根據《國務院關于改進加強中央財政科研項目和資金管理的若干意見》（國發[2014]11號）、《國務院關于深化中央財政科技計劃（專項、基金等）管理改革方案的通知》（國發[2014]64號）、《科技部 財政部關于改革過渡期國家重點研發計劃組織管理有關事項的通知》（國科發資[2015]423號）等文件要求，現將國家重點研發計劃高新領域12個重點專項2017年度項目申報指南建議（見附件）向社會征求意見。征求意見時間為2016年8月16日至2016年8月20日。

　　國家重點研發計劃相關重點專項的凝練布局和任務部署已經戰略咨詢與綜合評審特邀委員會咨詢評議，國家科技計劃管理部際聯席會議研究審議，并報國務院批準。本次征求意見重點針對各專項指南方向提出的目標指標和相關內容的合理性、科學性、先進性等方面聽取各方意見?？萍疾繉嘘P部門、專業機構和專家，認真研究收到的意見，修改完善相關重點專項的項目申報指南。征集到的意見將不再反饋和回復。

　　電子郵件：

　　重點專項名稱

　　聯系方式（電子郵件）

　　煤炭清潔高效利用和新型節能技術

　　wangch@most.cn

　　智能電網技術與裝備

　　新能源汽車

　　gxs_jtc@most.cn

　　先進軌道交通

　　云計算和大數據

　　gxs_xxc@most.cn

　　高性能計算

　　網絡空間安全

　　地球觀測與導航

　　增材制造與激光制造

　　gxs_zdhc@most.cn

　　材料基因工程關鍵技術與支撐平臺

　　gxs_clc@most.cn

　　重點基礎材料技術提升與產業化

　　戰略性先進電子材料

　　科技部高新司

　　2016年8月15日

“網絡空間安全”重點專項

2017年度項目申報指南建議

　　為落實《國家中長期科學和技術發展規劃綱要(2006—2020年)》提出的任務，國家重點研發計劃啟動實施“網絡空間安全”重點專項。根據本重點專項實施方案的部署，現提出2017年度項目申報指南建議。

　　本重點專項總體目標是：聚焦網絡安全緊迫技術需求和重大科學問題，堅持開放發展，著力突破網絡空間安全基礎理論和關鍵技術，研發一批關鍵技術裝備和系統，逐步推動建立起與國際同步，適應我國網絡空間發展的、自主的網絡空間安全保護技術體系、網絡空間安全治理技術體系和網絡空間測評分析技術體系。

　　本重點專項按照網絡與系統安全防護技術研究、開放融合環境下的數據安全保護理論與關鍵技術研究、大規模異構網絡空間中的可信管理關鍵技術研究、網絡空間虛擬資產保護創新方法與關鍵技術研究、網絡空間測評分析技術研究等5個創新鏈(技術方向)，共部署47個重點研究任務。專項實施周期為5年（2016—2020）。

　　1.網絡與系統安全防護技術研究方向

　　1.1網絡與系統安全體系架構研究（基礎前沿類）

　　研究內容：針對網絡大規模更新換代所面臨的安全可信和管理問題，面向開放和互通的國家網絡管理，研究網絡和系統安全體系結構，重點研究以IPv6網絡層的真實可信為基礎的網絡安全管理體系結構、關鍵機制和關鍵應用。針對未來多層次、動態、異構、差異度巨大的無線接入環境，研究新型無線網絡安全接入管理機制。針對國際上新型網絡與系統體系結構的發展，如軟件定義網絡和系統、網絡功能虛擬化、命名數據網絡和系統等，對其安全問題和安全機制進行前沿探索研究。

　　考核指標：提出IPv6網絡安全管理體系結構中的信任錨點、真實可信的網絡定位符和標識符機制，并制定國際標準；基于上述安全可信基礎，提出兼顧國際開放互通與國家安全管理的IPv6網絡安全體系結構，通過安全威脅模型檢驗該體系結構的安全性。提出IPv6安全管理體系結構下的關鍵機制，至少包括：兼顧用戶隱私性、可驗證性和可還原性的可信標識符認證、管理、追溯與審計機制，分級管理機制，網絡監控和靈活路由機制等。完成一套IPv6安全管理體系結構、關鍵機制和關鍵應用的軟硬件原型系統。基于國際學術網絡合作、國內主干網、園區網（校園網或企業網），對上述原理機制和原型系統進行跨國、自治系統間、自治系統內、接入子網等多層次網絡的試驗驗證。提出新型無線網絡安全接入管理機制，研究適用在多維、異構的無線有線一體化融合網絡中的信任錨點、真實可信的網絡定位符和標識符機制，實現上述一體化融合網絡的網絡層真實可信；支持軟件定義無線電,支持最新IEEE 802.11ac或802.11ax等新型無線接入技術；支持移動終端在至少2種無線網絡間的安全接入選擇、可信透明移動。提出SDN/NFV等新型組網技術和NDN等未來互聯網體系下的安全可信問題的解決方案，提出并解決能夠支持SDN/NFV和未來網絡體系結構的可編程網絡基礎設施的安全問題，提出相關計算系統中的安全可信問題解決方法。完成安全體系結構相關國際標準3項以上，并獲國際標準組織（IETF、ITU、IEEE等）立項或批準；申請國家發明專利15項以上。原理機制和原型系統需通過一定規模的真實網絡試驗驗證，至少包括 10個關鍵應用、10萬IPv6用戶。

　　1.2 面向互聯網+的云服務系統安全防護技術（重大共性關鍵技術類）

　　研究內容：針對體系架構、關鍵技術、防護系統研制等方面開展云服務系統縱深安全防護技術研究。重點研究可定義、可重構、可演進的云服務安全防護體系架構；研究分析用戶和業務安全等級差異，實現高效靈活的安全服務鏈和安全策略按需定制；研究專有安全設備硬件解耦技術，實現安全資源彈性擴展與按需部署；研究云數據中心內生安全機理，突破軟件定義動態異構冗余、主動變遷等關鍵技術，實現對未知漏洞和后門威脅的主動防御；實現云環境虛擬密碼服務模型構建，密碼服務資源動態調度，密碼資源安全遷移及防護等關鍵技術；研究虛擬資源主動防御技術，降低側信道攻擊的風險；研究云數據中心的安全態勢感知與動態重構決策機理，實現對安全威脅的主動與縱深防御。

　　考核指標：建立新型云服務安全架構體系，給出適用于互聯網和電信業務的安全解決方案，研制安全防護系統一套，要求：研制高性能、高可靠性的虛擬安全設備和中間件，在資源占用不超過4個物理CPU硬件線程的條件下，虛擬防火墻設備轉發性能達到30Gbps，虛擬VPN網關加密性能達到2Gpbs，處理時延小于100us，系統可靠性級別達到5個9；研制安全服務編排系統，支持業務無損彈性擴展，支持親和部署與最短路徑優化。研制云安全管理系統一套，要求：提供互聯網和電信業務的IaaS和PaaS統一安全管控，支持跨數據中心和多域管理，提供安全服務開發與維護平臺。給出分布式網絡控制器集群間的安全機制和南/北向安全機制等關鍵問題解決方案，研制抗攻擊的SDN網絡大規模集群原型系統一套，網絡節點大于10萬，租戶數大于6萬。研制具有動態異構冗余、主動變遷等內生安全特性的用戶服務系統一套，構建不少于5種典型攻擊測試樣例，搭建驗證平臺對控制器劫持、篡改和致癱等安全威脅開展驗證，在對外服務不間斷條件下，性能降低不大于10%，在政務、電信、金融或教育等典型云服務業務中應用，用戶不少于6萬。建立云服務環境下的密碼服務體系，實現密碼服務系統模型構建、密碼服務資源調度、敏感資源安全防護等關鍵技術，構建云密碼服務原型平臺三種典型應用場景，驗證云服務中的安全增益的有效性，密碼應用安全方案通過國家密碼主管部門的評審。申請國家發明專利20項以上；提交國際標準化草案不少于3項，至少1項獲國際標準組織（IETF、ITU、IEEE等）立項或批準。

　　1.3新形勢下網絡基礎設施防護技術（重大共性關鍵技術類）

　　研究內容：針對網絡空間國際競爭激烈、新型網絡體系結構及和應用模式不斷涌現、IPv6協議及其應用逐漸普及、網絡帶寬迅速增長等問題，研究國家網絡基礎設施面臨的安全威脅和關鍵的安全防護技術。主要針對主干網和數據中心等的路由和交換系統、域名服務系統以及網絡基礎平臺的安全監測系統，研究基礎設施各相關系統面臨的未知威脅或新的攻擊，針對這些風險研究新的體系結構和協議、關鍵的防范技術和安全監測措施，研制原型樣機和系統，建立大規模的試驗床進行驗證并開展應用示范。

　　考核指標：針對路由或交換系統、域名系統以及相關基礎服務或基礎協議，發現當前未知的安全風險或潛在的攻擊，分析其破壞性并提出應對措施。針對已知或潛在的威脅，提出新的并與現有系統兼容的路由安全或交換安全機制，研發支持相應安全功能的新型安全路由器或交換機系統原型樣機、路由安全監測系統，能夠基于全球路由數據監測中國路由系統的安全狀態，并完成驗證，系統樣機應通過國家相關檢測部門的測評。針對已知或潛在的威脅，提出新的域名安全技術體系結構、關鍵技術和協議，能夠防范已知和潛在的攻擊，兼容現有相關國際標準。域名相關技術和協議支持在現有域名系統上部署，并具有更強的魯棒性。研發支持上述各種安全功能的新型域名服務系統，單機處理能力不低于10萬QPS并支持分布式部署，域名監測系統能夠基于全球2萬以上監測點評估中國域名系統的安全狀態，并完成驗證。建立網絡基礎設施安全防護試驗床，支持對新的安全路由或交換機制、新的域名系統及安全監測技術的驗證，支持對路由劫持、路由泄露、域名劫持等至少5種攻防場景的防護效果評估。試驗床支持IPv4/IPv6、覆蓋全國不同運營商至少5個節點。提交國際標準草案不少于5項，至少1項獲國際標準組織（IETF、ITU、IEEE等）立項或批準；申請國家發明專利20項以上。

　　1.4高安全等級移動終端關鍵技術（重大共性關鍵技術類）

　　研究內容：面向高安全需求場景，研究高等級終端安全防護關鍵技術，為政務等敏感領域的移動應用推廣提供技術支撐。主要研究內容包括：研究終端核心功能的高可靠安全保護技術，抵御操作系統內核級的潛在安全威脅，在終端操作系統受損的情況下，確保終端核心功能安全運行；研究終端管控策略可信實施技術，支持終端系統的高可信管控系統實現，管控實施技術能夠抵御操作系統內核級的繞過、欺騙和劫持等管控對抗行為；實現基于場景識別的可信智能終端的統一管控，研究可信智能終端精確選通和智能干擾阻斷技術，確保可信智能終端的接入可控、業務可管；研究國產密碼的高安全終端密碼模塊實現技術，實現密碼算法的運行過程安全保護和密鑰保護、抵御內核級的潛在威脅，在確保密碼模塊安全性的同時兼具可擴展性；研究終端可信用戶交互技術和可信路徑；研究終端可信審計技術，實現終端系統安全事件的可信記錄，能夠對終端系統進行動態完整性度量。

　　考核指標：研制至少1款產品樣機，CPU等主要部件應采用我國自主研發的產品，完成兼容現有操作系統和應用級的安全增強技術，支持利用指紋或虹膜或聲紋等生物特征的系統安全增強；與現有主流智能手機相比性能下降不大于10%，90%以上現有主流智能終端應用能直接安裝使用，并實現1000臺規模的試點應用；安全控制核心代碼量不大于1000行；系統信任根可控、保護鏈完整，附加安全核心功能至少支持加密通話和加密短信。在硬件可控和核心控制代碼可信的前提下，完成整體系統安全證明，并經第三方驗證。終端應提供專門的可信狀態指示器，實現終端用戶與終端安全功能的可信交互，確保安全功能與用戶之間的交互數據可以準確向用戶展示，不被劫持、篡改。完成高可信的終端集中管控策略實施技術，完成相關管控接口研發，通過該接口可以抵御內核級管控對抗，接口兼容相關國際標準；研制1套可信智能終端安全管控原型系統，具備終端檢測、選通、阻斷和警告功能，能防御非認證設備的偽造和重播攻擊。在手機操作系統不可信的情況下，管控中心發送的管控指令能被正確執行。實現對國產密碼算法的支持，密碼應用安全方案應通過國家密碼主管部門評審。申請國家發明專利20項以上。

　　2.開放融合環境下的數據安全保護理論與關鍵技術研究

　　2.1新型數據保護密碼算法研究（基礎前沿類）

　　研究內容：針對移動互聯、云計算、大數據、物聯網等多元化需求，以及量子攻擊、白盒攻擊、側信道攻擊等，開展新型密碼理論和算法研究。研究新型環境下數據安全密碼理論基礎，重點研究新型的模塊化設計理論和自動化分析理論，新型的計算復雜度分析理論和形式化驗證理論；研究多方參與的數據安全計算關鍵密碼理論，重點研究同態加密、多方認證加密、混淆密碼等；研究非可信和資源受限環境下數據安全存儲關鍵密碼算法，重點研究屬性加密、收斂加密、代理加密、高效可搜索加密、數據庫加密等；研究隨機數、密鑰等密碼資源受到攻擊情形下的強安全數據保護密碼算法，以保證灰盒攻擊、白盒攻擊、后門攻擊等多元化攻擊環境下的數據安全；研究抗量子密碼算法設計理論，重點研究抗量子困難問題復雜度分析、抗量子密碼算法設計理論，以滿足量子計算攻擊情形下的數據安全需求。

　　考核指標：提出數據保護密碼算法模塊化設計和自動化分析的新方法。設計多方參與的數據安全計算關鍵密碼算法和無噪音的同態密碼算法，并完成實驗驗證。設計非可信和資源受限環境下數據安全存儲關鍵密碼算法、支持多關鍵詞和邏輯條件的密文搜索、動態密文更新的數據庫外包加密，并完成實驗驗證。提出在密碼資源受到攻擊情況下的保證密碼算法安全的設計理論和技術，設計實用化的強安全密碼算法。提出抗量子計算的密碼算法并給出其量子計算復雜度分析，并完成實驗驗證。申請國家發明專利20項以上；完成國家或行業標準草案不少于2項，至少1項獲得國家或行業標準主管部門立項或批準。

　　2.2基于國產密碼算法的移動互聯網密碼服務支撐基礎設施關鍵技術（重大共性關鍵技術類）

　　研究內容：針對移動互聯網的用戶動態性、網絡開放性以及終端設備能源、物理防護的局限性，研究密碼服務支撐基礎設施的服務模型和體系架構；研究面向移動互聯網的密鑰管理與服務關鍵技術，重點研究在網絡不可信條件下的密鑰全生命周期安全管理與服務解決方案；研究移動互聯網電子認證服務技術，重點研究移動互聯環境下的用戶身份鑒別服務與受控使用支持技術，零延遲信任撤銷技術；研究移動終端的密碼計算關鍵技術，研發高安全的密碼軟件棧，研究方便易用的組件架構和應用開發框架；研究移動互聯網環境下的密碼云服務技術，包括代理驗證服務技術，時間戳服務技術，隨機數服務技術和代理加解密技術；研究移動終端軟件生態體系安全關鍵技術，包括移動APP管理密碼支撐關鍵技術，移動APP版權保護技術，移動APP代碼模塊追蹤溯源技術，移動APP代碼認證簽名技術；構建移動互聯網密碼服務示范應用，面向新型移動支付和企業移動終端安全管控需求，推進相關標準和規范的制定。

　　考核指標：完成密鑰管理與服務原型系統，支持網絡不可信環境下的密鑰生成、分發、使用、撤銷與恢復；支持的移動終端數達到億級，十萬用戶并發訪問的非對稱密鑰使用服務延遲不大于1秒，協作式非對稱密鑰生成服務延遲不大于1秒；密鑰管理與服務方案至少在半誠實模型下是可證安全的。完成移動互聯網電子認證服務原型系統，實現基于行為的、多級可信的證書簽發；提供統一的在線身份鑒別服務，支持零延時的證書撤銷；支持的移動終端數達到億級規模，證書簽發速度不小于1萬張/秒，支持多種證書策略；系統應符合國家密碼行業相關標準，并兼容FIDO、SAML、OpenID、OAuth等國際標準。完成高安全移動終端密碼軟件棧，支持10款以上主流智能終端，對稱密碼算法計算效率不低于50Mbps，數字簽名算法計算效率不低于100次/秒；能夠為智能終端管控提供安全支撐，原型系統應當包括關鍵硬件資源和敏感數據的細粒度訪問控制。完成代理驗證服務原型系統，支持APP的證書路徑代理構造與驗證，可支持HTML5，支持XML格式交互，證書路徑代理驗證不大于1秒；完成面向移動終端的時間戳服務原型系統開發，支持150萬次/秒的時間戳服務；完成真隨機數服務原型系統開發，支持非完美移動終端密碼計算的隨機數需求，支持150萬臺次/秒的移動終端數字簽名；完成代理加解密服務原型系統，支持移動終端與云端協作的數據加解密，對稱算法加解密速率達到50Gb/秒，支持代理重加密，加密速度30Gb/秒。完成移動APP版權保護服務系統原型及配套工具，支持移動APP代碼認證簽名，移動APP代碼模塊追蹤溯源，移動APP安全驗證。構建移動互聯網密碼服務示范應用，面向新型移動支付和企業移動終端安全管控需求，推進相關標準和規范的制定，發放行業應用相關移動數字證書不少于2億張。所有系統均支持國產密碼算法，密碼應用安全方案通過國家密碼主管部門的評審；申請國家發明專利25項以上；獲得商用密碼產品型號不少于4項；完成國家或行業標準草案不少于3項，至少1項獲得國家或行業標準主管部門立項或批準。

　　2.3互聯網下的隱私保護與取證技術（重大共性關鍵技術類）

　　研究內容：主要研究數據來源隱私保護技術，包括用戶時空及移動軌跡的匿名化技術，基于啟發式隱私度量的位置大數據隱私保護技術，基于概率推測的位置大數據隱私保護技術；研究數據發布隱私保護技術，包括數據擾動和泛化的方法， K匿名化和l多樣性的方法，分布式隱私數據保護方法，數據差分隱私保護方法；研究數據計算隱私保護技術，包括支持數據關聯分析的數據加密技術，支持數據多功能檢索的可搜索加密技術，支持數據匿名化統計的數據加密技術；研究面向云計算的數字取證技術，包括虛擬機取證技術，面向取證的虛擬機遷移技術，虛擬身份追蹤與取證技術；研究面向大數據的數字取證技術，包括基于Hadoop框架的大數據集群化分析技術，分布式取證分析技術，內容抽樣技術；研究數據保護相關標準，包括數據安全生命周期隱私保護，含數據來源隱私保護、數據發布隱私保護和數據計算等隱私保護要求，研究大數據脫敏指南標準，研究數據分類分級安全指南標準。

　　考核指標：提出互聯網環境下隱私保護理論模型，提出隱私分類分級方法、隱私保護與取證需求，并與現行法律實現有效銜接。提出互聯網環境下數據來源隱私保護技術方案，并完成技術驗證原型系統開發，至少實現用戶行為軌跡的匿名化和大數據環境下的用戶位置信息保護等2種隱私保護功能。提出互聯網環境下的數據發布隱私保護技術方案，并完成驗證原型系統開發，至少實現4種不同的數據發布隱私保護技術驗證。提出互聯網環境下的數據計算隱私保護技術方案，并完成驗證原型系統開發，至少實現數據關聯分析、檢索、和統計等3種操作過程中的用戶隱私保護功能。提出面向云計算和大數據環境中的取證技術方案，并完成驗證原型系統開發，至少實現面向虛擬機遷移、Hadoop等計算過程中的隱私侵犯取證技術驗證。申請國家發明專利10項以上；完成國家或行業標準草案不少于5項，至少2項獲得國家或行業標準主管部門立項或批準。

　　3.大規模異構網絡空間中的可信管理關鍵技術研究

　　3.1異構身份聯盟與監管基礎科學問題研究（基礎前沿類）

　　研究內容：針對網絡空間中多樣性網絡實體的統一管理需求，研究適應多種環境的異構實體身份標識技術，防止身份信息的泄漏；針對現有身份管理技術不能支撐全面信息化環境下多形態和多域的身份安全管理的問題，研究以用戶為中心的身份管理服務模式以及多形態、多域的聯合身份管理技術，建立異構環境下身份聯盟模型，以保證用戶身份的真實性、完整性、匿名性和可追溯性；研究多維度身份認證方法，以解決單一身份認證存在的復制和假冒問題，形成多種身份標示同在場景下的權限管理和信任管理機制，構建涵蓋信任評估、信任協商等的身份動態互信任體系；針對用戶身份或屬性的可信度判定問題，研究適應不同場景的網絡身份與屬性的可信程度評價模型，實現安全屬性證明及發布機制；研究異構環境中用戶身份隱私保護技術，建立身份聯盟行為管控模型，提出不同聯盟之間用戶身份資源隱私共享方法，降低用戶身份信息被濫用誤用的風險；研究基于網絡實體身份管理的網絡行為分析與監控理論，建立多態網絡行為關聯分析模型，研究多身份融合識別技術、行為分析技術、審計追蹤技術等。

　　考核指標：建立以用戶為中心的面向異構網絡實體身份聯盟管理模型，提出多維度身份認證技術和多形態、多域的聯合身份管理技術體系。建立普適性的網絡實體身份標識方法，提出多類網絡實體身份全生命周期管理體系。建立跨域動態權限管理模型，構建多種身份標示并存的信任管理機制，提出涵蓋信任評估、信任協商等的身份動態互信任體系。建立適應不同場景的網絡身份與屬性的可信程度評價模型，提出多源多維度的網絡身份與屬性可信評價方法，并構建綜合管理框架。建立具有用戶隱私保護功能的身份聯盟行為管控模型，提出聯盟成員之間用戶身份資源隱私共享方法。提出基于網絡實體身份管理的網絡行為分析與監控理論體系，支持多身份融合識別、身份管理、行為分析審計等。申請國家發明專利15項以上。

　　3.2基于國產密碼算法的服務認證與證明關鍵技術（重大共性關鍵技術類）

　　研究內容：針對當前網絡空間中由于信息服務眾多，信息服務管理和驗證機制缺乏，信息服務行為監管和行為可追溯能力差等現狀，研究基于國產密碼算法的信息服務可信管理、實體驗證、可信證明、行為監管及追溯等技術體系和標準，從體系結構層面提升信息服務的可管理性、可鑒別性、可證明性、可追溯性。主要研究內容包括：信息服務的安全分級分類機制、標識機制、測評標準、評估體系、證明機制；信息服務身份管理及驗證技術體系，信息服務實體化管理體系，服務聯盟體系；服務可信及功能完整性證明協議、信息源可信追溯技術、信息服務責任分析及可信判定技術；信息服務可信管理平臺研制，基于國產密碼算法完成平臺系統開發和部署，制定并發布基于相關標準和接口，并基于分類軟件可信管理模型對上線運行的信息系統和服務實施可信管理和認證，具備對其功能完整性實施證明，對其安全行為實施可信追溯和責任認定能力。

　　考核指標：建立信息服務安全及可信管理模型，提出相關機制原理、安全度量方法，證明協議、形成技術規范。提出信息服務的安全分級分類方法和可信標識機制，形成信息服務安全分級分類評估標準，實現信息服務安全分級分類評估原型系統開發，具備自動化的信息服務安全分級分類，分類結果的標準符合度不低于95%。形成支撐信息服務實體認證與功能及行為證明的核心技術標準體系；制定包括信息服務實體化可信身份管理與服務聯盟、可信標識及驗證、功能及行為完整性證明、可信追溯及責任判定、數據格式及接口等標準文件。提出服務可信及功能完整性證明技術方案，至少能夠針對云存儲服務和虛擬主機租用服務，完成服務屬性證明，包括物理位置、完整性、機密性等屬性，并完成原型系統。研制信息服務可信管理平臺，基于國產密碼算法，采用開放技術完成平臺研制并部署，能對信息服務和系統實施可信標識，實現信息服務可信身份驗證和功能及行為完整性證明，支持對信息服務實施可信追溯和責任判定。密碼應用安全方案通過國家密碼主管部門評審。申請國家發明專利10項以上；完成國家或行業標準草案不少于5項，至少2項獲得國家或行業標準主管部門立項或批準。

　　4. 網絡空間虛擬資產保護創新方法與關鍵技術研究

　　4.1電子貨幣新算法與新原理研究（基礎前沿類）

　　研究內容：針對電子貨幣的發行需求和安全挑戰，重點研究基于密碼理論的無中心和多中心的電子貨幣新算法與新原理。研究電子貨幣的基礎構造理論，以及算法和協議的可證明安全模型；研究無中心的電子貨幣新算法，包括電子貨幣共識機制、電子貨幣高效和匿名流通支付模型等；研究多中心的電子貨幣新算法，包括電子貨幣安全的分級發行方法、電子貨幣流通的授權可追蹤方法與認證方法等；研究電子貨幣安全賬本模型，包括可防偽可驗證的加密賬本原理等；研究電子貨幣安全分析模型，包括電子貨幣算法攻擊分析和防護方法、安全能力測試和評估機制、業務風險分析及安全監管機制等。

　　考核指標：提出基于密碼理論的可證明安全的電子貨幣新算法，至少包括無中心和多中心的兩類貨幣算法。無中心電子貨幣算法在億級用戶規模下全網賬本同步時間小于10分鐘，多中心電子貨幣算法至少支持2種發行模式。提出電子貨幣安全賬本模型，實現電子賬戶密鑰泄露的實時追蹤和撤銷算法。實現無中心和多中心的電子貨幣原型驗證系統。

　　無中心和多中心的電子貨幣算法至少各有一種通過國家密碼主管部門的評審。申請國家發明專利10項以上。

　　4.2互聯網+環境中基于國產算法的多媒體版權保護與監管關鍵技術（重大共性關鍵技術類）

　　研究內容：以推進基于國產密碼算法的應用，落實中央四號文為目標。面向互聯網+環境中媒體融合及4K超高清內容運營對多媒體版權保護與監管的新需求，頂層設計互聯網+環境中基于國產密碼算法的多媒體版權保護與監管總體方案；研究支持國產密碼算法的新一代多媒體版權保護與監管技術，重點研究突破應用國產密碼算法的新一代內容加密與授權技術體系、基于硬件安全的智能終端版權保護技術、融合媒體多終端統一安全認證技術以及融合媒體版權監管技術等共性關鍵支撐技術；研發支持國產密碼的新一代融合媒體內容版權保護與監管系統關鍵裝備，集成建立支持國產密碼的融合媒體版權保護服務平臺；制定國產密碼在數字媒體內容版權保護領域應用的技術要求與測試規范，研究建立支持國產密碼的融合媒體版權保護產品與系統測試評估平臺；選擇至少2個互聯網電視集成播控機構開展基于國產密碼算法的數字媒體內容版權保護技術試點示范，全面提升國產密碼對我國數字媒體內容版權保護的支撐保障能力，形成國產密碼與數字媒體內容版權保護協同發展的格局，保障數字媒體內容版權保護核心密碼應用技術的自主安全可控。

　　考核指標：研發基于國產密碼算法的新一代數字媒體內容版權保護系統關鍵裝備，包括支持基于國密算法的4K超高清內容多碼率實時加密系統、分布式內容授權系統。研發支持國產密碼算法的智能電視終端芯片與原型設備，支持基于國產密碼算法的智能終端硬件信任根、基于硬件安全的安全啟動與升級防回滾，以及基于硬件安全的內容解密、解碼、緩存、播放與安全輸出。集成研發基于國產密碼算法的互聯網電視數字版權保護服務平臺，支持4K超高清內容的分布式實時加密、多類型終端分布式實時授權等版權授權服務，支持版權追蹤溯源與實時監測服務，其中版權授權服務響應時間小于5秒。研發建立數字媒體內容版權保護關鍵裝備與系統測試評估平臺，支持對應用國產密碼算法的新一代數字媒體內容版權保護系統、終端以及芯片等的安全評估與測試。選擇至少2個互聯網電視集成播控機構開展不少于10萬用戶的基于國產密碼算法的數字媒體內容版權保護技術試點示范，驗證系統有效性。申請國家發明專利5項以上；完成國家或行業標準草案不少于4項，至少3項獲得國家或行業標準主管部門立項或批準。

　　4.3安全支付及其運行監管的關鍵技術（重大共性關鍵技術類）

　　研究內容：探索安全電子支付的新模式新方法，在此基礎上研究基于國產密碼算法電子支付安全保障體系架構，重點關注移動支付中的安全需求和安全機制；研究基于國產密碼的安全支付共性關鍵技術，包括支付服務密碼基礎設施、支付終端密碼支持技術、密鑰全生命周期統一管理、安全支付協議等；研究基于國產密碼的安全支付公共系統核心技術，包括支付服務技術架構、支付服務接入金融系統的安全機制、支付數據通信安全機制、支付終端應用安全保護機制等；研究安全支付管理與行業監管關鍵技術，包括支付風險控制、支付過程追溯、支付系統審計與取證、系統安全性評估及系統攻擊監測溯源等關鍵技術。

　　考核指標：提出安全電子支付體系架構研究報告、電子支付國產密碼應用研究報告、安全支付監管技術體系及評估方法研究報告各1份。編制安全支付協議規范、密碼應用技術要求等國家或行業的配套標準（草案），不少于2份。研發電子支付國產密碼服務原型系統，支持的用戶數量不小于5億，帶數字簽名的交易支付能力達到10萬次/秒。研發基于國產密碼的安全電子支付服務原型系統，安全電子支付終端應用，構建安全電子支付服務實驗體系，并在至少2家電子支付服務機構投入試運行，至少與10家以上商業銀行無縫連接，電子支付年發生筆數不小于2億筆。研發構建多維度安全支付業務風險控制模型，滿足風險識別、風險評估、風險管理等安全支付管理和監管需求，風險度量方法對不同功能形態支付產品、不同平臺主要支付方式具有廣泛的適用性。構建分布式跨平臺安全支付管理和監管原型系統，實現對跨平臺支付數據安全情況的監測，實現對違規支付、異常支付、系統高風險情況的識別和管理，實現對惡意攻擊的態勢分析和追蹤溯源等功能。關鍵技術采用國產密碼算法，密碼應用安全方案通過國家密碼主管部門的評審。申請國家發明專利10項以上；完成國家或行業標準草案不少于2項，至少1項獲得國家或行業標準主管部門立項或批準。

　　4.4安全電子憑據服務及其監管關鍵技術（重大共性關鍵技術類）

　　研究內容：面向互聯網電子交易、財務稽核、企業信息化等關鍵應用，研究適用于互聯網+環境、多角色協同、高效的電子憑據安全服務體系框架及電子憑據服務監管系統與關鍵技術，包括電子憑據在線核準系統，電子憑據服務管理，電子憑據相關標準規范；研究大規模用戶環境下的電子憑據服務系統及關鍵技術，包括基于電子簽名法框架的安全電子憑據協同生成、開具、查詢、驗證、存儲與歸檔技術，以及公開驗證技術；研究電子憑據的安全承載與應用技術，包括電子憑據離線承載，電子憑據安全存儲、傳輸和使用，與現有應用系統、財務系統的深度融合及在線/離線審計與稽查；研究電子憑據體系運行第三方監管技術，包括互聯網違規和仿冒電子憑據發行系統監測，電子憑據安全使用情況在線監測，電子憑據系統安全事件告警及追蹤溯源技術等；研究基于國產密碼算法的電子憑據密碼支撐系統及關鍵技術，包括加密與認證技術，高速簽名與驗簽技術。

　　考核指標：實現一套電子憑據服務原型系統，支持多種用戶鑒別方式，支持電子憑據自動和手動備份與歸檔，支持大存儲量下的大規模并發訪問，當電子憑據存儲量達100億張，并發訪問數為1000時，單張憑據查詢請求的響應時間小于2秒，驗證請求的響應時間小于1秒。完成電子憑據安全服務體系框架方案，實現電子憑據服務監管系統，支持細粒度監管，支持對不少于5個電子憑據服務系統的統一管理，電子憑據在線核準處理能力不低于400萬張/秒。形成適合人眼閱讀和快速機讀的電子憑據安全紙質承載方案，研制至少1款安全的電子憑據承載傳輸設備與1套打印系統。研發至少支持3款主流智能手機的移動智能終端電子憑據應用軟件，支持電子憑據讀取、識別、安全存儲與傳輸。完成電子憑據在不少于10款應用系統或財務系統的融合與應用，實現原型系統，支持電子憑據從開具、進入業務/財務系統到歸檔的全程電子化應用，支持電子憑據應用狀態跟蹤與控制，支持在線與離線審計的電子憑據審計和稽查。實現電子憑據體系運行第三方監管原型系統，能夠對電子憑據應用安全情況、電子憑據在線行為等方面進行監測、追溯、告警和應急處置。實現電子憑據體系密碼支撐原型系統，提供憑據簽署服務速度不低于500萬次/秒，憑據驗證服務速度不低于200萬次/秒。密碼應用安全方案通過國家密碼主管部門的評審；完成電子憑據安全服務體系試點應用，應覆蓋至少10個省或直轄市，用戶數量達到15萬人，電子憑據流轉達到700萬張/年；申請國家發明專利10項以上。

　　4.5數字電視條件接收系統國產密碼應用關鍵技術（重大共性關鍵技術類）

　　研究內容：基于國產密碼算法，面向數字廣播電視業務保護需求，滿足我國數字電視業務互聯互通、終端市場水平化的發展方向，頂層設計新一代條件接收系統國產密碼算法應用總體方案，研究基于國產密碼的層級密鑰、基于國產密碼算法的身份認證、基于國產密碼的安全校驗等關鍵技術，開發支持國產密碼算法的條件接收系統前端設備、終端安全芯片和終端設備，研究建設支持國產密碼算法的密鑰管理平臺，包括密鑰保護技術、密鑰傳輸技術和芯片序列化技術等。面向下一代廣播電視網(NGB)，開展支持國產密碼算法新一代條件接收系統規模應用示范，解決國產密碼算法新一代條件接收系統系統產業化的瓶頸問題，形成行之有效的國產密碼算法新一代條件接收系統應用實施方案，推動支持國產密碼算法的新一代條件接收系統在NGB中廣泛應用。

　　考核指標：研究支持國產密碼算法的新一代條件接收系統總體方案，滿足同一接收終端可以在不同運營商條件接收系統中任意切換，適應有線網絡、地面廣播網絡和衛星網絡等多種工作場景，達到在國家級廣播網絡中使用的保密要求。開發支持國產密碼算法的新一代條件接收系統前端系統，終端安全芯片和終端系統，終端安全芯片獲得商用密碼產品型號證書。開發支持國產密碼算法的新一代條件接收系統密鑰和關鍵數據管理平臺，支持密鑰保護、密鑰傳輸和芯片序列化等。在至少2個省級廣電網絡中開展新一代數字電視條件接收系統應用示范。密碼應用安全方案通過國家密碼主管部門的評審；申請國家發明專利5項以上；完成國家或行業標準草案不少于3項，至少2項獲得國家或行業標準主管部門立項或批準。

　　5. 網絡空間測評分析關鍵技術研究

　　5.1社會工程學在網絡安全中的應用方法與理論研究（基礎前沿類）

　　研究內容：針對各行業中由社會工程學帶來的日趨嚴重的安全問題，對社會工程學在網絡安全中的應用進行原理性分析，建立社會工程學安全框架和模型，提出防御方法。研究網絡安全中社會工程學理論體系，研究社會工程學、運維脆弱性和網絡安全的關系，建立基于多學科交叉的社會工程學安全體系結構。研究社會工程學原理及技術，研究社會工程學中目標決策、信息收集、漏洞分析、滲透與后滲透利用方法，研究社會工程學與傳統安全技術的交互、滲透、結合方法，建立社會工程學模型，為社會工程學防御奠定基礎。分析社會工程學中海量社工信息的關聯匯聚方法、網絡空間虛擬人屬性信息向物理空間自然人屬性信息映射方法、網絡行為信息刻畫方法，構建社會工程學社工信息關聯匯聚模型，研究針對性的社工信息保護方法。研究基于網絡數據的社會工程學分析檢測方法，研究社會工程學表示特征，提取社會工程學復雜行為模式，建立社會工程學檢測模型；研究面向群體的行為模式分析方法和異常行為人檢測模型構建方法，對社會工程學安全行為特征進行收集和分析，以識別攻擊者并進行防護。研究運維脆弱性原理及發現技術，評估運維脆弱性帶來的風險，研究針對運維脆弱性的防護方法。研究構建社會工程學行為方法庫、社工信息庫和人物畫像庫的方法，通過模擬數據和真實流量結合的方法，實現社會工程學在網絡安全中應用方法的理論仿真與驗證。

　　考核指標：提出網絡安全中社會工程學框架及社會工程學的安全理論體系，建立社會工程學攻擊模型。構建社工信息關聯匯聚模型，提出針對社會工程學的社工信息保護方法，以及利用社會工程學的行為識別和防護方法。提取社會工程學復雜行為模式，提出面向群體的行為模式分析方法，提出異常行為人檢測模型構建方法，建立社會工程學行為檢測模型。構建社會工程信息描述、收集、關聯體系模型，具備每天收集2000萬條信息的能力，查全率不低于50%，查準率不低于50%，支持千億級規模信息的關聯聚合，支持十億級規模人物畫像庫的構建。出版學術專著1部；申請國家發明專利10項以上。

　　5.2軟件與系統漏洞分析與發現技術（重大共性關鍵技術類）

　　研究內容：針對漏洞分析依賴人工、缺乏有效分析工具的問題，研究典型漏洞特征分析、異常路徑構造與檢測等方法，面向通用計算機、移動智能終端、工業控制系統等不同計算環境，研發系列漏洞發現技術與系統，提高對不同計算平臺軟件與系統漏洞的發現能力與發現效率；針對軟件與系統漏洞機理分析中的漏洞異常點識別、關聯輸入數據確定、關鍵指令序列提取等問題，研究面向軟件漏洞分析的數據流分析、路徑約束分析、面向攻擊流量的漏洞機理分析等分析方法，研發系列系統與平臺，提高漏洞分析過程中對關鍵要素的快速分析提取能力；針對漏洞危害性評估難題，對漏洞可能造成的潛在危害進行分析，分析漏洞的利用機理，研究漏洞利用路徑自動構造方法和可利用性評估方法，研發漏洞危害性評估系統，從而提高對漏洞的快速利用驗證和危害性評估能力；針對漏洞發現、漏洞機理分析、漏洞危害性評估等各個環節的技術需求，研究規?；瘓F隊協同的漏洞分析與挖掘技術，研發、集成形成一套漏洞分析一體化平臺，實現各環節接口的統一和部分功能的聯動，以提高軟件漏洞分析效率和發現能力。

　　考核指標：提出的方法支持針對文本編輯、圖像編輯、瀏覽器、安防軟件等對象中的堆溢出、整型溢出、除零、空指針引用等漏洞發掘；支持針對Windows、Linux、Android、IOS操作系統內核和瀏覽器等的漏洞發掘與分析；構造軟件組件級安全缺陷庫，支持不少于10萬級別的軟件組件和框架，包含不少于20萬的代碼級安全缺陷信息。軟件漏洞數據流分析支持正向數據傳播分析和逆向回溯分析，支持對浮點運算、多媒體處理等專用指令的分析，單條執行路徑數據流平均分析效率不低于10萬條指令/秒；具備對局部代碼模塊的異常路徑構造能力，路徑構造可根據軟件執行過程動態調整構造策略，優化路徑構造效率；能夠支持跨函數的代碼分析，至少包含5種函數間分析方法。具備漏洞異常點提取、輸入數據關聯等漏洞要素信息自動提取能力，可輔助用戶快速確定漏洞機理，評估漏洞危害；對控制流劫持等類型漏洞可自動評估漏洞可利用性，并可對典型漏洞自動構造漏洞利用樣本。實現規模化的協同漏洞發掘平臺，支持上萬個節點同時工作，可支持大規模、分工合作的定向深度挖掘；百萬數量軟件中同源性漏洞分析達分鐘級；支持對主流PC平臺、移動終端平臺、工業控制平臺的軟件漏洞發現和分析，漏洞發掘與分析平臺支持Windows、Linux、Android等系統。支持對office、pdf解析器、瀏覽器、web組件等軟件漏洞攻擊樣本進行自動化檢測；支持不低于1億樣本/天的檢測能力，支持100萬對IP/小時，其中單對IP流量20pps的檢測能力；漏洞攻擊樣本檢出誤報率不高于50%，針對測試集的檢出漏報率不高于20%；每天檢出的有效漏洞利用攻擊行為不低于10萬次，其中office、pdf解析器和瀏覽器漏洞利用攻擊樣本不低于1000個。項目周期內利用項目成果發現各類未知高危漏洞200個以上，并收錄在CVE或CNVD或CNNVD等權威漏洞庫中;申請國家發明專利10項以上。

　　5.3基于異構多源信息的安全分析、態勢感知與決策關鍵技術與系統（重大共性關鍵技術類）

　　研究內容：面向國家網絡安全態勢感知和信息共享工作需求，圍繞重點行業的網絡安全監測、預警、應急響應和處置工作，研究適應于多元異構數據環境的數據匯聚、數據存儲與管理、多元數據融合等關鍵技術，研發多元異構數據匯聚融合原型系統，研制數據匯聚、共享等方面的國家或行業標準；研究多類型網絡安全威脅數據統計建模、多元安全事件關聯分析等關鍵技術，面向流量、域名、報文和惡意代碼的多層次異常行為，突破基于智能學習方法的未知網絡攻擊發現技術，研發多類型網絡安全威脅數據統計分析原型系統；研究網絡安全威脅識別分析、大數據可視化分析、安全決策基線建模等關鍵技術，研制態勢感知與決策支撐原型系統，建立決策知識庫；研究網絡安全預警機制與持續監督方法，研制網絡安全預警及持續診斷原型系統，制定網絡安全風險模型與事件通報模板。

　　考核指標：研制1套多元異構數據匯聚融合原型系統，實現重點行業、企業及研究機構的網絡安全資源與相關信息匯聚融合，具備PB量級數據的接入、存儲、共享能力。研制1套多類型網絡安全威脅數據統計分析原型系統，支持拒絕服務攻擊、木馬僵尸網絡、惡意代碼、網站后門、網頁篡改、域名劫持、蠕蟲利用、漏洞利用等攻擊數據類型的統計和關聯分析，具備對未知攻擊的感知發現能力。研制1套態勢感知與決策支撐原型系統，提供態勢要素信息提取功能，具備威脅識別、安全事件交互式分析和關聯展示能力。研制1套網絡安全預警及持續診斷原型系統，支持多操作系統平臺，具備網絡化、自動化交付能力，支持安全事件全生命周期的持續監控、處置、跟蹤等。制定1套網絡安全風險模型與安全事件通報模板，包括風險控制、防護建議、應急預案等內容。

　　相關閱讀：

　　高端IT圈人群，歡迎加入！