基于数据流分析与识别的Web资源访问控制

针对动态Web页面资源中的实施细粒度和透明访问控制问题,定义片断的概念,提出基于数据流分析的“片断”级Web页面资源的访问控制方法,分析数据流中的请求信息与响应片断的关系,设计并实现了2种数据流片断识别算法。模拟系统的实验结果证明,该方法能有效识别动态Web页面资源的片断,满足细粒度访问控制的需求。     

基于良基语义的安全策略表达与验证方法

提出了一种基于一阶逻辑的安全策略管理框架.首先,研究安全策略的语法和语义,给出将安全策略转换成扩展型逻辑程序的算法,进而构造出安全策略基本查询算法;其次,给出将安全策略复杂查询转换成基本查询的算法,进而构造出安全策略验证算法.在良基语义下,上述算法是可终止的、可靠的和完备的,且计算复杂度都是多项式级的.该框架可以在统一的良基语义下实现安全策略表达、语义查询和验证,保证安全策略验证的有效性.此外,该框架不仅兼容现有主流的安全策略语言,还能够管理具有非单调和递归等高级特性的安全策略.     

基于多级关联信号树的高效可重构网包分类方法研究

针对高速网络中包分类严重影响路由系统性能提升的问题,进行了深入的实验性研究.针对传统包分类算法通过扩展规则搜索空间实现匹配,占用内存空间大,功耗高,吞吐率低的问题,研究了基于多级关联信号树的高效可重构网包分类方法.通过分析网包分类规则集合特点,提出了一种基于多级关联信号树的逻辑匹配结构,从中抽取出三类可重构的粗粒度网包分类基本计算单元——固定型匹配器、前缀型匹配器和范围型匹配器,用这三类匹配器构成了一个可重构网包分类阵列,通过配置匹配器的重构功能单元(RFU)层和匹配器之间的互联结构——重构互联网络(RIN)层实现了高速分类计算.该方法能够有效节省内存空间,降低功耗,大幅提升匹配速度.为了验证算法性能,在Xilinx公司的Virtex-6(model:XC6 VSX475T)芯片上进行仿真实验,实验结果表明该算法吞吐率可以达到100Gbp以上.     

基于重构构件的安全协议重构择优技术研究

安全协议可重构实现是提升其安全性能和计算性能的有效方法。在深入分析大量现有安全协议体系结构的基础上,提出了一种基于可重构构件的安全协议高性能实现架构,并且针对该架构中可重构构件库择优优化这一关键问题,提出了一种择优方法。该方法基于改进的带权集合覆盖优化算法,结合启发式优化搜索思想,实现了安全协议可重构实现中优化资源使用与减少重构时间的目的。     

动态安全策略逻辑语言及安全属性验证问题的研究

针对动态安全策略在策略表达、判决和验证等方面具有的重要意义,提出了一种可用于动态安全策略表达、决策和验证的逻辑系统SSML.首先,给出了SSML逻辑系统的语法和语义,并且证明了一般意义上的SSML逻辑系统查询评估问题是不可判定的,从而表明不存在通用的SSML安全策略语义查询评估算法.其次,研究SSML子语言特性,发现两类语法受限的SSML动态安全策略——NDel型安全策略和TDel型安全策略.虽然前者不允许在安全策略中出现删除规则,后者只允许完全信任的管理人员执行删除规则,但它们的查询评估问题是可判定的,并且分别构造出它们的查询评估算法——OLDTE和OLDTT.最后,通过实例说明如何使用OLDTE或OLDTT实现安全策略验证,从而证明这两类动态安全策略具有广泛的应用前景,对动态安全策略及其安全性分析方法的研究具有重要意义.     

一种网络涉密信息系统的设计

文章分析了在网络中进行涉密信息系统建设的需求，提出了涉密信息系统设计的理念，给出了涉密信息系统各部分在网络中的工作机理、组件功能和工作过程。     

基于匹配策略的安全协议重构分析

可重构安全协议对提高安全系统的灵活性和适应能力具有重要意义,它可根据具体上下文环境进行配置、移植,极大增强了系统的安全性,目前基于软件构件的协议重构方法无法满足安全协议对安全性和计算性的特殊要求.针对安全协议的安全性和高密度计算特性,提出了一种针对现有资源选择重构元的解决方法,给出协议可重构元匹配和基于QoS的重构元质量满意度的协议重构选择算法,使系统可以尽快按照重构协议需求选择满意的可重构元.通过实例说明该方法的执行过程,应用结果表明该方法能够有效提高重构效率和重构准确度.     

可重构信息安全系统研究综述

传统安全计算提供固定的安全服务能力,无法根据环境和安全需求的变化灵活配置,导致安全管理复杂,软硬件资源重复利用率低.可重构安全计算为提升系统灵活性、适应性和可扩展性提供了新的手段.本文阐述了可重构安全计算的发展历程,初步研究了其内涵与意义,提出了可重构安全计算的概念模型,并详细论述了其中的关键技术及其研究现状,最后分析了可重构安全计算的发展趋势.可重构信息安全系统是新型计算与信息安全技术融合的必然产物,必将为信息安全技术提供更广阔的应用空间.     

反馈移位寄存器在通用可重构处理器上的配置生成与优化设计

在序列密码算法中,反馈移位寄存器的操作使用频率高且移位位宽和反馈网络灵活多变,针对目前还没有一个通用可配置,支持不同规模的移位寄存器实现方法。本文利用通用可重构处理器基本运算单元数据流和控制流可配置的特点,充分挖掘移位寄存器中并行流水潜力,在通用可重构处理器上,设计反馈移位寄存器的四种不同实现方案,并对算子在通用处理器以及可重构处理器模型上进行性能对比分析。实验表明,运用可重构的方法实现A5密码算法中的反馈移位寄存器效率较Intel ATOM230处理器提高12.6倍,最后在考虑可重构处理器资源制约的条件下,对反馈移位寄存器的实现方法进行优化讨论。     

基于PMI的Web资源安全访问控制系统设计

针对Web资源的安全控制问题,设计了一种基于授权管理基础设施PMI技术的安全访问控制系统。该系统依据身份证书对用户进行身份认证,使用权力证书为用户授予访问权限,通过角色策略控制对Web资源的访问。同时,还提出一种获取并管理Web资源信息的方案。该系统对Web资源的安全访问控制提供了一种有效的解决方法。