河南省高等学校创新人才培养工程(114200510001)
- 作品数:47 被引量:136H指数:7
- 相关作者:陈性元杜学绘孙奕王超徐国愚更多>>
- 相关机构:解放军信息工程大学北京交通大学中国人民解放军信息工程大学更多>>
- 发文基金:河南省高等学校创新人才培养工程国家重点基础研究发展计划国家高技术研究发展计划更多>>
- 相关领域:自动化与计算机技术电子电信更多>>
- 基于属性的用户-角色委派模型可达性分析被引量:1
- 2014年
- 针对传统基于角色的访问控制(RBAC)管理模型难以表达多样化策略的问题,提出了基于属性的用户-角色委派(ABURA)模型,采用属性作为用户-角色委派的先决条件,丰富了RBAC管理策略的语义。用户-角色可达性分析是验证分布式系统中授权管理策略正确性的重要机制,定义了ABURA模型的用户-角色可达性分析问题,通过分析ABURA模型状态转换特点给出策略约减定理,设计了可达性分析算法,并通过实例对算法进行了验证。
- 任志宇陈性元
- 关键词:授权管理模型可达性分析角色
- 面向多级互联系统的安全信任模型被引量:1
- 2012年
- 多级互联系统由不同安全等级的信息系统组成,资源和用户的安全标记是实施强制访问控制的基础。由于低等级信息系统的可信级别较低,给高等级信息系统带来身份和权限欺诈等信任风险。提出了一个多级身份信任模型,在对多级互联系统进行安全建模的基础上,构建多级信任安全性公理和信任规则,对跨级跨系统信息系统的身份认证行为进行规范,避免了上述安全风险,有效地解决了多级互联系统中的跨级信任问题。
- 王超魏浩
- 关键词:安全信任模型
- 动态安全策略逻辑语言及安全属性验证问题的研究被引量:7
- 2013年
- 针对动态安全策略在策略表达、判决和验证等方面具有的重要意义,提出了一种可用于动态安全策略表达、决策和验证的逻辑系统SSML.首先,给出了SSML逻辑系统的语法和语义,并且证明了一般意义上的SSML逻辑系统查询评估问题是不可判定的,从而表明不存在通用的SSML安全策略语义查询评估算法.其次,研究SSML子语言特性,发现两类语法受限的SSML动态安全策略——NDel型安全策略和TDel型安全策略.虽然前者不允许在安全策略中出现删除规则,后者只允许完全信任的管理人员执行删除规则,但它们的查询评估问题是可判定的,并且分别构造出它们的查询评估算法——OLDTE和OLDTT.最后,通过实例说明如何使用OLDTE或OLDTT实现安全策略验证,从而证明这两类动态安全策略具有广泛的应用前景,对动态安全策略及其安全性分析方法的研究具有重要意义.
- 包义保殷丽华方滨兴郭莉
- 关键词:安全管理
- 大规模延迟容忍网络中基于分级身份的认证密钥协商协议被引量:1
- 2013年
- 大规模延迟容忍网络具有覆盖范围广、链路间歇性连通及通信时延长等特点,这使得现有认证密钥协商协议存在系统管理瓶颈及通信时延长等问题。设计了一种适用于大规模延迟容忍网络环境下的认证密钥协商协议,依赖基于分级身份的密码机制,通过密钥分级派生,减少系统管理瓶颈,同时消除对证书的依赖,减少协商时延。与现有通用环境下基于分级身份的同类协议相比,该协议的通信开销及双线性对计算开销较小,且均为常量,不受节点层次数影响,可扩展性更强,并且具有密钥派生控制功能。最后,在标准模型下证明了协议的安全性。
- 徐国愚陈性元杜学绘曹利峰
- 关键词:认证密钥协商协议
- 基于安全熵的访问控制模型量化分析方法
- 2012年
- 针对访问控制模型的量化分析问题,提出基于安全熵的安全性量化分析方法。结合信息论有关知识引入安全熵概念,基于安全熵对模型的安全性进行定义;应用该方法对BLP等经典安全模型进行了量化分析,验证了该方法的实用性,并指出了访问控制模型和BLP模型对非授权间接访问防护方面的不足。实验结果表明,该方法适用于访问控制模型的安全性度量以及系统的访问控制能力评估。
- 王超陈性元熊厚仁曾光
- 关键词:信息熵访问控制模型
- 一种基于数据流分析的网络行为检测被引量:4
- 2013年
- 为了更好地对网络行为进行分析,提出了一种基于数据流分析的网络行为检测方法。通过分析网络系统体系架构,对网络行为进行形式化建模,并针对网络行为特点提出了一种基于与或图的行为描述方法,最终设计实现了基于数据流分析的网络行为检测算法。实验证明该方法能在多项式时间内完成数据流事件中的关系分析,而且与其他算法相比,能有效提高网络行为检测的查准率。
- 魏浩陈性元王超杜学绘
- 关键词:网络数据流数据流分析网络行为
- 基于属性的角色委派模型可达性推理方法研究
- 2014年
- 提出基于属性的角色委派模型,通过引入属性扩展授权管理策略的表达能力,并采用描述逻辑定义模型的概念及其关系。为解决分布式环境下授权管理策略检测困难的问题,对模型的用户-角色可达性问题进行定义和分析,采用SWRL描述推理规则,利用推理引擎实现用户-角色可达性的自动推理,并通过应用实例对推理方法的正确性和可行性进行验证。实验结果表明,针对某一策略进行推理时所需的时间随策略数量的增加上升平缓,因此,该推理方法适用于授权管理策略的自动检测,可有效避免因策略执行结果不直观而引发的安全隐患,为授权管理模型的安全应用提供支撑。
- 任志宇陈性元马军强
- 关键词:可达性描述逻辑
- 基于无干扰理论的分布式多级安全核心架构被引量:4
- 2013年
- 为了提高分布式环境下多级安全实施的正确性和可行性,提出了一个分布式多级安全保护核心架构——分布式可信计算基(DTCB)。DTCB具有三层结构,包括系统层可信计算基、模块层可信计算基和分区层可信计算基,实现了从模块间、分区间到分区内部的逐步细化的信息流和访问控制,有效降低了分布式环境下多级安全实施的复杂性。最后,采用组合无干扰模型形式化证明了DTCB的安全性,结果表明,DTCB能够从整体上为分布式系统提供较好的多级安全保护。
- 邵婧陈性元杜学绘曹利峰
- 关键词:无干扰可信计算基分布式系统架构
- 基于协议语义序列的应用层交互行为异常检测被引量:2
- 2015年
- 为了有效检测出应用层异常交互行为,提出了一种基于协议语义序列的检测方法。首先利用协议语义序列对应用层交互行为进行描述,并对存在的异常交互情形进行分析;然后提出基于协议语义序列的异常检测方法,利用报文的方向和时序关系构建出标准语义序列集,并获取正常行为特征,根据异常交互情形定义检测规则,利用序列比对和决策树算法实现了对应用层交互行为的异常检测。实验结果表明,该方法具有较高的检测率和较低的误报率。
- 石旺杨英杰唐慧林董丽鹏
- 关键词:异常检测
- 大规模延迟容忍网络中基于分级身份签名的认证方案研究被引量:3
- 2013年
- 针对大规模延迟容忍网络中现有认证方案存在通信与计算开销大问题,该文提出适用于大规模延迟容忍网络的高效认证方案。首先设计一种分级身份签名算法,在现有同类算法中计算和通信开销最小,并且具有聚合验签功能。基于该算法设计双向认证方案,并利用聚合验签功能实现并发认证,降低认证开销。基于h-wDBDHI*与ECDDH难题证明了签名算法及方案的安全性。分析与仿真实验表明,该方案的认证开销及认证成功率优于现有方案,更适合在大规模延迟容忍网络中应用。
- 徐国愚陈性元杜学绘
- 关键词:延迟容忍网络聚合签名
