信息安全研究

李洋, 王萌萌, 朱建明, 王秀利, 王友卫,

2023, 9(4): 306.

摘要 ( )

PDF (934KB) ( )

参考文献 | 相关文章 | 计量指标

区块链是一种共享数据库，具有高度去中心化和可追溯性等优良特性.然而，数据泄露仍然是区块链交易的一大难题.为了解决这个问题，提出了带变量k的Paillier同态加密(Paillier homomorphic encryption with variable k, KPH)方案，这是一种新型区块链隐私保护策略，使用RSA公钥加密算法隐藏交易信息，利用FO承诺对交易金额的合法性进行零知识证明，并通过Paillier半同态加密算法的加法同态性更新交易金额.与典型的Paillier算法不同，KPH方案的Paillier算法包含变量k，并结合函数L和中国剩余定理，将算法的时间复杂度从O(|n|2+e)降低到O(logn)，使算法解密过程更加高效.

工业控制系统终端渗透测试应用研究

冯兆文, 马彦慧, 曹国彦,

2023, 9(4): 313.

摘要 ( )

PDF (3070KB) ( )

参考文献 | 相关文章 | 计量指标

随着工业互联网的发展，设备终端自身的安全问题越来越突出.如何对工业控制系统终端进行有效的安全测试已成为亟待研究和解决的关键问题.依据渗透测试流程，以输入验证错误漏洞渗透为例，研究工业控制系统终端的渗透测试应用方法.该方法从信息收集和渗透工具入手，对系统输入验证进行深入了解.在漏洞挖掘阶段，提出利用敏感测试输入对该漏洞的形式进行建模，并设计适用于工控程序的种子变异模式.该方法能够有效检测工控系统终端的输入验证错误漏洞，并发现大多数工控系统终端都存在同样的问题.实验中同时发现了由输入验证漏洞所产生的数据篡改、拒绝服务、权限获取和恶意脚本注入等安全威胁.最后为工控系统终端安全保护和设备防护提供了安全防护建议.

工业互联网环境下智能仪表安全任务一体化调度方法研究

刘璐, 朱越, 郭伟杰, 杜鑫, 周纯杰,

2023, 9(4): 321.

摘要 ( )

PDF (2474KB) ( )

参考文献 | 相关文章 | 计量指标

随着工业互联网的深入应用，工业控制系统从封闭隔离系统转变为开放互联系统的同时，引入了信息安全风险.传统工业控制系统仅靠防火墙等防护手段将无法抵御工业互联网中未知及新型信息攻击，攻击可在系统中渗透传播并危害到智能仪表，因此智能仪表本身应具有攻击检测及入侵响应能力，通过一系列信息安全任务调度实现信息安全防护.然而，信息安全任务与功能安全任务间存在潜在冲突，需要任务间协调调度以确保仪表安全稳定运行.针对智能仪表任务协调调度需求，提出仪表安全任务一体化调度方法，通过对仪表多类任务统一形式化描述的基础上协调任务间冗余及冲突关系，设计了静态动态混合调度算法，实现任务一体化实时调度，最后通过实验验证该方法的有效性和可行性.

5G网络商用密码应用研究

唐明环, 彭浩楠, 王伟忠, 查奇文, 王聪,

2023, 9(4): 331.

摘要 ( )

PDF (1197KB) ( )

参考文献 | 相关文章 | 计量指标

5G作为新一代移动通信网络基础设施，应用场景贯穿工业互联网、能源、交通、医疗、教育等生产生活的方方面面.终端大量接入、大规模网络部署、海量数据汇聚等特点为5G网络带来前所未有的安全风险，5G安全关系到社会发展、经济运行乃至国家安全，逐渐成为近年来国内外研究的热点.密码是保障网络与信息安全的核心技术和基础支撑，我国拥有自主知识产权的商用密码算法ZUC,SM4,SM3,SM2等经过十几年的发展，逐步在维护我国网络空间安全中发挥着越来越重要的作用.从5G网络架构及接口切入，分析了5G网络面临的安全风险，并提出了相应的商用密码应用方案，为5G网络商用密码应用实践提供参考.

基于文本关键词的对抗样本生成技术研究

王志强, 都迎迎, 林雨衡, 陈旭东,

2023, 9(4): 338.

摘要 ( )

PDF (2165KB) ( )

参考文献 | 相关文章 | 计量指标

深度学习模型已被广泛应用于处理自然语言任务，但最新研究表明对抗攻击会严重降低分类模型的准确率，使模型分类功能失效.针对深度学习模型处理自然语言任务时出现的脆弱性问题，提出一种新的对抗样本生成方法KeywordsAttack.该方法利用统计算法选择部分字词组成文本关键词集合，再根据关键词对模型分类结果贡献度大小进行迭代替换，直到成功误导分类模型或替换次数达到设定阈值.该方法针对中文的特点采用汉字拆分、拼音替换的方式生成对抗样本.最后，采用公开酒店购物评论数据集进行实验.实验结果表明，利用KeywordsAttack方法生成的对抗样本平均修改幅度占原始文本的18.2%，攻击BERT模型分类准确率约降低43%，攻击LSTM模型分类准确率约降低30%.该数据表明KeywordsAttack方法可以通过对文本进行较小的扰动成功误导分类模型，同时生成对抗样本过程中访问模型次数较少.

面向乱序执行漏洞测试的ARM处理器核隔离方法

赵旭, 王佳慧, 张伟, 马利民,

2023, 9(4): 347.

摘要 ( )

PDF (1904KB) ( )

参考文献 | 相关文章 | 计量指标

随着spectre，meltdown为代表的处理器微架构漏洞的发现，微架构安全漏洞逐渐引起了学术界的关注，针对相关微架构漏洞的自动化测试方案陆续出台.但是在真实的测试环境中，测试微架构环境会被中断或被调度系统打断干扰，造成有效测试用例的遗漏.因此提出面向乱序执行漏洞测试的ARM处理器核隔离方法.该方法通过利用ARM处理器与Linux内核对中断及调度的管理机制及相应的进程同步机制，在测试过程中将处理器核隔离出中断与调度系统，保证测试指令块的运行不会被中断及调度程序打断，并通过设计相应的同步机制保证进程切换过程中不会被其他进程插入执行，保证测试的有效性.

论个人信息删除权：特性、困境及完善路径——以新冠疫情防控为视角

石俊智

2023, 9(4): 356.

摘要 ( )

PDF (1078KB) ( )

参考文献 | 相关文章 | 计量指标

个人信息删除权是《中华人民共和国个人信息保护法》规定的个人在个人信息处理过程中享有的重要权利.个人信息删除权兼具公私法属性.从新冠疫情的突发公共卫生事件性质以及我国在疫情防控期间出台的相关规范性文件可知，当前的社会状态实质上可以等同于紧急状态.在此社会背景下，将个人信息删除权认定为公法上的权利能够有效发挥防御权、客观法功能，进而通过公权力的保护义务保障个人信息权益.在这种逻辑路径下，通过设立“个人请求公权力机关通知”的模式，利用政府信息公开制度公开个人信息处理标准，完善个人信息删除权的制度设计，解决实践中存在的新冠病毒感染者行权成本高、个人信息处理者义务履行难的问题.

关于二进制程序循环安全问题的研究

马金鑫

2023, 9(4): 364.

摘要 ( )

PDF (2829KB) ( )

相关文章 | 计量指标

循环是软件程序中的常见结构，对循环使用不当是造成程序安全问题的重要因素之一，循环安全问题检测对提升软件安全性具有重要意义.在二进制程序中，路径状态爆炸、循环建模等问题使得针对循环安全性的静态分析面临诸多挑战，传统方法对这些问题的处理能力相对不足.提出并实现了一种基于二进制程序静态分析的循环安全问题检测方法，能够对循环内存读写越界与循环不终止问题进行检测.首先，对二进制程序中的循环结构进行分析，提出一种基于控制流图的循环要素识别与提取方法；接着，提出专用于循环分析的多种路径搜索策略，对循环从入口到出口的路径进行排序与探测；然后，提出一种基于静态具体执行的函数建模方法,可有效解决循环中归纳函数调用引发的约束扩张问题.最后，提出一种循环谓词差分归纳分析方法检测二进制程序中由循环引发的安全问题.将该检测方法应用到真实程序中并与Angr作对比实验，结果表明该方法在循环安全问题检测方面具备较强的检测能力，可检测的循环安全问题数比Angr更多.

云计算场景商用密码应用研究

彭浩楠, 唐明环, 查奇文, 王伟忠, 王聪,

2023, 9(4): 375.

摘要 ( )

PDF (3447KB) ( )

参考文献 | 相关文章 | 计量指标

云计算使用户通过网络获取信息通信技术资源服务，这种的新型信息处理方式正在成为信息技术产业发展的必然趋势.用户、数据、信息资源高度集中、对云平台服务连续性的高度依赖、虚拟化的资源可扩展性等特点为云计算带来不可避免的安全风险.因此，如何利用商用密码技术防范云计算的安全风险成为当前的研究热点.从云计算网络架构切入，分析了云计算的密码应用需求，在此基础上设计了相应的云计算场景商用密码应用方案.研究成果为云计算场景下商用密码应用实践提供参考借鉴和理论指导，有望解决云计算安全关键问题.

基于模糊AHP-DEMATEL-VIKOR的电力终端安全性评估方法

吴昊, 赖宇阳, 熊智辉, 王建平, 王依云,

2023, 9(4): 382.

摘要 ( )

PDF (1091KB) ( )

参考文献 | 相关文章 | 计量指标

针对电力终端安全评估过程中未考虑语义模糊以及指标之间关联性的问题，提出了一种基于模糊AHPDEMATEL方法的权重确定方法，再利用VIKOR方法进行评估.首先将模糊理论引入AHP方法与DEMATEL方法中，解决语义模糊以及主观性过强对结果造成偏差的缺陷，同时通过计算中心度来判断指标在评估系统中的重要程度，解决指标间相互耦合对评估结果的影响.综合模糊AHP与DEMATEL方法，确定出综合权重.然后基于VIKOR方法，考虑决策者偏好，对5种不同电力终端的安全性进行评估.最后通过案例分析与方法对比，表明所提方法考虑语义模糊造成的评估过程中的不确定性，同时考虑安全性指标之间相互耦合问题，较为客观地对电力终端安全性进行评估.

复杂环境下能源企业内网综合防护体系研究

董之光, 帅训波, 冯梅

2023, 9(4): 390.

摘要 ( )

PDF (2901KB) ( )

参考文献 | 相关文章 | 计量指标

在网络安全威胁愈加复杂多元的背景下，能源企业内网的安全防护能力建设和提升已迫在眉睫.针对企业内网存在的对高威胁可持续性攻击抵御能力不足、横向渗透攻击难以防御以及内网僵尸网络难以根除等问题，对能源企业内网所面临的复杂威胁进行分析，提出了能源企业内网综合安全防护能力建设的体系设计，主要包括提高资产测绘发现能力；建立内网统一准入授权系统；完善内网细粒度安全控制策略；构建攻击识别模型和制度保障人才培养等关键措施.

公共区域电子显示屏安全管理

姚文利

2023, 9(4): 397.

摘要 ( )

PDF (629KB) ( )

参考文献 | 相关文章 | 计量指标

电子显示屏以其色彩鲜艳、图形清晰等优点，被广泛应用于地方政府、医院、停车场的信息发布以及体育场馆的赛事播放和舞台舞美背景等［1］.电子屏幕作为城市公共基础设施，已经成为政府部门、公司和市民交流的有效途径.电子屏幕和生活密切相关，不但向消费者传递资讯，同时塑造现代都市图景［2］.电子显示屏在为资讯传播者创造直接面向公众、快捷传递资讯的良好信息发布平台的同时，也面临着缺少有效的安全管控:由于部分厂商极力压缩生产成本，致使产品质量参差不齐，劣质显示器屏在防腐、保温、抗氧化、阻燃等领域也出现了很大的隐患；电子显示屏大部分设置于人流较密集的公共场合，可能出现由非专业人士设置、没有经过定期检查的情形，如果出现事故，很容易导致人身安全损害；特别是，由于电子显示屏的信息源比较集中，如果黑客侵入公众空间电子屏幕播放恐吓言论，或者内部人员使用电子屏幕进行恶搞、发送色情消息等，都会产生不良的社会影响，甚至造成更加严重的公众问题.下面，本文将从网络空间内生安全理论出发，探索公共区域电子显示屏安全使用的一体化解决途径.

当期目录