安全中间件——SSPM管理模块的设计

公共安全服务管理器（CSSM）是安全中间件核心模块。讨论了它的体系结构及其安全服务的运行流程。设计了对安全服务提供者模块（SSPM）的管理模块，给出了使用的数据结构及算法。     

Web服务安全基础设施的研究

对Web服务已经存在的安全问题进行了分析，研究了目前提出的Web服务安全技术，包括XML加密和签名，SAML，XACML，XKMS，WS Security等，在这基础上提出了Web服务安全基础设施架构，以确保各安全组件能协同工作。最后分析了该架构在Web服务安全中的典型协作场景。     

自动化组件及其Web应用

在ASP文件中能够调用COM组件所提供的服务，丰富了多层软件结构的形式，其中的关键技术之一是自动化。文章讲述了自动化技术的原理，并以自动化组件ADO（ActiveX Data Objects)为例，介绍了自动化组件的应用。     

从CDSA看安全体系架构

信息安全问题是制约电子商务和信息服务发展的最基本问题。而系统中的安全又是一个整体的观念。必须从体系架构入手来提出解决方案。本文对Intel提出的安全体系架构CDSA的层次结构进行了分析。并对下层插件式安全模块的功能进行了具体描述，总结了目前CDSA的安全性和存在的问题。     

安全体系架构的一个实例分析

信息安全问题是制约电子商务和信息服务发展的最基本问题,而系统中的安全又是一个整体的观念,必须从体系架构入手来提出解决方案。本文对Intel提出的安全体系架构CDSA的层次结构进行了分析,总结了目前CDSA的安全性和存在的问题。     

CDSA与电子商务

本文详细描述了为解决Internet和Intranet应用中日益突出的通信和数据安全问题而提出的分级安全服务构架——通用数据安全体系结构(CDSA)的原理、基本商业模型和对电子商务的影响。     

Intel CDSA概述

本文介绍了PKI的基本概念，并在此基础上着重介绍了PKI的一种具体实现模式－－CDSA的体系结构、特点及其基本组件。     

WAP协议中的安全鸿沟问题及其解决方法

对WAP环境中的应用机制作了简要的介绍，通过对这些安全机制的分析提出WAP环境中存在的安全鸿沟（Security Gap)问题。Security Gap问题，文章提出了通过设置WAP网关的位置和对WAP协议进行扩展这两种可行的解决方法，WAP协议中的Security Gap问题的解决，对于WAP技术的推广应用将是至关重要的。     

Android框架层完整性度量方案

长期以来Android系统一直是黑客攻击的主要目标之一,自发布以来一直面临着root、镜像篡改、恶意程序等安全风险,框架层是在系统安全中容易被忽视但又能产生极高的安全风险.本文分析了Android系统中框架层的表现形式和框架层的使用方式,针对框架层特点提出了一种框架层完整性度量方法（FIMM）,以此保障Android系统框架层代码完整性和运行时的完整性.对于Android系统针对框架层组件完整性保护的缺失,该方法能提供框架层组件在加载时的完整性度量和完整性校验.而对于Android的系统服务,我们考虑到其较长的运行周期的特征,于是研究了系统服务的调用过程并为其提供了较为细粒度的动态度量,在每次系统服务调用时确认系统服务进程代码段的完整性.最后我们给出了基于Android模拟器的原型系统的实现,并分析了FIMM的安全性和性能损耗,认为FIMM能完全达到我们的安全预期,并且只会造成少量的性能损耗.     

基于J2EE的USSP安全中间件的研究与实现

结合USSP（Universal Security Support Platform通用安全支撑平台）项目组搭建的PKI安全平台,设计并实现了USSP安全中间件。USSP安全中间件可以屏蔽安全的复杂性,如算法复杂性、模块间和模块内部的安全、体系结构安全、基于组件的安全及其效率等等。     

DGSA、SSAF和CDSA安全体系结构比较与分析

该文介绍了美国国防目标安全体系结构(DGSA)、美国国防基础设施公共操作环境(DIICOE)安全服务体系结构框架(SSAF)和Intel公司开发的公共数据安全体系结构(CDSA),并对它们进行了比较和分析。     

面向业务:信息安全保障业务发展新趋势

如今信息安全在信息社会扮演极为重要的角色,直接关系到政府运作、企业经营和人们的日常生活,信息安全服务也已成为信息安全保障体系的重要内容。然而国内信息安全服务行业却存在很多问题,管理者的信息安全意识不足,安全服务以事件应急响应为主,忽视为客户提供主动、系统的面向业务的服务。针对这一现状,本文提出了基于业务的信息安全服务体系(Business-based Information Security Service System,BISSS),利用企业架构(Enterprise Architecture,EA)对机构及其信息系统进行分析,以信息系统的业务属性为出发点和依据,为客户提供覆盖整个信息系统生命周期的安全服务。     

User security enhancement: A worldwide security project

The Society for Worldwide Interbank Financial Telecommunication (S.W.I.F.T.) provides financial processing and communication services of the highest quality and integrity. Its network and value-added services enable customers to reduce costs, raise productivity and control risks. Security is one of the key benefits that S.W.I.F.T. offers to customers, and the User Security Enhancement (USE) programme is a major part of the company's security strategy.     

通用标准CC的研究与实现

随着计算机技术及Internet的不断发展，如何保证信息系统安全成为一个重要课题．针对这个问题，设计实现了基于信息技术安全性评估准则(通用标准)的系统评估方法和软件．首先在分析通用标准结构的基础上，设计了安全功能和保证要求的体系结构；接着针对保护轮廓和安全目标这两个通用标准的核心文档进行了分析与设计，并指出了文档结构中的内在联系；然后提出了针对标准结构和其内在关联应完成的评估要素；最后给出了评估系统的设计和实现．通过实际保护轮廓和软件产品的安全目标实例分析表明本文所提出的评估方法和系统能够指导信息系统的评估和实践．     

CORBA中的安全服务模型研究

在分布式计算环境中，CORBA为解决异构环境的应用提供了良好的基础，但其安全性一直是人们关注的重点，该文从CORBA规范对安全服务的考虑，分析了COSS规范中的几种安全服务模型，提出了安全模型的实现层次和结构框架，介绍了CORBA与JAVA的结合，通过JAVA本身的安全机制进一步加强系统的安全服务。     

Extending TINA with Secure On-Line Accounting Services

Concepts and principles of TINA (Telecommunications Information Networking Architecture) are introduced with the objective of correcting problems of the current centralized service control and service data model in an IN (Intelligent Network). It is becoming increasingly clear that the future sophisticated telecommunication services, e.g., multimedia, and multi-party conferencing, breaking away from the traditional telephony call model will need the solutions for rapid and efficient introduction, deployment, operations, and management.In this paper, we discuss accounting features and requirements, as well as security services in the TINA management context. We will introduce and present an implementation of a model for a security management, based on secure objects, cryptography and certificate distribution. In order to provide secure services, secure objects that have security functionality, such as authentication and access control, have been defined. Secure objects in our model are CORBA objects. The security domain is also called SBS (Security Base Server), provides security services and has an SMIB (Security Management Information Base) that contains security policies, cryptographic algorithms, and other relevant information. A prototype has been implemented and some experimental results are presented.     

Linux下VPN实现

IPSec是一个开放式的网络安全标准，可为上层协议无缝地提供安全保障。首先介绍了构造VPN的主要依据IPSec协议，然后对Linux下IPSec的发送模块和接收模块进行了较详细的分析，并在Linux下实现了一种基于IPSec的VPN。     

一种防火墙系统安全模型的形式描述

文中提出了一种防火墙系统的安全模型，该模型构筑在防火墙系统的安全服务基础之上，将安全模型抽象为若干安全服务的集合并用形式化的方法进行了描述，着重描述了安全服务的动态特性，安全模型的动态特性以及安全模型和防火墙系统之间的相互关系，提出了安全服务的双向性及关键服务集的概念，该模型在已实现的分布式动态防火墙原型系统中得到了验证。     

IPSecVPN、MPLS VPN与网络数据安全

目前，两种既各具特点又具有一定互补性的VPN架构正逐渐在交付新兴服务的基础网络领域大行其道，这两种VPN就是基于IP Security(IPSec)的VPN和采用MPLS技术的VPN。文章对这两种架构的VPN进行了探讨，重点分析了它们在网络数据安全方面所采用的方针和策略，并对它们的安全性进行了比较，对怎样选择网络架构和保证网络的数据安全有一定的指导和借鉴作用。