动态安全策略逻辑语言及安全属性验证问题的研究

针对动态安全策略在策略表达、判决和验证等方面具有的重要意义,提出了一种可用于动态安全策略表达、决策和验证的逻辑系统SSML.首先,给出了SSML逻辑系统的语法和语义,并且证明了一般意义上的SSML逻辑系统查询评估问题是不可判定的,从而表明不存在通用的SSML安全策略语义查询评估算法.其次,研究SSML子语言特性,发现两类语法受限的SSML动态安全策略——NDel型安全策略和TDel型安全策略.虽然前者不允许在安全策略中出现删除规则,后者只允许完全信任的管理人员执行删除规则,但它们的查询评估问题是可判定的,并且分别构造出它们的查询评估算法——OLDTE和OLDTT.最后,通过实例说明如何使用OLDTE或OLDTT实现安全策略验证,从而证明这两类动态安全策略具有广泛的应用前景,对动态安全策略及其安全性分析方法的研究具有重要意义.

基于良基语义的安全策略表达与验证方法

提出了一种基于一阶逻辑的安全策略管理框架.首先,研究安全策略的语法和语义,给出将安全策略转换成扩展型逻辑程序的算法,进而构造出安全策略基本查询算法;其次,给出将安全策略复杂查询转换成基本查询的算法,进而构造出安全策略验证算法.在良基语义下,上述算法是可终止的、可靠的和完备的,且计算复杂度都是多项式级的.该框架可以在统一的良基语义下实现安全策略表达、语义查询和验证,保证安全策略验证的有效性.此外,该框架不仅兼容现有主流的安全策略语言,还能够管理具有非单调和递归等高级特性的安全策略.

AACF：基于逻辑的非单调授权与访问控制框架

针对不完全语义条件下的非单调授权和权限判决问题进行形式化研究，提出了一种新的基于逻辑的非单调授权与访问控制框架——AACF。该框架通过扩展型分层逻辑程序表达授权与访问控制策略，支持不完全语义条件下的非单调授权、权限传播及冲突检测与消解等高级特性，此外，AACF的语义查询／权限判决算法的计算复杂度证明是多项式级的。因而，AACF比现有的访问控制框架具有更好的表达能力和计算特性，且具有更好的实用性。

基于数据流分析与识别的Web资源访问控制

针对动态Web页面资源中的实施细粒度和透明访问控制问题,定义片断的概念,提出基于数据流分析的"片断"级Web页面资源的访问控制方法,分析数据流中的请求信息与响应片断的关系,设计并实现了2种数据流片断识别算法。模拟系统的实验结果证明,该方法能有效识别动态Web页面资源的片断,满足细粒度访问控制的需求。

基于GAA-API的Web网页细粒度访问控制方法研究

基于通用的授权与访问控制接口GAA-API,提出了一种网页的细粒度授权与访问控制方法。为网页中的静态资源元素、动态资源元素分别提供细粒度、灵活的访问控制。最后对该方法进行实验测试,并对测试结果进行比较分析。

可重构信息安全系统研究综述

传统安全计算提供固定的安全服务能力,无法根据环境和安全需求的变化灵活配置,导致安全管理复杂,软硬件资源重复利用率低.可重构安全计算为提升系统灵活性、适应性和可扩展性提供了新的手段.本文阐述了可重构安全计算的发展历程,初步研究了其内涵与意义,提出了可重构安全计算的概念模型,并详细论述了其中的关键技术及其研究现状,最后分析了可重构安全计算的发展趋势.可重构信息安全系统是新型计算与信息安全技术融合的必然产物,必将为信息安全技术提供更广阔的应用空间.

基于多级关联信号树的高效可重构网包分类方法研究

针对高速网络中包分类严重影响路由系统性能提升的问题,进行了深入的实验性研究。针对传统包分类算法通过扩展规则搜索空间实现匹配,占用内存空间大,功耗高,吞吐率低的问题,研究了基于多级关联信号树的高效可重构网包分类方法。通过分析网包分类规则集合特点,提出了一种基于多级关联信号树的逻辑匹配结构,从中抽取出三类可重构的粗粒度网包分类基本计算单元——固定型匹配器、前缀型匹配器和范围型匹配器,用这三类匹配器构成了一个可重构网包分类阵列,通过配置匹配器的重构功能单元(RFU)层和匹配器之间的互联结构——重构互联网络(RIN)层实现了高速分类计算。该方法能够有效节省内存空间,降低功耗,大幅提升匹配速度。为了验证算法性能,在Xilinx公司的Virtex-6(model:XC6VSX475T)芯片上进行仿真实验,实验结果表明该算法吞吐率可以达到100Gbp以上。

基于PMI的Web资源安全访问控制系统设计

针对Web资源的安全控制问题,设计了一种基于授权管理基础设施PMI技术的安全访问控制系统。该系统依据身份证书对用户进行身份认证,使用权力证书为用户授予访问权限,通过角色策略控制对Web资源的访问。同时,还提出一种获取并管理Web资源信息的方案。该系统对Web资源的安全访问控制提供了一种有效的解决方法。

基于匹配策略的安全协议重构分析

可重构安全协议对提高安全系统的灵活性和适应能力具有重要意义,它可根据具体上下文环境进行配置、移植,极大增强了系统的安全性,目前基于软件构件的协议重构方法无法满足安全协议对安全性和计算性的特殊要求。针对安全协议的安全性和高密度计算特性,提出了一种针对现有资源选择重构元的解决方法,给出协议可重构元匹配和基于Qo S的重构元质量满意度的协议重构选择算法,使系统可以尽快按照重构协议需求选择满意的可重构元。通过实例说明该方法的执行过程,应用结果表明该方法能够有效提高重构效率和重构准确度。

基于构件的安全协议数据通路择优方法

为提高可重构安全协议自适应性、解决安全协议重构过程中最优通路选择问题,运用构件化的思想对安全协议进行建模,形式化地定义协议重构通路及建模方法,在满足约束的条件下,提出基于改进的蚁群算法与模拟退火算法相结合的优化方法。实验数据表明,优化解与最优解的平均偏差不超过1.6%,在安全协议重构最优数据通路选择方面,该算法比原始蚁群算法具有更好的求解质量和求解效率。

基于通用可重构处理器的AES算法设计与实现

在通用可重构处理器架构基础上,提出一种高级加密标准AES-128实现方案。该方案从算法结构、处理单元(PE)利用率和存储开销3个方面进行优化,使用1个256 bit×32 bit的查找表完成加密时的字节代替与列混合步骤,通过数据分解和数据流分解提高PE利用率,采用本地寄存器存储数据并通过合理布局PE减少存储开销。实验结果表明,该方案PE利用率达到60%,访存开销较完全使用共享存储时降低74%,相对于Intel Atom230串行实现方式吞吐率提高100%左右。

反馈移位寄存器在通用可重构处理器上的配置生成与优化设计

在序列密码算法中,反馈移位寄存器的操作使用频率高且移位位宽和反馈网络灵活多变。针对目前还没有一个通用可配置且支持不同规模的移位寄存器实现方法,利用通用可重构处理器基本运算单元数据流和控制流可配置的特点,充分挖掘移位寄存器中并行流水潜力,在通用可重构处理器上,设计反馈移位寄存器的四种不同实现方案,并对算子在通用处理器以及可重构处理器模型上进行性能对比分析。实验表明,运用可重构的方法实现A5密码算法中的反馈移位寄存器效率较Intel ATOM230处理器提高12.6倍。最后在考虑可重构处理器资源制约的条件下,对反馈移位寄存器的实现方法进行优化讨论。

基于重构构件的安全协议重构择优技术研究

安全协议可重构实现是提升其安全性能和计算性能的有效方法。在深入分析大量现有安全协议体系结构的基础上,提出了一种基于可重构构件的安全协议高性能实现架构,并且针对该架构中可重构构件库择优优化这一关键问题,提出了一种择优方法。该方法基于改进的带权集合覆盖优化算法,结合启发式优化搜索思想,实现了安全协议可重构实现中优化资源使用与减少重构时间的目的。

一种网络涉密信息系统的设计

文章分析了在网络中进行涉密信息系统建设的需求,提出了涉密信息系统设计的理念,给出了涉密信息系统各部分在网络中的工作机理、组件功能和工作过程。

基于GReP通用可重构处理器的密码算子优化设计

以提升通用可重构处理器在信息安全应用领域的处理能力与执行效率为目的,对序列、分组、公钥及哈希函数等四大类32种密码算法进行深入分析。通过各算法的热点、频度分析,对基本处理单元进行同构、同态、参数化设计,提出了对密码算法性能影响大、复用性好且具有可重构特性的密码算子。以公钥密码算法中计算量大、实现复杂且被广泛使用的模乘算法为代表,提出了将密码算子映射到GRe P(general-purpose reconfigurable processor)通用可重构处理器上的方法。实验表明,基于GRe P通用可重构处理器架构实现的模乘算法其运行效率比Intel CORETMi7平台上实现效率提高60%左右。实验充分说明了GRe P通用可重构处理器在提高处理能力与执行效率方面有明显优势。