多线程环境中的二维降密策略

降密策略的主要目的在于确保程序中敏感信息的安全释放。目前,降密策略的安全条件和实施机制的研究主要集中在顺序式程序设计语言,它们不能直接移植到多线程并发环境,原因在于攻击者能利用线程调度的某些性质推导出敏感信息。为此,基于多线程程序设计语言模型和线程调度模型,建立了支持多线程并发环境的二维降密策略,有效确保了在合适的程序点降密合适的信息;建立了多线程并发环境下该降密策略的动态监控机制,并证明了该实施机制的可靠性。     

基于信息格的降密策略

降密策略是信息流安全研究的重要挑战之一.目前的研究主要集中在不同维度的定性分析上,缺乏对机密信息降密数量的精确控制,从而导致降密策略的限制性与程序安全需求之间的关系难以精确控制.为此,提出基于信息格的量化度量方法,通过阈值的控制,从定量的角度对健壮性降密策略的限制性进行放松,实现富有弹性的健壮性降密策略.     

基于广义污点传播模型的操作系统访问控制

动态调整安全级是目前提高强制访问控制模型可用性的主要途径,它大致包括两类方法.其中,安全级范围方法对主体权限最小化的支持不够,而污点传播方法存在已知隐蔽通道.提出了保护操作系统保密性和完整性的广义污点传播模型(generalized taint propagation model,简称GTPM),它继承了污点传播在最小权限方面的特点,拓展了污点传播语义,以试图关闭已知隐蔽通道,引入了主体的降密和去污能力以应对污点积累;还利用通信顺序进程(CSP)语言描述了模型的规格,以明确基于GTPM的操作系统的信息流控制行为的形式化语义;基于CSP的进程等价验证模型定义了可降密无干扰,并借助FDR工具证明形式化构建的抽象GTPM系统具有可降密无干扰安全性质.最后,通过一个示例分析了模型的可用性提升.     

基于自动机监控的二维降密策略

降密策略静态实施机制具有限制性过强的缺陷:它将降密策略语义条件判定为安全的程序排斥在外。为了建立更加宽容的实施机制,基于自动机理论,建立了二维降密策略的动态监控机制。程序执行中的命令事件被抽象为自动机的输入,自动机根据这些输入信息跟踪程序执行过程中的信息流,禁止违反降密策略的程序命令的执行。最后,证明了自动机监控机制的可靠性。     

二维降密策略的内联引用监控方法

降密策略的静态实施机制存在限制性过强的缺陷,基于虚拟机的动态监控机制不能完全适合Web和即时编译环境。为此,基于内联引用监控方法,实施了基于内容和地点维度的二维降密策略。提出了内联引用监控方法的程序变形规则,并证明了该方法的可靠性;根据该程序变形规则,将源程序进行变形重写,生成一个新的程序,它能脱离外部监控环境,实现自我监控。     

基于内容和地点维度的机密信息降级策略

目前机密信息降级策略的研究主要集中在信息降级的内容、地点、时间等维度上,每个维度的策略都有一定的局限性,攻击者将会利用其他维度的漏洞,非法获取额外的机密信息。降级策略需要综合考虑多个维度来确保机密信息的可信降级。为此,利用攻击者知识模型,提出了一种基于内容和地点维度的降级策略。内容维度的关键思想是攻击者不允许通过滥用降级机制来获取额外的机密信息,而地点维度控制机密信息仅能通过特定的语句进行降级。此外,建立了该策略实施的类型规则,并证明了类型规则的可靠性。     

基于属性加密的DDS访问控制方案

数据分发服务（Data distribution service,DDS）是一种可靠的实时数据通信中间件标准,它是面向基于发布/订阅模型的分布式环境,在各个领域得到了广泛应用,但现有研究涉及DDS安全技术的成果较少,而在实际应用中发布订阅系统存在多种安全威胁。为了建立灵活可靠的安全机制来确保发布订阅信息的安全性,提出一种以数据为中心的访问控制方案。在属性加密的基础上,对访问树结构进行优化处理,结合发布订阅环境增加属性信任机制。之后采用制定属性连接式与授权策略的方式对发布订阅信息进行加密匹配,并建立DDS访问控制模型来控制发布订阅系统内信息的交互,实现数据的安全分发。经过实验验证,该方案既能够应对DDS存在的几种安全威胁,保障发布订阅信息的机密性,也能够实现系统对特定信息的访问控制,并且发布者订阅者不需要共享密钥,减少了密钥管理的开销。     

基于可信计算的多级安全模型

针对当前多级安全模型在访问过程中缺乏信息安全保护机制的不足,基于可信计算技术对使用控制模型进行改进,实现保密性和完整性两者兼顾的多级安全模型。改进模型将在整个访问过程中对信息的安全性进行保护,并运用完整性验证策略保护信息的完整性,同时方便安全管理员根据管理需要,对安全策略进行调整,提高了系统的灵活性。     

非传递无干扰下IP安全与TA安全关系研究

IP安全适用于非传递策略的无干扰模型。但是，满足IP安全的系统中仍然存在类似于动作先后顺序这样的信息，因此，提出了新的无干扰模型TA安全。对非传递无干扰下IP安全和TA安全进行比较分析，给出函数[ipurge]与函数[ta]的差别条件，函数[ta]隐藏了动作序列中部分动作的先后顺序，这些动作的先后顺序对于安全域是一种额外的信息。然后，使用该差别条件，提出当系统满足IP安全时，使系统满足TA安全所需要的条件并进行形式化推导。     

使用控制授权模型的安全性研究*

在基于策略的模型中,研究了使用控制授权模型的安全特性,首先分析了在一般使用控制授权模型中安全问题的不确定性;然后在限定属性值范围和无生成策略的条件下,说明了安全问题的确定性;最后通过释放生成策略的限制,在非连通的属性生成图和包含生成父属性的属性更新图中,证明了安全问题的确定性.     

基于下推系统可达性分析的程序机密消去机制

针对程序语言信息流安全领域的现有机密消去策略,提出了一种基于下推系统可达性分析的程序信息流安全验证机制.将存储-匹配操作内嵌于对抽象模型的紧凑自合成结果中,使得对抽象结果中标错状态的可达性分析可以作为不同机密消去策略下程序安全性的验证机制.实例研究说明,该方法比基于类型系统的方法具有更高的精确性,且比已有的自动验证方法更为高效.     

Infrastructural Support for Enforcing and Managing Distributed Application-Level Policies

State-of-the-art security mechanisms are often enforced in isolation from each other, which limits the kinds of policies that can be enforced in distributed and heterogeneous settings. More specifically, it is hard to enforce application-level policies that affect, or use information from multiple distributed components. This paper proposes the concept of a Security Service Bus (SSB), which is a dedicated communication channel between the applications and the different security mechanisms. The SSB treats the security mechanisms as reusable, stand-alone security services that can be bound to the applications and it allows the enforcement of advanced policies by providing uniform access to application-level information. This leads to a security infrastructure that is more flexible and more manageable and that can enforce more expressive policies.     

信息论课程在网络安全与执法专业建设中的重要性研究

网络安全与执法专业融合信息通信工程、信息安全和计算机科学与技术专业学科知识,旨在培养信息时代的优秀网络安全执法人员。信息论作为现代通信的理论基础,涵盖信源编码、信道传输和密码学等多学科理论。作为通信类专业的主干课程,信息论同样应该成为网络安全与执法专业的重要课程之一。在网络安全与执法专业开设信息论课程,通过教授基础信息理论、结合当前技术发展前沿,讲授信息网络通信理论体系,对完善网络安全与执法专业建设具有重要意义。文章论述信息论课程对网络安全与执法专业建设的重要性并得出结论：信息论课程建设是网络安全与执法专业建设的重要工作。因此,在网络安全与执法专业建设中,应当开始相应信息论课程。     

车载信息系统的安全测评体系及方法

汽车信息系统的安全工作主要集中在分析、挖掘车载信息系统及其功能组件现存的安全漏洞及可行攻击方式的实验验证,缺乏全面、系统的车载信息系统安全测评体系及评估方法。论文在分析车载信息系统安全现状的基础之上,提出将车载信息系统的安全等级划分为：家用车载信息系统和商用车载信息系统,定义了两个等级车载信息系统的保护能力,并借鉴通用信息系统的安全等级保护要求,提出车载信息系统不同保护等级的基本安全要求,首次建立车载信息系统的安全等级测评体系。进一步建立层次化安全评估模型及算法,实现车载信息系统的定量安全评估。通过奥迪C6的安全测评案例证明,提出的等级测评体系及评估方法是可行、合理的,为分析车辆信息系统的安全状况提供支撑,填补了国内车载信息系统安全测评体系及评估方法的空白。     

A distributed digital rights management model for secure information-distribution systems

There is a need to protect digital information content and the associated usage rights from unauthorized access, use, and dissemination. The protection mechanisms should meet the requirements for the correct management of fine-grained access and usage controls and the protection of user privacy. Digital rights management (DRM) solutions have significant relevance in this context. This paper describes a distributed DRM model for a secure information-distribution system consisting of six trust-building blocks. These are (i) the user application, (ii) the authentication and authorization module, (iii) Rights-Carrying and Self-Enforcing Objects (SEOs), (iv) the privacy enforcement module, (v) theUsage Tracking and Monitoring Proxy (UTMP), and (vi) thesecurity infrastructure. SEOs are information objects that carry access and usage rights and are responsible for the fine-grained enforcement of these rights. The security infrastructure plays a pivotal role in the creation, distribution, storage, manipulation, and communication of information objects across organizational boundaries with the required level of security. Our model was originally developed for an Internet-based learning project in Norwegian schools and meets most of the aforementioned requirements.