密碼與安全新技術總結

---

首先備註一點

上次論文總結因爲考試忙於複習錯過了提交日期，請老師見諒
此次在這裏補上做業連接

論文總結

http://www.javashuo.com/article/p-aiwqdhmt-et.html

第一部分

報告總結

第一組 李棟 郭永健

題目

• Simple Proofs of Sequential Work------簡單的連續工做證實
• 連接地址 http://www.javashuo.com/article/p-aiwqdhmt-et.html

內容

試圖經過「空間證實」（Proof of Space）來保證比特幣及其餘加密貨幣的安全。「空間證實」是Bram Cohen以前提出的一種取代PoW的工做證實方式。

個人收穫

開闊了眼界，區塊鏈理論理解起來相對容易，而具體應用可謂是眼花繚亂。可是真的要說去具體實踐，將本身的想法實現出來還真的不拘一格任何一種語言，任何一種開發框架彷佛均可以。

反而不拘一格的實現，讓入門變的困難，有點摸不着頭腦。

第二組 李鵬舉 任逸飛

題目

• 基於PrT網絡與RBAC模型測試

內容

• RBAC優勢：RBAC具備更好的政策管理，在一個增強內部控制的時代，加強了安全性和完整性，提升了組織的生產力。

• RBAC問題：因爲編程錯誤、遺漏、對需求的誤解等各類緣由有可能會使RBAC策略錯誤的實現。不正確的實現會致使安全問題，好比未經受權的訪問和升級等。

基於模型的測試好處

• 1)建模活動有助於澄清測試需求，並加強開發人員和測試人員之間的交流。
• 2)自動化測試生成可以提供更多的測試周期，並確保測試模型的覆蓋率。
• 3)基於模型的測試能夠幫助提升測試用例的數量和多樣性，從而提升故障檢測能力。

個人收穫

• 對於訪問控制我只具備課本中提到的幾種訪問控制方案，他們論文中講的主要是基於prt網絡構建RBAC模型，以後並對模型經行測試發現模型中的缺陷。可是具體的實現以及爲何這樣實現其實我並無聽明白，也沒看明白。

• 訪問控制整體在我觀念中應該是個很好的科研領域，畢竟只要涉及到人去使用的系統都會涉及到權限劃分、訪問管理問題。一個很好的訪問控制模型的產生也確實會帶來安全與效率的提高。

第三組 劉勝楠 袁琳

題目

• 對MEMS加速度計的聲學注入攻擊

內容

• MEMS傳感器即微機電系統（Microelectro Mechanical Systems），mems元器件用處很是普遍，在智能手錶，智能手機，無人汽車，平衡車，以及無人機。但這個原件存在漏洞，能夠利用聲學注入方式對其發起攻擊。

• 爲了下降對MEMS加速度計完整性的攻擊風險，硬件設計建議提升放大器和濾波器的安全性，並減輕對下一代傳感器的聲學攻擊。對於已經部署在該領域的傳感器，提供雙重成本軟件防護機制，以防止輸出偏置攻擊：隨機採樣和180°異步採樣。軟件防護機制能夠保護全部易受輸出偏置攻擊影響的加速度計，但不會保證輸出控制攻擊

個人收穫

整篇論文講解的是MEMS這個硬件存在聲學注入攻擊的風險，以及提出了相應的解決方案。

這個漏洞攻擊方向的論文，這個方向很酷炫，感受就想電影中的間諜所使用的高科技，具備很強的實用價值。

第四組 王孟亞 劉霄

題目

• CAAC - 智能基礎設施中緊急狀況的自適應和主動訪問控制方法

內容

主要講述了緊急狀況訪問控制方法在緊急狀況下的主動和自適應訪問控制。是以醫療、火災、石油鑽井爲例，講解這種智能訪問控制基礎設施如何檢測緊急狀況，以最快速度應對各類發生的狀況，減小各類狀況發生的危害，同時應如何應對危機狀況下系統內隱私數據的保護。

• CAAC：是Criticality Aware Access Control的簡稱，翻譯過來爲臨界感知訪問控制模型，用於智能基礎設施中的臨界狀態（緊急）管理。
• 臨界事件（緊急事件）：被定義爲系統中稱爲關鍵事件的特定事件的不利後果。臨界事件是那些發生系統移動到異常/不穩定狀態的事件。
• 機會窗口（WO）：每一個臨界狀態都有一個與其相關的時間段，在這個窗口內必須採起響應行爲來控制臨界狀態。

此方案的優勢

• 具備前瞻性，快速響應

創新點

• CAAC經過向系統中特定選擇的對象提供訪問特權，以執行響應動做，而不須要人爲的請求，從而促進了響應行爲。動做生成模型（AGM）

個人收穫

首先從知識上來講對訪問控制從概念到模型都有了進一步的認識。經過此論文認識了一個新的模型---CAAC模型。此篇論文以身邊的醫療等實例更方便了對新模型的接收和了解。在之後寫論文或者講述一個較難理解的問題時能夠從身邊的實例講起，這樣更容易接受一個新知識。

第二部分

之前課程的報告總結

第一次課

題目

• 量子密碼
• 連接地址 http://www.javashuo.com/article/p-pxtjtrrt-bp.html

內容

• 一、量子概念
• 二、量子計算與量子計算機
• 三、量子通訊
• 四、量子密鑰分發
• 五、量子密碼與經典密碼的區別
• 六、量子密碼中的兩個基本問題。
  • 問題１：如何在不損壞原來量子比特的狀況下斷定一個未知量子比特的精確值，或者精確區分兩個或多個非正交量子比特。
  • 問題２：如何同時精確測量量子比特中兩個或多個非共軛量。
• 七、量子通訊的另一種方式 「量子隱形傳態」
• 八、抗量子計算密碼
• 九、抗量子計算密碼的發展示狀

個人收穫

我對量子密碼有了初步認識。
不管是量子密碼、DNA密碼，仍是基於量子計算不擅長計算的那些數學問題所構建的密碼，都還存在許多不完善之處，都還須要深刻研究．量子保密通訊比較成熟的是，利用量子器件產生隨機數做爲密鑰，再利用量子通訊分配密鑰，最後按「一次一密」方式加密．在這裏，量子的做用主要是密鑰產生和密鑰分配，而加密仍是採用的傳統密碼．所以，嚴格說這隻能叫量子保密，尚不能叫量子密碼．另外，目前的量子數字簽名和認證方面還存在一些困難。對於DNA密碼，目前雖然已經提出了DNA傳統密碼和DNA公鑰密碼的概念和方案，可是理論和技術都還不成熟一。對於基於量子計算不擅長計算的那些數學問題所構建的密碼，現有的密碼方案也有許多不足．如，Merkle樹簽名能夠簽名，不能加密；基於糾錯碼的密碼能夠加密，簽名不理想；NTRU密碼能夠加密，簽名不理想；MQ密碼能夠簽名，加密不理想．這說明目前尚沒有造成的理想的密碼體制．並且這些密碼的安全性還缺乏嚴格的理論分析。總之，目前還沒有造成理想的抗量子密碼．

第二次課

題目

• 區塊鏈
• 連接地址 http://www.javashuo.com/article/p-beufqbqe-hp.html

內容

• 一、區塊鏈是什麼
• 二、區塊鏈系統核心優點
• 三、區塊鏈工做原理
• 四、挖礦，又稱工做量證實（POW）
• 五、共識機制
• 六、區塊鏈分叉
• 七、區塊鏈衍生概念
• 八、公鏈和私鏈的特色
• 九、比特幣的區塊鏈系統有哪些內在缺陷？
• 十、區塊鏈技術2.0的發展
• 十一、區塊鏈發展及應用

個人收穫

區塊鏈做爲一種去中心化的信任體系，衍生於比特幣，想要系統全面的闡述明白，須要細緻的研究。區塊鏈這種新技術的應用前景是廣闊的，也是一個很不錯的科研實踐方向，將來這個能夠做爲本身的研究方向經行深刻探討，以及根據區塊鏈開發符合網絡安全方向的應用。

第三次課

題目

• 跨媒體安全
• 連接地址 http://www.javashuo.com/article/p-hapqdcaw-hp.html

內容

• 一、網絡空間安全前沿技術介紹----跨媒體安全
• 二、跨媒體大數據分析與計算
• 三、研究熱點
• 四、安全問題
• 五、研究背景與意義
• 六、973面向公共安全的跨媒體計算理論與方法
  • 6.1.關鍵科學問題之一：跨媒體數據統一表示和建模方法
  • 6.2.關鍵科學問題之二：跨媒體數據關聯推理和深度挖掘
  • 6.3.關鍵科學問題之三：跨媒體數據綜合搜索和內容合成
  • 6.4.跨媒體數據統一表示和建模機制
  • 6.5.跨媒體屬性感知模型與行爲計算
  • 6.6.跨媒體語義學習與內容理解
• 七、海量跨媒體數據挖掘與公共安全態勢分析
• 八、跨媒體搜索與內容整合
• 九、面向公共安全的跨媒體呈現與驗證和示範平臺

個人收穫

跨媒體隨着移動時代的到來已經到了融合時代，跨媒體安全也愈來愈重要。
大數據與人工智能時代的到來，也爲圖形媒體這些傳統應用普遍，技術發展緩慢的科研領域注入了新的活力。
跨媒體中的難點：跨媒體數據統一表示和建模方法、跨媒體數據關聯推理和深度挖掘、跨媒體數據綜合搜索和內容合成，在大數據時代下數據量的處理統一表示和建模都有了新的解決方案，在人工智能時代下跨媒體數據關聯與深度挖掘也有了新的方案。
隨着時代的發展，技術的變革。跨媒體進入了新時代，跨媒體安全解決也進入到了新時代。

第四次課

題目

• 側信道分析
• 連接地址 http://www.javashuo.com/article/p-wkgyefct-gk.html

內容

• 一、側信道分析簡介
• 二、側信道分析的半導體物理基礎
• 三、側信道分析分類
• 四、時序分析
• 五、功耗分析
• 六、電磁分析
• 七、激光錯誤注入
• 八、側信道分析技術與其餘密碼分析技術結合
• 九、將來的一些研究熱點

個人收穫

側信道攻擊中的核心問題是分類和區分，機器學習、深度學習等一系列新技術必然會爲其注入新的活力。值得一提的是，攻擊與防護歷來都是相剋相生、相輔相成，相信針對側信道攻擊更普遍、更深刻的研究和探索必定可以爲咱們數字時代的信息安全提供更加有效的保障。

第五次課

題目

• 基於模糊測試的漏洞挖掘及攻防技術
• 連接地址 http://www.javashuo.com/article/p-npidqhrc-gz.html

內容

• 一、常見漏洞挖掘技術
• 二、漏洞挖掘示例
• 三、Android經常使用破譯工具
• 四、模糊測試階段
• 五、模糊測試的侷限性
• 六、黑盒測試與模糊測試
• 七、模糊測試技術的發展方向
  • 7.1 提升測試用例的經過率
  • 7.2 協議格式自動化分析
  • 7.3 引進並行和分佈式技術
  • 7.4 基於知識庫構造測試用例
  • 7.5 提升代碼覆蓋率
  • 7.6 更多平臺的支持
  • 7.7 模糊測試的智能化

個人收穫

在這個專題中對模糊測試技術的研究成果進行了回顧和總結,介紹了模糊測試技術的基本概念、理論基礎以及模糊測試技術的發展歷程,並展現了幾個模糊測試實際攻擊的實踐例子。也介紹講解了一些常見的Android攻擊方法與攻擊工具。
整體收穫不少，瞭解到了模糊測試這個新名詞，瞭解了模糊測試的總體攻擊流程，查看一些相關資料後知道模糊測試技術具備傳統漏洞挖掘技術沒法比擬的優點，被普遍的應用,是近年來軟件測試領域的重要研究方向.總之,在將來的若干年中模糊測試技術仍將會是軟件測試領域的一個研究熱點,甚至可能延伸到硬件測試領域,該領域將會有大量的技術問題值得研究工做者開展進行一步的研究和探討.

第六次課

題目

• 模式識別

• 連接地址 http://www.javashuo.com/article/p-tmqubtzm-cr.html

  內容

• 1、基礎概念
• 2、模式識別的主要方法
• 3、模式識別系統的典型構成
• 4、模式識別關注的內容
• 5、線性分類器
• 6、非線性分類器
• 7、總結與思考
  • 一、模式識別、機器學習的區別和聯繫
  • 二、深度學習：一統江湖的架構
  • 三、數據挖掘
  • 四、大數據（Big-data）

個人收穫

數據挖掘、機器學習、模式識別三者的關係，能夠說是一脈相承。與數據挖掘、機器學習、模式識別相關的書籍不少，但其實講的東西都是大同小異，換湯不換藥。無非就是神經網絡、支持向量機、各類分類、聚類、迴歸的算法，還有深度學習。人工智能是今年來關注度最高的話題，而具體的模式識別、機器學習、數據挖掘、大數據、雲計算區別是什麼，其實真的可有可無，理論數學模型、數學算法並不限定所謂的領域，都是相同的。原本科學原本就沒有什麼明確的界限，也沒必要非要劃定所謂的明確的邊界線。

第三部分

課程建議

一、課程沒有涉及到我認爲值得研究的內容

• 物聯網（智慧城市網絡安全）
• 顛覆性技術
• 大數據與雲計算（雲安全和電商安全）
• 網絡監管（中國網絡長城的機制）
• 網絡安全態勢感知

二、課程上課給老師的建議

適當的涉及到一點具體內容，例如算法理論、具體實現方案等，拒絕純科普的講解，畢竟已經研究生不能只是淺淺瞭解。

第四部分

總體感覺

課程中瞭解了許多本身之前只是聽過名稱，感興趣卻又沒有真的去深刻了解的內容，總體收穫不少。面對着這些前沿的新技術，做爲一個研究生本身應該儘快找到一個本身真的願意去深刻研究的方向。