卿斯汉 作品数:260 被引量:3,748 H指数:32 供职机构: 中国科学院软件研究所 更多>> 发文基金: 国家自然科学基金 国家重点基础研究发展计划 北京市自然科学基金 更多>> 相关领域: 自动化与计算机技术 电子电信 经济管理 文化科学 更多>>
基于选择性监测的蠕虫预警技术 被引量:1 2005年 首先分析现有的三种蠕虫监测方法:(1)监听、搜集、分析网络中的ICMP-T3信息,由此来判断蠕虫是否在传播。(2)对网络中主机的TCP,或者UDP的连接活动进行监视,对网络中的“水平”扫描活动加以分析。(3)在每个主机上设立微型蠕虫防范系统,对被动和主动的连接数据报进行比较分析。这三种方法各有优点。但同时也存在不足之处,对蠕虫的预警有漏报和错报的可能。我们所设想的蠕虫预警系统是把这三种方法综合利用起来,发挥各自的优势,对各自的不足进行互补,形成更有效、更节约资源的蠕虫预警系统。 何雪煜 卿斯汉关键词:蠕虫 预警技术 ICMP TCP UDP 数据报 利用Kerberos协议实现端到端的网络安全系统 被引量:1 2001年 一、前言
目前,保证网络私有性的最有效方法是利用VPN技术建立虚拟私有网.但是,目前的VPN技术中存在着诸多的不足之处,主要表现在以下几个方面: (1)信息的保密性无法保障.VPN技术的最为重要的作用在于对机密信息进行保密,然而通常这些VPN对传输数据的保密性仅限于两个安全网关之间的通路上,在内部网中,所有信息都以明文的形式在整个局域网中广播,造成巨大的安全隐患. (2)密钥交换过程复杂,管理烦琐.VPN技术得以运行的一个重要前提是在位于不同地点的子网之间交换SA,建立策略库.主要有两种方式:手工配置和IKE协商.利用手工进行安全关联库的生成,操作上比较简单,但效率极低;而利用IKE协议进行协商过程又相当烦琐.不能有效地交换密钥是目前VPN技术未能得到普遍应用的主要因素所在. 张金玲 卿斯汉关键词:网络安全系统 KERBEROS协议 计算机网络 信息保密 世界计算机大会信息安全会议IFIP/SEC2004侧记 2004年 卿斯汉关键词:SEC 信息安全 计算机 信息处理 特洛伊木马隐藏技术研究 被引量:62 2004年 主要研究Linux环境下的特洛伊木马隐藏技术,提出了协同隐藏思想,并给出木马协同隐藏的形式化模型。针对现有木马对抗实时检测的缺陷和通信隐藏能力的不足,采用实时检测对抗技术和隐蔽通道技术开发了一个内核级木马原型,改进了木马的隐藏能力。通过实验结果分析,这一木马体现了协同隐藏的思想,验证了实时检测对抗技术和网络隐蔽通道技术的有效性。 张新宇 卿斯汉 马恒太 张楠 孙淑华 蒋建春关键词:数据安全与计算机安全 特洛伊木马 在IP包过滤中状态TCP包的过滤研究与设计 被引量:3 2002年 IP包过滤防火墙是构造整体网络安全系统的必不可少的部分。传统的IP包过滤防火墙有许多的缺陷,解决方法之一是使防火墙具有状态过滤能力。以TCP为例,状态过滤机制不仅能根据ACK标志和源、目的地址及端口号进行过滤,还能根据TCP包里的序列号和窗口大小来决定对该包的操作。这样可以防止一些利用TCP滑动窗口机制的攻击。在IP包过滤里加入状态过滤机制不仅能阻止更多的恶意包通过,还能提高IP包过滤的过滤速率(这对防火墙来说是很重要的)。 原箐 卿斯汉关键词:IP包过滤 序列号 TCP包 防火墙 网络安全 计算机网络 对两个改进的BLP模型的分析 被引量:28 2007年 安全性和灵活性是各种改进的BLP模型追求的目标.如何在保持安全性的前提下增加BLP模型的灵活性,一直是安全操作系统研究人员研究的重点.安全模型是系统设计的基础,如果在系统中实现了不安全的“安全模型”,其后果是严重的.结合多级安全(MLS)的核心思想,通过实例列举的方式深入分析了两个改进的BLP模型——DBLP(dynamic BLP)和SLCF(security label common framework).尽管这两个模型都提出了在系统运行时动态地调整主体安全级的规则,但是分析表明,它们还是不安全的.在这两个模型的规则控制下,特洛伊木马可以通过显式地读和写操作将高安全等级的信息泄漏给低安全等级的主体,从而违反了多级安全(MLS)策略.研究结果为人们避免选用不安全的模型提供了有意义的理论支持. 何建波 卿斯汉 王超关键词:安全性 灵活性 BLP模型 特洛伊木马 信息流 云存储系统的分区编码冗余方法研究 被引量:2 2013年 文章根据云存储的结构特点,将数据存储区域划分本地副本区、本地编码区、远端编码区。本地编码区和远端编码区采用确定型网络编码来实现数据的冗余备份。将解码过程的所有系数矩阵进行三角分解并保存为查找表,采用查表方法辅助方程组求解,减少计算量。实验结果表明,当单个存储结点的可用性在0.7至0.99之间、数据可用性目标为99.99999%时,采取数据分片数为8的方案,该方法的平均每字符运算次数低于3次,比副本冗余方法节省50%以上的存储空间.分区编码冗余方法解码速度快,能够显著提高云存储系统的可用性和存储效率. 谢垂益 鲁向前 卿斯汉关键词:冗余 网络编码 关于极小泄露证明协议的注记(英文) 2000年 分析了一个极小泄露证明协议的错误 ,给出一个更正的协议 ,并证明了其安全性 . 蒋绍权 冯登国 卿斯汉关键词:零知识 注记 安全性 并行密码体制的构造 被引量:7 2000年 如何构造并行密码体制是值得关心的重要问题 ,也为构造与传统密码不同的密码体制开辟了一个新的思路 .分析了串行环境和并行环境的内在不同点 ,根据并行环境的特征 ,基于并行复杂性理论提出一系列构造并行密码体制的基本理论和要求 . 卿斯汉关键词:密码学 数学模型 NP问题 特权约束系统职责隔离问题研究 2008年 特权控制操作系统最重要的资源,需要应用职责隔离原则,确保特权安全.与现有研究不同,从特权隐式授权方面探讨对职责隔离的支持问题.通过分析特权来源,将特权定义分解为约束规则与执行规则,弥补了现有访问控制研究中对权限效果描述不足的缺陷.两类规则间的逻辑推导说明授权间的推导关系,即特权间存在隐式授权,可能不满足职责隔离要求.利用授权推导关系图准确而全面地反映了特权机制的所有隐式授权.从特权的职责隔离属性,及职责隔离对特权的机制要求两方面探讨上层职责隔离需求与底层特权控制实施的一致性问题.以目前广泛应用的POSIX权能机制为例,给出其形式化模型BMPS模型的定义,指出该机制支持职责隔离存在的问题,并对该机制进行了改进,给出满足职责隔离要求的特权策略实施方案. 蔡嘉勇 卿斯汉 刘伟关键词:特权