IPSec安全策略形式化技术的研究

IPSec安全策略配置是一项复杂和易出错的工作。为解决这问题，提出了通过有序两元判定图表(OBDD)提供全面的IPSec安全策略冲突识别和分类的通用架构模型，并基于该架构模型，开发了一组在通用IPSec策略配置过程中发现策略内部的冲突问题的技术。实验测试证明了该架构模型和技术在发现和解决策略冲突问题的有效性。     

IPSec策略冲突发现形式化技术的研究

IPSec目前已成为Internet安全事实上的标准协议,尽管IPSec为网络安全提供了丰富的安全保护模式和操作,但其策略配置是非常复杂和易出错的一项工作.为解决这问题提出了通过有序两元判定图表（OBDD）来提供全面的IPSec安全策略冲突的识别和分类的通用架构模型,并且基于这种架构模型,开发了一组在通用IPSec策略配置过程中发现策略内部的冲突问题的技术。通过实验测试证明了该架构模型和技术在发现和解决策略冲突问题的有效性。     

IPSec安全策略冲突分析技术的研究

IPSec为网络安全提供了丰富的安全保护模式和操作,但其策略配置是非常复杂和易出错的一项工作.采用安全策略形式化模型和有序两元判定图表(OBDD)方法对在企业网络中不同IPSec设备间的策略间冲突进行分类和分析,开发了一组在IPSec策略配置过程中发现策略间冲突问题的技术.并通过开发的安全策略测试工具软件包的运行分析证明了该方法模型在发现和解决不同IPSec设备间的策略间冲突问题的有效性.     

IPSec安全策略自动生成机制的研究

IPSec是一个策略驱动的安全机制,只有当安全策略被正确定义和配置时才能保证IPSec的功能被正确执行。如何正确地生成IPSec策略并避免策略冲突,在实际应用中依然存在复杂性。在讨论了IPSec策略配置过程中可能出现的冲突及相应的解决方法之后,给出了一个自动生成零冲突IPSec策略的算法,并与文献中的其他方法进行了比较。     

网络安全综合监控平台中安全策略的研究

通过分析网络安全综合监控平台中安全策略的特点和要求,给出了安全策略的一般性定义和描述,研究了策略的完整性、正确性、一致性要求,以及策略冲突的处理原则.在基于规则的专家系统推理引擎基础上,为网络安全综合监控平台建立一种基于规则引擎的安全策略处理机制,描述了规则引擎的推理和使用步骤.该机制能够分离安全策略的管理决策逻辑和技术决策逻辑,具有较强的策略冲突解决能力.应用证明了该系统具有较强的鲁棒性和适应性.     

有效的IPSec安全策略管理方案*

针对IPSec协议在安全策略管理存在的问题,引入信任管理的思想,介绍了一种基于信任管理的IPSec安全策略管理方案。该方案对分布式网络中的策略可以进行统一的描述,并通过一致性证明能够实现策略的委托授权管理,这样大大提高了IPSec安全策略管理效率和IPSec的灵活性。     

IPSec安全策略系统研究

IPSec是一个策略驱动的安全机制,只有当安全策略被正确定义和配置时才能保证IPSec的功能被正确执行,怎样根据特定的条件设置合理有效的策略,是正确实施IPSec的一个重要问题,但是IPSec安全策略的管理机制尚未建立。该文探讨了IPSec中与安全策略相关联的概念,并对安全策略系统的体系结构与相关组件进行了研究。     

网络安全策略冲突分类及自动检测与恢复

在分析网络安全策略冲突研究现状的基础上,针对策略冲突分类不完善及现在安全策略冲突检测方法的不足,指出由于网络策略之间的规则依赖语义和规则相互作用,一个成功的网络安全系统配置需要全面分析所有网络安全设备的策略配置以避免策略冲突和矛盾.本文首先描述了过滤规则之间所有可能的关系,然后对基于过滤的网络安全策略中的冲突进行全面分类,接着通过实验指出即使是专家系统管理员,产生这种冲突的可能性也很高,并提出了内部和外部访问列表策略冲突的自动检测与恢复模型来识别和矫正这些冲突,最后讨论了今后研究的方向.     

基于域的网络安全策略研究

针对大规模网络环境下的安全特点，提出了一种基于域的网络安全策略模型，通过应用域和规范安全策略语言，研究了策略的存储、查找、冲突检测与消解、发布实施过程中的技术和原则。应用该模型后的系统成为一种具有自动化策略管理特点的安全系统。     

面向应用的IPSec系统策略管理机制

针对现有IPSec系统策略机制的不足，本文提出了一种面向应用的IPSec系统策略管理机制，通过监视应用程序的socket活动，实时地设置好相应的IPSec策略，对IP流实施细粒度的、不同等级的保护；同时，提供高级语言形式的策略设置语句，以满足用户添加和修改细粒度IPSec策略的需要；提供解决策略冲突的算法，将相互冲突的需求转化为无冲突的策略。该机制可以提高现有IPSec系统的性能，使其更好地满足网络实际环境的需要。     

On one class of decision diagrams

A class of decision diagrams for representation of the normal forms of Boolean functions was introduced. Consideration was given, in particular, to the disjunctive diagrams representing the disjunctive normal forms (DNF). In distinction to the binary decision diagrams (BDD) and reduced ordered binary decision diagram (ROBDD), the disjunctive diagram representing an arbitrary DNF is constructed in a time which is polynomial of the size of the DNF binary code. Corresponding algorithms were described, and the results were presented of the computer-aided experiments where the proposed diagrams were used to reduce the information content accumulated in the course of deciding hard variants of Boolean satisfiability problem (SAT).     

Symbolic Reasoning with Weighted and Normalized Decision Diagrams

Several variants of Bryant's ordered binary decision diagrams have been suggested in the literature to reason about discrete functions. In this paper, we introduce a generic notion of weighted decision diagrams that captures many of them and present criteria for canonicity. As a special instance of such weighted diagrams, we introduce a new BDD-variant for real-valued functions, called normalized algebraic decision diagrams. Regarding the number of nodes and arithmetic operations like addition and multiplication, these normalized diagrams are as efficient as factored edge-valued binary decision diagrams, while several other operators, like the calculation of extrema, minimum or maximum of two functions or the switch from real-valued functions to boolean functions through a given threshold, are more efficient for normalized diagrams than for their factored counterpart.     

IP安全浅析

IPSec是一种基于IP层的安全体系,其作用是为上层协议提供透明的安全保护。本文对它的体系结构、工作模式、相关的安全协议和工作原理进行了详细的研究和分析,并且举例说明了它在Win2000下的实施过程。此外,本文还指出了该体系给现有网络安全系统带来的挑战以及它自身所存在的问题。     

Efficient manipulation of decision diagrams

Over the last decade significant progress has been made in the efficient implementation of algorithms for the manipulation of decision diagrams. We review the main issues involved in designing a decision diagram package, with special emphasis on the basic data structures and their management, on fast variable reordering, and on the collection of statistics to guide the tuning of the algorithms. Our analysis focuses on depth-first manipulation of reduced, ordered binary decision diagrams. Published online: 15 May 2001     

基于有序二叉决策图的路径规划可行性研究

对全局环境未知且存在障碍物情况下的移动机器人路径规划问题进行了研究.借助有序二又决策图的原理,首次采用有序二叉决策图数据结构来表示机器人工作空间中的信息环境模型,并对它们进行了二进制编码,建立一个有效紧凑的OBDD环境模型.利用该OBDD模型能自动规划了免碰撞路径,获取一条从起始状态(包括位置及姿态)到达目标状态的安全、高效的无碰路径.实验仿真结果表明,所提出的方法是正确和有效的.     

Sylvan: multi-core framework for decision diagrams

Decision diagrams, such as binary decision diagrams, multi-terminal binary decision diagrams and multi-valued decision diagrams, play an important role in various fields. They are especially useful to represent the characteristic function of sets of states and transitions in symbolic model checking. Most implementations of decision diagrams do not parallelize the decision diagram operations. As performance gains in the current era now mostly come from parallel processing, an ongoing challenge is to develop datastructures and algorithms for modern multi-core architectures. The decision diagram package Sylvan provides a contribution by implementing parallelized decision diagram operations and thus allowing sequential algorithms that use decision diagrams to exploit the power of multi-core machines. This paper discusses the design and implementation of Sylvan, especially an improvement to the lock-free unique table that uses bit arrays, the concurrent operation cache and the implementation of parallel garbage collection. We extend Sylvan with multi-terminal binary decision diagrams for integers, real numbers and rational numbers. This extension also allows for custom MTBDD leaves and operations and we provide an example implementation of GMP rational numbers. Furthermore, we show how the provided framework can be integrated in existing tools to provide out-of-the-box parallel BDD algorithms, as well as support for the parallelization of higher-level algorithms. As a case study, we parallelize on-the-fly symbolic reachability in the model checking toolset LTSmin. We experimentally demonstrate that the parallelization of symbolic model checking for explicit-state modeling languages, as supported by LTSmin, scales well. We also show that improvements in the design of the unique table result in faster execution of on-the-fly symbolic reachability.     

带冗余策略的分布式IPSec网关配置

IPSec协议的一种实现模式是采用IPSec网关间隔各个网络段,通过网关的策略配置,满足安全通信需求。然而,策略交叉会导致破坏安全需求的信息回流,拆分策略是避免信息回流的有效方法,但拆分过细,会引发额外的密码计算。提出一种带冗余策略的IPSec网关的分布式配置方法,在自动分布式生成无冲突的IPSec策略集基础上,引入冗余策略以减少IPSec网关的密码计算负荷。模拟实验验证了这种方法的可行性。