素数阶群上具有扩展通配符的ABE方案

叛徒追踪和撤销是基于属性的加密(ABE)在实际应用中需要解决的问题,具有扩展通配符的ABE方案(GWABE)能够方便地解决上述问题。目前自适应安全的GWABE方案均在合数阶群上构造。针对合数阶上双线性映射计算开销过大的问题,以对偶正交基技术为基础,提出了一种素数阶群上自适应安全的GWABE方案,同时将该方案的安全性归约到判定性线性假设。性能分析表明,该方案在达到自适应安全的基础上,具有更好的效率。     

网络隐蔽信道实现机制及检测技术研究

网络隐蔽信道利用正常网络协议传递隐蔽信息,能够为木马、间谍软件等恶意通信规避安全检测提供载体。针对现有隐蔽信道数量众多、特征繁杂、检测不便等问题,在分析其通信模型及应用模式的基础上,提出了一种基于实现机制的分类方法,从协议和字段的根本特点出发研究了隐蔽信道的异常特征,分析了现有检测方法及其缺陷,给出了下一步的研究方向。     

一种面向数据结构的策略翻译技术

策略翻译是目前策略管理研究的难点之一.针对以数据结构表示的策略,提出策略结构五元组概念,增设可扩展的词库,采用XML语言统一描述策略结构,设计通用的脚本分析模块,支持不同设备类型的策略结构,实现透明的策略翻译,提高了策略管理的伸缩性、统一性和透明性.     

基于标准的系统安全测试指标体系的研究

本文从操作系统的安全功能出发,结合CC标准的测评原理,按照威胁、安全目的、系统安全功能组件和具体指标的顺序,提出一套系统安全测试的全面的指标体系,该指标可根据需要运用层次分析法进行定性或定量的风险评估。     

基于Netfilter框架的VPN网关的一体化设计

随着Linux版本的升级,Linux下的防火墙技术也在不断地成熟。当前,基于netfilter框架的iptables防火墙,具有轨迹跟踪的功能,实现了基于状态检测的包过虑处理,成为近年来比较盛行的防火墙。该文就netfilter框架和轨迹跟踪技术进行了分析,同时,研究了网桥和防火墙的结合方式,提出了基于轨迹跟踪的VPN处理模式,最后,对支持路由和网桥两种模式的VPN处理且集成状态检测防火墙的安全网关进行了研究和一体化的设计。     

溢出攻击的攻击元与攻击模板构建研究

面向抗攻击测试对溢出攻击的需求,以构建溢出攻击可重用功能结构和统一描述框架为目标,分析溢出攻击样本不同阶段的攻击过程特点,提取组织溢出攻击的攻击元;总结溢出攻击过程一般描述,搭建溢出攻击构造过程通用攻击模板,从而建立起溢出攻击实现的规范组织架构.在AASL脚本语言支持下,实现利用攻击元,解析重构模板建立溢出攻击脚本.实验证明,该方法在确保溢出攻击的有效、可控和代码质量基础上,大幅降低了代码编写数量,有效提高了开发效率.研究成果为抗攻击测试攻击用例的使用提供了有力保障.     

基于安全熵的访问控制模型量化分析方法

针对访问控制模型的量化分析问题,提出基于安全熵的安全性量化分析方法。结合信息论有关知识引入安全熵概念,基于安全熵对模型的安全性进行定义;应用该方法对BLP等经典安全模型进行了量化分析,验证了该方法的实用性,并指出了访问控制模型和BLP模型对非授权间接访问防护方面的不足。实验结果表明,该方法适用于访问控制模型的安全性度量以及系统的访问控制能力评估。     

远程缓冲区溢出攻击的原理分析与检测

基于缓冲区溢出的攻击是目前使用相当普遍的一种黑客技术,该文分析了这种攻击的基本原理,在此基础上提出了利用NDIS开发包进行检测的一般方法,并且用实验证实了这种方法的有效性。     

一种基于Mealy自动机的策略监控模型

策略监控是完善策略管理系统、提高系统可靠性,并为第三方审计提供依据的有效途径之一。对策略整个生命周期中的状态进行了划分,引入Mealy自动机,对整个状态转换过程进行了建模,明确了监控对象及分析依据,从而实现了对策略状态的宏观监控,即通过合法性判定算法对策略进行的操作进行判定。最后,通过对自动机模型及判定算法的程序实现与性能测试可以看出,该算法能够及时有效地对事件数据进行处理响应。     

素数阶群上可追踪并撤销叛徒的ABE方案*

叛徒追踪和撤销是属性基加密(ABE)需要解决的问题。目前满足自适应安全且可追踪并撤销叛徒的ABE方案(ABTR)在合数阶群上构造。针对合数阶群上双线性配对计算开销过大的问题,利用对偶正交基,首先提出了一个素数阶群上具有扩展通配符的ABE方案(PGWABE),并证明该方案满足自适应安全;在此基础上,利用完全子树构架,将PGWABE方案转变为素数阶群上可追踪并撤销叛徒的ABE方案(PABTR)。与现有方案相比,该方案在同等安全性上效率更高。