基于主体的扩展权能技术研究与实现

权能作为一种基于主体的访问控制手段,其实现方式灵活多样,使用方便。权能的概念很早就已经提出,已经成为分布式操作系统中的一种基本访问控制机制。通过对主体行为的限制,权能技术能方便地达到限制主体作用范围的目的。另外,通过对传统权能技术进行改进,还可同时实现对访问时间和次数的限制。在此基础上,通过对操作系统中权能实现方法的研究,提出了扩展权能访问控制（Extended Capability Access Control,ECAC）,并给出了该技术在Irix系统上的一种实现方法。     

Linux系统下Capabilities机制的改进与完善

介绍了在Linux系统下对Capabilities所作的改进与完善,使用户能够方便地利用Capabilities机制来提高Linux系统的安全。改进主要有两个方面:(1)实现了可执行文件的权能,使用户可通过配置可执行文件的权能来灵活控制相应进程拥有的权能范围;(2)对系统赋予进程权能的策略(即进程权能计算公式)进行了改进,从而实现了在只有一种权能配置的情况下,不同用户的进程在执行同一程序时可以拥有不同的权能。     

一种多层次特权控制机制的设计与实现

特权控制机制是高安全等级操作系统中一个重要的组成部分，它能够提供系统恰当的安全保证级．给出了在自主开发的、符合GB17859—1999第4级“结构化保护级”的安胜安全操作系统中实现的一种多层次特权机制，它在用户管理层、主体功能层和程序文件3个层次实现特权控制和管理．该机制的实现使系统满足了RBAC的角色职责隔离、DTE域的动态功能隔离和POSIX标准的特权最小化等安全性质，证明以这种受控的方式使用特权可以有效地保证系统的安全性．     

受限环境下基于权能的访问控制研究*

针对资源受限环境对认证和访问控制提出的轻载性、灵活性、基于局部条件的访问策略和端到端的安全性等特殊要求进行了分析和研究,基于拥有证明 (Proof-of-Possession,PoP) 安全机制并通过构造PoP权能令牌,提出了一种基于权能的访问控制架构。该架构将资源花销较大的授权决策工作外包给资源不受限的可信第三方节点,而授权决策的执行和局部条件的评估则由受限的充当资源服务器的设备来处理,以实现利用少受限节点帮助受限节点完成与授权相关的任务;并利用PoP权能令牌实现了客户端到资源服务器的认证,解决了客户端与资源服务器的安全通信问题;并通过实验验证了所提方法的可行性。还从实际应用的角度,详细讨论了PoP权能令牌的构造方法、与PoP密钥的绑定机制以及基于PoP权能令牌的客户端认证过程。     

基于Linux驱动级内核访问监控技术研究与实现

针对POSIX.1e标准的权能模块的缺陷进行了改进,在Linux内核安全模块(LSM)框架基础上,加载改进的模块,对操作系统内核层进行监听和控制处理,完成进程信任状特权仲裁、安全i节点(i-node)操作、信息队列反馈等一系列操作,最后调用字符设备反馈监控信息到应用层进行安全控制处理.实验表明,改进方案与加载原有权能模块Linux内核的方法相比,不仅在系统的运行效率、监控的正确率和系统扫描覆盖率上有所提高,而且在系统资源占用率等多项指标中都显示其具有良好的监控性能.     

浅谈主动网络主动节点的安全机制及模型

相比于传统的网络而言,主动网络的特点具有很大的开放性以及灵活性,并且用户可以利用其中间节点来编程,是一种新型的网络体系结构.但是,同时也使主动网络所面临的安全问题更加严重.本论文就此问题进行了简要的概括和分析,结合主动节点的安全性进行分析,提出了一种适用的主动节点的安全模型.这种模型采用的是认证、授权、访问控制以及主动权能的动态加载决策进行了安全措施的保证,来避免主动节点的安全数据受到恶意代码的攻击.     

一种基于权能标识的三方安全协议的设计和分析

随着数据密集型应用的发展，网络存储的安全性成为研究热点。针对大规模存储系统的可扩展性和安全性的要求，本文提出了一种基于三方传输模式的存储安全系统框架，并设计了一种基于权能标识的三方安全协议，该协议的最大特点是传输安全性和访问控制机制二者独立。通过对三方安全协议的形式化分析和推导，从逻辑上验证请求中权能标识的完整性、协议传输过程的正确性，以及消息的真实性，从而确保了三方安全协议的可行性。     

SELinux特权用户管理的设计与应用

分析SELinux体系在当前Linux类操作系统中的应用,基于角色的访问控制模型与可信计算,提出新的特权用户标识定义,利用该定义给出一种安全Linux操作系统特权用户管理方案。通过UID与角色的二维标识方法解决特权用户区分的问题,以可信计算中的密码服务加强认证的安全强度,用内核安全加固解决安全模式切换问题,从而改进SELinux在Linux类操作系统中的安全性。     

附网存储设备的安全机制

研究了附网存储的安全机制 ,阐述了一种用于附网存储设备的加密权能系统。     

一种面向J2EE应用的条件权能访问控制方法

为了满足J2EE应用所提出的访问控制要求,我们应用NISTRBAC参考模型提出了一种基于条件权能的访问控制机制,讨论了访问控制系统的实现策略,解决了J2EE服务层和表现层的访问控制问题。     

经典BLP安全公理的一种适应性标记实施方法及其正确性

经典的 Bell & L a Padula( BL P)模型是在计算机安全系统中实现多级安全性 ( ML S)支持的基础 ,被视作基本安全公理 .结合以 L inux为基础的一个安全操作系统 ( RS- L inux)的开发 ,讨论抽象的 BL P安全公理在安全操作系统实现中的实际意义 .从理论上构造 BL P公理的一种新的实施方法 ( ABL P方法 ) ,并给出该方法的正确性证明 .ABL P方法主要由 3条访问控制规则构成 ,其特点是允许主体的当前敏感标记进行适应性调整 ,它以常规实施方法为基础 ,克服了常规实施方法在标记指派方面的不足 ,为安全判定增加了灵活性 .     

一种基于Agent技术的安全能力自动协商机制

适应多安全域环境的安全能力自动协商机制包括了一种基于Agent的安全能力协商模型、适用于该模型的协商Agent和协商流程。该机制中，通过定义安全能力协商描述语言(SanDL)文档，用户可以方便准确地将协商要求和协商策略告知协商Agent，由协商Agent自动完成协商过程。在协商Agent中通过定义通信适配器和一套基本协商原语，使协商Agent的通信接口更加安全、灵活、易于扩展。     

在角色定权框架下实现能力机制

本文基于Kylin操作系统的角色定权框架完整地设计实现了遵循Posix1003．1e规范的能力机制，并且引入角色能力和用户能力的概念。利用该机制，我们可以在系统上有效地实施最小特权，包括分权、控制setuid和setgid程序、限制守护程序等。这样，系统中不再存在超级用户，其功能被划分到多个管理员用户之中；系统中每个进程都仅仅具有
有完成其任务所必需的特权，有效地阻止了滥用特权，大大提高了系统的安全。     

Security extension for the Canetti-Krawczyk model in identity-based systems

The Canetti-Krawczyk (CK) model is a formalism for the analysis of key-exchange protocols, which can guarantee many security properties for the protocols proved secure by this model. But we find this model lacks the ability to guarantee key generation center (KGC) forward secrecy, which is an important security property for key-agreement protocols based on Identity. The essential reason leading to this weakness is that it does not fully consider the attacker's capabilities. In this paper, the CK model is accordingly extended with a new additional attacker's capability of the KGC corruption in Identity-based systems, which enables it to support KGC forward secrecy.     

A new formal model for privilege control with supporting POSIX capability mechanism

In order to enforce the least privilege principle in the operating system, it is necessary for the process privilege to be effectively controlled; but this is very difficult because a process always changes as time changes. In this paper, based on the analysis on how the process privilege is generated and how it works, a hierarchy implementing the least privilege principle with three layers, i.e. administration layer, functionality control layer and performance layer, is posed. It is clearly demonstrated that to bound privilege's working scope is a critical part for controlling privilege, but this is only mentioned implicitly while not supported in POSIX capability mechanism. Based on analysis of existing control mechanism for privilege, not only an improved capability inheritance formula but also a new complete formal model for controlling process based on integrating RBAC, DTE, and POSIX capability mechanism is introduced. The new invariants in the model show that this novel privilege control mechanism     

基于能力依赖图的SEAndroid安全策略分析

SEAndroid作为Android系统安全机制的重要组成部分,直接关系到系统的安全性.在本文中,我们提出一种基于能力依赖图的SEAndroid安全策略分析方法.能力依赖图描述了实际Android系统中用户的能力迁移以及其SEAndroid子系统的访问控制配置.我们首先对SEAndroid的具体实现进行分析,收集安全策略和系统信息,并进行逻辑建模.然后,我们依据SEAndroid的策略判定模式设计逻辑推导规则,并以此利用逻辑编程的方式生成能力依赖图.基于能力依赖图,我们提取出可能的攻击路径和攻击模式.我们对多个AOSP发布的不同Android版本的SEAndroid访问控制系统子进行了评估与分析.我们发现随着Android版本的提升,其SEAndroid安全策略也进行了更新,新的SEAndroid对系统提供了更强的约束和保护.此外,我们在实验中发现了一种被黑客在实际攻击中使用到的攻击模式,从而验证我们方法的有效性.     

实现域间路由系统安全的系统化方法和有效工具

本文在全面分析域间路由安全威胁的基础上提出实现域间路由安全的系统化方法，从安全策略检测、路由协议增强、路由器健壮性设计、路由行为监测以及安全能力测试等多个角度来增强域间路由系统的安全能力，并建立域间路由系统的安全能力模型；探讨了各种安全功能的交互关系、多视图之间的互补与合作以及安全能力部署等问题；同时，，给出了路由器安全配置检测工具、安全测试工具和路由监测系统的基本实现方案。     

Isabelle在分析安全操作系统状态机模型中的应用

为了解决已有的状态机模型的形式化框架在分析安全操作系统状态机模型时不够直观、简洁的问题,提出了一套使用Isabelle工具对安全操作系统模型状态中的类型、变量、常量、关系、映射、函数,以及模型中的安全不变量和状态迁移规则进行形式化描述的新方法.通过实际验证一种典型的安全操作系统状态机模型--可信进程模型,总结出了有效地使用Isabelle辅助形式化设计、分析、验证模型的策略.     

基于可变标签的访问控制策略设计与实现

仅提供了自主访问控制级安全防护能力的Windows操作系统的安全性受到用户广泛关注,而作为一项重要的信息安全技术,强制访问控制能够有效实现操作系统安全加固。访问控制策略的选择与设计是成功实施强制访问控制的关键。针对安全项目的需要,分析了结合经典访问控制模型BLP与Biba的优势,提出了依据进程可信度动态调整的可变标签访问控制策略,解决了因I3工尹与Biba模型的简单叠加而导致的系统可用性问题,最终实现了对进程访问行为进行控制的简单原型系统。实验表明,可变标签访问控制策略的引入在对操作系统安全加固的基础上显著提高了系统的可用性。     

水面舰艇作战能力研讨式评估软件设计

针对传统的水面舰艇作战能力评估方法未能充分发挥计算机的计算能力和专家的知识与经验的综合作用,在分析水面舰艇作战能力指标体系的基础上,提出了基于综合集成研讨技术的研讨式评估方法,设计并开发了评估软件,阐述了人机交互系统、人工语言系统以及问题求解系统等三个子系统的功能,介绍了软件操作流程。实例应用表明,该软件可为专家评估水面舰艇作战能力提供良好的研讨工具。