软件系统的可信降密述评

无干扰模型是信息流控制中的基础性安全模型,能确保敏感信息的零泄露,但其安全条件的限制性过强。软件系统由于功能的需要不可避免地需要违反无干扰模型,释放合适的信息。为了防止攻击者利用信息释放的通道获取超额的信息,需要对释放的通道进行控制,建立信息可信降密的策略和实施机制。基于不同维度对现有的降密策略进行归类,大致归并为降密的内容、主体、地点和时间维度;并对现有降密策略的实施机制进行分类,大致可分为静态实施、动态实施和安全多次执行;对这些机制的特点和不足之处进行比较,并探讨了后续研究面临的挑战,展望了未来的研究方向。     

基于自动机监控的二维降密策略

降密策略静态实施机制具有限制性过强的缺陷:它将降密策略语义条件判定为安全的程序排斥在外。为了建立更加宽容的实施机制,基于自动机理论,建立了二维降密策略的动态监控机制。程序执行中的命令事件被抽象为自动机的输入,自动机根据这些输入信息跟踪程序执行过程中的信息流,禁止违反降密策略的程序命令的执行。最后,证明了自动机监控机制的可靠性。     

多线程环境中的二维降密策略

降密策略的主要目的在于确保程序中敏感信息的安全释放。目前,降密策略的安全条件和实施机制的研究主要集中在顺序式程序设计语言,它们不能直接移植到多线程并发环境,原因在于攻击者能利用线程调度的某些性质推导出敏感信息。为此,基于多线程程序设计语言模型和线程调度模型,建立了支持多线程并发环境的二维降密策略,有效确保了在合适的程序点降密合适的信息;建立了多线程并发环境下该降密策略的动态监控机制,并证明了该实施机制的可靠性。     

二维降密策略的内联引用监控方法

降密策略的静态实施机制存在限制性过强的缺陷,基于虚拟机的动态监控机制不能完全适合Web和即时编译环境。为此,基于内联引用监控方法,实施了基于内容和地点维度的二维降密策略。提出了内联引用监控方法的程序变形规则,并证明了该方法的可靠性;根据该程序变形规则,将源程序进行变形重写,生成一个新的程序,它能脱离外部监控环境,实现自我监控。     

基于身份的签密方案

现有基于身份的签密方案存在签密不能被公开验证、签密能被伪造和签密不具有健壮性等缺陷。分析LHL方案的安全性,利用双线性对提出一个基于身份的签密方案,该方案能保证签密具有公开验证性、不可伪造性、健壮性、不可否认性和前向安全性,它只需要4个对运算,其效率高于其他基于身份的签密方案。     

基于广义污点传播模型的操作系统访问控制

动态调整安全级是目前提高强制访问控制模型可用性的主要途径,它大致包括两类方法.其中,安全级范围方法对主体权限最小化的支持不够,而污点传播方法存在已知隐蔽通道.提出了保护操作系统保密性和完整性的广义污点传播模型(generalized taint propagation model,简称GTPM),它继承了污点传播在最小权限方面的特点,拓展了污点传播语义,以试图关闭已知隐蔽通道,引入了主体的降密和去污能力以应对污点积累;还利用通信顺序进程(CSP)语言描述了模型的规格,以明确基于GTPM的操作系统的信息流控制行为的形式化语义;基于CSP的进程等价验证模型定义了可降密无干扰,并借助FDR工具证明形式化构建的抽象GTPM系统具有可降密无干扰安全性质.最后,通过一个示例分析了模型的可用性提升.     

局域网集中管控安全防护系统的实现探究

结合局域网信息安全保密应用实际,提出了涉密电子信息集中安全防护技术的建设策略,实现个人不留密、终端不存密、网络数据统管、移动存储设备技术防控、联网操作行为授权控制,分析了集中管控安全防护体系的重点技术环节。     

群智感知中基于区块链的带时效签密方案

用户利用手机或者智能手环等终端设备收集环境数据,但数据在传输过程中极容易遭受窃听、篡改等威胁.基于椭圆曲线提出一种无证书签密方案,以保障信息的安全性和可验证性.基于离散对数和计算性Diffie-Hellman问题,在随机预言机模型下证明了方案的机密性和不可伪造性,此外新方案具有公开验证性和匿名性等安全属性.为了方便对终端设备的精确控制,提出一种适配于签密方案的节点退出机制,在该机制中,基于区块链进行公钥时效管理,确保设备按照配置策略退出.公钥信息存储在区块链中,避免了针对公钥信息恶意篡改的问题.由智能合约更新公钥有效性,无需人工参与,确保时效管理模块的可信性.区块链执行公钥时效更新操作,不占用物联网设备的计算资源.性能分析显示,新方案具有较短的密钥长度,较低的计算复杂度.在实验仿真部分,首先给出了签密算法各个步骤执行时间的对比结果,并分析了数据量对签密算法性能的影响.然后给出了引入时效管理模块后签密算法执行的时间,结果显示签密步骤性能损失约为7％,解签密步骤性能损失不到1％,而且两个步骤执行时间均不超过120 ms,能够有效适配到物联网应用场景中.     

因特网AS级拓扑的健壮性测度与健壮性演化

以自治系统(autonomous system,AS)为基本组成单元的域间路由系统是因特网(Internet)的核心组成部分,研究Internet AS级拓扑的健壮性对于整个Internet的健壮性设计具有重要意义.2003年的北美停电事故与2006年、2010年的台湾地震表明,当今Internet的健壮性仍亟待增强.本文结合基本的拓扑理论与实际的路由策略约束,利用Internet AS级拓扑的层次特性,从"单个AS"和"全局拓扑"两个不同的层面研究AS级拓扑的健壮性测度与健壮性演化:1)提出了对单个AS的健壮性测度的方法;2)对全局AS级拓扑的健壮性测度提出了k容错模型---任意k个AS级的节点/链路故障不影响任何其他两个AS之间的连通性;3)基于健壮性测度方法和k容错模型,提出了健壮性演化的机制与方法.对当今Internet AS级拓扑的统计分析表明:1)25.8%的AS节点还不能承受1个AS级的链路故障,26.4%的AS节点还不能承受1个AS节点故障;2)将现有的AS级拓扑演化为k容错拓扑不仅能保证任意节点对之间可达性的k容错,在故障数超过k的情况下,k容错拓扑的健壮性也显著优于原拓扑.     

Java中可检查异常的使用策略

强大的异常处理是Java的一大优势.可检查异常是程序设计中流程所能控制的部分,也是程序设计中异常处理的核心.有效的使用可检查异常能加强程序的健壮性.本文对于可检查异常的处理提出一些使用策略.     

A hookup theorem for multilevel security

A security property for trusted multilevel systems, restrictiveness, is described. It restricts the inferences a user can make about sensitive information. This property is a hookup property, or composable, meaning that a collection of secure restrictive systems when hooked together form a secure restrictive composite system. It is argued that the inference control and composability of restrictiveness make it an attractive choice for a security policy on trusted systems and processes     

基于下推系统可达性分析的程序机密消去机制

针对程序语言信息流安全领域的现有机密消去策略,提出了一种基于下推系统可达性分析的程序信息流安全验证机制.将存储-匹配操作内嵌于对抽象模型的紧凑自合成结果中,使得对抽象结果中标错状态的可达性分析可以作为不同机密消去策略下程序安全性的验证机制.实例研究说明,该方法比基于类型系统的方法具有更高的精确性,且比已有的自动验证方法更为高效.     

基于内容和地点维度的机密信息降级策略

目前机密信息降级策略的研究主要集中在信息降级的内容、地点、时间等维度上,每个维度的策略都有一定的局限性,攻击者将会利用其他维度的漏洞,非法获取额外的机密信息。降级策略需要综合考虑多个维度来确保机密信息的可信降级。为此,利用攻击者知识模型,提出了一种基于内容和地点维度的降级策略。内容维度的关键思想是攻击者不允许通过滥用降级机制来获取额外的机密信息,而地点维度控制机密信息仅能通过特定的语句进行降级。此外,建立了该策略实施的类型规则,并证明了类型规则的可靠性。     

企业信息安全策略及解决方案

通过分析企业在信息化建设中所面临的信息安全问题,提出了保障企业信息安全的策略及解决方案。分别从管理者角度和技术角度,包括设备及运行环境安全、系统运行安全、网络安全、访问控制安全、数据库安全、存储安全这几个方面论述了影响企业信息安全的因素、应采取的安全策略和解决措施,阐明了全面构筑信息安全体系,消除网络安全隐患,做到防患于未然的思想。     

基于安全标签的访问控制研究与设计

为了保障信息的安全性和保密性,对信息的访问和操作需要遵循一定的安全策略.安全标签是实现多级安全系统的基础,是实施强制访问控制安全策略的前提.对基于安全标签的强制访问控制模型的实现方案和技术进行了较为详细地分析,主要从安全标签的定义、组成、存储、比较算法和实现等几个方面进行了讨论.鉴于安全标签在高安全等级数据库系统中的重要作用,并在自行开发的具有自主版权的数据库管理系统LogicSQL上实施了该方案,使其至少达到B1级别安全.     

基于BLP和Clark-Wilson策略的混合强制模型

BLP模型通过允许低安全级别到高安全级别的信息流动,保证了信息的机密性。但是不能解决普遍存在的下向信息流。而Clark-Wilson模型通过可监控的状态转换提供了完整性保护。提出的模型以BLP控制策略为基础,并在Clark-Wilson模型的监控下,允许下向信息流的流动。证明了该模型是安全的,可行的。