关键词 隐私集合求交; 电路隐私集合求交; 不经意多项式评估; 批量相等检测; private set intersection; circuit-based PSI; oblivious polynomial evaluation; batch equality test

摘要 近年来,随着大型语言模型（large language models）在自然语言处理、智能教育、内容生成等领域的广泛应用,其潜在安全风险也日益凸显.现有的安全评估基准往往侧重于单一攻击手段或狭窄的任务类型,难以全面反映模型在多领域、多场景下的安全表现.为此,本文提出一个面向中文大语言模型的多领域、多场景、多维度综合安全评估基准M3-SafetyBench.该体系创新性地构建了“内容安全–功能安全”双层评估架构,覆盖通用领域与教育垂直领域,整合开放式生成、选择题多类型测评任务.同时,本文引入红队攻击策略,对模型进行越狱攻击评测,以增强评估的深度与广度,进行多维度安全分析.通过构建包含逾17万条高质量测试数据集,本研究对19个主流开源与闭源大语言模型展开系统性评测.实验结果表明,不同模型在不同安全风险维度上表现差异显著,揭示了当前大语言模型技术在内容生成、安全对齐等方面的瓶颈.本文所述的M3-SafetyBench不仅为大语言模型的安全改进提供了量化指标和方法流程,也可为行业监管与合规检测提供可靠的数据支撑.

关键词 大语言模型; 安全评估基准; 红队攻击; 多场景测试; 内容与功能安全; large language models; safety evaluation benchmark; red teaming; multi-scenario testing; content and functional safety

摘要 神经网络在面对对抗样本攻击时表现出显著的脆弱性,微小的输入扰动即可导致基于神经网络的分类器产生高置信度的错误预测.当前主流的防御方法通常需要对模型结构进行修改,或过度依赖数据处理,且往往仅对特定攻击有效,泛化能力差.为此,本文提出了一种基于神经网络决策边界与一致性分析的对抗样本攻击检测方法.首先,基于超平面逼近对神经网络决策边界进行建模,通过计算样本到决策边界的最小距离,从待测样本集中快速初筛出可疑样本集,提高整体检测效率.随后,通过在样本沿梯度方向施加多次扰动并提取其余弦相似度均值生成梯度一致性特征,对样本进行压缩并提取压缩前后标签变化及置信度波动生成压缩一致性特征.最后,通过一致性特征识别可疑样本集中的对抗样本,提升检测的鲁棒性和精度.在MNIST, CIFAR-10和ImageNet数据集上的实验结果表明,与现有主流方法相比,本文方法不仅提高了对抗样本检测性能,而且在应对复杂攻击时表现出更强的鲁棒性.

关键词 神经网络; 决策边界; 梯度一致性; 压缩一致性; 对抗样本攻击; neural network; decision boundary; gradient consistency; compression consistency; adversarial example attack

摘要 大语言模型在高效生成代码的同时,也引发了版权归属与代码滥用的潜在风险.为此,大语言模型水印技术应运而生以追踪代码来源.然而,当水印技术应用于代码这一特殊载体时,其有效性与鲁棒性面临严峻考验.为了检测代码水印鲁棒性,现有基于抽象语法树(AST)的攻击策略在效率和稳定性上仍存不足.为此,本文提出一种名为DeMark的新型编译–反编译水印去除方法.该方法首先将含水印代码编译为低级二进制表示,利用编译器优化消除水印痕迹;随后,通过创新的自动化函数调用图构建算法,将优化后的二进制代码反编译回保留核心功能与可读性的高级语言代码,从而高效去除水印.实验结果表明, DeMark在攻击现有水印方法方面表现出显著有效性和更强的适应性,尤其在处理涉及复杂语义保留变换的水印时优势明显.此外,本研究首次系统评估了C++等编译型语言水印在代码重构和跨语言转换场景下的鲁棒性,揭示了当前文本水印算法应用于代码生成的固有缺陷,为未来设计更稳健的代码溯源机制提供了重要参考.

关键词 水印安全去除; 大语言模型安全; 可信代码生成; 编译安全优化; 对抗鲁棒性; secure watermark removal; LLM security; trustworthy code generation; secure compilation; adversarial robustness

摘要 针对物联网隐私检测中边缘设备资源受限、新型隐私泄露泛化检测能力不足及精度与效率难以平衡三大挑战,本文提出基于并行深度神经网络的物联网边缘侧隐私数据检测系统(PDNN-PDE).该系统首先通过轻量级多模态数据编码器,高效处理图像、时序传感器信号及日志文本等异构数据;再依托并行深度神经网络隐私检测引擎,在边缘侧设备实现多模态隐私数据的分布式实时检测;同时基于云–边协同的动态增量学习算法,周期性更新模型以增强对新型隐私泄露模式的泛化检测能力.实验结果表明, PDNN-PDE检测精度较单模态轻量模型平均提升3.6%;融合模态在检测精度仅降低0.7%的情况下,内存占用较现有专用模型减少76%,推理延迟减少21.3%;在新型泄露模式自适应方面,经70轮增量学习后模型准确率恢复至89%,较静态模型提升约44%.上述结果证明PDNN-PDE可在资源受限物联网边缘环境中实现高效鲁棒且自适应的隐私数据检测.

关键词 物联网边缘计算; 隐私数据检测; 并行深度学习; 多模态数据; 增量学习; IoT edge computing; privacy data detection; parallel deep learning; multimodal data; incremental learning

摘要 图神经网络因其在结构化数据建模中的优势,已广泛应用于社交推荐、医疗诊断、金融分析等涉及敏感信息的场景.然而,图神经网络在训练过程中对局部结构及节点属性的强依赖,使其易受到成员推理攻击.攻击者可通过分析模型对成员与非成员样本的预测差异,轻易推断样本是否参与训练,造成严重的隐私泄露.现有防御策略虽在计算机视觉任务中取得初步成效,但直接应用于图神经网络时常面临模型性能下降、图结构扰动开销大、隐私保护效果有限等问题.为此,本文提出一种训练–推理协同的隐私保护框架,该框架从预测熵角度出发,提升模型输出分布的混淆性并缓解性能退化.在训练阶段,构建基于节点重要性的自适应高熵软标签生成机制,抑制模型对成员节点的过度自信,并通过熵正则项进一步惩罚低熵输出并增强隐私混淆效果.同时,引入节点级对比学习模块,提高图神经网络在聚合过程中的判别性表征能力,从而缓解隐私保护可能引起的模型性能下降.在推理阶段,提出基于随机图的输出扰动方法,利用随机图生成的非隐私输入重构模型输出,在保持类别排序不变的前提下统一输出置信度,进一步模糊模型在成员与非成员之间的输出差异.实验结果表明,所提方法在多个公开图数据集和图神经网络上实现了更优的隐私–效用平衡,显著提升了对成员推理攻击的防御能力.

关键词 图神经网络; 成员推理攻击; 隐私保护; 图数据; 信息熵; graph neural networks; membership inference attacks; privacy protection; graph data; information entropy

摘要 图神经网络(graph neural networks, GNNs)在各种任务中取得了显著成功.然而,最近的研究表明GNNs容易受到攻击,特别是精心设计的对抗性扰动.现有的工作仅仅注重解决边扰动来重建图,而忽视了对GNNs内核(即消息传递)的防御.当攻击预算减少时,它们的模型鲁棒性通常会下降,这种现象称为过防御.本文提出一种新的防御算法Bandage来解决这两个问题,它独立于特定的GNN架构运行.具体来说,本文提出了一种包含两个纯化器的内核防御机制,旨在保护消息传递的输入和输出.第1个纯化器利用非极端邻居集在特征和拓扑层面上纯化图,第2个纯化器解决图结构和节点嵌入之间的不一致性,在嵌入层面上纯化图.为了实现对消息传递的防御,同时减轻过防御,本文设计了一个双向嵌套结构,它捕捉了两个相反方向的输入和输出之间的内在关系.广泛的实验表明, Bandage显著增强了GNNs的鲁棒性.与现有最优的防御方法相比, Bandage在两种受害者模型上的性能平均提高了4.2%和1.7%.

关键词 图神经网络; 对抗防御; 鲁棒性; 图纯化; graph neural networks; adversarial defense; robustness; graph purification

摘要 随着人工智能技术的快速发展,机器学习模型对高质量数据的需求日益迫切.在云端数据市场场景中,数据购买方通常需要在正式交易前对数据进行价值评估,以提升机器学习模型性能.然而,这种评估过程涉及敏感的模型参数与数据样本,若未妥善保护,可能造成严重的隐私泄露风险.尽管内积函数加密(inner product functional encryption, IPFE)为此类问题提供了有效的理论工具,但传统IPFE方案在实际应用中暴露出密钥滥用和计算效率低下等严重缺陷,极大限制了其在人工智能数据评估场景中的应用.本文针对上述挑战,提出了一种高效的双外包函数隐藏内积加密(function-hiding inner product encryption, FHIPE)通用框架.首先,本文引入转换密钥机制实现了解密过程的安全外包,允许客户端将复杂的解密任务委托给云端服务器,同时确保数据和函数信息的隐私性;其次,本文设计了一种优化的转换密钥生成算法,将转换密钥的计算复杂度从传统的O(n)降至常数级别O(1),有效缓解了在高维机器学习数据评估场景下的计算瓶颈问题;最后,本文进一步实现了密钥生成的安全外包,显著减轻客户端计算负担,并提出了安全的参数公开机制,有效防范了云端服务器和数据提供者共谋泄露隐私的风险.实验评估结果表明,本文提出的双外包FHIPE框架将主要计算任务有效转移至服务端,能够有效降低人工智能数据评估中客户端的计算和存储开销,具有良好的安全性、扩展性和用户友好性,特别适用于云环境下大规模机器学习数据评估等计算敏感型应用.

关键词 函数隐藏内积加密; 人工智能数据评估; 双外包; 云计算安全; 隐私保护; function-hiding inner product encryption; artificial intelligence data evaluation; dual outsourcing; cloud computing security; privacy preservation

摘要 近年来,随着深度神经网络广泛部署于众多关键领域,关于深度神经网络的后门攻击逐渐成为亟待关注的安全隐患.然而,多数后门攻击普遍假设攻击者能够获取目标模型的原始训练数据作为辅助数据集,这显著限制了攻击方法在现实场景中的实用性.此外,依赖显式触发器以激活后门的设计亦削弱了后门的隐蔽性.为此,本文提出一种无需训练数据与触发器的后门攻击方法,以提升后门攻击的实用性与隐蔽性.所提出方法基于一种新颖的微调框架,其将恶意数据的语义融入攻击者指定类别的特征表示中,从而实现无触发器恶意样本被稳定误分类至攻击目标类.同时,为保持模型在正常样本上的原始性能,本文引入知识蒸馏机制以替代传统训练数据,并结合弹性权重约束设计参数重要性评估机制,引导模型在保留原有知识的同时实现有效注入.我们在3个具有代表性的真实数据集上对所提方法进行了系统实证研究,实验结果验证了该攻击的有效性、隐蔽性与实用性.此外,本文还进一步探索了辅助数据集与模型反演技术在提升攻击能力方面的潜力.

关键词 机器学习安全; 后门攻击; 无触发器攻击; 无数据攻击; machine learning security; backdoor attack; trigger-free attack; data-free attack

摘要 近年来,知识蒸馏被一些研究者用于黑盒攻击并取得了显著攻击效果.然而现有基于知识蒸馏的黑盒攻击方法依然存在不足,一是采用传统知识蒸馏方法中的固定温度值,没有充分发挥温度对于提高知识蒸馏效果的作用;二是对于多教师蒸馏的场景研究较少,缺乏合理的权重分配机制,两者均不利于提高模型的迁移性.本文提出了基于改进知识蒸馏的黑盒攻击方法,采用对抗的方式训练知识蒸馏中的温度参数来迫使学生模型学习到更多鲁棒性特征,通过多教师联合蒸馏构建代理模型,并设计动态温度调控注意力机制分配多教师的权重,有效提高了代理模型的泛化能力和鲁棒性,使得生成的对抗样本具有更高的迁移性.本文在CIFAR100和ImageNet-compatible数据集上进行了广泛的实验,结果表明,所提出的方法可以有效提高攻击成功率,并能获得相较目前最先进知识蒸馏方法更优的攻击性能.

关键词 知识蒸馏; 代理模型; 对抗样本; 黑盒攻击; 迁移性; knowledge distillation; substitute model; adversarial samples; black-box attack; transferability

摘要 随着机器学习即服务(machine learning as a service, MLaaS)的广泛应用,其数据隐私问题日益凸显.可信执行环境(trusted execution environment, TEE)通过硬件隔离为MLaaS提供了强大的保护,尤其在防止模型参数泄露和训练数据泄露方面具有显著优势.这种隔离机制使得主流的成员推理攻击(membership inference attack, MIA)方法面临挑战:由于攻击者难以直接访问模型内部参数和状态,且受到查询频率的严格限制,现有MIA方法在TEE下效果不佳.然而,本文发现并利用了TEE保护下MLaaS存在的一个新型攻击面,提出了一种名为DMS-MIA(disk replay-based multi-metric sequence membership inference attack)的成员推理攻击方法.该方法的核心思想在于,攻击者利用对宿主机及虚拟化管理程序的控制权,对TEE保护下机密虚拟机的加密磁盘进行周期性快照与重放,获取MLaaS模型训练过程中的中间状态的输出.随后, DMS-MIA从这些历史输出中构建多维度指标的时间序列,并采用Mamba模型作为攻击模型,放大序列中的成员关系信号以识别样本的成员身份.实验结果表明,在3个图像数据集及2个非图像数据集上, DMS-MIA在诸如TPR@0.1%FPR和AUC等多项关键指标上取得了显著效果.

关键词 成员推理攻击; 可信执行环境; 机器学习; 磁盘重放; 多指标序列; membership inference attack; trusted execution environment; machine learning; disk replay; multi-metric sequence

摘要 对抗攻击是深度神经网络面临的主要安全威胁,其生成的对抗样本具有跨模型的攻击可迁移性.集成对抗攻击通过融合多模型优势,显著增强了攻击迁移效果.然而,现有方法多关注扰动生成策略的优化,忽视了模型间差异性对迁移能力的影响.本文从博弈论的视角分析了集成攻击中多模型间的协作与策略权衡问题,并提出一种博弈论驱动的多层次扰动集成对抗攻击GMPE.该方法基于Shapley边际贡献分配集成攻击权重,最大化模型的贡献,从而进一步提高生成对抗样本的可转移攻击能力和可解释性.本文进一步提出多层次扰动生成及梯度集成策略,通过内部迭代机制的设计,将模型多样性引入到攻击生成过程的动态采样中,更精确地捕捉整体模型对抗方向,显著增强了对抗样本的攻击成功率.本文在NIPS 2017和ILSVRC 2012两个公开数据集上验证了所提出方法的有效性,相对于最先进的攻击方法, GMPE不仅显著提高了攻击成功率,同时具有较好的可迁移性.

关键词 对抗攻击; 图像分类; Shapley值; 深度学习; 图像处理; adversarial attacks; image classification; Shapley values; deep learning; image processing

摘要 机器遗忘(machine unlearning, MU)是机器学习中保护数据安全的关键技术,旨在实现从模型中选择性剔除特定数据影响的同时维持模型能力.然而,传统遗忘方法普遍依赖全量模型重训练,面临计算成本高昂与现实场景适配性不足的双重困境.本文通过融合机器遗忘的精准性与元学习的灵活性,提出了联邦场景下的新型联邦元遗忘(federated meta-unlearning, FMU)框架.该框架基于模型无关元学习(model-agnostic meta-learning, MAML)算法,结合层次化模型分解技术与加权聚合机制,不仅能够高效消除目标数据的特征印记,更可将遗忘操作对全局模型性能的影响控制在极低水平.本文的核心思想在于将联邦学习全局模型解构为可独立编辑的组件模块,响应遗忘请求时通过靶向参数修正技术对特定模块进行选择性微调或移除,再利用加权聚合机制确保模型的完整性与适应性.本文通过多类型数据集与跨模态学习任务,对FMU进行了全面实证评估,相较于4种常用遗忘方法 (传统重训练、基于MAML的重训练、SISA遗忘和基于梯度的遗忘), FMU显著降低了计算开销,同时保持卓越的模型性能与隐私标准合规性.更重要的是, FMU增强了模型对新数据和新任务的适应能力,充分验证了其在动态隐私敏感环境中的实用价值.

关键词 机器遗忘; 元学习; 联邦学习; 隐私保护; machine unlearning; meta learning; federated learning; privacy protection

摘要 联邦遗忘学习(federated unlearning)能够从已学习的模型中删除某些特定客户端数据及这些数据对联邦学习全局模型的影响,从而支持赋予“被遗忘权”.实现遗忘最直接的方法是从头开始训练模型,但高额的计算成本限制了重训练的可行性.现有的联邦遗忘方法大都通过移除目标客户端历史贡献或采用梯度上升逐步调整模型来达到遗忘目标.然而,存储历史梯度和性能恢复训练均面临较高的存储和通信开销,限制了联邦遗忘效率.此外,联邦遗忘学习的隐私风险问题也有待进一步研究.因此,本文提出基于更新残差的差分隐私联邦遗忘学习机制FedUR,实现了隐私保护、模型效用与遗忘效率三者之间的有效平衡.具体地, FedUR基于差分隐私范式使得遗忘模型与重训练模型在统计意义上不可区分,提供隐私保护增强的联邦遗忘学习. FedUR创新性地利用更新残差来量化遗忘客户端对全局模型的历史影响,通过移除所有历史更新残差的加权和来实现快速遗忘,无需依赖额外的模型恢复训练过程,有效降低了存储开销并提升遗忘效率.此外, FedUR还集成了数据重要性采样和周期加权聚合策略,以减轻数据异构性对模型性能的不利影响,同时降低存储和通信开销.实验结果表明,FedUR机制在提供隐私保护的同时具有较高的遗忘效率和较好的模型效用.

关键词 联邦学习; 差分隐私; 联邦遗忘; 更新残差; 模型效用; federated learning; differential privacy; federated unlearning; update residual; model utility

摘要 车载网络正面临日益严峻的隐私泄露威胁.然而,现有研究方案多依赖于路侧基础设施的完备性,这导致其在路侧单元损坏等无辅助计算场景中,存在数据泄露、认证机制失效及内部恶意攻击等多重安全风险.为此,本文提出一种基于区块链的无辅助计算车载网络联邦学习隐私保护方案.首先,通过设计一种组成员动态管理机制,依托区块链去中心化、不可篡改和可追溯的特性,实现车辆之间的高效认证过程,并且能够精准应对组成员的动态变化.其次,进一步引入联邦学习范式,构建交通流量预测模型,完成对车辆隐私数据的保护和跨区域交通流量预测,从而实现数据价值释放与隐私保护的平衡.最后,在随机响应模型下,基于椭圆曲线离散对数问题证明了所提方案的安全性;同时使用启发式分析对所提方案的安全属性进行验证.性能评估结果表明,随着组成员规模的递增, BFL-P3S的计算效率增幅最高达到46.6%,显著优于现有同类方案,从而全面验证其综合性能的优越性.

关键词 车载网络; 隐私保护; 联邦学习; 组密钥协商; 区块链; vehicular network; privacy preserving; federated learning; group key agreement; blockchain

摘要 联邦学习能够在数据本地私有的前提下实现跨设备协同训练,但在实际应用中仍面临隐私泄露和投毒攻击两大安全瓶颈.差分隐私和鲁棒聚合作为各自领域的主流防御方法,在耦合应用时存在固有的内在冲突:差分隐私所注入的随机噪声一方面放大了良性更新的分布方差,另一方面也为恶意更新的系统性偏移提供了掩护,使得两者难以有效区分.为此,本文提出自适应拜占庭鲁棒差分隐私联邦学习方法 AByzDPFL,旨在通过降低噪声维度并放大模型间的几何差异来提高可区分度.在客户端侧,基于Fisher信息的私有选择机制动态筛选关键参数坐标,仅在该低维子空间中注入噪声并完成更新,从而显著减少噪声维度,降低良性模型的方差.在服务器侧,使用谱嵌入降维突出本征几何结构,随后根据噪声尺度自适应聚类半径,从而包容受噪声扰动的良性模型,并有效剔除超出噪声范围的系统性偏移.进一步地,通过自适应中值范数裁剪抑制簇内的高幅值异常更新.理论分析证明了所提方法的隐私损失和收敛性上界,实验表明AByzDPFL在兼顾隐私性和鲁棒性的同时,性能优于现有的主流基线.

关键词 联邦学习; 差分隐私; 拜占庭鲁棒; 选择性更新; 噪声自适应; federated learning; differential privacy; Byzantine robustness; selective update; noise adaptation

摘要 去中心化联邦学习不依赖中央服务器,解决了传统联邦学习中存在的服务器单点故障问题,但同时也带来了更严重的隐私泄露和拜占庭攻击风险.现有的隐私保护与拜占庭鲁棒研究主要面向传统联邦学习,难以适用于去中心化场景.为此,本文提出了一种隐私保护和拜占庭鲁棒的去中心化联邦学习方案SDFL(secure decentralized federated learning).该方案采用客户端–委员会架构,通过随机选择的委员会进行模型聚合,基于可验证秘密共享和零知识证明技术设计隐私保护与抗拜占庭攻击方法.安全性分析表明SDFL在去中心化场景下兼具隐私性与拜占庭鲁棒性;采用多种机器学习模型在MNIST和Fashion-MNIST数据集上的实验结果进一步验证了SDFL能够有效抵抗拜占庭攻击,同时保障模型分类准确率与高效性.

关键词 联邦学习; 隐私保护; 拜占庭鲁棒; 可验证秘密共享; 零知识证明; federated learning; privacy protection; Byzantine robustness; verifiable secret sharing; zero knowledge proof

摘要 可搜索加密技术可实现加密数据的安全搜索功能保障用户在云服务器上的安全搜索,然而实际应用中,密钥的泄露风险严重威胁数据的安全与隐私. Bamboo机制在密钥泄露后实现密钥更新,并通过两层加密和隐藏链式结构保障密钥泄露后至更新前的密文安全,但未考虑如何主动检测到密钥泄露,从而触发密钥更新.因此,本文提出了一种基于密钥可更新技术的密钥泄露可验证可搜索加密方案KLVSE,通过引入双向验证机制,验证密钥泄露事件,检测敌手潜在的非法搜索行为,确保在密钥泄露后及时触发密钥更新,保障了密钥泄露后安全.实验证明,相比传统的定期密钥更新策略,本方案在保证安全的同时以足够小的运行时延实现了密钥泄露的验证,有效保障了用户数据的安全和隐私.

关键词 可搜索加密; 密钥泄露可验证; 密钥可更新; 密钥泄露后安全; searchable encryption; key leakage-verifiable; key-updatable; post-compromise security

摘要 信息安全对国家安全保障与社会经济发展具有深远影响.随着数字化进程的加速,信息安全技术的研发已成为保障国家安全的关键要素.本文回顾了当前国内外信息安全领域的研究热点和主要研究方向,总结分析了2020～2024年国家自然科学基金委员会在信息安全领域的研究类项目与人才类项目资助情况,重点梳理了近5年该领域项目申请与资助的变化情况和研究方向的发展,并对信息安全领域的前沿技术和未来趋势进行了展望.

关键词 信息安全; 国家自然科学基金; 研究项目; 人才项目; 申请与资助; information security; National Natural Science Foundation of China; research funding; talent funding; application and funding

摘要 传统文本隐写分析方法通常基于数据独立同分布假设,对领域间数据差异非常敏感.而基于领域自适应的隐写分析方法则在训练阶段依赖目标域数据来缓解领域间差异对模型性能的影响.本文提出了一种基于领域对抗学习的跨域文本隐写分析方法,使用微调的BERT从多个源域中提取文本的通用特征表示;构建域不变特征提取器作为生成器,引入MixStyle模块,使用随机采样的权重对多个源域的特征统计数据进行加权组合,模拟新的领域特征.设计领域判别器,通过最小化最大均值差异和最大化域判别损失进行对抗训练,学习跨域载密文本的潜在不变特征表示,从而对齐源域间的特征分布,增强模型在跨域数据上的泛化能力.实验结果显示,本方法在跨嵌入容量、隐写方法以及语料库场景下,均显著优于当前先进的隐写分析技术.

关键词 文本隐写分析; 领域泛化; 对抗学习; 特征对齐; 跨域学习; text steganalysis; domain generalization; adversarial learning; feature alignment; cross-domain learning

摘要 攻击流量检测系统在海量的互联网流量中识别攻击流量,并拦截攻击流量保护合法用户.近年来,人工智能算法被广泛应用于攻击流量检测,它们从流量数据集中学习流量模式,能够检测隐蔽威胁流量,其准确度较传统固定规则检测有显著提高.然而,随着互联网流量规模的激增,流量数据集的规模也显著上升,这意味着在大规模流量数据集上训练攻击流量识别模型将消耗大量算力,伴随着巨大的部署时间延迟.本文提出了一种攻击流量训练加速方法,旨在通过压缩流量数据,利用有限的计算资源在大规模流量数据集上快速训练攻击流量检测模型,使得检测系统快速地部署到网络.具体的数据压缩方法基于高维流量特征空间的几何结构.我们将数据集中的全体样本流量映射为高维流量特征空间中的点云,并将体素的概念拓展到高维流量特征空间中,通过计算体素中点的形心来代表全体点(流量样本),从而显著减小了数据集的规模.实验验证表明,该方法可以在8个数据集上为当前最先进的10种检测方法提升75.82倍的训练效率,同时几乎不影响检测的准确度和鲁棒性,并确保了压缩流量数据的实时处理.

关键词 网络安全; 人工智能; 攻击流量检测; 点云; 体素; network security; artificial intelligence; attack traffic detection; point cloud; voxel

摘要 密文等值测试能有效解决密态数据无法进行底层明文比较的问题,在数据库分区、加密数据统计、去重存储等方面发挥着重大作用. SM9标识密码现已成为我国商用密码行业标准和国家标准,广泛应用在金融、政务等领域.然而现有基于SM9的密文等值测试方案无法实现前向安全性,即前期生成的陷门可用于测试任意时间点生成的密文,不满足特殊应用对前向安全性的需求,阻碍了SM9密码算法的推广.前向安全性指只有在指定时间之前生成的密文才能进行有效的等值测试,如果密文中的时间大于等于指定时间,则无法测试成功.本文基于SM9标识加密算法提出了具有前向安全性的密文等值测试方案(SM9-FSET),只有满足时间条件的密文才能进行等值测试,进一步保障了数据隐私.方案的安全性基于q-BDHI困难问题,在随机谕言机模型中可证明方案满足IND-ID-CCA和OW-ID-CCA的安全性.最后,分析比较新方案与现有相关方案,结果表明SM9-FSET在计算开销、通信代价和安全性方面与相关方案是可比的且更具实用性.

关键词 SM9; 密文等值测试; 前向安全; 选择密文攻击; CCA; equality test; forward security; chosen-ciphertext attack

摘要 在CRYPTO 2019上, Gohr首次将深度学习技术应用于分组密码的安全性分析,开辟了深度学习辅助密码分析的研究方向.深度学习辅助密码分析的核心为基于深度神经网络构建的差分–神经区分器.相比于经典差分区分器,差分–神经区分器可以达到更高的准确率,有利于降低密钥恢复攻击的数据复杂度.然而,差分–神经区分器的访问涉及大量浮点运算,引入了额外的计算成本,导致攻击的计算复杂度较高.这一缺点极大地限制了深度学习辅助密码分析的性能.本文提出一种通用的深度学习辅助密码分析增强框架,可以在几乎不损失区分准确率的前提下,将差分–神经区分器转换为存储复杂度可忽略的查找表,克服了差分–神经区分器的缺点,显著地增强深度学习辅助密码分析的能力.在美国NSA设计的Speck, Simon以及ISO/IEC标准LEA三类分组密码上的实验,充分地验证了该框架的有效性和通用性.基于该框架,本文改进了对Speck32/64, Speck96以及Speck128的深度学习辅助分析结果.特别地,本文给出了国内外第1个针对13轮Speck32/64完整验证的实际密钥恢复攻击,同时给出Speck96, Speck128目前最长轮数的实际攻击.这些攻击充分说明了本文框架对于增强深度学习辅助密码分析的应用价值.

关键词 深度学习; 对称密码分析; Speck; Simon; LEA; deep learning; symmetric cryptanalysis

摘要 国密SM9是一种我国自主设计的标识密码算法.杨亚涛和安浩杨等分别基于SM9标识密码提出了可证明安全的区块链隐私保护方案,实现了区块链交易发送方的地址隐私保护.然而,相比现有公钥密码体制下的区块链匿名交易技术,它们均无法保护交易接收方的地址隐私,且不支持可链接性和不可诽谤性.因此,本文提出了一种新的基于国密SM9标识密码的区块链匿名交易方案,通过可链接环签名和密钥派生机制同时保护交易双方的地址隐私.设计了基于SM9的定长可链接环签名算法,结合零知识证明技术,在保证交易发送方地址隐私的前提下,具有签名长度与环成员数无关的优势;借鉴分层密码的思想,设计了两层的SM9签名密钥派生结构,保证了交易接收方的地址隐私;在随机谕言机模型中证明了本文方案的安全性,包括不可伪造性、匿名性、不可诽谤性和可链接性等性质.最后,理论分析和实验结果表明,与现有方案相比,本文方案在隐私增强的前提下,签名生成和验证算法计算开销未明显增加,签名长度缩短约6.8%.在以太坊实验平台上进行了原型实现.结果表明,本文方案的运行时间为秒级, gas消耗低于区块gas上限,具有实用性.

关键词 区块链; 匿名交易; SM9数字签名; 可链接定长环签名; 密钥派生机制; blockchain; anonymous transaction; SM9 digital signature; constant-size linkable ring signature; key derivation mechanism

摘要 适配签名可用于将加密货币交易中的授权和秘密值的泄露绑定在一起,提供解决诸如多方公平交易和区块链等分布式系统中可扩展性、公平性和互操作性问题的重要技术.适配器签名方案实际执行的是与一个秘密值绑定的两步签名算法:先生成部分签名,接下来只有知道特定秘密的一方才能完成整个的签名,而完整的签名将揭示这个秘密值.当前对于适配器签名的研究主要集中在两方适配器签名场景,未能满足复杂多方交互过程中的公平性和可溯源的实际需求.本文提出了一种基于国密SM2算法的多方链式适配器签名方案,通过引入“预适配签名”算法,形成链式的安全传递与交互,具有高效性、公平性和可扩展性等特点,能够满足多方协作、跨链交易和版权保护等场景中的应用.本文先给出基于SM2算法的三方适配器签名模型、具体方案和安全性分析,然后通过扩展的链式结构扩展到一般化的多方适配器签名.给出方案的计算性能和通信开销,通过形式化的安全性证明和分析,所提多方适配器签名方案满足预签名正确性、预签名可适配性、存在性不可伪造性和见证提取性等安全属性.

关键词 适配器签名; SM2数字签名; 区块链交易; 多方链式; 隐私保护; adaptor signature; SM2 digital signature; blockchain transaction; multi-party chain; privacy protection

摘要 量子算法和量子计算机的发展对基于大整数分解或离散对数等假设构造的公钥密码系统的安全性提出了严峻挑战,基于编码理论构造的密码体制因其能够有效地抵抗量子计算而备受关注.现有的基于编码的安全盲签名方案几乎都是基于CFS (Courtois, Finiasz, and Sendrier)签名方案构造.然而,这种构造方式导致盲签名方案的签名效率与CFS方案一样低,且通信代价大(有些方案达到了几十MB).本文借助(U, U+V)码构造的Wave签名方案,结合Stern协议构造了一种新的盲签名方案,并给出了两组参数示例.与基于CFS签名方案构造的盲签名方案相比,本文方案在公钥和签名尺寸方面都具有显著优势.此外,在本文方案中,任意的校验子均可被有效译码,用户仅需与签名者交互一次即可生成合法签名.在128安全级别下,通信量(包括用户和签名者共同发送的信息)只需2.61 kB.这一改进显著提升了签名效率和方案的实际可用性.

关键词 后量子密码; 基于编码的密码学; 盲签名; (U,U+V)码; post-quantum cryptography; code-based cryptography; blind signatures; (U,U+V) codes

摘要 近年来,超生日界安全的密码本原备受关注.可调密码本原作为传统密码本原的拓展,在密码算法或网络安全通信协议中也发挥着重要作用.然而,其超生日界安全的设计方案却鲜有出现.因此,本文关注超生日界安全的可调密码本原设计与分析,从基于公共置换的可调Even-Mansour密码出发,设计基于可调Even-Mansour密码实例的超生日界安全的可调伪随机函数和强可调伪随机置换.首先,针对陈玉龙提出的随机置换模型下的拓展镜像理论限制了不同随机置换查询的差异性和交集为空的问题,本文对不同随机置换做了差异化改进查询以及交集非空的拓展,给出了更一般性的适配拓展镜像理论解的上界.然后,基于两个可调Even-Mansour密码实例的并级联结构分别构造了超生日界安全的可调伪随机函数和强可调伪随机置换,并采用改进的拓展镜像理论分别给出了可证明安全结果.最后,讨论了基于多个可调Even-Mansour密码实例的并级联结构来构造超生日界安全的对称密码本原及其所依赖的基于多变量的镜像系统超图理论以及基于单置换单密钥最小结构且域保持的超生日界安全对称密码本原设计思路.本文的工作丰富了镜像理论和密码本原,同时对于构建可证明超生日界安全的对称密码方案具有重要的理论研究意义与实践指导价值.

关键词 超生日界安全; 可调密码本原; 可调Even-Mansour密码; 镜像理论; 随机置换模型; beyond-birthday-bound security; tweakable cryptographic primitive; tweakable Even-Mansour cipher; mirror theory; random permutation model; RPM

摘要 区块链技术与工业物联网(Industrial Internet of Things, IIoT)的融合,为工业领域数据交易和共享带来了革命性机遇.然而,现有区块链模型在IIoT场景下面临着可扩展性、安全和效率的挑战.本文提出了一种基于信用的分布式账本模型CreChain,旨在解决上述问题.该模型通过引入信用账户,优化交易验证过程,实现了高吞吐量和低延迟性能,同时利用Mtree和Credit证明来确保交易安全,保护用户隐私.此外,通过优化信用选择、证明和交换机制,进一步提高了系统性能和可扩展性.实验结果表明, CreChain能够实现20000 TPS (transactions per second)的吞吐量和秒级的交易确认延迟,在共识效率和存储成本方面同样优于主流的区块链扩展方案,能够有效利用区块链实现安全高效的数据交易和共享,使其成为IIoT应用场景的理想选择.

关键词 区块链; 工业物联网; 共识算法; 分布式账本; 零知识证明; blockchain; industrial Internet of Things; consensus algorithm; distributed ledger; zero-knowledge proof

关键词 处理器安全; 漏洞挖掘与利用; 动态电压频率调节; 故障注入攻击; 隐藏通道攻击; processor security; vulnerability exploring and exploitation; dynamic voltage and frequency scaling; fault injection attack; covert channel attack

摘要 物联网（Internet of Things,Io T）领域当前正面临着无法回避且持续存在的网络安全威胁以及设备资源受限的双重挑战.针对前述问题,本文在ASIC （application specific integrated circuit）平台上,利用时序复用与门控时钟技术,设计了一种高效的低面积ZUC算法硬件实现电路.此电路通过确保每个功能模块仅被实例化一次,实现了电路面积的极小化.在S盒的设计上,本文借鉴了塔域分解的思想,并提出了一种算法,用于在有限域F2n到有限域F′2n之间搜索同构映射矩阵.该算法旨在找到一种同构映射,当它与S盒运算的仿射矩阵及其他相关矩阵相乘后,能够以最少的异或逻辑门数实现映射.基于上述两点,本文所实现的S1-box在面积上与当前AES算法的Sbox相当.在线性变换部分,本文采用了最大距离可分（maximum distance separable,MDS）矩阵拆解的思想,使得整个线性层的实现仅需164个异或门.在加法链的设计上,本文采用了进位存储加法器、32比特加法器、单加数的31比特加法器与中间寄存器的组合.这一设计使得线性反馈移位寄存器层与有限状态自动机层能够共享同一条加法链,从而进一步优化了电路结构.在TSMC 90 nm工艺下综合验证,本文所提出的硬件实现方案在时钟频率为250 MHz时,吞吐率可达2 Gbps,同时面积开销仅为6.67 k GE.与当前主流方案相比,本设计在保持吞吐率不变的前提下,面积开销降低了44%.

关键词 ZUC; 面积优化; 复合域; 时序复用; 窄带物联网; area optimization; composite domain; time division multiplexing; NB-IoT

摘要 现实环境中各种泄露攻击的存在,使得攻击者能够获得用户秘密信息的部分泄露,导致密码算法的传统安全性在有泄露攻击的环境下不再成立.为进一步防止泄露攻击对数据安全性的危害,密码学研究者提出了一系列具有抗泄露攻击能力的密码算法.属性基加密(attribute-based encryption,ABE)机制由于其能为数据提供细粒度的访问控制能力,在现实环境中得到了广泛的关注和应用.然而,在现有抗泄露ABE机制的构造中,其系统公开参数的尺寸与其所能支持属性集合的大小成正比,导致其无法在大属性集环境中使用.为进一步增强抗泄露ABE机制的实用性和适用性,本文提出了支持大属性集合的抗泄露ABE机制的新型构造方法.为获得更优的计算效率,本文首先在素数阶群上提出了支持大属性集合的抗泄露ABE机制的构造方法,并基于判定的并行双线性Diffie-Hellman指数假设证明了该方案的安全性,同时通过性能分析表明该方案具有较优的计算、存储和通信效率.为获得更紧致的形式化安全性证明过程,本文随后在合数阶群上提出了支持大属性集合的抗泄露ABE机制的构造方法,并基于合数阶群上改进的子群判定假设证明了该方案的安全性.此外,本文还对上述两种抗泄露ABE机制的基本性能进行了对比和分析.

关键词 泄露容忍性; 属性基加密机制; 大属性集合; 辅助输入泄露; leakage-resilience; attribute-based encryption; large universe; auxiliary input leakage

摘要 唯一最短向量问题(unique shortest vector problem, uSVP)的困难性是一些流行的格密码方案的安全基础,对其在不同参数下的复杂性的研究也是格密码体系的重要组成部分,然而这方面的研究进展十分缓慢,同时对uSVP的细粒度复杂性的研究也十分欠缺.本文改进了一个从最短向量问题(shortest vector problem, SVP)到uSVP的归约算法,提高了其成功概率,调整了参数限制,从而允许建立不同参数条件下从SVP到uSVP的细粒度归约.利用这个归约,得以证明以下结果:(1)在超多项式时间下,得到了一个参数更大的从SVP到uSVP的归约;(2)在强指数时间假设(gap strong exponential time hypothesis, GapSETH)下,构建了从常数参数的SVP到常数参数的uSVP的亚指数时间归约,从而证明了uSVP在GapSETH下的困难性;(3)以上结果都可以转化成有界距离译码(bounded distance decoding, BDD)的相应结论:在对应条件下求解参数小于1的BDD也是困难的;(4)结合稳定格中的格点个数上界,得到了参数远超常数的从SVP到uSVP的归约.

关键词 最短向量问题; 唯一最短向量问题; 计算复杂性; 细粒度复杂性; 复杂性归约; shortest vector problem; unique shortest vector problem; computational complexity; fine-grained complexity; complexity reduction

摘要 随着各种流行传染病在全球频繁暴发,传染病监测在阻止传染病传播方面发挥着至关重要的作用.隐私保护数据聚合技术常用于避免传染病监测数据传输造成的用户隐私泄露问题.然而,现有的数据聚合方案仍然具有一些安全问题,如聚合节点不可信等.为了解决这些问题,本文提出了一个支持容错的轻量级可验证隐私保护传染病监测数据聚合方案.首先,使用基于CRT (Chinese remainder theorem)改进的Paillier同态加密系统和支持批量验证的签名算法分别对传染病数据进行高效加密和签名,以保护数据传输过程中的数据隐私和数据完整性.其次,使用承诺机制解决聚合节点不可信的问题.此外,本方案支持容错,即使某些用户和聚合节点没有按时地上传数据,聚合工作依然能够继续.特别地,本方案能够抵抗合谋攻击,满足更高的安全需求.由于本方案没有使用高耗时的计算操作,如双线性映射等,仿真实验证明本方案具有优秀的计算和通信开销,可以安全有效地应用于传染病检测系统.

关键词 传染病监测; 数据聚合; 隐私保护; 同态加密; 轻量级; infectious disease surveillance; data aggregation; privacy-preserving; homomorphic; lightweight

摘要 在攻击调查领域,为应对依赖爆炸和语义鸿沟的挑战,日志融合通过引入多层级日志的丰富语义得到系统实体之间细粒度的因果关系,以逼近实际的执行历史.然而,由于审计日志的系统调用和应用日志的程序消息被用来推断复杂的系统状态,基于日志融合的攻击调查系统存在被对抗攻击的弱点,本文率先提出并称之为日志重融合攻击(log refusion attacks),其演示了攻击者如何增强实际漏洞来破坏日志完整性,绕过现有防御,破坏溯源中的联结并陷害良性用户.而后,本文提出一种攻击调查的新设计PRovGuARD (provenance guardian),它利用同时包含程序调用控制流和应用消息数据流的建模来交叉验证审计日志和应用日志的历史记录,以确保执行的合法性和一致性.如果攻击者毁损溯源数据,将检测到矛盾并告警,修正执行路径,得到正确的攻击根因和后果.本文在Linux上实现了原型,并在覆盖各类执行模型的14个实际应用场景及程序上进行了广泛评估.实验结果显示,其成功验证还原了正确的攻击故事,且平均性能开销比传统审计框架仅高3.62%,同时在最坏情况下只重新引入0.78%的错误依赖,证明了原型的有效性及其防御攻击的新颖性.

关键词 攻击调查; 对抗攻击; 日志融合; 控制流图; 数据流图; attack investigation; adversarial attack; log fusion; control flow graph; data flow graph

摘要 椭圆曲线密码体制(elliptic curve cryptosystem, ECC)依然是当前应用最广泛的公钥密码体制,其安全核心是椭圆曲线离散对数问题.本文提出了椭圆曲线离散对数的强不动点问题.利用强不动点假设,在随机预言模型下证明了ECDSA (elliptic curve digital signature algorithm)的一个全域哈希变形方案是可以抵抗自适应选择消息下的存在伪造的.签名的聚合性质使得签名方案在诸如区块链、云存储等众多场景中发挥着重要作用,所以本文也讨论了这个全域哈希椭圆曲线签名方案的聚合性质.

关键词 椭圆曲线; 数字签名; 不动点; 加和多项式; 聚合签名; elliptic curve; digital signature; xed point; summation polynomial; aggregate signature

摘要 内积函数加密支持当使用一个与向量y相关的私钥解密一份与向量x相关的密文时,解密者仅能获得内积值?x, y?而无法获取任何其他信息.分层广播内积函数加密,则进一步具有密文向指定用户广播与密钥授权的性质. SM9标识加密是我国自主设计的一个商用密码标准,已被应用于物联网、医疗协同服务与电子政务等领域,但SM9标识加密算法及现有扩展算法均无法同时实现内积函数的功能与密文广播、密钥授权的性质,限制了SM9标识加密算法的适用场景.本文基于SM9标识加密算法设计了一个分层标识广播内积函数加密方案HIBB-IPFE-SM9.方案构造借鉴了Abdalla等的内积函数加密(PKC’15)与Liu等的分层广播加密(ACISP’14)的设计思想,解密算法仅包含两个双线性配对运算.本文还在随机谕言机模型中证明了方案满足选择明文安全性.最后,对提出方案与现有相关方案进行了对比分析,结果显示HIBB-IPFE-SM9方案在计算和通信开销上与相关方案是可比的.

关键词 内积函数加密; 分层广播加密; 标识密码; SM9; 选择明文安全; inner product functional encryption; hierarchical broadcast encryption; identity-based cryptography; CPA

摘要 随着数字经济时代的到来,数据已成为重要生产要素,将数据外包给第三方存储、管理、分析、计算等应用越来越广泛,随之而来的外包数据、外包计算等外包服务的可信性问题也日益突出,可验证技术被视为判定外包服务可信的一种有效且具有广泛应用前景的技术.该技术发展迅速、研究内容丰富、技术多样、种类繁多,且随着区块链、人工智能、隐私计算等新型外包服务需求的出现,为可验证技术带来了新的挑战和发展契机.本文对面向外包服务的可验证技术研究进展进行了梳理与总结.首先梳理总结给出了面向外包服务的可验证技术框架、分类方法、安全目标与评价体系.接着从外包数据和外包计算两个角度给出可验证技术的形式化定义,并分别论述其典型的可验证方案.然后从外包数据的角度,以验证数据类型为主线结合实现的功能和方法分别详细论述了不同数据类型、不同场景、不同实现方式的外包数据持有性验证和完整性验证技术;从外包计算的角度,根据外包计算类型的不同,总结归纳了5种典型外包计算的可验证技术特点及研究进展,并基于提出的评价体系对典型方案进行了详细的对比分析.最后结合新兴技术和应用热点,展望了可验证技术在前沿方向上的发展趋势、应用前景及其面临的挑战.

关键词 外包服务; 外包数据验证; 可验证计算; 可认证数据结构; 动态可验证结构; outsourcing services; outsourcing data verification; verifiable computation; authenticated data structures; dynamic verifiable structures

摘要 FBC是一种轻量级分组密码算法,由于结构简单、软硬件实现灵活等优点成为2018年中国密码学会(CACR)举办的全国密码算法设计竞赛中晋级到第2轮的10个算法之一.FBC密码包含3个版本支持128和256两种比特长度的明文分组以及128和256两种比特长度的密钥,本文主要对分组长度128位的两个版本进行分析.我们基于SAT (Boolean satisfiability problem)模型对FBC的差分特征进行自动化搜索,得到了新的14轮差分路线,概率为2~(-102.25).基于此路线我们给出了18轮FBC128-128和20轮FBC128-256差分分析,并且在分析过程中给出了复杂度估计.对于18轮FBC128-128差分分析,时间复杂度和存储复杂度分别为2~(101.5)和2~(52).对于20轮FBC128-256差分分析时间复杂度和存储复杂度分别为2~(184)和2~(96).

关键词 分组密码; 差分分析; FBC 算法; 布尔可满足性问题; block cipher; differential cryptanalysis; FBC; Boolean satisfiability problem

摘要 联邦学习甫一问世便得到了广泛的关注,被认为是一种具有广阔前景的分布式机器学习范式.然而,传统联邦学习方案基于中央服务器的集中式设计,在效率和可扩展性上存在不足.此外,集中式设计需要有可信的中央节点协调参与者完成训练,可能导致信任和可靠性的问题,例如中央服务器被操控或是出现单点故障.为了解决上述问题,相关领域的研究人员提出了基于区块链的去中心化联邦学习方案.去中心化联邦学习修补了传统集中式联邦学习的缺陷,但与此同时也引入了全新的攻击面.具体而言,由于区块链将网络中节点发起的全部事务保存在一个公开共享的数字账本,所有区块链节点都可以获取联邦学习参与者每轮的本地训练模型副本.这一现象严重地侵害了参与者的数据隐私和自身利益.在上述困境的驱动下,本文提出了一种安全去中心化联邦学习的可行方案,能够同时解决联邦学习参与者的数据机密性问题和学习公平性问题.区别于此前的研究工作,还提出了一种基于区块链的联邦学习的生产–消费模型,用于在模型安全聚合过程中审查参与者的本地行为,防止出现参与者不劳而获或是虚假训练的情况,在此基础上本文提出APoS共识机制,提供一种激励与审查机制,确保参与者在联邦学习的过程中倾向于选择诚实的训练.

关键词 联邦学习安全; 去中心化网络; 区块链; 数据消费; 激励机制; secure federated learning; decentralized network; blockchain; data consumption; incentives