基于Diffie-Hellman算法的分层密钥分配方案

在基于内容的访问控制系统中,主体对客体只有允许访问和拒绝访问两种权限,且主体之间和客体之间都存在一种偏序关系,传统的访问控制策略需要对主客体单独进行管理,效率较低.本文利用其中的偏序关系设计一种分层密钥分配方案,使分配的密钥既能实现保密通信又能达到实施访问控制的目的,提高系统效率.该方案利用客体之间的偏序关系使所有客体...     

移动网络安全防护技术

移动网络向着高速率、全IP方向发展,承载的业务种类也越来越多,这就对移动网络的安全提出了新的要求。传统的安全方案并不能适应新的安全需要。文章分析了3G/4G移动网络的安全威胁和需求,从移动网络的整体架构出发,提出了基于安全服务的安全防护方案。该方案在移动终端上构建可信计算环境,将软件合法性验证与访问控制相结合,在服务管理中心对移动终端提供完整性检查和软件合法性验证等安全服务,从而在很大程度上保护了移动终端以及移动网络的安全。进一步,文章给出了未来需研究的问题及发展方向。     

内网访问控制策略执行风险度量

VPN网关是众多涉密内网的典型边界防护设备,其网络访问控制策略的执行情况反映了涉密内网安全状况。选取典型的基于VPN网关的涉密内网,研究探讨网络访问控制策略执行过程中的风险度量问题,将安全风险作为一个要素引入网络访问控制策略之中,对策略执行过程中主体、客体和操作等基本信息进行风险分析与度量,从而获得有利于网络访问控制策略动态优化的量化度量结果,改善涉密内网安全状况。     

电子审批系统安全防护技术框架研究

电子审批系统是一种近年来发展迅速且作用日益重要的应用系统,这种系统在开放互联环境中为公众提供服务,因此面临诸多安全威胁。这里在分析各种安全威胁的基础上,提出一种＂底层安全增强,上层安全过滤,统一安全管理＂的系统安全防护技术框架,并以可信计算为基础,以访问控制为核心,提供安全审计的先进技术体系,确保框架的合理可行和高安全性。对安全防护效果的分析表明,这里提出的安全防护技术框架能够主动防御各种安全威胁,全面保护系统的安全,满足了电子审批系统的实际安全需求。     

交大捷普服务器防护系统——服务器安全守护者

捷普服务器群组防护系统结合应用服务器特性,依据实际客户的网络需求,从接入安全、传输安全、访问控制、信息内容安全与服务器运行安全等多个角度进行系统架构设计,将网络层防火墙、客户端准入检查、SSL VPN（https）、认证授权、单点登录、Web应用防火墙、邮件（分级）管控以及服务器监控等多种技术有机地融合在一起,实现对服务器应用系统的全方位多层次的立体性防护。整个系统从以下方面保证了服务器的全面安全：     

外发电子文件安全工作域的研究和实现

电子文件具有易传播和易更改的特性,如何保证电子文件在交流、共享过程中的安全,使电子文件无论何时何地都处于可控的安全闭环之内,是研究电子文件安全的重中之重。对外发电子文件的安全工作域进行深入的研究,并阐述其实现的方法。在不改变外发电子文件格式的前提下,研究基于加密与访问控制的防护技术,防止外发电子文件的数据被恶意窃取,保证其数据不可篡改;同时对电子文件的访问进行全面的管控,在文件整个生命周期内进行立体化的防护,从而形成外发电子文件的安全工作域,从根本上解决外发电子文件失控、泄密的问题,保证外发电子文件的安全。     

自动信任协商的形式化描述与验证研究

首先提出了自动信任协商的通用形式化框架,并将典型的信任协商策略规约到上述框架内;其次,基于上述形式化框架对自动信任协商的形式化验证问题进行了定义,确定了形式化验证的目标以及一般流程;再次,研究了典型信任协商策略的形式化验证问题,讨论了相关问题的计算复杂性并得到系列结论;最后,利用逻辑编程方法和模型检测方法实现了自动信任协商的形式化验证。实验结果表明,规则数是影响形式化验证系统运行时间的关键因素,逻辑编程方法和模型检测方法在规则较少时效率较高,但逻辑编程方法的可扩展性不及模型检测方法。     

包分类算法在防火墙中的应用研究

包分类算法的性能直接影响数据包的收发速度,决定了网络的时延和吞吐量。防火墙中使用分类算法进行过滤规则的匹配查找,能有效降低规则匹配搜索时间,极大地提升防火墙的性能。递归流分类（RFC,Recursive Flow Classification）算法查找速度快,但预处理时间长,存储开销大。现在RFC算法的基础上,结合哈希树算法对数据包各字段分开处理。将两种算法结合,综合考虑了空间和时间性能,不仅减少了存储开销,而且能保持相对快的查找速度。     

基于SOA的属性访问控制模型研究

在面向服务的架构的环境下,由于服务的动态性,常见的自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）等传统访问控制机制,已经不能完全满足面向服务的架构（SOA）环境的要求,导致访问控制策略管理非常复杂。为了简化面向服务的架构下的访问控制策略管理,通过采用将基于属性的访问控制（ABAC,Attribute-Based Access Control）方法,可以简化对于面向服务的架构下的异构属性的授权策略。研究发现,ABAC拥有更高的灵活性和更细的访问控制粒度,能够表现语义更丰富的访问控制策略,更适用于SOA环境。     

Energy saving with node sleep and power control mechanisms for wireless sensor networks

Energy efficiency sleep scheduling in wireless sensor networks is one of the most crucial technologies.In this paper,we propose a simple and feasible synchronous node sleeping and waking mechanisms for small scale wireless sensor networks.Sensor nodes are divided into forwarding nodes and listening nodes.Beacon frame containing sleep command from the coordinator can be forwarded to listening nodes via forwarding nodes.All the nodes in the network can enter sleep at about the same time.Through such network s...