网格计算环境中的安全信任协商系统

网格技术促进了广域网络环境下的资源共享和协同工作.然而,在网格环境中,服务的提供方和请求方往往位于不同的安全域,如何为位于不同安全区域的陌生主体间动态地建立信任关系成为一项应用难题.基于信任管理基础设施,通过协作主体间信任证、访问控制策略的交互披露逐渐为各方建立信任关系,设计并实现了一个保护协商方隐私信息的安全信任协商系统.该系统采用一种基于属性的委托授权信任证、访问控制策略及一致性验证算法,实现策略的动态调整,从而生成满足访问控制策略的所有最小可满足信任证集,能够使理论上存在的信任关系得以自动建立.通过在CROWN平台中的应用,显示该系统能够满足网格应用中信任自动建立和敏感信息保护的需求.      

企业门户中基于令牌的角色访问控制模型

企业门户中用户和访问权限管理的研究是一项复杂且具挑战性的工作.传统的基于角色的访问控制模型(RBAC,Role-Based Access Control)在实现上通常受单一系统和应用的约束,因此提出了一种基于令牌的角色访问控制模型(TRBAC,Token Role-Based Access Control)．该模型采用门户平台下的单点登录(SSO,Single Sign On)技术,将RBAC模型与令牌访问机制相结合,使角色能跨越门户平台下所有的Web应用．该模型是一个动态激活的模型,根据用户实际的访问需求动态激活相应角色,为用户管理和访问控制管理提供了一个新的解决方案．TRBAC模型具有统一的用户安全管理标准,支持集中审核和控制．实践表明,采用TRBAC 模型提高了系统的访问效率,保证了系统的安全性．      

扩展的基于角色的访问控制模型

提出了一种扩展的基于角色的访问控制RBAC(Role Based Access Control)模型--RTBAC (Role & Task Based Access Control)模型.该模型在RBAC96模型之上引入了任务和任务实例的概念,形式化地定义了任务和任务实例的层次结构,界定了传统会话同任务实例之间的关系以及任务实例同权限之间的关系,并且提供了几种辅助函数.该模型可以更为自然地描述业务流程和访问控制策略,更适合分布式协作应用,特别是工作流和组合服务.基于该模型定义了一种新的动态职责分离约束--基于任务的动态职责分离约束,并且同传统动态职责分离约束进行了比较.该约束可以更准确地刻画访问控制相关的系统运行时上下文的范围,从而提高运行时访问控制的效率.     

基于描述逻辑DL_(RBAC)的RBAC形式化模型

提出了一种新的基于描述逻辑的形式化表示方法,将组成基于角色的访问控制(RBAC,Role-Based Access Control)模型的集合和关系分别用描述逻辑中的概念和角色表示,并且在基本的描述逻辑语言上引入了可以表示角色的复合关系和包含关系的符号,从而形式化表示出了RBAC与角色继承有关的一些关键性质和约束条件,如角色层次关系(RH,Role Hierarchy)传递性、用户角色分配关系(UA,User-Role Assignment)的继承性和权限角色分配关系(PA,Permission-Role Assignment)的继承性,以及RBAC中的静态职权分离约束和动态职权分离约束等.通过形式化地表示RBAC的继承关系及约束条件,利用描述逻辑本身的推理机制可以限制不符合访问控制策略的继承关系产生.     

角色访问控制技术在管理信息系统中的应用

基于角色的访问控制作为一种安全机制,已引起人们越来越多的关注.介绍了传统的自主访问控制模型和强制访问控制模型并分析了他们的特点,提出了一种基于RBAC2(Role Based Access Contrd 2)模型之上的新的访问控制模型,该模型兼顾了RBAC2模型的优点,并扩展了RBAC2模型中对于个体权限的修改能力,应用于实际的管理信息系统中的事实证明了该模型是可行的.讨论了权限的分级管理.     

基于支持向量机的机场智能驱鸟决策

为提高机场鸟击防范管理水平,实现探鸟雷达与多种驱鸟设备联动,提出一种基于支持向量机（SVM）的机场智能驱鸟决策方法。该方法包括训练和测试两部分。训练部分利用机场鸟类探测预警与驱赶联动系统获取的大量历史鸟情信息,结合专家知识,通过数据预处理与支持向量机训练,建立驱鸟策略分类模型;测试部分根据驱鸟实时智能决策结果,对驱鸟策略分类模型进行持续修正与优化。通过某机场的实测鸟情信息数据与若干驱鸟实例,证明驱鸟策略分类模型具有较高的决策正确率,并能够通过自身修正与优化应对各种新问题。本文方法针对实时鸟情信息,实现了多种驱鸟设备的优化组合,克服了驱鸟设备长期重复运行造成的鸟类对驱鸟设备的耐受性问题,极大改善了驱鸟效果。      

防御和控制DOS/DDOS攻击新方法的研究

DOS(Denial\|of\|Service)/DDOS(Distributed Denial\|of\|Service)网络攻击不但给被攻 击目标带来麻烦,而且还严重干扰与被攻击目标共享网络的其它流量.利用主动网络将一些计算功能增加到每个中间节点(路由节点、交换机等),提出一个防御和控制DOS/DDOS攻击的机制体系,这个机制体系主要包括以下3个机制 :基于集群的自动鉴别和控制机制、基于集群的主动通告追踪机制和基于管理域的控制合作 机制.基于集群的自动鉴别和控制机制包括对DOS/DDOS网络攻击集群的鉴别策略及控制它们 的速率限制策略.基于集群的主动通告追踪机制则是把这些攻击集群特征通告给上游主动节 点并使之激活当地的速率限制策略.利用该系统,在试验中能够有效地预防和控制DOS/DDOS 攻击.      

基于比例分配的过驱动碟形飞行器滑模控制

为了避免一些执行机构提前出现饱和,针对具有位置约束的过驱动碟形飞行器,按照执行机构的约束范围,提出了一种比例分配策略.基于该策略,可以使双输入系统简化成单输入系统,并避免有执行机构提前出现饱和.考虑执行机构具有一阶动态特性和系统气动参数的不确定性,设计了滑模控制律.通过比例分配和伪逆分配的比较,得出了一种确定伪逆分配权矩阵的方法.仿真结果表明了该方法的正确性和有效性.     

网络分布式并行计算的负载平衡

利用分布式系统动态负载平衡的原理,设计了一种适应网络分布式并行计算环境的负载平衡实现机制,采用集中式负载信息收集策略,集中和分布式相结合的传输控制策略.定义了一种新的复合型负载指标来衡量各处理机的负载程度.讨论了相应的理论和实现中的关键问题,给出了主要的实现策略和算法.仿真比较研究表明这种体系结构和相应策略能对网络环境下分布式并行计算提供有力支持.      

Java虚拟机中动态内联策略的改进

在Java虚拟机中,传统的基于计数的热点探测方法往往不能得到方法间的调用关系,因此,采用这种机制的动态编译器会丧失一些优化机会,比如方法内联.提出了基于在线反馈信息的动态内联策略.同已有的内联算法相比,该方法引入了BC Map,它由基线编译器对方法进行第一次编译时构建.BC Map可以确定对方法M进行调用的字节码在其调用者中的索引.通过构建Guarded Rec记录,编译器能够准确判断出虚方法的接收者对象的类型,进而确定方法间的调用关系.使用该信息指导的保护内联优化可以避免静态判断虚方法的接收者对象类型的缺陷,得到更加准确的动态信息,使应用程序的性能得到提升.      

分布式安全应用框架中的证书系统

介绍了分布式证书系统的特性,提出一个基于客户/服务器模式的分布式安全应用的框架,阐述了如何将分布式证书系统纳入安全应用框架中,并为分布式应用环境提供身份鉴别、访问控制、授权等主要的安全服务机制.根据安全需要,给出了实现上述机制的主要方法,简要分析了采用这些方法的特点和安全性.最后提出未来研究的方向和设想.     

计算机网络防御策略模型

目前计算机网络防御研究中缺乏高层且易于细化的策略建模方法,因此在分析Or-BAC模型(Organization Based Access Control model)的基础上,对网络防御控制行为进行抽象,建立计算机网络防御策略模型(CNDPM,Computer Network Defense Policy Model).该模型对保护、检测和响应等策略进行统一建模,并引入角色、视图、活动自动分配的方法,以提高分配的效率,同时给出了策略到规则的推导规则,以细化为具体的防御规则.还给出了策略的完备性、有效性和一致性的形式化描述及分析.实例分析表明,该模型表示的计算机网络防御策略,能够有效地转化为防御规则,具有较好的实用性和扩展性.      

基于异质信息网络的恶意代码检测

恶意代码对网络安全、信息安全造成了严重威胁。如何快速检测恶意代码,阻止和降低恶意代码产生的危害一直是亟需解决的问题。通过获取恶意应用的动态信息、构造异质信息网络(HIN),提出了描述恶意代码动态特征的方法,实现了恶意代码检测与分类。构建了FILE、API、DLL三类对象的4种元图,刻画了恶意代码HIN的网络模式。经过改进的随机游走策略,尽可能多地获取元图中对象节点的上下文信息,将其作为连续词包(CBOW)模型的输入,从而得到词向量的网络嵌入。通过投票方法改进主角度分析模型,得到多元图特征融合的分类结果。在仅可获得有限信息的情况下,大大提高了基于单元图特征的恶意样本分类准确率。      

基于SM4算法的白盒密码视频数据共享系统

基于SM4算法的白盒密码视频数据共享系统是一种保障监控视频数据跨级跨域共享安全的系统，提出了一种基于国密SM4算法的白盒密码实现方式，并分析了算法的安全性，解决了SM4算法在非信任硬件环境中的安全运行问题。研制了基于后台权限控制机制的视频数据安全共享软件系统，包括共享数据上传/下载、共享审核、数据白盒加密处理、访问控制、基于白盒密码算法的共享视频解密播放器，实现了视频数据共享全过程的安全管控。搭建了实验环境，对所提系统进行了功能性能实验。实验结果表明，所提系统功能性能满足设计要求。      

移动Ad Hoc网络中一种支持QoS的多址接入协议

基于随机竞争和冲突解决的思想,为多跳移动Ad Hoc网络提出了一种支持服务质量(QoS)的多址接入(QMA)协议.将业务负载划分为时延敏感的实时业务和非时延敏感的数据业务.按照该协议,节点在发送业务分组前利用预报突发进行竞争接入,节点按照业务分组时延情况确定预报突发的长度,所发预报突发能持续到最后的节点优先获得接入.同时,具有实时业务的节点可以按照其优先级在更早的竞争微时隙中开始发送预报突发,因而可以比发送数据业务的节点更优先接入信道.最后利用OPNET仿真评估了QMA协议的多址性能,通过与带冲突避免的载波侦听(CSMA/CA)协议比较表明,QMA协议可以提供较高的吞吐量和较低的消息丢失率,并能为实时业务提供较低的时延,从而实现了对多媒体业务的QoS支持.      

基于策略的遥感卫星管控方法研究

针对遥感卫星管理控制中业务应用与底层调度紧耦合导致的操作复杂、人工干预多等问题,提出一种基于策略的遥感卫星管控方法。在搭建策略管控模型的基础上,采用分层控制闭环结构,构建卫星控制闭环;提出卫星集群分域管理方法,并设置策略部署机制;详细论述了基于策略的遥感卫星管控实现方法;以海上失联舰船搜救任务为典型案例进行仿真,验证该方法可以完成异构卫星集群基于事件驱动的闭环控制。基于策略的管理方法能够有效降低遥感卫星管控业务的复杂度,实现遥感卫星集群的自动控制。     

自组织网络中UPMA协议的群间仿真

基于有效竞争预约接入、无冲突轮询传输的思想,结合分层分布式网络结构为自组织网络提出了依据用户妥善安排的多址接入(UPMA)协议,UPMA协议可以支持节点移动性和多跳网络拓扑,并使用网络仿真工具OPNET仿真评估了它的群间通信性能.该协议利用分群算法将多跳网络拓扑形成轮询所需要的两跳分群结构,包括预约接入和无冲突的轮询服务阶段.有分组发送的节点在每帧的竞争接入时隙中竞争接入.如果成功,则进入轮询服务过程;否则,在本帧重新开始的接入阶段中进行冲突避免和分解的预约接入过程.仿真结果表明,UPMA协议显著提高了多跳群间的业务传输效率,可以提供较高的端到端信道利用率、较低的端到端平均消息时延和较小的平均消息丢弃率.      

基于Web的报表工具的设计与实现

基于Web的报表是企业信息系统报表应用的发展方向.目前大部分报表工具仅局限于两层客户/服务器应用,不支持Intranet/Internet,使用繁琐,开发难度大.在研究最新的Web数据库集成技术的基础上,提出了采用标准构件技术的Web报表工具实现方案,并着重阐述了几个关键技术,如:客户端和服务器的通讯机制、数据库访问接口策略、基于XML的通讯报文设计等.该工具对企业信息系统的Web报表开发有很大意义.