云计算环境下访问控制关键技术 被引量：54

1

作者 冯朝胜 秦志光 +1 位作者 袁丁 卿昱 《电子学报》 EI CAS CSCD 北大核心 2015年第2期312-319,共8页

可控信任域的消失和多租户环境的出现,导致云计算环境下访问控制在诸多关键技术上都面临新的严峻挑战.该文从身份供应、身份认证、访问控制、身份联合和单点登录几个方面介绍了产业界在云访问控制上面临的问题和主要解决方法.从访问控... 可控信任域的消失和多租户环境的出现,导致云计算环境下访问控制在诸多关键技术上都面临新的严峻挑战.该文从身份供应、身份认证、访问控制、身份联合和单点登录几个方面介绍了产业界在云访问控制上面临的问题和主要解决方法.从访问控制模型、基于属性的密文访问控制和外包数据的访问控制三个方面评述了学术界在云访问控制上的最新研究成果.基于对已有技术和研究成果的分析,预测了云访问控制研究的未来走向. 展开更多

关键词 云计算 身份管理 访问控制 数据服务外包

在线阅读 下载PDF 职称材料

基于身份的加密体制研究综述 被引量：17

2

作者 曾梦岐 卿昱 +2 位作者 谭平璋 杨宇 周楝淞 《计算机应用研究》 CSCD 北大核心 2010年第1期27-31,共5页

着重对基于身份的加密(IBE)体制进行综述性的研究:通过与传统的PKI进行比较引出IBE加密体制,并介绍其通用的工作机制;接着对若干典型的基于身份的加密算法进行对比、分析,总结出各种算法的优劣;在IBE的已有实现和应用部分,跟踪了IBE的... 着重对基于身份的加密(IBE)体制进行综述性的研究:通过与传统的PKI进行比较引出IBE加密体制,并介绍其通用的工作机制;接着对若干典型的基于身份的加密算法进行对比、分析,总结出各种算法的优劣;在IBE的已有实现和应用部分,跟踪了IBE的国际标准;最后对基于身份的加密体制中存在的热点问题进行剖析,提出有价值的问题供进一步研究。 展开更多

关键词 基于身份的加密 PKI 椭圆曲线 双线性映射

在线阅读 下载PDF 职称材料

P2P网络中被动型蠕虫传播与免疫建模 被引量：8

3

作者 冯朝胜 秦志光 +1 位作者 袁丁 卿昱 《电子学报》 EI CAS CSCD 北大核心 2013年第5期884-889,共6页

鉴于被动型蠕虫的危害性,对被动型蠕虫进行了深入分析,进而基于平均场法建立了被动型蠕虫的传播模型和免疫模型.基于传播模型和流行病传播学理论推导出进入无蠕虫平衡状态的充分条件,仿真实验证明了该充分条件的正确性.另外,仿真实验还... 鉴于被动型蠕虫的危害性,对被动型蠕虫进行了深入分析,进而基于平均场法建立了被动型蠕虫的传播模型和免疫模型.基于传播模型和流行病传播学理论推导出进入无蠕虫平衡状态的充分条件,仿真实验证明了该充分条件的正确性.另外,仿真实验还表明,下载率和恢复率是控制蠕虫传播的两个可控的关键参数.在免疫软件被编制出来前,降低下载率和提高恢复率能有效控制被动型蠕虫的传播. 展开更多

关键词 被动型蠕虫 P2P文件共享网 传播 免疫 建模 仿真

在线阅读 下载PDF 职称材料

P2P网络中激发型蠕虫传播动态建模 被引量：6

4

作者 冯朝胜 袁丁 +1 位作者 卿昱 秦志光 《电子学报》 EI CAS CSCD 北大核心 2012年第2期300-307,共8页

鉴于激发型蠕虫的巨大危害性,本文在考虑网络动态变化的情况下对激发型蠕虫的传播进行了深入地研究,提出了激发型蠕虫动态传播数学模型和免疫模型,并基于动态传播数学模型推导出了激发型蠕虫不会泛滥的充分条件.大规模仿真实验验证了传... 鉴于激发型蠕虫的巨大危害性,本文在考虑网络动态变化的情况下对激发型蠕虫的传播进行了深入地研究,提出了激发型蠕虫动态传播数学模型和免疫模型,并基于动态传播数学模型推导出了激发型蠕虫不会泛滥的充分条件.大规模仿真实验验证了传播模型的有效性和蠕虫不会泛滥充分条件的正确性.基于传播模型的分析表明,下载率是影响蠕虫传播的关键因素,蠕虫基本繁殖率是衡量蠕虫传播能力的关键指标.基于实测P2P网络数据和传播模型,预测和估计了激发型蠕虫的传播能力、传播速度和危害性,指出尽早重视P2P激发型蠕虫特别是尽早找到检测和控制方法的重要性和迫切性. 展开更多

关键词 P2P网络 激发型蠕虫 动态性 传播建模 基本繁殖率 仿真

在线阅读 下载PDF 职称材料

P2P逻辑网络拓扑结构仿真分析 被引量：1

5

作者 冯朝胜 冯林 +1 位作者 卿昱 袁丁 《计算机科学》 CSCD 北大核心 2011年第12期121-124,共4页

在深入分析P2P网络协议的基础上,给出了P2P网络仿真系统的设计,并在此基础上实现了该系统。为了确定P2P逻辑网络的拓扑结构,基于开发出的仿真系统进行了大规模仿真实验,仿真实验主要对P2P逻辑网络的三大特征参数进行了考查。实验表明,... 在深入分析P2P网络协议的基础上,给出了P2P网络仿真系统的设计,并在此基础上实现了该系统。为了确定P2P逻辑网络的拓扑结构,基于开发出的仿真系统进行了大规模仿真实验,仿真实验主要对P2P逻辑网络的三大特征参数进行了考查。实验表明,仿真出的P2P网络都有较小的平均路径长度和较大的聚类系数,而度分布都为指数分布。根据P2P逻辑网络特征参数的特点并利用复杂网络理论确定,P2P逻辑网络是一个度分布为指数分布的小世界网络。 展开更多

关键词 P2P逻辑网络 拓扑结构 仿真

在线阅读 下载PDF 职称材料

支持多信道的无线传感器网络DMAC协议

6

作者 李智 郑睿童 +1 位作者 黄波 卿昱 《四川大学学报（工程科学版）》 EI CAS CSCD 北大核心 2008年第5期135-141,共7页

为了解决无线传感器网络低延迟、高吞吐量与有限的带宽之间的矛盾,提出了一种基于DMAC的动态多信道MAC协议。协议依据节点本地信息,将信道预先分配给中间节点,利用多信道和多个时隙排列实现了DMAC的多信道支持,并为DMAC协议增加了由根... 为了解决无线传感器网络低延迟、高吞吐量与有限的带宽之间的矛盾,提出了一种基于DMAC的动态多信道MAC协议。协议依据节点本地信息,将信道预先分配给中间节点,利用多信道和多个时隙排列实现了DMAC的多信道支持,并为DMAC协议增加了由根节点到子节点的通信方式。理论分析与NS-2仿真结果表明,支持多信道的DMAC协议在没有增加能耗的前提下,显著降低了数据传输中的延迟。 展开更多

关键词 多信道 低延迟 低能耗 媒介接入控制 无线传感器网络 DMAC

在线阅读 下载PDF 职称材料

P2P干预式蠕虫传播仿真分析

7

作者 冯朝胜 杨军 +1 位作者 卿昱 秦志光 《计算机应用研究》 CSCD 北大核心 2012年第1期297-300,共4页

对P2P干预式主动型蠕虫的传播机制进行了研究,指出其传播主要包括四个阶段:信息收集,攻击渗透、自我推进与干预激活。研究发现,P2P干预式蠕虫实际是一种拓扑蠕虫,能利用邻居节点信息准确地确定攻击目标,而且攻击非常隐蔽。采用仿真的方... 对P2P干预式主动型蠕虫的传播机制进行了研究,指出其传播主要包括四个阶段:信息收集,攻击渗透、自我推进与干预激活。研究发现,P2P干预式蠕虫实际是一种拓扑蠕虫,能利用邻居节点信息准确地确定攻击目标,而且攻击非常隐蔽。采用仿真的方法研究了P2P相关参数对P2P干预式蠕虫传播的影响。仿真实验表明,潜伏主机激活率对干预式蠕虫传播的影响最大,而攻击率对干预式蠕虫传播的影响较小。 展开更多

关键词 主动型蠕虫 干预式蠕虫 P2P网络 仿真

在线阅读 下载PDF 职称材料

针对KASLR绕过的脆弱性指令挖掘

8

作者 李周阳 邱朋飞 +2 位作者 卿昱 王春露 汪东升 《电子与信息学报》 北大核心 2025年第9期3241-3251,共11页

现代操作系统采用内核地址空间随机化(KASLR)技术来抵御内核代码重用攻击。处理器微架构侧信道能够泄露内核代码段的页表信息,进而可以被用来绕过KASLR保护,但是现有研究局限于MOV, CMASKMOV,PREFETCHNTA和CLDEMOTE等少数的几条指令来... 现代操作系统采用内核地址空间随机化(KASLR)技术来抵御内核代码重用攻击。处理器微架构侧信道能够泄露内核代码段的页表信息,进而可以被用来绕过KASLR保护,但是现有研究局限于MOV, CMASKMOV,PREFETCHNTA和CLDEMOTE等少数的几条指令来探测内核地址,攻击面有限。为系统评估KASLR攻击面,该文从指令多样性出发,设计一个自动化分析框架,挖掘可以绕过KASLR保护并暴露计算机系统安全脆弱性的指令。该框架不需要逆向微架构部件的实现细节,专注于攻击任务本身,首先将攻击流程抽象为环境准备、内存探测、微架构信息记录和差分分析4个阶段,然后定位绕过KASLR保护的关键攻击代码,最后研究不同指令在替换关键代码后的攻击效果。该文分别从指令的汇编形式和字节形式出发提出两套KASLR攻击面的评估算法,互相验证和补充。实验结果表明,该文在Intel x86指令集挖掘出699条可实现KASLR绕过的汇编指令,相比现有研究依赖的6条指令,实现了KASLR脆弱性指令的跨数量级增长。此外,从字节形式出发的实验数据表明,Intel x86指令集有39个单字节操作码、121个双字节操作码和24个3字节操作码指令可以实现KASLR绕过。该文的发现不仅显著扩展了KASLR的攻击面,更为基于特征检测的防御机制带来挑战和新思路。 展开更多

关键词 硬件安全 微架构侧信道攻击 脆弱性指令 内核地址空间随机化

在线阅读 下载PDF 职称材料

一种支持分级用户访问的文件分层CP-ABE方案 被引量：4

9

作者 刘帅南 刘彬 +3 位作者 郭真 冯朝胜 秦志光 卿昱 《软件学报》 EI CSCD 北大核心 2023年第7期3329-3342,共14页

文件分层的密文策略基于属性的加密(FH-CP-ABE)方案实现了同一访问策略的多层次文件加密,节省了加解密的计算开销和密文的存储开销.然而,目前的文件分层CP-ABE方案不支持分级用户访问,且存在越权访问的问题.为此,提出一种支持分级用户... 文件分层的密文策略基于属性的加密(FH-CP-ABE)方案实现了同一访问策略的多层次文件加密,节省了加解密的计算开销和密文的存储开销.然而,目前的文件分层CP-ABE方案不支持分级用户访问,且存在越权访问的问题.为此,提出一种支持分级用户访问的文件分层CP-ABE方案.在所提方案中,通过构造分级用户访问树,并重新构造密文子项以支持分级用户的访问需求,同时消除用户进行越权访问的可能性.安全性分析表明,所提方案能够抵御选择明文攻击.理论分析和实验分析均表明,与相关方案相比,所提方案在计算和存储方面具有更高的效率. 展开更多

关键词 基于属性的加密 文件分层 分级用户访问 越权访问 选择明文攻击

在线阅读 下载PDF 职称材料

支持云代理重加密的CP-ABE方案 被引量：7

10

作者 赵开强 康萍 +3 位作者 刘彬 郭真 冯朝胜 卿昱 《电子学报》 EI CAS CSCD 北大核心 2023年第3期728-735,共8页

针对现有的面向CP-ABE(Ciphertext-Policy Attribute-Based Encryption)的代理重加密方案因代理方可以解密代理重加密密文且可以任意修改访问策略而难以支持云代理重加密的问题,本文提出支持云代理重加密的CPABE方案即CP-ABE-CPRE(CP-AB... 针对现有的面向CP-ABE(Ciphertext-Policy Attribute-Based Encryption)的代理重加密方案因代理方可以解密代理重加密密文且可以任意修改访问策略而难以支持云代理重加密的问题,本文提出支持云代理重加密的CPABE方案即CP-ABE-CPRE(CP-ABE Scheme with Cloud Proxy Re-Encryption)方案.该方案利用版本号标识不同阶段的私钥和密文来支持属性撤销,只有在用户私钥版本号和密文版本号相匹配且用户属性满足访问策略时,用户才能解密密文.当撤销用户属性时,云服务器无需修改访问策略就可以更新被撤销属性对应的保密值.该方案还通过懒惰更新和批量更新减少密文和用户私钥更新次数,提升更新效率.理论分析和实验结果分析都表明,CP-ABE-CPRE在计算开销和存储开销上均优于相关已有方案.安全性分析表明,CP-ABE-CPRE能够对抗针对性选择明文攻击(sCPA,selective Chosen Plaintext Attack). 展开更多

关键词 基于属性加密 访问控制 云代理重加密 云计算 sCPA

在线阅读 下载PDF 职称材料

支持大属性空间和安全分级的KP-ABE

11

作者 康萍 赵开强 +3 位作者 刘彬 郭真 冯朝胜 卿昱 《电子学报》 EI CAS CSCD 北大核心 2023年第9期2549-2557,共9页

现有的KP-ABE(Key-Policy Attribute-Based Encryption)方案主要通过哈希函数实现对大属性空间的支持,安全性建立在随机预言模型下而非标准模型下;计算每个属性对应的密文子项或密钥子项,指数运算次数大于最大加密属性个数;不支持数据... 现有的KP-ABE(Key-Policy Attribute-Based Encryption)方案主要通过哈希函数实现对大属性空间的支持,安全性建立在随机预言模型下而非标准模型下;计算每个属性对应的密文子项或密钥子项,指数运算次数大于最大加密属性个数;不支持数据和用户安全分级.针对上述问题,本文提出了一种支持大属性空间和安全分级的KPABE方案.该方案通过编码函数而不是哈希函数将任意“属性名称:属性值”编码映射至有限域中的一个元素,实现对任意“属性名称:属性值”的支持并确保任意两个不同“属性名称:属性值”的编码值不同;结合强制访问控制思想,方案对密文和用户赋予不同的安全等级,只有用户安全等级不低于密文的安全等级时用户才能解密.最后对本文方案进行了安全性和性能分析,在标准模型下证明了该方案针对选择明文攻击是安全的;性能分析表明,所提出方案只需要进行2次指数运算,就能完成一个属性对应的密文子项或密钥子项的计算. 展开更多

关键词 KP-ABE 大属性空间 选择明文攻击 强制访问控制 安全分级

在线阅读 下载PDF 职称材料

多视角下的网络空间安全模型与体系化发展 被引量：9

12

作者 孙帅 张蕾 +3 位作者 胡春卉 傅首清 卿昱 崔勇 《中国工程科学》 CSCD 北大核心 2023年第6期116-125,共10页

网络空间技术发展迅速,新应用、新技术衍生的网络空间安全风险趋于复杂化和隐蔽化;建立特有的网络空间安全模型是国内外应对复杂安全威胁的常规做法,但现有的网络空间安全模型存在未来发展方向不明确、新技术衍生风险分析能力不足、网... 网络空间技术发展迅速,新应用、新技术衍生的网络空间安全风险趋于复杂化和隐蔽化;建立特有的网络空间安全模型是国内外应对复杂安全威胁的常规做法,但现有的网络空间安全模型存在未来发展方向不明确、新技术衍生风险分析能力不足、网络空间安全防御评估所需的安全能力缺失等问题。本文从技术、学科、产业等视角入手,开展了现有的网络空间安全模型评估,梳理了网络空间安全技术体系的自身特点及其发展脉络,阐明了网络安全应用存在的迫切问题;着重从网络空间安全技术视角出发,提出了一种基于技术要素的网络空间安全模型体系框架,并利用已有安全技术和新兴技术验证了体系框架的安全分析能力。从完善网络空间安全技术体系核心框架、促进网络空间安全领域“产学研”协同、推进网络空间安全核心技术标准制定、体系化解决人工智能安全威胁等方面提出了发展建议,以期高效应对网络空间安全威胁、提升我国网络空间安全保障能力。 展开更多

关键词 网络空间 安全模型 安全能力 衍生风险

在线阅读 下载PDF 职称材料