基于XML的数据客体与安全标记绑定方法

安全标记与数据客体的绑定,是制约多级安全真正走向网络实用化的关键问题。针对这一问题,在深入分析XML的基础上,描述了XML客体安全标记及其约束规则,提出了安全标记与数据客体的绑定方法,讨论了安全标记查询、客体内容裂解等相关操作,给出了基于XML安全标记的安全通信实施机制。该绑定方法不仅能够满足多级信息系统间安全通信的需要,而且能够实施粒度更细的访问控制,提高信息客体的利用率。     

可扩展的网络安全设备内策略冲突检测算法*

从研究网络安全设备内策略冲突检测方法入手,针对当前设备内策略冲突检测算法不具有扩展性的缺点,采用规范化和离散化技术,将策略域的属性数据统一映射到实数区间;通过定义实数区间的关系运算判断策略域之间的关系;在此基础上设计了一种可扩展的网络安全设备内冲突检测算法;该算法通过规则过滤处理,提高了安全策略冲突检测算法的执行效率。实验验证表明该算法正确高效,具有实用价值。     

基于双层信息流控制的云敏感数据安全增强

已有的云安全防护方法如加密、访问控制和虚拟机隔离等不能够提供数据端到端的安全防护。首先,提出了一个面向云环境的双层信息流控制模型,给出了模型的关键要素定义、集中式与分布式信息流控制规则、能力标记调整规则、标记传播规则和降密规则.然后,综合动态污点跟踪和虚拟机自省技术,设计并实现了原型系统IFCloud,可为云租户提供信息流跟踪与控制即服务,为云平台提供常见系统攻击如栈溢出、缓冲区溢出等攻击的防护机制.最后,给出了原型系统IFCloud的功能测试结果.表明IFCloud能够灵活、正确、实时地跟踪和控制云下敏感数据流.可应用于云平台下面向软件即服务的细粒度数据安全保护.     

基于多核处理器的VTD-XML节点查询执行性能优化

针对目前主流的多核处理器,研究了基于VTD-XML的节点查询执行性能优化,即基于预读策略从多线程并发执行和提高线程内存访问性能两个方面优化XML节点查询的性能。实验结果表明,提出的多线程XML文档解析框架可以充分利用多核处理器的计算资源,并有效地提高线程的内存访问性能,大大提高了XML节点查询的性能。     

一种可扩展的安全策略翻译技术

如何在不同的安全设备上执行统一描述的策略是策略管理研究的难点。该文通过在策略决策点增加可扩展的词法库和语法库,在策略执行点采用通用代理程序进行策略翻译,支持系统内不同设备及类型的动态扩展,为不同类型的安全设备的策略翻译提供了一种新方法,提高了策略管理的可扩展性和通用性。     

信用社业务管理网络信息系统的设计与实现

本文介绍了为信用社设计的业务管理网络信息系统的系统构成、主要功能、技术特点及实际情况     

基于属性的用户-角色委派模型可达性分析

针对传统基于角色的访问控制(RBAC)管理模型难以表达多样化策略的问题,提出了基于属性的用户-角色委派（ABURA）模型,采用属性作为用户-角色委派的先决条件,丰富了RBAC管理策略的语义。用户-角色可达性分析是验证分布式系统中授权管理策略正确性的重要机制,定义了ABURA模型的用户-角色可达性分析问题,通过分析ABURA模型状态转换特点给出策略约减定理,设计了可达性分析算法,并通过实例对算法进行了验证。     

基于污点标记的访问控制模型及其安卓实现

为保护移动操作系统平台中存储的用户隐私数据,提出一个基于污点标记的访问控制(TBAC)模型,并设计了一个基于污点跟踪的信息流控制框架(TIFC)。为数据添加污点标记,控制力度细化到数据;引入主体能力保证最小特权原则;主体能力独立于数据污染与可信去污防止污点积累。该模型与BLP模型相比更加可用、灵活与细粒度。该框架能细粒度地、灵活地、准确地实时跟踪并控制隐私信息的流向,并解决了程序执行中因控制流产生的隐蔽通道问题。     

系统抗攻击能力评估技术研究

本文从评估系统抗攻击能力的角度来研究系统的安全性问题，本文从选取影响抗攻击能力的指标入手，借助网络熵差法，构建了抗攻击能力评估系统和相应的模型。为评价系统的安全性提供了新的思路。     

基于分层网络系统模型的多层策略生成和表示

策略编写和表示是策略研究的基础。当前策略编写多直接面向设备和技术,过于依赖管理员的知识和经验,而忽视了应用环境对策略制定的要求和影响,造成策略编写不完备、易出错。为解决这一问题,设计了分层网络安全系统模型,提出从系统建模的角度讨论策略生成和表示,使得策略制定不再局限于单台设备或某种安全功能,而是建立在了解整个网络系统安全需求的基础上,一定程度上实现了策略的自动生成,保证了策略制定的正确性和完整性,降低了管理员负担,减小了出错的可能。然后通过提炼策略基本属性,设计了基于网络安全系统模型的多层安全策略表示方法,并采用BNF范式描述了策略语法规范,策略表示更加友好,操作性更强。