1、面向开放和互通的国家网络管理,研究网络和系统安全体系结构,重点研究以IPv6 网络层的真实可信为基础的网络安全管理体系结构、关键机制和关键应用。针对未来多层次、动态、异构、差异度巨大的无线接入环境,研究新型无线网络安全接入管理机制。针对国际上新型网络与系统体系结构的发展, 如软件定义网络和系统、网络功能虚拟化、命名数据网络和系统等,对其安全问题和安全机制进行前 沿探索研究。考核指标:提出IPv6网络安全管理体系结构中的信任锚点、真实可信的网 络定位符和标识符机制,并制定国际标准;基于上述安全可信基础,提出兼顾国 际开放互通与国家安全管理的IPv6网络安全体系结构,通过安全威胁模型检验 该体系结
2、构的安全性。提出IPv6安全管理体系结构下的关键机制,至少包括: 兼顾用户隐私性、可验证性和可还原性的可信标识符认证、管理、追溯与审计机制,分级管理机制,网络监控和灵活路由机制等。完成一套 IPv6安全管理体系 结构、关键机制和关键应用的软硬件原型系统。基于国际学术网络合作、国内主 干网、园区网(校园网或企业网),对上述原理机制和原型系统进行跨国、自治 系统间、自治系统内、接入子网等多层次网络的试验验证。提出新型无线网络安 全接入管理机制,研究适用在多维、异构的无线有线一体化融合网络中的信任锚 点、真实可信的网络定位符和标识符机制, 实现上述一体化融合网络的网络层真 实可信;支持软件定义无线电
3、,支持最新IEEE 802.11ac或802.11ax等新型无线 接入技术;支持移动终端在至少2种无线网络间的安全接入选择、可信透明移动。提出SDN/NFV等新型组网技术和NDr等未来互联网体系下的安全可信问题的解决 方案,提出并解决能够支持SDN/NFV和未来网络体系结构的可编程网络基础设施 的安全问题,提出相关计算系统中的安全可信问题解决方法。 完成安全体系结构 相关国际标准3项以上,并获国际标准组织(IETF、ITU、IEEE等)立项或批准;申请国家发明专利15项以上。原理机制和原型系统需通过一定规模的真实网络 试验验证,至少包括10个关键应用、10万IPv6用户。1.2面向互联网+的云
4、服务系统安全防护技术(重大共性关键技术类)针对体系架构、关键技术、防护系统研制等方面开展云服务系统 纵深安全防护技术研究。重点研究可定义、可重构、可演进的云服务安全防护体 系架构;研究分析用户和业务安全等级差异,实现高效灵活的安全服务链和安全 策略按需定制;研究专有安全设备硬件解耦技术,实现安全资源弹性扩展与按需 部署;研究云数据中心内生安全机理,突破软件定义动态异构冗余、主动变迁等 关键技术,实现对未知漏洞和后门威胁的主动防御; 实现云环境虚拟密码服务模 型构建,密码服务资源动态调度,密码资源安全迁移及防护等关键技术; 研究虚 拟资源主动防御技术,降低侧信道攻击的风险;研究云数据中心的安全态
5、势感知 与动态重构决策机理,实现对安全威胁的主动与纵深防御。建立新型云服务安全架构体系,给出适用于互联网和电信业务的 安全解决方案,研制安全防护系统一套,要求:研制高性能、高可靠性的虚拟安 全设备和中间件,在资源占用不超过4个物理CPU硬件线程的条件下,虚拟防火 墙设备转发性能达到30Gbps虚拟VPN网关加密性能达到2Gpbs,处理时延小于100us,系统可靠性级别达到5个9;研制安全服务编排系统,支持业务无损弹 性扩展,支持亲和部署与最短路径优化。研制云安全管理系统一套,要求:提供互联网和电信业务的IaaS和PaaS统一安全管控,支持跨数据中心和多域管理, 提供安全服务开发与维护平台。给出
6、分布式网络控制器集群间的安全机制和南 / 北向安全机制等关键问题解决方案,研制抗攻击的SDN网络大规模集群原型系统 一套,网络节点大于10万,租户数大于6万。研制具有动态异构冗余、主动变 迁等内生安全特性的用户服务系统一套, 构建不少于5种典型攻击测试样例,搭 建验证平台对控制器劫持、篡改和致瘫等安全威胁开展验证,在对外服务不间断 条件下,性能降低不大于10%在政务、电信、金融或教育等典型云服务业务中 应用,用户不少于6万。建立云服务环境下的密码服务体系, 实现密码服务系统 模型构建、密码服务资源调度、敏感资源安全防护等关键技术,构建云密码服务 原型平台三种典型应用场景,验证云服务中的安全增益
7、的有效性, 密码应用安全 方案通过国家密码主管部门的评审。申请国家发明专利 20项以上;提交国际标 准化草案不少于3项,至少1项获国际标准组织(IETF、ITU、IEEE等)立项或 批准。1.3新形势下网络基础设施防护技术(重大共性关键技术类)针对网络空间国际竞争激烈、新型网络体系结构及和应用模式不 断涌现、IPv6协议及其应用逐渐普及、网络带宽迅速增长等问题,研究国家网 络基础设施面临的安全威胁和关键的安全防护技术。 主要针对主干网和数据中心等的路由和交换系统、域名服务系统以及网络基础平台的安全监测系统, 研究基础设施各相关系统面临的未知威胁或新的攻击, 针对这些风险研究新的体系结构 和协议
8、、关键的防范技术和安全监测措施, 研制原型样机和系统,建立大规模的 试验床进行验证并开展应用示范。针对路由或交换系统、域名系统以及相关基础服务或基础协议, 发现当前未知的安全风险或潜在的攻击, 分析其破坏性并提出应对措施。针对已 知或潜在的威胁,提出新的并与现有系统兼容的路由安全或交换安全机制, 研发 支持相应安全功能的新型安全路由器或交换机系统原型样机、路由安全监测系 统,能够基于全球路由数据监测中国路由系统的安全状态, 并完成验证,系统样 机应通过国家相关检测部门的测评。 针对已知或潜在的威胁,提出新的域名安全 技术体系结构、关键技术和协议,能够防范已知和潜在的攻击,兼容现有相关国 际标准
9、。域名相关技术和协议支持在现有域名系统上部署, 并具有更强的鲁棒性。研发支持上述各种安全功能的新型域名服务系统, 单机处理能力不低于10万QPS 并支持分布式部署,域名监测系统能够基于全球2万以上监测点评估中国域名系 统的安全状态,并完成验证。建立网络基础设施安全防护试验床,支持对新的安 全路由或交换机制、新的域名系统及安全监测技术的验证, 支持对路由劫持、路 由泄露、域名劫持等至少5种攻防场景的防护效果评估。试验床支持IPV4/IPv6、 覆盖全国不同运营商至少5个节点。提交国际标准草案不少于5项,至少1项获国际标准组织(IETF、ITU、IEEE等)立项或批准;申请国家发明专利 20项以
10、上。1.4高安全等级移动终端关键技术(重大共性关键技术类)面向高安全需求场景,研究高等级终端安全防护关键技术,为政 务等敏感领域的移动应用推广提供技术支撑。主要研究内容包括:研究终端核心 功能的高可靠安全保护技术,抵御操作系统内核级的潜在安全威胁,在终端操作 系统受损的情况下,确保终端核心功能安全运行;研究终端管控策略可信实施技 术,支持终端系统的高可信管控系统实现, 管控实施技术能够抵御操作系统内核 级的绕过、欺骗和劫持等管控对抗行为;实现基于场景识别的可信智能终端的统一管控,研究可信智能终端精确选通和智能干扰阻断技术, 确保可信智能终端的接入可控、业务可管;研究国产密码的高安全终端密码模块
11、实现技术, 实现密码算法的运行过程安全保护和密钥保护、 抵御内核级的潜在威胁,在确保密码模块 安全性的同时兼具可扩展性;研究终端可信用户交互技术和可信路径; 研究终端 可信审计技术,实现终端系统安全事件的可信记录, 能够对终端系统进行动态完 整性度量。研制至少1款产品样机,CPU等主要部件应采用我国自主研发的 产品,完成兼容现有操作系统和应用级的安全增强技术,支持利用指纹或虹膜或 声纹等生物特征的系统安全增强;与现有主流智能手机相比性能下降不大于10% 90%上现有主流智能终端应用能直接安装使用,并实现 1000台规模的试 点应用;安全控制核心代码量不大于 1000行;系统信任根可控、保护链完
12、整, 附加安全核心功能至少支持加密通话和加密短信。在硬件可控和核心控制代码可 信的前提下,完成整体系统安全证明,并经第三方验证。终端应提供专门的可信 状态指示器,实现终端用户与终端安全功能的可信交互,确保安全功能与用户之 间的交互数据可以准确向用户展示, 不被劫持、篡改。完成高可信的终端集中管 控策略实施技术,完成相关管控接口研发,通过该接口可以抵御内核级管控对抗, 接口兼容相关国际标准;研制1套可信智能终端安全管控原型系统,具备终端检 测、选通、阻断和警告功能,能防御非认证设备的伪造和重播攻击。在手机操作 系统不可信的情况下,管控中心发送的管控指令能被正确执行。 实现对国产密码算法的支持,密
13、码应用安全方案应通过国家密码主管部门评审。 申请国家发明专 利20项以上。2.开放融合环境下的数据安全保护理论与关键技术研究2.1新型数据保护密码算法研究(基础前沿类)针对移动互联、云计算、大数据、物联网等多元化需求,以及量 子攻击、白盒攻击、侧信道攻击等,开展新型密码理论和算法研究。研究新型环境下数据安全密码理论基础,重点研究新型的模块化设计理论和自动化分析理 论,新型的计算复杂度分析理论和形式化验证理论;研究多方参与的数据安全计 算关键密码理论,重点研究同态加密、多方认证加密、混淆密码等;研究非可信 和资源受限环境下数据安全存储关键密码算法,重点研究属性加密、收敛加密、 代理加密、高效可搜
14、索加密、数据库加密等;研究随机数、密钥等密码资源受到 攻击情形下的强安全数据保护密码算法, 以保证灰盒攻击、白盒攻击、后门攻击等多元化攻击环境下的数据安全; 研究抗量子密码算法设计理论,重点研究抗量 子困难问题复杂度分析、抗量子密码算法设计理论,以满足量子计算攻击情形下 的数据安全需求。提出数据保护密码算法模块化设计和自动化分析的新方法。设计多方参与的数据安全计算关键密码算法和无噪音的同态密码算法, 并完成实验验证。设计非可信和资源受限环境下数据安全存储关键密码算法、 支持多关键词和 逻辑条件的密文搜索、动态密文更新的数据库外包加密,并完成实验验证。提出在密码资源受到攻击情况下的保证密码算法安
15、全的设计理论和技术, 设计实用化 的强安全密码算法。提出抗量子计算的密码算法并给出其量子计算复杂度分析, 并完成实验验证。完成国家或行业标准草案不少 于2项,至少1项获得国家或行业标准主管部门立项或批准。2.2基于国产密码算法的移动互联网密码服务支撑基础设施关键技术 (重大共性 关键技术类)针对移动互联网的用户动态性、网络开放性以及终端设备能源、 物理防护的局限性,研究密码服务支撑基础设施的服务模型和体系架构; 研究面 向移动互联网的密钥管理与服务关键技术, 重点研究在网络不可信条件下的密钥 全生命周期安全管理与服务解决方案; 研究移动互联网电子认证服务技术, 重点 研究移动互联环境下的用户身
16、份鉴别服务与受控使用支持技术, 零延迟信任撤销 技术;研究移动终端的密码计算关键技术, 研发高安全的密码软件栈,研究方便 易用的组件架构和应用开发框架;研究移动互联网环境下的密码云服务技术, 包 括代理验证服务技术,时间戳服务技术,随机数服务技术和代理加解密技术; 研究移动终端软件生态体系安全关键技术,包括移动 APP管理密码支撑关键技术, 移动APP版权保护技术,移动APP代码模块追踪溯源技术,移动APP代码认证签 名技术;构建移动互联网密码服务示范应用,面向新型移动支付和企业移动终端 安全管控需求,推进相关标准和规范的制定。完成密钥管理与服务原型系统,支持网络不可信环境下的密钥生 成、分发
17、、使用、撤销与恢复;支持的移动终端数达到亿级,十万用户并发访问 的非对称密钥使用服务延迟不大于1秒,协作式非对称密钥生成服务延迟不大于1秒;密钥管理与服务方案至少在半诚实模型下是可证安全的。完成移动互联网 电子认证服务原型系统,实现基于行为的、多级可信的证书签发;提供统一的在 线身份鉴别服务,支持零延时的证书撤销;支持的移动终端数达到亿级规模, 证 书签发速度不小于1万张/秒,支持多种证书策略;系统应符合国家密码行业相 关标准,并兼容FIDO SAML OpenlD OAuth等国际标准。完成高安全移动终端密码软件栈,支持 10款以上主流智能终端,对称密码算法计算效率不低于50Mbps数字签名
18、算法计算效率不低于100次/秒;能够为智能终端管控提供安 全支撑,原型系统应当包括关键硬件资源和敏感数据的细粒度访问控制。 完成代 理验证服务原型系统,支持 APP的证书路径代理构造与验证,可支持 HTML5支 持XML格式交互,证书路径代理验证不大于1秒;完成面向移动终端的时间戳服 务原型系统开发,支持150万次/秒的时间戳服务;完成真随机数服务原型系统开发,支持非完美移动终端密码计算的随机数需求,支持 150万台次/秒的移动 终端数字签名;完成代理加解密服务原型系统,支持移动终端与云端协作的数据 加解密,对称算法加解密速率达到 50Gb/秒,支持代理重加密,加密速度 30Gb/ 秒。完成移
19、动APP版权保护服务系统原型及配套工具,支持移动APP代码认证签 名,移动APP代码模块追踪溯源,移动APP安全验证。构建移动互联网密码服务示范应用,面向新型移动支付和企业移动终端安全管控需求,推进相关标准和规范的制定,发放行业应用相关移动数字证书不少于 2亿张。所有系统均支持国产密码算法,密码应用安全方案通过国家密码主管部门的评审; 申请国家发明专利 25项以上;获得商用密码产品型号不少于 4项;完成国家或行业标准草案不少 于3项,至少1项获得国家或行业标准主管部门立项或批准。2.3互联网下的隐私保护与取证技术(重大共性关键技术类)主要研究数据来源隐私保护技术,包括用户时空及移动轨迹的匿基于
20、概率推测的位名化技术,基于启发式隐私度量的位置大数据隐私保护技术,置大数据隐私保护技术;研究数据发布隐私保护技术,包括数据扰动和泛化的方 法,K匿名化和I多样性的方法,分布式隐私数据保护方法,数据差分隐私保 护方法;研究数据计算隐私保护技术,包括支持数据关联分析的数据加密技术, 支持数据多功能检索的可搜索加密技术,支持数据匿名化统计的数据加密技术;研究面向云计算的数字取证技术,包括虚拟机取证技术,面向取证的虚拟机迁移 技术,虚拟身份追踪与取证技术;研究面向大数据的数字取证技术,包括基于Hadoop框架的大数据集群化分析技术,分布式取证分析技术,内容抽样技术; 研究数据保护相关标准,包括数据安全
21、生命周期隐私保护,含数据来源隐私保护、 数据发布隐私保护和数据计算等隐私保护要求, 研究大数据脱敏指南标准,研究 数据分类分级安全指南标准。提出隐私分类分级方法、提出互联网环境下隐私保护理论模型, 隐私保护与取证需求,并与现行法律实现有效衔接。名化和大数据环境下的用户位置信息保护等 2种隐私保护功能。提出互联网环境 下的数据发布隐私保护技术方案,并完成验证原型系统开发,至少实现4种不同 的数据发布隐私保护技术验证。提出互联网环境下的数据计算隐私保护技术方案,并完成验证原型系统开发,至少实现数据关联分析、检索、和统计等 3种操 作过程中的用户隐私保护功能。提出面向云计算和大数据环境中的取证技术方
22、案,并完成验证原型系统开发,至少实现面向虚拟机迁移、 Hadoop等计算过程中的隐私侵犯取证技术验证。申请国家发明专利 10项以上;完成国家或行业标 准草案不少于5项,至少2项获得国家或行业标准主管部门立项或批准。3.大规模异构网络空间中的可信管理关键技术研究3.1异构身份联盟与监管基础科学问题研究(基础前沿类)针对网络空间中多样性网络实体的统一管理需求,研究适应多种 环境的异构实体身份标识技术,防止身份信息的泄漏;针对现有身份管理技术不 能支撑全面信息化环境下多形态和多域的身份安全管理的问题, 研究以用户为中 心的身份管理服务模式以及多形态、多域的联合身份管理技术,建立异构环境下 身份联盟模
23、型,以保证用户身份的真实性、完整性、匿名性和可追溯性;研究多 维度身份认证方法,以解决单一身份认证存在的复制和假冒问题, 形成多种身份 标示同在场景下的权限管理和信任管理机制,构建涵盖信任评估、信任协商等的 身份动态互信任体系;针对用户身份或属性的可信度判定问题,研究适应不同场 景的网络身份与属性的可信程度评价模型, 实现安全属性证明及发布机制;研究异构环境中用户身份隐私保护技术, 建立身份联盟行为管控模型,提出不同联盟 之间用户身份资源隐私共享方法,降低用户身份信息被滥用误用的风险; 研究基 于网络实体身份管理的网络行为分析与监控理论,建立多态网络行为关联分析模 型,研究多身份融合识别技术、
24、行为分析技术、审计追踪技术等。建立以用户为中心的面向异构网络实体身份联盟管理模型,提出 多维度身份认证技术和多形态、多域的联合身份管理技术体系。建立普适性的网 络实体身份标识方法,提出多类网络实体身份全生命周期管理体系。 建立跨域动 态权限管理模型,构建多种身份标示并存的信任管理机制,提出涵盖信任评估、信任协商等的身份动态互信任体系。建立适应不同场景的网络身份与属性的可信 程度评价模型,提出多源多维度的网络身份与属性可信评价方法,并构建综合管理框架。建立具有用户隐私保护功能的身份联盟行为管控模型, 提出联盟成员之间用户身份资源隐私共享方法。提出基于网络实体身份管理的网络行为分析与监 控理论体系
25、,支持多身份融合识别、身份管理、行为分析审计等。申请国家发明 专利15项以上。3.2基于国产密码算法的服务认证与证明关键技术(重大共性关键技术类)针对当前网络空间中由于信息服务众多,信息服务管理和验证机 制缺乏,信息服务行为监管和行为可追溯能力差等现状, 研究基于国产密码算法 的信息服务可信管理、实体验证、可信证明、行为监管及追溯等技术体系和标准, 从体系结构层面提升信息服务的可管理性、可鉴别性、可证明性、可追溯性。主 要研究内容包括:信息服务的安全分级分类机制、标识机制、测评标准、评估体 系、证明机制;信息服务身份管理及验证技术体系,信息服务实体化管理体系, 服务联盟体系;服务可信及功能完整
26、性证明协议、信息源可信追溯技术、信息服 务责任分析及可信判定技术;信息服务可信管理平台研制,基于国产密码算法完 成平台系统开发和部署,制定并发布基于相关标准和接口,并基于分类软件可信管理模型对上线运行的信息系统和服务实施可信管理和认证, 具备对其功能完整 性实施证明,对其安全行为实施可信追溯和责任认定能力。建立信息服务安全及可信管理模型,提出相关机制原理、安全度 量方法,证明协议、形成技术规范。提出信息服务的安全分级分类方法和可信标识机制,形成信息服务安全分级分类评估标准, 实现信息服务安全分级分类评估 原型系统开发,具备自动化的信息服务安全分级分类, 分类结果的标准符合度不 低于95%形成支
27、撑信息服务实体认证与功能及行为证明的核心技术标准体系; 制定包括信息服务实体化可信身份管理与服务联盟、可信标识及验证、功能及行 为完整性证明、可信追溯及责任判定、数据格式及接口等标准文件。提出服务可 信及功能完整性证明技术方案,至少能够针对云存储服务和虚拟主机租用服务, 完成服务属性证明,包括物理位置、完整性、机密性等属性,并完成原型系统。研制信息服务可信管理平台,基于国产密码算法,采用开放技术完成平台研制并 部署,能对信息服务和系统实施可信标识, 实现信息服务可信身份验证和功能及 行为完整性证明,支持对信息服务实施可信追溯和责任判定。密码应用安全方案 通过国家密码主管部门评审。4.网络空间虚
28、拟资产保护创新方法与关键技术研究4.1电子货币新算法与新原理研究(基础前沿类)针对电子货币的发行需求和安全挑战,重点研究基于密码理论的 无中心和多中心的电子货币新算法与新原理。 研究电子货币的基础构造理论,以 及算法和协议的可证明安全模型;研究无中心的电子货币新算法,包括电子货币 共识机制、电子货币高效和匿名流通支付模型等;研究多中心的电子货币新算法, 包括电子货币安全的分级发行方法、电子货币流通的授权可追踪方法与认证方法 等;研究电子货币安全账本模型,包括可防伪可验证的加密账本原理等; 研究电 子货币安全分析模型,包括电子货币算法攻击分析和防护方法、安全能力测试和 评估机制、业务风险分析及安
29、全监管机制等。提出基于密码理论的可证明安全的电子货币新算法,至少包括无 中心和多中心的两类货币算法。无中心电子货币算法在亿级用户规模下全网账本 同步时间小于10分钟,多中心电子货币算法至少支持 2种发行模式。提出电子 货币安全账本模型,实现电子账户密钥泄露的实时追踪和撤销算法。 实现无中心 和多中心的电子货币原型验证系统。无中心和多中心的电子货币算法至少各有一种通过国家密码主管部门的评 审。申请国家发明专利10项以上。4.2互联网+环境中基于国产算法的多媒体版权保护与监管关键技术(重大共性 关键技术类)以推进基于国产密码算法的应用,落实中央四号文为目标。面向互联网+环境中媒体融合及4K超高清内
30、容运营对多媒体版权保护与监管的新需 求,顶层设计互联网+环境中基于国产密码算法的多媒体版权保护与监管总体方 案;研究支持国产密码算法的新一代多媒体版权保护与监管技术, 重点研究突破 应用国产密码算法的新一代内容加密与授权技术体系、 基于硬件安全的智能终端 版权保护技术、融合媒体多终端统一安全认证技术以及融合媒体版权监管技术等 共性关键支撑技术;研发支持国产密码的新一代融合媒体内容版权保护与监管系统关键装备,集成建立支持国产密码的融合媒体版权保护服务平台; 制定国产密码在数字媒体内容版权保护领域应用的技术要求与测试规范, 研究建立支持国产 密码的融合媒体版权保护产品与系统测试评估平台; 选择至少2个互联网电视集 成播控机构开展基于国产密码算法的数字媒体内容版权保护技术试点示范, 全面提升国产密码对我国数字媒体内容版权保护的支撑保障能力, 形成国产密码与数 字媒体内容版权保护协同发展的格局,保障数字媒
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 