基于ARM虚拟化扩展的Android内核动态度量方法

针对现阶段内核级攻击对Android系统完整性的威胁,提出一种基于ARM虚拟化扩展的Android内核动态度量方法DIMDroid。该方法利用ARM架构中的硬件辅助虚拟化技术,提供度量模块与被度量Android系统的隔离,首先通过分析在Android系统运行时影响内核完整性的因素从而得到静态和动态度量对象,其次在度量层对这些度量对象进行语义重构,最后对其进行完整性分析来判断Android内核是否受到攻击;同时通过基于硬件信任链的启动保护和基于内存隔离的运行时防护来保证DIMDroid自身安全。实验结果表明,DIMDroid能够及时发现破环Android内核完整性的rootkit,且该方法的性能损失在可接受范围内。     

网络处理器IXP2400及应用

本文介绍了INTEL网络处理器IXP2400的硬件结构特点,描述了浩通科技(FLEXCOMM)研发的硬件平台FIDS2400的硬件特性,并以FIDS2400为例介绍了IXP2400在千兆防火墙、负载均衡等领域的应用,最后给出了一种基于FIDS2400的接入路由器应用解决方案.     

INTEL网络处理器的微码编程

本文介绍了INTEL网络处理器微码编程设计与实现的一般过程,对微码程序的优化进行了简要的分析,并以ⅨP1200为例,给出了对微引擎部分的评估方法和结论.     

基于NS-2的Ad Hoc网络分布式CA仿真

在分析网络仿真工具NS-2特点的基础上,提出Ad Hoc网络分布式CA模型仿真方法以及数据包、应用层、传输层、定时器的扩展技术。通过修改原有的数据结构和增加新的网络模块扩展NS-2的功能,实现Ad Hoc网络分布式CA仿真,分析Ad Hoc网络分布式CA模型的网络性能,为其设计和评估提供可靠依据。     

面向可信计算平台的软件标识发布系统

针对应用软件缺乏可信性导致可信计算平台存在安全隐患的问题,提出一种以软件标识作为安全载体和验证手段的软件标识发布系统.介绍了其具体功能模块和工作流程,通过引入软件行为声明技术解决了发布之前软件来源的合法性和可信性问题,设计了一个认证协议解决了发布过程中软件的完整性问题,同时为用户提供了一种基于可信行为的最优软件推荐策略.应用事例证明本系统对进一步提高平台整体的可信性具有较高的研究意义和实用价值.     

一种面向网络信息系统的TCP应用架构设计

针对可信计算平台在网络信息系统中的应用需求,提出了一种面向网络信息系统的TCP应用架构TCPAA。将该架构主要分为访问认证子系统和信息交互子系统两部分来进行设计。在访问认证子系统中,为了增强可信计算应用的灵活性,提出一种基于证明代理的可信验证机制PATAM,并对改进的访问认证模式进行了协议设计和流程说明。在信息交互子系统中,设计了内外网之间数据的可信传输流程,并提出了一种改进的金字塔可信评估模型PTAM。最后通过测试实验验证了该架构的良好性能。研究结果表明,该方案对于网络信息系统环境内可信计算平台的应用开发具有良好的通用性。     

基于XML的移动Web Service应用研究

针对具体的移动Web Service方案,描述了如何利用XML加密和签名技术为信息传输的安全性和认证性提供保证。在此基础上参考WAP小组相关规范对移动Web Service进行了优化实现。实验表明,Web服务执行效率有了较大提高。     

基于文本过滤的贝叶斯分类算法的改进

针对传统贝叶斯分类算法无法满足复杂网络文本过滤需求,提出一种多词 贝叶斯分类算法(Multi Word-Bayes,MWB)。该算法一方面引入了特征权重(Term Frequency-Inverse Document Frequency,TF-IDF)的计算思想,优化了传统贝叶斯分类算法只考虑词频不考虑文本间关系的问题;另一方面将词与词间的关系作为文本分类的重要参考项,克服了传统贝叶斯分类算法在分类器训练上对语义分析的忽视。实验结果表明,MWB在垃圾文本过滤上具有更好的分类性能。     

一种面向集中管控系统的计算机可信启动架构

结合可信计算理论,针对统一的可扩展固件接口（Unified Extensible Firmware Interface,UEFI）因诸多原因无法达到可信启动的缺陷,将星形信任结构和信任链技术相结合并引入能够参与生成度量策略的管控代理,提出一种面向集中管控系统的计算机安全启动架构。用向量空间的形式描述了架构的启动流程,说明了管控代理的工作原理。将传统的可信启动流程与本架构的安全启动流程进行了对比。对此架构进行信任链测试,说明提出的可信启动架构符合可信计算标准。     

一种基于身份的SIP认证与密钥协商机制

随着SIP协议在网络通信中的广泛应用,特别是向移动领域扩展,网络中大量使用无线设备,终端的运算与存储能力有限。对SIP的安全方案进行了讨论和分析,提出了一种基于身份的认证与密钥协商方案,保证了SIP消息传输过程中的完整性和真实性,并在该过程中进行了密钥协商。方案中不需要公钥证书,用户用身份标识SIP URI作为公钥,降低了对终端计算、存储能力的需求和通信开销,具有简单高效的优点。