Please wait a minute...

期刊目录

    2015年, 第15卷, 第11期
    刊出日期:2015-11-10
    上一期    下一期

    等级保护
    技术研究
    理论研究
    权威分析
    全选选: 隐藏/显示图片
    等级保护
    云计算里的一种无双线性对的模糊关键字加密方式
    秦志光, 包文意, 赵洋, 熊虎
    2015 (11):  1-6.  doi: 10.3969/j.issn.1671-1122.2015.11.001
    摘要 ( 349 )   HTML ( 1 )   PDF(1473KB) ( 697 )  

    现在已经有很多有效的搜索加密方案,但绝大多数方案都会受到离线关键字猜测攻击,而且他们都是基于双线性对的加密,开销很大。另外,大多数的公钥加密搜索方案都不支持模糊关键字的搜索,使得系统的可用性降低。因此文章提出了一个无双线性对的模糊关键字加密方案。在该方案中,采用服务器的公钥来加密关键字和数据,如果外部攻击者没有服务器的密钥,他将不能从关键字密文中获得任何有用信息,所以可以用公共信道来传输陷门。方案不仅支持精确关键字,当输入的关键字存在格式上偏差,或者拼写上的错误时,也支持搜索。方案使用El Gamal加密方式来代替双线性对的加密方式,这样大大减小了计算开销。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    技术研究
    一种基于VT-d技术的虚拟机安全隔离框架研究
    杨永娇, 严飞, 于钊, 张焕国
    2015 (11):  7-8.  doi: 10.3969/j.issn.1671-1122.2015.11.002
    摘要 ( 549 )   HTML ( 1 )   PDF(1903KB) ( 485 )  

    虚拟化技术作为云计算IaaS服务的支撑,能从根本上解决云计算平台上虚拟机面临的安全威胁问题。针对目前云计算虚拟机隔离执行环境在设备I/O和内存访问隔离方面的不足,文章结合基于硬件辅助虚拟化的VT-d技术以及可信计算中虚拟可信平台模块(vTPM)独立域的思想,提出了一个在Xen云平台上的安全隔离框架。该框架中由vTPM独立域对虚拟机内的数据和代码进行加密保护,并基于独立域思想对虚拟机镜像本身加密;使用VT-d技术为虚拟机直接分配网卡设备,并扩展XSM安全模块,增加了虚拟机之间授权表策略控制。实验与分析表明,该框架能够有效确保虚拟机之间的设备I/O及内存访问安全隔离,提升虚拟机隔离环境的安全性,且能较好满足系统运行性能。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    一种基于微服务架构的新型云件PaaS平台
    郭栋, 王伟, 曾国荪
    2015 (11):  15-20.  doi: 10.3969/j.issn.1671-1122.2015.11.003
    摘要 ( 858 )   HTML ( 10 )   PDF(1649KB) ( 2143 )  

    随着微服务、容器等理念和技术的不断深入,云计算环境下的软件形态将进一步朝着云件(Cloudware)的方向发展。云件技术以服务为核心,以云平台为支撑,是实现传统软件云化的重要手段,是未来云环境下的软件开发、软件部署、软件运维和软件使用的重要手段,是软件在云计算平台下的新思想。文章基于轻量级容器技术和微服务架构,提出了一种新的云件PaaS平台,该平台可以在不修改传统软件的情况下,直接将软件部署到云端运行,并通过浏览器服务于终端用户。通过采用微服务架构设计,使得该云件平台具有较好的扩展性、规模化部署、容灾和灵活配置等特性。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    云租户虚拟机主动可信验证机制的研究与应用
    陶政, 胡俊, 吴欢, 杨静
    2015 (11):  21-26.  doi: 10.3969/j.issn.1671-1122.2015.11.004
    摘要 ( 464 )   HTML ( 2 )   PDF(2270KB) ( 175 )  

    近年来随着云计算的迅速发展,其安全问题也成为当前研究的热点,但是大多数研究采用被动调用机制和较为固化的策略定义的可信计算思想,很难适应云环境复杂的信任关系和需求。文章提出一种基于主动可信计算思想的云环境虚拟机主动可信验证机制,通过主动监控机制,各组件独立运行,便于设置复杂的信任关系,也可以适应动态、分布式的云环境。该机制针对云环境中运营商和租户的信任关系,由用户和运营商的SLA协议来制定基准可信库,由可信第三方来为租户提供可信报告。与传统技术相比,该机制使租户对自身拥有的虚拟机安全可以查阅和验证,保证了云环境中虚拟机的可信。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于节点认证的物联网感知层安全性问题研究
    张玉婷1, 严承华, 魏玉人
    2015 (11):  27-32.  doi: 10.3969/j.issn.1671-1122.2015.11.005
    摘要 ( 575 )   HTML ( 1 )   PDF(2391KB) ( 230 )  

    感知层是物联网的信息源,也是物联网各种应用的基础,它存在的安全问题是整个物联网安全的首要问题。随着网络信息安全的不断发展,传统的物联网安全管理系统在网络安全方面尽管能够实现三个层面之间数据信息的互联互通,但对于物联网感知层节点以及节点之间的安全保护系统尚不成熟。节点本身非常容易被控制,极易遭受攻击者的恶意攻击,节点之间相互通信时也非常容易遭受到监听、窃取、假冒、破坏、篡改等攻击。因此,加强物联网感知层节点的身份认证,进而保证物联网整个系统的安全是十分必要的。文章介绍了物联网感知层节点面临的主要安全威胁及相关的安全机制,基于离散对数问题解决椭圆曲线加密算法,给出了相应的身份认证实现方案,使物联网感知层的信息传输更加安全可靠。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    一种AS-IP宣告关系真实性评估方法研究
    胡照明, 刘磊, 尚博文, 朱培栋
    2015 (11):  33-39.  doi: 10.3969/j.issn.1671-1122.2015.11.006
    摘要 ( 640 )   HTML ( 0 )   PDF(1708KB) ( 512 )  

    在BGP网络中,如果一个自治系统(AS)宣告了并不属于它的IP地址前缀,则发生了IP地址前缀劫持。造成IP地址前缀劫持很难发现的原因主要有以下两个方面:1)对于受到前缀劫持影响的AS,当且仅当被劫持的IP地址前缀传递到它所在的AS域才能发现前缀劫持;2)对于网络中的其他AS,由于边界网关协议(BGP)缺乏安全机制验证IP地址前缀的宣告者是否确实拥有此地址,从而导致这些AS即使接收到劫持路由,也无法判断是否确实发生了前缀劫持。针对以上问题,文章提出了一种AS-IP宣告关系真实性评估方法,通过生成历史路由表的宣告关系矩阵,基于空间一致性和时间稳定性来计算AS-IP宣告关系的稳定度,以判断宣告关系的真实性,并生成AS-IP匹配关系知识库。文章对RouteViews及国内运营商的路由数据进行了分析检测,实验结果表明,文章方法不但能够有效判断宣告关系真实性,生成AS-IP匹配关系知识库,而且可以有效发现前缀劫持。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    一种基于混沌映射的秘密握手协议
    王闻博, 程庆丰, 陆思奇, 赵进华
    2015 (11):  40-46.  doi: 10.3969/j.issn.1671-1122.2015.11.007
    摘要 ( 607 )   HTML ( 0 )   PDF(2343KB) ( 275 )  

    秘密握手协议是一种在不泄露用户身份条件下进行密钥协商的隐私保护认证协议,当且仅当参与协议的双方属于同一个群时协议能够通过认证并且建立共享的会话密钥,非该群用户则无法知晓群的任何属性。文章对Pal 提出的基于ZSS签名的动态秘密握手协议进行了分析,指出该协议在用户撤销机制以及用户追踪方面等存在着一定不足。针对其存在的不足,文章首先设计了一个基于混沌映射的ZSS签名(ZSS-CM),并使用ZSS-CM签名给出了基于混沌映射的秘密握手协议SH-CM。SH-CM协议比Pal提出的协议具备更高的计算效率,并支持用户撤销和用户追踪,安全性更为完备。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    软件定义网络下状态防火墙的设计与实现
    刘琦, 陈云芳, 张伟
    2015 (11):  47-52.  doi: 10.3969/j.issn.1671-1122.2015.11.008
    摘要 ( 494 )   HTML ( 0 )   PDF(1712KB) ( 475 )  

    软件定义网络(software defined networking,SDN)技术将传统网络构架解耦为控制平面和数据平面,为研发网络新应用和未来互联网技术提供了一种新的解决方案。但随着SDN 相关网络设备的出现,安全问题成为制约其发展的一个重要因素。传统的防火墙被置于非信任的网络与被保护网络之间,当网络出现安全隐患时采用边界上的过滤封锁机制来应对。然而传统防火墙在面对不断更新的大量网络攻击时仍然漏洞百出,急需对防火墙应对危险的机制进行创新。SDN 是一种新兴的控制与转发相分离并直接可编程的网络架构, 其核心思想是将传统网络设备紧耦合的网络架构解耦成传输面与控制面,网络管理人员可以通过一个中央控制器向网络中的交换机下发防火墙策略。文章先介绍了SDN防火墙架构相关知识后,采用软件定义网络编程语言Pyretic编写一种基于IP地址识别的状态防火墙,并将其部署在控制面中。通过搭建虚拟网络完成状态防火墙策略部署与下发实验,充分表明该防火墙策略在软件定义网络环境中实现的灵活性与控制的细粒度。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    基于特征匹配的Web应用防火墙的研究与设计
    辛晓杰, 辛阳, 姬硕
    2015 (11):  53-59.  doi: 10.3969/j.issn.1671-1122.2015.11.009
    摘要 ( 536 )   HTML ( 3 )   PDF(2513KB) ( 566 )  

    随着 Web 应用的快速发展,安全形势不容乐观,大部分Web 应用都存在安全漏洞,而传统的网络安全设备对于应用层的攻击防范十分有限。传统防火墙只能保护网络层,IDS、IPS不能有效防护通过灵活编码和报文分割来实现的应用层攻击。而Web应用防火墙工作在应用层,通过对HTTP请求和应答的解析,将解析出的内容与HTTP攻击特征库进行检索比对,阻断Web应用攻击,有效防护应用层。文章分析HTTP协议和主流Web攻击及其绕过方式,针对HTTP协议的缺陷和模式匹配的不足,采用Simhash提取特征和分块检索技术进行过滤防护,提出一个基于特征匹配的Web应用防火墙系统。实验表明,该Web 应用防火墙系统可以防御各种Web 应用层的攻击,有效解决了Web攻击检测的遗漏问题。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    一种基于狄利克雷过程混合模型的文本聚类算法
    高悦, 王文贤, 杨淑贤
    2015 (11):  60-65.  doi: 10.3969/j.issn.1671-1122.2015.11.010
    摘要 ( 604 )   HTML ( 7 )   PDF(2180KB) ( 985 )  

    随着互联网的普及,论坛、微博、微信等新媒体已经成为人们获取和发布信息的重要渠道,而网络中的这些文本数据,由于文本数目和内容的不确定性,给网络舆情聚类分析工作带来了很大的挑战。在文本聚类分析中,选择合适的聚类数目一直是一个难点。文章提出了一种基于狄利克雷过程混合模型的文本聚类算法,该算法基于非参数贝叶斯框架,可以将有限混合模型扩展成无限混合分量的混合模型,使用狄利克雷过程中的中国餐馆过程构造方式,实现了基于中国餐馆过程的狄利克雷混合模型,然后采用吉布斯采样算法近似求解模型,能够在不断的迭代过程中确定文本的聚类数目。实验结果表明,文章提出的聚类算法,和经典的K-means聚类算法相比,不仅能更好的动态确定文本主题聚类数目,而且该算法的聚类质量(纯度、F-score和轮廓系数)明显好于K-means聚类算法。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    LBS(P,L,K)匿名模型及其算法研究
    张付霞, 蒋朝惠
    2015 (11):  66-70.  doi: 10.3969/j.issn.1671-1122.2015.11.011
    摘要 ( 512 )   HTML ( 0 )   PDF(1535KB) ( 360 )  

    目前,大多数位置匿名算法会出现匿名区域较大、匿名时间较长、匿名不成功的可能性较高等问题,并且对包含更多隐私信息的查询隐私没有做到更好的保护。为解决这些问题,文章提出一种基于敏感度的个性化LBS(P,L,K)匿名模型,该模型在K匿名基础上,通过对查询内容设置不同的敏感度来满足P敏感约束和L覆盖性约束,达到保护查询隐私的目的,从而实现匿名隐私保护的个性化需求。同时,文章在该模型基础上提出基于网格和假用户匿名算法,该算法将整个匿名空间划分成m×n的网格,通过迭代寻找查询用户所在网格的邻域空间进而找到该用户的临时匿名空间,然后根据用户分布矩阵对临时匿名空间进行边缘剥离,直至满足用户面积约束条件。从对比实验结果可知,在满足用户个性化要求条件下,该方法匿名区域面积更小,从而提高了相对匿名度和用户的查询服务质量。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    地理信息系统中的结构化数据保护方法
    吉晨, 李小强, 柳倩
    2015 (11):  71-76.  doi: 10.3969/j.issn.1671-1122.2015.11.012
    摘要 ( 454 )   HTML ( 2 )   PDF(1338KB) ( 358 )  

    互联网的发展以及互联网技术和地理信息系统的结合,很大程度上改变了地理信息系统从数据收集、信息处理到数据发布和使用的方式,但是由于互联网本身存在的安全问题以及网络攻击的多样性,给地理信息系统的安全问题也带来了极大的挑战。目前虽然存在一些地理信息系统安全问题的解决方案,但是都存在一定的局限性。文章着重解决其中的数据保护问题,首先介绍了地理信息系统中可能存在的安全问题以及国内外的研究现状,接着针对传统地理信息系统安全方案所存在的局限性,提出一种新的结构化数据保护方法。这种应用安全结构通过集中化的应用平台减少系统的数据安全风险范围,基于层次化的细粒度数据访问控制措施防止非法的数据越权访问,并采用精确的行为审计和过程标记机制对非法数据窃密和泄密行为进行快速定位和追踪。通过这种结构化数据保护方法不仅可以阻止重要数据的非法外泄,而且还能够对非IT手段的数据录拍等泄密和窃密行为进行有效威慑。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    数据挖掘中一种增强的Apriori算法分析
    胡雪, 封化民, 李明伟, 丁钊
    2015 (11):  77-83.  doi: 10.3969/j.issn.1671-1122.2015.11.013
    摘要 ( 585 )   HTML ( 3 )   PDF(2926KB) ( 819 )  

    在当今这个信息极度发达的社会,网络数据急剧膨胀,激增的数据背后隐藏着许多重要的信息,所以对大量数据进行分析是必要的。Apriori算法是一种挖掘关联规则的频繁项集算法,其核心思想是通过候选集生成和情节的向下封闭检测两个阶段来挖掘频繁项集。可能产生大量的候选集,以及可能需要重复扫描数据库是Apriori算法的两大缺点。文中提出了一种需要更少的扫描时间的Apriori算法,在剪枝候选项集的同时也在消除冗余的子项集的产生。改进的Apriori算法通过消除数据库中不需要记录的传输有效减少了I/O所花费的时间,Apriori算法的效率得到了极大的优化。文章给出了算法实现思想及证明,并对传统的和改进的Apriori算法进行比较和分析。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    理论研究
    基于G1法和熵值法的人民银行IT应急能力评估模型及验证研究
    (中国人民银行济南分行, 山东济南250021)
    2015 (11):  84-89.  doi: 10.3969/j.issn.1671-1122.2015.11.014
    摘要 ( 464 )   HTML ( 2 )   PDF(2362KB) ( 450 )  

    当前,IT风险已成为银行风险的重要组成部分。人民银行作为金融业关键信息基础设施运行的管理部门,迫切需要加强自身IT风险应急管理理论和实践方面的研究。文章针对人民银行应急评估工作现状和存在问题,总结国内外有关应急评估经验,以序关系分析法(G1)和熵值法为基本方法,构建了以IT应急能力评估指标集为核心的应急评估量化模型。通过评估某系统,实证检验和分析了该评估模型的可行性和有效性,初步建立起基层央行IT风险应急能力评估体系。

    数据和表 | 参考文献 | 相关文章 | 计量指标
    权威分析
    2015年9月计算机病毒疫情分析
    刘威, 黄硕
    2015 (11):  90-90. 
    摘要 ( 272 )   HTML ( 1 )   PDF(1131KB) ( 153 )  
    数据和表 | 参考文献 | 相关文章 | 计量指标
    2015年9月十大重要安全漏洞分析
    2015 (11):  91-92. 
    摘要 ( 188 )   HTML ( 0 )   PDF(1184KB) ( 95 )  
    参考文献 | 相关文章 | 计量指标
    2015年9月网络安全监测数据发布
    赵慧, 党向磊
    2015 (11):  93-94. 
    摘要 ( 240 )   HTML ( 0 )   PDF(1222KB) ( 121 )  
    数据和表 | 参考文献 | 相关文章 | 计量指标