项目名称

大规模复杂系统信息安全关键技术及应用

提名单位

教育部

项目简介：

该项目属于网络空间安全领域。大规模复杂系统呈现多源异构、多网融合、多域共享等特点，信息安全保障的性能已经成为大规模复杂系统广泛应用的瓶颈。该项目针对多源异构实体的真实性、海量关键数据的机密性、跨域信息共享的可控性等核心问题开展研究，形成了大规模复杂系统信息安全技术体系，攻克了多项核心关键技术，为互联网+、电子政务、金融证券、智慧城市等大规模复杂系统应用提供支撑。

1、将多源异构实体的真实性问题归结为设备/用户身份认证，提出了多因子统一认证架构和基于“内生特征”的证书规范化生成及管理模板，发明了基于物性特征的设备认证方法和基于生物特征的用户认证方法，主导制定了ITU-T X.1089(我国首次主导制定的生物认证领域的ITU标准)和ONVIF安全视频监控标准，实现了大规模设备/用户的动态自适应跨域身份认证，提升了关键信息基础设施安全保护能力。

2、将海量关键数据的机密性问题归结为高并发密码服务下的数据分级保护和密文操作，提出了大规模复杂系统数据加密参考结构和“服务状态跨层跟随”的密码服务计算架构，发明了自适应可定制的细粒度数据分级加密操作方法和密码芯片级的多算法/多密钥/多数据流随机交叉加解密方法，研发了“秦盾”云加密数据库系统(QinCloudDB)，研制了面向云计算的高性能综合密码服务系统(SJJ1405)，实现了密码按需服务，提升了国家关键数据资源保护能力。

3、将跨域信息共享的可控性问题归结为数据跨域验证和内容过滤清洗，提出了多域信息共享的管控框架和分布式签名/集中式验证的追溯机制，发明了基于深度学习的内容过滤清洗方法、多算法随机批量数字签名验签方法和跨域信息安全共享方法，主导制定了国际标准2项(ITU-T X.1240、ITU-T X.1243)和IEEE标准1项(IEEE P2413)，研制的高性能签名验签服务器，研发了USG内容管控网关，实现了信息受控共享，有效保证了信息的共享与受控使用。

该项目授权技术发明专利40项，其中美国技术发明专利4项、欧洲技术发明专利5项、中国技术发明专利26项、国际PCT专利5项，形成专利池；研发了下一代内容过滤网关、安全视频监控系统、云加密数据库系统、高性能密码服务系统等，登记软件著作权9件；主导制定了ITU-T标准3项，ONVIF标准1项，IEEE标准1项，引领了技术的发展；发表学术论文100多篇，其中SCI检索80余篇，累计他引4000余次，出版专著4部。该项目的研究成果已经得到转化，多项技术已被华为技术有限公司等采用，社会经济效益显著。

该项目的相关成果分别获高等学校科学研究优秀成果一等奖、中国电子学会科学技术成果一等奖、中国通信学会科学技术成果一等奖、第十八届中国科协年会全国科技工作者创新创业大赛金奖(16/1800+)以及最佳商业投资价值奖(2/1800+)、全国发明博览会暨世界发明创新论坛金奖等。

客观评价：

该项目在大规模复杂系统信息安全方面取得了一批具有自主知识产权的研究成果，授权技术发明专利40项，包括美国技术发明专利4项、欧洲技术发明专利5项、国际PCT专利5项，技术发明得到国际认可。从成果获奖、标准制定、学术成果评价、系统应用和成果鉴定等方面阐述第三方评价。

1. 相关成果的获奖

该项目的前期研究成果获得了2013年高等学校科学研究优秀成果一等奖、2014年中国电子学会科学技术一等奖、2014年中国通信学会科学技术一等奖。

研发的秦盾云加密数据库系统获2016年中国科协年会全国科技工作者创新创业大赛金奖以及最佳商业投资价值奖和2017年全国发明博览会暨世界发明创新论坛发明创业金奖。

2. 标准制定

基于该项目的研究成果，主导制定了国际ITU标准3项(ITU-T X.1089、ITU-T X.1240、ITU-T X.1243)，ONVIF标准1项，IEEE标准1项。

3. 主要学术评价

在ACM、IEEE、中国科学等期刊和会议上发表论文100多篇，其中SCI检索80余篇，累计他引4000余次，出版专著4部，相关研究引起学术界的关注。

1) 美国北卡来罗纳大学(University of North Carolina)网络安全团队将该项目设计的身份认证协议作为5类主要的匿名认证协议之一，其已经成为一种基础协议。

2) 美国辛辛那提大学(University of Cincinnati)的网络安全团队认为该项目提出的身份认证方法能够对大规模复杂系统数据源的真实性进行有效验证。

3) 加拿大滑铁卢大学(University of Waterloo)的网络安全团队认为该项目提出的基于生物特征的认证协议，在保证前向保密性的前提下，能够对安全性和资源消耗进行灵活的控制。

4) 澳大利亚卧龙岗大学(University of Wollongong)的网络安全团队认为该项目首次提出了保护身份隐私的共享数据完整性公开验证方案，具有可扩展性，支持批量验证。

4. 产品及用户评价

该研究成果实用性强，研制的USG系列内容过滤网关和三款高性能密码设备得到了推广应用，对复杂信息系统安全体系建设具有重要意义。

1) USG内容过滤网关：相比于CISCO、Checkpoint、天融信等同类产品，该产品实现了更精准的访问控制、更简单的策略管理、更全面的安全防护、更快速的性能体验。《网络世界》分析报告指出，该产品综合性能第一。该产品的中国市场占有率第一，该产品已销售到10多个国家。

2) “秦盾”云加密数据库系统(QinCloudDB)：具有高效性，支持大规模的并发操作，百万条记录的数据库执行增、删、改、查等操作时间小于100ms，响应时间差仅在15-80ms，优于CryptDB等国内外现有系统。

3) 面向云计算的高性能综合密码服务系统(SJJ1405)、高性能签名验签服务器(SRJ1310)：同类产品测评中综合性能排名第一。

5. 成果鉴定

该项目的相关成果通过了教育部组织的鉴定，鉴定委员会认为：“支持百亿量级的在线并发业务数据处理方法、支持多算法/多密钥/多数据流随机交叉加解密方法等关键技术处于国际领先水平”。

推广应用情况：

该项目研发的“秦盾”云加密数据库系统获得了1亿元的融资，相关研究成果应用于华为技术有限公司、宇龙计算机通信科技(深圳)有限公司、哈尔滨朗威电子技术开发有限公司、山东得安信息技术有限公司、无锡紫光存储系统有限公司、贵州智源信息产业孵化基地有限公司等相关产品，产生了显著的经济与社会效益。

主要知识产权证明目录：

1. System and method for security authentication using biometric authentication technique，美国发明专利，US8539249B2
2. System and method for biometric authentication，欧洲发明专利，EP1777640B1
3. 物联网网络系统及数据处理方法，中国发明专利，ZL201110002064.1
4. 可信平台模块TPM的体系系统及其提供服务的方法，中国发明专利，ZL200710199230.5
5. 一种保证移动通信系统数据业务安全的方法及系统，中国发明专利，ZL200410103467
6. 一种支持并行运行算法的数据处理方法及装置，中国发明专利，ZL201310389237.9
7. ITU-T X.1089，Telebiometrics Authentication Infrastructure (TAI)
8. IEEE P2413，Standard for An Architectural Framework for the Internet of Things (IoT)
9. ITU-T X.1240，Supplement on overall aspects of countering mobile messaging spam
10. ITU-T X.1243，Interactive gateway system for countering spam

主要完成人情况：

马建峰，排名第1，实验室主任，教授，工作单位：西安电子科技大学，完成单位：西安电子科技大学，是该项目的主要负责人，对发明点1，2，3均具有重要贡献，具体提出了大规模复杂系统信息安全保护框架，发明了基于生物特征的用户认证方法，设计了基于生物特征的远程用户认证协议；提出了云数据加密参考结构，研发了秦盾云加密数据库系统等。

李凤华，排名第2，研究员，工作单位：中国科学院信息工程研究所，完成单位：中国科学院信息工程研究所，是该项目的主要负责人，对发明点1，2均具有重要贡献，具体提出了“服务状态跨层跟随”的高性能密码服务计算架构，发明了多算法/多密钥/多数据流随机交叉加解密方法和高并发的数据安全处理方法；研制了相应的密码服务系统。

郑志彬，排名第3，教授级高工，工作单位：华为技术有限公司，完成单位：华为技术有限公司，是该项目的主要负责人，对发明点1，3均具有重要贡献，具体提出了基于“内生特征”的证书规范化生成及管理方式，设计了一系列的远程认证协议，发明了面向应用的异构数据分类清洗方法，研制了USG内容过滤网关。

吴  昊，排名第4，教授，工作单位：北京交通大学，完成单位：北京交通大学，是该项目的主要负责人，对发明点1，3均具有重要贡献，提出了基于物性特征的设备认证方法，设计了基于物性特征的设备远程认证协议，发明了面向应用的异构数据分类清洗方法。

沈玉龙，排名第5，教授，工作单位：西安电子科技大学，完成单位：西安电子科技大学，是该项目的主要负责人，对发明点1，2均具有重要贡献，提出了基于“内生特征”的证书规范化生成及管理方式，设计了基于内生特征的远程设备/用户认证协议，研制了物联网安全网关。

翁  健，排名第6，教授，工作单位：暨南大学，完成单位：暨南大学，是该项目的主要负责人，对发明点2，3具有重要贡献，发明了自适应可定制的细粒度数据分级加密操作方法，实现了密文数据的存储与操作，研发了秦盾云加密数据库系统。

完成人合作关系说明：

该项目历时十余年，主要完成人包括西安电子科技大学马建峰、沈玉龙，中国科学院信息工程研究所李凤华，华为技术有限公司郑志彬，北京交通大学吴昊和暨南大学翁健。完成人在本项目中的合作关系如下：

1、主要完成人马建峰、李凤华、郑志彬、吴昊、沈玉龙在网络与信息安全领域共同交叉承担了多项国家级科研项目，合作完成了本项目的发明一；

2、主要完成人马建峰、李凤华、沈玉龙、翁健在网络与信息安全领域共同交叉承担了多项国家级科研项目，合作完成了本项目的发明二；

3、主要完成人马建峰、郑志彬、吴昊、翁健在网络与信息安全领域共同交叉承担了多项国家级科研项目，合作完成了本项目的发明三；

4、主要完成人马建峰、李凤华、沈玉龙是师生关系，与郑志彬，吴昊、翁健是长期合作关系，共同致力于大规模复杂系统信息安全的研究，并取得了本项目的研究成果。