Lightweight Trusted Security for Emergency Communication Networks of Small Groups

Public communication infrastructures are susceptible to disasters. Thus, the Emergency Communication Networks(ECNs) of small groups are necessary to maintain real-time communication during disasters. Given that ECNs are self-built by users, the unavailability of infrastructures and the openness of wireless channels render them insecure. ECN security, however, is a rarely studied issue despite of its importance. Here, we propose a security scheme for the ECNs of small groups. Our scheme is based on the optimized Byzantine Generals’ Problem combined with the analysis of trusted security problems in ECNs. Applying the Byzantine Generals’ Problem to ECNs is a novel approach to realize two new functions, debugging and error correction, for ensuring system consistency and accuracy. Given the limitation of terminal devices, the lightweight fast ECDSA algorithm is introduced to guarantee the integrity and security of communication and the efficiency of the network. We implement a simulation to verify the feasibility of the algorithm after theoretical optimization.

贵州习酒股份有限公司工业控制安全项目

贵州习酒积极推进白酒传统生产方式的机械化升级,推动了整个行业向信息化、智能化转型,其制造过程中的网络安全防护显得越来越重要。本方案构建了贵州习酒工控网络“垂直分层、水平分区、边界控制、内部监测”的工控安全技术防护体系,实现了对各操作站、工业控制系统连接处、无线网络等进行边界防护和准入控制,以及对工业控制系统内部进行网络流量数据监测。本方案构建的工控网络实战化主动防御体系,提升了工控网络未知威胁检测能力,实现了从被动防御变为主动防御,全面提高了工控网络威胁防御能力,全面快速消除了工控网络威胁,实现了从单点防御到工控网络全网协防,形成了贵州习酒工控网络实战化网络安全防护体系。

紧急控制状态下储能提高电力系统暂态稳定性研究

针对电力系统在面对突发负荷变化和可再生能源波动时的暂态稳定性问题,提出了一种融合轻量梯度提升机(LightGBM)、长短期记忆网络(LSTM)和信任区域策略优化(TRPO)的基于储能系统的紧急控制策略,称为LightGBM-LSTM-TRPO模型,旨在提高电力系统的稳定性和可靠性。首先,分析了电力系统暂态稳定性的重要性及当前面临的挑战,强调了传统控制方法在紧急控制状态下的局限性。随后,使用LightGBM算法预测电力系统的状态变化趋势,包括负荷变化和可再生能源波动。接着,使用LSTM算法处理电力系统中的时间序列历史数据,以捕捉电力系统动态变化的复杂性和长期依赖关系。最后,使用TRPO算法优化储能系统在紧急控制状态下的响应策略,以维持电网的暂态稳定性。实验的仿真结果表明,与传统的LSTM和改进的LightGBM-LSTM等算法相比,本文所提的LightGBM-LSTM-TRPO模型能准确预测出电力系统的储能输出量,其紧急控制状态下的切机量和切负荷量更少,响应速度更快,电压恢复程度更高,可快速缓解电网在突发事件下的压力。

基于信任过滤的轻量级加密流量异常检测方案

针对智能电网边缘设备计算能力有限导致的加密流量检测瓶颈问题,提出一种基于信任过滤的轻量级加密流量异常检测方案TrauFilter。该方案以终端认证历史和符合智能电网流量统计特征的基本信任因素为依据,对终端进行受信度评估。根据受信度评估结果,过滤失陷终端的显式攻击流量,并引入双重突变因子改善突变失陷终端的信任迟滞问题。将剩余可疑加密流量与非加密流量进行流预处理,得到流灰度图特征空间,并通过优化ShuffleNet_v2单元结构,嵌入轻量级坐标注意力(Coordinate Attention,CA)模块,设计ShuffleNet-CA模型进行分类预测。仿真实验表明,TrauFilter能够在保障检测精度的条件下,有效降低边缘设备处理负载和提升加密流量的异常检测速度,适用于智能电网边缘设备的部署。

边缘计算环境下轻量级终端跨域认证协议

边缘计算由于低时延、高带宽、低成本等众多优点,被广泛应用在各种智能应用场景中,但也因其分布式、实时性和数据多源异构性等特点,面临安全方面的诸多挑战。身份认证是终端接入网络的第一步,也是边缘计算的第一道防线,为了解决边缘计算环境下的安全问题,在“云-边-端”三级网络认证架构基础上,提出了一种适用于边缘计算环境下的终端跨域认证协议。该协议首先基于SM9算法实现终端与本地边缘节点间的接入认证,并协商出会话密钥;然后利用该密钥结合对称加密技术和Hash算法实现终端的跨域认证;认证过程中采用假名机制,保护终端用户的隐私安全,终端只需一次注册,便可在不同安全域之间随机漫游。通过BAN逻辑证明了协议的正确性,并对协议的安全性进行分析。结果表明,该协议可以抵抗物联网场景下的常见攻击,同时具备单点登录、用户匿名等特点。最后从计算成本和通信成本两方面对跨域认证协议进行性能分析,并与现有方案进行对比。实验结果显示,该协议在计算成本和通信开销上优于其他方案,满足资源受限的终端设备需求,是一种轻量级安全的身份认证协议。

基于DICE的证明存储方案

信息技术的不断发展和智能终端设备的普及导致全球数据存储总量持续增长,数据面临的威胁挑战也随着其重要性的凸显而日益增加,但目前部分计算设备和存储设备仍存在缺乏数据保护模块或数据保护能力较弱的问题.现有数据安全存储技术一般通过加密的方式实现对数据的保护,但是数据的加解密操作即数据保护过程通常都在应用设备上执行,导致应用设备遭受各类攻击时会对存储数据的安全造成威胁.针对以上问题,本文提出了一种基于DICE的物联网设备证明存储方案,利用基于轻量级信任根DICE构建的可信物联网设备为通用计算设备(统称为主机)提供安全存储服务,将数据的加解密操作移至可信物联网设备上执行,消除因主机遭受内存攻击等风险对存储数据造成的威胁.本文工作主要包括以下3方面:(1)利用信任根DICE构建可信物联网设备,为提供可信服务提供安全前提.(2)建立基于信任根DICE的远程证明机制和访问控制机制实现安全认证和安全通信信道的建立.(3)最终利用可信物联网设备为合法主机用户提供可信的安全存储服务,在实现数据安全存储的同时,兼顾隔离性和使用过程的灵活性.实验结果表明,本方案提供的安全存储服务具有较高的文件传输速率,并具备较高的安全性,可满足通用场景下的数据安全存储需求.

一种用于汽车充电的轻量物联网通信协议

新能源电动汽车充电支付是未来物联网金融服务的重点支付场景之一。从当前电动汽车基于车架号(VIN)无感支付场景出发,分析指出现有通信协议存在明文传输的安全问题,且物联网场景下不具备高效大规模组网能力,设计了一种轻量级基于现代加密理论的可信物联网通信协议方案,并从灵活轻量和网络安全可信两个方面进行介绍,列举了轻量可信协议在智能充电业务中的应用案例,并完成了实验室原型系统验证,解决了机器与机器信息交互过程中的信息安全传输与身份认证问题,从而为物联网的自动化支付提供了更为安全有效的基础设施服务能力。

基于可信轻量虚拟机监控器的安全架构

虚拟化技术越来越多地被用于增强商用操作系统的安全性。现有的解决方案通常将虚拟机管理软件(VMM)作为可信集,利用其作为底层架构的优势来为上层软件提供安全功能。这些方案都是基于通用虚拟机管理软件,因而存在以下问题:a)虚拟化性能上开销大;b)作为可信集相对比较庞大;c)不能提供有效的信任链证明自身可信性。针对上述问题,提出以轻量虚拟机监控器作为可信集的安全架构——Cherub架构,Cherub利用主流处理器的安全扩展指令和硬件辅助虚拟化技术在运行的操作系统中插入轻量级的虚拟机监控器,并利用该虚拟机监控器作为可信集用于实现多种安全目标。实验结果证明了该架构的有效性,并具有代码量小、动态可加载和虚拟化开销小等优点。

面向智能家居的区块链轻量级认证机制

5G技术为智能家居行业开拓了更大的发展空间,但安全问题也日益突出,用户身份认证作为信息安全防护的第一道关卡备受关注.智能家居系统传统的认证方法存在中心化信任挑战,且资源开销大.区块链技术因其去中心化、不可篡改等优势成为研究热点,为实现分布式智能家居系统安全认证提供了新思路.但无中心认证面临着用户与多个分布式终端认证的效率问题和用户隐私泄露问题两个方面的挑战.提出了一种基于区块链的动态可信轻量级认证机制(dynamic trusted lightweight authentication mechanism,DTL).DTL机制采用联盟链构建区块链系统,既保证了仅授权的智能家居传感器节点可加入网络,又满足分布式高效认证和安全访问需求.DTL具有以下优点:(1)针对认证效率问题,通过改进共识算法建立面向智能家居的动态可信传感设备组(DTsensorgroup,DTSG)认证机制,避免了传统的用户端与传感终端或者网关节点之间一对一的频繁认证引起的接入效率低和用户访问速率低问题,实现了轻量级认证;(2)针对用户隐私保护问题,创新性地设计了DTSG机制和零知识证明结合的认证方案,在不泄露用户隐私情况下,实现了用户身份的认证.对DTL的安全特性进行了定性分析,并通过大量仿真实验对DTL的实用性和轻量级进行了验证.

自动信任协商中一种策略一致性管理方法

自动信任协商(ATN)是指通过暴露信任凭证与访问控制策略进行匹配以达到建立信任关系的目的。在开放的分布式环境中,策略一致性管理便于网络用户发现资源,并及时了解访问资源所需具备的条件。当前,自动信任协商中的策略一致性管理由资源方进行维护,这不利于资源被发现,限制了资源的共享,浪费了资源方宝贵的计算资源。针对这些问题,提出了一种有效的策略一致性管理方法。该方法设立可信第三方,使用LDAP协议集中管理资源方的访问控制策略,使用通用语言XML对策略进行描述,可有效检测与避免策略更新、删除等所带来的策略不一致问题。

粤港跨境数字证书认证技术研究

针对粤港两地政策法规未完全规范,以及两地数字证书认证机构(CA)在认证业务声明和证书策略两方面存在差异的问题,分析目前跨域公钥基础设施信任架构,提出一种针对当前两地政策法规未完全规范情况下的跨境认证解决方案。采用签名中转以及证书信任列表技术,构建两地CA互认支撑平台。实践结果证明,该方案适合于点对点的CA互认,为建设中国与上合组织、东盟、澳大利亚等国家和区域的跨境认证奠定了基础。

MANET基于轻量级CA的双向身份认证协议

针对移动自组织网络的信道开放、动态变化、资源有限、复杂认证机制难以部署实施等问题,基于轻量级CA思想,提出一种移动自组织网的无线双向认证协议,无需复杂的证书管理,降低认证过程中的计算、存储和通信开销,并面向跨域通信提出一种信任联盟构建与临时身份签发机制,降低认证通信开销的同时保护用户身份隐私,确保移动自组织网跨域信息访问的安全性。

移动可信接入轻量级认证自动加密方法研究

为了提高移动可信接入轻量级认证信息的安全性,提出基于混沌密钥重组的移动可信接入轻量级认证自动加密方法。构建移动可信接入轻量级认证自动加密的算术编码模型,对密钥特征进行分析,在信息特征序列的基础上进行混沌密钥重构,建立密钥传输协议,构建混沌密钥重组模型,进行移动可信接入轻量级认证自动加密的优化设计。设计仿真实验,仿真结果表明,采用该方法进行移动可信接入轻量级认证自动加密的抗攻击能力较强,加密安全性较好。