安全ARP的Clark-Wilson模型化

ARP协议漏洞严重威胁着TCP／IP的安全，一些基于对称或非对称密钥机制的安全ARP协议被相继提出。本文介绍了ARP协议攻击的原理和几个最出名的基于对称或非对称密钥机制的安全ARP协议，引入Clark-wilson商业模型对ARP的完整性状态进行了分析，把改进协议Clark-Wilson模型化，在模型化的过程中找到了它们不能通过Clark-Wilson商业模型验证规则的关键点，并根据Clark-Wilson商业模型提出的经典场景，给出了相应的攻击场景。

基于Biba和Clark-Wilson策略的混合强制完整性模型

商业应用需要实施完整性策略保护.Biba模型提供了一种简洁的多级完整性控制方案,但是需要引入可信主体来保证实施的可用性.而Clark-Wilson模型通过可监控的状态转换提供了一种完备的完整性保护,但其复杂性影响了该模型的完整实现.提出的模型以Biba严格完整性策略为基础,同时根据可信主体在其生命周期所属的状态实施Biba低水标策略.对可信主体在其生命周期发生的状态转换及相应的低水标参数调整,采用Clark-Wilson模型来进行监控.在有效解决了Biba策略的可用性问题和Clark-Wilson模型监控量过大给系统带来的配置和运行负担问题的同时,继承它们的优点.证明了该策略融合方案是可行的、安全的.

多安全策略访问控制的关键技术研究

在网络环境中，计算机系统面临的安全威胁是复杂的、多样的和动态变化的，因而，计算机系统的安全需求具有复杂性、多样性和动态变化性等特点。研究表明，多安全策略访问控制是应对复杂、动态安全需求的有效手段。本文对多安全策略访问控制的关键技术进行了研究，并取得了以下研究成果： 第一，对操作系统的强制访问控制框架的正确性验证进行了研究，提出了正确性验证的三个目标，给出了路径敏感的基于静态分析的正确性验证方法，对TrustedBSD MAC框架进行了正确性验证，并成功发现了多处钩子函数放置错误。 第二，对RBAC模型的安全策略的动态调整进行了研究，指出了RBAC模型在安全策略动态调整，特别是角色授权动态调整方面存在的不足，给出了基于状态的安全策略动态调整模型，并给出了基于虚拟域的安全策略动态调整模型的实现方法。 第三，对RBAC模型和Clark-Wilson模型的融合进行了研究，指出了这两个模型在大型应用的完整性保护方面存在的不足，对Clark-Wilson模型的验证规则和实施规则进行了扩展，并给出了RBAC模型和Clark-Wilson模型基于层次方法的融合。 第四，对安全策略描述框架的评价进行了研究，分析了灵活表达安全策略所需的安全策略描述组件，总结了六类典型的安全策略描述框架，提出了基于描述性和实施性评价指标的安全策略描述框架的评价方法，并对六类典型的安全策略描述框架进行了评价。 本文的研究解决了多安全策略访问控制的一些关键问题，为进一步研究多安全策略的实施、多安全策略的动态调整以及多安全策略的融合等问题奠定了理论与实践基础。

基于可信计算的度量验证关键技术研究

分布式应用的飞速发展让结点平台的可信保障成为信息安全的研究热点。传统计算机平台的信息安全技术很难满足分布式计算环境的安全需求。可信计算技术通过引入可信硬件作为“信任根”，为保障结点平台的可信性提供了新的机制。基于可信计算的度量验证技术是保障平台可信性的核心机制，目前的相关研究在可信性、隐私性、易用性等方面还存在问题。 本文总结度量验证的基本概念和实施模型；分析现有度量验证机制在平台隐私保护、运行时完整性保障上存在的问题，提出相应具体解决方案；并基于度量验证机制提出一种新的对等网络声誉系统，具体创新成果如下： 1. 分析可信与完整性的本质，提出动态系统完整性的概念，并基于Clark-Wilson完整性模型给出具体实施规则，用于指导运行时完整性保障机制的设计与实现。 2. 针对经典度量验证体系架构存在的平台隐私保护不力、验证效率低下、验证方式单一等不足，提出基于Merkle哈希树的度量验证机制RAMT，并阐述其体系架构和具体实现。 3. 分析载入时完整性保障的缺陷，提出运行时完整性保障机制，通过对关键系统构件的运行时完整性进行监控提高其可信性；给出一种基于动态完整性度量模块DIMM的具体实现方案，分析该方案的可靠性和有效性，并阐述其在虚拟机环境下的实际应用vTPM-DIMM。 4. 为解决现有声誉系统的负载平衡、冷启动以及协同作弊问题，基于度量验证机制提出一种多级别的可信声誉系统MRS；通过CCEA实施全局的访问控制规则，MRS还可作为激励机制使用。

操作系统强制访问控制关键技术研究

强制访问控制能有效地防止用户有意或无意地破坏系统的安全，能够有效地防止病毒和木马以用户的身份破坏系统的安全，是高安全需求操作系统的主要防护手段。业界对操作系统强制访问控制研究起步很早。然而，面对日新月异的应用场景，面对计算机系统及操作系统自身相关技术的迅猛发展，已有的针对操作系统强制访问控制的研究工作不足以兼顾安全性、可用性和灵活性。以上不足集中体现在：1) 当前广泛使用的强制访问控制机制从设计上难以同时满足实用系统对安全性和可用性的要求；2) 强制访问控制的设计缺乏对操作系统所处分布式、网络化环境的考虑；3) 操作系统强制访问控制研发保障技术需要进一步研究。 针对这些问题，本论文从强制访问控制的设计和保障出发，对操作系统强制访问控制关键技术展开研究，并取得了以下几个方面的成果： 第一：强制访问控制格策略模型机制简洁，安全性易验证，在安全操作系统和安全增强操作系统上应用广泛。然而严格地实施格策略会带来可用性的问题。本文针对机密性和完整性强制访问控制格策略模型，分别给出了可监控客体框架和Clark-Wilson可信主体特权状态跃迁监控框架。这些框架具有细的刻画粒度，好的扩展性和简洁性，我们对这些框架给出了数学描述，并对带Clark-Wilson可信主体特权状态跃迁监控框架的完整性格模型给出了理论证明； 第二：针对分布式应用环境，提出了基于可信计算技术和域型实施（Domain and Type Enforcement: DTE）策略的操作系统分布式强制访问控制方案。我们从理论上证明了策略的安全性。相比国内外同类工作，该方案具有细的访问控制粒度，在系统验证的简洁性和部署的灵活性方面是最好的； 第三：实施强制访问控制的中高等级安全操作系统的安全性需要利用形式化方法的严密性进行保证。本文按照TCSEC B2级别的要求，利用Z/EVES形式化工具对SECIMOS安全操作系统进行了形式化保障：给出了安全模型的形式化规范，给出了安全不变量和安全定理，证明了安全定理，描述了形式化安全模型与顶层设计的一致性； 第四：操作系统强制访问控制框架是强制访问控制机制在操作系统上实现的基础。本文提出了针对操作系统强制访问控制框架的自动测试用例生成方案。该方案利用编译器辅助审计代码插入，约束求解器辅助置乱参数生成，测试用例精简等技术为FreeBSD MAC框架生成了一套有效的回归测试用例套件。同时也为基于FreeBSD MAC框架的NFSARK系列安全操作系统提供了坚实的实施基础。 本文的研究成果向圆满解决当前国内操作系统强制访问控制的设计、实施和保障中遇到的问题的目标迈出了坚实的一步。