2024年, 第2卷, 第5期 刊出日期:2024-10-31
-
全选|
-
网络空间安全科学学报. 2024, 2(5): 2-16. https://doi.org/10.20172/j.issn.2097-3136.240501
物联网(Internet of Things,IOT)是由大量连接的对象或设备组成的一种新型互联网络。物联网中的物理对象或传感设备能够收集周围环境产生的敏感数据,然后通过不安全的公开信道进行数据信息的交换和共享。因此,必须创建安全的媒介来保护数据的机密性和完整性,防止遭受敌手的攻击。在这方面,认证密钥协商(Authenticated Key Agreement,AKA)协议能够实现网络通信实体之间的相互认证,并生成一个共享的对称会话密钥,用于加密未来传送的数据。首先,回顾了一些面向物联网应用场景提出的AKA协议,这些AKA协议使用椭圆曲线密码学或切比雪夫混沌映射密码机制作为构建模块进行设计。随后,列举了这些AKA协议容易遭受的攻击和缺乏的安全属性。最后,针对设计安全高效的AKA协议提出了几条有用的建议,这些建议有助于AKA协议设计者实现其所声称的安全功能属性。
-
网络空间安全科学学报. 2024, 2(5): 17-31. https://doi.org/10.20172/j.issn.2097-3136.240502
工控系统是石油石化、智能制造、电力、水利、交通等国家关键基础设施的神经中枢,涉及人们生活、社会经济和国家安全,逐渐成为黑客勒索攻击的高价值目标。工控系统应用广泛、设备多样、前期设计缺乏信息安全考虑,以及高可用性、控制时序性和生命周期长等特点,导致工控系统面临着极大的网络安全风险,近年来频发的工业企业勒索事件受到广泛关注。鉴于勒索软件对工控企业的巨大危害性,对涉及工控系统的勒索软件攻击信息和资料展开了调研。首先,围绕近年来发生的工控系统勒索软件攻击典型案例进行了分析,并对工控系统勒索软件攻击的实施过程及每个阶段涉及的关键技术进行了深入分析和总结;然后,阐述了现有工控系统勒索软件模型的特点和不足,提出了一种工控系统勒索软件模型;接下来,梳理了工控系统勒索软件防御手段;最后,对未来工控系统勒索软件的检测与防御研究工作给出了建议。
-
网络空间安全科学学报. 2024, 2(5): 32-43. https://doi.org/10.20172/j.issn.2097-3136.240503
物联网(Internet of Things,IoT)是数据存储和管理的重要基础设施,涉及个人隐私、企业利益、国家安全,实现物联网数据可信确权、安全审计、追踪溯源的难点是数据对象化管理。提出了一种基于本体的多维物联网数据安全标识算法,给出了物联网数据安全标识定义,基于本体理念构建了语义特征词库、敏感特征词库,继而设计数据物理指纹、语义指纹、敏点指纹提取算法,建立了物联网数据安全标识生成方法,并对所提出的算法协议进行模拟测试,验证了所提出的物联网数据安全标识方法的唯一性、简洁性、高效性、单向性、真实性。
-
网络空间安全科学学报. 2024, 2(5): 44-56. https://doi.org/10.20172/j.issn.2097-3136.240504
随着物联网(Internet of Things,IoT)技术的迅猛发展,数以亿计的设备通过网络互联,物联网安全性问题日益突出。尤其是在量子计算技术的推进下,传统的密码算法面临着前所未有的安全威胁。物联网设备所依赖的传统公钥加密算法在量子计算时代可能失效,给全球范围内的物联网应用带来了巨大的风险。作为抵御量子计算攻击的新型密码体系,后量子密码算法在物联网设备的安全性中起着至关重要的作用。然而,尽管后量子密码算法在理论上能够抵御量子计算的威胁,但在实际实现中,侧信道攻击(Side Channel Attaclss,SCA)风险依然不容忽视。侧信道攻击不依赖破解算法本身,而是通过分析物联网设备在运行加密算法时泄露的物理信息来破坏安全性。在此背景下,针对后量子密码算法的侧信道攻击掩码防护问题,综述了掩码转换方案——布尔到算术转换(Boolean to Arithmetic conversion,B2A)。通过对现有掩码技术的深入分析,详细阐述了B2A算法的原理、实现过程及其在抗侧信道攻击中的优势,为后量子密码算法在物联网设备中的安全实现提供思路,也为我国密码学领域的研究和发展提供参考。
-
网络空间安全科学学报. 2024, 2(5): 57-66. https://doi.org/10.20172/j.issn.2097-3136.240505
集群无线网络作为物联网的一种应用领域,通常部署于不安全的环境,容易遭受网络攻击和利用。近年来,随着集群无线网络环境的研究逐渐增多,适用于集群无线网络环境的认证密钥协商协议应运而生。但是由于集群无线网络本身具有能源消耗高、计算复杂、传输效率低等特点,现有的密钥协商协议难以满足上述需求,同时多数协议仍存在一定的安全问题。为了解决上述问题,基于IBAKAS(Identity-Based Authentication and Key Agreement Scheme)协议提出了一种集群无线网络环境下密钥协商协议,并给出了协议的可证明安全、BAN逻辑分析和Scyther形式化分析。此外,将改进后的协议与其他同类型协议进行性能对比。结果表明,新协议不仅安全可行,而且具有高效的计算效率和通信效率,满足了集群无线网络环境的工作要求。
-
网络空间安全科学学报. 2024, 2(5): 67-77. https://doi.org/10.20172/j.issn.2097-3136.240506
物联网(Internet of Things,IoT)的快速发展极大地提高了人们的生活与生产效率。在这个过程中,深度神经网络模型在物联网的数据处理及智能化方面起着至关重要的作用。为了防止模型在未经授权的情况下被使用,模型水印技术已成为一种有效的版权保护手段。模型所有者可以在模型发布前在模型中嵌入特定的水印行为,通过检测是否存在水印行为来鉴别潜在的盗版模型。然而,模型窃取者可以采用低成本方法,在几乎不影响模型性能的情况下移除水印,从而逃避版权验证。为了解决这一问题,一种创新的基于模拟对抗的鲁棒模型水印方法被提出。该方法的核心在于优化一组水印样本,确保模型即使在遭受水印移除攻击后,水印样本仍能触发水印行为。具体而言,通过分析水印移除攻击的共同特性,构建了模拟这些攻击的水印移除仿真器和模拟无水印状态下模型表现的干净模型仿真器,再利用这些仿真器共同指导水印样本的优化。在CIFAR-10和CIFAR-100数据集上的实验结果显示,所提出的鲁棒模型水印在面对多种水印移除攻击方法时均表现出良好的抵抗能力,证明了该方法的有效性和实用性。
-
网络空间安全科学学报. 2024, 2(5): 78-86. https://doi.org/10.20172/j.issn.2097-3136.240507
针对适用于物联网(Internet of Things,IoT)设备中的用户权限动态管理,提出了一种新型的支持撤销的格基安全密文策略属性加密方案。方案通过权威机构更新时间向量,实现了用户的动态撤销功能。它采用线性秘密共享方案(Linear Secret Sharing Scheme,LSSS)来表达访问结构,保障复杂访问控制策略如“与门”“或门”和门限访问策略的实施,而且实现了部分访问策略的隐藏,有效增强了方案的灵活性和安全性。安全性评估显示,该方案能够在选择访问结构和选择明文攻击的情境下维持密文的不可区分性,即使在面对合谋攻击时也同样有效。对比分析表明,方案在存储性能上较优,且支持用户撤销功能,为物联网环境中的数据安全和访问控制提供了一种高效且安全的解决方案。
-
网络空间安全科学学报. 2024, 2(5): 87-98. https://doi.org/10.20172/j.issn.2097-3136.240508
车辆与路边单元(RoadSide Units,RSUs)之间的认证密钥协商(Authenticated Key Agreement,AKA)协议在车联网(Vehicular Ad-hoc Networks,VANETs)中至关重要。然而,现有的解决方案仍然存在效率低下的问题。为了解决这个问题,提出一种面向VANETs的轻量级匿名AKA协议,支持车辆与RSUs之间的轻量级匿名认证和密钥协商。通过轨迹规划,将车辆的认证信息提前同步到目标RSUs,加速认证,使得RSUs可以在车辆到达之前做好身份验证的准备,并防止可信权威机构(Trusted Authority,TA)干涉车辆与RSUs之间的AKA。采用轻量级加密操作,降低了计算开销和通信开销,确保AKA的高效性。安全分析表明,本方案不仅可以实现匿名性、条件隐私性、假名不可链接性、免密钥托管和物理安全,而且能够抵御大多数已知攻击。对比实验结果表明,此方案在轻量化设计方面优于现有方案。
-
网络空间安全科学学报. 2024, 2(5): 99-108. https://doi.org/10.20172/j.issn.2097-3136.240509
随着语音身份认证机制在智能设备上的普及,语音身份认证机制的安全性引起了人们的重视。常规的语音身份认证机制主要依赖智能设备上麦克风传感器采集用户的语音信号,从而提取用户独特的声纹信息用于个体身份合法性认证。由于麦克风传感器只能采集语音信号在时域和频域维度的信息,加之麦克风传感器固有的非线性硬件漏洞,使得基于麦克风的语音认证机制极易受到外部的声学攻击,安全风险较高。为了提高智能设备上语音身份认证机制的安全等级,提出了一种基于加速度计的新型语音身份认证机制——AccLive,利用广泛装备在智能设备中的加速度计传感器感知用户发音过程所引起的空气振动,并提取多级特征表征用户独特的身份信息。此外,分析并模拟了活体声源和虚假声源的声场差异,提取了一种新颖的声场级活体特征以有效检测重放攻击。在现实世界中采集了35名人类参与者的真实声音数据以及使用9种扬声器实施外部声音攻击,经过验证,所设计的机制可以准确识别用户身份并对声源的活体性进行有效区分。
-
网络空间安全科学学报. 2024, 2(5): 109-120. https://doi.org/10.20172/j.issn.2097-3136.240510
结构特性是推断设备类别和型号的重要依据之一,然而由于Wi-Fi网络通过WPA/WPA2、WPA-PSK/WPA2-PSK、WEP等多种方式加密,现有基于无线流量特征的隐藏摄像头识别方法难以从加密后的数据中提取结构特性。为此,提出了一种基于GoP(Group of Pictures)特征的隐藏摄像头识别方法CEASE。所提方法首先采用对比时间间隔策略恢复丢失数据包,然后基于摄像头视频编码和传输原理构建GoP,并在GoP上使用聚合函数提取特征向量,最后基于已有LightGBM方法进行训练并对设备类别和型号进行推断。在大量实测流量上开展了相关实验并与近年来的典型识别方法进行了对比,结果表明:与使用手工构造特征的DeWiCam和ScamF方法相比,CEASE方法设备类别识别准确率分别提升了4.2%和3.4%、摄像头型号识别准确率分别提升了32.9%和38.4%;与同样在多窗口上提取聚合特征的Lumos方法相比,CEASE方法设备类别识别准确率提升了1.6%、摄像头型号识别准确率提升了8.3%。
