信息安全研究

任子行，坚持走信息安全自主创新之路——透视任子行的信息与网络安全战略

崔传桢

2016, 2(12): 1054-1067.

摘要 ( )

PDF (5217KB) ( )

相关文章 | 计量指标

XSS漏洞研究综述

孙伟

2016, 2(12): 1068-1080.

摘要 ( )

PDF (9483KB) ( )

参考文献 | 相关文章 | 计量指标

跨站脚本(cross-site scripting, XSS)是一种常见的针对Web应用程序安全漏洞的攻击．恶意用户利用漏洞将恶意脚本注入网页之中，当用户浏览该网页时，便会触发脚本，导致攻击行为发生．由于HTML编码方案的高度灵活性，攻击者可通过多种方法绕过输入验证过滤器，导致XSS难以被发现和预防．为了有效减少XSS造成的危害损失，依照XSS的分类，对反射型XSS、存储型XSS和基于DOM的XSS特征及原理进行了细致的分析和对比，并对数量庞大、形态各异的XSS攻击向量进行归纳和梳理，通过举例对Cookie窃取、会话劫持、钓鱼欺骗等XSS常见利用方式进行说明，并对常用的XSS防御手段进行整理，最后对静态分析、动态分析、机器学习等主流的XSS漏洞自动化检测方法进行总结.

智能合约的形式化验证方法

胡凯

2016, 2(12): 1080-1089.

摘要 ( )

PDF (7621KB) ( )

参考文献 | 相关文章 | 计量指标

智能合约是一种代码合约和算法合同，将成为未来数字社会的基础技术，它利用协议和用户接口，完成合约过程的所有步骤.总结了智能合约主要技术特点和现存的可信、安全等问题，提出将形式化方法应用于智能合约的建模、模型检测和模型验证过程，以支持规模化智能合约的生成.研究提出了一个应用于智能合约生命周期的形式化验证框架和验证方法，针对一个智能购物场景，采用Promela建模语言对智能购物合约进行建模，用SPIN进行了模型检测，验证了形式化方法对智能合约的作用.

区块链关键技术中的安全性研究

朱岩

2016, 2(12): 1090-1097.

摘要 ( )

PDF (6838KB) ( )

参考文献 | 相关文章 | 计量指标

区块链技术作为密码货币和比特币的底层技术，正在吸引着越来越多的人员投入进来.有别于传统信息系统的中心化他信机制，区块链是一种去中心化或者多中心化的共信机制，这对人们的信任机制产生了很大的影响，并促使人们开始重视区块链中的安全技术.对区块链中的关键技术及其安全架构展开了研究，阐述了区块链如何通过P2P网络技术、分布式账本技术、非对称加解密技术、共识机制技术、智能合约技术来实现对其数据完整性、不可否认性、隐私性、一致性等的安全保护.此外，也对一些新的安全威胁和措施进行分析，例如，防止由于交易风暴引起的拒绝服务技术、保护区块链信息隐私的密文访问控制技术、以及防止因为密钥丢失或者泄露所引起的数字资产丢失或者被盗的密钥管理技术等等.也对区块链技术与人工智能、大数据、物联网、云计算、移动互联网技术相融合之后可能出现的新安全问题和安全技术进行了探讨.

安全数据空间构建方法研究及其应用

孙伟

2016, 2(12): 1098-1104.

摘要 ( )

PDF (6721KB) ( )

参考文献 | 相关文章 | 计量指标

近年来，我国电子政务的快速发展带来一系列数据安全问题：数据与用户关联不够紧密、数据与业务流程映射关系不清晰、缺乏应对新的数据安全风险等问题.针对上述问题，提出安全数据空间构建方法(包括二维和三维2个层次的空间).其中二维数据空间通过梳理业务流与数据流的关系并确定数据关联用户，构建数据主权和边界明确、数据流向清晰的二维区域；三维安全数据空间在二维基础上，结合数据防护手段，保护数据主权和边界、分析和管控数据流向.安全数据空间方法在现行电子政务系统中进行了实践应用，取得了较好的效果.安全数据空间方法还可以扩展到其他行业信息系统，帮助指导改进其数据安全性.

基于新闻流的信息安全事件发现

徐建忠

2016, 2(12): 1105-1109.

摘要 ( )

PDF (3929KB) ( )

参考文献 | 相关文章 | 计量指标

随着互联网的广泛普及，人们可以更方便地从网络上获取信息，甚至随时随地都可以通过网络同外界进行交互.方便获取信息的同时也带了诸如信息泄露、账户密码失窃等安全问题，因此信息安全越来越受到大众的关注.网络新闻作为时下的主流媒体之一，其中包含了大量人们关注的问题，包括近期发生的各种信息安全事件等.然而，这些信息往往淹没在海量的网络文档中，大众难以快速了解近期国内外发生的关于信息安全的大事件.因此，建立一种自动发现梳理信息安全事件的方法具有一定的现实意义.将单个句子作为表述“信息安全事件”的单元，应用机器学习算法判断句子中是否包含“信息安全事件”相关信息，从新闻文档中抽取出包含“信息安全事件”内容的句子作为所需要的结果.通过人工构建训练数据集、句子特征设计和支持向量机(support vector machine, SVM)模型训练，建立了一种自动从新闻文档中抽取“信息安全事件”相关句子的方法.实验结果表明，该方法在信息安全事件的发现方面有着较高的准确率和召回率，验证了所提方法的有效性.

基于关键节点的社会网络治理路径研究

李阳

2016, 2(12): 1110-1113.

摘要 ( )

PDF (3391KB) ( )

参考文献 | 相关文章 | 计量指标

互联网+时代的到来，社会网络被赋予了全新的内涵与功能，其中关键节点在拓扑结构中占据了重要的位置，在社会网络中承载着重要的功能.随着社会网络中数据规模的不断增加，关键节点的承载数据蕴含了重要的价值，立足对关键节点的挖掘，发挥关键节点在社会网络中的导向作用，有利于了解社会网络的运行机理与规律，进一步创新社会网络治理方式，使之更好地服务于我国的经济社会.

视频监控系统中一种基于HTTP摘要安全认证设计

王永建

2016, 2(12): 1114-1121.

摘要 ( )

PDF (4859KB) ( )

参考文献 | 相关文章 | 计量指标

在平安城市的建设中，视频监控系统中客户端的安全认证非常关键.为了弥补SIP的不足，设计了一种基于HTTP摘要的认证方案.首先简析了SIP与HTTP协议；设计了视频监控系统整体结构，定义了各主要组成部件的功能.然后设计了登录-N注销，获取设备属性列表.最后设计了认证流程、AG的质询消息头、MC的应答消息头、Response参数等实现方案.该设计思路对提高SIP协议的安全性具有一定借鉴意义.

智能手机的信息安全风险及防护对策研究

吴燕波

2016, 2(12): 1122-1128.

摘要 ( )

参考文献 | 相关文章 | 计量指标

近2年来移动互联网信息安全问题日趋复杂，手机系统遭受病毒感染和恶意软件窃取用户信息的情况相当严重.面对智能手机信息安全的严峻形势，信息安全保护具有极其重要的意义.结合实际，首先从智能手机的安全现状及常见泄密方式进行分析，然后从系统安全、应用安全及用户安全防范意识3个层面对智能手机的安全防护对策进行深入阐述，最后提出基于Android平台的手机防盗系统的设计框架.

风起“云”涌——云安全问题解析

张丽娜

2016, 2(12): 1128-1132.

摘要 ( )

PDF (1658KB) ( )

参考文献 | 相关文章 | 计量指标

当期目录