面向OpenFlow网络的访问控制规则自动实施方案

针对OpenFlow网络数据平面频繁改变导致网络难以实时满足访问控制策略要求的问题,提出了面向OpenFlow网络的访问控制规则自动实施方案.首先,由实时构建的转发路径获得可达空间,并通过规则集动态合成算法消除访问控制规则间的冲突;之后,采用规则空间分割算法将合成后访问控制规则的拒绝空间与可达空间比较,以检测直接和间接违反访问控制规则的非法转发路径;在此基础上,结合网络更新事件与违反检测结果灵活采取自动的违反解决方法,包括规则更新拒绝、规则序列移除、基于线性规划(LP)的近源端规则部署和末端规则部署4种;最后转换访问控制规则形式.理论分析和仿真结果表明,方案可用于控制器上运行多个安全应用程序和交换机内存受限的情况,并且基于LP的近源端规则部署方法可以降低网络中的不期望流量.     

基于风险的访问控制操作需求计算方法研究

针对基于风险的访问控制中缺乏对操作需求详细分析与量化,在分析操作需求的基础上,提出了一种静态与动态相结合的操作需求计算方法.引入访问目的层次结构,提出目的森林的概念,并给出客体目的森林遍历算法,从而计算静态操作需求;统计客体的被访问历史,并基于EWMA给出动态操作需求的计算方法.在分析静态和动态操作需求关系的基础上,给出操作需求的计算方法.讨论和分析结果表明,该方法能够更为准确、动态地体现访问操作需求.     

一种基于Mealy自动机的策略监控模型

策略监控是完善策略管理系统、提高系统可靠性,并为第三方审计提供依据的有效途径之一。对策略整个生命周期中的状态进行了划分,引入Mealy自动机,对整个状态转换过程进行了建模,明确了监控对象及分析依据,从而实现了对策略状态的宏观监控,即通过合法性判定算法对策略进行的操作进行判定。最后,通过对自动机模型及判定算法的程序实现与性能测试可以看出,该算法能够及时有效地对事件数据进行处理响应。     

一种面向数据结构的策略翻译技术

策略翻译是目前策略管理研究的难点之一.针对以数据结构表示的策略,提出策略结构五元组概念,增设可扩展的词库,采用XML语言统一描述策略结构,设计通用的脚本分析模块,支持不同设备类型的策略结构,实现透明的策略翻译,提高了策略管理的伸缩性、统一性和透明性.     

一种通用的策略管理代理研究

在网络管理系统中，管理代理的通用性问题一直是个技术难题。本文在分析当前管理系统的基础上，总结提出了通用策略管理代理与一般设备代理的两种关系模型。基于此模型我们实现了通用策略管理代理对设备代理的控制。从而实现了对设备上安全策略的管理。     

一种多级跨域访问控制管理模型

访问控制管理为维护访问控制策略的安全、一致提供了重要保障。针对现有访问控制管理模型存在指派关系复杂、扩展性差、缺乏对跨域访问管理有效支撑的问题,结合多级跨域系统特性和访问控制管理的细粒度要求,文章提出了多级跨域访问控制管理模型,给出了模型的基本元素、元素关系、约束条件和管理规则。与现有研究相比,该模型具有良好的可扩展性,支持细粒度的管理操作,能够有效支撑多级跨域环境下安全、统一的访问控制管理。     

一种ABAC静态策略冲突检测算法

在分布式计算环境下,传统基于属性的静态访问控制策略多存在扩展性差、难以实现等问题.针对上述问题,提出一种基于策略属性分解的冲突检测算法.该算法对策略属性进行分解,构造策略属性分解图,判断策略属性值之间的相交关系,根据静态策略冲突的定义进行策略冲突检测,从而提高策略冲突检测算法的可扩展性和易实现性.实验结果表明,该算法对静态策略冲突的检测率接近85％.     

基于端信息自适应跳变的主动网络防御模型

端信息跳变是目前主动网络防御领域的研究热点之一。该文构建了固定策略下的定时隙端信息跳变模型,分析了固定跳变周期引起的防御收益下降和跳变边界数据包丢失造成的服务损失问题。提出了基于非广延熵和Sibson熵融合的实时网络异常度量算法,在此基础上设计了端信息跳变周期和跳变空间自调整策略,构建了主动网络防御模型,提高了防御收益。给出了基于网络时延预测的跳变周期拉伸策略,保证了跳变边界的服务质量。理论分析与仿真实验结果表明了所提模型在网络防御中的有效性和良好的服务性。     

基于知识库的智能策略翻译技术

提出基于知识库的策略翻译方法,设计策略翻译组成结构,分析策略知识及其表示形式,建立动态可扩展的策略知识库,开发可扩展的策略编译器和策略组装器。实例测试表明,该技术实现了策略翻译的智能化,解决了各种设备的策略不能统一管理的问题。