当期目录

    2019年 第5卷 第3期    刊出日期:2020-03-15
    特别策划
    2018年瑞星网络安全报告与趋势展望
    吕云峰
    2019, 5(3):  186-191. 
    摘要 ( )   PDF (3677KB) ( )  
    相关文章 | 计量指标
    学术论文
    区块链智能合约安全研究
    黄凯峰 张胜利 金石
    2019, 5(3):  192-206. 
    摘要 ( )   PDF (4011KB) ( )  
    参考文献 | 相关文章 | 计量指标
    区块链是通过去中心化、去信任化的方式维护的分布式账本,其发展可以划分为3个阶段:区块链1.0,2.0和3.0.区块链1.0以比特币为代表,提供了非图灵完备的脚本语言;区块链2.0以以太坊为代表,在比特币的基础上引入了智能合约的概念,提供了图灵完备的可编程语言Solidity,使得区块链的应用范围从单纯的货币领域拓展到其他领域;区块链3.0将会是可编程世界,社会各行各业都以自治的方式运转.智能合约作为区块链2.0最为显著的特点,在构建去中心化应用中发挥了重要的作用.但近年来,智能合约安全事件频发,给项目方和投资方带来了巨大损失,智能合约的安全问题逐渐引来多方的关注.首先介绍了区块链的基本概念,接着阐述了以太坊相关知识,然后对智能合约作了全面的介绍,包括运行环境、构成、部署流程和工作原理.主体对现存已知的智能合约漏洞进行分类总结,并且对每一类漏洞都给出解决方法.
    保险行业区块链应用研究
    何定 庄伟铭 刘洋 陈婧 关欣
    2019, 5(3):  207-216. 
    摘要 ( )   PDF (4379KB) ( )  
    参考文献 | 相关文章 | 计量指标
    试图结合笔者近年来在保险行业的区块链技术应用实践,梳理出区块链在保险行业的应用场景,分析保险公司运用区块链技术时面临的挑战,从区块链联盟链治理角度首次提出联盟链应用的治理模型(consortium blockchain governance model, CBGM),期望对保险公司运用区块链技术起到一定的参考作用.
    一种椭圆曲线数字签名的改进方案
    陈亚茹 丛培强 陈庄
    2019, 5(3):  217-222. 
    摘要 ( )   PDF (1404KB) ( )  
    参考文献 | 相关文章 | 计量指标
    阐述了目前椭圆曲线数字签名(elliptic curve digital signature, ECDSA)存在的问题,针对ECDSA存在的问题提出了改进的方案,并分析了该方案虽然提高了ECDSA的计算效率,但未考虑伪造签名攻击的问题.从椭圆曲线数字签名的安全性和计算高效性出发,提出了一种椭圆曲线数字签名的改进方案,通过理论和仿真实验证明了方案的安全性和高效性.研究结果表明,改进的方案通过标量乘运算2次和逆运算1次,提高了数字签名的计算效率和防止数字签名伪造攻击.
    基于MD5的CSRF防御模块的设计与实现
    叶超
    2019, 5(3):  223-229. 
    摘要 ( )   PDF (2018KB) ( )  
    参考文献 | 相关文章 | 计量指标
    自20世纪90年代互联网向公众开放,使用互联网的人数激增,不论是生活、工作还是学习都与互联网密不可分.很多互联网服务与应用都是以Web形式提供给用户,所以Web应用程序的安全成为重中之重.其中跨站请求伪造(crosssite request forgery, CSRF)由于容易被忽略而被称为“沉睡的巨人”,其安全隐患较高.针对CSRF攻击模式,研究设计了一种基于MD5消息摘要算法的随机化参数名的CSRF防御模块,该模块主要利用Java过滤器Filter实现,通过为统一资源定位符号(URL)中的参数名称以及Form表单中的参数名称等添加由MD5消息摘要算法生成的随机参数,增加攻击者进行请求伪造的难度,而达到CSRF防御的目的,从而保障用户的安全.测试实验结果表明该方法效果较好,能有效防御CSRF攻击;增加该防御模块对Web服务器的性能影响较小并且在可接受范围内.
    从传统到深度学习的图像隐写技术研究
    周琳娜 曹洋
    2019, 5(3):  230-235. 
    摘要 ( )   PDF (1665KB) ( )  
    参考文献 | 相关文章 | 计量指标
    通过归纳总结典型的传统嵌入式图像隐写算法和基于深度学习的新式非嵌入式图像隐写算法机制,指出在该领域中,传统式难以抵抗当前基于先进机器学习的隐写分析技术,而新式存在嵌入容量不高、嵌入过程比较复杂等问题.进而提出基于无嵌入式思路设计的生成对抗网络或者改进后的深度卷积生成对抗网路,将传统和新式算法结合统一,互相弥补不足,进一步发展图像隐写技术.
    一种基于负载特征预测的容器云弹性伸缩策略
    马小淋
    2019, 5(3):  236-241. 
    摘要 ( )   PDF (1649KB) ( )  
    参考文献 | 相关文章 | 计量指标
    当前主流的容器云平台Kubernetes,利用基于阈值的弹性伸缩策略提供弹性伸缩服务时存在2个问题:一是不区分应用类型,采用单一指标不能准确衡量复合型应用负载情况;二是在应用遭遇暂时的负载增减时容易造成伸缩抖动,导致额外的系统耗费和资源浪费.针对上述问题,提出一种基于负载特征预测的容器云弹性伸缩策略,该策略利用不同的负载特征区分应用类型,对复合型应用类型采取多个指标衡量负载情况;为减少无谓的伸缩抖动,该策略同时利用应用的负载预测值和当前负载值共同进行伸缩决策.实验结果表明,与Kubernetes基于阈值的弹性伸缩策略相比较,该策略能更准确衡量CPUMEM复合型应用负载情况,在应用遭遇暂时性负载增减时能减少无谓的伸缩抖动.
    大数据平台数据安全防护技术
    包英明
    2019, 5(3):  242-247. 
    摘要 ( )   PDF (1519KB) ( )  
    参考文献 | 相关文章 | 计量指标
    大数据技术越来越成熟,大数据的应用也雨后春笋般建立起来,大数据面临的信息安全问题、发生的信息安全事件也逐步显现出来.本次研究的内容主要是大数据平台中数据全生命周期的安全保护技术,包括数据分类分级、对数据访问权限控制、对存储数据提供数据加密保护、对数据在应用过程中进行静态数据脱敏和动态数据脱敏、对数据的访问活动进行综合日志审计以及数据通过业务、终端的敏感数据泄露防护,为大数据平台中的数据提供全生命周期过程中的数据安全保护.
    一种越权漏洞攻击方法实例研究
    赵川 徐雁飞
    2019, 5(3):  248-252. 
    摘要 ( )   PDF (2496KB) ( )  
    参考文献 | 相关文章 | 计量指标
    越权漏洞是Web应用系统中一种常见的漏洞类型,被OWASP评为Top10风险,漏洞往往会导致敏感信息的泄露或数据被非法篡改.针对某省市个人社保经办系统,给出了一种攻击方法实例,采用渗透测试方法,从用户冒用、数据截取、报文修改及自动化扒取4个方面深入介绍了攻击流程、漏洞利用结果,分析了与其他漏洞之间的关联性关系及可能造成的风险.最后对漏洞原理进行说明,给出了几种漏洞防护策略.研究证明了越权漏洞在互联网大数据时代可能造成的严重后果,也反映了作为网络系统运营方保护其重要信息系统网络安全的迫切性与必要性.关键词越权;信息泄露;大数据;渗透测试;访问控制
    技术应用
    一种安全增强型云计算身份认证方案
    蔡友保 冯暄 陈翼 王斯梁
    2019, 5(3):  253-256. 
    摘要 ( )   PDF (1365KB) ( )  
    参考文献 | 相关文章 | 计量指标
    云计算环境相对于传统的IT系统具有虚拟化、多用户、分布式等新特征,现有基于“用户名+口令”的认证方式在高安全领域存在诸如易冒用和中间人攻击等风险.有鉴于此,本文提出一种在高安全环境下实现云身份认证的解决方案,在云终端中使用USBKey,利用“USBKey+PIN码”的方式实现双因子强身份认证,并结合数字证书技术,对现有远程桌面协议进行安全增强,将云终端的USBKey设备安全可控地映射至虚拟桌面中,建立虚拟桌面连接安全通道,实现用户登录云服务器强身份认证.本方案已应用到我院科技大数据平台研发中,取得较好的效果.
    公共资源交易平台的信息安全要求及检测分析
    李琳 高员 刘宇
    2019, 5(3):  257-260. 
    摘要 ( )   PDF (1096KB) ( )  
    参考文献 | 相关文章 | 计量指标
    近年来,我国电子招投标蓬勃发展,许多公共资源交易中心建立了电子化平台.但由于系统初期的设计需求和开发情况存在差异性,使得各个系统的质量存在明显的差距,其中系统的信息安全防护能力也是衡量电子招标投标系统质量的一项重要指标,甚至可能影响电子招标投标系统的推广和应用.重点梳理公共资源交易平台中基础设施和电子系统的信息安全要求,并结合安全要求,给出电子招投标系统的主要安全检测方法.
    专家视点
    中国IPv6发展与网络安全挑战赵肃波
    赵肃波
    2019, 5(3):  261-272. 
    摘要 ( )   PDF (4289KB) ( )  
    参考文献 | 相关文章 | 计量指标
    由于全球IPv4地址可分配资源枯竭,IPv4未来发展已经走入死胡同.中国的IPv6网络发展远远落后于世界发达国家,2018年7月12日,工信部宣布中国基础电信运营商4G LTE网络启用IPv6,宣告了中国互联网正式进入IPv6时代.IPv6比IPv4有明显的优势,但是IPv6技术特点决定了其特有的网络安全问题. 中国对IPv6升级的网络安全变化缺乏足够准备,可能出现很多网络安全风险.构建安全可信的IPv6网络,是中国互联网IPv6演进升级的保障.