IPv6地址驱动的云网络内生安全机制研究

云网络可以根据不同业务场景对云平台虚拟网络资源快速部署与配置,是现代数据中心性能和安全的重要保障。但传统云网架构中IPv4支撑能力有限,无法实现网络端到端的透明传输,多租户特性使得云管理者对租户子网进行流量管理和约束异常困难,外挂式的安全方案缺乏对不同租户流量的追溯能力,无法在源头对攻击行为进行限制。IPv6具有地址空间大、编址能力强、安全性高的特点,基于此,文章提出一种IPv6地址驱动的云网络内生安全机制,包括地址生成层、地址验证层和地址利用层。地址生成层以对称加密算法为基础,将租户身份信息嵌入IPv6地址后64位,修改DHCPv6地址分配策略,并基于Openstack Neutron进行实现。地址验证层设计实现了云网络动态源地址验证方法,针对不同端口状态集合设计针对性转移方法和安全策略。地址利用层基于IPv6真实地址的特性,实现了基于IPv6地址的数据包溯源机制和访问控制策略。

面向网安学科的硬件安全课程体系设计与教学实践

针对目前国内网络安全教学体系中硬件安全相关课程缺乏、硬件安全课程体系尚未完整建立的现状,提出面向网安学科的硬件安全课程体系构建思路,从课程思政、理论联系实践、软硬协同、产学研等角度阐述针对硬件安全课程体系的教学设计方法,进一步探讨面向网安学科的硬件安全课程实验平台构建方法。

基于贝叶斯公式的信息反馈机制

提出了一种基于贝叶斯公式的信息反馈模型BIF.当系统拒绝用户对资源的访问时,BIF通过计算在当前的条件下改变某些访问条件的可能性,把用户的访问条件的替代方案限制到一个小而有用的集合,系统将具有最大可能性的选项反馈给用户.用户根据系统的反馈改变访问条件从而成功访问资源.BIF引入附加策略来保护敏感策略,在此过程中不会泄漏任何危及到系统安全和机密性的信息.实验证明,BIF模型在保护了系统敏感信息的同时,也提高了系统的可用性及访问成功的几率.

基于历史的用户自定义特征建模方法研究

在华中科技大学CAD中心自主开发的三维CAD系统———Intesolid中,提出了一种基于历史的用户自定义特征的建模方法,实现了基于用户自定义特征的设计意图的重构,提高了设计效率,体现了设计构件重用的思想,并简化了特征库的管理。

用户自定义特征建模系统的研究

本文提出了一种用户自定义特征的建模方法,提高了设计效率,体现了设计构件重用的思想,并在华中科技大学CAD中心自主开发的三维CAD系统——Intesolid中实现了该建模方法。

一种基于Bayesian的信任协商模型

信任协商是一种通过逐步暴露数字证书而在陌生人之间建立信任关系的方法。当一个用户在访问资源被拒绝时,系统提供适当的信息反馈可以提高系统的可用性,尤其对于访问控制策略依赖于上下文相关信息的系统。然而,不加选择地提供反馈可能会泄露一些有价值的商业信息或个人隐私。本文通过分析访问控制中存在的问题,将Bayesian条件概率测量方法引入到信任协商中,提出了一种基于Bayesian概率的信任协商模型。该模型通过实时概率计算来给予反馈信息,以提高访问成功的几率。该方法既保护了系统的敏感信息,又提高了系统的可用性。

Google硬件体系结构分析

随着网络的快速发展和信息爆炸,搜索引擎成了不可或缺的工具。凭借优秀的软件设计,Google在诸多搜索引擎中脱颖而出,而其具有极高性价比的硬件体系结构的搭建思想更值得研究和学习。本文对Google的硬件结构进行了深入研究,并对其容量、可靠性、扩展性等方面做了全面的分析。其先进技术和巧妙的设计思想为计算机硬件体系结构的发展研究提供了良好的借鉴。

基于DR-tree的室内移动对象索引研究

对于移动对象历史轨迹索引,现有的方案绝大多数都基于室外空间,难以直接应用于室内空间中;同时,未将对象本身作为一个独立的维度加以索引,无法提供高效的对象轨迹查询方式。对此,提出了一个室内环境下的移动对象索引结构DR-tree来对移动数据的位置、时间、对象三个维度进行索引,并将位置维与对象维解耦,将三维索引转换为两个二维索引,同时给出查询优化方案。实验结果表明,与现有的室内环境下的索引方案RTR-tree相比,该结构不仅能够提供高效的时空查询,而且还能提供高效的对象轨迹查询。

科创项目模式在本科课堂教学和课程设计中的探索

文章结合本科生专业核心课程的教学实践,探索了将大创项目、课堂教学、课程设计相融合的教学理念和方法,提出了柔性化和个性化相结合的教学培养模式。在课堂教学过程中,启发学生独立提出创新研究项目,以小组形式完成设计报告和口头报告。在课程设计过程中,以学生在课堂教学中提出的创新研究项目为研究对象,指导学生以小组为单位合作完成课程设计任务,定期检查和答疑,增强学生的项目管理意识和团队合作精神,激发学生的求知欲和创造力。在此基础上,鼓励学生申报学校或国家大学生创新项目,进一步提高本科生的科研创新能力和创业意识。

面向软件定义网络的两级DDoS攻击检测与防御

分布式拒绝服务(DDoS)攻击一直是互联网的主要威胁之一,在软件定义网络(SDN)中会导致控制器资源耗尽,影响整个网络正常运行。针对SDN网络中的DDoS攻击问题,文章设计并实现了一种两级攻击检测与防御方法。基于控制器北向接口采集交换机流表数据并提取直接特征和派生特征,采用序贯概率比检验(Sequential Probability Ratio Test,SPRT)和轻量级梯度提升机(LightGBM)设计两级攻击检测算法,快速定位攻击端口和对攻击类型进行精准划分,通过下发流表规则对攻击流量进行实时过滤。实验结果表明,攻击检测模块能够快速定位攻击端口并对攻击类型进行精准划分,分类准确率达到98%,攻击防御模块能够在攻击发生后2 s内迅速下发防御规则,对攻击流量进行过滤,有效保护SDN网络的安全。

基于应用层主动网络的组播模型

分析传统应用层组播模型的优点和不足,结合应用层主动网络技术,提出一种新的应用层组播模型。在网络边缘部署主动式超级节点、普通节点和主动式备用节点,在广域网中生成组播共享树,在局域网上构造多维Mesh,依靠组播共享树与多维Mesh进行组播。利用PeerSim对Scribe,CAN Multicast和该模型进行仿真,比较它们的Link Stress和RMD,结果表明该模型的优势随网络规模的变大而增加。

开放系统中基于历史角色的快速协商模型

在开放式网络环境中,资源的请求者和提供者往往隶属于不同的安全域。在陌生人之间建立信任并保证共享资源的安全可以通过自动信任协商来实现。如何加速这些实体之间的后续协商过程是随之要解决的重要问题。通过分析自动信任协商对系统的需求,提出了支持快速协商的基于历史角色的自动信任协商模型HRFN。HRFN将角色的概念引进来,根据协商过程中暴露出的证书为协商对方分配一定的角色,并将这些角色记录在历史信息记录中,同时记录该角色对应的证书暴露序列。在后续协商过程中,如果资源请求者的历史角色具有访问权限,则双方根据该角色对应的证书暴露序列来暴露证书。经试验验证,HRFN模型的安全性能更高,而且满足自动信任协商的快速需求。

基于链路冲突图嵌入的信道干扰测量与优化方法

为解决现有信道测量与优化方法忽略链路状态导致无法优先降低实际链路所受干扰问题,文章针对校园网等大规模无线网络环境,提出一种基于链路冲突图嵌入的信道干扰测量与优化方法。在测量阶段,引入链路状态和调整系数,对不同链路间的干扰进行分级,构造基于信道干扰分级的链路冲突图。同时使用图嵌入算法对链路冲突图进行嵌入,借助嵌入后的向量描述无线网络的整体干扰情况,提高测量的准确性;采用基于滑动窗口的部分采样方法以低采样率准确反映链路所受干扰。在网络优化阶段,采用基于最大割问题的优化算法计算最优无线网络信道配置策略,降低实际链路所受干扰。

History-based trust negotiation model

Trust negotiation （TN） is an approach to establish trust between strangers through iterative disclosure of digital credentials. Speeding up subsequent negotiations between the same negotiators is a problem worth of research. This paper introduces the concept of visiting card, and presents a history-based trust negotiation （HBTN） model. HBTN creates an account for a counterpart at the first negotiation and records valid credentials that the counterpart disclosed during each trust negotiation in his historical information base （HIB）. For the following negotiation, no more credentials need to be disclosed for both parties. HBTN speeds up subsequent negotiations between the entities that interact with each other frequently without impairing the privacy preservation.