面向PDF文档的安全电子邮件系统*

给出一种利用信息安全、信息加密和数字认证等技术的面向PDF文档的安全电子邮件系统,其核心基本思想是通过客户机、服务器之间的请求/应答机制,通过身份认证并在网络上加密传输敏感数据,使得用户通过简单的交互操作就可以达到其所需的信息保护目的.系统的应用层面包括身份认证、数据加密发布、数据安全传输、安全数据查询检索、信息安全存储服务和Web资源的组织等技术,该系统已在实际项目上获得了应用,产生了较好的实际效果.     

一个安全网络文件系统的设计与实现

安全网络文件系统能够保证在开放环境下数据的安全性,其设计应当综合权衡安全性、性能和使用方便性.描述了一个安全网络文件系统SecNFS的设计与实现,包括设计思想、体系结构、共享方案、密钥管理、安全分析和实现方法.     

eHIP: An energy-efficient hybrid intrusion prohibition system for cluster-based wireless sensor networks

Verifying authenticity and integrity of delivered data is indispensable for security-sensitive wireless sensor networks (WSN). Unfortunately, conventional security approaches are unsuitable for WSN because energy efficiency is really not an important issue. However, energy conservation is truly a critical issue in WSN. In this paper, a proposed hybrid security system, called energy-efficient hybrid intrusion prohibition (eHIP) system, combines intrusion prevention with intrusion detection to provide an energy-efficient and secure cluster-based WSN (CWSN). The eHIP system consists of authentication-based intrusion prevention (AIP) subsystem and collaboration-based intrusion detection (CID) subsystem. Both subsystems provide heterogeneous mechanisms for different demands of security levels in CWSN to improve energy efficiency. In AIP, two distinct authentication mechanisms are introduced to verify control messages and sensed data to prevent external attacks. These two authentication mechanisms are customized according to the relative importance of information contained in control messages and sensed data. However, because the security threat from compromised sensor nodes cannot be fully avoided by AIP, CID is therefore proposed. In CID, the concept of collaborative monitoring is proposed to balance the tradeoff between network security and energy efficiency. In order to evaluate the performance of eHIP, theoretical analyses and simulations of AIP and CID are also presented in this paper. Simulation results fully support the theoretical analysis of eHIP.     

内外网数据安全交换技术在电网企业的应用研究

为保护企业机密,需要采用安全有效且成熟的技术来保障企业信息安全。以网闸等安全设备为基础的内外网数据安全交换平台,通过网络隔离、安全访问控制、协议剥离重组等技术,实现可控安全的数据交换,建立一套完善的内外网数据安全交换系统。本文参考电网企业安全防护标准、公安信息通信网边界接入平台安全规范及其他行业内外网安全防护设计思路,结合电网企业的应用需求,提出了多层次安全隔离防护,强管控数据交换的安全策略,并设计了符合电网企业应用需求的内外网数据安全交换平台、数据交换体系和安全管控方法,实现了电网企业内外网安全数据交换。同时结合试点、推广建设与实践,阐述了该体系在电网企业内外网实际环境中的应用效果。     

高铁传感器系统数据安全传输协议

随着高速铁路的快速发展,以云计算和实时在线分析为基础的高铁数据安全传输研究成为一个热门课题.针对高铁数据传输过程中存在的数据安全认证问题,设计了一种基于国密SM2签名算法的高铁传感器系统数据安全传输协议.以SM2签名算法为核心,基于安全协议将传感器网络收集的行车状态数据传输到云服务平台,实现了高铁行车记录仪和云服务平台之间的安全交互,提高了数据传输的可靠性和完整性.最后对安全传输协议进行实验与仿真,实验结果表明协议在高铁数据传输过程中具有较高的效率和安全性.     

JANUS: A Framework for Scalable and Secure Routing in Hybrid Wireless Networks

Hybrid networks consisting of cellular and Wi-Fi networks were proposed as a high-throughput architecture for cellular services. In such networks, devices equipped with cellular and Wi-Fi network cards access Internet services through the cellular base station. The Wi-Fi interface is used to provide a better service to clients that are far away from the base station, via multihop ad hoc paths. The modified trust model of hybrid networks generates a set of new security challenges as clients rely on intermediate nodes to participate effectively in the resource reservation process and data forwarding. In this paper, we introduce JANUS, a framework for scalable, secure, and efficient routing for hybrid cellular and Wi-Fi networks. JANUS uses a scalable routing algorithm with multiple channel access, for improved network throughput. In addition, it provides protection against selfish nodes through a secure crediting protocol and protection against malicious nodes through secure route establishment and data forwarding mechanisms. We evaluate JANUS experimentally and show that its performance is 85 percent of the optimum algorithm, improving with a factor greater than 50 percent over previous work. We evaluate the security overhead of JANUS against two types of attacks: less aggressive, but sufficient for some applications, selfish attacks and purely malicious attacks.     

面向天地一体化信息网络的安全验证平台设计

天地一体化网络系统复杂、技术体制多样,其中安全技术涉及系统的各个层面,难以通过单项技术试验来实现系统层面的验证和评估,需要构建具有一定网络规模的验证系统来完成安全技术体系的验证。基于通用开放、可重构的理念,提出了一种天地一体化网络安全验证系统方案,实现密钥管理、安全路由、安全切换、安全隔离、安全传输等安全保障技术的系统验证。     

一种基于DOM盘的安全Linux系统的设计与实现

提出并实现了一种基于Linux的安全操作系统模型——NisecLinux。该系统以DOM（Disk on Module）盘为存储介质,实现了基于网络访问的强制访问控制机制。通过防火墙和入侵检测系统的联动大大增强了系统的安全防护能力;通过VPN技术使数据传输的安全性得到了保障;精简了内核和文件系统,使系统本身的性能得到改善;使用DOM盘加强其物理安全性。该系统在安全性方面达到了系统审计级的标准。     

移动网络中心云计算存储数据访问安全自动监测系统设计

为了提高移动网络中心云计算存储数据访问和安全监测能力,提出一种基于深度学习和交叉编译控制的移动网络中心云计算存储数据访问安全自动监测系统设计方法。采用混合属性数据模糊加权聚类方法进行移动网络中心云计算存储数据的优化访问控制模型设计,根据云计算存储数据之间的属性相似度进行离散化数值属性分解,提取移动网络中心云计算存储数据的混合属性特征量,根据最小化云存储数据访问成本为代价进行移动网络中心云计算存储数据访问的安全监测。结合深度学习方法进行数据访问的自适应控制,在交叉编译环境下实现云计算存储数据访问安全自动监测系统开发设计。测试结果表明,采用该方法进行移动网络中心云计算存储数据访问的安全性较好,自动化控制能力较强。     

基于人工免疫安全存储区域网系统的研究

安全存储区域网系统需要保护海量数据,使用现有安全技术存在安全开销过大和存储空间浪费较多等问题,使得现有安全存储区域网系统I/O性能较低,无法使用.人工免疫算法能高效地识别异常数据,为了使安全存储区域网系统能保持较高的I/O性能,本文引入人工免疫算法,研究安全存储区域网系统.给出安全存储区域网中安全结点和基于博弈安全优化模块的结构;再针对安全存储区域网系统的特点,设计结点安全模块中的主要算法,并引入博弈论设计安全存储区域网系统优化算法.实现了结点安全模块的原型系统,测试安全模块的检测效率,验证了结点安全模块在具有较好安全性能的同时,具有安全开销较小且稳定的特点.最后在Lustre上实现了安全存储区域网原型系统,使用通用工具测试的系统I/O性能,结果表明所实现的安全存储区域网原型系统具有能保持较高I/O性能的特性.     

基于嵌入式LINUX的网络隔离系统研究与实现

分析了网络隔离技术的优劣,提出采用基于Gap技术框架的安全、高速的整体化隔离系统。在基于Gap技术的体系结构中,通过结合硬件基础、底层的安全通信协议和应用服务的一体化安全通信机制保证数据传输的安全性和高效性。在嵌入式LINUX系统的支持下,遵循SCSI接口标准,设计专有的安全通信协议,实现可实用化的隔离系统。实际测试表明隔离系统在安全性和高速数据传输方面具有良好的性能。     

基于知识图谱驱动的网络安全等级保护日志审计分析模型研究

为了从海量的日志数据中审计分析安全事件,并进行事件溯源,文章提出基于知识图谱驱动的网络安全等级保护日志审计分析模型。该模型将安全、运维、数据分析和等级测评数据融合进行日志数据增益;将服务器、网络设备和安全设备作为本体构建节点;将业务数据流作为连接两个节点的关系,业务数据流的方向作为关系的方向。从安全管理中心、安全计算环境、安全区域边界和安全通信网络4个方面构建相应的网络安全等级保护日志知识图谱,实现网络日志的高效关联和深度挖掘分析,可以不需要对问题进行精确建模而在数据上直接进行分析和处理,适用于进行网络安全日志的大数据分析,为大规模复杂日志审计分析的求解提供了一种有效手段。     

基于超椭圆曲线密码的多方授权签名方案

分析了现有电子商务、电子政务多方授权方案及网络通信中的多重数字签名协议,基于超椭圆曲线密码,针对现有多重签名方案存在秘密信息泄漏、签名伪造等安全漏洞及协议过程复杂、签名认证运算开销大等不足之处,该文提出了一类混合多重签名方案,分析了方案的安全性与执行效率。该协议和算法安全、简洁、高效,降低了软硬件实现的系统开销,可广泛地应用于计算机与无线通信等网络 环境。     

Based blockchain-PSO-AES techniques in finger vein biometrics: A novel verification secure framework for patient authentication

The main objective of this study is to propose a novel verification secure framework for patient authentication between an access point (patient enrolment device) and a node database. For this purpose, two stages are used. Firstly, we propose a new hybrid biometric pattern model based on a merge algorithm to combine radio frequency identification and finger vein (FV) biometric features to increase the randomisation and security levels in pattern structure. Secondly, we developed a combination of encryption, blockchain and steganography techniques for the hybrid pattern model. When sending the pattern from an enrolment device (access point) to the node database, this process ensures that the FV biometric verification system remains secure during authentication by meeting the information security standard requirements of confidentiality, integrity and availability. Blockchain is used to achieve data integrity and availability. Particle swarm optimisation steganography and advanced encryption standard techniques are used for confidentiality in a transmission channel. Then, we discussed how the proposed framework can be implemented on a decentralised network architecture, including access point and various databases node without a central point. The proposed framework was evaluated by 106 samples chosen from a dataset that comprises 6000 samples of FV images. Results showed that (1) high-resistance verification framework is protected against spoofing and brute-force attacks; most biometric verification systems are vulnerable to such attacks. (2) The proposed framework had an advantage over the benchmark with a percentage of 55.56% in securing biometric templates during data transmission between the enrolment device and the node database.     

基于Linux和IPSec的VPN安全网关设计与实现

IPSec协议通过对IP数据包的加密和认证能够提供网络层的安全服务，可以保证数据在传输过程中的安全；Linux是一个开放的操作系统，在开放的操作系统平台上开发的安全系统具有更高的可靠性和安全性。在此基础上设计了一种基于Linux和IPSec协议的VPN安全网关，并详细阐述设计原则、功能、安全机制以及VPN安全网关实现过程，同时对这种安全网关性能进行了分析。     

基于Linux和IPSec的VPN安全网关设计与实现*

IPSec协议通过对IP数据包的加密和认证能够提供网络层的安全服务,可以保证数据在传输过程中的安全;Linux是一个开放的操作系统,在开放的操作系统平台上开发的安全系统具有更高的可靠性和安全性。在此基础上设计了一种基于Linux和IPSec协议的VPN安全网关,并详细阐述设计原则、功能、安全机制以及VPN安全网关实现过程,同时对这种安全网关性能进行了分析。     

基于信息客体统一化描述的安全标记绑定研究

安全标记与信息客体绑定,一直是制约多级安全走向网络实用化的关键问题。针对这一问题,提出了一种基于信息客体统一化描述的安全标记绑定方法。通过分析客体类型,给出了基于数据树的多类型客体的统一表示模型,据此基于数据树遍历给出了客体与安全标记绑定算法,并讨论了客体的相关操作及其访问控制机制的实施。该方法不仅可提高安全标记绑定的灵活性,实现多类型信息客体与安全标记绑定的统一,而且可实施更为细粒度的访问控制,解决系统间异构数据交换控制难的问题。     

一体化电网运行智能系统的安全网络架构设计

介绍一种一体化电网智能调度系统的分区网络架构的实现方案。该架构遵循电监会二次安全防护标准,运用网络防火墙和隔离传输技术。通过前后端网络物理隔离、业务子网分层、建立数据中心子网,构建一种新型安全高效的组网架构,解决了在一体化智能系统技术体系中多业务数据融合和协同带来的对网络通信传输能力和传输安全的更高要求,为二次一体化的实施提供了安全高效的基础网络架构支持。     

网络安全之GAP技术研究

GAP技术是当今网络安全领域迅速发展的关键技术,由于采用了独特的技术思路,从而获得了比传统的网络安全技术更为理想的安全性能。GAP即安全隔离网闸,它是在物理隔离技术之上发展起来的一种网络安全技术,其核心是在物理隔离的基础上实现安全数据传输和资源共享。本文详细探讨了GAP技术的起源,GAP的技术实质,GAP与防火墙技术的区别,以及GAP技术的发展应用前景。     

基于双核的安全Windows网络驱动程序的研究

提出了一种基于双核的网络安全解决方案,研究并实现了主辅核之间的通信机制和辅核Windows端网络驱动程序。双核的安全Windows终端架构是将安全防护模块移植到嵌入式系统中,可以有效地防止黑客对Windows终端的侵入及终端内敏感信息的流出。驱动程序开发使用的环境为:VC++6.0、Windows Driver Development Kit、DriverStudio3.2。实验证明该方案可以对网络数据包安全分析和过滤,达到Windows终端安全的目的。