当期目录

2021年 第7卷 第4期    刊出日期：2021-04-05

上一期    下一期

学术论文

图像对抗样本的安全性研究概述

徐金才 任民 李琦 孙哲南

2021, 7(4):  294-309. 

摘要 ( )   PDF (3078KB) ( )  

参考文献 | 相关文章 | 计量指标

计算机性能的提高和深度学习的出现，使得人工智能技术实现了广泛的应用。深度学习模型的安全性问题受到了广泛的关注。对抗样本的存在是深度学习应用场景的主要威胁之一，限制了诸如人脸识别、自动驾驶等隐私安全性要求较高的应用场景。深度学习模型除了需要神经网络有良好的性能外，还需要它有足够的鲁棒性。令人担心的是，深度神经网络是否可以稳定可靠有效的应用在现实世界中？如果我们对深度神经网络的认知仅仅停留在一个黑盒模型，对于输入有良好的输出效果，那很难放心的将它应用在现实中。论文介绍了对抗样本存在的原因，分类归纳了对抗攻击和对抗防御的算法。同时使用MNIST、CIFAR-10、ImageNet数据集对相关代表性的方法进行了实验验证，最后对这一领域的发展趋势进行了展望。

基于区块链的云边协同系统研究与设计

金韬 庄丽婉 张晨 黄韬

2021, 7(4):  310-318. 

摘要 ( )   PDF (2283KB) ( )  

参考文献 | 相关文章 | 计量指标

云边协同可有效解决边缘应用数量急速增长，数据来源广，数据量庞大的问题，但目前用户在使用云边协同服务时面临着可信性、可靠性、公平性的问题，在一定程度上制约了云边协同的发展。本文提出了基于区块链的云边协同业务系统，利用联盟链框架，针对认证授权、调度采集、结算监管等流程进行了设计并引入信誉机制，为云边协同提供平台化的接入调度与自动化的结算方案，解决用户面临的可信性、可靠性、公平性问题。通过云边协同与区块链技术相结合，用户能够提出个性化的应用部署需求，由系统在用户与不同的云服务商间进行自动化的、不可篡改的应用调度与结算，当云服务商无法满足用户需求或发生违约时，用户应用可在云服务商间自动切换。本系统有效解决了云边协同平台可信性、可靠性、公平性问题，区块链在云计算方面体现出了巨大的应用潜力。

基于可信硬件的隐私数据可搜索加密加速方法研究

杨光远 杨大利 张羽 马利民 张伟

2021, 7(4):  319-327. 

摘要 ( )   PDF (1620KB) ( )  

参考文献 | 相关文章 | 计量指标

可搜索加密(Serachable Encryption，SE)是构建加密数据库的关键技术之一。它允许服务器在不解密的情况下搜索加密数据。为了解决传统SE方案降低SE查询效率，增加客户端和服务器之间通信成本这两个问题，提出了采用硬件辅助解决方案（例如Intel SGX）来解决上述问题，关键思想是利用SGX来接管客户端跟踪关键字、添加数据、缓存删除的数据等任务。实验结果表明通过在传统的可搜索加密方案中引入硬件辅助解决方案，有效地降低了客户端与不可信服务器之间的通信开销，并且提高了加密数据的查询性能。

信创体系下的浏览器安全可信架构研究

张晓兵 孟繁盛

2021, 7(4):  328-334. 

摘要 ( )   PDF (2293KB) ( )  

参考文献 | 相关文章 | 计量指标

随着全球信息化的飞速发展，整个世界正在迅速地融为一体，大量建设的各种信息化系统已经成为国家和政府的关键基础设施．众多的企业、组织、政府部门与机构都在组建和发展自己的网络，并连接到上，以充分共享、利用网络的信息和资源．整个国家和社会对网络的依赖程度也越来越大，网络已经成为社会和经济发展的强大推动力，其地位越来越重要．但是，当资源共享广泛用于政治、军事、经济以及科学各个领域的同时，也产生了各种各样的问题，其中安全问题尤为突出[1]，本文重点介绍了当前浏览器的发展情况，浏览器面临的安全威胁，以及信创体系下浏览器应当具备的安全能力．作为用户与网络信息世界的接口，本文仍探讨了信创体系下浏览器的安全解决方案．

基于数据治理的欧盟法律体系建构研究

林梓瀚

2021, 7(4):  335-341. 

摘要 ( )   PDF (884KB) ( )  

参考文献 | 相关文章 | 计量指标

随着人工智能、区块链、物联网、5G等新技术的发展所带来的数据治理问题日益引起人们关注，如何保护数据安全，维护个人隐私，实现数据的科学化、系统化治理值得深入研究.欧盟在数据治理领域一直走在全球的最前沿，基于对欧盟数据治理相关法案及文献的梳理及分析研究，发现欧盟数据治理法律体系的建构演进主要分为1981年的公约阶段、1995年的指令阶段、2016年的条例阶段、2018年的条例配套法律阶段以及2020年的数据战略阶段.欧盟从《通用数据保护条例》开始，围绕《通用数据保护条例》打造配套律法并提出数据战略，形成了基于数据治理的法律体系.通过对欧盟数据治理法律规律的研究总结，认为我国应该继续维护我国的数据安全与主权，同时继续驱动数据赋能数字经济.

基于国密算法的ACARS数据保护技术

吴滢 马睿 邹成智 王紫怡

2021, 7(4):  342-350. 

摘要 ( )   PDF (3500KB) ( )  

参考文献 | 相关文章 | 计量指标

ACARS系统即飞机通信寻址与报告系统，是一种在航空器和地面站之间通过无线电传输短消息的数字数据链系统。ACARS报文中包含许多重要的内部数据，但当前的ACARS报文未经过任何处理直接进行传输，这就会带来各种影响系统安全性的问题，比如人们可以很轻松地使用相应的无线电收发设备来获取、监控甚至处理ACARS报文信息，从而获得内部数据，导致数据泄露。为了保障ACARS的数据安全，采用国产密码实现----加密。采用真实的ACARS数据进行测试，结果表明本文的加密方法可以实现ACARS数据链的数据安全和隐私保护的目的。本实验方案分别采用了两种国密算法SM2和SM4，实现了ACARS报文的加解密，确保了ACARS系统安全性的进一步提高。 

基于强化学习的特征提取方法在攻击识别中的应用

李晓明 王文晖 任琳琳 晏涌 陈兆玉 沙芸 刘学君

2021, 7(4):  351-358. 

摘要 ( )   PDF (1396KB) ( )  

参考文献 | 相关文章 | 计量指标

针对工控数据集特征数量较大时的分类准确率较低和训练时间较长等问题，本文提出了一种采用强化学习来进行特征提取对数据集进行预处理的方法。首先，通过强化学习确定过程矩阵和决策矩阵，再根据决策矩阵进行特征提取，获得预处理数据集。将NSL-KDD、自建数据集和密西西比数据集的原始数据集、PCA和强化学习后的数据集分别用神经网络和SVM训练并进行分类，实验结果表明，该方法适用特征关联度较低的数据集进行神经网络训练。强化学习能有效提高分类的准确率、精确率等指标，并减少运行时间，提高效率。

基于FIDO技术的物联网身份认证解决方案

李 俊 柴海新

2021, 7(4):  358-366. 

摘要 ( )   PDF (3553KB) ( )  

参考文献 | 相关文章 | 计量指标

物联网系统具备设备类型多样化、窄带宽、低时延、异构环境以及海量隐私信息等特点，传统身份认证方式已经不能满足物联网身份认证需求。轻量化设计的FIDO协议将认证手段和认证协议进行解耦合，使用公钥体制实现安全、便捷并且保护用户隐私的身份认证。通过对物联网复杂认证场景的分析，将FIDO服务器进行灵活按需部署，提出了基于FIDO技术的物联网身份认证解决方案，全面覆盖“云”、“网”、“边”、“端”，实现了对于用户、设备和服务之间的交叉认证。对物联网设备的全生命周期管理以及设备密钥种类和关系进行分析，并对方案所具备的轻量化、去中心化和零信任理念等优势和特点进行了总结，为物联网身份认证提供了参考。

技术应用

车载IVI应用转码保护的研究

田坤 刘兴伟 马宏亮

2021, 7(4):  367-373. 

摘要 ( )   PDF (1559KB) ( )  

参考文献 | 相关文章 | 计量指标

随着车联网业务系统的不断发展，车控APP作为承载用户和车企的桥梁，体现的作用越来越重要，因此，对车控APP自身安全的预研有利于提高整个车联网的安全性。文章对车控APP的汇编代码结构进行分析，通过虚拟机转码引擎对车控APP的smali汇编代码进行转码保护，形成Native C/C++代码。实验验证表明，该方法能够有效对抗逆向分析，经过转码后的smali汇编代码，不具备被还原的能力，同时也起到了防2次打包、防盗版的作用，达到保护车载IVI应用代码的目的。

基于Intel SGX的Kerberos安全增强方案

王冠 苗艺雪

2021, 7(4):  374-383. 

摘要 ( )   PDF (1975KB) ( )  

参考文献 | 相关文章 | 计量指标

Kerberos是广泛应用于云计算，物联网等场景下的身份认证系统，其密钥分发中心（key distribution center, KDC）的数据库存储着明文的密钥信息，在分布式环境中具有存储管理、内存泄露等安全隐患，进而影响身份认证系统的安全.因此提出基于Intel SGX（software guard extensions）的Kerberos安全增强方案，将密钥的初始化和身份认证流程中涉及密钥使用模块迁移至SGX提供的安全隔离区域Enclave中，通过基于硬件支持的内存隔离机制动态保护密钥；在安全区内使用密封机制密封存储至数据库.通过实验证明了本方案能够保障密钥动态和静态的机密性和完整性，减小了可信计算基础的范围.而性能评估显示, 本文方案在保障密钥运行和存储安全的同时，性能的额外开销也在可接受范围之内.

基于多技术融合的密码计算资源池研究

李向锋 傅大鹏 李敏

2021, 7(4):  384-388. 

摘要 ( )   PDF (1295KB) ( )  

参考文献 | 相关文章 | 计量指标

云密码服务是近年来密码学研究和产业发展的热点，与传统密码方案不同，云密码服务需要支持在虚拟化环境、云架构系统、虚拟化边界中使用，同时需要满足云计算的易于水平扩展、弹性计算、资源共享、按需服务的要求。而传统密码设备的静态部署、静态配置的方式显然无法满足这样的要求。因此在云密码服务中，通常设计密码计算资源池实现密码功能，通过密码计算能力池化、共享、调度以及配套的密钥管理、密码资源管理、运营维护等机制为云架构的应用系统提供密码能力支撑，这也是是云密码服务研究的关键。本文分析了近年来微内核操作系统、CPU安全增强技术、基于virtio的半虚拟化技术等多种新技术在密码方面的应用场景，提出了一种构建大型密码计算资源池的云密码服务技术新思路，借助CPU安全技术和微内核操作系统实现软件密码计算单元以实现大规模、易于水平扩展的密码计算能力供应，借助半虚拟化实现虚拟密码模块，将密码资源池的能力映射到虚拟空间，最后借助微内核操作系统技术，实现虚拟化环境中密码能力的封装、编排与串接。