一种采用动态描述逻辑表示的RBAC管理模型

针对现有RBAC的管理模型中管理范围划分不明晰、管理权限分配不明确等问题,提出一种分布式RBAC管理模型.采用基于角色的管理思想,通过合理设置管理角色,将管理范围的划分、用户授权和角色授权工作进行分离,使模型具有较好的实用性.应用动态描述逻辑对模型进行描述,详细描述了各种授权管理操作的判定条件与执行过程,并通过应用实例验证了模型的有效性和实用性.     

一种基于信息流图的共谋访问风险控制模型

为解决信息系统中的非授权间接访问问题,提出一种基于信息流图的共谋访问风险控制模型。通过记录系统的历史访问行为构建信息流图,在此基础上定义共谋访问行为,同时基于状态机定义访问控制模型,利用安全性定理和规则防止共谋访问的发生,并对规则做安全性证明。根据信息熵理论对模型的有效性进行分析和验证,结果证明该模型可有效防止共谋访问的发生。     

基于自动机的Java信息流分析

面向Java的信息流分析工作需要修改编译器或实时执行环境,对已有系统兼容性差,且缺乏形式化分析与安全性证明。首先,提出了基于有限状态自动机的Java信息流分析方法,将整个程序变量污点取值空间抽象为自动机状态空间,并将Java字节码指令看做自动机状态转换动作;然后,给出了自动机转换的信息流安全规则,并证明了在该规则下程序执行的无干扰安全性;最后,采用静态污点跟踪指令插入和动态污点跟踪与控制的方法实现了原型系统IF-JVM,既不需要获得Java应用程序源码,也不需要修改Java编译器和实时执行环境,更独立于客户操作系统。实验结果表明,原型系统能正确实现对Java的细粒度地信息流跟踪与控制,性能开销为53.1%。     

基于多维整数空间的安全策略冲突检测与消解

针对当前大部分安全策略冲突检测与消解算法缺少灵活性和扩展性等缺点,提出一种基于多维整数空间的安全策略形式化描述方法,在此基础上设计了一种可扩展的安全策略冲突检测与消解算法,并证明其正确性,设计并实现能够自动对安全策略进行冲突检测与消解的工具SPCDRT。     

基于Ponder语言的防火墙策略描述方法研究

目前Ponder语法一般采用域表达式来标识主体和目标,不支持IP这类特殊类型的主体/目标标识.而防火墙的策略描述一般用IP地址来标识,如何扩展Ponder语法,使其可以表达防火墙的访问控制规则,是目前用Ponder语言描述防火墙规则亟待解决的问题.引进IP域和服务域结构,给出了采用IP数据包标识目标的描述方法.     

Linux网络设备驱动程序分析与设计

系统分析了Linux系统中网络设备驱动程序的结构组成和工作原理,重点探讨了在Linux系统中设计网络设备驱动程序的核心技术。     

一种基于数据流分析的网络行为检测

为了更好地对网络行为进行分析, 提出了一种基于数据流分析的网络行为检测方法。通过分析网络系统体系架构, 对网络行为进行形式化建模, 并针对网络行为特点提出了一种基于与或图的行为描述方法, 最终设计实现了基于数据流分析的网络行为检测算法。实验证明该方法能在多项式时间内完成数据流事件中的关系分析, 而且与其他算法相比, 能有效提高网络行为检测的查准率。     

一个适用于DTN网络的拥塞避免与解除方案

DTN(delay-tolerant network,延迟容忍网络)的网络特点及其采用的托管传输机制易造成网络受限资源(如缓存、带宽等)的耗尽,形成网络拥塞,导致网络性能的下降。传统TCP拥塞控制机制不适用于DTN网络。提出了一个全新的适用于DTN网络的拥塞避免与拥塞解除方案。拥塞避免根据在足够小的时间段内DTN链路的传输延迟和传输能力的确定性,建立DTN网络有向多径图,对数据发送速率、接收速率、带宽使用等链路负载分割与约束控制,尽可能地提高网络资源的利用率。拥塞解除在节点存储资源划分的基础上,通过节点内存储资源转换与节点间报文转移相结合的方法,解除DTN网络的拥塞状况。仿真结果显示,与其他DTN拥塞控制机制相比,所提方案具有良好的报文交付率、网络开销等网络性能。     

素数阶群上属性可重复的多授权机构基于属性的加密方案

针对目前多授权机构基于属性的加密方案(MA-ABE)限制每个属性在访问结构中只能出现一次,而属性重复编码必将导致系统效率降低的问题,提出了一种素数阶群上属性可重复的多授权机构密文策略(MA-CP-ABE)方案。首先基于对偶配对空间和线性秘密共享等技术,在素数阶群上构建了一个MA-CP-ABE方案;然后通过引入q-Parallel BDHE假设,解决了经典对偶系统加密证明过程依赖一个统计意义假设,而该假设只有在访问结构中属性不重复出现才能成立的问题,构建一系列两两不可区分的攻击游戏证明该方案在标准模型下是自适应安全的;最后通过性能分析说明,与另两种素数阶群上构建的自适应安全MA-CP-ABE方案相比,在不考虑属性重复的情况下,该方案解密速度随着参与属性数量的增加分别提高了20%~40%和0%~50%,在真实应用环境中的性能优势更大。     

素数阶群上快速解密的KP-ABE方案

大部分基于属性的加密方案(ABE)解密开销随解密时用到的属性数量呈线性增长,解密时双线性对运算为常数次的快速解密ABE方案(FABE)能用来解决此问题。针对现有自适应安全的FABE方案在合数阶群上构造,解密运算时双线性配对计算开销过大的问题,提出一种素数阶群上快速解密的密钥策略ABE(PFKP-ABE)方案。首先基于对偶正交基和线性秘密共享(LSSS)技术提出一个PFKP-ABE方案,然后采用对偶系统加密技术构建一系列两两不可区分的攻击游戏证明该方案在标准模型下是自适应安全的。性能分析表明,与现有的合数阶群上一种快速解密自适应安全密钥策略ABE方案(FKP-ABE)相比,该方案在自适应安全的前提下,解密计算速率提高了约15倍。