信息网络安全

Select

2020 (3): 0-0.

摘要 ( 301 )

PDF(7694KB) ( 94 )

相关文章 | 计量指标

Select

网络安全等级保护测评中结论产生的定量计算方法研究

马力

2020 (3): 1-8. doi: 10.3969/j.issn.1671-1122.2020.03.001

摘要 ( 635 )

HTML ( 14 )

PDF(7080KB) ( 212 )

国家网络安全等级保护标准结构和内容的变化,尤其是与等级测评环节有关的标准的变化,带来了等级测评产生结论的变化,而如何通过定量计算方法合理准确地反映等级保护对象的安全保护状况和具有的安全保护能力,一直是安全等级测评探索的方向。文章研究分析了等级测评结论的产生原理,提出了基于测评指标和测评对象的定量分析方法,通过实例证明测评指标和测评对象的权重赋值直接影响定量分析的最终结果。为了获得更加准确和具有说服力的测评结论,需要在定量计算方法中探索测评指标和测评对象的合理权重赋值方法。

数据和表 | 参考文献 | 相关文章 | 计量指标

Select

一种基于拓扑分析的网络攻击流量分流和阻断方法

宋宇波, 樊明, 杨俊杰, 胡爱群

2020 (3): 9-17. doi: 10.3969/j.issn.1671-1122.2020.03.002

摘要 ( 831 )

HTML ( 15 )

PDF(8848KB) ( 213 )

现有的针对流量型网络攻击的防御方法主要是在监测点发现异常后对流量进行阻断,仅能降低所在路径的攻击流量但无法降低整个网络的负载。针对这种情况,文章提出一种基于拓扑分析的网络攻击流量分流和阻断方法,基于拓扑分析从网络全局角度出发实现攻击流量分流阻断。该方法基于多种发现策略获取网络拓扑,在网络攻击阶段采用基于K条最短路径分流的方法实现网络流量分流;同时基于主机行为特征对网络攻击进行溯源,并采用基于流表的报文实时过滤方案进行阻断。实验结果表明,该方法具有系统开销小、鲁棒性好、阻断效率高的特点,实用价值较强。

数据和表 | 参考文献 | 相关文章 | 计量指标

Select

移动互联网的通行证式统一威胁管理架构

李宁, 李柏潮

2020 (3): 18-28. doi: 10.3969/j.issn.1671-1122.2020.03.003

摘要 ( 596 )

HTML ( 10 )

PDF(13062KB) ( 143 )

越来越多的恶意软件以智能手机为攻击目标,智能手机的安全是移动互联网所面临的重要问题之一。智能手机在运算能力、电量供应等方面受限,难以运行复杂的安全软件保障自身的安全,且统一威胁管理等安全设备的现有部署方法不适用于移动互联网。文章提出将移动终端安全作为网络的一项可定制的基础服务,设计了通行证式统一威胁管理架构及对应的通行证式统一威胁管理协议。在该架构中,安全策略不再与网络位置绑定,而是与用户身份绑定,使得用户移动到任何位置都可以获得按需的、差异化的安全服务。性能分析和实验表明,该架构对现有网络的改动小,具有良好的可扩展性;智能手机通信开销小;网络流量更加均衡,网络整体吞吐量得到提高。

数据和表 | 参考文献 | 相关文章 | 计量指标

Select

基于FBDH算法的容错可验证公钥可搜索加密方案

周权, 杨宁滨, 许舒美

2020 (3): 29-35. doi: 10.3969/j.issn.1671-1122.2020.03.004

摘要 ( 749 )

HTML ( 1 )

PDF(7085KB) ( 119 )

在云存储服务中,为了实现对用户检索数据的隐私保护,研究者们提出了可搜索加密方案,公钥可搜索加密方案是其中的一种有效密文检索方案。文章提出一个基于FBDH算法及ElGamal加密签名算法的公钥可搜索加密方案。首先,使用FBDH算法对数据明文加密,使得数据密文解密过程具有容错性且计算效率高。其次,通过ElGamal加密签名算法分别对数据拥有者身份加密及对关键词签名,使得云服务器成功验证关键词合法性后返回的密文可以被数据使用者验证其合法性。文章给出了方案满足计算正确性的证明,并利用挑战应答游戏证明了方案能够抵御离线关键词猜测攻击。

数据和表 | 参考文献 | 相关文章 | 计量指标

Select

云环境下基于Kubernetes集群系统的容器网络研究与优化

刘渊, 乔巍

2020 (3): 36-44. doi: 10.3969/j.issn.1671-1122.2020.03.005

摘要 ( 752 )

HTML ( 18 )

PDF(9838KB) ( 189 )

轻量级云基础架构对微服务的重要性不言而喻,很多基于容器的虚拟化服务被相继提出。在网络方面,容器网络接口技术保证了基于虚拟机的云和容器之间的连接异构网络服务。为了提高云系统的网络性能,文章研究了基于CNI技术的网络配置的详细设计,对基于Flannel的Kubernetes集群系统进行优化,提出了一种自适应Overlay Network与Directrouting结合模式的容器网络,并与多种基于CNI的网络拓展件性能进行了对比。针对集群网络无网络策略的缺陷,文章将Canal引入Flannel构架,增加了集群系统的网络策略功能,提高了网络访问安全性。文章搭建了测试集群系统,利用网络性能测试工具Iperf3对常见容器网络进行了性能测试。结果显示,该方案比原Flannel集群系统的容器网络传输速率平均提升25%左右,与其他方案相比,传输速率也有提升。该方案有利于实际环境集群系统的性能提升,实现了网络访问控制,增加了安全性。

数据和表 | 参考文献 | 相关文章 | 计量指标

Select

基于一致性预测算法的内网日志检测模型

顾兆军, 任怡彤, 刘春波, 王志

2020 (3): 45-50. doi: 10.3969/j.issn.1671-1122.2020.03.006

摘要 ( 695 )

HTML ( 17 )

PDF(7280KB) ( 200 )

机器学习是网络安全威胁检测系统的薄弱环节。不断进化的网络攻击利用数据的概念漂移躲避机器学习检测,导致检测模型随时间不断退化。文章通过一致性度量的统计学习方法,缓解基于日志分析的内网安全威胁检测模型的退化问题。相比于基于静态阈值的检测方法,一致性度量的统计学习方法可以动态适应不断进化的安全攻击,感知底层数据的概念漂移,缓解模型退化问题。文章实现了一个基于日志分析的内网安全检测模型,在HDFS数据集上有效发现了概念漂移趋势,缓解了模型退化。

数据和表 | 参考文献 | 相关文章 | 计量指标

Select

基于d级单粒子的可认证多方量子秘密共享协议

刘晓芬, 陈晓峰, 连桂仁, 林崧

2020 (3): 51-55. doi: 10.3969/j.issn.1671-1122.2020.03.007

摘要 ( 594 )

HTML ( 2 )

PDF(5963KB) ( 218 )

文章利用量子傅里叶变换,提出一个可认证多方量子秘密共享协议。在该协议中,d级单粒子作为信息载体在秘密拥有者和代理人之间传输,代理人利用两类广义Pauli算子进行编码操作,拥有者通过对信号粒子的测量得到秘密。在重构过程中,当且仅当所有代理人协作才能恢复出该秘密。同时,文章结合经典Hash函数对代理人身份进行认证,并将身份认证过程与信道窃听检测结合起来,提高协议的检测效率。文章对协议的安全性和认证性进行了详细的讨论,证明该协议在理论上是安全的。

参考文献 | 相关文章 | 计量指标

Select

区块链性能扩展与安全研究

毛志来, 刘亚楠, 孙惠平, 陈钟

2020 (3): 56-64. doi: 10.3969/j.issn.1671-1122.2020.03.008

摘要 ( 921 )

HTML ( 25 )

PDF(10411KB) ( 470 )

区块链是一种由所有成员共同维护的分布式账本,难以篡改是其主要特征,能够实现在不依赖第三方可信机构的开放网络中建立信任。如今,越来越多的应用场景尝试使用区块链,但实际使用中存在性能效率低下、扩展性差等比较显著的问题,难以满足业务发展的需要。因此,解决区块链的性能扩展性问题、提高区块链性能,是区块链发挥其潜力的重要前提。区块链的性能扩展性问题已经引起了学术界和产业界的广泛关注。文章描述了区块链性能问题的现状,根据区块链里的交易处理流程,从交易、区块和共识3个方面对性能问题进行了分析建模,总结了经典的区块链性能扩展机制和近期提出的一些区块链性能扩展机制的原理、特征及安全性,讨论了性能扩展的场景性和分布式账本新技术,并思考了下一步性能扩展研究应着重解决的问题。

数据和表 | 参考文献 | 相关文章 | 计量指标

Select

一种防范TLS协议降级攻击的浏览器安全模型

张兴隆, 李钰汀, 程庆丰, 郭路路

2020 (3): 65-74. doi: 10.3969/j.issn.1671-1122.2020.03.009

摘要 ( 939 )

HTML ( 8 )

PDF(11103KB) ( 182 )

在TLS握手期间,攻击者可以利用一个或两个通信方对旧版本或弱密码套件的支持发起一系列的攻击,这种攻击被称为降级攻击。近年来与TLS相关的降级攻击被广泛研究,可以发现这些攻击并非完全相同,现有文献缺乏一种有效的分类法对它们进行分类和比较,从而在全局视角下研究降级攻击。基于此,文章提出了一种降级攻击的分类方法,并按照该方法对15种已经公开发布的针对TLS协议的降级攻击方法进行了分类。进一步,文章提出了一种轻量级机制,用于Web浏览器中的细粒度TLS安全配置。该机制允许浏览器为进入敏感域的连接强制实施最佳TLS安全配置,同时保持其余连接实施默认配置,从而检测并防止降级攻击和服务器错误配置。

数据和表 | 参考文献 | 相关文章 | 计量指标

Select

基于授权记录的云存储加密数据去重方法

张艺, 刘红燕, 咸鹤群, 田呈亮

2020 (3): 75-82. doi: 10.3969/j.issn.1671-1122.2020.03.010

摘要 ( 565 )

HTML ( 7 )

PDF(8829KB) ( 159 )

数据去重技术用于删除云存储系统中的冗余数据,可以提高存储效率,节约网络带宽。用户为了保护数据隐私,通常将数据加密后上传至云服务器,这给数据去重操作带来了较大的困难。如何在保证数据隐私的前提下,实现安全高效的数据去重是云计算安全领域研究的热点问题。因此,文章提出了一种基于授权记录的云存储加密数据去重方法,该方法基于双线性映射构造数据标签,设计了一种授权记录存储结构。根据数据流行程度,采用不同的加密方式,利用代理重加密进行密钥转换,无须实时在线的第三方参与,确保标签不泄露任何明文信息,实现数据的所有权验证,可以确保去重数据的安全性。文章分析并证明了所提方案的安全性和正确性,实验结果也说明了方案的可行性和高效性。

数据和表 | 参考文献 | 相关文章 | 计量指标

Select

基于iTrace_v6的IPv6网络攻击溯源研究

王腾飞, 蔡满春, 芦天亮, 岳婷

2020 (3): 83-89. doi: 10.3969/j.issn.1671-1122.2020.03.011

摘要 ( 723 )

HTML ( 17 )

PDF(8062KB) ( 148 )

网络攻击追踪溯源技术作为一种主动的安全防御反制技术,是信息安全技术体系中应急响应的重要技术手段。IPv4网络的网络攻击溯源技术已有大量的研究成果,但由于路由器算力有限、对链路负面影响较大、日志系统部署困难等因素,一些溯源技术只能停滞在实验验证阶段;已成型的一些网络攻击回溯系统也存在着存储开销大、需要较多人工干预等方面的缺陷;在IPv6网络中,IP数据报格式、路由协议等发生了较大的改变,并且新出现的邻居发现协议等使得网络攻击手段更加多样,IPv6网络迫切需要高效稳定的网络攻击溯源方法。结合IPv6网络的特点,文章提出了一种基于iTrace_v6的IPv6网络攻击溯源方案,通过双重触发机制提高溯源包生成的效率,能够在显著减少对攻击持续时间依赖的情况下完成攻击路径的还原,通过区间阈值的使用来避免对网络链路的负面影响。基于NS3的仿真网络实验表明,本文算法性能优于已有的算法。

数据和表 | 参考文献 | 相关文章 | 计量指标

Select

支持撤销属性和外包解密的CP-ABE方案

刘鹏, 何倩, 刘汪洋, 程序

2020 (3): 90-97. doi: 10.3969/j.issn.1671-1122.2020.03.012

摘要 ( 640 )

HTML ( 21 )

PDF(9175KB) ( 146 )

属性基加密机制能够为云环境下的数据分享和管理提供灵活的访问控制方案。然而,传统的属性基加密方案存在解密复杂度高和属性撤销困难的问题,导致属性基加密机制在实际中的应用受限。针对上述问题,文章提出一种支持撤销属性和外包解密的密文策略属性基加密方案,该方案在属性撤销过程只需更新对应的密文组件,有效降低密文更新的计算开销,并且属性撤销过程对用户是透明的,用户不需要参与密文和密钥的更新,减少了属性撤销对用户的影响。同时,引入解密代理将解密过程中计算开销较大的部分外包到服务端,降低用户端解密开销。安全性分析表明,该方案可以抵抗联合共谋以及选择性明文攻击,并通过对比分析得到该方案在密文更新和解密过程的计算开销均具有一定的优势。

数据和表 | 参考文献 | 相关文章 | 计量指标

期刊目录