访问控制技术的研究和进展

Access Control(AC)is one of the important technologies of System Security and has been widely studied recently because the traditionary AC technologies can' t meet with the security commands of contemporary imformation system. As a result,the traditionary AC technologies have been developed and some new technologies have been put forward. This paper makes the necessary classification for the more-than-ten-year research results of the AC technology,together with the analysis and predication for the development trend of the AC technology in the future.

一种基于有限状态机的隐含信息流分析方法

安全系统中的隐含信息流对系统保密特性构成了严重威胁,对安全系统进行相应的信息流分析是发现隐含信息流的最有效方法.以往的信息流分析主要基于事件轨迹模型进行,不易在系统安全实践中得到利用.该文把安全系统及安全策略模型化为有限自动机,通过研究有限自动机的特性来分析安全系统的信息流特性,进而确定出系统中是否存在隐含信息流.自动机模型比轨迹模型更为直观和自然地表述系统安全策略,在实际系统中能更好地得到应用.

操作系统安全增强技术研究进展

操作系统安全增强是近年来信息安全的研究热点之一。本文分析和讨论了操作系统安全增强的重点及相应技术 ,对比和分析了近年来开发的安全增强操作系统 。

基于Mapinfo的分布式图形数据处理

Mapinfo是流行的地理信息系统，长线图形系统是在Mapinfo的基础上开发的分布式图形信息系统，用于全国电总-省-市级电信线路的图形化管理。介绍了图形数据分布、DDB的数据一致性、图形数据交换的设计和实现技术。

策略灵活安全系统的设计与实现

安全需求多样化对操作系统提出策略灵活性要求 ,传统操作系统把对安全策略的支持分散到系统相关功能模块中 ,如文件系统及进程通信等 ,难以满足这种需求 该文通过对操作系统中策略相关功能部件的分析 ,提出了一种策略灵活的安全体系结构 ,并在Linux基础上实现该结构 同以往研究相比 ,该结构通过对安全属性的统一维护简化了策略冲突协调的复杂性 ,既方便用户灵活配置已有安全策略 。

面向对象访问控制模型的研究与实现

恶意的或有漏洞的应用程序滥用权限是信息安全的重要威胁 ,本文把面向对象的思想用于应用层代码的存取控制 ,提出了面向对象访问控制模型。该模型把应用程序封装成独立的应用对象实体 ,通过对应用对象及应用对象间共享层次关系的适当设置 ,来实现系统内部的权限隔离 ,以限制每个执行主体 (进程等 )所能访问的资源范围 。

“系统软件开发实践”课程的教学探索

"系统软件开发实践"课程对学生领悟经典系统软件(操作系统等)的设计理念、深入理解系统软件的功能特性,以及基于这些功能特性编写高质量程序等方面均有很好的帮助。本文对"系统软件开发实践"课程的教学工作进行探讨,首先对该课程的教学和组织管理进行讨论,如开发实践的组织、题目的选取和开发过程的监督等,然后结合具体教学工作,分析教学过程中所发现的具体问题,并对相应的措施进行深入的探讨。

基于轨迹的策略描述和复合

The diversity of security requirements demands that information systems flexibly support policies,and uni-form policy description is important to implement policy-flexible system. This paper brings up new method to descriptpolicies based on trace, which can be applied to many policies used currently. Subsequently this paper refines thismethod in order to be applicable to actual system ,and discusses how to merge multiple policies.

基于系统调用特征的入侵检测研究

对网络服务程序进行攻击是非法用户入侵系统的主要途径 ,针对关键程序的入侵检测近年来受到重视 .该文提出的CTBIDS检测模型在利用系统调用特征树描述程序行为特征的基础上 ,通过异常有限积累判别程序入侵 ,既能体现异常状况的长期积累 ,也能很好地反映入侵的异常局部性原理 .此外 ,该文通过统计分析方法确定入侵判别参数 ,使得入侵判别更加准确 .

一种高效的多目标串匹配算法

本文通过引入右对齐位置标识方式解决了Boyer Moore算法思想用于多串匹配的串长不等的问题 ,提出用于多模式串的高效匹配算法MPBM。该算法的特点主要在于能够直接处理长度不等的多模式串匹配 。

隐蔽通道的信息传递模型

隐蔽通道的存在给信息系统的保密性造成了严重威胁,其信息传递机理研究是实施隐蔽通道检测与控制的前提和基础.本文首先将安全系统解释成带有信号调制能力的通信信道,将信息传递过程类比成常规通信过程,研究了相应的通信要素(编码器、调制器、载波介质及解码器等)及其所对应的实体;基于这些通信要素和对应实体,提出了隐蔽通道的信息传递模型;在该模型和系统形式化描述的基础上,研究机密信息泄露的过程,并讨论了隐蔽通道的信道带宽计算方法.

基于带标签有限自动机的隐蔽存储通道搜索

分析了隐蔽存储通道存在时的系统运行特征,在此基础上提出一种隐蔽存储通道搜索方法.该方法运用有限自动机模型描述系统运行规则,通过自动化过程发现系统中潜在的隐蔽存储通道.该搜索方法为潜在的隐蔽存储通道描绘出存在场景和信息传递过程,并由此计算出带宽.

针对权限滥用的安全增强研究

要限制权限滥用 ,操作系统必须清楚哪些是应用程序正常所需权限 .本文分析了应用程序所需权限的决定因素 ,提出以应用程序相关的用户知识信息为基础 ,结合系统结构、程序实现和系统安全等方面的专业知识推导程序所需权限的权限控制方案 .该方案特点在于兼顾到控制准确性和易用性 ,测试和试用表明其实用性较好 .

信息安全设计型实验的教学研究

本文结合笔者近年来的实际教学活动,深入探讨信息安全设计型实验的教学工作。本文首先介绍目前正在开展的信息安全设计型实验教学的基本现状,包括实验项目的设计、实验项目的组织管理、实验项目的过程管理等;我们还结合具体的教学工作,深入分析了教学工作中发现的具体问题,并探讨相应的应对策略。

一种层次式的ARBAC模型

对流行的ARBAC97模型进行改进,提出了分布处理、逐级控制的RBAC管理框架构建思想,管理框架通过逐级授权、分布定义的方式形成,而且该模型支持系统运行中管理框架的动态维护。

一种安全系统平台的研究和设计

安全需求的多样化和复杂化使得越来越多的安全策略在上层应用中实现,如何保证上层实现的安全策略得到真正实施成为安全操作系统的基本要求。文章在分析可信系统最新发展和当前系统安全需求的基础上,对操作系统支持上层安全机制的安全特性进行重点研究,并提出了通过进行代码授权和资源保护来构建具有这种特性的安全系统平台的设计方案。

电子信息类专业的“操作系统”教学内容设计

根据电子信息类专业的特点,课程组以理论为基础,应用和开发并重,改革了操作系统的教学内容与实验内容,将操作系统原理与应用开发、系统和网络管理相结合,出版了具有电子信息类专业特色的教材,教学与实验内容具有计算机通信、嵌入式系统和操作系统安全的特色。

基于二进制序列集合的策略合成代数框架

从代数建模和实现机制相融合的角度出发,提出了一种基于二进制序列集合的策略合成代数框架.首先通过定义二进制序列集合元素及构造集合运算规则,将策略抽象成逻辑模型.然后针对多终端二进制决策树(MTBDD)的逻辑建模机制中存在的编码次序敏感以及规则冗余问题,提出了基于二进制序列的移位合并算法.最后推导基于二进制序列的合成语义算子,建立该代数框架.通过时间复杂性分析和仿真实验,验证了该框架的有效性,其合成性能优于基于MTBDD策略树的合成机制.

基于加权一阶局域法的公共拥塞检测方法

利用拥塞环境下网络业务流的混沌特性,提出了一种基于加权一阶局域法的公共拥塞检测方法.采用混沌信号处理方法对延时采样序列进行分析,能够迅速地判断出2个流是否通过了同一段拥塞链路.仿真结果表明,在长TCP(Transmission Control Protocol)流,短TCP流,UDP(Us-er Datagram Protocol)流3种网络环境下,该方法具有比相关方法更好的性能,对于开发协同拥塞控制算法以及智能重叠网络的构建都有良好的应用前景.

三级长线图形信息系统

“长线图形信息系统”是一个分布式的图形数据库管理系统。文章介绍该系统的分布数据库设计和系统实现技术。针对图形数据在广域网上传输的特点，提出了一种用修改集（Ｍｓｅｔ）处理图形数据传输的方法。