一种混合交叉认证的平台兼容性方案

参考基于桥CA的交叉认证模型,提出一种混合交叉认证方案,引入复合证书和第三方可信验证机构TVA,为采用不同证书体制的信任域映射证书策略,为基于不同公钥算法的可信计算平台验证证书链,建立信任关系.仿真实验表明,该方案可实现平台兼容且易于实现.     

基于属性的私有密钥证书的安全框架及其实现

为了防止非法用户访问合法的资源,分析了当前已有安全协议标准中存在的问题,提出了一种含有属性的私有密钥证书,该证书可自由存放,操作简便,达到了防止攻击的目的,实现了对证书的安全管理.给出了使用具有权限和服务类型属性的证书所实现的鉴别过程.该方案已经用于计算机网络系统中.     

基于无双线性对的无证书隐式认证的Kerberos协议改进

针对Kerberos认证协议存在的密钥托管,口令攻击和重放攻击等缺陷,将隐式认证与无证书密钥协商协议结合,提出了一种无双线性对的无证书隐式认证的Kerberos改进协议,避免了Kerberos协议中第三方对信息的无举证窃听,有效克服了中间人攻击.新协议在增强模型下是可证明安全的,并且仅需9次椭圆曲线上的点乘运算和2次哈希运算,具有较高的计算效率.     

可认证无证书密钥协商协议研究与改进

常用的基于证书的认证密钥协商协议,在管理和维护证书方面占用较多的资源.在无证书的密钥协商协议的基础之上,综合密钥安全和性能方面的考虑,从可认证密钥协商形式化安全模型分析入手,提出了一种增强的可认证无证书的密钥协商安全模型,给出了可认证无证书密钥协商协议CL-AKA,并从系统建立、用户密钥生成和密钥协商3个方面进行了描述和安全性分析.结果表明,该协议安全性高,与同类协议相比具有性能上的优势.     

基于Zynq和IEEE 1451.2的室内环境监控系统

针对目前室内环境监控领域存在的环境信息采集能力薄弱、处理过程缺乏标准、硬件系统复杂等问题,基于Xilinx Zynq平台和IEEE 1451.2协议,设计了一个可对多种环境信息进行监控的系统.该系统主要包括智能变送器接口模块(smart transducer interface module,STIM)和网络适配应用处理器(network capable application processor,NCAP)模块.其中,STIM依据IEEE 1451.2协议实现环境信息的采集及其标准化;NCAP则利用受限应用协议(constrained application protocol,Co AP)实现系统的远程访问和控制.同时,通过设计基本资源、复合资源和规则资源3类资源,实现系统业务功能的统一描述和发布.经测试证明,该系统能够有效地实现对室内环境的远程监控,用户访问的响应时间较短,系统总功耗较低.     

一种无证书Ad hoc密钥管理与认证模型

设计了一种用于Ad hoc网络的新密钥管理与认证模型．该模型应用椭圆曲线组合公钥技术,仅在密钥初始化阶段需要可信认证中心的支持．在网络运行阶段,应用门限密码技术实现了自组织的节点公私密钥对更新和撤销,以及共享私钥种子矩阵更新．设计了一种认证与密钥协商协议,协议中用计算的方法产生公钥,减少了两次证书传递过程和验证运算．相比基于证书和基于身份的模型,新模型的安全性、灵活性和效率更高,适合Ad hoc网络自组织和资源受限的特点．     

一种安全的双实体单向可认证密钥协商方案

为增加密钥协商协议的安全性,提高会话密钥协商的效率,提出一种双实体单向可认证的密钥协商方案。在该方案中,协议发送方首先向接收方发送一个无证书数字签名,签名中包含发送方公钥、标识号、时间戳等能鉴别身份的信息;然后,接收方验证数字签名的有效性,并利用Diffie-Hellman密钥交换协议与发送方建立会话密钥。该方案不仅在随机预言模型下可证明是安全的,而且也同时满足会话密钥安全性、前向安全性、会话密钥的不可控性和抗密钥泄露伪造攻击等安全属性。     

基于改进无证书公钥密码的轻量级DTLS协议设计

物联网在快速发展的同时,其数据交互容易遭受各种攻击.为了保证物联网传输层协议UDP传输数据的安全,在TLS协议架构基础上扩展形成了支持UDP数据报安全传输的DTLS（DatagramTLS）协议.现行的DTLS协议基于公钥证书密码体制,证书管理复杂、网络通信开销大,难以满足物联网等资源受限型网络的安全通信需求.本文提出一种基于离散对数的改进无证书公钥密码方案,设计了适应资源受限网络的轻量级DTLS协议,并基于嵌入式SSL库wolfSSL进行了协议实现.从通信开销和握手连接时间两方面,将本文提出的基于改进无证书公钥密码的DTLS协议分别与基于传统公钥证书的DTLS协议及基于身份标识的DTLS协议进行了对比实验.实验结果表明,在保证安全性的前提下,基于无证书的DTLS协议在通信开销和握手连接时间方面均优于基于公钥证书的DTLS协议和基于身份标识的DTLS协议.     

基于数据挖掘的开源电子资源访问行为统计模型

为了解决当前图书馆资源个性化推荐过程中存在推荐的准确率、召回率以及效率较低的问题,采用二维距离模型构建用户社区模型,用于描述访问用户与图书馆开源电子资源之间的关系,并对互联网用户需求和访问行为进行模糊规则推理.依据互联网用户属性和图书馆资源访问需求属性之间的模糊规则,建立图书馆开源电子资源访问行为统计模型,并利用该模型向用户提供个性化推荐服务.仿真结果表明,所建模型的推荐召回率高达98. 4%,推荐准确率为99. 2%,运行时间小于0. 04 s.所建模型能够为互联网用户提供准确、高效地图书馆资源个性化推荐服务.     

开放系统中基于历史角色的快速协商模型

在开放式网络环境中,资源的请求者和提供者往往隶属于不同的安全域。在陌生人之间建立信任并保证共享资源的安全可以通过自动信任协商来实现。如何加速这些实体之间的后续协商过程是随之要解决的重要问题。通过分析自动信任协商对系统的需求,提出了支持快速协商的基于历史角色的自动信任协商模型HRFN。HRFN将角色的概念引进来,根据协商过程中暴露出的证书为协商对方分配一定的角色,并将这些角色记录在历史信息记录中,同时记录该角色对应的证书暴露序列。在后续协商过程中,如果资源请求者的历史角色具有访问权限,则双方根据该角色对应的证书暴露序列来暴露证书。经试验验证,HRFN模型的安全性能更高,而且满足自动信任协商的快速需求。     

Chinese-Wall模型在开放综合安全模型中的实现

Chinese Wall模型体现了随系统运行而不断改变的动态安全策略,但使用范围有限. 为了保持安全模型在适应不同领域的同时能够体现动态安全策略,基于一种开放的综合安全模型(OSSM),提出Chinese Wall模型的实现方法.该方法通过构造动态累加角色,记录必要的访问历史,然后结合历史访问及安全策略对当前访问请求作出决策,以体现策略的动态性.实现结果表明,该方法在保持模型综合性的同时,提高了其灵活性.     

改进的操作系统安全访问控制模型

提出了一个基于多级安全策略的强制访问控制模型．它的保密性安全规则是基于BLP模型．而完整性安全规则是基于Biba模型．由于BLP模型和Bih模型的信息流走向完全相反．简单将它们结合会引起对某些客体进行合法的访问遭到拒绝．因此对主体和客体引入了可信度策略．使得主体在进行合法的资源访问时不会因为安全级别较低而遭到拒绝．从而使保密性和完整性两个安全特性能够紧密地结合在一起．该模型既能防止越权泄露信息．又能控制信息的非授权修改．从而同时保证了系统的保密性和完整性。     

面向对象系统的信息流安全研究

描述了面向对象系统的数据模型，研究了信息流和信息传输，并以此为基础给出了基于自主访问控制策略的分布式对象系统的信息流控制方法，该方法利用限制策略和消息过滤器算法可以在自主访问控制中实现强制访问控制中的＊属性，从而有效地防止特络伊木马对自主访问控制的威胁。     

基于区块链的供应链数据分级访问控制机制

针对供应链企业与部门间存在数据共享程度低、访问透明性差以及隐私保护的问题,提出了一种基于区块链的供应链数据分级访问控制机制。设计了面向供应链场景的多链架构,实现供应链数据与访问控制信息的隔离存储;同时提出了基于分级属性和区块链的分级访问控制模型,及其智能合约的实现与部署,并针对某集采集配供应链业务进行了实例分析。实验表明该机制在大规模策略下,吞吐量仍维持在90 tps以上,策略判定时间开销平均为26 ms。     

C/SiC复合材料数据库的逻辑结构设计

C／SiC复合材料数据库对在材料研究过程中获得的全部信息实现可靠、高效的存储和访问。在遵守关系数据库第3范式的基础上，基于Oracle的支持，采用了非第1范式的对象数据类型——嵌套表，建立了对象一关系数据库，并利用UML语言完成数据库逻辑建模。根据应用需求定义了用户视图，制定了数据规范、约束、触发器等以保证数据的完整性和一致性。数据库保证了研究信息的可追溯性，为数据的管理和规范提供了有力的工具。     

保护用户隐私的访问控制模型

为解决网络环境中用户的隐私信息保护问题,研究了网络环境中隐私信息保护的特点,从用户的角度出发,提出一个基于用户控制的隐私保护访问控制模型,并通过一个具体实例对该模型的应用过程进行说明.与目前存在的其他保护隐私的模型或方法相比,该模型能在不增加用户负担的情况下,达到更好保护用户隐私的目的,同时不影响现有系统中其他安全保护机制的应用.     

基于策略适应性的安全Linux操作系统研究与实现

安全操作系统的研究和开发是当前信息安全研究领域的重点和难点。安全策略及其适应性是安全操作系统的关键。介绍安全策略的概念和分类 ;根据策略适应性的要求 ,在分析Linux内核机制的基础上 ,设计并实现一种新的安全Linux操作系统强制访问控制实现模型 ,给出系统的体系结构和运行机制 ;分析了该模型的特点和性能。     

基于创新价值链的知识信息服务系统重构

在创新型国家建设和发展中,国家经济逐步从依赖于物质资源的低效运行转变到依赖于知识创新资源的高效运行发展轨道。其中,服务系统建设是面向国家创新的知识信息服务的主体。在创新价值链和知识信息服务在知识创新过程中的作用机制基础上,基于创新价值链的知识信息服务系统重构,我国各创新主体的知识来源及获取途径、知识信息服务业务及需深化的内容,应注重创新主体的知识信息需求分析、系统重构模型、系统的组织实施、政策和法律保障等诸多方面。     

角色权限分配模型研究

在RBAC模型中,由管理员进行角色一权限分配可导致系统访问控制策略的实施存在一定的安全漏洞,在对RBAC进行研究的基础上,建立了角色一权限分配模型,该模型运用角色的属性,采用角色分解方法产生角色一权限的对应关系,从而保障了系统访问控制策略的正确实施,同时也减轻了管理员的负担。     

基于日志的富语义ABAC策略挖掘

为了解决大规模环境下的细粒度访问控制问题,挖掘出易于人工阅读、契合主体行为模式、精确完备的基于属性的访问控制（ABAC）策略,从而为安全管理员进行策略构建、维护和优化提供有力支撑,提出基于日志的富语义ABAC策略挖掘方法. 该方法基于频繁模式挖掘算法,从访问日志和属性数据中挖掘契合主体行为模式的ABAC策略. 对策略进行正确性和语义质量分析获得富语义ABAC策略集. 通过交叉验证方法对策略集的精确性和完备性进行验证,算法在公开数据集上的F1得分为0.8375,在手写数据集上的F1得分为0.9394. 在手写数据集上的验证表明,算法可以在较小训练集上得到比现有算法更高质量的策略集,所得授权规则在易读性方面有所提升.