多级安全模型
摘要:针对经典BLP模型的部分主体权限过大的问题,基于可信计算技术,将可信的思想和时间特性融入到安全模型的设计,提出了基于时间可信的BLP模型(TTBLP)。该模型以BLP模型为基础,引入可信状态和可信范畴的概念,动态调节主体的访问范围,保证了只有符合可信状态安全要求的主体才能访问特定可信范畴中的客体,并给出了TTBLP安全模型的基本设计思想、定义、公理和定理。实验结果表明,该模型弥补了经典BLP模型的不足,增强了系统的安全性和灵活性。基于XML的信息安全风险评估系统研究与开发
摘要:针对典型的信息安全风险评估要求,提出了综合的评估流程,完成了系统的设计和实现。系统信息库设计时除去了大量繁冗的信息;评估识别时,对资产、威胁和脆弱点的内容进行了详细地分类;评估赋值时,在单一的系统赋值基础上扩展了用户和专家同时参与的功能。同时,在风险矩阵计算的前期工作中加入了对系统、用户和专家赋值综合考量的处理思想。基于JavaEE及XML等上乘主流技术开发方案为该系统的安全性、多平台适应性提供了良好的条件。基于机器学习的用户信任模型研究
摘要:为了建立服务提供者与用户之间的信任关系、保证系统的安全性、促进资源的有效利用,同时兼顾用户的公平性,提出了一种基于机器学习的用户信任度模型。利用用户和系统的交互作用动态修改双方信息,根据用户的信任度和反馈信息动态修改系统,并用修改后的结果来更新用户的信任度。为了保证信任度的时效性,还对其进行了随时间衰减的研究。最后对模型和算法进行了模拟实验和性能分析,结果表明了模型的可行性和算法的有效性。基于网络处理器的多维统计异常检测系统
摘要:基于网络处理器开发的网络设备能够很好地解决灵活性和高性能之间的矛盾。基于网络处理器IXP2400自身的特点,设计了多维异常检测系统。该系统可以有效地检测和防御DDOS攻击。根据TCP/IP协议簇,对数据包进行多维解析,统计以及异常标记。仿真和硬件实验的验证数据表明,该系统能准确无误地按照设计目标一一分解数据包,并标记出异常值,从而为后续的网络安全的研究和防御工作提供可靠的数据保证。基于Windows系统的可信执行环境的研究与设计
摘要:根据可信计算的基本原理,在Windows系统环境下设计并实现了一个可信执行环境的原型系统。与传统的信息安全技术采用被动防御的策略不同,可信执行环境根据可信计算中的信任链传递的思想,采取主动防御的安全策略,通过拦截应用程序的启动执行。在应用程序运行之前,对应用程序的核心文件进行完整性度量和验证,可以有效地保护应用程序的核心文件免遭破坏,从而进一步增强计算机系统的安全性。相互协作中的私有信息检索方案
摘要:为了解决私有数据库信息检索面临的计算安全性和通信量之间很难达到合理的平衡状态的问题,提出一种基于任意第三方的检索方案。通过对现有的私有信息检索方案进行深入分析,找出研究的难点。基于计算不可分辨性概念以及可交换加密函数的理论,建立了一种依赖于任意第三方的私有信息检索方案。该方案充分解放了被请求方,并且可以安全高效地应用于日益频繁的相互协作查询中。对其正确性和安全性给予了分析和证明,实验结果表明了该算法的优化性。RSA算法在FPGA上的实现
摘要:为解决提高RSA算法的加密速度保证加密的安全性,提出了在FPGA上实现RSA算法。通过分析RSA算法将该算法分解成模乘运算,模乘的求解采用改进的蒙哥马利算法实现,并通过脉动阵列的方式消除蒙哥马利算法中的长整数进位,有效降低了延迟提高加密速度。同时为了降低FPGA的资源占用,RSA算法采用流水线方式实现脉动阵列,并通过软硬件的协同合作完成算法中素数的判定生成算法参数。在FPGA上下载验证1024位的RSA算法,实验结果表明,采用上述方式实现的RSA算法能占用较少的资源并达到较快的加密速度。基于程序合法作用域的入侵检测系统的研究
摘要:通过分析应用程序在执行时的系统调用序列,提出了一种新的基于程序合法作用域的入侵检测方法。合法作用域的建立以程序的系统调用信息为依据,并采用了有限状态自动机对其进行建模,每一个合法作用域由一个状态来表示,它包含程序运行时的有效用户标示和有效组标示,然后据此检测系统的异常行为。实验结果表明,该方法可以检测到利用应用程序代码漏洞而发起的攻击,并且有较低的错误警报率。增强智能手机安全的动态恶意软件分析系统
摘要:分析了智能手机上恶意软件的现状和发展趋势,给出了当前防范手机恶意软件的措施及其不足之处。适应大多数手机用户的安全需求,提出了一种能够满足增强智能手机安全的方案——移动动态恶意软件分析系统。给出了恶意软件分析模块的具体设计和整个分析系统的实现构思。最后,指出了分析系统的不足并提出解决方法。智能手机恶意软件的现状使该方案具有很好的应用前景。无线基站通信系统中Q.922协议的优化
摘要:综合考虑了无线基站通信系统高可靠性、高吞吐量、数据链路相对稳定的应用需求,在数据链路层实现Q.922标准协议的基础上,提出了消息发送时的大包分片和滑窗机制,消息确认时的捎带确认机制。前者扩充了Q.922协议发送大消息包的应用场景,提高系统的稳定性和发送速率;后者提高可靠消息的确认效率。通过Wimax网络基站通信板进行优化性能测试,结果表明了优化的有效性和可行性。大型网络系统数据同步设计
摘要:为解决某大型网络系统的多级层次存储结构以及各级数据同步性的要求,提出了一套切实可行又安全可靠的系统设计方案。这套方案分别从数据库设计、数据上报分发应用子系统设计、多级网络方案设计等3个方面进行了探讨,克服了海量数据存储模式和网络传输过程中碰到的"瓶颈"。实验结果表明,该方案满足了"逐级上报、集中存储、统一管理、按需共享"的数据同步要求。基于Parlay/OSA的移动增值业务的研究与实现
摘要:分析了移动增值业务研究的重要性,深入剖析了实现移动增值业务的开放式标准协议Parlay/OSA的体系结构,简要描述了第三方发现和使用业务能力特征(service capability features,SCF)的过程,并以"统一服务号码"业务为例,应用计算机统一建模语言和Java语言实现了基于Parlay/OSA开放式业务体系架构的移动增值业务的设计。利用已有的ISG平台,对设计的移动业务进行了计算机仿真,结果表明了设计的移动增值业务逻辑过程的合理性和实现结果的正确性。基于模糊聚类的VOD服务调度算法
摘要:提出一种面向园区网VOD系统的服务调度算法。基于模糊聚类思想将VOD点播热门节目及系统中的服务器进行混合聚类,再根据聚类结果从资源利用的角度为每个热门节目调度最恰当的服务器以进行服务,从而实现了单个服务器内部各项资源的均衡利用以及全局范围内所有服务器的负载均衡。实验结果表明,该算法具有良好性能,可在不升级应用框架及硬件基础设施的基础上提高系统的运行效率。SIP协议实现中消息解析的研究
摘要:在满足SIP协议被设计为可灵活扩展的文本协议的要求的基础上,分析了传统SIP消息解析器中基于字符串比较操作来判断消息头字段类型对整体SIP消息解析性能的影响。结合SIP协议栈实现过程中的对可维护性和可扩展性要求,深入研究了逐行解析消息头字段的基本流程和静态查找表的基本工作原理,提出了借助开源工具Gperf自动化构建高效静态查找表以实现头字段类型查询的方法,并实现了SIP消息头类型的快速匹配的目的。该方法改善了SIP消息解析器的性能和扩展性。多核系统下的IPSec VPN网关的研究和实现
摘要:由于传统IPSecVPN网关面临新业务计算能力的困难,提出了多核系统系统下的IPSecVPN网关的实现方法。在Linux系统下通过对单处理器系统的IPSec VPN网关的报文处理流程的改进,实现了多核系统下的IPSec VPN网关,再通过多处理器间负载均衡和多核软件可执行级代码兼容性改进,进一步提高了多核系统下IPSec VPN网关的处理能力。最终测试结果表明,不仅在双核系统、四核系统上获得极高性能的提升,而且实现了可执行级代码的兼容性,并根据测试结果,在技术领域首次提出多核系统性能边际效益递减的规律。移动P2P应用环境下的组件管理模型
摘要:描述了一个移动P2P应用环境下的组件管理模型P2PCOM(component in mobile P2P applications),P2PCOM支持非集中的网络结构,适合轻量级移动智能终端的P2P分布式应用开发。通过运用OSGi协议规范,提出端口管理器的概念,用来实现抽象的,灵活和高层次的通信机制。端口同时具有协议独立性、位置独立性、同步异步远程调用,组件中的服务可以在本地与远程的容器中迁移,根据QoS的需求,给服务定义服务等级。通过对实验场景的建立与实验性能分析,结果表明了P2PCOM可以较好的支持灵活的、高度可裁减的移动P2P应用开发。多核处理器并行编程模型的研究与设计
摘要:为了在多核处理器上充分利用多核资源以提升程序性能,研究了多核处理器的体系结构和多核环境下可能影响并行程序性能的因素,实现了基于任务的并行编程模型。该模型提供了单任务数据并行和多任务并行两种并行处理方式,其中单任务数据并行使用cache块技术划分数据集,多任务并行使用任务密取的任务调度策略。用该模型实现了计算斐波那契数列的递归算法,实验结果表明,使用该模型编写多核并行程序可以达到较高的相对于串行计算的加速比。重叠地址空间的二次重定向研究
摘要:为了提高操作系统内核在地址空间切换时候的效率,利用ARM处理器上的快速上下文切换扩展(fast context switchingextension,FCSE),实现任务地址空间的二次重定向。该方法首先将任务地址空间重定向到一个大的单地址空间,内存管理单元再进行从虚拟地址空间到物理地址空间的重定向。单地址空间到物理地址空间的地址转换信息始终保持有效。因而,内存管理单元(memory management unit,MMU)在任务切换的时候不必清空转换查询表(translation look-aside buffer,TLB),可提高处理器在任务切换时候的效率。通过在ARM920RT处理器上的实验发现,按该方法设计实现的内核可以稳定地运行在虚拟机上。
