一种基于策略的网络管理系统研究与实现

策略提炼和策略冲突是解决基于策略的网络管理系统实现中两个最主要的难点问题.本文通过对基于策略的网络管理理论和访问控制技术的研究,利用访问控制列表(ACL),提出了一个基于策略的网络管理系统实现方案.主要介绍和描述了系统的整体框架及其实现机制;重点讨论了实现过程中的关键技术问题及解决方法,包括策略表示、策略提炼和策略冲突等问题;对策略冲突的解决方案进行了形式化描述,并通过模拟实验验证了本方案的可行性和有效性.     

卫星通信系统QOS管理的策略提炼

针对基于策略的DVB—RCS卫星通信系统服务质量管理,提出一种策略提炼模型,结合实例给出目标提炼过程。该模型以线性时态逻辑为基础,在提炼模式的辅助下从高层目标中提取出低层策略,可以有效保证策略提炼过程的正确性、合理性及一致性。在系统设计阶段,该模型用于指导系统功能规划与设计,在系统运行阶段,该模型为网络管理人员提供高层策略向系统设备行为的映射方法。     

交换机ACL自动控制系统设计与实现

针对机房网络访问控制策略需要动态变化的问题,介绍了一个模拟Telnet自动控制交换机ACL的控制系统,该控制系统能够利用配置文件,将机房网络访问控制策略自动转换成交换机的ACL命令。     

网吧“零点断网”自动控制策略——以华为接入交换机S3xxx系列为例

该文在分析网吧“零点断网”手工操作的复杂性和低效性基础上,提出并在华为S3xxx系列接入交换机实现了网吧“零点断网”自动控制策略,并分别以二层ACL和三层ACL作了说明。本法极大提高了“零点断网”的效率和精确性,具有极高的推广价值。     

基于AAA服务器策略的企业网动态安全访问的实现

利用AAA服务器策略可以实现IEEE802.1X的授权、认证和统计功能,通过在企业网络中应用AAA服务器策略解决企业内部不同的服务器满足不同用户访问的需求,通过AAA服务器策略不但能够有效控制未经授权的用户访问企业内部服务器,对企业信息安全造成威胁,而且能够避免在网络设备上配置相当复杂的ACL访问规则造成设备负担过重而性能降低的现象,从而提高了企业网络的运行效率并实现网络用户对企业网络的动态安全访问。     

基于ACL的网络安全策略应用研究

计算机网络在极大地方便着人们生活的同时,也给使用者的信息安全带来了很多隐患.在保障计算机网络安全的技术中,ACL包过滤是一种被广泛使用的网络安全技术.介绍了ACL的基本原理、主要功能、分类以及包过滤流程,并以一个实际拓扑为例,针对常见的三种不同情况,详细论述了如何利用ACL技术增强网络安全的方法以及配置代码.     

一种计算机网络防御策略描述语言*

定义了一种计算机网络防御策略描述语言（computer network defense policy specification language,CNDPSL）。该语言面向CNDPM模型,能够统一描述保护、检测和响应策略,并通过策略引擎映射为相应的防御规则。CNDPSL是一种声明式语言,抽象了网络防御控制的行为,对网络防御需求具有较好的灵活性、可扩展性和适应性。在GTNetS仿真平台中的实验表明,该语言能够描述防御策略并有效地转换为防火墙的ACL、检测和响应规则等,从而为计算机网络攻防演练提供防御策略支     

基于RPC模型的访问控制策略压缩算法

访问控制列表(ACL)提供了对网络设备接口的一种基本访问控制,是维护网络系统安全的重要手段之一。随着网络应用的日益增多,ACL条目也随之增加,使得管理ACL更加困难,降低了网络设备的转发性能。因此对ACL进行压缩显得尤为重要,但该问题已被证明是NP难。针对ACL压缩问题,提出基于矩阵映射和构建独立单元空间集的方法,将其转换为直线多边形的矩形覆盖问题。分析表明该问题的求解近似度可以突破O(logn),为ACL压缩问题的求解提供了新的思路。     

基于分层网络系统模型的多层策略生成和表示

策略编写和表示是策略研究的基础。当前策略编写多直接面向设备和技术,过于依赖管理员的知识和经验,而忽视了应用环境对策略制定的要求和影响,造成策略编写不完备、易出错。为解决这一问题,设计了分层网络安全系统模型,提出从系统建模的角度讨论策略生成和表示,使得策略制定不再局限于单台设备或某种安全功能,而是建立在了解整个网络系统安全需求的基础上,一定程度上实现了策略的自动生成,保证了策略制定的正确性和完整性,降低了管理员负担,减小了出错的可能。然后通过提炼策略基本属性,设计了基于网络安全系统模型的多层安全策略表示方法,并采用BNF范式描述了策略语法规范,策略表示更加友好,操作性更强。     

关于IMS边缘汇聚层设备安全威胁和防范措施的研究

随着IMS网络的快速发展,IMS边缘汇聚层的网络安全成为重点关注之,该文针对IMS边缘汇聚层来自互联网的各种主要安全威胁,提出相应的防范方法和措施,通过设置ACL策略等,有效了保证了网络的安全。     

网络安全策略求精一致性检测和冲突消解机制的研究

通过对基于策略的网络安全管理的研究,分析了现有网络安全策略冲突检测和消解方法存在的不足.基于策略求精的思想和安全策略冲突分类技术,建立基于策略的网络管理安全级模型,并用扩展的XACML语言加以描述.根据策略行为间的关系,采用知识推理技术,动态分层地对相应安全级策略进行一致性自动检测和实时冲突消解,使其具有良好的可重用性...     

基于开放逻辑R反驳计算的访问控制策略精化

策略精化是解决分布式应用访问控制策略配置复杂性的重要方法,现有精化技术给出了策略分层描述和逐层精化的方法,但处理策略之间关联问题的能力不足.基于精化树描述策略和策略关联,基于叶结点策略冲突判断,采用开放逻辑R反驳计算分析精化树策略关联属性,能够消解策略冲突同时保证策略互斥、组合、访问路径协同、精化映射等关联正确,并能够按序消解不同类型策略冲突、自由取舍相冲突的策略.实验与分析计算性能表明,该方法符合SaaS平台客户应用系统策略精化需求.     

基于策略的Web服务访问控制研究

资源的访问控制是开放、异构Web服务环境必须满足的重要安全需求之一。提出了基于策略的访问控制（PBAC）模型,比较了PBAC与基于角色的访问控制（RBAC）,分析了PBAC对策略语言和策略管理架构的需求;基于扩展访问控制语言（XAC№）和基于属性的访问控制（舢五地）模型,提出了一种基于策略的访问控制方法。这种方法满足了Web服务对互操作性、管理灵活性和系统规模性的需求。最后,对语义策略语言进行了展望。     

一种Peer-to-Peer环境下的分布式访问控制模型

P2P在目前的网络应用中越来越普遍,但是P2P网络的安全性问题在很大程度上限制了P2P的大规模商业应用。提供一种高效的访问控制模型是保证P2P系统高效、稳定的关键。引对P2P刷络应用环境特点,提出了一种分市式安全访问控制模型。对等网全局采用RBAC模型加以描述,每个节点局部按照自身的访问控制策略进行资源访问控制,实现对等网内的分市式访问控制。并在实验环境中采用这种分布式安全访问控制模型,实现了对等网内的基于角色的分布式访问控制策略。     

OntoRBAC：基于本体的RBAC策略描述与集成

随着分布式安全系统研究的不断深入和发展，基于策略的体系结构已经逐步成为了访问控制系统中的一种主流方法。然而这些策略的定义均建立在特定的语言基础上。如何在异构的系统间进行集成尚缺乏有效的机制。本文提出了一种基于本体的访问控制策略定义机制——OntoRBAC——它完全支持了RBAC96模型，利用本体这个工具，能够为访问控制策略的制定提供更精确、更强大的描述能力，并且可以实现从语义层次上对不同策略的集成。而借助于SWRL（Semantic Web Rule Language），我们定义了多条适用于OntoRBAC的规则来进行对访问控制决策的推理。最后，介绍了这个系统的实现框架。     

基于策略分层的访问控制模型研究

针对分布式环境的访问控制问题,讨论了一种基于策略分层的访问控制模型。该模型利用策略证书和使用条件证书实现分层的访问控制策略,利用公钥证书实现对用户的身份认证,结合角色证书实现对用户的授权访问。     

面向WS-BPEL的访问控制策略合成研究

在Web服务组合中,外部子服务通常会定义访问控制策略以保护资源被安全的使用,同时组合脚本中也存在着复杂的逻辑控制结构,这两点因素使安全管理员在描述组合服务的访问控制策略变得非常复杂。提出一种基于条件的访问控制策略模型以及基于该模型的策略合成代数,将WS-BPEL语言中常见控制结构映射成策略合成表达式,通过合成外部子服务的访问控制策略,生成组合服务的访问控制策略。最后,设计了原型系统描述策略合成的流程。     

基于角色的强制访问控制模型的研究与应用

基于角色的访问控制是一种策略无关的访问控制模型,通过结合传统的安全访问控制模型,可以构造出更为灵活、高效的安全访问控制模型。该文结合角色访问控制和强制访问控制模型的特点,在RBAC96模型的基础上构造实现强制访问控制的ERB-MAC模型,并给出该模型的形式化描述及证明,同时给出该模型的应用实例。     

PMI中访问控制策略和实现机制的改进

授权管理基础设施PMI是目前网络安全领域中的研究热点，如何提高PMI的系统效率以及如何标准化授权策略是当前遇到的主要问题。该文提出了一种基于条件的访问控制策略，结合XACML和J2EE的相关技术对策略的实现机制进行了改进，实现了一个基于该策略模型的PMI系统。该系统可有效地解决上述问题，给用户提供了更方便的权限管理和更细粒度的访问控制。     

安全组策略管理

安全组通信的前提是一致的安全策略。组安全策略描述成员的安全目标、能力和需求,进而规定安全组的行为、访问控制参数、密码机制等。本文研究安全组策略的管理,包括组策略的制定、协商以及翻译、执行。在策略生命周期的基础上,依据安全多播组模型,提出组策略管理模型,并描述策略服务器的设计实现。策略的表示采用组安全策略标记语言(GSPML)．能够支持组策略灵活的表示和协商。