软件系统的可信降密述评

无干扰模型是信息流控制中的基础性安全模型,能确保敏感信息的零泄露,但其安全条件的限制性过强。软件系统由于功能的需要不可避免地需要违反无干扰模型,释放合适的信息。为了防止攻击者利用信息释放的通道获取超额的信息,需要对释放的通道进行控制,建立信息可信降密的策略和实施机制。基于不同维度对现有的降密策略进行归类,大致归并为降密的内容、主体、地点和时间维度;并对现有降密策略的实施机制进行分类,大致可分为静态实施、动态实施和安全多次执行;对这些机制的特点和不足之处进行比较,并探讨了后续研究面临的挑战,展望了未来的研究方向。     

一种基于分组填充Mix策略的匿名通信机制

Mix机制为实现匿名通信技术提供了可行的解决方案,但攻击者仍可以在一定程度上通过流量分析来获取通信关系。为了进一步提高Mix机制对抗信息量分析攻击的能力,提出了分组填充的思想,并基于分组填充Mix策略给出了一种新型匿名通信机制。算法分析和仿真实验表明,与传统Mix机制相比,新的基于分组填充的Mix机制,能在有效抵御信息量分析攻击的同时,进一步降低网络的额外带宽开销。     

信息隐藏技术

采用传统密码学理论开发出来的加解密系统,不管是对称密钥系统(如DES)还是安全性更高的公开密钥系统(如RSA),对于机密文件的处理都是将其加密成密文,使得在网络传输过程中的非法拦截者无法从中获取机密信息,达到保密的目的。但是这种加密方法有一个致命的缺点,就是它明确地提示攻击者哪些是重要信息,容易引起攻击者的好奇和注意,并有被破解的可能性,而且一旦加密文件被破解,其内容就完全透明了。攻击者还有可能在破译失败的情况下将信息破坏,使得即使是合法的     

基于贝叶斯序贯博弈模型的智能电网信息物理安全分析

智能电网是利用信息技术优化从供应者到消费者的电力传输和配电网络.作为一种信息物理系统（Cyber-physical system,CPS）,智能电网由物理设备和负责数据计算与通信的网络组成.智能电网的诸多安全问题会出现在通信网络和物理设备这两个层面,例如注入坏数据和收集客户隐私信息的网络攻击,攻击电网物理设备的物理攻击等.本文主要研究了智能电网的系统管理员（防护者）如何确定攻击者类型,从而选择最优防护策略的问题.提出了一种贝叶斯序贯博弈模型以确定攻击者的类型,根据序贯博弈树得到博弈双方的均衡策略.首先,对类型不确定的攻击者和防护者构建静态贝叶斯博弈模型,通过海萨尼转换将不完全信息博弈转换成完全信息博弈,得到贝叶斯纳什均衡解,进而确定攻击者的类型.其次,考虑攻击者和防护者之间的序贯博弈模型,它能够有效地帮助防护者进行决策分析.通过逆向归纳法分别对两种类型的攻击者和防护者之间的博弈树进行分析,得到博弈树的均衡路径,进而得到攻击者的最优攻击策略和防护者的最优防护策略.分析表明,贝叶斯序贯博弈模型能够使防护者确定攻击者的类型,并且选择最优防护策略,从而为涉及智能电网信息安全的相关研究提供参考.     

基于网络特征混淆的欺骗防御技术研究

网络攻击之前通常有侦查阶段,攻击者通过流量分析和主动扫描等技术获取目标系统的关键信息,从而制定有针对性的网络攻击.基于网络特征混淆的欺骗防御是一种有效的侦查对抗策略,该策略干扰攻击者在侦查阶段获取的信息,从而使攻击者发动无效的攻击.对现有混淆欺骗防御方案的技术原理进行了分析,给出了网络混淆欺骗的形式化定义,并从3个层次...     

基于权限变更规则的网络脆弱性分析方法

网络脆弱点有导致访问者权限变更的隐患。从攻击者如何利用脆弱点获取目标实体未授予访问权限的角度出发,本文通过对拥有权限变更特征的脆弱点统一建模,引入take权限变更规则和脆弱点权限变更规则的概念,在构建权限变更图基础上利用脆弱性权限变更算法进行权限变更路径的分析,得到网络权限变更闭包图及相应的权限获取路径。最后通过构建相应的网络实例分析并证明该方法的有效性。     

二维降密策略的内联引用监控方法

降密策略的静态实施机制存在限制性过强的缺陷,基于虚拟机的动态监控机制不能完全适合Web和即时编译环境。为此,基于内联引用监控方法,实施了基于内容和地点维度的二维降密策略。提出了内联引用监控方法的程序变形规则,并证明了该方法的可靠性;根据该程序变形规则,将源程序进行变形重写,生成一个新的程序,它能脱离外部监控环境,实现自我监控。     

MTDCD:一种对抗网络入侵的混合防御机制

移动目标防御和网络欺骗防御均是通过增加攻击者获取的信息的不确定性来保护己方系统和网络,该方法能够在一定程度上减缓网络入侵。然而,单一的移动目标防御技术无法阻止利用多元信息进行网络入侵的攻击者,同时,部署的诱饵节点可能会被攻击者识别和标记,降低了防御效能。因此,提出了融合移动目标防御和网络欺骗防御的混合防御机制MTDCD,并通过深入分析实际网络对抗,构建了网络入侵威胁模型,最后基于Urn模型建立了防御有效性评估模型,并从虚拟网络拓扑大小、诱饵节点的欺骗概率、IP地址随机化周期、IP地址转移概率等多个方面评估了所提混合防御机制MTDCD的防御效能,为后续防御策略设计提供了一定的参考和指导。     

完全隐藏策略的基于属性可搜索加密方案

目前的基于属性可搜索加密方案（ATT-PEKS）,虽然解决了关键词密文只能被唯一用户搜索的限制,实现了加密数据的多用户共享,但是却没有隐藏访问策略,访问策略一旦被不好奇且不可信赖的服务器攻击者获取到,可能会造成机密信息的泄露。所以,为了解决此问题,提出了完全隐藏策略的基于属性可搜索加密方案,并给出了具体的算法构造,使得方案不仅具有多用户数据共享的优势,还实现了访问策略的完全隐藏。并对此方案进行了安全性以及性能分析,证明了方案具有在属性集合模型下的抗攻击性安全,还能保证索引和关键词明文的机密性。在性能方面使用较少的运算量就可实现隐藏访问策略和加密数据共享两大功能。     

基于压力反馈的MapReduce负载均衡策略

数据倾斜是严重影响MapReduce性能的因素之一.数据倾斜问题的现有解决方法需要用户对应用类型提供针对的分区函数,或是为MapReduce编写额外的采样过程,增加了用户的负担.为解决上述问题,提出了一种基于压力统计的负载均衡策略.该策略充分利用MapReduce中的混洗阶段,在reducer准备数据的同时进行统计,以获取全局数据分布.系统根据数据分布情况对负载较重节点进行调度,平衡整个集群负载,而无需用户提供额外的输入.此外,考虑到上层不同的应用类型,引入了压力反馈机制来进一步提高调度策略的性能.实验结果表明,提出的负载均衡调度策略的性能优于默认策略性能.     

基于信息格的降密策略

降密策略是信息流安全研究的重要挑战之一.目前的研究主要集中在不同维度的定性分析上,缺乏对机密信息降密数量的精确控制,从而导致降密策略的限制性与程序安全需求之间的关系难以精确控制.为此,提出基于信息格的量化度量方法,通过阈值的控制,从定量的角度对健壮性降密策略的限制性进行放松,实现富有弹性的健壮性降密策略.     

多线程环境中的二维降密策略

降密策略的主要目的在于确保程序中敏感信息的安全释放。目前,降密策略的安全条件和实施机制的研究主要集中在顺序式程序设计语言,它们不能直接移植到多线程并发环境,原因在于攻击者能利用线程调度的某些性质推导出敏感信息。为此,基于多线程程序设计语言模型和线程调度模型,建立了支持多线程并发环境的二维降密策略,有效确保了在合适的程序点降密合适的信息;建立了多线程并发环境下该降密策略的动态监控机制,并证明了该实施机制的可靠性。     

基于自动机监控的二维降密策略

降密策略静态实施机制具有限制性过强的缺陷:它将降密策略语义条件判定为安全的程序排斥在外。为了建立更加宽容的实施机制,基于自动机理论,建立了二维降密策略的动态监控机制。程序执行中的命令事件被抽象为自动机的输入,自动机根据这些输入信息跟踪程序执行过程中的信息流,禁止违反降密策略的程序命令的执行。最后,证明了自动机监控机制的可靠性。     

基于串空间理论的Kerberos协议分析

在介绍串空间理论基本概念、攻击者模型以及Kerberos协议的基础上,利用串空间理论得出Kerberos各协议参与主体和攻击者的迹,构造了协议的串空间,给出了Kerberos协议的丛图。在证明一个定理的基础上,使用启发式和反证法的思路,证明了认证服务器分配给客户端和应用服务器会话密钥的保密性,即攻击者从现有知识和构造能力无法推导出服务器分配给客户端和应用服务器的会话密钥;证明了客户端和认证服务器以及客户端和应用服务器能够相互认证,得出了Kerberos协议正确性的结论。     

基于查询概率的位置隐私保护方法

现有的隐私保护技术较少考虑到查询概率、map数据、信息点（POI）语义等边信息,攻击者可以将边信息与位置数据相结合推断出用户的隐私信息,为此提出一种新的方法ARB来保护用户的位置隐私。该方法首先把空间划分为网格,根据历史查询数据计算出处于不同网格区域的用户提交查询的概率;然后结合相应单元格的查询概率来生成用户匿名区域,从而保护用户的位置隐私信息;最后采用位置信息熵作为隐私保护性能的度量指标。在真实数据集上与已有的两种方法进行对比来验证隐私保护方法的性能,结果显示该方法具体有较好的隐私保护效果和较低的时间复杂度。     

Enhanced Source Location Privacy Based on Random Perturbations for Wireless Sensor Networks

Source location privacy, which means to protect source sensors'' locations from being leaked out of observed network tra±c, is an emerging research topic in wireless sensor networks, because it cannot be fully addressed by traditional cryptographic mechanisms, such as encryption and authentication. Current source location privacy schemes, assuming either a local or global attack model, have limitations. For example, schemes under a global attack model are subject to a so called `01'' attack, during which an attacker can potentially identify sources of real messages. Targeting on tackling this attack, we propose two perturbation schemes, one based on Uniform Distribution and the other based on Gaussian Distribution. We analyze the security properties of these two schemes. We also simulate and compare them with previous schemes, with results showing that the proposed perturbation schemes can improve sensor source location privacy significantly. Furthermore, it is realized that an attacker may employ more intelligent statistical tools, such as Univariate Distribution based Reconstruction (UDR), to analyze the traffic generation patterns and find out real sources. We propose a Risk Region (RR) based technique, to prevent the attacker from successfully doing this. Performance evaluation shows that the RR-based scheme increases the errors of the attacker, so that the attacker is not able to accurately derive real messages as well as their sources.     

A novel policy-driven reversible anonymisation scheme for XML-based services

This paper proposes a reversible anonymisation scheme for XML messages that supports fine-grained enforcement of XACML-based privacy policies. Reversible anonymisation means that information in XML messages is anonymised, however the information required to reverse the anonymisation is cryptographically protected in the messages. The policy can control access down to octet ranges of individual elements or attributes in XML messages. The reversible anonymisation protocol effectively implements a multi-level privacy and security based approach, so that only authorised stakeholders can disclose confidential information up to the privacy or security level they are authorised for. The approach furthermore supports a shared secret based scheme, where stakeholders need to agree to disclose confidential information. Last, it supports time limited access to private or confidential information. This opens up for improved control of access to private or confidential information in XML messages used by a service oriented architecture. The solution provides horizontally scalable confidentiality protection for certain types of big data applications, like XML databases, secure logging and data retention repositories.