IPv6地址驱动的云网络内生安全机制研究

云网络可以根据不同业务场景对云平台虚拟网络资源快速部署与配置,是现代数据中心性能和安全的重要保障。但传统云网架构中IPv4支撑能力有限,无法实现网络端到端的透明传输,多租户特性使得云管理者对租户子网进行流量管理和约束异常困难,外挂式的安全方案缺乏对不同租户流量的追溯能力,无法在源头对攻击行为进行限制。IPv6具有地址空间大、编址能力强、安全性高的特点,基于此,文章提出一种IPv6地址驱动的云网络内生安全机制,包括地址生成层、地址验证层和地址利用层。地址生成层以对称加密算法为基础,将租户身份信息嵌入IPv6地址后64位,修改DHCPv6地址分配策略,并基于Openstack Neutron进行实现。地址验证层设计实现了云网络动态源地址验证方法,针对不同端口状态集合设计针对性转移方法和安全策略。地址利用层基于IPv6真实地址的特性,实现了基于IPv6地址的数据包溯源机制和访问控制策略。

个人信息的内生安全机制及其实现

个人信息处理的技术性、隐蔽性,使自上而下的“命令式”监管范式失效。数字时代,个人信息治理的重点是防止个人信息处理者滥用数据权力威胁国家安全、盘剥和操控个体。为有效控制数据权力这一风险源,国家应当督促个人信息处理者建立健全涵盖制度保障、组织程序保障的个人信息内生安全机制。通过监管激活个人信息处理者内部的自我规制机制,增强其内部的组织控制和行为规范化程度,消减个人信息处理的负外部性,实现个人信息处理的正和博弈。通过监管督促个人信息处理者强化内部治理机制,严格落实个人信息保护影响评估制度,遵从“三同步”要求将个人信息保护法规定的各项义务嵌入产品“代码”中,防控个人信息处理过程中妨害个人自主性、减损人格尊严的风险。

基于标识密码的内生安全最短路径优先协议

路由协议如开放的最短路径优先协议OSPFV2的安全运行对网络的连通及信息安全传输至关重要。传统OSPFV2协议在设计上缺少抵御源路由伪造或路由信息篡改的能力,致使组网易遭遇攻击,而现有的安全策略多为外挂式,易引发新的安全问题或安全效能低,为此,提出基于标识密码的内生安全OSPFV2协议,将标识密码内嵌于路由交换流程内,使网络具备高效的、内生式的抵御路由在传输过程中的篡改和伪造攻击能力。另一方面,考虑大范围部署安全OSPFV2协议存在多种限制因素,利用不透明链路状态通告,设计支持增量部署的运行机制。仿真实验表明,设计的内生安全OSPFV2协议在不损耗过多收敛时延的同时,具备抵御源路由伪造、数据篡改的安全能力。

基于大语言模型的内生安全异构体生成方法

为应对软件系统中未知漏洞和后门带来的安全挑战,文章提出了一种基于大语言模型的内生安全异构体生成方法。该方法以内生安全策略为核心,对程序中安全薄弱的代码执行体进行异构,使得程序在受到攻击时能迅速切换至健康的异构体,保证系统稳定运行。再利用大语言模型生成多样化的异构体,并结合基于种子距离的方法优化现有的模糊测试技术,提高测试用例的生成质量和代码覆盖率,确保这些异构体在功能上的等价性。实验结果表明,该方法能有效修复代码漏洞,并生成功能等价的异构体;此外,相较于现有的AFL算法,优化后的模糊测试方法在达到相同代码覆盖率的情况下,所耗时间更少。因此,文章所提出的方法能够显著提高软件系统的安全性和鲁棒性,为未知威胁的防御提供了新的策略。

5G专网内生安全技术的研究与应用

基于5G专网当前面临的安全风险,提出了整体网络的安全需求,构建了5G专网内生安全的管控体系,介绍了5G专网内生安全的定义、架构、关键技术,为运营商的5G专网安全规划、建设与运维提供了指导框架。

基于多内核的操作系统内生安全技术

随着数字化、智能化、网络化趋势席卷全球,功能安全与网络安全日益交织、叠加,演变为内生安全问题。操作系统是计算机系统的重要组成部分,是软件架构的基石,操作系统级内生安全至关重要。基于拟态防御的动态异构冗余架构是实现操作系统内生安全的关键技术,但目前面临单内核操作系统不支持内生安全、操作系统级内生安全方案缺失、操作系统层共识机制设计不完善等挑战。本文从操作系统内生安全架构、异构冗余机制、高效通信和共识机制等方面展开分析和设计,提出了一套基于多内核的操作系统内生安全技术方案。

全维可定义网络的内生安全技术研究综述

本文介绍了全维可定义网络(full-dimensional definable network,FDN)及其内生安全技术,探讨了其在网络安全和用户隐私方面的作用。FDN旨在通过可编程架构解决传统网络结构的局限性,其中内生安全技术成为应对网络威胁和用户隐私问题的关键。本文首先分析了内生安全技术的基本概念和特点,包括自适应、自组织和自成长的安全功能。其次阐述了其防护能力,包括动态成长和实时适应性,以应对不断变化的威胁。最后展望了内生安全技术的发展趋势,强调其关键技术能够适应未来的网络发展。

基于内生安全的高压直流输电控制保护系统研究

面对日益突出的网络安全问题,高压直流输电控制保护系统的安全防护面临着严重威胁。结合高压直流输电控制保护系统整体架构,提出了一种内生安全高压直流输电控制保护系统设计方法,按照可信主动防御体系框架建立可信安全管理中心,分别对运行人员控制层、控制保护层、现场层进行可信节点设计。该系统有助于提高高压直流输电的整体防护水平。

内生安全在商用车上的应用

商用车辆不断智能化和电气化,内生安全作为一种综合性的安全设计理念在商用车辆中的应用逐渐受到关注。内生安全通过在车辆的各个方面整合安全性措施,旨在提高车辆在正常运行和突发状况下的安全性能。本文就内生安全在商用车上的应用,重点分析和讨论内生安全在智能底盘控制器和T-BoX两方面的应用,以提高商用车的整体安全性能。

5G内生安全关键技术及应用研究

5G网络时代,网络智能化、业务生态化以及运营智慧化给安全带来挑战及创新,传统分散式、补丁式安全防御已无法有效应对,5G内生安全以业务的视角来构筑整个防护体系,提升业务系统的健壮性。文章分析5G新技术及多业务场景引入的安全风险和挑战,从设备层、网络层、网管层和中台层四个层面阐述5G内生安全关键技术,最后介绍5G定制网内生安全赋能方案。

6G天地一体化信息网络内生安全技术

6G天地一体化信息网络面临因网络高度暴露、节点高速运动、计算资源受限等特点带来的安全挑战,且新架构、新应用、新技术也将引入新的安全问题,亟须提出普适性安全理论,一体化解决其功能安全及网络安全问题。为此,首先阐述网络空间内生安全主要理论基础,提出6G天地一体化信息网络内生安全架构;然后,在网络空间内生安全理论的指导下,从星载系统、6G地面移动网、星地链路探讨相关安全理论与技术构想;最后,从安全认证、高安全通信加密等方面分析天地一体化信息网络通信/安全一体化的认证加密机制,及传统安全与内生安全技术的交叉融合。

基于动态异构冗余架构的车载网络内生安全机制

针对车载网络通信报文容易被捕获重放的问题,该文提出一种基于动态异构冗余(DHR)架构的车载网络内生安全机制(ESM-VN)。首先,对车载网络重放攻击进行建模分析,总结重放攻击依赖的车载网络特征;然后结合网络空间内生安全理论,设计车载网络通信报文动态异构冗余的实现机制,通过拟态裁决和负反馈机制实现攻击感知与主动防御的协调统一。实验结果表明,相比于传统车载网络防御方法,该文所提机制能够在至少降低50%报文响应时延的同时,有效提高车载网络对重放攻击的防御能力。

内生安全赋能网络弹性研究

引言,随着数字化转型的深入及数字经济的蓬勃发展,网络空间迅速扩张到生产生活的方方面面。网络技术的普及与进步,一方面降低了成本,促进了生产;另一方面,网络空间因其复杂的依赖关系又呈现出前所未有的不稳定性和风险。网络威胁表现出的不可预测性。

智能网联汽车内生安全问题与对策

智能网联汽车正成为新一代典型信息物理系统,面临着传统功能安全与现实网络安全甚至严峻信息安全等二重乃至三重交织问题复合叠加影响,导致这一现象的根本原因之一是智能网联汽车的内生安全问题—软件定义汽车趋势下的软硬件代码设计缺陷、漏洞/后门等问题。在分析智能网联汽车内生安全问题和现有网络安全防御局限性的基础上,提出了“不完全交集”原理和基于动态异构冗余架构的智能网联汽车内生安全理论和方法,通过将网络攻击带来的不确定性失效与软硬件随机性失效归一化为可用概率表达的广义鲁棒控制问题,使安全性指标达到可量化设计和可验证度量的程度,为一体化解决智能网联汽车网络安全和功能安全(信息安全)交织叠加难题提供了新路径,赋能智能网联汽车及车联网基础设施构建数字安全底座。

基于商用密码的新能源集控系统内生安全研究

新能源集控系统跨地域部署,点多面广,面临来自网络空间的不确定性动态攻击风险。利用模糊层次分析法分析新能源集控系统的安全风险。针对非法遥控、非法访问等高危安全风险,从内生安全角度研究系统安全防护方法,提出国产密码技术与DL/T 476—2012规约深度融合方法,用于远程数据通信,并对数据验签、解密失败行为进行安全审计,根据审计结果屏蔽恶意攻击。在数据加密过程中,提出基于Linux随机数生成器(LRNG)的“一次一密”SM4秘钥生成方案,降低了秘钥泄漏风险。编写的程序搭建实验环境对所提方法进行验证,验证结果表明所提方法是可行有效的。

基于内生安全体系结构的蜜罐技术研究

为增强蜜罐对未知漏洞、未知后门、未知攻击的防范能力,提高蜜罐的动态性、数据搜集能力、诱捕能力和溯源能力,基于内生安全体系结构,将其与蜜罐技术紧密结合,提出了一种能够主动防御兼诱捕的内生安全蜜罐模型。该模型利用内生安全动态、异构、冗余的特性解决蜜罐的安全性问题,利用内生安全特有的感知能力提高蜜罐的诱捕性和溯源性。最终理论分析和实验结果也表明,内生安全蜜罐在安全性、诱捕能力和溯源能力上都有明显提升。

面向未来网络的高可信内生安全体系研究

传统网络架构难以满足新业务、新技术发展需求,未来网络需要新型网络体系架构。对面向未来网络的高可信内生安全体系进行了研究,通过安全框架和网络架构的统一设计,满足从网元、网络功能到业务应用的安全需求。该安全体系具备高效风险预测、感知、识别能力,支持网络故障和威胁的快速定位,并能够根据网络安全状态选择最佳响应和业务恢复策略。

关于5G网络内生安全的思考

在数字经济时代,5G技术在为国家社会经济发展带来便捷的同时,也引发了新的安全挑战和风险。其中,5G网络风险防范成为各国政府、国际标准组织、电信运营和设备制造企业高度关注的焦点。文章系统回顾国际5G网络安全建设工作,对运营商5G安全防护现状和不足进行分析,并针对5G网络面临安全挑战,结合实践案例提出内生安全助力打造5G坚强网络的解决方案。

内生安全赋能网络弹性的构想、方法与策略

网络弹性工程是美国、欧洲等发达国家和地区针对数字化转型、新发展形势下的网络安全挑战所采取的技术性措施,旨在以网络弹性标准为依托,构建数字技术准入“壁垒”,同时从应用服务侧和设备供应侧同时发力,提高自身数字设施和数字产品的安全能力。本文着眼网络弹性工程实施对我国发展新一代网络信息技术带来的影响和挑战,递次阐述了弹性、网络弹性、网络弹性工程的概念,从网络弹性工程的政策驱动、战略考量、发展困境等方面剖析了国外网络弹性工程的应用进展;基于内生安全理论提出了一种新的动态异构冗余架构,描述了内生安全赋能网络弹性的内在机理,阐释了内生安全赋能网络弹性的基本构想与应用方法。研究建议,加快技术创新,抵消发达国家网络弹性工程的组合效应;推动建立中国特色网络弹性政策法规体系;建立相应监管体系,明确网络安全责任边界;建立可量化、可验证、具有公信力的测试评价体系;采取市场化金融手段,多路径助力网络弹性实施,以期系统性增强我国网络弹性,推动网络强国建设。

未来网络内生安全通信技术

网络安全技术是保证未来云网发展的关键技术。针对未来网络安全挑战及现有技术缺陷,提出了一种基于网络可信身份的轻量化密钥验证技术——网络可信通信(NISC)技术。该技术具备近源协同防护和无状态随路验证等特征,目前已在试验网络上验证了其防御网络攻击的有效性和可行性,可以为未来网络安全可信保障提供参考,加速未来云网安全技术研究和产业化进程。