智能网联汽车的车载网络攻防技术研究进展

1

作者 陈博言 沈晴霓 +3 位作者 张晓磊 张鑫 李聪 吴中海 《软件学报》 北大核心 2025年第1期341-370,共30页

随着人工智能和5G技术在汽车行业的应用,智能网联汽车应运而生,它是一种由众多来自不同供应商的电子控制单元(ECU)组成的复杂分布式异构系统,通过以CAN为代表的车载网络协议交互协同控制各ECU.然而,攻击者可能通过各种接口攻击智能网联... 随着人工智能和5G技术在汽车行业的应用,智能网联汽车应运而生,它是一种由众多来自不同供应商的电子控制单元(ECU)组成的复杂分布式异构系统,通过以CAN为代表的车载网络协议交互协同控制各ECU.然而,攻击者可能通过各种接口攻击智能网联汽车,渗透到车载网络,再攻击车载网络及其各组成部分如ECU.因此,智能网联汽车的车载网络安全成为近些年车辆安全研究的焦点之一.在介绍智能网联汽车整体结构、ECU、CAN总线和车载诊断协议等基础之上,首先总结了目前车载网络协议的逆向工程技术进展,逆向工程的目标是获取汽车行业通常不公开的车载网络协议实现细节,也是实施攻击和防御的前提条件.然后从车载网络攻、防两个角度展开:一方面概括了车载网络攻击向量及主要攻击技术,包括通过物理访问和远程访问方式实施的攻击技术,以及针对ECU和CAN总线实施的攻击技术;另一方面,讨论了车载网络现有的防御技术,包括基于特征工程和机器学习方法的车载网络入侵检测和基于密码学方法的车载网络协议安全增强技术.最后展望了未来的研究方向. 展开更多

关键词 智能网联汽车 车载网络 逆向工程 入侵检测 协议安全增强

下载PDF 职称材料

浏览器同源策略安全研究综述 被引量：7

2

作者 罗武 沈晴霓 +3 位作者 吴中海 吴鹏飞 董春涛 夏玉堂 《软件学报》 EI CSCD 北大核心 2021年第8期2469-2504,共36页

随着云计算和移动计算的普及,浏览器应用呈现多样化和规模化的特点,浏览器的安全问题也日益突出.为了保证Web应用资源的安全性,浏览器同源策略被提出.目前,RFC6454、W3C和HTML5标准都对同源策略进行了描述与定义,诸如Chrome、Firefox、S... 随着云计算和移动计算的普及,浏览器应用呈现多样化和规模化的特点,浏览器的安全问题也日益突出.为了保证Web应用资源的安全性,浏览器同源策略被提出.目前,RFC6454、W3C和HTML5标准都对同源策略进行了描述与定义,诸如Chrome、Firefox、Safari、Edge等主流浏览器均将其作为基本的访问控制策略.然而,浏览器同源策略在实际应用中面临着无法处理第三方脚本引入的安全威胁、无法限制同源不同frame的权限、与其他浏览器机制协作时还会为不同源的frame赋予过多权限等问题,并且无法保证跨域/跨源通信机制的安全性以及内存攻击下的同源策略安全.对浏览器同源策略安全研究进行综述,介绍了同源策略的规则,并概括了同源策略的威胁模型与研究方向,主要包括同源策略规则不足及应对、跨域与跨源通信机制安全威胁及应对以及内存攻击下的同源策略安全,并且展望了同源策略安全研究的未来发展方向. 展开更多

关键词 同源策略 浏览器安全 第三方脚本 跨源机制 内存攻击

下载PDF 职称材料

全球台站信息自动更新软件设计与实现

3

作者 张志强 叶松涛 孙超 《计算机应用》 CSCD 北大核心 2013年第A02期276-278,317,共4页

传统的以手工方式从世界气象组织每周在其FTP平台上发布的台站信息文件进行数据的收集、归档、管理已经无法满足实时更新的需求,且人工方式极易产生信息的错漏。为此,结合全球台站信息表的特性和FTP协议,集台站信息文件发现与下载、信... 传统的以手工方式从世界气象组织每周在其FTP平台上发布的台站信息文件进行数据的收集、归档、管理已经无法满足实时更新的需求,且人工方式极易产生信息的错漏。为此,结合全球台站信息表的特性和FTP协议,集台站信息文件发现与下载、信息自动对比、实时资料更新与归档等任务模块于一体,设计并实现了全球台站信息自动更新软件。通过软件在国家气象信息中心的实际运行效果显示,采用此软件后全球台站信息的更新周期从数月缩短为十五分钟以内,可为入库资料的完整性、实时性和准确性提供基础保障。 展开更多

关键词 国际气象组织 气象资料数据库 全球台站信息表 比对方法

下载PDF 职称材料

Onboard:以数据驱动的敏捷软件开发协同工具 被引量：6

4

作者 陈龙 叶蔚 张世琨 《计算机研究与发展》 EI CSCD 北大核心 2016年第12期2753-2767,共15页

Scrum是一种兼顾计划性与灵活性的敏捷开发过程,能让软件开发团队具有快速工作和响应变化的能力.软件开发生命周期中每一个环节都会产生大量的数据,如果能记录下这些数据进行分析,并通过可视化等手段展示和反馈,则能进一步促进团队管理... Scrum是一种兼顾计划性与灵活性的敏捷开发过程,能让软件开发团队具有快速工作和响应变化的能力.软件开发生命周期中每一个环节都会产生大量的数据,如果能记录下这些数据进行分析,并通过可视化等手段展示和反馈,则能进一步促进团队管理、项目管理,提高开发效率.现有的软件开发管理工具中,项目管理和代码管理往往是相互独立的,这导致了数据的分散和未充分利用.为推广以Scrum为核心、以数据为驱动的敏捷软件开发过程,开发了一款基于云服务的Onboard敏捷软件开发协同工具,利用代码提交和任务的关联,创造性地将敏捷过程管理、源代码管理和项目管理有机地整合到一起,支持端到端的软件全生命周期管理,从而能记录下软件开发过程中产生的所有数据并提取有价值的信息,为中小软件开发团提供一站式的敏捷开发管理与协同服务.1)介绍了Onboard的设计理念;2)围绕着"如何利用软件开发过程中产生的数据更好地支持敏捷开发过程"和"如何评估团队成员贡献度"两大课题,全面介绍了数据可视化和数据分析在Onboard敏捷软件开发协同工具中的应用,并针对一系列相关问题提出了解决方案;3)对值得进一步研究的问题进行了展望. 展开更多

关键词 数据驱动 敏捷软件开发 SCRUM 软件生命周期 数据可视化 代码提交与任务关联 贡献度评估 代码影响行数

下载PDF 职称材料

基于深度学习的源代码缺陷检测研究综述 被引量：8

5

作者 邓枭 叶蔚 +1 位作者 谢睿 张世琨 《软件学报》 EI CSCD 北大核心 2023年第2期625-654,共30页

源代码缺陷检测是判别程序代码中是否存在非预期行为的过程,广泛应用于软件测试、软件维护等软件工程任务,对软件的功能保障与应用安全方面具有至关重要的作用.传统的缺陷检测研究以程序分析为基础,通常需要很强的领域知识与复杂的计算... 源代码缺陷检测是判别程序代码中是否存在非预期行为的过程,广泛应用于软件测试、软件维护等软件工程任务,对软件的功能保障与应用安全方面具有至关重要的作用.传统的缺陷检测研究以程序分析为基础,通常需要很强的领域知识与复杂的计算规则,面临状态爆炸问题,导致检测性能有限,在误报漏报率上都有较大提高空间.近年来,开源社区的蓬勃发展积累了以开源代码为核心的海量数据,在此背景下,利用深度学习的特征学习能力能够自动学习语义丰富的代码表示,从而为缺陷检测提供一种新的途径.搜集了该领域最新的高水平论文,从缺陷代码数据集与深度学习缺陷检测模型两方面系统地对当前方法进行了归纳与阐述.最后对该领域研究所面临的主要挑战进行总结,并展望了未来可能的研究重点. 展开更多

关键词 深度学习 缺陷检测 代码表征

下载PDF 职称材料

缓冲区溢出漏洞分析技术研究进展 被引量：23

6

作者 邵思豪 高庆 +4 位作者 马森 段富尧 马骁 张世琨 胡津华 《软件学报》 EI CSCD 北大核心 2018年第5期1179-1198,共20页

首先介绍了缓冲区溢出漏洞危害的严重性和广泛性,然后,从如何利用缓冲区溢出漏洞的角度,依次介绍了缓冲区溢出漏洞的定义、操作系统内存组织方式以及缓冲区溢出攻击方式.将缓冲区溢出分析技术分为3类:自动检测、自动修复以及运行时防护... 首先介绍了缓冲区溢出漏洞危害的严重性和广泛性,然后,从如何利用缓冲区溢出漏洞的角度,依次介绍了缓冲区溢出漏洞的定义、操作系统内存组织方式以及缓冲区溢出攻击方式.将缓冲区溢出分析技术分为3类:自动检测、自动修复以及运行时防护,并对每一类技术进行了介绍、分析和讨论.最后,对相关工作进行了总结,并讨论了缓冲区溢出分析领域未来可能的3个研究方向:(1)对二进制代码进行分析;(2)结合机器学习算法进行分析;(3)综合利用多种技术进行分析. 展开更多

关键词 缓冲区溢出漏洞 攻击 分析 误报率 漏报率

下载PDF 职称材料

行程时间预测方法研究 被引量：6

7

作者 柏梦婷 林杨欣 +1 位作者 马萌 王平 《软件学报》 EI CSCD 北大核心 2020年第12期3753-3771,共19页

行程时间预测,有助于实施高级旅行者信息系统.自20世纪90年代起,已经有多种行程时间预测方法被研发出来.将行程时间预测方法分为模型驱动方法和数据驱动方法两大类.介绍了两种常见的模型驱动方法,即排队论模型和细胞传输模型.数据驱动... 行程时间预测,有助于实施高级旅行者信息系统.自20世纪90年代起,已经有多种行程时间预测方法被研发出来.将行程时间预测方法分为模型驱动方法和数据驱动方法两大类.介绍了两种常见的模型驱动方法,即排队论模型和细胞传输模型.数据驱动方法被分类为参数方法和非参数方法:参数方法包括线性回归、自回归集成移动平均和卡尔曼滤波,非参数方法包括神经网络、支持向量回归、最近邻和集成学习方法.对现有行程时间预测方法从源数据、预测范围、准确率、优缺点和适用范围等方面进行了分析总结.针对现有方法的一些缺点,提出了可能的解决方案.给出了一种新颖的数据预处理框架和一个行程时间预测模型,最后指出了未来的研究方向. 展开更多

关键词 行程时间预测 模型驱动 数据驱动 参数方法 非参数方法

下载PDF 职称材料

面向智慧民生领域的增量交互式数据集成方法 被引量：8

8

作者 夏丁 王亚沙 +1 位作者 赵梓棚 崔达 《计算机研究与发展》 EI CSCD 北大核心 2017年第3期586-596,共11页

智慧民生作为智慧城市的重点领域,包含众多应用系统,积累了大量层次结构数据.为了形成城市范围完整数据集,需要集成并统一异构的数据模式,向用户提供统一的数据视图.针对智慧民生领域的领域知识宽泛、缺乏中文语义匹配支持、模式数量众... 智慧民生作为智慧城市的重点领域,包含众多应用系统,积累了大量层次结构数据.为了形成城市范围完整数据集,需要集成并统一异构的数据模式,向用户提供统一的数据视图.针对智慧民生领域的领域知识宽泛、缺乏中文语义匹配支持、模式数量众多、元素标签缺失但实例数据丰富等几方面特点,提出了一种增量交互式模式集成方法.该方法采用增量迭代的方式逐步完成多模式集成任务,大幅降低集成计算量;在模式匹配阶段,综合利用模式信息和实例数据构造了多种适用于中文且能力互补的匹配器,并通过相似度熵来度量机器的决策置信度,适度引入人工干预;在中介模式生成阶段,处理模式间可能出现的各种冲突,最终输出全局统一的中介模式.利用从互联网爬取的多源二手房数据设计并完成实验,实验结果表明:此方法在人工干预程度足够小的前提下,具有较好的模式匹配准确性. 展开更多

关键词 模式匹配 模式集成 数据集成 智慧城市 智慧民生

下载PDF 职称材料

无线传感器网络下多因素身份认证协议的内部人员攻击 被引量：21

9

作者 李文婷 汪定 王平 《软件学报》 EI CSCD 北大核心 2019年第8期2375-2391,共17页

无线传感器网络技术一经提出,迅速得到学术界、工业界的广泛关注,在国防军事、环境监测、智能家居、健康护理等领域发挥着重要作用.身份认证是保障无线传感器网络实时访问的关键安全技术.基于增强的攻击者模型,提出一种被长期忽略的内... 无线传感器网络技术一经提出,迅速得到学术界、工业界的广泛关注,在国防军事、环境监测、智能家居、健康护理等领域发挥着重要作用.身份认证是保障无线传感器网络实时访问的关键安全技术.基于增强的攻击者模型,提出一种被长期忽略的内部攻击威胁,对无线传感器网络环境下的两个代表性认证协议进行了安全性分析.指出Mir等人的协议无法抵抗内部攻击和智能卡丢失攻击,且未实现前向安全性;指出Fang等人的协议同样无法实现所声称的前向安全性特性,且对内部攻击和智能卡丢失攻击是脆弱的.针对协议具体失误之处,提出相应的解决方案.总结了7类应对内部攻击的解决方案.指出了现有方法的不足,提出了合理的解决方案. 展开更多

关键词 无线传感器网络 认证协议 内部攻击 智能卡丢失攻击 前向安全性

下载PDF 职称材料

基于公交车轨迹数据的道路GPS环境友好性评估 被引量：10

10

作者 马连韬 王亚沙 +3 位作者 彭广举 赵宇昕 何远舵 高敬月 《计算机研究与发展》 EI CSCD 北大核心 2016年第12期2694-2707,共14页

GPS是应用最为广泛的室外定位系统,随着技术的发展精度不断提升.然而城市中,由于GPS卫星信号被建筑遮挡,仍然可能产生较大的多径误差.此类误差已称为城市GPS定位误差的主要成分.评估城市道路中环境对GPS精度的负面影响,即环境的GPS友好... GPS是应用最为广泛的室外定位系统,随着技术的发展精度不断提升.然而城市中,由于GPS卫星信号被建筑遮挡,仍然可能产生较大的多径误差.此类误差已称为城市GPS定位误差的主要成分.评估城市道路中环境对GPS精度的负面影响,即环境的GPS友好度,将有助于对不同地段GPS的误差范围进行预判,从而提升位置服务相关应用的用户体验,并为理解环境特征与多径误差的关系,确定在何处部署辅助定位的设备提供支持.为此,提出了1种通过处理和分析海量公交车GPS轨迹历史数据,从而评估城市主要路段的环境友好性的方法.该方法充分利用公交车运行线路固定的特点,大幅提升数据处理的效率;针对路网数据可能存在的错误,提出了容错性的方案;利用相同车辆及相同路段在GPS误差上存在的内在关联,对缺失数据进行补全;并充分考虑到不同质量GPS端设备对环境友好性评估的影响,确定了基于端设备质量加权的评估计算策略.利用成都市二环内的4 869辆公交车1个月的数据,对共计5 648个不同路段的环境友好性进行了评估,并通过卫星地图和街景照片,分析验证了方法结果的合理性. 展开更多

关键词 位置服务 GPS误差 数据分析 地图匹配 智慧城市

下载PDF 职称材料

一种基于元模型的访问控制策略描述语言 被引量：5

11

作者 罗杨 沈晴霓 吴中海 《软件学报》 EI CSCD 北大核心 2020年第2期439-454,共16页

为了保护云资源的安全,防止数据泄露和非授权访问,必须对云平台的资源访问实施访问控制.然而,目前主流云平台通常采用自己的安全策略语言和访问控制机制,从而造成两个问题:(1)云用户若要使用多个云平台,则需要学习不同的策略语言,分别... 为了保护云资源的安全,防止数据泄露和非授权访问,必须对云平台的资源访问实施访问控制.然而,目前主流云平台通常采用自己的安全策略语言和访问控制机制,从而造成两个问题:(1)云用户若要使用多个云平台,则需要学习不同的策略语言,分别编写安全策略;(2)云服务提供商需要自行设计符合自己平台的安全策略语言及访问控制机制,开发成本较高.对此,提出一种基于元模型的访问控制策略描述语言PML及其实施机制PML-EM.PML支持表达BLP、RBAC、ABAC等访问控制模型.PML-EM实现了3个性质:策略语言无关性、访问控制模型无关性和程序设计语言无关性,从而降低了用户编写策略的成本与云服务提供商开发访问控制机制的成本.在OpenStack云平台上实现了PML-EM机制.实验结果表明,PML策略支持从其他策略进行自动转换,在表达云中多租户场景时具有优势.性能方面,与OpenStack原有策略相比,PML策略的评估开销为4.8%.PML-EM机制的侵入性较小,与云平台原有代码相比增加约0.42%. 展开更多

关键词 访问控制模型 策略语言 策略转换 解释器 抽象语法树

下载PDF 职称材料

基于SM9的分层标识广播内积函数加密 被引量：1

12

作者 李聪 梁俊凯 +2 位作者 丁煜甲 沈晴霓 吴中海 《中国科学：信息科学》 CSCD 北大核心 2024年第6期1400-1418,共19页

内积函数加密支持当使用一个与向量y相关的私钥解密一份与向量x相关的密文时,解密者仅能获得内积值(x,y)而无法获取任何其他信息.分层广播内积函数加密,则进一步具有密文向指定用户广播与密钥授权的性质.SM9标识加密是我国自主设计的一... 内积函数加密支持当使用一个与向量y相关的私钥解密一份与向量x相关的密文时,解密者仅能获得内积值(x,y)而无法获取任何其他信息.分层广播内积函数加密,则进一步具有密文向指定用户广播与密钥授权的性质.SM9标识加密是我国自主设计的一个商用密码标准,已被应用于物联网、医疗协同服务与电子政务等领域,但SM9标识加密算法及现有扩展算法均无法同时实现内积函数的功能与密文广播、密钥授权的性质,限制了SM9标识加密算法的适用场景.本文基于SM9标识加密算法设计了一个分层标识广播内积函数加密方案HIBB-IPFE-SM9.方案构造借鉴了Abdalla等的内积函数加密(PKC’15)与Liu等的分层广播加密(ACISP’14)的设计思想,解密算法仅包含两个双线性配对运算.本文还在随机谕言机模型中证明了方案满足选择明文安全性.最后,对提出方案与现有相关方案进行了对比分析,结果显示HIBB-IPFE-SM9方案在计算和通信开销上与相关方案是可比的. 展开更多

关键词 内积函数加密 分层广播加密 标识密码 SM9 选择明文安全

原文传递

可证明安全的基于RSA的远程用户口令认证协议 被引量：5

13

作者 汪定 王平 +1 位作者 李增鹏 马春光 《系统工程理论与实践》 EI CSSCI CSCD 北大核心 2015年第1期191-204,共14页

身份认证是确保信息系统安全的基本手段,基于RSA的认证协议由于实用性较强而成为近期研究热点.讨论了Xie等提出的一个基于RSA的双因子远程用户认证协议,指出该协议不能抵抗重放攻击和密钥泄露仿冒攻击,无法实现所声称的安全性,并且存在... 身份认证是确保信息系统安全的基本手段,基于RSA的认证协议由于实用性较强而成为近期研究热点.讨论了Xie等提出的一个基于RSA的双因子远程用户认证协议,指出该协议不能抵抗重放攻击和密钥泄露仿冒攻击,无法实现所声称的安全性,并且存在用户隐私泄露和可修复性差问题,不适于实际应用.给出一个改进方案,在随机预言机模型下,基于RSA假设证明了改进方案的安全性.与现有的基于RSA的同类协议相比,改进协议在保持较高效率的同时,首次实现了可证明安全性,适用于安全需求较高的移动应用环境. 展开更多

关键词 认证协议 RSA 随机预言机模型 重放攻击 智能卡

原文传递