面向Java语言生态的软件供应链安全分析技术

随着开源软件技术的不断发展,为提高开发效率并降低人力成本,组件化开发模式逐渐得到行业的认可,开发人员可以利用相关工具便捷地使用第三方组件,也可将自己开发的组件贡献给开发社区,从而形成了软件供应链.然而,这种开发模式必然会导致高危漏洞随组件之间的依赖链条扩散到其他组件或项目,从而造成漏洞影响的扩大化,例如2021年底披露的Log4j2漏洞,通过软件供应链对Java生态安全造成了巨大影响.当前针对Java语言软件供应链安全的分析与研究大多是对组件或项目进行抽样调研,这忽略了组件或项目对整个开源生态的影响,无法精准衡量其对生态所产生的影响.为此,本文针对Java语言生态软件供应链安全分析技术展开研究,首次给出了软件供应链安全领域的组件依赖关系和影响力等重要指标的形式化定义,并依据此提出了基于索引文件的增量式组件配置收集和基于POM语义的多核并行依赖解析,设计实现了Java开源生态组件依赖关系提取与解析框架,收集并提取超过880万个组件版本和6500万条依赖关系.在此基础上,本文以受到漏洞影响的日志库Log4j2为例,全面评估其对生态的影响以及修复比例,结果表明该漏洞影响了生态15.12%的组件(71082个)以及16.87%的组件版本(1488971个)同时仅有29.13%的组件在最新版本中进行了修复.     

针对基于离散对数多重签名方案的一种攻击

作为一种特殊的数字签名，多重签名由签名群体中的所有成员合作对给定的消息进行处理后形成整个群体的签名；而验证者只需要利用群体的唯一公钥即可对签名进行有效性检验．Harn和Ji等人提出了两个基于离散对数的多重签名方案．但陆浪如等指出了这两个方案的一个共同缺点：若部分成员合谋作弊，则群体所产生的多重签名也可以解释为由其他诚实成员所产生的多重签名．这样，在必要时，作弊成员就可以否认他们与某些多重签名有关．为了克服这一缺点，陆浪如等对这两个多重签名方案的密钥生成部分提出了两种改进．该文给出一种攻击方法以表明陆浪如等的改进多重签名方案仍然是不安全的．在这一攻击中，单个成员就能够控制群体私钥，从而能以群体的名义伪造对任何消息的多重签名．与此同时，其他成员仍可正常地产生签名，所以他们觉察不到欺诈的存在．另外，该文提出的攻击方法对改进前的方案也有效．     

国产电解槽及新型管材的应用

总结了甘肃北方三泰化工有限公司氯碱生产装置应用国产电解槽、新型管材1年来的生产运行情况。     

HY分子筛催化异丁烷/丁烯烷基化反应中加成反应的模拟研究

建立了120T HY分子筛模型,采用量子力学与分子力学（QM/MM）相结合的方法,揭示了叔丁基烷氧基团（TBA）〖JP〗与异丁烯/2 丁烯发生加成反应的细节,并比较了二者的异同。结果表明,叔丁基碳正离子是加成反应的过渡态,且TBA与2 丁烯分子发生加成反应的能垒值是与异丁烯反应的2倍左右。这是由于过渡态的碳正离子与异丁烯之间的电荷转移明显大于与2 丁烯的,二者之间的相互作用力更强,故过渡态能量更低。另外,由于TBA与2 丁烯发生加成反应后中心C原子稳定性降低,故需要首先生成“三角形结构”中间产物,再形成C8碳正离子,最终形成C8烷氧基团完成加成反应。     

深覆盖砂层地基上拦河大坝抗震液化分析

考虑深覆盖砂层和岩土应力-应变的非线性特征,采用剪应力对比法进行地震液化判别,并建立了地基和坝体的非线性有限元计算模型.结合两溪河联补水电站首部枢纽工程,对深覆盖砂层地基上拦河大坝的抗震液化问题进行计算分析,计算结果可供工程参考.     

面向计算机视觉系统的对抗样本攻击综述

对抗样本攻击是近年来计算机视觉领域的热点研究方向,通过对图像添加细微的噪声,对抗样本使计算机视觉系统做出错误判断.对抗样本攻击的研究起初重点关注于图像分类任务,随着研究的深入逐步拓展到目标检测、人脸识别等更加复杂的计算机视觉任务中.然而,现有的对抗样本综述缺乏对新兴图像分类攻击方案的梳理总结以及针对目标检测、人脸识别等复杂任务攻击的分析总结.本论文聚焦于计算机视觉系统中的对抗样本攻击,对其理论与前沿技术进行了系统性的综述研究.首先,本论文介绍了对抗样本的关键概念与敌手模型.其次,分类总结和对比分析了对抗样本存在原因的三大类相关假设.再次,根据数字域与物理域两大应用场景,分类概述和对比分析图像分类系统中的对抗样本攻击技术.根据不同的敌手模型,我们进一步地将图像分类任务数字域的攻击方案划分为白盒和黑盒两种场景,并重点总结梳理了新兴的攻击类别.同时,在目标检测、人脸识别、语义分割、图像检索、视觉跟踪五类复杂计算机视觉任务上,根据适用场景分类总结各类任务中的对抗样本攻击方案.进一步地,从攻击场景、攻击目标、攻击效果等方面对于不同攻击方案进行详细地对比分析.最后,基于现有对抗样本攻击方法的总结,...     

人工智能模型数据泄露的攻击与防御研究综述

人工智能和深度学习算法正在高速发展,这些新兴技术在音视频识别、自然语言处理等领域已经得到了广泛应用。然而,近年来研究者发现,当前主流的人工智能模型中存在着诸多安全隐患,并且这些隐患会限制人工智能技术的进一步发展。因此,研究了人工智能模型中的数据安全与隐私保护问题。对于数据与隐私泄露问题,主要研究了基于模型输出的数据泄露问题和基于模型更新的数据泄露问题。在基于模型输出的数据泄露问题中,主要探讨了模型窃取攻击、模型逆向攻击、成员推断攻击的原理和研究现状;在基于模型更新的数据泄露问题中,探讨了在分布式训练过程中,攻击者如何窃取隐私数据的相关研究。对于数据与隐私保护问题,主要研究了常用的3类防御方法,即模型结构防御,信息混淆防御,查询控制防御。综上,围绕人工智能深度学习模型的数据安全与隐私保护领域中最前沿的研究成果,探讨了人工智能深度学习模型的数据窃取和防御技术的理论基础、重要成果以及相关应用。     

基于气候的服装热阻对室内热舒适参数的影响

针对不同气候地区人们的着装特点,分析了在冬季供暖条件下,室外温度与室内服装热阻的关系,提出在热适应模型中,服装热阻是影响室内热舒适参数的重要因素,分析进入室内后服装对PMV的影响,以及改变服装热阻对建筑节能的意义。利用P.O.Fanger的热舒适方程,计算不同条件下服装热阻对PMV的影响,得到不同气候地区室内热中性时的设计温度、平均辐射温度、空气流速和湿度的取值范围,并提出考虑室外气候对服装热阻有影响时室内设计参数的修正方法。     

异丁烷/丁烯固体酸烷基化催化剂失活的研究进展

固体酸催化剂在异丁烷/丁烯烷基化领域具有良好的应用前景,但催化剂易失活,寿命较短。综述了固体酸烷基化催化剂的反应-失活过程、积炭前身物组成及结构的分析方法、催化剂的失活方式、积炭前身物的控制手段,以及金属临氢再生的方式。指出开发周期寿命长、抗积炭的固体酸催化剂是今后进一步改进和发展固体酸烷基化技术的研究重点。     

通用可重组安全的多方求解Top-k协议设计

对于一个定点数多重集合S,第k小元素(又称Top-k元素) x∈S是指当集合中元素按照递增顺序排列时,刚好位于第k位置的元素.两方或多方安全求解它们输入的公共集合X的Top-k元素,是安全多方计算应用领域的经典案例.它能够使互不信任的多个数据持有方在不泄露自身数据的前提下,获取更大样本集合上的统计信息,从而实现隐私保护决策.本文提出了一种两方或多方分布式持有定点数数据的场景下,不依赖可信第三方,安全求解它们数据集合X中Top-k元素的协议,证明了其通用可重组(UC)安全性.协议使用了基于秘密分享的比较及加法安全多方计算协议作为构造模块,巧妙地从高到低按位依次确定并公布Top-k元素的p进制定点数表示.协议实现了O(logpM)的通信轮次复杂度,其中M为p进制数的最大取值, p为约定的定点数基数.实验证明,对于常见网络环境(包括局域网和广域网),当p=2ⁱ(i=2,···, 8)时,协议的通信时间和总运行时间均显著优于其他现有的Top-k求解协议.