基于TNC的安全认证协议的设计与实现

安全协议是保证网络安全的基础,现有安全协议为服务器和网络提供了很好的保护,但对客户终端缺乏保护。该文以可信网络连接(TNC)的终端完整性度量思想为基础,提出了一种基于TNC结构的安全认证协议。该协议在可信计算环境下将终端完整性度量技术与公钥基础设施(PKI)相结合使用,确保了终端平台的可信性。     

电力物联网终端网络安全监测技术研究

根据电力物联网终端网络监测技术提出的安全性和可靠性更高要求,加快电力物联网终端网络安全管理平台的建设,尽快实现网络终端的实时监测和闭环管理。因此,本文重点研究和分析了电力物联网终端的网络安全监测技术,从而确保了电力物联网终端的网络安全,避免了各种病毒和网络安全漏洞对电力系统的网络安全造成严重威胁。     

计算机网络的安全审定

<正> 一,网络安全级别的审定 1.建立计算机网络结构计算机网络实体包括:子网,计算机系统、通信控制器、调制解调器、络端控制器、终端、网关(gateway)、服务器、通信线路等。 2.检查对每一实体是否建立了安全级别。 3.审定网络中每一实体的实体保护级别是否与定义的安全级别一致。 4.检查网络中的共享数据库是否设定了     

基于流量特征的可信网络系统设计与实现

大多数可信网络系统使用的完整性度量技术仅能度量可执行文件而忽略了脚本文件,造成安全隐患。针对该问题,设计实现一种基于流量特征的可信网络系统,不仅对终端进行完整性度量,还利用终端网络流量的周期统计信息判断终端的完整性状态,由此保证脚本文件的可信性。在Linux上实现该系统,结果证明其能够快速检测出特定的脚本病毒。     

嵌入式银行网络安全终端系统的设计

本文提出了利用SoC芯片Garfield,设计基于uClinux操作系统和TCP/IP网络的银行自助设备--网络安全终端.从网络安全终端的功能定义与系统方案、网络安全终端的硬件实现原理图与样机制作、uClinux操作系统在Garfield芯片上的移植、网络安全终端各接口驱动以及TCP/IP驱动的编制、终端安全性的实现和终端与相应银行交易系统B/S架构下应用程序的开发等方面论述了系统实现的过程.     

基于攻防对抗的网络安全动态评估方法

根据网络攻防对抗实时变化的特点,提出了一种网络安全状态的动态评估方法。首先,根据敌我双方攻防特点,建立基于脆弱性状态迁移的网络安全模型;然后,在此基础上量化攻击成功的可能性和产生的后果,并分析攻防对抗行为对关键资产保密性、完整性、可用性等安全属性的影响,并通过实验验证了该方法的可行性及有效性。     

基于攻防随机博弈模型的防御策略选取研究

由于网络安全攻防双方的目标对立性和策略依存性,使得最优防御策略选取问题十分复杂.形式化定义了网络安全防御策略选取问题.提出了一种刻画网络安全攻防矛盾,解决防御策略选取问题的攻防随机博弈模型.该模型是矩阵型攻防博弈模型和Markov决策过程的扩展,是多人、多状态的动态攻防推演模型.将攻击者在网络实体上的特权状态作为攻防随机博弈模型的元素,建模网络攻防状态的动态变化,并预测攻击行为和决策最优防御策略.给出了基于上述模型的防御策略选取算法.用一个网络实例分析了该模型和算法在攻击策略预测和防御策略决策方面的有效性.     

网络安全性定量评估模型研究

通过对网络信息安全要素机密性、完整性和可用性的分析和量化,定义了网络安全机密性向量、网络安全完整性向量和网络安全可用性向量,建立了层次化网络安全性评估指标体系;然后,在基于正、负理想比较标准基础上,对评估指标元素进行无量纲化灰色处理,并提出了一种定性与定量相结合的多层线性加权的网络安全评估模型;最后,通过举例分析证实了所建立模型的可行性和有效性。     

一种基于完整性保护的终端计算机安全防护方法

终端计算机是网络空间活动的基本单元,其安全性直接关系着网络环境和信息系统的安全.提出了一种基于完整性保护的终端计算机安全防护方法,它将完整性度量和实时监控技术相结合,保证终端计算机运行过程的安全可信.建立了以TPM为硬件可信基、虚拟监控器为核心的防护框架,采用完整性度量方法建立从硬件平台到操作系统的基础可信链;在系统运行过程中监控内核代码、数据结构、关键寄存器和系统状态数据等完整性相关对象,发现并阻止恶意篡改行为,以保证系统的完整、安全和可靠.利用Intel VT硬件辅助虚拟化技术,采用半穿透结构设计实现了轻量级虚拟监控器,构建了原型系统.测试表明,该方法能够对终端计算机实施有效的保护,且对其性能的影响较小.     

基于状态迁移网络安全联动策略验证与模型构造

随着科技发展和网络与计算机的普及，网络安全问题变得日益严重。针对此问题提出了一个基于状态迁移的新的网络安全联动策略模型，生成安全策略，并在安全域的基础上对其中策略的完整性、正确性、一致性和冗余性进行验证。新模型实现了一个策略从生成到验证，再到执行直至最后失效的整个过程监控管理。     

移动可信接入轻量级认证与评估协议

为增强移动终端可信网络接入认证与评估协议的可用性,降低网络通信负载及终端计算负载,提出一种轻量级的身份认证与平台鉴别评估协议。协议基于接入双方在首次接入时共享的认证密钥以及对方的可信平台配置信息,在不需要可信第三方参与的情况下,完成快速的身份认证与鉴别评估。协议减少了网络数据交换次数以及接入双方的计算工作量,在保证接入认证与评估所需的安全属性的同时,还增强了平台配置信息的机密性以及抵抗重放攻击的能力。安全性和性能分析表明,所提协议适合无线网络通信环境下的移动终端可信网络接入。     

智能移动系统的网络安全研究

随着移动技术的发展,越来越多人员已经不仅在办公室处理日常事务,他们已开始使用手机、PDA和笔记本等移动终端通过公共通信网络访问单位内部的资源和应用.但是,这种通过公共网络接入也给单位网络引入了新的安全威胁,而传统的终端VPN已经满足不了现有的智能手机/平板电脑等移动终端的安全接入需求：一方面,如何保证在开放网络中保障移动终端用户身份和接入安全、数据保密性以及移动通信传输过程的一致性和完整性等安全要求;另一方面,由于移动终端容易丢失,如何保证移动终端内存储数据的安全性.因此,本文对基于Android架构的移动系统安全体系及所面临的安全威胁进行阐述并提出一些相应的防范措施.     

基于谷歌Android系统的企业级安全防护方法

随着移动数据技术的进步和通信基础设施建设（如：3G等）的日益成熟与普及,越来越多员工已经不仅仅在办公室处理单位的日常事务,各企事业单位和移动办公人员用手机、PDA和笔记本等移动终端通过公共通信网络（CDMA／GPRS／WCDMA等）访问单位内部的资源和应用,但是,这种通过公共网络接入也给单位网络引入了新的安全威胁,而传统的终端VPN已经满足不了现有的智能手机／平板电脑等移动终端的安全接入需求;一方面,如何保证在开放网络中保障移动终端用户身份和接入安全、数据保密性以及网络边界完整性等安全接入要求,成了移动终端应用推广的重点关切问题,另一方面,由于移动终端容易丢失,如何保证移动终端内存储数据的安全性呢？一旦安全事件爆发,其危害性将远远大于计算机病毒。因此非常有必要深入研究移动终端面临的安全威胁和应对策略。     

CSCW系统访问控制模型及其基于可信计算技术的实现

现有的CSCW访问控制策略模型缺少时间和约束特性,在实现上也未能较好地解决开放网络下的身份伪装和欺骗问题,以及影响安全策略完整性实施的软硬件平台可信问题。本文基于角色一活动概念提出了一种具有时间依赖和约束特征的CSCW访问控制模型Fine-grained Access Control for CSCW,从而能够定义更为精确细致的安全策略;在模型实现中给出了Trusted Computing-enabled Access Control架构以及关键的策略分发和实施协议等。该方法通过建立完整的协作实体-CSCW平台-应用信任链,构建了可信的访问控制平台,增强了协作实体的身份鉴别,并通过角色相关策略的分发和在本地协作站点上的完整性实施,减轻了服务器端集中式执行安全策略的负担。     

基于分离机制网络的可信域内快速认证协议

分离机制网络明确地分离了主机身份与位置信息,将互联网体系划分为接入网与核心网两大类,很好地解决了互联网的扩展性和移动性等问题.基于分离机制网络,结合可信计算技术,提出一种终端域内切换时的快速认证方案,在对终端用户身份进行认证的同时,对终端平台进行身份认证和完整性校验.在本方案中,终端进行域内切换时不需要本域的认证中心再次参与,仅由接入交换路由器通过Token即可完成认证.认证过程可以保持用户身份和平台信息的匿名性,减轻了认证中心的负担.与其他方案相比,本方案在认证开销、认证延迟以及安全性等方面均有明显优势.安全性分析结果表明本方案是安全高效的.     

混合网络安全管理平台架构设计

移动终端接入过程的安全管理与现有固网接入管理的融合是综合安全管理的一个重要环节。该文对混合网络安全管理提出了一种解决方案,设计了一种网络管理平台模型。将移动接入安全管理与传统网络管理结合起来,降低了管理的复杂度。     

园区网终端安全管控系统的构建

从终端安全存在隐患入手,着眼什么人能上网、什么机器能上网、上网的人有权做什么以及上网的人都做了什么等问题,辨析了终端安全的管控目标,提出了园区网终端安全管控系统的设计构想,同时,从区域、接入控制网关、引流规则、客户端和检查策略等角度对系统进行规划部署,并对准入权限控制、终端健康检查和终端用户行为管理的技术实现进行了详细阐述,对园区网终端安全管控系统的构建提出了建议。     

基于商密算法的视频终端安全接入系统的研究与实现

在电网视频监控系统不断发展的同时,视频终端接入监控系统时的安全问题也在不断突出,信息泄漏、数据篡改以及恶意攻击等问题严重威胁着电网的安全。本文基于电网视频监控系统的应用现状以及安全风险,结合电力安全防护的要求,设计一种基于商密算法的视频终端安全接入系统,可实现电力视频终端的安全接入。最后通过实验测试分析并验证了该系统能够满足电力视频监控的安全防护要求。     

基于加密SD卡的内网移动终端可信接入方案

为了解决因不可信移动终端非法接入内网导致的信息安全问题,设计了一种基于加密SD卡的内网移动终端可信接入方案。通过可信计算技术,以加密SD卡作为可信硬件设备实现了移动终端设备的可信启动、完整性验证与内网可信接入,并对接入后移动终端与内网的数据交互过程提供了一种加密通信安全存储机制。实验结果表明,该方案在不改变移动终端基本架构的前提下,较为高效地对移动终端进行安全性认证,并在一定程度上保护内网环境的安全。