摘要：动态密码的设计与分析是当前密码学领域研究的热点.本文针对类CLEFIA动态密码结构和四分组CLEFIA变换簇抵抗不可能差分和零相关线性分析的能力进行评估.当两类动态密码结构的轮函数为双射时,通过研究密码组件的可交换性质,证明了这两类动态密码结构各自置换等价于标准静态密码结构.利用建立的置换等价关系,通过构造静态密码结构不可能差分和零相关线性区分器,证明了4n轮类CLEFIA动态密码结构所有结构均存在8轮的不可能差分和零相关线性区分器,证明了4n轮四分组CLEFIA变换簇所有结构均存在9轮的不可能差分和零相关线性区分器.

摘要：针对2014年美密会上提出的PRIDE轻量级密码的实现安全,提出了面向唯密文攻击假设的新型不可能统计故障分析方法,设计了卡方拟合优度-汉明重量区分器、卡方拟合优度-极大似然估计区分器等新型区分器。所提方法基于随机半字节故障模型,结合统计分布状态和不可能关系分析,围绕导入故障前后中间状态的变化,最少仅需432个故障即可恢复出PRIDE算法的128 bit原始密钥,且成功率达99%及以上。实验分析表明,所提方法不仅能减少故障数和耗时,而且进一步提升了准确率。该结果对轻量级密码的实现安全性提供了重要参考。

摘要：在物联网环境中,为了确保通信数据的机密性和完整性,数据加密密钥的安全性尤为重要。密钥一般采用中心化的存储机制,当中心实体不可信时会造成密钥泄露的风险,因此在分发过程中需要保证密钥的完整性,但普通的签名方案往往较为复杂。针对密钥分发中心化及密钥分发算法复杂等问题,提出了一种基于一次哈希签名和联盟链的密钥分发协议。首先,利用轻量级的一次哈希签名进行用户注册和认证,同时,为了有效检测和防御使用一次哈希签名过程中可能出现的中间人攻击,协议中使用了Hyperledger Fabric联盟链存储签名凭证,用户可以从联盟链上获取签名凭证以供认证;然后,基于Hyperledger Fabric链和ElGamal密码体制设计了一个对称密钥分发方案;最后,从理论分析和Scyther形式化协议分析工具两个方面分析了密钥分发协议的安全性,结果表明该协议在保证密钥分发安全性的情况下,提高了密钥分发的效率。

摘要：网络语音流隐写分析是信息隐藏检测领域中的一个研究热点.针对自适应多速率语音流隐写检测问题,本文提出了一种基于小数基音延迟相关性的隐写分析方案.首先通过理论分析和实验对比验证了小数基音延迟相关性作为隐写特征的有效性;其次,摒弃了“手工”寻找特征的传统方式,通过采用深度神经网络获取编码参数的相关性,分别设计了基于局部相关性的检测模型、基于全局相关性的检测模型以及基于特征融合的检测模型;最后,以上述3种模型为基础,结合基于线性回归的多模型融合思想,给出了7种检测模式,即3种单一模型检测模式和4种多模型融合检测模式.通过大量的语音样本,对方案进行了性能评估,并与相关工作进行了实验对比分析.实验结果表明,方案中提出的各种检测模式均是可行和有效的,其中三模型融合检测模式整体性能最优.此外,本文工作填补了基于小数基音延迟隐写检测的空白,且较之已有方案对于各类基音延迟隐写方法在任意的嵌入率和样本长度下均具有更好的检测性能和更低的时间开销,从而实现了更为实时高效的检测.

摘要：随着云计算的普及,外包计算作为一种重要的云服务形式,日益引起学术界与工业界的广泛关注。模指数操作作为一种耗时的基本密码运算广泛地应用于RSA、数字签名算法(DSA)等,其外包方案的设计得到了广泛关注和研究。当前基于单个云服务器的外包方案,大多需要在本地端执行一个小指数的模指数操作,一般地,该指数的大小决定了方案的效率,其机密性决定着方案的安全性。对Zhou等提出的一个单服务器模指数外包方案ExpSOS进行了唯密文安全性分析。通过将算法中底数与指数的机密性转换为求解模多项式的小整数解的问题,使用Coppersmith的格构造技术对ExpSOS方案潜在的弱密钥进行了全面分析,并分别估计了安全应用场景下方案适用的底数大小和方案中安全参数选取的规模,为该方案在实际应用中的安全部署提出了具体建议。最后,给出了数字签名标准推荐参数下的ExpSOS方案弱密钥攻击实例,证明了理论攻击的有效性。

摘要：Bash是Linux默认的shell命令语言.它在Linux系统的开发和维护中起到重要作用.对不熟悉Bash语言的开发人员来说,理解Bash代码的目的和功能具有一定的挑战性.针对Bash代码注释自动生成问题提出了一种基于双重信息检索的方法 ExplainBash.该方法基于语义相似度和词法相似度进行双重检索,从而生成高质量代码注释.其中,语义相似度基于CodeBERT和BERT-whitening操作训练出代码语义表示,并基于欧式距离来实现;词法相似度基于代码词元构成的集合,并基于编辑距离来实现.以NL2Bash研究中共享的语料库为基础,进一步合并NLC2CMD竞赛共享的数据以构造高质量语料库.随后,选择了来自代码注释自动生成领域的9种基准方法,这些基准方法覆盖了基于信息检索的方法和基于深度学习的方法.实证研究和人本研究的结果验证了ExplainBash方法的有效性.然后设计了消融实验,对ExplainBash方法内设定(例如检索策略、BERT-whitening操作等)的合理性进行了分析.最后,基于所提方法开发出一个浏览器插件,以方便用户对Bash代码的理解.

摘要：医疗信息的访问互通有助于医生掌握转诊患者的病情,及时准确地为患者提供医疗服务。然而医疗数据涉及到患者的隐私,存在数据泄露的风险,一旦泄露不仅会损害医疗机构的声誉,还会影响患者的个人生活,并且医疗信息大多由医疗机构管理,患者对自己医疗数据的使用情况并不知情。访问控制是医疗信息共享中重要的安全机制,其中,基于属性的加密机制可以实现细粒度的访问控制,但是仍存在属性授权集中、解密开销大和追溯难的问题。区块链技术在实现分布式医疗机构节点间信任建立和数据共享方面有很多优势。因此,针对上述问题,本文从医疗数据共享场景下患者敏感信息保护的需求出发,结合区块链技术对医疗信息的访问控制机制进行研究,提出了一个基于区块链的医疗信息属性加密访问控制方案,建立了多授权机构的访问控制模型,避免了单一授权带来的信任问题;设计了代理解密算法,降低了终端的解密开销,提高了解密效率;支持访问者的属性撤销,实现了患者对医疗数据的灵活控制;同时,利用区块链自身优势实现了对属性授权机构的追溯问责。安全性分析与性能分析表明,所提方案在随机预言机模型下是静态安全的,且具有更低的计算开销和存储开销。

摘要：针对主动发现系统的漏洞信息是减少漏洞利用的有效途径。基于网页爬虫,设计了一个漏洞信息自动搜索框架:AVIS,用户可以通过这样的框架,实现网上漏洞资源的自我定制,及时获得所需的漏洞信息。

摘要：深度学习利用强大的特征表示和学习能力为金融、医疗等多个领域注入新的活力,但其训练过程存在安全威胁漏洞,攻击者容易通过操纵训练集或修改模型权重执行主流后门攻击:数据中毒攻击与模型中毒攻击。两类攻击所产生的后门行为十分隐蔽,后门模型可以保持干净样本的分类精度,同时对嵌入攻击者预定义触发器的样本呈现定向误分类。针对干净样本与触发器样本在拟合程度上的区别,提出一种基于自定义后门行为的触发器样本检测方案BackDetc,防御者自定义一种微小触发器并执行数据中毒攻击向模型注入自定义的后门,接着通过嵌入自定义触发器设计一种输入样本扰动机制,根据自定义触发器的透明度衡量输入样本的拟合程度,最终以干净样本的拟合程度为参照设置异常检测的阈值,进而识别触发器样本,不仅维持资源受限用户可负担的计算开销,而且降低了后门防御假设,能够部署于实际应用中,成功抵御主流后门攻击以及威胁更大的类可知后门攻击。在MNIST、CIFAR-10等分类任务中,BackDetc对数据中毒攻击与模型中毒攻击的检测成功率均高于目前的触发器样本检测方案,平均达到99.8%以上。此外,论文探究了检测假阳率对检测性能的影响,并给出了动态调整BackDetc检测效果的方法,能够以100%的检测成功率抵御所有分类任务中的主流后门攻击。最后,在CIFAR-10任务中实现类可知后门攻击并对比各类触发器样本检测方案,仅有BackDetc成功抵御此类攻击并通过调整假阳率将检测成功率提升至96.2%。

摘要：安卓移动应用兼容性故障是指应用程序在不同的环境或内部状态发生变化时,实际结果与预期结果不相符合而导致的一类软件缺陷.安卓平台的高度开源的特性,使得安卓平台下移动应用的兼容性故障频繁发生.这类软件故障在最严重的时候,甚至可以导致程序崩溃,程序崩溃一方面会影响到用户体验,另一方面因其突发性也会对用户带来难以估量的损失.因不同设备型号和安卓操作系统版本所组成的大量组合,使得开发人员无法对其应用程序进行充分的测试.在安卓生态系统碎片化异常严重的开发背景下,如何有效地应对兼容性问题成为当前软件质量保障领域的一个热门研究问题.从安卓移动应用兼容性故障的分析、检测、定位和修复3个方面出发,简要介绍了安卓移动应用兼容性故障的发展历程及该领域所面临的主要挑战,并回顾和总结了近些年来该综述主题的实践探索和理论成果.最后,对该领域的未来工作进行了展望,以期为兼容性测试研究人员提供有价值的参考.