列函数构造了一个具体的协议方案，在公共参考串模型中，新的协议方案是可证明UC安全的，即新方法能够保证可否认认证协议的不同实例在并行复合情形下是安全的，当与其他协议同时运行时具有非延展性．为了实现可否认认证的前向可否认性，新方法基于陷门承诺构造了新的投影密钥函数和可验证平滑投影散列函数，基于证人不可区分，协议的安全性可以归约为确定性复合剩余假设，改善了协议的计算效率和通信效率．     

基于Polar码的纠错延后量子协商协议

提出了一种基于纠错(EC)延后的量子密钥分发协商协议.该协议不直接对密钥进行EC,而是将EC延后到信息交换后进行.这种量子密钥分发协商协议具有两个优点:1)EC延后可使量子密钥分发网络中不直接相连的两个节点通过共同的可信节点共享密钥串;2)EC延后可简化整个协商过程,只通过简单的信道编码就能完成EC,还能同时纠正通信过程中产生的误码和信息本身存在的误码.本文理论上分析了所提协议的密钥利用率;并以误比特率为标准,结合Polar信道编码,通过数值仿真说明所提协议的可靠性与安全性,并与等同条件下应用低密度奇偶校验码(LDPC码)的量子密钥分发协商协议进行比较,结果表明基于Polar码的协商协议可获得更加完善的性能.     

公平交换签名方案

本文提出一类新的公平交换签名方案(fair exchange signature scheme,FESS),该方案可以使参与双方以一种公平的方式交换数字签名.因为FESS所给出的是一种构造公平交换签名方案基本模型,所以它可以基于大多数现在已有的签名方案来实现,本文以Schnorr签名为基础给出了FESS的一种实现方案.可以把FESS看作是EUROCRYPT2004上发表的同时生效签名(concurrent signature)的一种有趣的扩展变形.同时生效签名只是基于环签名来构造的,而FESS能够基于大部分普通数字签名来实现.在FESS中,参与双方分别签署两个能够被对方验证但是却未被激活的数字签名,直到承诺信息—keystone被公开以后,双方的数字签名才能够被激活,并且同时生效.一旦keystone被公开以后,任何人都可以验证两个签名的合法性.FESS的一个显著特点是两个参与者能够通过一个安全承诺—keystone来同时交换各自的数字签名,而不涉及任何可信第三方(TTP),而且该方案的执行效率要高于同时生效签名.FESS的提出为构造公平电子支付协议以及公平电子合同签署协议提供了非常有效的密码工具.     

基于DNA技术的非对称加密与签名方法

结合现代基因工程技术和密码学技术设计了一个非对称加密与签名系统DNA-PKC,这是在生物密码研究领域的初步探索.类似于传统的公钥密码,DNA-PKC的密钥由加密钥和解密钥组成,加密者之间互相不能解密,只有解密钥的拥有者才能解密所有密文.不同于传统的公钥密码,DNA-PKC的密钥与密文均为生物分子实物,在应用协议等方面具有不同的要求.在安全性方面,DNA-PKC主要依赖于生物学问题而不是传统的计算困难问题,因而对未来的量子计算机的攻击免疫.     

辫群上的共轭链接问题及基于辫群的数字签名方案的新设计

量子计算的发展给经典公钥密码系统的安全性构成了严重威胁,因此探索新的公钥密码平台、设计新的可抵抗量子攻击的密码方案成为信息安全理论的前沿课题.辫群密码系统是具有抵抗量子攻击潜力的密码系统之一.本文分析了基于辫群的密码学的研究现状,提出了辫群上的新密码学难题——共轭链接问题.基于此问题,本文构造了一种新的基于辫群的数字签名方案.该方案不仅高效,而且在随机预言模型下具有可证明安全性.本文亦将基于辫群的签名方案与基于RSA的签名方案做了对比.结果表明:基于辫群的签名方案的签名效率要远远高于基于RSA的方案,但是签名的验证过程较慢,因此适合于那些签名需要迅速完成而验证可以相对延迟的应用场景(如离线电子货币系统).此外,基于辫群的密码系统的密钥长度较大——私钥约2K比特位,公钥约12K比特位.相对于模指数等运算而言,辫群运算非常简单,因此可以考虑在那些计算能力相对较低而存储空间不太紧的设备上使用.最后,本文也从隐藏子群问题的角度对辫群密码系统抵抗现有量子攻击的能力进行了讨论.     

基于口令的安全协议的模块化设计与分析

首先在分析基于口令的安全协议研究现状的基础上，提出了“弱计算不可分辨”概念，并以此为基础系统研究了基于口令的安全协议的理论基础——“弱伪随机性”理论；其次，以“弱伪随机性”理论为核心，建立了基于口令的安全协议的模块化设计与分析理论；最后，利用所建立的基于口令的安全协议的模块化设计与分析理论，设计了两类基于口令的安全协议，即基于口令的会话密钥分配协议和口令更换协议，这两类协议的最大特点是：实现效率高，具有可证明安全性，满足前向安全性。     

多方公平交换协议的形式化分析和设计

通过分析协议中消息项的起源和交易方之间的信道组成、事件及事件间的各种关系, 提出了一个简洁、紧凑、精确的一般公平交换协议层次化模型, 规范了能够更严格地反映公平交换协议内在要求的多种安全需求, 并对它们进行了细粒度的分解. 基于这一工作, 可高效细致地对多方公平交换协议进行分析、检测和设计.     

公平交换协议的一个形式化模型

基于对现有公平交换协议的研究，使用求精过程建立了精确的形式化结构模型，在这一过程中，使用不可靠信道模拟攻击行为．模型首次给出了交换项的形式化定义，提出的公平性、可追究性目标能够更加完整地反映公平交换协议的内在要求．为了能高效而又细致地对协议进行检测、证明和设计，模型提出了适用于所有公平交换协议的不可滥用性的新性质，给出了第三方可信赖串的定义和设计安全高效的公平交换协议的一般准则．文中通过一个典型的公平交换协议分析实例，阐明了使用该模型分析公平交换协议的详细步骤．发现了一种过去从未发现过的新攻击，给出了攻击发生时系统运行的全过程，深刻揭示了攻击发生的各种原因．最后，对有缺陷的协议进行了改进，改进后的协议满足所需要的各种性质．     

通用可组合的匿名HASH认证模型

理想函数是通用可组合安全的核心组成部分，但是目前通用可组合安全框架中定义的认证理想函数通过将身份与消息和签名值绑定的方式来实现对身份的认证，没能充分体现出采用其他形式进行匿名认证的特殊需求．受到Marten的启发，文中利用通用可组合安全定义并实现了一种适用于无线网络的匿名Hash认证理想函数，并在此基础上定义了一个具有普遍意义的Hash证书权威模型．定义了匿名Hash认证机制的安全需求和安全概念，并且证明在标准模型（非随机预言机模型）下所提匿名Hash认证机制的安全属性可以通过安全对称加密机制、安全数据签名机制、伪随机函数以及单向无碰撞Hash函数的组合得到保证．考虑到无线网络的特殊限制，以及移动终端设备的有限计算能力，本理想函数主要采用对称密码原语来实现身份认证．     

通用可组合的可信网络连接模型和IF-T中的EAP-TNC协议

在UC框架下,研究了可信网络连接（TNC）协议.首先,设计了TNC理想函数F_TNC,EAP认证理想函数F_EAP以及EAP-TNC理想函数F_E-PA,构造了通用可组合的可信网络连接安全模型.其次,在(F_EAP,F_E-PA)-混合模型下提出了通用可组合安全的TNC协议TK-TNC.然后,通过安全性分析,得出D-H PN协议不能实现理想函数F_E-PA.最后,使用Twin DH交换技术设计了TD-H PN协议.通过证明分析,结果表明TK-TNC在(F_EAP,F_E-PA)-混合模型下安全实现F_TNC;基于CDH假设,TD-H PN可以在(F_REG,F_CERT)-混合模型下安全实现F_E-PA.     

基于身份的跨域直接匿名认证机制

针对现有DAA方案存在计算开销大和无法满足跨域匿名认证需求的不足,本文提出基于身份的直接匿名认证机制,采用代理签名和直接匿名证明技术实现移动互联网下可信移动平台(TMP)的跨域匿名认证;验证者基于签名的合法性完成对TMP平台的真实性鉴别,并在认证过程中协商了会话密钥,增强了跨域证明系统的安全性;同时基于CK模型的安全性证明表明本文机制是可证安全的.分析显示,本文机制具有匿名性、无关联性和高性能等性质的同时,能够抵抗平台的伪装攻击、替换攻击和重放攻击等敌手攻击行为,其性能更适用于移动互联网等无线网络环境.     

一类基于图上随机游动的密钥共享体制

通过图上的随机游动构造了一个具有随机重构算法的密钥共享体制，该重构算法的空间复杂度由一般的多项式级别降低到对数级别，同时保持时间复杂度没有增加．另外，由该密钥共享体制可以诱导出一类具有特殊性质的线性码，进而构造出新的密钥共享体制以实现较好的存取结构．基于这个密钥共享体制可以设计一个具体的具有统计安全性的安全多方计算协议，而这一方面已知的例子并不多。     

基于等效信道的物理层认证和密钥分发机制

现有基于无线信道特征的物理层安全方法通过检测发送方的导频信号实现身份认证，易出现漏检．本文提出基于等效信道的物理层认证及密钥分发机制，利用多个时隙的信道特征对任意密钥进行加密传输建立等效信道，将信道特征的差异映射为传输畸变．依据密钥传输的正确性判断收发两端信道特征互信息的大小，从而在完成密钥的分发的同时实现发端身份认证．分析及仿真说明该机制密钥分发性能与现有方法相当，同时可以在不同空域信道相关性很强的情况下识别出窃听者的攻击．     

基于公钥密码的门限密钥托管方案

提出基于公钥密码系统的门限密码学意义上的密钥托管方案的一个一般模式,并给出于一个改进的ＲＳＡ算法的具体的设计。讨论表明,设计的方案解决了用户的密钥完全依赖于可信赖的托管机构的问题。     

用物理噪声源改进航天器信息安全的研究

分析了所提出的一种基于物理噪声源的航天器短消息扩展方法的有效性,计算了扩展后消息的熵,证明采用该方法可以有效增加存在于航天器数据系统中的大量长度很短且多次重复的短消息的熵,从而增强其传输过程的安全性;本文还提出了一种对M.J.Gander和U.M.Maurer所提出的密钥协商协议的改进方法,利用物理噪声源所产生的随机数据,设置通信双方协商过程的初始参数,使之不依赖于通信信道的特性,准确控制协商过程和密钥量,使该方法适用于长寿命航天器与地面之间保密通信中的密钥管理.     

前向散射雷达地表杂波物理建模及频谱扩展分析

文中通过对前向散射雷达杂波实测数据的处理,观测到前向散射雷达杂波谱的扩展对风速和载频极不敏感这一特殊现象.首次引入钟摆模型对前向散射雷达植被杂波进行物理建模和形成机理的分析,并给出了定量的理论分析结果,可很好地解释前向散射雷达杂波谱扩展的特殊现象.钟摆模型假设下分析得到的结果与实测数据处理结果非常一致,充分地验证了这一模型的合理性,揭示了前向散射雷达杂波谱的形成规律.并且基于杂波谱扩展对载频和风速的稳定性特征,可得到最优的杂波抑制带宽,有效地进行杂波抑制,为运动目标的检测和精确参数估计奠定了基础.     

可验证安全外包矩阵计算及其应用

矩阵计算在科学计算和密码学领域中都有着重要的作用.许多密码协议、科学和数值计算问题都涉及到了矩阵计算.然而,对那些计算能力有限的用户来说,独立完成矩阵计算并不是件容易的事情.云计算拥有强大的计算资源,它使得用户的计算能力不再受限于他们的资源约束型设备,他们可以外包工作量给云.本文围绕矩阵计算展开研究,针对矩阵乘积、矩阵的行列式以及矩阵的逆这3种运算,分别设计了切实可行的可验证安全外包协议.与已有的关于这3种可验证外包计算的协议相比,我们的协议在效率和安全性方面都有了改进,而且我们的协议不需要任何的密码学假设.本文中,还为我们的协议给出两个具体应用,即为＂大型线性方程组的求解＂以及＂基于纠错码的密码体制的实现＂这两个问题分别构造了高效的可验证外包计算协议.