角色访问控制在PKI中的实现

PKI是一个主要使用公钥密码算法来实现数据的机密性、完整性和防抵赖性的基础设施服务。访问控制的目的是要处理计算机和通信系统中的非授权信息。文章介绍了特权管理基础结构中的角色模型,并设计了角色属性中心,通过它对角色属性证书的管理实现了在PKI中的基于角色的访问控制模型,并分析比较了该模型与传统的访问控制模型的优缺点。     

分层隔离的安全操作系统内核结构研究

传统单块结构操作系统的所有内核代码在一个公共的、共享的地址空间运行,因此内核中任何一个漏洞或在内核中加载任何不可靠模块都会威胁到整个系统的安全。本文提出了一个分层隔离的操作系统安全结构,该结构有效地将内核特权分割隔离,阻止内核安全漏洞的扩散,防止恶意内核模块代码对内核代码数据的随意篡改。原型操作系统完全自主开发,支持i386体系结构。内核模块隔离机制利用分段保护硬件机制保证安全微内核的不被篡改性,并在此基础上实现操作系统各服务功能模块的隔离。     

基于数据挖掘的异常入侵检测系统研究

网络上不断出现新的攻击方法，要求入侵检测系统具有能检测新的未知攻击的异常检测能力。本文提出了一个基于数据挖掘的异常入侵检测系统ADESDM。ADESDM系统提出了同时从网络数据的协议特征，端口号和应用层数据中挖掘可疑行为的方法。在挖掘过程中，不但采用了基于强规则的关联规则挖掘方法，还针对强规则挖掘方法的缺点，提出了基于弱规则的关联规则挖掘方法，来检测那些异常操作少，分布时间长等不易检测的的网络攻击。同时利用网络通信的时间、方向、端口号、主机地址等属性之间的影响，建立以各属性为节点的贝叶斯网络作为异常判别器，进一步判别关联规则挖掘中发现的可疑行为，提高了系统检测的准确率。     

一种基于VirtualClock的自适应成比例带宽分配算法

该文提出了一种基于VirtualClock算法的自适应成比例带宽分配算法(ProportionalAdaptiveBandwidthAllo-cationAlgorithmBasedonVirtualClock,PABVC)。该算法将所有的业务流分为绑定流和非绑定流,并根据不同流的配置加以调度,从而实现了绑定带宽同时自适应成比例分配带宽的目的。由于算法的各个部分相关性较弱,所以在保留算法框架和核心部分算法的基础上,可以灵活地加以组合,实现不同的算法变种。最后,该文分析了PABVC算法的优缺点,并且提出了今后的研究重点。     

基于状态检测的TCP包过滤在Linux下的实现方法

该文主要介绍了在Linux2.4内核下基于状态转换和检测的TCP包过滤的实现方法。通过对传统全状态包过滤防火墙的改进,增加了状态转换和连接序号检查,增强了防火墙的安全性。通过日志记录异常状况,系统管理员可以采用相应的措施防止潜在的攻击。     

基于分段保护的内核模块隔离机制

传统单块结构操作系统的所有内核代码在一个公共的、共享的地址空间运行。因此内核中任何一个漏洞或在内核中加载任何不可靠模块都会威胁到整个系统的安全。内核模块隔离机制从安全的角度出发,将原内核中最易引入不安全因素的部分采用保护模块的形式装载到内核中,并利用硬件保护机制与其它内核模块隔离,从而增强现有单块操作系统内核的可靠性与安全性。     

检测病毒与垃圾邮件融合的分层合作过滤方案

从垃圾邮件产生的原因入手,分析了几种典型的垃圾邮件防护技术,并在此基础上提出了一种检测病毒与垃圾邮件技术融合的分层合作过滤方案,该方案实施在网关,在提高系统安全性的同时大大降低了漏报。     

基于CCM的软件构件组装技术的研究

OMG在推出的CORBA3．0规范中提出了一个构件模型（CCM）。CORBA构件不仅定义了对外提供的功能,而且还定义了构件所需要的外部功能,使得构件可以利用接口进行组装。同时CCM借鉴了EJB、COM等构件模型的优点,并充分利用了CORBA的开放性。本文在对CORBA构件模型以及模型组装框架中的相关技术进行研究的基础上,努力探索基于CCM的构件组装在系统开发中的应用。     

一个基于权限的移动自组网门限信任模型

探讨了移动自组网所特有的安全威胁, 将Shamir 秘密分割模型和权限思想相结合,提出了一个基于权限的门限信任模型,并提出了一种新的私钥分量刷新技术。分析结果表明,该模型在可信节点剩余很少时仍能完成网络中节点的认证,亦可避免攻击者获取足够的私钥分量进行非法认证。