网络安全顶刊——TIFS 2023 论文清单与摘要（1）

1、2PCLA: Provable Secure and Privacy Preserving Enhanced Certificateless Authentication Scheme for Distributed Learning

随着机器学习和物联网的快速发展，分布式学习（DL）应运而生。随着边缘服务器预处理和预学习统计数据，全球服务器可以降低成本，提高效率，并输出更精确的结果。然而，为了获得高质量和充足的数据，服务器应该从许多终端设备收集信息，这自然会在信息传输过程中导致保密性和隐私问题。如果私人信息或数据被恶意攻击者 compromise，用户的安全和网络运行将受到威胁。为了解决这个棘手的挑战，已经提出了许多方案，采用不同的密码技术，旨在解决安全问题。然而，许多最先进的方案很难满足安全需求，并被指出有缺陷。最近，Jiang等人作出努力，并提出了一种无证书签名方案，以及一个用于解决隐私问题的身份验证方案。不幸的是，在本文中，我们指出他们的方案很难抵抗伪造攻击和临时密钥泄漏攻击。此外，我们将提出一个改进的方案，命名为2PCLA，并改变生成会话密钥的方法。利用Tamarin分析工具提供理论分析和正式安全分析，以证明2PCLA方案的安全性。从理论和实验角度进行了性能评估。评估结果说明，2PCLA可以相对良好地平衡安全性能与执行效率。

论文链接：https://doi.org/10.1109/TIFS.2023.3318952

2、A Certificateless Provable Data Possession Scheme for Cloud-Based EHRs

电子健康记录（EHRs：患者健康状况和诊断的数字化集合）通常在云服务器上共享、分析和存储。一个运营挑战是确保EHRs被正确存储，例如使用可证明数据拥有（PDP）。为了为文献做出贡献，我们提出了一个适用于基于云的EHRs的无证书PDP方案。在我们的方案中，我们在不同的云服务器上分布多个副本的EHRs，以便损坏的EHRs可以从其他完整副本中恢复。该方案还设计为抵抗复制求和攻击，确保云服务器诚实存储EHRs。在我们的方法中，EHRs以密文形式存储，因此只有经授权的用户才能解密并获得信息访问权限。我们还设计了一个新的数据结构 - 映射版本标记表（MVMT） - 用于块级动态操作和数据可追溯性。具体来说，MVMT允许授权的医生访问历史EHRs以指导其诊断和决策。安全性和性能分析显示我们的方案是安全的（假设计算Diffie-Hellman问题难以处理）并且实用于支持基于云的EHR应用。

论文链接：https://doi.org/10.1109/TIFS.2023.3236451

3、A Defensive Strategy Against Beam Training Attack in 5G mmWave Networks for Manufacturing

毫米波（mmWave）载波是第五代（5G）系统的重要构建模块。在mmWave频谱上的通信的良好性能需要发射机和接收机的信号波束对齐，这通过波束训练协议实现。然而，波束训练容易受到干扰攻击，攻击者意图通过在不同的空间方向发送干扰信号来混淆合法节点。本文重点研究在智能工厂中对抗这种攻击，其中移动自动引导车（AGV）通过mmWave载波与基站通信。我们引入了一种防御策略来对抗干扰攻击，包括两个阶段：干扰检测和干扰缓解。基于自动编码器开发的两种算法可以学习AGV接收信号的特征/特性。它们可以在执行下行数据传输之前连续使用。特别是，一旦识别出干扰攻击，可以利用干扰缓解来恢复受损的接收信号强度向量，从而在波束训练操作中作出更好的决策。此外，所提出的算法简单直接，并且与5G New Radio中现有的波束训练协议完全兼容。数值结果显示，提出的防御策略不仅可以捕获超过80％的攻击事件，还可以显著提高平均信号干扰加噪比，即高达15 dB。 

论文链接：https://doi.org/10.1109/TIFS.2023.3265341

4、A Dynamic-Efficient Structure for Secure and Verifiable Location-Based Skyline Queries

在广泛的商业和政府应用中，支持安全的基于位置的查询服务在外包的云服务中特别是数据更新加密数据集方面依然是一个具有挑战性的实践问题。增加挑战的是需要确保更新和查询的效率，数据集的机密性（包括对潜在恶意云服务提供商的防范）以及查询的真实性。因此，在本文中，我们提出了DynPilot，一个新颖的解决方案，用于隐私保护的可验证的基于位置的天际线查询，适用于动态和加密的数据集。关键挑战是如何设计一种基于密文的身份验证数据结构（ADS），既能保护数据集的机密性（包括验证阶段），也能有效地维护这样的数据集。此外，为了激励云主动更新ADS，原始数据集的摘要存储在区块链中，因为区块链具有不可变性和共识机制，同时也考虑了更新成本。因此，我们提出了一种新颖的ADS（以下简称为

DSV树），旨在实现动态性并支持安全和可验证的天际线查询。同时，DynPilot还通过新颖的模糊更新策略实现前向隐私。为了进一步提高查询的效率，我们还基于多级索引结构的思想开发了一个优化版本（即DSV*树）。最后，我们分析了我们方法的安全性和复杂性，并通过实证评估证明了我们方法的实用性。

论文链接：https://doi.org/10.1109/TIFS.2022.3224666

5、A Flexible Sharding Blockchain Protocol Based on Cross-Shard Byzantine Fault Tolerance

分片技术对于同时实现去中心化、可扩展性和安全性至关重要。然而，现有的分片区块链方案存在高交叉分片事务处理延迟、低并行性、分片成员交叉视图不完整、中心化重配置、随机生成高开销以及缺乏正式协议设计和安全证明等问题。本文提出了一种灵活的分片（FS）区块链协议。首先，设计了一种跨分片拜占庭容错（CSBFT）协议，以减少处理跨分片事务时的确认延迟。其次，利用多个并行的CSBFT，其中每个节点不仅充当领导者，同时也充当多个普通成员，以突破领导者带宽和计算能力造成的性能瓶颈，提高系统并行性。第三，提出一种跨分片事务审查攻击，并设计了一种跨分片视图更改机制来抵御攻击。第四，设计了一种安全且真正去中心化的分片重配置方法，结合工作证明、拥有权证明和分片内BFT。第五，利用正式的协议设计方法为每个协议提供严格的安全证明。最后，我们从理论和实践角度评估了FS。证明FS具有较低的通信和计算复杂性，并取得了显著的性能表现。

论文链接：https://doi.org/10.1109/TIFS.2023.3266628

6、A GAN-Based Defense Framework Against Model Inversion Attacks

随着深度学习的发展，基于深度神经网络（DNN）的应用已成为日常生活中不可或缺的一个方面。然而，最近的研究表明，这些经过良好训练的DNN模型容易受到模型反演攻击（MIAs）的影响，攻击者可以以高度忠实地恢复它们的训练数据。尽管已经提出了几种防御策略以减轻此类攻击的影响，但现有的防御措施不可避免地会影响模型性能，并且对更复杂的攻击，例如“Mirror”（An等人，2022）攻击，无效。本文介绍了一种新颖的基于GAN的防御方法来抵御模型反演攻击。与以往扰乱模型的预测向量的作品不同，我们通过将精心设计的基于GAN的假样本纳入受害模型的训练过程来操纵受害模型的训练。我们还调整了反演样本的损失，以向受害模型的受保护标签注入误导性特征。此外，我们采用了持续学习的概念来提高模型的效用。在CelebA、VGG-Face和VGG-Face2数据集上进行的大量实验表明，我们提出的方法胜过现有对抗最先进模型反演攻击的防御，包括DMI（Chen等人，2021）、Mirror（An等人，2022）、Privacy（Fredrikson等人，2014）和AMI（Yang等人，2019）。实验证明，我们提出的方法在黑盒场景下也能保持高防御性能。

论文链接：https://doi.org/10.1109/TIFS.2023.3295944

7、A Game-Theoretic Method for Defending Against Advanced Persistent Threats in Cyber Systems

高级持续威胁(APTs)是当今对网络安全构成的主要威胁之一。高度决心的攻击者以及新颖且隐蔽的数据外泄技术意味着APT攻击逃避了大部分入侵检测和防御系统。这导致了政府、组织和商业实体遭受了重大损失。有趣的是，尽管近年来为抵御APT攻击付出了更大的努力，但防御策略的频繁升级并没有导致安全性和保护力的增加。在本文中，我们通过一个恰当设计的APT对抗游戏展示了这一现象，该游戏捕捉了攻击者和防御者之间的互动。展示出来的是，防御者的策略调整实际上为攻击者留下了有用的信息，因此具有智能和理性的攻击者可以通过分析这些信息来改进自己。因此，防御策略的一个关键部分必须是找到一个合适的时间来调整自己的策略，以确保攻击者获得尽可能少的信息。防御者面临的另一个挑战是确定如何充分利用资源来达到令人满意的防御水平。为了支持这些努力，我们找到了一个玩家策略调整的最佳时机，以信息泄霏的角度来看，这形成了一组纳什均衡。此外，提出了两种学习机制，帮助防御者找到适当的防御水平并合理分配资源。一种基于对抗性赌博机制，另一种基于深度强化学习。实验模拟展示了游戏背后的原理和均衡的最优性。结果还表明玩家确实有能力通过从过去经验中学习来提高自己，这显示了在抵御APT攻击时指定最佳策略调整时机的必要性。

论文链接：https://doi.org/10.1109/TIFS.2022.3229595

8、A General Purpose Data and Query Privacy Preserving Protocol for Wireless Sensor Networks

无线传感器网络（WSNs）中大量设备的特点提供了观察、跟踪和记录一切的好处；然而，这些设备的累积计算能力通常未被充分利用，少数利用它的实现忽视了隐私或者是特定应用场景。本文描述了一种隐私保护协议，使WSN节点能够联合计算任意函数，而不泄露其私有输入。计算发生在数据源节点，而计算指令和中间结果经由加密的网络传输。该协议依赖于洋葱路由技术，提供均匀分布的网络流量，并限制外部用户可以从监视网络传输的消息中获取的信息。我们展示了通信协议针对外部和内部攻击者模型都是隐私保护的，并使用NS3网络模拟器验证了我们的协议实现。

论文链接：https://doi.org/10.1109/TIFS.2023.3300524

9、A Graph-Based Stratified Sampling Methodology for the Analysis of (Underground) Forums

研究人员分析地下论坛来研究滥用和网络犯罪活动。由于论坛的规模以及需要领域专业知识来识别犯罪讨论，大多数方法采用监督式机器学习技术来自动分类感兴趣的帖子。人工标注成本高昂。如何选择样本进行注释，考虑到论坛的结构呢？我们提出了一种基于人口中心性属性信息来生成分层样本的方法，并评估分类器的性能。我们观察到，通过利用从帖子度中心性度量的均匀分布中获得的样本，我们保持了相同水平的准确性，但与考虑人口分层的样本相比，显著增加了召回率（+30%）。我们发现，使用类似样本训练的分类器在部署到整个论坛时，对犯罪活动的分类在33%的时间内存在分歧。

论文链接：https://doi.org/10.1109/TIFS.2023.3304424

10、A Guessing Entropy-Based Framework for Deep Learning-Assisted Side-Channel Analysis

最近，深度学习（DL）技术在侧信道电源分析中被广泛采用。DL辅助的SCA通常包括两个阶段：深度神经网络（DNN）训练阶段和使用训练过的DNN进行进攻的后续阶段。然而，目前这两个阶段并未很好地对齐，因为尚无结论表明在训练中使用哪种指标能导致第二阶段最有效的攻击。当在训练DNN时使用传统的损失函数，如负对数似然（NLL）时，训练出的模型并不能产生最佳的后续进攻。最近提出了一些信息论SCA泄漏度量，作为验证指标以停止使用传统损失函数训练DNN，或者作为验证指标和训练损失函数。然而，这些提出的度量中没有一个直接衡量SCA的有效性。我们建议直接使用常见的SCA有效性度量Guessing Entropy（GE）进行DNN训练。通过利用CHES 2020引入的GEEA估计算法，我们克服了以往在DNN训练中使用GE的实际困难。我们表明，将GEEA作为验证指标或损失函数使用，可以产生导致更加有效的后续进攻的DNN模型。我们的工作将DL辅助的SCA框架与一致的度量结合起来，显示出成为通用SCA导向的DNN训练框架的巨大潜力。

论文链接：https://doi.org/10.1109/TIFS.2023.3273169

11、A High Accuracy and Adaptive Anomaly Detection Model With Dual-Domain Graph Convolutional Network for Insider Threat Detection

内部威胁是破坏性的且隐蔽的，在网络安全中解决这一问题是具有挑战性的任务。大多数现有方法将用户行为转化为顺序信息并分析用户行为，却忽视了用户之间的结构化信息，导致高假阳性率。为了解决这个问题，在本文中，我们提出了双域图卷积网络（简称DD-GCN），这是一种基于图的模块化方法，用于高准确度和自适应的内部威胁检测。其核心思想是根据不同的关系将用户特征和结构化信息转化为异构图，并同时考虑用户行为和关系。为此，采用了加权特征相似性机制来平衡用户之间的特征相似性和原始链接之间的关系，从而生成融合结构。接着，同时从原始拓扑结构和融合结构中提取特定的图嵌入，将行为信息转化为高级表示。此外，应用注意力机制来学习相应嵌入中用户特征的自适应重要性权重。同时提出组合和差异约束来增强已学习嵌入的共性和能力以捕捉不同的信息。在两个真实数据集上的大量实验证明，我们提出的DD-GCN显著地从结构拓扑和特征信息中提取了最相关的信息，并取得了明显的改进准确性。

论文链接：https://doi.org/10.1109/TIFS.2023.3245413

12、A Lightweight Transformer-Based Approach of Specific Emitter Identification for the Automatic Identification System

自动识别系统（AIS）是用于自动交通控制和碰撞规避服务的自动跟踪系统，在海上交通安全中发挥着重要作用。然而，当海上移动业务标识（MMSI）在AIS中被非法伪造时，它面临着可能的安全威胁。为了保证AIS通信安全，预防欺诈设备，我们设计了一种新颖的基于Transformer的轻量级网络GLFormer用于特定发射源识别（SEI），为AIS终端发射器提供了额外的安全层。具体来说，GLFormer中开发了门控局部注意力单元（GLAU）和门控滑动局部注意力单元（GSLAU）模块，将简化的门控注意力单元（GAU）和滑动局部自注意力（SLA）相结合，自动从原始振幅信号中提取射频指纹（RFF）特征。特别是，简化的GAU聚焦于更关键的RFF特征，并从原始信号中滤除无关信息以提高性能，同时也是一个具有更少参数的单头自注意力模块，适用于轻量级。与此同时，SLA将自注意力操作限制在一个窗口内，引入局部信息的演绎偏见以进一步增强性能，并将二次计算复杂度降低至线性以提高效率。实验结果表明，GLFormer在构建的包含50艘船只的AIS瞬态数据集和AIS稳态数据集中分别实现了96.31%和89.38%的识别准确率。在包含十个设备的通用软件无线电外围（USRP）数据集中实现了99.90%的识别准确率。它不仅优于现有的方法，而且需要更少的参数和较低的计算复杂度；此外，它还适用于处理长信号序列。

论文链接：https://doi.org/10.1109/TIFS.2023.3266627

13、A Manifold Consistency Interpolation Method of Poisoning Attacks Against Semi-Supervised Model

半监督学习（SSL）是一种重要的派生方法，允许人类发现看不见的知识，潜在地替代大量标记数据。尽管无标记数据的可用性引发了乐观情绪，但其潜在的不可靠性可能导致许多未知的安全风险。攻击者可能秘密污染数据，导致潜在的灾难性和不可预测的结果。我们研究了在三角形流形中的毒化攻击，以了解SSL模型如何抵抗由小扰动引起的攻击。通过插入总计整个训练集的2%的人工修改样本微量，我们可以欺骗分类模型改变任意类别的预测结果。此外，考虑到实际场景中毒化数据属于少数样本攻击，通常仅占总数据的0.1%-2%，我们采用异常值检测来检查所有插入的实例，并发现它可以绕过检测。我们的毒化策略可以适用于多个数据集、模型和图像和网络流量的应用领域。实验结果证明我们提出的方法在至少七种半监督模型上有效。自编码器与置信度（ConAE）的模型检测准确率下降比率为52.55%，成本最低。另一个有力的结果是我们的模型毒化在图像领域超过了现有技术方法。扩展结论证实，更准确的分类模型并没有相应提高其抵抗干扰的能力，这也为测试模型稳健性提供了新的标准。

论文链接：https://doi.org/10.1109/TIFS.2023.3268882

14、A Natural Language Processing Approach for Instruction Set Architecture Identification

软件的二进制分析是网络取证应用中的关键步骤，例如程序漏洞评估和恶意软件检测。这涉及解释软件执行的指令，通常需要将软件的二进制文件数据转换为汇编语言。转换过程需要关于二进制文件目标指令集架构（ISA）的信息。然而，由于编译错误、部分下载或对文件元数据的对抗性破坏，二进制文件可能不包含ISA信息。机器学习（ML）是一种有前途的方法，可以用来使用二进制文件的目标ISA来识别目标ISA。本文提出了一种二进制代码特征提取模型，以提高基于ML的ISA识别方法的准确性和可扩展性。我们的特征提取模型可以在没有关于ISA的领域知识的情况下使用。具体来说，我们从自然语言处理（NLP）中调整模型，用于i)识别在二进制代码中常见的连续字节模式，ii)估计每个字节模式对二进制文件的重要性，iii)估计每个字节模式在区分ISA方面的相关性。我们引入编码二进制文件的字符级特征，以识别与每个ISA固有的细粒度比特模式。我们使用两个不同的数据集评估我们的方法：来自12个ISA和23个ISA的二进制文件。实证评估显示，使用我们的字节级特征进行基于ML的ISA识别的准确度约为98%，而基于字节直方图和字节模式签名的最新特征的准确度约为91%。我们观察到字符级特征可以减少特征集的大小高达16倍，并且仍然可以保持ISA识别的准确性在97%以上。

论文链接：https://doi.org/10.1109/TIFS.2023.3288456

15、A New Approach in Automated Fingerprint Presentation Attack Detection Using Optical Coherence Tomography

演示攻击检测（PAD）是自动指纹识别系统（AFRSs）的关键组成部分。然而，基于光学相干断层扫描（OCT）的现有PAD技术主要依赖于局部信息，忽视了生理结构的全局连续性和相关性。此外，缺乏适合唯一OCT特征的演示攻击仪器（PAIs）导致了对PAD的不充分评估。外部指纹（EF）、内部指纹（IF）和皮下汗腺孔（SSP）等身份特征提供有关生理结构内在联系的宝贵信息。这些内在联系为PAD提供了潜在线索。在此基础上，本文提出了一种基于三个OCT手工特征的新型PAD方法：EF-IF自匹配分数（SMS）、SSP数量（SN）和SSP巧合率（SCR）。这些简单而有效的PAD特征提供了对内部生理结构更精确和详细的描述，使得可以准确区分演示攻击（PA）和真实身份。该方法实现了4%的等误差率（EER），明显优于其他现有的PAD方法。此外，跨设备实验证明了该方法在我们的数据集和公共OCT数据集上的泛化能力。

论文链接：https://doi.org/10.1109/TIFS.2023.3293414

16、A New Construction Method for Keystream Generators

我们介绍了一种用于替代置换网络（SPN）结构的扩散层的新建造方法，以及其安全性证明。这种新方法可以用于块密码、流密码、哈希函数和海绵构造。此外，我们通过一个固定的伪随机置换定义了一种新的流密码运行模式，并在不可区分性模型中提供了其安全性证明。如果流密码的内部状态大小小于其密钥大小的两倍，则我们将其称为Small Internal State Stream（SISS）密码。由于内部状态大小的标准由经典的折衷攻击结果决定，对于如何设计和分析SISS密码并没有太多的研究。我们利用我们的新模式和扩散层构造设计了一个具有两个版本的SISS密码，我们称之为DIZY。我们进一步提供了对DIZY的安全性分析和硬件实现。在面积成本、功耗和能耗方面，与一些知名的流密码相比，特别是那些需要频繁初始化的基于框架的加密，硬件性能是最优秀的。与最近的SISS密码（如Sprout、Plantlet、LILLE和Fruit）不同，DIZY没有一个有钥更新函数，因此可以实现有效的密钥更改。

论文链接：https://doi.org/10.1109/TIFS.2023.3287412

17、A New Global Measure to Simultaneously Evaluate Data Utility and Privacy Risk

在合成或其他去标识化数据集中嵌入的数据效用和隐私风险的测量是一个日益重要的研究领域。然而，现有数据隐私文献中的度量标准是单向的，它们只能够衡量数据效用或隐私风险。在本文中，我们提出了一种新的度量标准，可以评估数据效用和隐私两者，这是数据合成中众所周知的权衡关系。所提出的度量标准采用了在数据集水平上合成数据和原始数据之间相对距离的概念，并且能够确定合成数据在数据效用和隐私方面的最佳平衡位置。此外，我们设计了一个图形工具，可以直观地显示合成数据的当前效用-隐私权衡位置。数值研究表明，我们的新度量标准在模拟和真实数据集上均表现出色，并且提供比其他现有全局数据效用度量标准更丰富的解释，从而验证了其独特优势。

论文链接：https://doi.org/10.1109/TIFS.2022.3228753

18、A New Zero Knowledge Argument for General Circuits and Its Application

在不透露输入的情况下验证计算的正确性是现实世界应用中密切关注的关键问题。最近的零知识证明技术的激增集中在其效率和实用性方面。其中，基于GKR的证明方法受到了广泛关注，并成为许多零知识证明协议的基础。然而，基于GKR的协议受限于分层算术电路。我们提出了Terrace，这是一个新的高效的零知识论证系统，适用于一般电路，基于GKR。通过动态地将跨层声明补丁到原始电路进行验证，而不是单独验证这些声明，Terrace能够减少总电路大小，因此享有对数因子减少的验证时间和证明大小。Terrace进一步扩展，包括通过将这些声明重写为多线性拓展形式来验证非算术操作。实验结果表明，Terrace在效率方面表现出良好的性能，并展现了在实现神经网络低成本验证方面的巨大潜力。

论文链接：https://doi.org/10.1109/TIFS.2023.3288454

19、A Novel Earprint: Stimulus-Frequency Otoacoustic Emission for Biometric Recognition

耳声发射（OAE）生物特征在防止播放和伪造攻击方面具有固有的稳健性。广泛研究的瞬态诱发OAE（TEOAE）是非定常的，并且仅在听力正常的个体中具有生物特征价值，因为它更容易受到听力损失的影响。为了解决这些问题，本文提出了一种新颖而有前景的OAE生物特征模式-刺激频率OAE（SFOAE）。与TEOAE不同，SFOAE是一种高度稳定的信号，其细微结构是个体特有的，且随时间相对稳定，使其更容易成为生物特征而无需额外复杂的特征提取。此外，SFOAE甚至存在于听力损失为50 dB HL的耳朵中，适用于听力受损用户。在本文中，对三种刺激水平的SFOAE频谱进行特征级融合，以整合不同信息，随后使用线性判别分析或多核卷积神经网络进一步减少个体内变异性并增加个体间变异性。在包含不同程度失聪者的大规模受试者群中进行测试，基于SFOAE的生物特征系统在封闭集和开放集验证场景中的等错误率分别为0.541％和1.364％。在识别模式下，分别针对封闭集和开放集协议实现了99.43％和97.37％的准确率。特别是在封闭集场景中，我们观察到在听力正常的人群中表现完美。基于几项比较测试已经检查了系统表现良好的原因。虽然在将SFOAE应用于生物特征领域之前仍需解决实现问题，但本文初步展示了SFOAE作为生物特征的基础和潜力。

论文链接：https://doi.org/10.1109/TIFS.2023.3309101

20、A Privacy-Preserving and Verifiable Statistical Analysis Scheme for an E-Commerce Platform

为了了解最近的市场状况，电子商务平台需要了解卖家商品的销售情况。最近的市场状况有助于预测未来的市场趋势，并制定政策指导卖家合理分配他们的库存比例。统计分析是研究销售情况的基本方法。然而，电子商务平台的销售数据通常数量庞大。因此，外包统计分析给云服务器是一种有效的方法。然而，卖家不希望他们的销售数据泄漏给任何人或任何其他组织。此外，在许多情况下，我们不能完全信任云服务器。因此，我们需要利用加密或非加密工具来实现上述外包。秘密共享是一种轻量级且强大的非加密工具，可以实现隐私保护数据分析。然而，它需要安全通道来分发秘密份额。另一方面，同态加密是一种用于设计隐私保护数据分析方案的强大加密工具。然而，这些方案通常不允许持有解密密钥的实体与其他实体勾结。我们提出了一个隐私保护和可验证的统计分析方案，结合了阈密钥共享方案和可验证的阈同态加密方案。与传统的阈密钥共享方案相比，我们的解决方案对安全通道的需求减少了40%∼60%，这要归功于设计的新颖分发模型来交付秘密份额。此外，我们的解决方案具有更强的抵抗串通攻击的能力，可以使销售数据保持私密并远离任何实体，并确保平台只能在某些云服务器的帮助下获得分析结果，减轻了单点信任。同时，新颖的分布式模型使我们的解决方案享有更好的稳健性和容错能力。通过安全性分析、性能评估和比较分析验证了所提出的解决方案。

论文链接：https://doi.org/10.1109/TIFS.2023.3269669

21、A Residual-Driven Secure Transmission and Detection Approach Against Stealthy Cyber-Physical Attacks for Accident Prevention

随着网络物理系统（CPS）的发展，许多工业设施已经实现了远程控制和监测。然而，CPS的广泛应用也带来了新的安全问题和挑战。攻击者可以利用网络通信引起的漏洞，篡改传输的数据，并通过精心设计的隐蔽攻击导致严重事故。本文提出了一种基于互质因数分解技术的剩余驱动综合防御方案，以应对隐蔽CPS攻击带来的威胁。这种新颖方案通过安全传输和攻击检测保护CPS免受隐蔽网络物理攻击。具体而言，首先引入了一种安全传输方法，以防止信息泄露。其关键想法是将机密传输的控制和测量信号转换为非必要的滤波后的残余信号。这有助于减少信息泄露，帮助降低隐蔽攻击的风险。然后，在相同的残余驱动框架下，提出了一种隐蔽攻击检测方法。它可以消除由系统故障引起的虚警，因此在隐蔽攻击下实现了更高的检测准确性。最后，在F-404发动机上进行了仿真研究，验证了所提出方案和方法的有效性和性能。

论文链接：https://doi.org/10.1109/TIFS.2023.3314194

22、A Reversible Framework for Efficient and Secure Visual Privacy Protection

最近几年，人们每天所产生的图片数量快速增加，他们本地的存储空间可能不足以存储所有这些图片。因此，人们目前习惯于将图片上传到云平台，这引发了隐私方面的担忧。传统的图像加密是一种保护图像隐私但不保留视觉可用性的方法，导致图像所有者无法方便地浏览和管理存储在云中的图像。因此，一些视觉隐私保护方案被提出来，以平衡图像隐私和可用性，尽管其中许多是不可逆转的。最近，一种名为“缩略图保留加密”（TPE）的新型可逆技术已经成为热门话题。然而，现有的TPE方案要么效率低下，要么无法完美恢复原始图像，并同时实现“Nonce-Respecting”（NR）安全性。鉴于此，我们提出了一个高效安全的可逆框架用于视觉隐私保护，通过数据隐藏的方式可调地保留图像的视觉可用性。在这个框架中，原始图像首先通过我们提出的区域分割方法分成几个区域，其中一个区域被数据隐藏所空出。然后，在图像加密后，利用空出的区域通过像素调整来保存原始缩略图。最后，每个子块中的像素会被置换以增强安全性。根据我们的理论分析，上述过程是完全可逆的，处理后的图像实现了NR安全性。此外，我们进行了广泛的实验证明，包括通过各种应用程序接口进行的识别、用户调查以及效率比较，以展示我们的框架既高效又在隐私和可用性之间取得了良好的平衡。

论文链接：https://doi.org/10.1109/TIFS.2023.3280341

23、A Secure Authentication Framework to Guarantee the Traceability of Avatars in Metaverse

Metaverse是一个与现实世界平行的巨大虚拟环境，在这个环境中，用户以头像的形式享受各种服务。为了建立一个安全的生活环境，确保虚拟-现实可追踪性非常重要，即通过在虚拟空间中的头像追踪恶意玩家在现实世界中的行动。在本文中，我们提出了基于生物特征验证和变色龙签名的双因素认证框架。首先，针对虚拟空间中的伪装，我们设计了一个头像的双因素身份模型，以确保头像的虚拟身份和实际身份的可验证性。其次，针对认证效率和密钥保存成本，我们提出了一个变色龙碰撞签名算法，以有效确保头像的虚拟身份与其实际身份相关联。最后，针对现实世界中的冒充，我们设计了基于头像身份模型和变色龙碰撞签名的两种去中心化认证协议，实现对头像身份的实时认证。安全分析表明，所提出的认证框架保证了头像身份的一致性和可追踪性。模拟实验表明，该框架不仅完成了头像之间的去中心化认证，还实现了虚拟-现实的追踪。

论文链接：https://doi.org/10.1109/TIFS.2023.3288689

24、A Smart Digital Twin Enabled Security Framework for Vehicle-to-Grid Cyber-Physical Systems

电动汽车（EV）渗透迅速增长导致了更灵活和可靠的车辆对网格启用的网络物理系统（V2G-CPSs）。然而，系统复杂性的增加也使其更容易受到网络物理威胁的影响。协调的网络攻击（CCAs）已经成为一个主要关注点，需要在V2G-CPSs内部采用有效的检测和缓解策略。数字孪生（DT）技术在减轻系统复杂性和为复杂任务提供各种功能方面表现出了希望，例如系统监测、分析和最优控制。本文提出了一个在V2G-CPSs中检测和缓解CCA的坚韧和安全框架，利用智能DT启用的方法。该框架引入了一个更智能的DT协调器，利用基于长短期记忆（LSTM）的演员-评论家深度强化学习（LSTM-DRL）在DT虚拟副本中。LSTM算法估计系统状态，然后由DRL网络使用这些状态检测CCAs并采取适当的措施来最小化它们的影响。为了验证所提出的智能DT框架的有效性和实用性，我们在基于IEEE 30总线系统的V2G-CPS上进行了案例研究，考虑了不同类型的CCA，如恶意V2G节点或控制命令攻击。结果表明，该框架能够准确估计系统状态，检测各种CCA，并在5秒内减轻攻击的影响。

论文链接：https://doi.org/10.1109/TIFS.2023.3305916

25、A2S2-GNN: Rigging GNN-Based Social Status by Adversarial Attacks in Signed Social Networks

社会地位，即用户的社会影响，在许多现实世界的应用中起着重要作用，例如社交网络中的信任关系和信息传播。在本文中，我们揭示了通过对抗性攻击在图神经网络（GNNs）中伪造社会地位的可能性。与视觉领域或语音领域的神经网络不同，GNNs将图中节点和边的属性作为特征。为了适应GNNs的特点，我们设计了一种新的对抗性示例攻击范式，称为A2S2-GNN（基于GNN的社会地位对抗攻击），旨在操纵社交网络中目标节点的社会地位。关键思想是建立一组受损节点和目标节点之间的关系或打破关系。更具体地，我们考虑表示节点之间复杂的正面/负面不对称关系的带符号有向图。我们设计了一个高效的对抗性攻击算法，以确定应创建或删除的最小一组带符号连接以达到攻击目标。我们对基准数据集进行了大量实验。与基准算法相比，A2S2-GNN分别可以将目标节点的社会地位有效提升至89.36%和192.38%，同时将对社交网络的修改最小化。此外，针对六种状态评估算法的实验结果验证了我们提出的攻击算法的可迁移性。

论文链接：https://doi.org/10.1109/TIFS.2022.3219342

26、AADEC: Anonymous and Auditable Distributed Access Control for Edge Computing Services

边缘计算是一种新兴的分布式计算概念，允许边缘服务器为授权的消费者提供各种按需服务。由于网络环境高度动态且不可信，诸如未经授权访问、数据篡改和隐私泄露等各种潜在安全问题一直是制约边缘计算发展的关键因素。最近由Dougherty等人（CCS'21）提出的异构框架名为APECS，部署基于令牌的授权和多属性基础加密（MABE）来保证访问控制和数据保密。尽管APECS实现了安全的异步访问控制而无需“始终开启”云端，但它存在隐私泄露（由于公共身份信息导致）和虚假数据传播问题（由于数据保密性）。在本文中，我们提出了一种用于缓解这些问题的边缘计算匿名和可审计的分布式访问控制框架（AADEC）。AADEC基于我们设计的两个基本构件，即有条件的匿名认证和具有优化性能的可审计MABE。我们还定义了正式的安全模型，并为我们的提议提供了安全证明。最终的定性比较和性能基准测试表明，AADEC可以在匿名性、保密性、可审计性和效率之间取得平衡。

论文链接：https://doi.org/10.1109/TIFS.2022.3220030

27、ABAEKS: Attribute-Based Authenticated Encryption With Keyword Search Over Outsourced Encrypted Data

随着云计算的广泛应用和数据的指数级增长，强调了对安全数据共享和查询的需求。属性基关键词搜索（ABKS）已经成为在云中搜索加密数据的有效手段。然而，现有的ABKS方案会导致高端到端延迟，并容易受到量子计算机攻击和/或（内部）关键词猜测攻击（KGA）的威胁。为了解决这些漏洞，本文引入了一个名为属性基认证加密与关键词搜索（ABAEKS）的新概念，并提出了一种高效的ABAEKS方案。我们的ABAEKS具有低端到端延迟，并且能够抵抗量子计算机攻击和（内部）KGA。此外，我们正式建立ABAEKS系统的安全模型，并证明其在随机预言模型下的安全性。最后，我们对ABAEKS进行了全面的性能评估，实验结果显示我们的ABAEKS在计算效率上表现出色，优于当前的ABKS方案。

论文链接：https://doi.org/10.1109/TIFS.2023.3301740

28、ACB-Vote: Efficient, Flexible, and Privacy- Preserving Blockchain-Based Score Voting With Anonymously Convertible Ballots

区块链已经成为电子投票的分散平台。在各种基于区块链的投票系统中，评分投票提供了灵活的选择，并更好地反映了公众意见。然而，现有的基于区块链的评分投票系统存在着沉重的范围证明开销，并与其他基于区块链的投票系统相比效率低下。此外，这些系统中的选民匿名性并未得到严格解决。在本文中，我们提出了一种高效、灵活和具有隐私保护的评分投票系统，名为ACB-Vote，基于可转换的匿名投票。ACB-Vote通过BBS+签名和知识签名实现投票匿名性。ACB-Vote利用可转换可链接签名（CLS），允许投票被转换，其中转换机制防止匿名选民多次投票。此外，所提出的系统避免了沉重的范围证明，实现了批量投票验证，并促进了灵活的计票方法。我们正式为ACB-Vote定义了一个安全模型，并提供了严格的安全证明。实验表明，ACB-Vote的效率与先前的评分投票系统相比具有竞争力，并且在区块链环境中是可负担的。

论文链接：https://doi.org/10.1109/TIFS.2023.3287394

29、AISCM-FH: AI-Enabled Secure Communication Mechanism in Fog Computing-Based Healthcare

基于雾计算的物联网（IoT）架构对各种延迟高效的网络通信和服务非常有用，比如数字医疗保健。然而，基于雾计算的医疗保健系统存在隐私和安全问题，进一步增加了敏感医疗数据泄露的风险。因此，需要一种安全机制，例如对基于雾计算的医疗保健系统进行访问控制，以保护其数据不受各种潜在攻击的侵害。此外，区块链技术可以用来解决数字医疗保健数据完整性相关的问题。人工智能（AI）的使用进一步使系统在预测与健康相关疾病方面更加有效。本文提出了一种基于AI的安全通信机制，适用于基于雾计算的医疗保健系统（简称AISCM-FH）。利用标准随机预言模型以及经验（非数学）安全分析提供了所提出的AISCM-FH的安全分析。一项务实研究确定了所提出的AISCM-FH对关键绩效指标的影响。此外，我们还包括了AISCM-FH与其他相关现有方案的详细性能比较，以表明相对于其他竞争现有方法，它具有较低的通信和计算成本，并提供了更优越的安全性和额外的功能属性。

论文链接：https://doi.org/10.1109/TIFS.2022.3220959

30、ALScA: A Framework for Using Auxiliary Learning Side-Channel Attacks to Model PUFs

物理不可克隆函数（PUFs）由于其内在属性具有无秘钥、防克隆和轻量级等特点，已经成为强大的硬件基元。然而，PUFs 无法避免机器学习建模和侧信道攻击（SCAs）的威胁。然而，几乎所有攻击都忽略了由PUF 内部参数引入的数学模型和侧信道模型之间的相关性；因此，这些攻击无法利用相关数据，并且在对模拟复杂PUFs 中遇到困难。为了解决这一问题，我们提出了一个框架，用于利用辅助学习SCAs 来通过同时学习多个相关任务模拟强大的PUFs。侧信道信息预测被引入为辅助任务，以促进主要任务的响应预测。主要任务难以学习的参数可以由更直接学习相同参数的辅助任务共享。基于提出的框架，我们设计了一个具体的辅助学习功率SCA，该SCA 使用功率水平预测作为辅助任务。提出的攻击借助于较难参数共享和层次共享的深度神经网络实现。实验结果表明，提出的攻击成功地对XOR APUF、MPUF 和 iPUF 进行了建模，并且在模拟MPUF 和 iPUF 方面优于现有方法。我们评估了任务相关性、架构和损失权重比等因素的影响。此外，我们提出了一种基于细粒度分类的方法，以生成与主要任务有更强联系的辅助任务。根据响应，与特定侧信道状态对应的类别进一步细分为两个子类。实验结果表明，生成的辅助任务提高了性能，并减轻了不恰当架构和参数的不良影响。

论文链接：https://doi.org/10.1109/TIFS.2022.3227445

31、APFed: Anti-Poisoning Attacks in Privacy-Preserving Heterogeneous Federated Learning

联合学习（FL）是一种新兴的隐私保护分布式机器学习范式，通过利用密码原语有效地处理隐私泄漏问题。然而，如何在分布式情况下防止中毒攻击最近已成为主要的FL关注点。事实上，对手可以操纵多个边缘节点，并提交恶意梯度来扰乱全局模型的可用性。目前，大多数现有作品依赖于独立同分布（IID）情景，并使用明文来识别恶意梯度。然而，我们证明当前的作品无法处理数据异质性场景的挑战，并且发布未加密的梯度会带来重大的隐私泄漏问题。因此，我们开发了APFed，一种分层隐私保护防御机制，显著缓解数据异质性场景中中毒攻击的影响。具体而言，我们利用同态加密作为基础技术，并采用中值坐标作为基准。随后，我们提出了一种安全余弦相似度方案来识别有毒梯度，并创新地使用聚类作为防御机制的一部分，并开发了一种层次聚合，增强我们的方案在IID和非IID情景中的稳健性。对两个基准数据集的广泛评估表明，APFed优于现有的防御策略，同时通过用廉价的簇内通信取代昂贵的远程通信方法来减少通信开销。

论文链接：https://doi.org/10.1109/TIFS.2023.3315125

32、APMSA: Adversarial Perturbation Against Model Stealing Attacks

深度学习（DL）模型的训练需要专有数据和计算密集型资源。为了收回他们的训练成本，模型提供者可以通过机器学习即服务（MLaaS）实现深度学习模型的货币化。一般来说，模型部署在云上，同时提供一个公开可访问的应用程序编程接口（API），用于付费查询以获得利益。然而，模型窃取攻击对这种模型货币化方案构成了安全威胁，因为它们窃取了模型而不为未来的大量查询付费。具体来说，对手查询一个目标模型以获取输入输出对，从而通过反向工程推断出模型的内部工作机制，这剥夺了模型所有者的商业优势并泄露了模型的隐私。在这项工作中，我们观察到，在受攻击的模型（MUA）下返回的置信向量或最高置信度在不同的查询输入下变化相对较大。因此，MUA的丰富内部信息被泄露给攻击者，从而帮助她重建一个替代模型。因此，我们提出利用对抗性置信度扰动来隐藏给定不同查询时的这种不同置信度分布，从而抵御模型窃取攻击（称为APMSA）。换句话说，现在返回的置信向量对于来自特定类别的查询是相似的，大大减少了MUA的信息泄漏。为了实现这一目标，通过自动化优化，我们在每个输入查询中构造性地添加细微噪声，使其置信度接近于MUA的决策边界。一般来说，这个过程是通过制造对抗性示例的方式来实现的，但与之不同的是，所保留的硬标签与查询输入相同。这保留了对正常用户的推断实用性（即，没有牺牲推断准确性），但限制了泄露给攻击者的置信信息到一个小的受限区域（即，接近决策边界）。后者极大地降低了攻击者替代模型的准确性。由于APMSA作为一个插件前端，对MUA无需进行任何更改，因此它是通用且易于部署的。通过对CIFAR10和GTSRB数据集的实验验证了APMSA的高效性。在CIFAR10上使用ResNet-18的MUA模型，我们的防御措施可以使窃取模型的准确性下降高达15%（在很大程度上使窃取模型无用），而对正常用户的硬标签推断请求的准确性不会下降。

论文链接：https://doi.org/10.1109/TIFS.2023.3246766

33、AST-SafeSec: Adaptive Stress Testing for Safety and Security Co-Analysis of Cyber-Physical Systems

随着采用异构传感器网络和具有处理越来越多输入数据能力的机器学习功能，网络物理系统变得更加智能。虽然这种复杂性旨在解决各个领域的问题，但也为系统保障带来了新挑战。一个问题是异常行为数量的增加会影响系统性能，可能是由于传感器故障和攻击引起的。安全风险通常由随机传感器故障引起，安全风险可能发生在任意随机系统状态下，使得网络物理系统的全覆盖测试变得困难。现有技术无法处理复杂的安全和安全风险对网络物理系统的影响。在本文中，我们提出了一种名为AST-SafeSec的分析方法。该方法旨在利用强化学习来识别网络物理系统在各种正常或故障状态下最有可能的敌对路径，该路径可以通过传感器数据影响系统行为的方式。这种方法通过将安全攻击引入车辆的随机传感器元素，使用自动驾驶汽车场景进行评估。评估结果表明，该方法分析了恶意攻击与随机故障之间的相互作用，并识别由这些交互引起的事件以及导致该事件发生的最有可能路径。

论文链接：https://doi.org/10.1109/TIFS.2023.3309160

34、AVET: A Novel Transform Function to Improve Cancellable Biometrics Security

相似性保持是可取消生物特征方案设计的关键因素。这个概念确保了在应用可取消生物特征技术后，生物特征系统的准确性能得以保持。随机投影是可取消生物特征方案中最常采用的方法之一。然而，它在一定条件下是可逆的，这会破坏模板不可逆的标准，为基于随机投影的方案带来了风险。在本文中，我们提出了一种新颖的转换函数，即绝对值方程变换（AVET），它将特征向量非线性投影到另一个域。转换后的模板具有确保用户隐私和同时保持系统性能的两个主要优点。首先，通过依赖于绝对值方程问题的难度，我们保证AVET满足不可逆性。其次，通过使用约翰逊-林登斯特劳斯引理和反三角不等式，我们证明了所提出的方法具有保持相似性的特性。值得注意的是，我们提供了严格的理论证明和实证实验。我们在生理和行为生物特征包括人脸、耳朵、指纹和步态上全面评估了AVET的效能。通过单模态方法，与相关算法在八个公共数据集上相比，我们取得了竞争性的性能。在双模态模式方面，AVET在所有三个观察数据集上超越了最先进的技术。据我们所知，这是第一项尝试开发一种安全转换来增强现有可取消生物特征方案中随机投影作用的研究。

论文链接：https://doi.org/10.1109/TIFS.2022.3230212

35、AVoiD-DF: Audio-Visual Joint Learning for Detecting Deepfake

最近，深度伪造技术对在线媒体的真实性提出了严重的担忧。先前的深度伪造检测工作已经做出了许多努力来捕捉单模态伪造的痕迹。然而，在现实世界中，深度伪造视频通常由音频和视觉的组合构成。在本文中，我们提出了一种用于检测深度伪造的音频-视觉联合学习（AVoiD-DF），利用音频-视觉不一致性进行多模态伪造检测。具体来说，AVoiD-DF首先通过在时间空间编码器中嵌入时间-空间信息来开始。然后设计了一个多模态联合解码器，用于融合多模态特征并共同学习内在关系。随后，设计了一个交叉模态分类器，用于检测存在跨模态和内模态不协调的操纵。由于现有的深度伪造检测数据集主要集中在一个模态上，仅涵盖少数伪造方法，我们建立了一个新的基准数据集DefakeAVMiT，用于多模态深度伪造检测。DefakeAVMiT包含足够的视觉与对应的音频，其中任何一个模态都可能被多种深度伪造方法恶意修改。在DefakeAVMiT、FakeAVCeleb和DFDC上的实验结果表明，AVoiD-DF在深度伪造检测中胜过许多最先进技术。我们提出的方法还展现了在不同伪造技术上的卓越概括能力。

论文链接：https://doi.org/10.1109/TIFS.2023.3262148

36、Abusing Commodity DRAMs in IoT Devices to Remotely Spy on Temperature

现代物联网（IoT）设备的普遍性和无处不在为新型应用提供了广阔的可能性，但同时也允许对毫不知情的用户进行以前未曾见过的程度的监视和数据收集。本文详细介绍了一种新的攻击形式，利用广泛使用的现成DRAM模块的衰减特性，准确地监视装有DRAM的设备周围的温度。其中包括，这使得对手能够远程纯数字地监视用户私人住宅中的个人行为，或在服务器农场、云存储中心或商业生产线上收集安全关键数据。我们证明了我们的攻击可以通过仅仅ompromising IoT设备的软件来执行，并且不需要在攻击时进行硬件修改或物理访问。在实践中，可以达到0到70摄氏度范围内最高0.5摄氏度的温度分辨率。所提出的攻击适用于那些没有内置专用温度传感器的设备；因为设备中已经存在的DRAM模块被滥用来监视温度。为完成这项工作，本文讨论了实际攻击场景以及可能的对抗新型温度监控攻击的对策。

论文链接：https://doi.org/10.1109/TIFS.2023.3271252

37、Accountable and Fine-Grained Controllable Rewriting in Blockchains

大多数区块链被设计为不可变的，这意味着一个对象（例如区块或交易）一旦被注册，就会被持久化。然而，由于区块链存储的滥用和法律义务的增加，区块链的不可变性阻碍了区块链的发展。为了以受控的方式打破不可变性，Derler等人（NDSS'19）提出了一种可编辑的区块链，通过引入基于策略的变色哈希（PCH）的概念，实现了细粒度的可控重写。对于与访问策略相关联的基于PCH的对象，符合访问策略的重写权限的阻止持有者可以更改对象。尽管这项工作提供了一种优雅的区块链重写方法，但它缺乏问责制。在实践中，陷阱持有者可能滥用他们的重写权限，甚至使用他们的变色钥匙以黑匣子方式构建设备，从而获取非法利润同时避免被抓。在本文中，我们介绍了一种具有黑匣子问责制（PCHA）的新设计。黑匣子问责制不仅提供任何修改过的对象与其修改者之间的可追踪性，还可以追溯中央机构能够识别出对黑匣子设备做出贡献的负有责任的陷阱持有者的秘密密钥。除了对PCHA进行建模，我们还提出了一个带有严格安全证明的PCHA通用构造。我们通过在素数阶配对群上引入具有自适应安全性的实用属性基叛徒追踪（ABTT），将PCHA的具体构造具象化。实验分析表明，我们的PCHA和ABTT方案具有适度的开销，并且比现有解决方案具有更优越的功能。特别是，相对于现有技术解决方案，关于密钥生成、哈希和适应性的问责成本几乎可以忽略不计。

论文链接：https://doi.org/10.1109/TIFS.2022.3217742

38、Achieving Privacy-Preserving and Verifiable Support Vector Machine Training in the Cloud

随着机器学习的普及，云服务器被用来收集大量数据并训练机器学习模型。最近提出了几种保护隐私的机器学习方案，以保证云中的数据和模型隐私。然而，这些方案要么要求数据所有者参与模型训练，要么利用高成本的加密技术，导致计算和通信开销过大。此外，现有的工作都没有考虑云服务器在模型训练过程中的恶意行为。在本文中，我们提出了第一个隐私保护且可验证的支持向量机训练方案，采用了两个云平台。具体地，基于同态验证标签，我们设计了一个验证机制来实现可验证的机器学习训练。同时，为了提高模型训练的效率，我们结合同态加密和数据扰动，设计了一个适用于加密域的高效乘法操作。严密的理论分析证明了我们方案的安全性和可靠性。实验结果表明，与最先进的支持向量机训练方法相比，我们的方案可以降低计算和通信开销分别至少43.94%和99.58%。

论文链接：https://doi.org/10.1109/TIFS.2023.3283104

39、AdvDDoS: Zero-Query Adversarial Attacks Against Commercial Speech Recognition Systems

自动语音识别（ASR）已广泛应用于医疗保健、自动驾驶汽车和金融领域。然而，最近的研究表明，当对手能够访问目标模型时，通用对抗扰动（UAPs）对白盒ASR系统构成严重威胁。迄今为止，对商业系统的此类威胁影响仍然未知，因为它们的模型不公开。为了了解黑盒设置中实际ASR系统的安全弱点，本文引入了第一个零查询UAP攻击，称为AdvDDoS，黑盒访问ASR系统：我们不需要支付任何查询费用来估计UAP。具体来说，我们在一种流行的特征提取器和本地ASR模型下精心制作了有针对性的UAPs，通过反转鲁棒目标类特征，其中包含有鲁棒特征的对抗扰动被认为具有更好的可传递性。与普通UAP相比，我们的UAPs结合了目标类特征，可以更好地对商业ASR系统进行攻击。我们通过对一系列商业ASR系统进行攻击验证了AdvDDoS的有效性，即三个API服务（阿里巴巴、腾讯和百度）和三个个人助手（苹果Siri、讯飞和谷歌）。广泛的实验结果表明了AdvDDoS的优越性。例如，AdvDDoS对腾讯ASR API的通用攻击实现了83.26%的词错误率（WER）和53.25%的攻击成功率（SRoA），在WER上比普通UAP高出61.56%，在SRoA上高出11.6%。我们的攻击成功揭示了针对商业ASR系统的零查询UAP攻击的可能性。

论文链接：https://doi.org/10.1109/TIFS.2023.3283915

40、Adversarial Image Color Transformations in Explicit Color Filter Space

深度神经网络已经显示出对对抗图片存在脆弱性。传统攻击旨在制造与原图难以区分的对抗图片，使用严格限制的扰动。最近，研究人员开始探索可辨识但不可疑的对抗图片，并证明颜色转换攻击是有效的。在这项工作中，我们提出了Adversarial Color Filter (AdvCF)，这是一种优化的颜色转换攻击，根据简单颜色滤镜的参数空间中的梯度信息进行优化。特别地，我们的颜色滤镜空间被明确指定，从而我们能够对模型对抗颜色转换的鲁棒性进行系统分析，从攻击和防御的角度。相比之下，现有的颜色转换攻击由于缺乏明确的空间，无法提供系统分析的机会。我们进一步展示了我们的AdvCF在欺骗图像分类器方面的有效性，并通过广泛的用户研究，比较其与其他颜色转换攻击在抵御防御和图像可接受性方面的鲁棒性。我们还强调了AdvCF的人类可解释性，并展示了其在图像可接受性和效率方面优于最先进的人类可解释性颜色转换攻击。额外的结果提供了关于模型对抗AdvCF在另外三个视觉任务中的鲁棒性的有趣新见解。

论文链接：https://doi.org/10.1109/TIFS.2023.3275057

41、Adversarial Reconfigurable Intelligent Surface Against Physical Layer Key Generation

可重构智能表面（RIS）的发展最近推动了物理层安全（PLS）的研究。RIS的有益影响包括但不限于为无钥匙PLS优化提供新的自由度（DoF），并增加了用于物理层秘钥生成（PL-SKG）的信道随机性。然而，目前缺乏研究来研究对抗性RIS如何被用来攻击并获取由PL-SKG生成的合法秘钥。在这项工作中，我们展示了一个由伊芙控制的对抗性RIS（Eve-RIS），通过在合法信道中插入一个随机和互逆的信道，可以部分重建自合法PL-SKG过程中生成的秘钥。为了实现这一概念，我们设计了针对两种PL-SKG技术的Eve-RIS方案：（i）基于CSI的PL-SKG，和（ii）基于双向交叉乘法的PL-SKG。Eve-RIS上的信道探测通过使用少量射频（RF）链路的压缩感知设计实现。然后，通过最大化Eve-RIS插入的欺骗信道来获得最佳的RIS相位。我们的分析和结果表明，即使是被动RIS，我们提出的Eve-RIS也可以与合法用户实现高匹配率，并对大多数当前的防御方法具有抵抗力。这意味着这种新颖的Eve-RIS对PL-SKG构成了新的窃听威胁，可以激发新的研究领域来应对对抗性RIS的攻击。

论文链接：https://doi.org/10.1109/TIFS.2023.3266705

42、Amplitude-Varying Perturbation for Balancing Privacy and Utility in Federated Learning

在保护联邦学习(FL)的隐私的同时，差分隐私(DP)不可避免地会降低FL的效用（即准确性），这是由于DP噪声添加到模型更新中导致的模型扰动。现有研究仅考虑了具有持续均方振幅的噪声，忽视了调整振幅以减轻噪声不良影响的机会。本文提出了一种具有时间变化噪声振幅的新DP扰动机制，以保护FL的隐私并保留调整学习性能的能力。具体地，我们提出了噪声振幅的几何级数形式，并从分析上揭示了该级数与全局聚合次数和(ϵ,δ)-DP要求的依赖关系。我们推导出该级数的在线细化，以防止由于过多扰动噪声导致FL过早收敛。另一个重要方面是为FL运行新DP机制培训的多层感知器(MLP)的损失函数开发的上限。因此，得到了平衡学习和隐私的最佳全局聚合次数。在四个公共数据集上使用MLP、支持向量机和卷积神经网络模型进行了大量实验。与具有持续噪声振幅的高斯噪声机制相比，新DP机制对隐私保护FL的收敛和准确性的贡献得到证实。

论文链接：https://doi.org/10.1109/TIFS.2023.3258255

43、An Accessional Signature Scheme With Unmalleable Transaction Implementation to Securely Redeem Cryptocurrencies

加密货币的兴趣激增重新激活了具有强安全性的数字签名方案的研究。特别是，签名方案被研究用于抵抗加密货币平台中的可变攻击。然而，由于各种攻击来源的存在，现有的签名方案只能征服部分可变攻击。其他新交易实现的解决方案不能同时避免标准和合同交易上的可变攻击。此外，在快速清算应用程序中，可变攻击变得更加顽固。在本文中，我们提出了SigNT，一种带有不可变事务实现的附加式签名方案。SigNT的关键是用于安全即时确认交易的改进的交互式签名方案。不同于标准签名，这种签名是由所有者和区块生产者生成的。结合几项其他优化（即中间交易的哈希执行和基于密钥的索赔条件），SigNT在标准和合同交易中完全抵御可变攻击。作为示例，我们展示了在比特币中采用“提供押金”协议的实现。安全性分析和比较实验表明，SigNT比以前的可变攻击解决方案具有最好的抵抗能力。此外，它比其他方案表现更优秀。

论文链接：https://doi.org/10.1109/TIFS.2023.3293402

44、An Adaptively Secure and Efficient Data Sharing System for Dynamic User Groups in Cloud

云计算已被广泛接受作为一种计算范式，可以提供按需高质量数据服务。然而，由于云服务提供商和数据所有者不在同一受信任的域中，它容易遭受各种攻击。为了支持数据保密性，现有基于云的系统应用了加密工具，向数据用户发布解密密钥，以控制方式共享数据。然而，细粒度的云数据共享仍面临许多挑战，特别是在处理动态用户组时。在本文中，我们介绍了一个安全高效的基于云的数据共享系统，具有细粒度的访问控制和动态用户组。我们的系统具有以下特点：1）在素数阶群中的自适应安全性，2）对被撤销用户获取之前生成的数据具有前向保密性，3）解密密钥暴露抵抗性，即针对常用解密密钥的妥协。先前的解决方案只集中在上述一个或两个属性上。具体而言，我们引入了两种时间戳管理机制，在每个密文中管理时间戳，以支持具备前向保密性的动态用户组。通过应用提出的时间戳管理机制，我们介绍了两种带有正式定义和安全性分析的属性基础加密方案的新设计。所提出的方案在素数阶群中遵循标准假设，支持解密密钥暴露抵抗性。我们进行了理论分析和实验模拟，以展示我们解决方案的优越性。

论文链接：https://doi.org/10.1109/TIFS.2023.3305870

45、An Attack to One-Tap Authentication Services in Cellular Networks

基于蜂窝网络的一键认证（OTAuth）是由移动网络运营商（MNO）通过独特的通信网关访问技术提供的无密码登录服务。该服务允许应用用户通过其手机号码快速注册或登录，无需输入密码。由于其便利性，OTAuth已被各种应用广泛使用。然而，一些研究详细阐述了从移动安全的角度看，OTAuth服务存在很大缺陷，并确定了几种存在缺陷的设计，使得MNO无法区分恶意应用与正常应用，导致冒充攻击。在本文中，我们进一步分析了基于4G和5G蜂窝网络的OTAuth服务，并专注于两个重要流程，蜂窝网络在其中对OTAuth服务发挥重要作用。毫不奇怪，我们发现了一个新的基本设计缺陷，即确定运行环境是否支持OTAuth服务。此外，我们提出了一种成熟的攻击范式，通过利用这一缺陷，允许攻击者将一个应用登录或注册为受害者。为了评估攻击的影响，我们检查了中国三家主流MNO的100/90/100款安卓/iOS/HarmonyOS应用程序的OTAuth服务。实验结果显示，我们提出的攻击几乎适用于所有支持OTAuth服务的应用程序，并影响更多应用程序，比之前报道的攻击更为严重。最后，我们提出了几种抵御攻击的对策。值得注意的是，出于安全考虑，我们已向授权方报告了我们的发现，并获得了他们的确认。

论文链接：https://doi.org/10.1109/TIFS.2023.3304840

46、An Efficient Privacy-Enhancing Cross-Silo Federated Learning and Applications for False Data Injection Attack Detection in Smart Grids

联邦学习是一种重要的机器学习范式，通过允许客户端在本地存储原始数据，并仅将本地模型参数传输到聚合服务器以共同训练共享全局模型，有助于解决数据隐私问题。然而，联邦学习容易受到不诚实的聚合器的推断攻击，后者可以从模型参数中推断出有关客户端训练数据的信息。为了解决这个问题，文献中提出的大多数方案要么需要一个未串通的服务器设置、一个可信的第三方来计算主密钥，要么需要一个仍然在计算聚合模型的多次迭代中效率低下的安全多方计算协议。在这项工作中，我们提出了一种高效的跨碎片联邦学习方案，具有较强的隐私保护。通过设计一个双层加密方案，无需计算离散对数，仅在建立阶段和参与者重新加入时利用秘密共享，并通过并行计算加速计算性能，我们实现了一种高效的隐私保护联邦学习协议，还允许客户端在训练过程中退出和重新加入。所提出的方案在理论上和实证上均证明提供了针对诚实但好奇的聚合服务器的可证明隐私，并同时实现了理想的模型效用。该方案应用于智能电网中的虚假数据注入攻击检测（FDIA）。这是一种比现有作品更安全的跨碎片FDIA联邦学习，能够抵御本地私有数据推断攻击。

论文链接：https://doi.org/10.1109/TIFS.2023.3267892

47、An Evaluation Method of the Anti-Modeling-Attack Capability of PUFs

物理不可克隆函数（PUF）被认为是硬件系统的信任根源。然而，它容易受到基于机器学习（ML）算法的建模攻击的影响。因此，近年来学术界和工业界对抗建模攻击PUF非常关注。实际上，给定PUF的安全性是在相关攻击之后评估的。然而，这些评估方法并不有助于PUF设计，因为PUF结构与抗建模攻击能力之间的关系并未明确建立。本文提出了一种基于模仿攻击和概率近似正确（PAC）理论的PUF安全评估方法。PUF的抗建模攻击能力通过评估曲线所围成的相应区域来衡量。通过提出的方法对包含不同大小的二十种代表性PUF进行评估。研究表明，所提出的方法是有效的，因为评估结果与设计实践中相应PUF的建模攻击困难程度一致。评估结果有助于PUF设计。

论文链接：https://doi.org/10.1109/TIFS.2023.3254434

48、An Identity-Based Proxy Re-Encryption Scheme With Single-Hop Conditional Delegation and Multi-Hop Ciphertext Evolution for Secure Cloud Data Sharing

代理重加密（PRE）为需要高效且安全的密文转换的应用提供了一种有前景的解决方案，如安全云数据共享。虽然在涉及密钥更新的一些长期方案中，带有密文演变功能的解决方案更具吸引力。最近，姚等人构建了一种支持授权和密文演变的基于身份的条件代理重加密方案。然而，其委托密文可以被重新授权，这可能导致授权超出原始委托者的预期。相比之下，单跳PRE授权方案可能更适合需要更好控制授权的系统。本文提出了一种带有单跳条件委托和多跳密文演变（IBPRE-SHCD-MHCE）的基于身份的代理重加密方案。同时给出了其描述、构建和安全分析。分析和实验比较结果表明，与两个基础方案相比，该方案提高了计算效率和存储消耗。

论文链接：https://doi.org/10.1109/TIFS.2023.3282577

49、Analysis and Utilization of Hidden Information in Model Inversion Attacks

深度学习的广泛应用引发了对深度神经网络隐私问题的担忧。模型逆推攻击旨在从给定的神经网络中重建每个私人训练样本的特定细节。然而，由于有用信息的可用性受限，重建独特的私人训练样本仍有很长的路要走。本文利用信息熵研究了重建独特私人训练样本的要求。我们发现重建独特样本需要更多的信息，并提出利用通常被忽视的隐藏信息来实现这一目标。为了更好地利用这些信息，我们提出了Amplified-MIA。在Amplified-MIA中，一个非线性放大层被插入到目标网络和攻击网络之间。这个非线性放大层进一步包含一个非线性放大函数。给出了非线性放大函数的定义，并推导了这个非线性放大函数对隐藏信息熵的影响。所提出的非线性放大函数可以放大小的预测向量条目，并扩大同一类别中不同预测向量之间的差异。因此，攻击网络可以更好地利用隐藏信息，并重构独特的私人样本。进行了各种实验，以经验性地分析非线性放大函数对重建结果的影响。在三个不同数据集上的重建结果显示，所提出的Amplified-MIA在几乎所有任务上表现优于现有作品。特别是，在最困难的面部重建任务上，它的像素准确性得分较直接逆转方法提高了高达68％。

论文链接：https://doi.org/10.1109/TIFS.2023.3295942

50、Analysis of ENF Signal Extraction From Videos Acquired by Rolling Shutters

电网频率（ENF）分析是一种有前途的法庭技术，用于认证多媒体录音并检测篡改。ENF分析的有效性严重依赖于从多媒体录音中提取高质量的ENF信号的能力。本文分析并比较了两种代表性方法，用于从通过滚动快门机制获得的摄像机拍摄的视觉信号中提取ENF信号。在先前的工作中提出了的第一种方法，“直接连接”，忽略了每帧的空闲期。本文提出的第二种方法，“周期归零”，在缺失的采样点处插入零而不是忽略空闲期。我们的多速率信号处理的理论分析揭示，实验证实第一种方法可以在不知道摄像机读出时间的确切值的情况下提取ENF信号，但对提取的ENF信号存在一些轻微的失真。相比之下，第二种方法将读出时间视为额外输入，能够提取无失真的ENF信号，并且其频率分量的最强度总是位于名义频率处。此外，我们研究了由这两种方法引起的混叠的直流和负ENF分量，并显示它们对频率估计的准确性影响最小。本文促进了从视频中提取ENF信号的基础理解。研究结果暗示，周期归零法提供了更准确的频率估计，但性能改善是适度的。

论文链接：https://doi.org/10.1109/TIFS.2023.3287132

51、Answering Count Queries for Genomic Data With Perfect Privacy

在这篇论文中，我们考虑了解决基因组数据的计数查询问题，受到完全隐私约束的限制。计数查询通常用于从生物医学数据库中收集聚合（整体）信息用于分析，例如全基因组关联研究。我们的目标是设计用于回答以下形式的计数查询的机制：

在数据库中有多少用户在他们的基因组的某些位置具有特定的基因型集合？

同时，我们的目标是在预先指定的一组秘密位置上实现敏感基因型的完全隐私（零信息泄露）。敏感基因型可能指的是罕见疾病和/或其他想要保密的健康特征。我们为上述问题提出了既可以实现敏感基因型完全信息理论隐私又可以最小化查询答案的期望绝对误差（或者每个用户的错误概率，取决于设置）的本地和中央计数查询机制。我们还推导出了一个任意查询回答机制的每个用户错误概率的下限，该机制满足完全隐私。我们展示了我们的机制实现了接近下限的错误率，并且在一些特殊情况下与下限匹配。我们数字化展示了每种机制的性能取决于数据先验分布，查询和敏感基因型之间的交集，以及基因组数据序列中相关性的强度。

论文链接：https://doi.org/10.1109/TIFS.2023.3288812

52、Anti-Jamming Games in Multi-Band Wireless Ad Hoc Networks

针对多用户多频段无线自组网，研究了用户和干扰者之间的反干扰博弈。在这个游戏中，用户（干扰者）希望最大化（最小化）用户的预期奖励，考虑到通信速率、跳频成本和干扰损失等各种因素。我们分析了游戏的军备竞赛，并基于马尔可夫决策过程（MDP）在军备竞赛的每个阶段推导出最优的频率跳频策略。通过分析表明，军备竞赛在几轮后达到平衡，并对平衡时的频率跳频策略和干扰策略进行了表征。我们提出了两种碰撞避免协议，以确保每个频段最多只有一个用户在通信，同时提供了各种数字结果，展示了奖励参数和碰撞避免协议对最优频率跳频策略和平衡时的预期奖励的影响。此外，我们还讨论了当干扰者采用一些不可预测的干扰策略时的平衡情况。

论文链接：https://doi.org/10.1109/TIFS.2022.3227422

53、Application of a Dynamic Line Graph Neural Network for Intrusion Detection With Semisupervised Learning

深度学习（DL）通过有效的统计网络特征提升了二进制异常检测能力；然而，入侵类别区分性能仍然不足。有两个相关的挑战尚未完全探索。1）过分强调统计攻击特征，忽略了固有的攻击拓扑结构；从整个流量中提取序列特征，但很少考虑每个IP对随时间的相互作用演变，比如在长短期记忆（LSTM）和门控递归单元（GRUs）中。2）在大规模、复杂和异构网络中，满足许多高质量标记数据样本的需求是一项昂贵和费时的任务。为了解决这些问题，我们提出了一种基于动态线图神经网络（DLGNN）的半监督学习入侵检测方法。我们的模型将网络流量转换为一系列时空图。动态图神经网络（DGNN）用于从每个离散快照中提取空间信息，并通过连续快照捕获IP对之间通信的上下文演变。此外，线图实现了与网络通信对应的边嵌入表达，并增强了图卷积的消息聚合能力。对6个新数据集的实验表明，我们的方法在异常检测方面的准确率达到了98.15％至99.8％，并使用更少的标记样本。同时，在多类性能方面达到了最先进水平，例如，6个数据集中对DDoS的平均检测准确率达到了95.32％。

论文链接：https://doi.org/10.1109/TIFS.2022.3228493

54、Asymptotic Nash Equilibrium for the M-Ary Sequential Adversarial Hypothesis Testing Game

在这篇论文中，我们考虑了一个新颖的 

M 

元顺序假设检验问题，其中存在一个对手并扰乱样本的分布，使得决策者在观察之前无法获得准确信息。这个问题被形式化为一个在决策者和对手之间进行的顺序对抗假设检验游戏。这个游戏是一个零和博弈。我们假设对手在所有的假设下都是活跃的，且知道观察样本的底层分布。我们采取这个框架是因为从决策者角度来看，这是最坏的情况。决策者的目标是最小化停止时间的期望，以确保测试尽可能高效；而对手的目标相反，是最大化停止时间。我们导出了一对策略，这对策略能够达到游戏的渐近纳什平衡。我们还考虑了对手不知道底层假设的情况，因此被限制为无论哪种假设生效都要应用相同的策略。数值结果证实了我们的理论发现。

论文链接：https://doi.org/10.1109/TIFS.2022.3231095

55、Attacking (and Defending) the Maritime Radar System

雷达设备的操作是航海员用来获取周围环境情况的关键设施之一。随着对始终运行的物流和更紧密的航运时间表需求不断增加，操作员更多地依赖计算机化仪器和它们的指示。因此，现代船舶已成为复杂的网络物理系统，其中传感器和计算机不断进行通信和协调。在这项工作中，我们讨论了与雷达系统相关的新威胁，雷达系统是船舶中最安全敏感的组件之一。具体来说，我们首先讨论了一些能够破坏雷达系统显示数据完整性的新攻击，可能对船员的环境意识或安全造成灾难性影响。然后，我们提出了一个检测系统，用于突出雷达视频传输中的异常，无需对目标船舶配置进行修改。最后，我们通过在模拟环境中执行攻击来激励我们的检测系统。实验结果表明，这些攻击是可行的，容易实施，难以检测。此外，它们证明了建议的检测技术的有效性。

论文链接：https://doi.org/10.1109/TIFS.2023.3282132

56、Attacking Mouse Dynamics Authentication Using Novel Wasserstein Conditional DCGAN

行为生物识别是一种新兴趋势，由于其成本效益和支持远程访问进行用户识别的非侵入性实现。特别是在当前社交距离和居家工作安排的情况下，网络考勤成为首选，而不是实际出席。在这项工作中，我们通过模仿合法用户的鼠标操作序列，探讨了鼠标动态身份验证的局限性。具体而言，为了达到这个目的，我们开发了一种新颖的生成式WC-DCGAN模型，用于生成高度准确的虚假用户操作序列。我们将WC-DCGAN应用于这个问题，并展示它会导致目标分类器被欺骗，将诈骗者误认为合法用户。WC-DCGAN具有多个优点，包括：实现主导收敛，因此暗示着解的存在和最优鉴别器，无论数据和生成器分布如何；以及作为一个无监督模型，适用于固定的类标签和生成器。我们进行了实验来验证这些观点。随后，我们分析了错误分类的原因，并提出了一种新颖的鼠标动态策略，提供了更严格的认证，并显著减少了错误分类事件。

论文链接：https://doi.org/10.1109/TIFS.2023.3245418

57、Attacks on Acceleration-Based Secure Device Pairing With Automatic Visual Tracking

在一种基于加速度的安全设备配对（SDP）方案中，两个未经身份验证的设备持续测量自己的加速度。如果它们的测量值相似度足够高，设备将建立一个安全的通信通道，假设任何攻击者很难实时估计它们的测量值。本文证明了这个假设不成立，并进一步提出了对基于加速度的SDP方案的有效中间人（MitM）攻击。换句话说，中间人对手能够利用自动视觉跟踪技术快速估计目标设备的加速度测量值，然后通过冒充具有估计测量值的目标设备来破坏设备的通信通道。该攻击在室内和室外环境中对基于加速度的SDP方案进行了广泛评估。评估结果显示，在实时情况下可以高精度地估计设备的加速度。因此，目前的中间人攻击实际上可以击败基于加速度的SDP方案。

论文链接：https://doi.org/10.1109/TIFS.2023.3290495

58、Attention-Aware Dual-Stream Network for Multimodal Face Anti-Spoofing

自从使用3D相机的人脸识别系统迅速发展以来，公众对这些设备的安全规定要求很高。作为一个紧密相关的话题，多模态人脸防欺骗（FAS）已成为人脸识别系统不可或缺的部分。然而，现有的多模态FAS工具在外部低光条件下存在性能下降和融合特征表示能力不足等问题。为解决这些问题，我们提出了一种使用3D相机（即IR+深度）的注意力感知双流融合方法，考虑了细粒度和全局特征。具体而言，我们引入了一个利用深度图生成器来获取稳健且具有辨识性的表示的表面法线生成器。然后，我们利用注意力机制将每个流分成两个分支。第一个分支探索不同模态之间的互补全局信息，而第二个分支从每种模态中捕获微妙和局部特征。该系统将多模态FAS视为一个细粒度分类问题。此外，为了确保图像中的局部区域不重叠且属于相同类别，开发了一个联合损失函数，并证明可以进一步提升FAS的性能。我们在各种多模态数据库上广泛评估了我们提出的策略，结果显示与当前最先进的多模态方法相比，我们的框架实现了卓越的性能。

论文链接：https://doi.org/10.1109/TIFS.2023.3293423

59、Audio Splicing Detection and Localization Based on Acquisition Device Traces

近年来，多媒体取证界致力于开发解决方案，用于评估多媒体对象的完整性和真实性，特别关注通过先进的深度学习技术应用的篡改。然而，除了深度伪造等复杂伪造外，仍存在非常简单但有效的篡改技术，不涉及任何使用尖端编辑工具的情况，并且证明是危险的。这就是针对语音信号的音频拼接，即将从不同人物的不同录音中获得的多个语音片段连接和组合起来，以发表新的虚假演讲。事实上，仅仅在现有讲话中添加几个词语就可以完全改变其含义。在这项工作中，我们解决了被忽视的问题，即检测和定位来自不同获取设备模型的音频拼接。我们的目标是确定正在分析的音频轨道是原始的，还是已经通过从不同设备模型获得的一段或多段拼接进行了篡改。此外，如果检测到录音已经进行了拼接，我们将确定修改是在时间维度中的哪个点引入的。所提出的方法基于卷积神经网络（CNN），该网络从音频录音中提取出特定于模型的特征。提取特征后，我们通过聚类算法确定是否存在篡改。最后，我们通过一种距离测量技术确定修改是在何处引入的。这种方法允许检测和定位录音中的多个拼接点。

论文链接：https://doi.org/10.1109/TIFS.2023.3293415

60、Authenticable Data Analytics Over Encrypted Data in the Cloud

加密数据的统计分析需要完全同态加密（FHE）方案。然而，大量的计算开销使FHE变得不切实际。在本文中，我们提出了一种新方法，用于在加密数据库上实现隐私保护的统计分析。这项工作的主要思想是构建一个隐私保护计算器，用于计算属性的计数值以便进行后续的统计分析。为了验证这些加密的计数值，我们采用了一个可验证的加性同态加密方案来构建计算器。我们形式化了一个具有广播和加性同态性质的可验证隐私保护计算器的概念。此外，我们提出了一种基于二进制向量的密码系统，以实现对加密数据进行复杂逻辑表达式的统计分析。借助于所提出的加密计算器，我们设计了几个用于统计分析的协议，包括合取、析取和复杂逻辑表达式，以实现更复杂的统计功能。实验结果表明，所提出的方案是可行且实用的。

论文链接：https://doi.org/10.1109/TIFS.2023.3256132

61、BPVSE: Publicly Verifiable Searchable Encryption for Cloud-Assisted Electronic Health Records

云辅助电子健康记录（EHRs）通过在云中存储和分析医疗数据记录为患者提供了方便的医疗服务，但在云中搜索敏感数据（例如身份、病历）与隐私保护要求相冲突。可搜索加密（SE）是解决这一冲突的良好密码原语，它允许用户将其加密数据存储在云中，并在加密域中稍后搜索。然而，大多数现有SE方案在云辅助EHRs中的直接应用可能会导致挑战，例如在功能性、安全性和效率方面。在本文中，我们提出了BPVSE，一种新的可验证和动态SE方案，用于云辅助EHR。BPVSE相对于现有方法具有以下优势。首先，借助区块链和哈希证明链，BPVSE允许用户在无需信任机构的情况下公开验证云返回的搜索结果。其次，BPVSE支持具有前向和后向安全性的动态数据集，使用我们新设计的隐藏数据结构。第三，BPVSE使用户能够使用高效的加密启动并行搜索。我们正式证明了所提出的BPVSE的安全性，并进行了理论比较和实验评估，以展示其在功能性、安全性和效率方面的优越性。

论文链接：https://doi.org/10.1109/TIFS.2023.3275750

62、Binarizing Split Learning for Data Privacy Enhancement and Computation Reduction

分裂学习（SL）通过允许客户端与服务器协作训练深度学习模型，同时不共享原始数据，实现了数据隐私保护。然而，SL仍然存在一些限制，比如潜在的数据隐私泄露和客户端的高计算要求。在本文中，我们提出对SL本地层进行二值化，以加快计算速度（在移动设备上训练和推理阶段的前向传播时间最多减少17.5倍），减少内存使用（内存和带宽需求最多减少32倍）。更重要的是，二值化的SL（B-SL）模型可以减少SL压缩数据中的隐私泄漏，而仅对模型准确性进行轻微降级。为了进一步增强隐私保护，我们还提出了两种新颖的方法：1）使用额外的本地泄漏损失进行训练，2）应用差分隐私，这两种方法可以单独或同时集成到B-SL模型中。使用不同数据集的实验证实了与几种基准模型相比，B-SL模型的好处。还展示了B-SL模型对特征空间劫持攻击（FSHA）的有效性。我们的结果表明，B-SL模型在移动医疗应用等对隐私保护要求高的轻量级IoT/移动应用中具有潜力。

论文链接：https://doi.org/10.1109/TIFS.2023.3274391

63、Biometric Template Protection for Neural-Network-Based Face Recognition Systems: A Survey of Methods and Evaluation Techniques

随着自动人脸识别应用不断普及，保护这些系统中使用的敏感人脸数据的需求正在增长。本文介绍了针对基于神经网络的人脸识别系统中保护人脸“模板”（图像/特征）所提出的生物特征模板保护（BTP）方法的调查。BTP方法分为两种类型：非神经网络和由神经网络学习的。非神经网络方法使用神经网络（NN）作为特征提取器，但BTP部分基于应用于图像级或特征级的非神经网络算法。相反，由神经网络学习的方法特别利用神经网络从未受保护的人脸图像/特征中学习受保护的模板。我们从文献中提供了非神经网络和由神经网络学习的人脸BTP方法的示例，并讨论了这两种类别的优势和劣势。我们还调查了评估这些BTP方法所使用的技术，就三个最常见的BTP标准而言：“识别准确性”，“不可逆转性”和“可更新性/不可关联性”。正如预期的那样，受保护的人脸识别系统的识别准确性通常使用与评估标准（未受保护）生物特征系统相同的（经验性）技术进行评估。相反，大多数不可逆转性和可更新性/不可关联性评估发现是基于理论假设/估计或口头暗示，缺乏在实际人脸识别情境中的经验验证。因此，我们建议更加关注经验性评估策略，以提供更具体的洞察力，了解人脸BTP方法在实践中的不可逆转性和可更新性/不可关联性。此外，在公开提供其实施代码和评估数据集/程序方面探索所研究的BTP作品的可重现性，目前发现对BTP社区来说要忠实复制（从而验证）大多数报告结果可能会有困难。因此，我们主张朝着可重现性方向努力，希望进一步推动对人脸BTP研究领域的理解。

论文链接：https://doi.org/10.1109/TIFS.2022.3228494

64、Bitsliced Implementation of Non-Algebraic 8×8 Cryptographic S-Boxes Using ×86-64 Processor SIMD Instructions

这篇文章专注于随机生成的8×8 S-盒块密码的软件比特切片实现，重点关注在×86-64处理器上使用来自SSE、AVX和AVX-512扩展的逻辑SIMD指令。提出了一种启发式算法，用于在三种逻辑基础上最小化非代数S-盒：通用—基于逻辑指令AND、OR、XOR、NOT，可以在任何8/16/32/64位处理器上实现；扩展—基于指令AND、OR、XOR、NOT、AND-NOT，可以在×86-64处理器上实现；三元—基于三元逻辑指令，用于在具有AVX-512支持的×86-64处理器上实现。在这些逻辑基础上，非代数S-盒的比特切片表示平均需要分别400/380/200个逻辑指令。通过使用逻辑指令SSE/AVX/AVX-512在Intel Xeon Skylake-SP处理器上实施S-盒密码“Kalyna”的比特切片实现，并进行了性能测量。提出了一种快速替代方案—基于AVX-512VBMI扩展的非比特切片方法进行SubBytes操作，抵抗定时和缓存攻击。

论文链接：https://doi.org/10.1109/TIFS.2022.3223782

65、Black-Box Dataset Ownership Verification via Backdoor Watermarking

深度学习，特别是深度神经网络（DNNs），已被广泛而成功地应用于许多关键应用领域，因为它高效且有效。DNNs的快速发展得益于一些高质量的数据集（例如，ImageNet），这些数据集允许研究人员和开发人员轻松验证他们的方法的性能。目前，几乎所有现有发布的数据集要求只能用于学术或教育目的，而非商业用途，未经允许。然而，目前还没有很好的方法来确保这一点。在本文中，我们将已发布数据集的保护定义为验证它们是否用于训练（可疑的）第三方模型，防御者只能查询模型，而不能获得关于其参数和训练细节的信息。基于这个定义，我们建议通过后门水印嵌入外部模式来进行所有权验证以保护它们。我们的方法包括数据集水印和数据集验证两个主要部分。具体来说，我们利用毒物只后门攻击（例如，BadNets）进行数据集水印，并为数据集验证设计了一个以假设检验为导向的方法。我们还对我们的方法进行了一些理论分析。在不同任务的多个基准数据集上进行了实验，验证了我们方法的有效性。可以在https://github.com/THUYimingLi/DVBW 上获取用于复制主要实验的代码。

论文链接：https://doi.org/10.1109/TIFS.2023.3265535

66、Blockchain Mining With Multiple Selfish Miners

本文研究了关于区块链PoW共识安全性的一个基本问题，即多个表现不端的矿工对自私挖矿的盈利能力的影响。每个自私矿工维护一个私有链，并在机会时将其公开，以获取与其Hash算力不成比例的更多奖励。我们首先建立了一个一般的马尔可夫链模型，以表征基本自私挖矿（BSM）公共链和私有链的状态转移，并得出了闭合形式的稳定盈利阈值的结论。理论上，对于两个对称攻击者，从单一攻击者的25％降低到21.48％以下，进一步在实验中降低到约10％的增益阈值。接下来，我们探讨了当一个攻击者基于部分可观察的马尔可夫决策过程（POMDP）进行战略挖矿时的盈利阈值，他对与挖矿状态相关的属性仅有一半是可观察的。尽管状态空间庞大且信念空间维度高，但我们提出了一个在线算法，能够高效地计算出近乎最优的策略。对于战略攻击者来说，盈利阈值要低得多。最后，我们提出了一个绝对挖矿收入的简单模型，得出了一个有趣的观察：自私挖矿在第一个难度调整期间永远不会盈利，而是依赖于将来周期内稳定自私挖矿收益的补偿。攻击者盈利的延迟随其Hash算力减少而增加，使区块链矿工更加谨慎地进行自私挖矿。

论文链接：https://doi.org/10.1109/TIFS.2023.3275736

67、Blockchain-Enabled Authenticated Key Agreement Scheme for Mobile Vehicles-Assisted Precision Agricultural IoT Networks

精准农业在农业行业中具有积极的潜力，可实现节水，提高生产力，促进农村地区发展，增加收入。区块链技术是存储和分享农场数据的更好选择，因为它是可靠的、透明的、不可变的和去中心化的。远程监控农田需要安全系统来确保任何敏感信息只在网络中经过认证的实体之间交换。为此，我们设计了一种高效的区块链认证密钥协议方案，用于移动车辅助的精准农业物联网网络，称为AgroMobiBlock。现有的农业网络中关于认证的研究很有限，通常使用区块链的被动方式且成本很高。AgroMobiBlock提出了一个新颖的想法，利用椭圆曲线在移动农业车辆上进行活跃的混合区块链操作，计算和通信成本低。通过使用自动验证互联网安全协议和应用（AVISPA）软件工具进行形式和非正式安全性分析以及形式安全性验证，已经证明了AgroMobiBlock对于中间人攻击、冒充、重播、物理捕获和瞬态秘密泄漏等其他潜在攻击具有很强的稳健性。基于大规模节点的区块链模拟显示了网络和区块尺寸增加时的计算时间。此外，实时的实验测试已经进行，展示了建议方案的实际有用性。

论文链接：https://doi.org/10.1109/TIFS.2022.3231121

68、Bottlenecks CLUB: Unifying Information-Theoretic Trade-Offs Among Complexity, Leakage, and Utility

瓶颈问题是最近在机器学习和信息理论领域引起越来越多关注的一类重要优化问题。它们被广泛应用于生成模型、公平机器学习算法、设计隐私保障机制，并在各种多用户通信问题中作为信息论性能界限出现。在这项工作中，我们提出了一个通用的优化问题系列，称为复杂性泄漏效用瓶颈（CLUB）模型，该模型(i) 提供了一个统一的理论框架，概括了大部分信息论隐私模型的最新文献，(ii) 建立了对流行生成和判别模型的新解释，(iii) 为生成压缩模型提供新的见解，并且(iv) 可用于获得公平的生成模型。我们首先将CLUB模型制定为一个受复杂性约束的隐私效用优化问题。然后将其与密切相关的瓶颈问题连接起来，即信息瓶颈（IB）、隐私漏斗（PF）、确定性信息瓶颈（DIB）、条件熵瓶颈（CEB）和条件PF（CPF）。我们展示了CLUB模型概括了所有这些问题以及大多数其他信息论隐私模型。然后，通过使用神经网络来参数化相关信息量的变分逼近，构建了深度变分CLUB（DVCLUB）模型。基于这些信息量，我们提出了监督和无监督DVCLUB模型的统一目标。利用DVCLUB模型进行无监督设置，然后将其与最先进的生成模型连接起来，如变分自动编码器（VAE）、生成对抗网络（GAN），以及Wasserstein GAN（WGAN）、Wasserstein自动编码器（WAE）和对抗性自动编码器（AAE）模型，通过最优传输（OT）问题。然后展示了DVCLUB模型还可以用于公平表示学习问题，旨在减轻在机器学习模型训练阶段期间不良偏差。我们在彩色MNIST和CelebA数据集上进行了广泛的定量实验。

论文链接：https://doi.org/10.1109/TIFS.2023.3262112

69、Bounds on the Capacity of Private Information Retrieval Over Graphs

在私人信息检索（PIR）问题中，用户希望从数据库中检索文件，而不向存储数据库的服务器透露所需文件的任何信息。在本文中，我们研究了基于图形复制系统的PIR容量，其中每个文件根据底层图形存储在两个不同的服务器上。本文旨在通过各种图形属性提供图形的PIR容量的上限和下限。特别地，我们提供了适用于所有图形的几个PIR容量上限。我们通过利用底层图形结构，进一步改进了特定图形族的界限（在某些情况下证明是紧致的）。对于下界，我们通过边缘着色技术为星形图建立了最优速率PIR方案。最后，我们为完全图提供了一个改进的PIR方案，暗示了所有图形的PIR容量的改进的一般下界。

论文链接：https://doi.org/10.1109/TIFS.2022.3220034

70、Breaking Free From Entropy’s Shackles: Cosine Distance-Sensitive Error Correction for Reliable Biometric Cryptography

生物特征密码系统为安全认证提供了一个有前途的途径；然而，这类系统的效率和安全性可能会受到生物特征数据错误的影响。为了解决这一挑战，现有系统采用纠错码，但往往没有考虑生物特征来源的分布，可能导致对系统安全性的低估。为了解决这个问题，我们提出了一对新颖的算法，指定为 ENCODE 和 DECODE，它促进了直接从生物特征样本生成码字。我们的方法考虑了生物特征来源的分布，因此相比传统方法提供了对系统安全性更准确的估计。我们提出的算法对生成的码字保持了可解释性，并对原始生物特征样本之间的余弦距离敏感。这种相似性度量尤其适合高维数据分析，使得能够精确评估系统性能。我们已经严格确立了我们算法对的正确性，实验结果说明了在保持余弦距离敏感环境下容忍码字之间距离的功效。这种方法有潜力显著提高生物特征密码系统的效率和安全性，使其更适用于日常加密应用。

论文链接：https://doi.org/10.1109/TIFS.2023.3273919

71、CAN-LOC: Spoofing Detection and Physical Intrusion Localization on an In-Vehicle CAN Bus Based on Deep Features of Voltage Signals

控制器局域网络（CAN）用于车辆设备之间的通信，已经显示出容易受到欺骗攻击的脆弱性。基于电压的欺骗检测（VBS-D）机制被认为是目前最先进的解决方案，它补充了基于加密技术的身份验证，由于CAN协议的消息大小受限，加密技术的安全性受到限制。不幸的是，VBS-D机制容易受到恶意设备对CAN总线进行的破坏攻击，这些设备专门设计用于对已部署的VBS-D机制进行破坏，使其适应车辆移动时发生的环境变化。在本文中，我们使用基于深度学习的机制加固VBS-D机制，该机制在车辆启动时立即运行；这种机制利用物理侧信道来检测和定位物理入侵，即使连接到CAN总线的恶意设备保持沉默。我们在CAN总线原型上展示了该机制的有效性（100%入侵检测准确率和接近0%的误差率），针对不同的物理入侵场景和不同温度下进行了演示。此外，我们提出了一种基于深度学习的VBS-D机制，可以安全地适应环境变化。这种机制的稳健性（99.8%设备识别准确率）已在真实行驶的车辆上进行了演示。

论文链接：https://doi.org/10.1109/TIFS.2023.3297444

72、CBSeq: A Channel-Level Behavior Sequence for Encrypted Malware Traffic Detection

机器学习和神经网络已经成为越来越受欢迎的加密恶意软件流量检测解决方案。它们挖掘和学习复杂的流量模式，通过在恶意软件流量和良性流量之间建立边界来进行检测。与基于签名的方法相比，它们具有更高的可扩展性和灵活性。然而，受到恶意软件频繁变种和更新的影响，当前方法存在较高的误报率，并且对于未知恶意软件流量检测效果不佳。实现有效的恶意软件流量检测仍然是一个关键任务。在本文中，我们介绍了CBSeq来解决上述问题。CBSeq是一种构建稳定流量表示行为序列的方法，用于表征攻击意图并实现恶意软件流量检测。我们新颖地提出了具有相似行为的通道作为检测对象，并提取侧通道内容来构建行为序列。与良性活动不同，恶意软件及其变体流量的行为序列展现出坚实的内部相关性。此外，我们设计了MSFormer，一个强大的基于Transformer的多序列融合分类器。它捕捉了行为序列的内部相似性，从而区分恶意软件流量和良性流量。我们的评估表明，CBSeq在各种已知恶意软件流量检测中表现出有效性，并在未知恶意软件流量检测方面表现出卓越的性能，胜过现有的方法。

论文链接：https://doi.org/10.1109/TIFS.2023.3300521

73、Cache-Based Side-Channel Attack Mitigation for Many-Core Distributed Systems via Dynamic Task Migration

侧信道攻击（SCA）是由于大多数不可避免的信息泄露对加密系统构成严重威胁。基于缓存的SCA利用共享存储系统上缓存固有的时间特性，提取安全关键信息。在本文中，我们提出了一种新颖的方法来减轻基于缓存的SCA对分布式多核系统的影响，该方法基于资源管理技术。我们的解决方案利用动态任务迁移作为确保安全关键应用程序安全执行的机制。此外，我们提出了一种基于资源管理的机制，以确保在迁移不可能的情况下（由于缺乏可用资源）进行安全执行。我们使用Sniper模拟器对不同配置的安全性和性能影响进行评估。结果显示，我们的技术有效地开发了对抗SCA的弹性，同时导致低性能减速（平均1.6％，最差情况下9％）。对于所有测试基准，我们的最坏情况性能减速比最新的对抗措施低20％。此外，我们的解决方案在64核平台上使用不到1毫秒的系统运行时间开销，利用率为100％。

论文链接：https://doi.org/10.1109/TIFS.2023.3266630

74、Categorical Inference Poisoning: Verifiable Defense Against Black-Box DNN Model Stealing Without Constraining Surrogate Data and Query Times

深度神经网络（DNN）模型为广泛的任务提供了强大的解决方案，但开发此类模型的成本并不轻松，这需要有效的模型保护。尽管黑盒分布可以缓解一些威胁，但模型功能仍然可以通过黑盒替代攻击而被窃取。最近的研究表明，替代攻击可以以多种方式发起，而现有的防御方法通常假设攻击者缺乏足够的分布内（ID）数据和受限的攻击策略。在本文中，我们放宽这些限制，假设实际的威胁模型，其中对手不仅拥有足够的ID数据和查询次数，还可以调整受保护模型标记的替代训练数据。然后，我们提出了一个两步分类推理中毒（CIP）框架，其中既有用于性能降级的中毒（PPD），也有用于后门（PBD）的中毒。在第一中毒步骤中，利用基于能量评分（ES）的OOD检测器将传入查询分类为ID和（分布外）OOD，然后进一步将后者分类为高ES和低ES，分别传递给强和弱PPD过程。在第二中毒步骤中，由于一个提出的可靠性评分（RS）测量而检测出困难的ID查询，并传递给PBD。通过这样做，第一步OOD中毒会导致替代模型中的显著性能下降，第二步ID中毒进一步嵌入后门，而两者都可以保持模型的忠实度。广泛的实验证实，CIP不仅可以在防范像KnockoffNets和无数据模型提取（DFME）等最新黑盒替代攻击方面取得有希望的表现，而且可以抵御具有足够ID和欺骗数据的更强攻击，优于现有的动态对抗性水印（DAWN）和欺骗扰动防御方法。PyTorch代码可在https://github.com/Hatins/CIP_master.git获得。

论文链接：https://doi.org/10.1109/TIFS.2023.3244107

75、Collaborative Authentication for 6G Networks: An Edge Intelligence Based Autonomous Approach

无线网络传统设备认证通常依赖于安全服务器和集中式流程，导致延迟长且存在单点故障的风险。虽然这些挑战可能通过协作认证方案得到缓解，但它们的性能仍然受限于数据收集和聚合结果的刚性。它们还往往忽略了协作认证过程中的攻击者定位。为了克服这些挑战，提出了一种新颖的协作认证方案，其中多个边缘设备充当合作伙伴，帮助服务提供商通过估算其用户的接收信号强度指示器（RSSI）和移动轨迹（TRA）来进行分布式认证。更具体地说，提出了一种基于分布式学习的协作认证算法，其中合作伙伴在本地更新其认证模型，从而网络拥塞和响应时间保持低水平。此外，在动态环境中提出了一个情境感知安全组更新算法，用于自主刷新合作伙伴集合。我们还开发了一种算法，通过合作伙伴定位恶意用户一旦它被识别出来。模拟结果表明，所提出的方案非常适合室内和室外通信场景，并且胜过一些现有的基准方案。

论文链接：https://doi.org/10.1109/TIFS.2023.3263636

76、Collaborative Sampling for Partial Multi-Dimensional Value Collection Under Local Differential Privacy

在大数据时代，公司和组织都热衷于收集用户数据并分析他们的行为模式，以便做出决策或预测获利。然而，这种做法会损害用户的隐私，因为收集到的数据可能非常敏感且易于泄露。为了解决隐私问题，本地差分隐私（LDP）已被提出，用于不信任的数据收集者获取统计信息而不损害用户隐私。大多数针对LDP的研究假定所有用户都会全力合作并贡献数据收集过程，因此收集的数据集是完整的。然而，在实践中，特别是当用户数量庞大时，这种假设很少成立，因为存在通信丢失、用户不响应或不愿意以及不完整的用户端数据。不幸的是，像GRR、OUE和OLH等最先进的基于LDP的数据收集方案无法有效处理部分数据收集。在本文中，我们提出协同抽样来解决多维设置中的部分数据收集问题。多亏了一个两阶段机制，我们可以为每个维度确定最佳采样率。在估计频率的方差方面，我们表明和证明了这种最佳性。此外，协同抽样是通用的，可以在GRR、OUE和OLH中使用，只需进行最小的调整。通过实验结果，我们展示了协同抽样在部分多维数据收集方面优于现有的主流数据收集方案。

论文链接：https://doi.org/10.1109/TIFS.2023.3289007

77、Comment on “Secure and Lightweight Conditional Privacy-Preserving Authentication for Securing Traffic Emergency Messages in VANETs”

在上述论文中，魏等人提出了一种轻量级的有条件隐私保护认证协议，用于在VANET中实现超低传输延迟和SSK更新。为了减少通信开销，他们的方案采用了带消息恢复的签名方案来实现消息认证。他们声称所采用的签名方案可以抵抗自适应选择的消息攻击，并给出了详细的安全证明。不幸的是，在这项工作中，通过分析魏等人方案的安全性，我们表明他们的方案是不安全的，可以被普遍伪造，即任何人都可以在任何消息上伪造一个有效的签名；这也使得他们的方案不符合有条件的隐私保护。最后，在分析攻击产生的原因后，我们提出了相应的建议来克服这些攻击。

论文链接：https://doi.org/10.1109/TIFS.2021.3066277

78、Comments on "An Efficient Identity-Based Provable Data Possession Protocol with Compressed Cloud Storage"

本文探讨了一个基于身份的可证明数据拥有协议与压缩云存储（Yang等人，2022年）的一些安全性问题。发现了一些严重的缺陷，并设计了一个针对该协议的攻击。这种攻击能够高概率地从两个加密块中恢复临时密钥，从而完全揭示原始明文文件。此外，攻击者可以冒充数据所有者以恶意方式将任何文件外包给云端。攻击的主要要素是一些经典的数论结果。

论文链接：https://doi.org/10.1109/TIFS.2023.3271272

79、Comments on “Privacy-Enhanced Federated Learning Against Poisoning Adversaries”

刘等人（2021）最近提出了一种名为PEFL的隐私增强框架，可使用同态加密来有效检测联邦学习（FL）中的投毒行为。本文中，我们显示PEFL未能保护隐私。具体而言，我们说明PEFL向参与实体之一明文透露了所有用户的整个梯度向量，从而违反了隐私。此外，我们明确指出，针对这个问题的即时修复仍然不足以实现隐私，因为我们指出了所提出系统中的多个缺陷。

论文链接：https://doi.org/10.1109/TIFS.2023.3238544

80、Commitments via Physically Related Functions

承诺方案是构建多方计算安全协议的基本构建模块之一。许多最近的工作正在探索硬件基元，如物理不可克隆功能，以建立无需密钥的加密协议，且基于最少假设。PUFs的非对称性质和不可逆性质被广泛利用来构建包含位承诺方案在内的遗忘传输协议。然而，这些方案需要在交互方之间进行PUF设备的物理传输。在本研究中，我们介绍了一种称为物理相关函数的新型基于硬件的基元，使硬件电路能够在不安全信道上安全地相互通信。我们提出了基于这种硬件基元的位承诺方案，无需任何物理传输。我们的方案在统计上隐藏且在计算上绑定，只需一轮通信即可实现实际部署。我们探讨了物理相关函数的安全属性，在此基础上证明了我们方案的安全性。实验证明，几乎不可能以高概率破解该方案的安全性。

论文链接：https://doi.org/10.1109/TIFS.2023.3243495

81、Comprehensive Android Malware Detection Based on Federated Learning Architecture

Android恶意软件及其变种是移动平台的主要挑战。然而，现有检测方法存在两个主要问题：

a）检测方法缺乏对Android恶意软件的进化能力，导致恶意软件及其变种的检测模型检测率低。

b）传统检测方法需要集中数据进行模型训练，然而，由于恶意软件的传染性和不断增长的数据隐私问题，训练样本的聚合受到限制，集中式检测方法难以应用于实际检测场景。在本文中，我们提出了一种基于联邦学习架构的综合Android恶意软件检测方法FEDriod，可以防止不断增长的Android恶意软件或新出现的Android恶意软件变种。具体而言，我们采用遗传进化策略模拟Android恶意软件的演化，并从典型Android恶意软件中开发潜在的恶意软件变种。然后，我们基于残差神经网络定制Android恶意软件检测模型，以实现高检测准确率。最后，为了保护敏感数据，我们开发了一个联邦学习框架，允许多个Android恶意软件检测机构共同构建一个综合的Android恶意软件检测模型。我们在CIC、Drebin和Contagio权威数据集上全面评估了FEDriod的性能。实验结果显示，我们的本地模型优于所有基准分类器。在联邦场景中，我们提出的方法优于最先进的检测方法，尤其在跨数据集评估中，FEDriod的F1为98.53%。更重要的是，我们在Drebin数据集上进行了遗传演化实验，结果显示我们提出的方法具有检测Android恶意软件变种的能力。

论文链接：https://doi.org/10.1109/TIFS.2023.3287395

82、Comprehensive Study in Open-Set Iris Presentation Attack Detection

虹膜识别中对演示攻击检测（PAD）的研究已经大部分超出了在“封闭集”场景下的评估，而是强调其能够推广到在训练数据中不存在的演示攻击类型。本文对开放式虹膜PAD的最新技术进行了理解和拓展，并提供了多项贡献。首先，它描述了迄今为止对虹膜PAD最权威的评估。我们整理了这一问题中最大的公开可用图像数据集，汇集了先前由各个团体发布的26个基准测试，并在本文发布时增加了15万张图片，以创建一组共45万张图片，代表真实虹膜和七种演示攻击工具（PAI）。我们制定了一个留一法PAI评估协议，并展示了即使在封闭集评估中表现最佳的算法在开放式情景中也会出现多种攻击类型的灾难性失败。这包括在最近的LivDet-Iris 2020竞赛中表现良好的算法，可能是因为LivDet-Iris协议强调封存图像而不是未知的攻击类型。其次，我们评估了当今可用的五种开源虹膜演示攻击算法的准确性，其中一种是本文新提出的，并建立了一个集成方法，其胜出者比LivDet-Iris 2020的获胜者有着显着的优势。本文证明了当所有PAIs在训练期间都是已知的情况下，封闭式虹膜PAD是一个已解决的问题，多种算法显示出非常高的准确性，而当正确评估时，开放式虹膜PAD还远未解决。这个新创建的数据集、新的开源算法和评估协议，所有这些都是随本文公开发布的，为研究人员提供了用于衡量此重要问题进展的实验性工件。

论文链接：https://doi.org/10.1109/TIFS.2023.3274477

83、Consistency Regularization for Deep Face Anti-Spoofing

面部反欺诈（FAS）在保护人脸识别系统方面发挥着至关重要的作用。经验上，对于给定的图像，模型在不同视角（即增强）上具有更一致的输出通常表现更好。受到这一令人振奋的发现的启发，我们推测鼓励不同视图之间的特征一致性可能是提升FAS模型的一种有前途的途径。在本文中，我们通过在FAS中增强嵌入层和预测层的一致性规范（EPCR），全面探索了这种方式。具体来说，在嵌入层上，我们设计了一种密集的相似性损失，以自监督的方式最大化两个中间特征图的所有位置之间的相似性；而在预测级别上，我们优化了两个视图的预测之间的均方误差。值得注意的是，我们的EPCR无需注释，可以直接集成到半监督学习方案中。考虑到不同的应用场景，我们进一步设计了五种不同的半监督协议，用于衡量半监督FAS技术。我们进行了大量实验，表明EPCR可以显著提高基准数据集上几种受监督和半监督任务的性能。代码和协议可以在以下链接找到：https://github.com/clks-wzz/EPCR。

论文链接：https://doi.org/10.1109/TIFS.2023.3235581

84、Contactless Palmprint Image Recognition Across Smartphones With Self-Paced CycleGAN

无触式掌纹识别是一种新兴的生物特征技术，因其非侵入性和高实用性特点而引起越来越多的关注。尽管它自然适用于移动应用场景，但以下两个挑战严重限制了其识别性能：1）在训练和测试中使用不一致的采集设备，2）许多主题无法在每个设备上成像，导致数据不完整的问题。为了解决这些问题，我们提出了一种具有自我注重循环生成对抗网络（CycleGAN）和自注意模块的方法，该方法同时合成缺失数据并减轻不同成像设备的影响。具体来说，我们开发了带有自注意模块的CycleGAN，通过有效挖掘样本之间的结构相关性并捕捉跨域特征来生成缺失的训练数据。此外，我们使用人类认知驱动的自我注重学习策略来引导学习稳健的跨域特征表示和识别模型，逐渐将相对容易学习的样本纳入训练过程。为验证所提方法的有效性，我们在使用不同智能手机收集的无触式掌纹数据集上进行实验。结果表明，我们的方法在分类无触式掌纹图像方面优于最先进的方法。

论文链接：https://doi.org/10.1109/TIFS.2023.3301729

85、Content Disarm and Reconstruction of RTF Files a Zero File Trust Methodology

内容消毒和重建（CDR）是一种零信任文件方法论，它积极地从文档和媒体文件中提取威胁攻击向量。尽管有大量强调CDR重要性的文献，但缺乏对CDR工作过程、有效性和缺点的详细讨论。因此，本文介绍了DeepCDR，这是第一个介绍和测量内容消毒和重建验证、预防率以及受到视觉质量影响的CDR系统。对广为人知数据集的新型DeepCDR的有效性表明，它不仅消除了恶意组件，而且重建后的文件也是可用和功能性的。由于CDR依赖于理解文件格式，任何CDR解决方案都应该根据每种受支持文件类型的巨大不同来单独处理。因此，本文重点讨论了常被攻击者利用的RTF（Rich Text Format）文件类型。

论文链接：https://doi.org/10.1109/TIFS.2023.3241480

86、Contextual Measures for Iris Recognition

人类的虹膜图案包含大量随机分布和不规则形状的微观结构。这些微观结构使人类的虹膜成为信息丰富的生物特征。为了从中学习身份表示，本文将每个虹膜区域视为潜在的微结构，并提出了上下文度量（CM）来建模它们之间的相关性。CM采用两个平行分支来学习虹膜图像中的全局和局部上下文。第一个是全局上下文度量分支。它衡量涉及所有区域之间关系的全局上下文，用于特征聚合，同时对局部遮挡具有鲁棒性。此外，我们改进了它的空间感知，考虑到微观结构的位置随机性。另一个是局部上下文度量分支。该分支考虑到局部细节在虹膜图案的表型独特性中的作用，并学习一系列关系原子以从局部角度捕获上下文信息。此外，我们发展了扰动瓶颈，以确保两个分支学习不同的上下文。它引入扰动来限制从输入图像到身份特征的信息流，迫使CM学习识别虹膜识别的歧视性上下文信息。实验结果表明，全局和局部上下文是准确虹膜识别的两个关键线索。在四个基准虹膜数据集上的优越表现证明了所提出方法在同数据库和跨数据库情景下的有效性。

论文链接：https://doi.org/10.1109/TIFS.2022.3221897

87、Covert Communication Gains From Adversary’s Uncertainty of Phase Angles

这项工作研究了智能反射表面（IRS）对复值加性白高斯噪声（AWGN）信道上的相位增益的隐蔽通信。发射机Alice打算通过反射来自无线电频（RF）信源的广播信号向合法接收者Bob发送隐蔽信息，同时使对手Willie的探测器无效。我们的分析表明，与经典AWGN信道的隐蔽容量相比，通过利用Willie对相位角度的不确定性，我们可以实现价值为2的隐蔽增益。当可能的相位角对N=2时，可以实现这种隐蔽增益。更有趣的是，我们的结果显示，隐蔽增益将不会随着N的增加而进一步增加，只要N≥2，即使N趋近于无穷大。

论文链接：https://doi.org/10.1109/TIFS.2023.3272225

88、Covert Communications With Randomly Distributed Adversaries in Wireless Energy Harvesting Enabled D2D Underlaying Cellular Networks

无线能量收集（WEH）技术使得设备对设备（D2D）通信成为一种有效的提高频谱效率和能量效率的技术。然而，D2D用户通常是受电力限制的设备，容易受到对手的监视或攻击。为了在WEH使能的D2D底层蜂窝网络中混淆随机分布的对手，可以使用功率信标（PBs）在空闲时间槽发送干扰信号。时间槽分为两个子槽，即WEH子槽和隐蔽传输子槽。D2D发射机在第一个子时隙中收集的能量用于支持可能在第二个子时隙中的隐蔽传输。所提出的方案的性能通过隐蔽吞吐量来衡量，隐蔽吞吐量定义为满足多个约束条件的D2D通信速率，例如无线能量收集、掩盖性和蜂窝链接通信要求。能量丢失概率、隐蔽概率和期望链接连接丢失概率的封闭形式表达式被导出。最小隐蔽概率用于衡量掩盖性。此外，采用交替优化算法来最大化隐蔽吞吐量。分析结果与蒙特卡洛模拟结果进行比较，以验证分析方法。此外，评估了不同参数（例如PBs密度和隐蔽信号传输功率）对隐蔽性能的影响。

论文链接：https://doi.org/10.1109/TIFS.2023.3307931

89、Cross-Chain Virtual Payment Channels

随着近年来出现了无数独立的区块链系统，跨链交易引起了相当大的关注，行业和学术界提出了许多解决方案。然而，大多数现有的解决方案都存在集中化或可伸缩性问题。为了缓解这些问题，在本文中，我们提出了跨链虚拟支付通道的概念，允许不同区块链系统中的两个用户借助中间节点进行无限制的链下交易，从而解决了集中化和可伸缩性问题。此外，由于中间节点仅参与通道的开启和关闭操作，它进一步提高了跨链交易的效率，甚至在一定程度上增强了跨链交易的隐私性。同时，我们还提出了第一个具体的跨链虚拟支付通道方案，该方案只需要一个支持图灵完备脚本语言的区块链系统。在通用可组合性框架中的相应详细安全分析表明，我们的提议在开放、更新和关闭上达成了共识。最后，我们在以太坊和比特币测试网络上实施和部署了我们的跨链虚拟支付通道方案。广泛的实验结果显示，我们的提议显著提高了跨链交易的效率，并且随着交易数量的增加，优势变得更加显著。

论文链接：https://doi.org/10.1109/TIFS.2023.3281064

90、CrowdFA: A Privacy-Preserving Mobile Crowdsensing Paradigm via Federated Analytics

移动众包感知（MCS）系统通常很难同时解决数据聚合、激励设计和隐私保护的挑战。然而，现有的解决方案通常只关注其中一个或两个问题。为此，本文提出了CROWD FA，这是一种通过联邦分析（FA）实现隐私保护的MCS新范式，旨在实现一个全面的解决方案，涵盖数据聚合、激励设计和隐私保护。具体而言，受FA的启发，CROWD FA启动了一种MCS计算范式，可以实现数据聚合和激励设计。参与者可以通过CROWD FA在本地数据上执行聚合操作，支持各种常见的数据聚合操作和竞标激励。为了解决隐私问题，CROWD FA仅依赖一种称为加法秘密共享的高效加密原语，同时实现隐私保护的数据聚合和隐私保护的激励。为实现CROWD FA，本文提出了一种基于CROWD FA的隐私保护数据聚合方案（PRADA），能够支持各种数据聚合操作。此外，设计了一种基于CROWD FA的隐私保护激励机制（PRAED），以确保每个参与者都获得真实和公平的激励，同时最大化其个人收益。理论分析和实验评估表明，CROWD FA在有效聚合感知数据的同时保护参与者的数据和竞标隐私。值得注意的是，CROWD FA通过实现高达22倍的更快计算时间，胜过了现有技术的方法。

论文链接：https://doi.org/10.1109/TIFS.2023.3308714

原文始发于微信公众号（漏洞战争）：网络安全顶刊——TIFS 2023 论文清单与摘要（1）