前言

近年來(lái)，網(wǎng)絡(luò)的多維度發(fā)展速度令人驚訝，使人興奮.網(wǎng)絡(luò)逐漸將虛擬世界與現(xiàn)實(shí)世界融合，人類在現(xiàn)實(shí)世界的活動(dòng)越來(lái)越多地通過(guò)網(wǎng)絡(luò)空間完成.智能設(shè)備、數(shù)字貨幣、物聯(lián)網(wǎng)、云計(jì)算等正在改變?nèi)藗兩罘绞?網(wǎng)絡(luò)空間安全因而成為大眾廣泛關(guān)注的焦點(diǎn)，沒(méi)有網(wǎng)絡(luò)安全的保障，就不會(huì)有現(xiàn)代化的生活.網(wǎng)絡(luò)空間的信息存儲(chǔ)、傳輸、處理及應(yīng)用，需要先進(jìn)的安全技術(shù)做保障.區(qū)塊鏈技術(shù)引起了金融、政府、企業(yè)各組織機(jī)構(gòu)的廣泛關(guān)注和熱烈追捧，抗量子密碼的標(biāo)準(zhǔn)化正在快速推進(jìn)，安全的物聯(lián)網(wǎng)與智能技術(shù)相結(jié)合將使夢(mèng)想變?yōu)楝F(xiàn)實(shí).

為推動(dòng)我國(guó)學(xué)者在網(wǎng)絡(luò)空間安全領(lǐng)域的研究，促進(jìn)信息安全基礎(chǔ)理論的發(fā)展及其在重要應(yīng)用領(lǐng)域和新興安全技術(shù)領(lǐng)域中的應(yīng)用，及時(shí)報(bào)道我國(guó)學(xué)者在云安全、區(qū)塊鏈技術(shù)、抗量子密碼算法與協(xié)議、物聯(lián)網(wǎng)安全等前沿研究領(lǐng)域的最新研究進(jìn)展，《計(jì)算機(jī)研究與發(fā)展》和我們共同策劃組織了“應(yīng)用驅(qū)動(dòng)的網(wǎng)絡(luò)空間安全研究進(jìn)展”專題.本期專題通過(guò)公開(kāi)征文共收到81篇普通投稿、4篇特邀投稿，分別從多個(gè)方面闡述了應(yīng)用驅(qū)動(dòng)的網(wǎng)絡(luò)空間安全研究領(lǐng)域具有重要意義的研究成果.本專題的審稿嚴(yán)格按照該刊審稿要求進(jìn)行，特約編委先后邀請(qǐng)了百余位相關(guān)領(lǐng)域的專家參與評(píng)審，每篇論文邀請(qǐng)至少3～4位專家進(jìn)行評(píng)審，歷經(jīng)初審、復(fù)審、終審等階段，整個(gè)流程歷經(jīng)一個(gè)半月，最終共精選錄用文章26篇(含4篇特邀稿件).這26篇文章分別涵蓋大數(shù)據(jù)可搜索加密、格密碼、物聯(lián)網(wǎng)安全、云計(jì)算安全與隱私保護(hù)、系統(tǒng)安全等研究?jī)?nèi)容，在一定程度上反映了當(dāng)前國(guó)內(nèi)各單位在應(yīng)用驅(qū)動(dòng)的網(wǎng)絡(luò)空間安全研究領(lǐng)域的主要研究方向.

本專輯的6篇綜述簡(jiǎn)介如下：

隨著大數(shù)據(jù)與云計(jì)算的發(fā)展，以可搜索加密為核心技術(shù)的安全搜索問(wèn)題日益成為國(guó)內(nèi)外研究的熱點(diǎn).董曉蕾教授等人在特邀稿件“可搜索加密研究進(jìn)展”中圍繞可搜索加密的新理論、新方法和新技術(shù)，針對(duì)可搜索加密的模式、安全性、表達(dá)能力和搜索效率等方面進(jìn)行綜述.論述了安全搜索必不可少的新理論研究進(jìn)展，包括可搜索加密、屬性基加密及其輕量化等相關(guān)理論問(wèn)題的研究情況介紹；在基于公鑰密碼算法(包括輕量化公鑰密碼算法)的安全搜索研究中，概述了減少公鑰密碼算法使用次數(shù)的新方法；針對(duì)體域網(wǎng)、車載網(wǎng)、智能電網(wǎng)等新興網(wǎng)絡(luò)應(yīng)用服務(wù)，介紹了前述新理論、新方法的應(yīng)用情況.實(shí)現(xiàn)安全搜索，通常將不得不多次使用開(kāi)銷極大的公鑰密碼算法，所以在資源受限的網(wǎng)絡(luò)中“怎么使用公鑰密碼算法”就成為一個(gè)關(guān)鍵問(wèn)題.除了輕量化實(shí)現(xiàn)技術(shù)，減少使用公鑰密碼算法的次數(shù)(尤其是只使用一次)應(yīng)成為高效解決這類問(wèn)題的最為關(guān)鍵的步驟.最后，還指出了該領(lǐng)域當(dāng)前研究中需要解決的公開(kāi)問(wèn)題和未來(lái)的發(fā)展趨勢(shì).

格理論最初是作為一種密碼分析工具被引入到密碼學(xué)中的，用于分析背包密碼體制、RSA密碼體制等.在1997年，Ajtai和Dwork第一次構(gòu)造了一個(gè)基于格的密碼體制，被稱為Ajtai-Dwork體制，隨后在1998年出現(xiàn)了NTRU密碼體制.自2009年Gentry基于格密碼構(gòu)造了首個(gè)全同態(tài)密碼方案以來(lái)，格密碼得到了空前廣泛的發(fā)展.近年來(lái)，格密碼作為后量子密碼算法標(biāo)準(zhǔn)最有力的競(jìng)爭(zhēng)者之一，出現(xiàn)了許多優(yōu)秀的研究成果.張平原等人在特邀稿件“格密碼技術(shù)近期研究進(jìn)展”一文中，從基于格的零知識(shí)證明、格加密、格簽名以及格密鑰交換幾個(gè)方面，對(duì)近兩年格密碼研究進(jìn)行了總結(jié)，并對(duì)格密碼的發(fā)展趨勢(shì)進(jìn)行了展望，提出了自己的見(jiàn)解.

近年來(lái)，物聯(lián)網(wǎng)作為互聯(lián)網(wǎng)的擴(kuò)展逐步成為下一代計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展核心.而隨著物聯(lián)網(wǎng)設(shè)備數(shù)量越來(lái)越多，應(yīng)用領(lǐng)域越發(fā)廣泛，物聯(lián)網(wǎng)安全也受到研究者越來(lái)越多的關(guān)注.張玉清教授等人在特邀稿件“物聯(lián)網(wǎng)安全綜述”中，對(duì)物聯(lián)網(wǎng)3層邏輯架構(gòu)進(jìn)行了簡(jiǎn)介，針對(duì)每個(gè)層次的安全問(wèn)題與研究重點(diǎn)進(jìn)行概述.然后分析與討論物聯(lián)網(wǎng)的主要應(yīng)用場(chǎng)景(智能家居、智能醫(yī)療、車聯(lián)網(wǎng)、智能電網(wǎng)、工業(yè)與公共基礎(chǔ)設(shè)施)中特別需要注意的一些安全問(wèn)題.最后通過(guò)詳細(xì)的調(diào)研與分析，總結(jié)出近年來(lái)安全問(wèn)題背后的五大主要技術(shù)挑戰(zhàn)：數(shù)據(jù)共享與隱私保護(hù)、有限資源下設(shè)備安全保護(hù)方法、廣泛適用的入侵檢測(cè)與防御系統(tǒng)與測(cè)試框架、設(shè)備自動(dòng)化操作的訪問(wèn)控制與授權(quán)管理、動(dòng)態(tài)設(shè)備認(rèn)證與信任.

可修訂簽名是一類支持編輯操作的具有同態(tài)性質(zhì)的數(shù)字簽名.在不與簽名人交互的情況下，簽名持有人(修訂者)可刪除已簽名數(shù)據(jù)中的敏感子數(shù)據(jù)，并計(jì)算修訂后數(shù)據(jù)的有效簽名.自2001年正式提出以來(lái)，可修訂簽名一直是應(yīng)用密碼學(xué)領(lǐng)域的研究熱點(diǎn).馬金花等人在特邀稿件“可修訂數(shù)字簽名研究綜述”中，從可修訂簽名的核心算法定義、安全模型以及現(xiàn)有的代表性方案等方面對(duì)可修訂數(shù)字簽名進(jìn)行概括和分析，并探討值得進(jìn)一步研究的問(wèn)題.

隱私保護(hù)集合交集計(jì)算(PSI)屬于安全多方計(jì)算領(lǐng)域的特定應(yīng)用問(wèn)題，不僅具有重要的理論意義也具有很強(qiáng)的應(yīng)用背景，在大數(shù)據(jù)時(shí)代，對(duì)該問(wèn)題的研究更是符合人們?nèi)找鎻?qiáng)烈的在享受各種服務(wù)的同時(shí)達(dá)到隱私保護(hù)的需求.申立艷等人在綜述文章“隱私保護(hù)集合交集計(jì)算技術(shù)研究綜述”中，簡(jiǎn)要介紹了安全多方計(jì)算基礎(chǔ)理論，并重點(diǎn)介紹了目前主流的安全多方計(jì)算框架下2類PSI研究技術(shù)：傳統(tǒng)的基于公鑰加密機(jī)制，混亂電路，不經(jīng)意傳輸?shù)腜SI協(xié)議和新型的云輔助的PSI協(xié)議，并對(duì)各類協(xié)議的過(guò)程、適用性、復(fù)雜性進(jìn)行簡(jiǎn)要分析總結(jié).同時(shí)，也對(duì)隱私保護(hù)集合交集問(wèn)題的應(yīng)用場(chǎng)景與應(yīng)用價(jià)值進(jìn)行詳細(xì)說(shuō)明.

區(qū)塊鏈技術(shù)的核心特征是公開(kāi)可驗(yàn)證、防篡改和隱私保護(hù)，特別是去中心化.作為分布式總賬技術(shù)、智能合約基礎(chǔ)平臺(tái)、分布式新型計(jì)算范式，可以有效構(gòu)建可編程貨幣、可編程金融和可編程社會(huì)，勢(shì)必將對(duì)金融及其他領(lǐng)域帶來(lái)深遠(yuǎn)影響，并驅(qū)動(dòng)新一輪技術(shù)變革和應(yīng)用變革.祝烈煌等人在綜述文章“區(qū)塊鏈隱私保護(hù)研究綜述”中，在分析區(qū)塊鏈網(wǎng)絡(luò)層、交易層和應(yīng)用層技術(shù)特點(diǎn)基礎(chǔ)上，主要討論了區(qū)塊鏈中身份隱私和交易隱私的問(wèn)題，結(jié)合實(shí)際案例介紹區(qū)塊鏈網(wǎng)絡(luò)層、交易層和應(yīng)用層存在的各種攻擊方法以及現(xiàn)有的隱私保護(hù)機(jī)制.同時(shí)分析了區(qū)塊鏈中現(xiàn)有隱私保護(hù)技術(shù)存在的缺陷，展望了未來(lái)發(fā)展方向.

本專輯的20篇研究論文大致分為密碼安全、系統(tǒng)安全、應(yīng)用密碼與隱私保護(hù)3個(gè)部分，分別簡(jiǎn)介如下：

1) 密碼安全.密碼安全部分共收錄了7篇論文，主要圍繞格密碼、輕量級(jí)密碼和認(rèn)證密鑰協(xié)商等研究方向展開(kāi).

后量子時(shí)代，基于格理論的公鑰密碼被認(rèn)為是最有前途的抵抗量子計(jì)算機(jī)攻擊的公鑰密碼體制之一.楊亞濤等人在“RAKA:一種新的基于Ring-LWE的認(rèn)證密鑰協(xié)商協(xié)議”一文中，基于環(huán)上帶錯(cuò)誤學(xué)習(xí)問(wèn)題困難假設(shè)，采用調(diào)和技術(shù)構(gòu)造了一種輕量級(jí)認(rèn)證密鑰協(xié)商協(xié)議，該方案采用格上陷門函數(shù)技術(shù)提供了單向認(rèn)證功能，并且在Ring-LWE假設(shè)下是可證明安全的.

格上可固定維數(shù)陷門派生的身份基分級(jí)加密(HIBE)體制，因其具有在陷門派生前后格的維數(shù)保持不變的特性而受到廣泛關(guān)注，但這種體制普遍存在陷門派生復(fù)雜度過(guò)高的問(wèn)題.葉青等人在“基于LWE的高效身份基分級(jí)加密方案”一文中，利用MP12陷門函數(shù)的特性提出一種優(yōu)化的可逆矩陣提取算法，再基于該優(yōu)化算法結(jié)合固定維數(shù)的陷門派生算法和MP12陷門函數(shù)完成方案的建立和陷門派生階段，然后與對(duì)偶Regev算法相結(jié)合完成隨機(jī)預(yù)言模型下HIBE方案的構(gòu)造.并且利用二進(jìn)制樹加密系統(tǒng)將該方案改進(jìn)為標(biāo)準(zhǔn)模型下的HIBE方案.兩方案安全性均可歸約至LWE問(wèn)題的困難性，并給出嚴(yán)格的安全性證明.

LED是于2011年CHES會(huì)議中提出的一種典型輕量級(jí)密碼算法，可用于在物聯(lián)網(wǎng)環(huán)境下保護(hù)RFID標(biāo)簽以及智能卡等設(shè)備的通信安全.李瑋等人在“物聯(lián)網(wǎng)環(huán)境中LED輕量級(jí)密碼算法的統(tǒng)計(jì)故障分析研究”一文中，提出了一種針對(duì)LED算法的統(tǒng)計(jì)故障分析方法，采用面向半字節(jié)的故障模型，分別使用SEI區(qū)分器、GF區(qū)分器和GF-SEI雙重區(qū)分器對(duì)算法進(jìn)行統(tǒng)計(jì)分析.通過(guò)實(shí)驗(yàn)結(jié)果表明了其高效性，該方法可在唯密文攻擊條件下實(shí)現(xiàn)，為物聯(lián)網(wǎng)下輕量級(jí)密碼的安全性分析提供了重要參考.

茫然傳輸是一種用于隱藏?cái)?shù)據(jù)接收者選擇信息的密碼學(xué)原語(yǔ)，作為構(gòu)建高層多方密碼協(xié)議的基本工具，在諸多具體問(wèn)題中都有著重要應(yīng)用.趙圣楠等人在“一個(gè)單服務(wù)器輔助的高效n取k茫然傳輸協(xié)議”一文中，提出了一個(gè)高效單服務(wù)器輔助的n取k茫然傳輸協(xié)議，將主要群乘冪操作外包給云服務(wù)器實(shí)現(xiàn).該方案基于判定Diffie-Hellamn困難假設(shè)，在半誠(chéng)實(shí)模型下可證明安全，同時(shí)可以保證云服務(wù)器的數(shù)據(jù)隱私性.

自動(dòng)化分析是當(dāng)前對(duì)密碼算法進(jìn)行安全性評(píng)估的重要方法之一，具有高效、全自動(dòng)化的特點(diǎn).尹軍等人在“輕量級(jí)分組密碼算法ESF的安全性分析”一文中，基于精煉的約束和自動(dòng)化搜索方法，針對(duì)輕量級(jí)分組密碼算法ESF，建立單密鑰下精煉的差分和線性MILP模型，給出了ESF算法在單密鑰情形下的差分和線性分析結(jié)果.

對(duì)密文數(shù)據(jù)進(jìn)行高效檢索是一項(xiàng)重要研究?jī)?nèi)容.帶密文等值判定的公鑰加密協(xié)議是解決這個(gè)問(wèn)題的工具之一.它可以在不泄漏明文內(nèi)容的情況下判定兩段密文對(duì)應(yīng)的明文是否相同.最近，一系列帶密文等值判定的公鑰加密協(xié)議被提出.然而，在這些協(xié)議中，只有一個(gè)服務(wù)器來(lái)執(zhí)行等值判定操作,不能抵抗惡意服務(wù)器的內(nèi)部關(guān)鍵字猜測(cè)攻擊.吳黎兵等人在“云計(jì)算中基于身份的雙服務(wù)器帶密文等值判定協(xié)議”一文中，提出了一個(gè)基于雙服務(wù)器的帶密文等值判定的公鑰加密協(xié)議.并在隨機(jī)預(yù)言機(jī)模型下證明了它的安全性.

李飛等人在“基于強(qiáng)變色龍Hash函數(shù)的緊致安全簽名通用構(gòu)造”一文中，提出了一個(gè)強(qiáng)變色龍Hash函數(shù)的密碼原語(yǔ)，并在此基礎(chǔ)上給出了緊致安全數(shù)字簽名方案的一般化構(gòu)造及其變形.利用RSA,CDH，IF等具體假設(shè)下的強(qiáng)變色龍Hash函數(shù)實(shí)例，通過(guò)該一般化構(gòu)造技術(shù)，可設(shè)計(jì)一系列具體的緊致安全簽名方案.兩類經(jīng)典的緊致安全簽名方案構(gòu)造，即Fiat-Shamir類和Full-Domain-Hash類，也可大致統(tǒng)一在所提出的一般性構(gòu)造框架中.

2) 系統(tǒng)安全.系統(tǒng)安全部分共收錄了9篇文章，主要圍繞入侵檢測(cè)、系統(tǒng)風(fēng)險(xiǎn)評(píng)估、動(dòng)態(tài)防御機(jī)制、軟件定義網(wǎng)絡(luò)安全等研究方向展開(kāi).

針對(duì)現(xiàn)有未知攻擊檢測(cè)方法僅定性選取特征而導(dǎo)致檢測(cè)精度較低的問(wèn)題，許勐璠等人在“基于半監(jiān)督學(xué)習(xí)和信息增益率的入侵檢測(cè)方案”一文中，提出一種基于半監(jiān)督學(xué)習(xí)和信息增益率的入侵檢測(cè)方案.該方案利用目標(biāo)網(wǎng)絡(luò)在遭受攻擊時(shí)反映在底層重要網(wǎng)絡(luò)流量特征各異的特點(diǎn)，在模型訓(xùn)練階段，為了克服訓(xùn)練數(shù)據(jù)集規(guī)模有限的問(wèn)題，采用半監(jiān)督學(xué)習(xí)算法利用少量標(biāo)記數(shù)據(jù)獲得大規(guī)模的訓(xùn)練數(shù)據(jù)集；在模型檢測(cè)階段，引入信息增益率定量分析不同特征對(duì)檢測(cè)性能的影響程度，最大程度地保留了特征信息，以提高模型對(duì)未知攻擊的檢測(cè)性能.

張英駿等人在“基于Trustzone的開(kāi)放環(huán)境中敏感應(yīng)用防護(hù)方案”一文中，針對(duì)BYOD，移動(dòng)云計(jì)算等兼具強(qiáng)安全性，高開(kāi)放性需求的新型應(yīng)用場(chǎng)景，提出了一種移動(dòng)嵌入式平臺(tái)敏感應(yīng)用防護(hù)方案.為滿足高開(kāi)放性需求，方案實(shí)現(xiàn)了傳統(tǒng)Trustzone安全方案不具備的兩大優(yōu)勢(shì)．首先，將Trustzone保護(hù)域擴(kuò)展至普通世界，安全世界不再實(shí)現(xiàn)具體的敏感應(yīng)用，而只實(shí)現(xiàn)一個(gè)輕量級(jí)監(jiān)控模塊用以監(jiān)控普通世界內(nèi)核的行為.因此整個(gè)系統(tǒng)可信計(jì)算基不隨敏感應(yīng)用數(shù)量的增加而增大，減少了其可攻擊面和潛在漏洞.其次，監(jiān)控模塊確保內(nèi)核為這些敏感應(yīng)用提供安全的系統(tǒng)服務(wù)，從而為滿足開(kāi)放性需求提供關(guān)鍵功能支持.最后，方案提出了內(nèi)核主動(dòng)證明機(jī)制，要求內(nèi)核主動(dòng)提供關(guān)鍵信息協(xié)助監(jiān)控模塊驗(yàn)證其自身行為，有效提高了系統(tǒng)運(yùn)行效率.作者在真實(shí)設(shè)備上實(shí)現(xiàn)了原型系統(tǒng)，實(shí)驗(yàn)結(jié)果證明了該方案的安全性和較為理想的運(yùn)行效率.

虛擬機(jī)的安全遷移是保障可信云環(huán)境安全的重要需求之一.對(duì)于包含vTPM的可信虛擬機(jī)，還需要考慮vTPM的安全遷移的問(wèn)題，但目前針對(duì)可信虛擬機(jī)的遷移缺乏統(tǒng)一的安全模型及測(cè)試方法.石源等人在“一種可信虛擬機(jī)遷移模型構(gòu)建方法”一文中，參考虛擬機(jī)遷移中普遍存在的安全問(wèn)題以及可信計(jì)算和云的相關(guān)規(guī)范，從整體系統(tǒng)層面對(duì)包含vTPM的可信虛擬機(jī)的遷移進(jìn)行安全需求分析；基于需求分析提出一種可信虛擬機(jī)遷移框架，將可信遷移的參與組件進(jìn)行了抽象并描述了遷移流程中的關(guān)鍵步驟和狀態(tài)；利用標(biāo)號(hào)遷移系統(tǒng)對(duì)可信遷移系統(tǒng)的行為和安全屬性進(jìn)行建模，以系統(tǒng)中遷移進(jìn)程組件的建模為基礎(chǔ)構(gòu)建出動(dòng)態(tài)的遷移系統(tǒng)狀態(tài)遷移樹；并分析指出了本文模型可以應(yīng)用于可信遷移的協(xié)議一致性測(cè)試工作.

準(zhǔn)確量化單個(gè)漏洞可利用性是解決基于攻擊路徑分析網(wǎng)絡(luò)安全態(tài)勢(shì)的基礎(chǔ)和關(guān)鍵.雷柯楠等人在“基于漏洞類型的漏洞可利用性量化評(píng)估系統(tǒng)”一文中，將漏洞類型作為評(píng)估漏洞可利用性的要素之一，采用層次分析法將其進(jìn)行量化，基于通用漏洞評(píng)分系統(tǒng)CVSS上提出一種更為全面的漏洞可利用性量化評(píng)估系統(tǒng)EOVSS.實(shí)驗(yàn)證明，EOVSS具有良好的多樣性，并能更準(zhǔn)確有效地量化評(píng)估單個(gè)漏洞的可利用性.

虛擬機(jī)自省作為一種從外部監(jiān)控虛擬機(jī)內(nèi)部運(yùn)行狀態(tài)的方法，為解決虛擬機(jī)安全問(wèn)題提供了新視角，但同時(shí)也引入了巨大開(kāi)銷，阻礙了實(shí)際應(yīng)用.劉維杰等人在“基于VMFUNC的虛擬機(jī)自省觸發(fā)機(jī)制”一文中，提出了一種基于VMFUNC的VMI觸發(fā)機(jī)制.該機(jī)制借助CPU硬件特性VM-Function以及RDTSC指令模擬，將調(diào)用時(shí)產(chǎn)生VM Exit開(kāi)銷降至最低；利用VMFUNC的功能為目標(biāo)虛擬機(jī)切換備用擴(kuò)展頁(yè)表，避免VMI程序運(yùn)行時(shí)對(duì)虛擬機(jī)執(zhí)行的中斷；通過(guò)重載VMFUNC指令和Xentrace的功能實(shí)現(xiàn)高效的觸發(fā)與信息傳遞機(jī)制，主動(dòng)觸發(fā)VMI程序運(yùn)行，克服了VMI程序常駐帶來(lái)的大量資源消耗.本文實(shí)現(xiàn)了虛擬機(jī)自省即服務(wù)系統(tǒng)，并進(jìn)行了實(shí)驗(yàn)驗(yàn)證.

控制層的漏洞利用攻擊是軟件定義網(wǎng)絡(luò)(SDN)面臨的主要威脅之一，而傳統(tǒng)基于漏洞修復(fù)技術(shù)的防御策略無(wú)法應(yīng)對(duì)未知漏洞或后門.王禛鵬等人在“MNOS:擬態(tài)網(wǎng)絡(luò)操作系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)”一文中，提出一種基于擬態(tài)防御思想的網(wǎng)絡(luò)操作系統(tǒng)安全架構(gòu)——擬態(tài)網(wǎng)絡(luò)操作系統(tǒng)(MNOS)——保障SDN控制層安全.該架構(gòu)采用異構(gòu)冗余的網(wǎng)絡(luò)操作系統(tǒng)(NOS)，并在傳統(tǒng)的SDN數(shù)據(jù)層和控制層間增設(shè)了擬態(tài)層，實(shí)現(xiàn)動(dòng)態(tài)調(diào)度能力.

近年來(lái)，高級(jí)持續(xù)性威脅(APT)危害企業(yè)、組織甚至國(guó)家安全，給目標(biāo)帶來(lái)了巨大的經(jīng)濟(jì)損失，其重要特征是攻擊持續(xù)時(shí)間跨度大，在目標(biāo)網(wǎng)絡(luò)內(nèi)長(zhǎng)期潛伏.現(xiàn)有的安全防御措施還無(wú)法有效檢測(cè)APT.王曉琪等人在“高級(jí)持續(xù)性威脅中隱蔽可疑DNS行為的檢測(cè)”一文中，提出一種協(xié)助檢測(cè)APT的框架APDD，通過(guò)分析大量的DNS請(qǐng)求數(shù)據(jù)檢測(cè)長(zhǎng)時(shí)間周期下APT中隱蔽可疑的DNS行為.將收集到的DNS請(qǐng)求數(shù)據(jù)執(zhí)行數(shù)據(jù)縮減并提取特征；利用變化向量分析方法(CVA)和滑動(dòng)時(shí)間窗口方法分析待檢測(cè)域名訪問(wèn)記錄與現(xiàn)有APT相關(guān)域名之間的相似度；建立一個(gè)信譽(yù)評(píng)分系統(tǒng)對(duì)相似度較高的待檢測(cè)域名訪問(wèn)記錄進(jìn)行打分；APDD框架輸出一個(gè)可疑域名訪問(wèn)記錄排名列表，可用于后續(xù)人工優(yōu)先分析最可疑的記錄，從而提高APT攻擊的檢測(cè)效率.

云計(jì)算系統(tǒng)是高級(jí)持續(xù)性威脅(APT)的重要攻擊目標(biāo).現(xiàn)有的專家系統(tǒng)對(duì)可疑行為進(jìn)行二次檢測(cè)可能導(dǎo)致防御延遲與誤判.胡晴等人在“基于專家系統(tǒng)的高級(jí)持續(xù)性威脅云端檢測(cè)博弈”一文中，設(shè)計(jì)了一個(gè)基于專家系統(tǒng)的APT檢測(cè)方案，并提出一個(gè)ES-APT檢測(cè)博弈模型，推導(dǎo)其納什均衡，研究了專家系統(tǒng)對(duì)云計(jì)算系統(tǒng)安全性能的改善作用.此外，當(dāng)APT攻擊模型無(wú)法獲知時(shí)，針對(duì)云計(jì)算系統(tǒng)提出了一種利用強(qiáng)化學(xué)習(xí)算法獲取最優(yōu)防御策略的方案.

軟件定義網(wǎng)絡(luò)(SDN)已成為一種新的網(wǎng)絡(luò)通信管理模式，極大地改變了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，可以通過(guò)將控制層與數(shù)據(jù)層分離來(lái)實(shí)現(xiàn)更細(xì)粒度的網(wǎng)絡(luò)控制與管理.但轉(zhuǎn)控分離的SDN架構(gòu)也使得控制器極易成為DoS攻擊的目標(biāo).為了解決該問(wèn)題，王濤等人在“基于網(wǎng)絡(luò)資源管理技術(shù)的SDN DoS攻擊動(dòng)態(tài)防御機(jī)制”一文中，提出了一種輕量有效的MinDoS防御機(jī)制.該機(jī)制主要由簡(jiǎn)化的DoS攻擊探測(cè)模塊和優(yōu)先級(jí)管理模塊者這2個(gè)核心模塊實(shí)現(xiàn).該機(jī)制可以根據(jù)用戶信任值將流請(qǐng)求分類并將其劃分到具有不同優(yōu)先級(jí)的多個(gè)緩沖隊(duì)列，然后使用SDN控制器以雙輪詢機(jī)制來(lái)調(diào)度處理這些流請(qǐng)求，以確保在DoS攻擊下更好地保護(hù)控制器.另外，MinDoS還結(jié)合了多控制器動(dòng)態(tài)調(diào)度策略來(lái)降低全局響應(yīng)時(shí)間，以提高用戶服務(wù)質(zhì)量.

3) 應(yīng)用密碼與隱私保護(hù).隱私保護(hù)部分共收錄了4篇文章，主要圍繞可搜索加密、隱私保護(hù)外包計(jì)算、電子貨幣系統(tǒng)中的隱私保護(hù)等研究方向展開(kāi).

近年來(lái)，隨著移動(dòng)設(shè)備性能的不斷提升和移動(dòng)互聯(lián)網(wǎng)的迅猛發(fā)展，越來(lái)越多的移動(dòng)終端參與云端數(shù)據(jù)存儲(chǔ)與共享.為了更好地解決資源受限的移動(dòng)設(shè)備參與云端數(shù)據(jù)共享的安全和效率問(wèn)題，基于支持通配符的與門訪問(wèn)結(jié)構(gòu)，蘇航等人在“適合移動(dòng)云存儲(chǔ)的基于屬性的關(guān)鍵詞搜索加密方案”一文中，提出了一種基于屬性的關(guān)鍵詞搜索加密方案，并證明了其在標(biāo)準(zhǔn)模型下滿足IND-CKA安全性和關(guān)鍵詞安全性.該方案采用韋達(dá)定理使得每個(gè)屬性僅需用一個(gè)元素表示，方案中索引長(zhǎng)度固定，陷門和密鑰的長(zhǎng)度及陷門算法和搜索算法的計(jì)算復(fù)雜度與訪問(wèn)結(jié)構(gòu)中可使用的通配符數(shù)量上限成正比，同時(shí)，移除了索引和陷門傳輸過(guò)程中的安全信道，進(jìn)一步降低了開(kāi)銷.

海量遙感圖像去噪在單機(jī)上暴露出處理速度慢、并發(fā)性差等問(wèn)題，利用云計(jì)算平臺(tái)進(jìn)行海量數(shù)據(jù)的存儲(chǔ)和處理是大勢(shì)所趨.黃冬梅等人在“一種安全的多幀遙感圖像的外包融合去噪方案”一文中，提出了一種針對(duì)多幀遙感圖像的安全外包融合去噪方案.方案利用Paillier加密算法的密文線性同態(tài)性和Johnson-Lindenstrauss轉(zhuǎn)換近似保留歐氏距離的特性,對(duì)平均圖像進(jìn)行基于動(dòng)態(tài)濾波參數(shù)的融合去噪.實(shí)驗(yàn)結(jié)果表明了所構(gòu)造方案的有效性與高效性.

比特幣是中本聰于2008年提出的數(shù)字貨幣，它具有去中心化、跨國(guó)界和發(fā)行總量固定等特性，現(xiàn)在已經(jīng)成為使用最廣泛的數(shù)字貨幣之一.為解決比特幣交易效率低下問(wèn)題，喻輝等人在“比特幣區(qū)塊鏈擴(kuò)容技術(shù)研究”一文中，針對(duì)比特幣所面臨的交易處理性能挑戰(zhàn)，以提升區(qū)塊鏈容量為目標(biāo)展開(kāi)研究.分析比特幣當(dāng)前網(wǎng)絡(luò)狀態(tài)，根據(jù)比特幣交易數(shù)據(jù)，統(tǒng)計(jì)交易延遲情況；針對(duì)鏈上擴(kuò)容方案，分析可行性，研究擴(kuò)容效果；針對(duì)鏈下擴(kuò)容方案，分析作用原理，研究擴(kuò)容效果；分析鏈上/鏈下擴(kuò)容方案優(yōu)缺點(diǎn)，提出了一種適應(yīng)社區(qū)的可行的比特幣擴(kuò)容路線方案.

授權(quán)約束的依從性研究是業(yè)務(wù)流程安全領(lǐng)域中的重要研究?jī)?nèi)容.薄陽(yáng)等人在“業(yè)務(wù)流程授權(quán)約束依從性分析”一文中，提出了全新的業(yè)務(wù)流程依從性分析框架，該框架可以處理：流程授權(quán)和非流程授權(quán)、業(yè)務(wù)流程任務(wù)委托、角色繼承關(guān)系、職責(zé)分離和職責(zé)綁定約束、靜態(tài)約束和動(dòng)態(tài)約束.此外，作者還提出用授權(quán)圖表示依從性分析框架，并給出授權(quán)圖的構(gòu)造和化簡(jiǎn)方法對(duì)授權(quán)圖進(jìn)行維護(hù)，然后給出一個(gè)針對(duì)授權(quán)圖的依從性分析算法.基于分析結(jié)果，給出了不依從授權(quán)約束的沖突模式，針對(duì)每一種沖突模式給出一組解決方案，并實(shí)現(xiàn)了原型系統(tǒng).

承蒙各位作者、審稿專家和編輯部等方面的全力支持，本專題得以順利出版.目前應(yīng)用驅(qū)動(dòng)的網(wǎng)絡(luò)空間安全研究涉及領(lǐng)域十分廣泛，這給審稿人及特邀編輯的審稿、選稿工作帶來(lái)了巨大挑戰(zhàn).由于投稿數(shù)量大、主題廣泛、時(shí)間安排緊張、專題容量有限等原因，本專題僅選擇了部分有代表性的研究工作予以發(fā)表，無(wú)法全面體現(xiàn)應(yīng)用驅(qū)動(dòng)的網(wǎng)絡(luò)空間安全領(lǐng)域所有的最新研究工作.部分優(yōu)秀稿件無(wú)法列入發(fā)表，敬請(qǐng)諒解.

我們要特別感謝《計(jì)算機(jī)研究與發(fā)展》編委會(huì)和編輯部，從專題的立項(xiàng)到征稿啟事的發(fā)布，從審稿專家的邀請(qǐng)到評(píng)審意見(jiàn)的匯總，以及最后的定稿、修改和出版工作，都凝聚了他們辛勤的汗水.本專題的出版期望能給廣大相關(guān)領(lǐng)域研究人員帶來(lái)啟發(fā)和幫助.在審稿過(guò)程中難免出現(xiàn)不盡人意之處，希望各位作者和讀者包容諒解，同時(shí)也請(qǐng)各位同行不吝批評(píng)指正.最后，再次衷心感謝各位作者、審稿專家、編輯部和特邀編委的辛勤工作.

曹珍富 (華東師范大學(xué))

徐秋亮 (山東大學(xué))

張玉清 (中國(guó)科學(xué)院大學(xué))

董曉蕾 (華東師范大學(xué))

2017年9月