基于XML的数据表现格式在LDAP目录中的应用

目录服务使在各种平台和应用软件下访问信息资源变得更为便利,LDAP目录服务与XML相结合更能将目录存取的优势更大的提升,介绍了XML在LDAP目录服务中的应用原理及在多种LDAP目录产品中的实现。     

信息流控制研究进展

信息流控制能够保证数据与隐私端到端安全,一直是信息安全领域研究的重点和难点.为介绍信息流控制相关的研究现状和进展,首先,从基于格、安全类型系统、安全进程代数和自动机四个方面介绍了信息流控制的基本理论与模型.其次,从计算机层次结构由下而上出发,综述了基于硬件、操作系统、虚拟机、高级语言、低级语言、数据库和网络的信息流控制实现方法并对比各类研究的特点.然后,结合当今时代前沿技术,分析了信息流控制在云计算、移动互联、大数据和物联网等新技术下的应用.最后,总结了当前信息流控制相关研究中存在的问题,并针对今后该领域的研究趋势进行了展望,对下一步研究工作有一定的参考价值.     

基于属性的访问控制策略模型

研究属性、属性谓词、属性名值对的抽象与描述,提出一种基于属性的访问控制策略模型,对策略、策略评估进行形式化定义。描述在设置策略合并算法和系统缺省授权下的访问控制判决过程,设计一种改进的策略管理框架并对其进行仿真测试。结果表明,该框架具有较强的可扩展性,能够为实施基于属性的访问控制提供依据。     

基于信息流控制的HDFS敏感数据安全增强

云服务及mapreduce计算环境下数据安全问题日益突显,针对HDFS已有保护方法如认证授权,数据加密,访问控制和审计方法都不能保证敏感数据端到端的安全性,首先,提出了一个用于HDFS的安全代数语言SALH(Security Algebra Language for HDFS),给出了SALH的语义和语法。其次,采用SALH形式化描述了HDFS信息流跟踪和控制模型并证明了模型的无干扰安全性。最后,给出了原型系统IF-HDFS设计与实现关键技术,原型系统的功能和性能测试结果表明IF-HDFS可实时、有效、准确地实现信息流跟踪与控制。     

基于结构路径的恶意PDF文档检测

恶意PDF文档依然是网络安全中的威胁,甚至造成了许多重大的安全事故。现有检测方法主要分析恶意代码提取及仿真执行两个方面,检测效率不高,缺乏对PDF文档的针对性。在分析PDF文档结构特性的基础上,定义文档结构路径,提出了一种基于恶意和正常文档之间潜在的结构差异特性的检测方法。大量实验数据结果表明,本方法在检测准确率和检测速率方面都有不错的表现。     

可验证授权计算研究综述

为了解决外包数据和授权计算的安全性问题,近年来可验证授权计算理论又重新受到人们的关注和青睐。文中重点描述了在不可信环境下可验证授权计算技术是如何解决外包数据和授权计算的可验证性问题,并给出了可验证授权计算方案的形式化定义。首先采用不同分类方法对现有研究方案进行总结与归纳,指出现有研究方案的特点、所采用关键技术及不足之处;然后从功能和性能两个方面对方案进行对比分析;最后结合应用热点,从不同应用方向展望了该领域的研究趋势和发展前景。     

基于用户的VPN安全审计模式

针对现有VPN系统安全审计的不足,提出一种新的VPN安全审计模式.通过将用户身份与数据流的绑定,把传统单一数据流审计转变为用户数据流的访问日志,不仅克服了传统日志信息理解难的问题,而且有效地解决了远程用户接入控制与管理问题.     

面向安全测试攻击工具库设计

针对计算机网络系统中普遍存在着漏洞和脆弱点的现状,从主动防御的角度出发,分析了利用攻击工具对网络系统进行安全性测试的必要性,研究了攻击工具库与攻击工具箱,提出了多属性攻击工具分类法,设计了面向安全测试的攻击工具库.     

基于知识库的智能策略翻译技术

提出基于知识库的策略翻译方法,设计策略翻译组成结构,分析策略知识及其表示形式,建立动态可扩展的策略知识库,开发可扩展的策略编译器和策略组装器。实例测试表明,该技术实现了策略翻译的智能化,解决了各种设备的策略不能统一管理的问题。     

基于防火墙钩子的IPSec VPN研究与实现

针对采用网络驱动接口规范（NDIS）实现IPSec VPN系统过程中存在的问题,提出一种基于防火墙钩子的IPSecVPN系统,研究了Windows网络层防火墙钩子数据包过滤技术,将IPSec封包处理提升到网络层中加以实现。该系统能有效解决由NDIS实现方式引起的MTU处理、路由和数据包分片、重组等问题,提高了系统处理效率,且具有较好的应用特性。