可证明的网络和数据匿名性及隐私增强身份管理关键技术研究

We will seek to found up a new privacy enhance identity management technical architecture, this framework including anonymous metrics, provably anonymity formalizing method, Anonymous Routing Protocols (ARP) and Direct Anonymous Attestation (DAA) provable security design and analysis approach. First of all, the network data anonymity of metrics will be find by expand L1 similar metric method; Second, the using secure multiparty computation theory ascertain the adaptive threat model for anonymous communication network;Third, the provable anonymity formal methods will be establish by Logic of Secure Systems(LS2); Fourth, based on universally composable (UC) security model and the compute indistinguishability "protocl simulation" method define the security and anonymous for ARP and DAA, and propose the provable security design and analysis method for ARP and DAA. Fifth, design new anonymous routing protocols, forward-anonymous DDA and DDA-based key exchange protocol to achieve privacy enhance identity management. We wish to a certain extent breakthrough in the communication network anonymity and privacy enhances identity management theory, method and technology. Provided more complete and systematic theory support and technical support for efficient, reliable, verifiable and provable security privacy enhance identity management.

本项目希望建立一种新的隐私增强身份管理技术架构。该架构包括匿名度量方法、可证明匿名性形式化方法、直接匿名证明协议和匿名路由协议的可证明安全设计和分析方法。项目试图扩展L1 相似度量法，确定匿名攻击的自适应威胁模型，建立既面向网络又面向数据的匿名性度量理论并验证新的匿名性度量方法；以关系匿名框架为可证明匿名性的概念框架参考模型，提出基于符号操作的匿名性验证自动化分析技术和方法；简化现有DAA方案"理想函数"定义，提出DAA方案和扩展方案安全性的可证明安全评价体系，设计新的具有前向匿名性的DAA方案；讨论基于DAA方案的匿名路由协议安全属性标准，提出匿名路由协议的安全定义和新的匿名路由协议设计与分析方法。通过研究希望在匿名性通信和隐私增强身份管理的基础理论、方法和技术方面有一定的突破，为高效、可靠和可证安全的隐私增强身份管理提供比较完整和系统的理论支持和技术支撑。

本项目致力于研究隐私增强和匿名通信的架构，评估方法和相关方案，并将其应用到命名数据网络，云存储，工业控制网络和其他可信计算系统。.首先，分析了匿名度量和可证匿名形式化框架，提出了：同时面向网络和数据两方面匿名性度量方法可视化匿名度量方法；基于PCL的匿名性形式化分析新框架APCL；基于动态累加器的前向安全动态直接匿名方案（FSD-DAA）；在通用可组合框架下的基于匿名环签名认证路由协议。.其次，研究了命名数据网络中可证明的隐私保护机制，提出了：命名数据网络匿名通信协议和基于RSNC 机制的同态签名方案；双向匿名的基于身份的多接收者环签密方案(BA-IBMRSC)；支持模糊检索的NDN名字隐私保护方案研究方案；NDN多属性可撤销的半隐藏访问结构访问控制方案；基于Paillier同态密码系统和代理重加密机制设计了一种隐私感知传输系统PATS_ICN；基于ElGamal体制设计了Yaksha系统，提出了命名数据移动自组织网络内容发布/订阅系统；提出了一种适用于NDN-MANET的安全内容路由系统MPR-SCR。.接下来，我们探索了云存储环境下的隐私保护机制，主要成果如下：深入分析了基于属性加密的云存储系统隐私保护机制，建立了可搜索加密机制的隐私保护模型；关键词可搜索的高效匿名KP-ABE方案；多授权机构的CP-ABE方案中可搜索的密文策略隐私保护方案；基于重路由加密的多用户环境下的身份和数据隐私方案；基于盲化的属性的密文策略技术云存储数据的细粒度访问控制方案；混合云环境下基于属性的可撤销的多用户可抵抗伪造攻击的可搜索加密机制IVCZKP；协同的动态数据持有方案实现了认证跨云环境下用户数据的完整性；多云环境完整性和零知识属性（IVCZKP）方案的完整性验证。.最后，我们将匿名技术和隐私增强身份管理的基础理论、方法应用工业控制网络和Tor匿名网络，主要成果包括：工业以太网协议的形式化建模和安全评估，将可信平台引入到工业以太网安全协议DNP3-SA 协议中以解决工业控制网络设备的身份认证问题；抗DDos攻击的Tor匿名通信安全性增强方案。