基于区块链的工业控制系统角色委派访问控制机制

IT和OT的融合模糊了工业控制系统"网络边界"的概念,细粒度的访问控制策略是保障工业企业网络安全的基石.基于角色委派的访问控制机制可把域中用户对网络资源的访问权限委派给其他域的用户或企业合作伙伴,这样为企业员工或企业合作伙伴远程访问企业网络资源提供了便利.然而,这种便利可能增加工业控制系统的攻击面.区块链技术固有的去中心化、防篡改、可审计等特征可以成为基于角色委派访问控制管理的基础架构,因而提出了基于区块链技术的角色委派访问控制方案(Delegatable Role-Based Access Control,DRBAC).DRBAC包括用户角色管理及委派、访问控制、监控机制等几个重要组件,并基于智能合约实现该方案,DRBAC的目的是保证每个网络连接必须受到细粒度访问控制策略的保护.最后,通过搭建本地私有区块链网络测试分析了DRBAC的正确性、可行性和开销.     

网络空间终端设备识别框架

针对传统Web服务识别方法对服务器软件实现差异依赖性强、不利于扩展到其他终端设备等缺陷,提出了一种网络空间终端设备双重因素主动识别框架. 该框架从服务标识（Banner）和Web指纹两个角度分析终端设备网络指纹特征. 首先,从HTTP数据包头部的“Server”字段、“WWW-Authenticate”字段及HTML源代码中深入挖掘终端设备Web服务中的Banner信息;其次,从图片文件和文本文件中提取终端设备具有的Web指纹特征;同时,结合具体案例分析各识别方法的有效性及优缺点. 结果表明,该框架解决了传统识别方法中Banner信息获取途径单一、依赖服务器软件差异特征的问题,成功将Web服务识别方法扩展到了网络空间终端设备上. 最后,总结已有成果并探讨该框架未来改进方向.     

PKI安全的关键:CA的私钥保护

文章指出了PKI(Public Key Infrastructure)安全的关键是CA(Certificate Authority)的私钥保护.由于ECC(Elliptic Curye Cryptography)比RSA等其他公钥密码系统能够提供更好的加密强度、更快的执行速度和更小的密钥长度,因此本文提出了一种基于椭圆曲线密码体制的组零知识证明方法和入侵容忍技术有机结合的私钥合成算法,通过影子服务器的影子安全地保护了私钥、无信息泄露地验证了私钥,而且在受攻击后仍能继续工作.通过可复原性和抗合谋性两方面的安全性分析得此策略有地解决了CA私钥的安全保护问题.     

基于SVR对交通流中线性关联关系的分析与研究

针对断面交通检测数据往往存在着错误、缺失、包含较多噪声等问题,提出了一种基于支持向量回归机的数据预处理方法。先将相邻路段的数据运用线性回归思想筛选、重组,添加到支持向量回归机的数据集中,然后对相邻路段与预测路段之间线性关系进行实时的、动态的分析和计算,从而避免了数据丢失,既有效地压缩了训练集特征数,提高了计算效率,也提高了模型的泛化能力。实验结果表明,对比未作预处理的SVR模型,改进后的模型拟合度提高了25倍,均方误差也明显减小。     

适合移动Ad hoc网络基于群签名认证的弹性组密钥管理方案*

针对移动Ad hoc网络中的安全组通信系统,提出了一个基于群签名认证的分布式组密钥管理方案。该方案利用门限密码技术并借鉴了PKI证书管理的第三方签名认证思想,在提高认证可信度的同时,极大地减少了密钥协商过程中所需的认证开销。分析表明,该方案具有良好的容错性;达到了第3级信任;能够抵抗网络中典型的主动和被动攻击;具备完美的前向和后向保密性;极大地降低了计算和通信开销。     

利用容错技术提高P2P网络安全

为了保护P2P网络中信任第三方TTP(Trusted Third Party)的私钥,提出了一种合成TTP的私钥的算法.基于容错技术,将TTP的私钥的影子分发给不同的影子卡和密钥合成服务器,利用这些影子来合成和保护TTP的私钥,并使用零知识证明技术以发现被篹改的影子卡,从而有效地保护了用TTP的私钥所签发的数字证书.安全性分析表明,该算法使整个P2P网络具有可复原性和抗合谋攻击性.     

面向新工科的计算机网络课程翻转教学

基于新工科教学,本文研究了计算机网络课程翻转教学模型和方法。首先通过课前翻转、课中翻转和课后翻转构建了面向新工科的计算机网络课程翻转教学模型,然后进行了面向新工科的翻转教学实践探索。教学实践分析结果表明,面向新工科的计算机网络课程翻转教学模型对计算机网络课程的教学质量提升具有一定的效果。     

适合可信计算环境基于口令的双向匿名认证密钥协商协议

如何保持双向匿名性是构建可信计算环境的核心问题之一,针对可信计算环境的特点,提出了一个基于口令的匿名认证密钥协商协议,并且在计算性Diffie-Hellman假设和存在强抗碰撞的单向杂凑函数条件下,基于随机预言机模型证明了该协议是安全的。另外,该协议可以有效抵抗字典攻击和资源耗尽型拒绝服务攻击。分析结果表明,该协议能够为密钥协商双方提供隐私保护,而且在执行效率方面明显优于VIET等其它方案     

基于反向PageRank的影响力最大化算法

针对社会网络上的影响力最大化算法在大规模网络上难以同时满足传播范围、时间效率和空间效率要求的问题,提出一种混合PageRank和度中心性的启发式算法（MPRD）。首先,基于PageRank,引入一种反向PageRank思想来评估节点影响力;然后,结合局部指标度中心性,设计一种混合的指标来评估节点的最终影响力;最后,通过相似性方法去掉影响力重合严重的节点,选出种子节点集。在6个数据集和两种传播模型上进行实验,实验结果表明,所提的MPRD在传播范围上优于现有的启发式算法,在时间效率上比贪心算法快四、五个数量级,在空间效率上优于基于反向抽样的IMM算法。所提的MPRD在处理大规模网络上的影响力最大化问题时能够取得传播范围、时间效率和空间效率的平衡。     

基于Yaksha密钥托管机制的命名数据网络内容发布/订阅系统

命名数据网络（NDN）允许内容生成者的数据缓存于网络任何位置,这种数据和数据源分离的网内缓存机制导致的结果是以主机为中心的端到端认证数据传输不能用于命名数据网络。目前提出的NDN内容传输机制要求依赖内容分发网络（CDN）或要求数据源始终在线,然而这些要求不适合移动自组织网络环境。针对这一问题,首先基于ElGamal公钥密码体制设计了一种新的Yaksha系统,然后,基于新的Yaksha系统提出了命名数据移动自组织网络内容发布/订阅系统EY-CPS。EY-CPS系统中,Yaksha服务器分配和管理网络上传输内容的加/解密密钥,在不存在CDN或数据源离线的情况下,内容消费者也能访问网络上缓存的内容;另外,通过仅给合法用户发放内容发布/订阅“许可”,保证仅合法用户向网络发布内容或访问网络上缓存的内容;最后,在安全系统逻辑LS2中建模并分析了EY-CPS系统的安全性,并对相关方案作了分析比较。