Please wait a minute...

期刊目录

    2014年, 第14卷, 第10期
    刊出日期:2014-10-10
    上一期    下一期

    等级保护
    技术研究
    理论研究
    全选选: 隐藏/显示图片
    等级保护
    一种基于可信计算技术的源代码安全审查模型
    张毅, 王伟, 王刘程, 郝美慈
    2014 (10):  1-6.  doi: 10.3969/j.issn.1671-1122.2014.10.001
    摘要 ( 329 )   HTML ( 1 )   PDF(7665KB) ( 47 )  
    在现阶段的大规模软件工程开发中,源代码数量已经变得越来越庞大,动辄就是数百万,甚至是数千万行以上。随着源代码数量的激增,代码的逻辑越来越复杂,相互之间的调用关系越来越繁复,代码的安全漏洞也越来越容易出现。常规的人工检查和调试已经完全不能满足庞大的系统软件的审查需求。此时,常在源代码正式发布之前,使用安全代码审查机制来快速找出系统中绝大多数的安全漏洞。针对这一问题,文章结合传统的代码安全审查原理和当前流行的可信计算技术,提出了一种基于可信计算技术的源代码安全审查模型。在代码的安全审查过程中,利用可信计算的可信度量原理的审查方法,结合运用安全操作系统的访问控制机制,检测出源代码中可能不符合可信计算理论的系统资源访问,防止主体触发来源不可信或已被篡改的代码,从而实现对各种已知和未知恶意代码的防御,让最终的代码在运行时符合可信计算标准。该模型通过将不同的软件进行类型分级,从而确定不同软件对系统资源的不同使用权限。使用文中规范开发的代码遵循可信计算标准,可以杜绝恶意代码对系统资源的不安全访问。
    参考文献 | 相关文章 | 计量指标
    技术研究
    一种改进的MP3被动篡改定位检测算法
    杨婧, 范梦迪, 高雄智, 任延珍
    2014 (10):  7-10.  doi: 10.3969/j.issn.1671-1122.2014.10.002
    摘要 ( 297 )   HTML ( 0 )   PDF(4622KB) ( 89 )  
    随着多媒体处理技术和录音设备的发展,录音资料作为客观证据越来越多地出现在法院庭审和案件侦察中。录音证据若成为判决依据,必须确保未被剪接或者伪造。音频真实性鉴定的一个重要方向即为信号的篡改定位检测。MP3是目前应用最为广泛的数字压缩录音格式。在亚马逊网站上所销售的数字录音设备中,销量排名前20位的设备大部分支持MP3格式,并且其中有一部分仅支持MP3格式。目前大多数的智能手机,其默认的录音文件格式也为MP3格式,因此MP3的真实性和完整性检测受到广泛关注。文章针对现有基于帧偏移特性的MP3篡改定位检测算法所存在的误判率高的问题,提出一种改进的MP3被动篡改定位检测算法。观察发现,现有检测算法的误判常出现于含有静音段较多的样本中,文中改进算法利用静音检测技术,通过设定阈值排除静音帧的干扰,降低了误检率;同时算法采用平移窗进行偏移量的提取,避免了单帧提取偏移量不稳定的问题。实验结果表明,改进算法能更准确地定位删除、插入、替换、拼接这四类篡改点的位置。与现有算法相比,误检率明显降低。
    参考文献 | 相关文章 | 计量指标
    面向Android应用程序的代码保护方法研究
    徐剑, 武爽, 孙琦, 周福才
    2014 (10):  11-17.  doi: 10.3969/j.issn.1671-1122.2014.10.003
    摘要 ( 358 )   HTML ( 0 )   PDF(6441KB) ( 170 )  
    近年来,Android操作系统快速发展,逐渐成为移动设备最常用的操作系统之一。与此同时,Android系统的安全问题也日益明显。由于Android系统自身的安全体系不够健全以及Android应用代码保护方法缺失,大量Android应用面临逆向工程、盗版、恶意代码植入等威胁。文章针对Android应用所面临的这些安全问题进行分析,并指出问题存在的原因。在此基础上,设计了一个完整的Android应用程序代码保护方法,该方法由PC端处理模块、Android端处理模块以及Android代码开发规范构成。为使该方法更具可操作性,文章还给出了一些关键技术的实现,包括基于AES算法的加密保护、伪加密、加壳、代码混淆以及特殊编码规则等。文章提出的面向Android应用程序的代码保护方法借鉴了传统的保护方法,结合Android系统的自身特性,采用文件加密、代码混淆、反动态调试、完整性校验以及加壳等技术,从对抗静态攻击和对抗动态调试两个方面提高了应用抗攻击的能力。因此,该方法不仅具有一定的理论意义,还具有一定的实际应用价值。
    参考文献 | 相关文章 | 计量指标
    移动应用特征提取算法研究
    陈逸夫, 刘吉强
    2014 (10):  18-23.  doi: 10.3969/j.issn.1671-1122.2014.10.004
    摘要 ( 395 )   HTML ( 1 )   PDF(6204KB) ( 107 )  
    随着移动互联网的普及与发展,新的应用不断出现,移动互联网的网络安全和流量管理变得越来越重要,其应用监管与流量控制以移动应用识别为基础。深度包检测技术是准确性最高的一种应用层协议识别方法,其需要有准确的应用协议特征,应用特征产生的效率和准确度决定了应用识别系统的优劣。因此,高效、准确的自动提取应用特征具有十分重要的意义。文章从算法复杂性及敏感性两个方面,对当前主要特征提取算法进行比较和分析;并通过进行实验研究,分别给出了不同算法的性能仿真结果,为基于载荷的移动应用特征提取算法的选取提供了一个参考,具有一定的研究和应用指导价值。
    参考文献 | 相关文章 | 计量指标
    3G-WLAN安全接入方案的研究与分析
    苗俊峰, 马春光, 黄予洛, 李晓光
    2014 (10):  24-30.  doi: 10.3969/j.issn.1671-1122.2014.10.005
    摘要 ( 300 )   HTML ( 0 )   PDF(6719KB) ( 96 )  
    目前,3G和WLAN两种无线通信技术是最具代表性的技术,同时二者各自的优缺点使3G与WLAN融合网络成为备受业界和学术界关注的焦点。3G-WLAN网络融合可以充分利用两者的优点,优势互补,用户既可以享受3G网络中完善的漫游、鉴权以及计费机制,也可以享受WLAN的高速数据传输速率,这样用户不仅享受优质的网络服务,也使得网络资源利用最大化。但3G与WLAN融合网络需要同时应对来自两方的安全威胁。由于3G和WLAN网络安全威胁存在差异,因此对于各自的安全解决方案也存在很大差异,如何解决融合网络的安全威胁是亟待解决的问题。文章对802.11i和WAPI接入认证安全性和密钥协商灵活性进行了分析和研究,并总结出其各自的优缺点;针对3G-WLAN融合网络中EAP-AKA协议,分析了其存在的漏洞与不足,然后综合802.11i和WAPI安全协议的优势,文章提出了一种新的3G-WLAN安全接入方案EAP-WPI。新协议采用802.11i的EAP认证框架封装认证和WAPI的ECDH密钥协商算法,实现用户终端与后台认证服务器的认证交互以及高安全性的密钥协商,并在认证过程中采用无证书的公钥密码技术免除了部署PKI的负担,并对其进行安全性分析以及仿真测试,其结果表明文章提出的协议具有较高的安全性及执行效率。
    参考文献 | 相关文章 | 计量指标
    典型Adobe Flash Player漏洞简介与原理分析
    孟正, 曾天宁, 马洋洋, 文伟平
    2014 (10):  31-37.  doi: 10.3969/j.issn.1671-1122.2014.10.006
    摘要 ( 583 )   HTML ( 1 )   PDF(7117KB) ( 63 )  
    随着Flash文件在网络上的应用日益广泛,Adobe Flash Player的安全问题受到人们越来越多的关注,它的每一个漏洞都有引发巨大安全问题的可能性。文章首先从Flash客户端技术和Flash三维可视化分析两个方面对Adobe Flash Player的运行机制进行了介绍,研究了ActionScript语言、Flash渲染模型、事件机制、Flash三维图形显示、Stage3D硬件加速和Stage3D三维建模的特性;接下来描述了SWF文件的格式信息,对SWF文件的文件头和标签结构进行介绍;然后结合CVE网站的统计信息,对Adobe Flash Player漏洞进行分类,将其划分为Flash文件格式漏洞、Flash拒绝服务漏洞、Flash跨站脚本攻击漏洞和Flash欺骗攻击漏洞等4大类;随后对漏洞分析技术进行了详细介绍,建立了针对Adobe Flash Player的漏洞分析技术模型;最后以10个典型的Adobe Flash Player漏洞作为实例,经过信息收集、数据流跟踪和漏洞原理分析等过程,得到了漏洞的产生机理。
    参考文献 | 相关文章 | 计量指标
    基于规则库和网络爬虫的漏洞检测技术研究与实现
    杜雷, 辛阳
    2014 (10):  38-43.  doi: 10.3969/j.issn.1671-1122.2014.10.007
    摘要 ( 496 )   HTML ( 6 )   PDF(6265KB) ( 208 )  
    Web技术是采用HTTP或HTTPS协议对外提供服务的应用程序,Web应用也逐渐成为软件开发的主流之一,但Web应用中存在的各种安全漏洞也逐渐暴露出来,如SQL注入、XSS漏洞,给人们带来巨大的经济损失。为解决Web网站安全问题,文章通过对Web常用漏洞如SQL注入和XSS的研究,提出了一种新的漏洞检测方法,一种基于漏洞规则库、使用网络爬虫检测SQL注入和XSS的技术。网络爬虫使用HTTP协议和URL链接来遍历获取网页信息,通过得到的网页链接,并逐步读取漏洞规则库里的规则,构造成可检测出漏洞的链接形式,自动对得到的网页链接发起GET请求以及POST请求,这个过程一直重复,直到规则库里的漏洞库全部读取构造完毕,然后继续使用网络爬虫和正则表达式获取网页信息,重复上述过程,这样便实现了检测SQL注入和XSS漏洞的目的。此方法丰富了Web漏洞检测的手段,增加了被检测网页的数量,同时涵盖了HTTP GET和HTTP POST两种请求方式,最后通过实验验证了利用此技术对Web网站进行安全检测的可行性,能够准确检测网站是否含有SQL注入和XSS漏洞。
    参考文献 | 相关文章 | 计量指标
    基于DPI的流量识别系统的研究
    武光达, 蒋朝惠
    2014 (10):  44-48.  doi: 10.3969/j.issn.1671-1122.2014.10.008
    摘要 ( 309 )   HTML ( 0 )   PDF(5281KB) ( 122 )  
    随着网络应用的多样化,各种网络流量不断复杂化、多样化,各种网络安全事故频发。网络流量的分布不均匀以及网络安全状况的复杂使得互联网急需管理和维护,网络流量的监控问题变得尤为重要。流量识别作为一种能够自动、实时保障网络监控的技术,成为防火墙一类静态安全设备的必要补充,越来越受到人们的重视。深度包监测(DPI)技术以其识别的准确性成为应用越来越广泛的识别技术。然而单纯的软件实现系统监测速度较慢,不能满足网络高速数据包处理的吞吐量要求。单纯的硬件识别知识库会占用大量内存,一般的硬件内存达不到要求。单纯的软件识别效率又不能满足越来越大的网络吞吐量需求。这种情况下,文章研究了一种基于正则表达式的软硬件结合系统实现方法,该方法的主要思想是硬件识别网络常见协议,软件识别复杂的网络协议,且两者都支持正则表达式。这种方法兼具软件与硬件实现的优点,与传统的软件实现相比,在识别效率方面有明显提高。
    参考文献 | 相关文章 | 计量指标
    基于VIPS算法和模糊字典匹配的网页提取技术研究
    吴茜, 刘嘉勇, 卿粼波
    2014 (10):  49-53.  doi: 10.3969/j.issn.1671-1122.2014.10.009
    摘要 ( 227 )   HTML ( 0 )   PDF(5002KB) ( 109 )  
    在目前数据爆发的互联网时代,论坛舆论走向对于社会的影响越来越大,对舆论进行监控引导已经不可避免,在数据如此巨大的环境中,有效地监控舆论信息成为一个难题。论坛网页中标题、内容等关键信息是舆论监控中的主要以及重点信息。为了提取论坛网页中的标题、内容、作者等与舆情相关的信息,文章提出了一种基于VIPS算法和智能模糊字典匹配相结合的网页内容提取方法。VIPS算法是利用Web页面的视觉提示背景颜色,字体的颜色和大小,边框、逻辑块和逻辑块之间的间距等,结合DOM树进行页面语义分块。智能模糊字典采用AC-BM匹配算法把VIPS分块的语义块与数据库里的标签相匹配,提取出匹配正确的字段。两者的结合可以提取出帖子的标题、内容、作者、发帖时间等信息。该方法具体步骤是首先利用VIPS算法将网页页面块进行提取,再用分隔条检测设置分隔条,然后重构语义块,检测后将分割后的网页保存为xml格式文件,再将xml文件中的语义块与字典进行匹配,提取出匹配成功的内容。最后,文章通过实验证明了该方法的有效性。
    参考文献 | 相关文章 | 计量指标
    一种基于编码的公钥密码体制的参数选择研究
    徐权佐, 蔡庆军
    2014 (10):  54-58.  doi: 10.3969/j.issn.1671-1122.2014.10.010
    摘要 ( 264 )   HTML ( 0 )   PDF(4710KB) ( 80 )  
    TCHo公钥密码体制是“Trapdoor Cipher,Hardware Oriented”的缩写,是受快速相关攻击中的陷门密码启发而得到的一种基于编码的公钥密码体制。它能抵抗量子计算机的攻击,是一种后量子密码体制。2006年,Finiasz 和Vaudenay 提出了TCHo公钥密码体制的一种非多项式解密时间的早期版本。2007年,Aumasson 等人介绍了使用启发式算法多项式复杂度的TCHo 密码体制。2013年,Alexandre 和Serge 在“Advances in Network Analysis and its Applications” 一书中系统介绍了TCHo 密码体制。它的安全性基于低重量多项式的倍式问题和带噪声的LFSR区分问题,因此参数的选择决定了密码体制的安全性与可靠性。文章详细介绍了TCHo密码体制,针对TCHo密码体制的参数选择进行了分析,指出该密码体制达到唯一译码的条件,并给出了衡量密码体制可靠性程度的计算公式,同时提出了参数选择的一种方法,从而使密码体制更可靠。
    参考文献 | 相关文章 | 计量指标
    属性匹配检测的匿名CP-ABE机制
    连科, 赵泽茂, 贺玉菊
    2014 (10):  59-63.  doi: 10.3969/j.issn.1671-1122.2014.10.011
    摘要 ( 373 )   HTML ( 0 )   PDF(4728KB) ( 103 )  
    属性基加密(简称ABE)机制以属性为公钥,将密文和用户私钥与属性关联,能够灵活地表示访问控制策略,从而极大地降低数据共享细粒度访问控制带来的网络带宽和发送节点的处理开销。作为和ABE相关的概念,匿名ABE机制进一步隐藏了密文中的属性信息,因为这些属性是敏感的,并且代表了用户身份。匿名ABE 方案中,用户因不确定是否满足访问策略而需进行重复解密尝试,造成巨大且不必要的计算开销。文章提出一种支持属性匹配检测的匿名属性基加密机制,用户通过运行属性匹配检测算法判断用户属性集合是否满足密文的访问策略而无需进行解密尝试,且属性匹配检测的计算开销远低于一次解密尝试。结果分析表明,该解决方案能够显著提高匿名属性基加密机制中的解密效率。同时,可证明方案在双线性判定性假设下的安全性。
    参考文献 | 相关文章 | 计量指标
    基于改进策略树的防火墙策略审计方案设计与实现
    卢云龙, 罗守山, 郭玉鹏
    2014 (10):  64-69.  doi: 10.3969/j.issn.1671-1122.2014.10.012
    摘要 ( 326 )   HTML ( 3 )   PDF(6305KB) ( 151 )  
    防火墙在当今网络中起着不可或缺的作用,防火墙规则配置的合理与否直接关系到网络环境的安全。随着网络规模日益增大,防火墙配置也日趋复杂,为了更好的发挥防火墙的防护性能,防火墙策略审计应需而生。文章首先对防火墙规则之间的关系进行了详细研究,总结并分析了一些常见的规则异常种类,并对现有的策略审计方案进行了综述研究。其次,论述了防火墙策略审计系统整体的工作流程,层次化的分析了系统总体架构设计,对防火墙策略审计系统的配置规则审计模块进行了重点研究论述。再次,论述了传统的策略判定树审计方案,详细阐述了该方案的实现流程,分析并指出了该方案的优点以及所存在的不足。接下来提出一种以树形结构为基础改进后的策略审计方案,详细论述了该方案的审计流程并实现了改进的审计方案。最后结合该实现展示了系统的图形化报表以及详细审计结果,对改进后审计方案的审计结果与传统策略树进行了对比分析验证。
    参考文献 | 相关文章 | 计量指标
    基于Web应用的安全日志审计系统研究与设计
    段娟, 辛阳, 马宇威
    2014 (10):  70-76.  doi: 10.3969/j.issn.1671-1122.2014.10.013
    摘要 ( 495 )   HTML ( 8 )   PDF(7350KB) ( 203 )  
    近年来随着Web应用技术的不断进步和发展,针对Web应用业务的需求越来越多,随之而来的Web应用安全攻击也呈上升趋势。目前针对网络攻击的防护技术手段也是层出不穷,但一般都是事前检测和事中防护,事后检测维护的则相应比较少。在网络中心有大量的服务器设备,Web日志文件作为服务器的一部分,详细记录设备系统每天发生的各种各样的事件,如客户端对服务器的访问请求记录、黑客对网站的入侵行为记录等,因此要想有效的管理维护设备和在攻击事件发生后及时的降低风险,分析审计日志对于事后检测和维护设备的安全是非常必要的。基于此,文章主要对基于Web应用安全日志审计系统进行研究和设计,日志审计系统主要分为三个子系统:日志采集子系统、分析引擎子系统和日志告警子系统。日志采集子系统采用多协议分析对日志进行收集,并进行相应的日志规范化和去重等处理。分析引擎子系统采用规则库和数理统计的方法,对日志特征进行提取和设置相应的统计量参数,进行比较分析。日志告警子系统则是主要配置相应策略并下发任务,对于审计结果进行界面展示或生成报告并以邮件的方式发送给用户等。
    参考文献 | 相关文章 | 计量指标
    理论研究
    虚拟计算平台远程可信认证技术研究
    郑志蓉, 刘毅
    2014 (10):  77-80.  doi: 10.3969/j.issn.1671-1122.2014.10.014
    摘要 ( 296 )   HTML ( 0 )   PDF(3990KB) ( 95 )  
    与传统的单机系统按照可信平台模块、可信BIOS、操作系统装载器、操作系统内核的信任链传递方式不同,虚拟化计算环境信任链按照可信平台模块、可信BIOS、虚拟机监控器和管理虚拟机、用户虚拟机装载器、用户虚拟机操作系统装载器、用户虚拟机操作系统内核的方式进行。文章对虚拟计算平台远程完整性验证的安全需求进行了分析。为防止恶意的虚拟机监控器篡改虚拟机的完整性证明,文章提出虚拟机平台和虚拟机管理器两级的深度认证。在对虚拟机认证过程中,远程挑战者需要通过虚拟机或者直接与虚拟平台建立联系来认证平台的虚拟机管理器层。为防止中间人攻击,文章提出将物理平台寄存器映射到各虚拟平台寄存器的方式解决虚拟机与物理平台的绑定问题。
    参考文献 | 相关文章 | 计量指标
    小世界网络抗毁性及介-度相关性研究
    郭征, 郭鑫泠, 宋传旺, 聂廷远
    2014 (10):  81-85.  doi: 10.3969/j.issn.1671-1122.2014.10.015
    摘要 ( 332 )   HTML ( 1 )   PDF(4948KB) ( 98 )  
    日常生活中,复杂网络主要面临随机攻击和选择性攻击,网络模型的结构特性使复杂网络在不同攻击方式下的抗毁性有很大的差异。综合考虑复杂网络的抗毁性参数和网络模型的结构特性差异,文章以节点的最大度值、平均度值、最大介数和平均介数为度量参数,通过5种不同攻击方式对WS小世界网络的抗毁性进行了测试,得到了介-度关系曲线,随着节点的移除,动态分析了WS小世界网络的抗毁性和攻击下小世界网络的介-度相关性。实验结果表明,WS小世界网络在RD攻击下表现出一定的脆弱性,在其他攻击方式下有很强的鲁棒性,而其介-度关系在某些区域呈线性关系,但大部分区域呈现无规律性,其动态相关性需要进一步研究。小世界网络较强的抗毁性对组建网络有重要的影响,鉴于小世界网络的结构特性,组建网络时应尽量不要把网络的功能集中在少数Hub节点上。针对WS小世界网络较强的鲁棒性,结合小世界网络的结构特性,将做进一步研究,以便提出更高效的攻击策略。
    参考文献 | 相关文章 | 计量指标
    基于面部认证的涉密文档阅读器设计
    张立朝, 朱坤崧, 杨宇航, 许纪钧
    2014 (10):  86-91.  doi: 10.3969/j.issn.1671-1122.2014.10.016
    摘要 ( 342 )   HTML ( 0 )   PDF(6374KB) ( 70 )  
    随着信息化社会的不断发展,文档的电子化成为大势所趋。电子文档在给我们提供便利的同时,也带来了诸多安全隐患。涉密电子文档面临的安全威胁有非授权访问、知密范围难控和泄密主体难追踪等,而目前关于涉密电子文档的解决方案仅满足了身份认证、访问控制等安全需求,未能实现对用户身份的实时认证和涉密文档的有效控制。针对以上安全威胁及用户需求,通过对面部认证、单向传输和眼球追踪等技术的研究,文章设计了一款基于面部认证的涉密文档阅读器。使用OpenCV实现的面部认证技术用于完成对用户的身份认证和阅读权限的实时认证,可有效防止非授权访问、偷窥等行为,实现可靠的访问控制。专用接口提供对USB移动存储数据的安全处理,提供单向数据传输功能,通过专用接口向涉密文档阅读器单向传输涉密文档,可有效解决阅读器丢失、拷贝复制等造成的安全隐患。文中设计的阅读器在提高数据安全性和可靠性的同时,为用户提供一个安全便携的涉密文档阅读平台。系统采用技术手段弥补制度上的漏洞,实现涉密电子文档管控的安全性和实用性的平衡。
    参考文献 | 相关文章 | 计量指标