杜皎
- 作品数:19 被引量:21H指数:3
- 供职机构:中国科学院研究生院信息安全国家重点实验室更多>>
- 发文基金:国家高技术研究发展计划电子信息产业发展基金国家重点基础研究发展计划更多>>
- 相关领域:自动化与计算机技术经济管理更多>>
- 嵌入式网络安全设备的抗缓冲区溢出攻击机制
- 2006年
- 缓冲区溢出攻击已经成为网络安全威胁中最为严重的一类,而嵌入式网络安全设备则更需要有抗缓冲区溢出攻击的能力。在分析了缓冲区溢出的基本原理以及抗缓冲区溢出攻击的方法后,提出建立全新的嵌入式网络安全设备的安全架构,并构建多层次的抗缓冲区溢出攻击机制。根据网络安全设备的特点和特殊需求,详细阐述了适合嵌入式网络安全设备需要的多层次,全方位的抗缓冲区溢出攻击机制。
- 杜皎荆继武李国辉
- 关键词:嵌入式系统网络安全设备缓冲区溢出
- 建立高效的网络安全设备IP数据包转发机制
- 2006年
- 因为网络安全设备对数据包转发的特殊需求,需要比一般设备更高效稳定的数据包转发机制。通过对IP数据包转发机制研究,针对特殊需求,提出了一种基于(IFPLUT+TCAM)的IP数据包转发机制。该机制将查找表根据输出端口分割为若干个小查找表,并允许查找引擎对每个小查找表进行并行处理,有效地将寻找“最长前缀匹配”的复杂问题简化为“第1前缀匹配”问题。
- 杜皎刘朝苹李国辉
- 以全新嵌入式网络安全设备安全构架建立多层次抗缓冲区溢出攻击机制
- 2005年
- 缓冲区溢出攻击已经成为网络安全威胁中最为严重的一类,而嵌入式网络安全设备则更需要有抗缓冲区溢出攻击的能力。本文在分析了缓冲区溢出的基本原理以及抗缓冲区溢出攻击的方法后,提出建立全新的嵌入式网络安全设备的安全架构,并构建多层次的抗缓冲区溢出攻击机制。文章根据网络安全设备的特点和特殊需求,详细阐述了适合嵌入式网络安全设备需要的多层次,全方位的抗缓冲区溢出攻击机制。
- 杜皎李国辉荆继武
- 关键词:嵌入式网络安全设备缓冲区溢出
- 用安全网关对抗DOS攻击
- 2006年
- 由于网络开放的结构,各种攻击也不断威胁着网络服务系统的可用性,其中以拒绝服务(DenialofService,简称DoS)攻击危害最大,最难以控制,而又最容易发起,因为任何人都可以非常容易的在网上的某个地方下载自动的DoS攻击工具。拒绝服务攻击的目的是利用各种攻击技术使服务器拒绝为合法用户提供服务。来自网络的拒绝服务攻击可以分为两类:停止服务和消耗资源。前者意味着毁坏或者关闭一个用户想访问的一个特定的服务;消耗资源是指服务进程本身正在运行,但攻击者消耗了计算机和网络的资源,阻止了合法用户的正常访问。利用具有网络流量控制能力的可生存性网关来保护网络,即将一个硬件网关布置在内部网络与Internet的接口,也就是内部网络的最外部边界。当内部网络在遭受到各种网络攻击时,该硬件网关能够阻挡攻击数据流量,尽量将攻击数据堵截在内部网络之外,保证内部网络的关键资源不被破坏。同时,该硬件网关还必须能够保证合法用户的访问能够顺利通过网关并获得服务。
- 杜皎荆继武
- 关键词:DOS攻击安全网关网络服务系统拒绝服务攻击网络流量控制关键资源
- 打造高效稳固的网络安全设备内核
- 2004年
- 现有的网络安全设备存在许多安全隐患,该文提出需要建立高效稳固的网络安全设备平台。而如何建立该平台的内核是解决问题的关键。文章通过对各种内核构建技术和扩展技术的分析比较,提出一种基于外内核扩展的模型。并对其中采用的关键技术进行详细的描述,目标是获得平台的高效稳固性。经过对实验平台的测试,该平台能为网络安全设备提供良好的运行环境,较好地完成各种安全设备的开发测试工作。
- 杜皎冯登国李国辉
- 关键词:网络安全设备
- 一种正形置换的逐位递增构造方法被引量:8
- 2006年
- 正形置换具有良好的密码学性质,可用于分组密码的设计以抵抗密码分析.正形置换目前还没有成熟的构造方法.本文从正形拉丁方截集的角度出发,通过正形拉丁方的增长实现了由n-bit正形置换生成(n+1)-bit正形置换的构造过程.该方法能够迭代产生大量的非线性正形置换,而且算法形式简洁,可用于动态产生正形置换.该结果提供了一个研究正形置换结构和构造方法的新思路.
- 徐海波刘海蛟荆继武杜皎
- 关键词:正形置换截集
- 一种防火墙平台的内核引导安全机制
- 2005年
- 针对现有防火墙技术的不足,提出一种防火墙平台与防火墙应用技术结合的防火墙体系结构。在此体系中,需要一个安全可靠的内核引导机制。该机制利用特有的方法找到并完整地读入平台的内核映像,为防火墙程序的运行提供良好的环境。阐述了该内核引导机制的设计与实现。
- 杜皎李国辉荆继武
- 关键词:内核防火墙体系防火墙技术安全可靠
- 一种入侵容忍的资料库被引量:5
- 2006年
- ARECA的设计保护了CA私钥的保密性,使ARECA能实时在线地为用户签发证书或撤销证书;但作为安全的在线CA,分发证书的资料库的安全也是关键问题.ARECA的资料库是入侵容忍的,通过将复制的服务器组织成分发屏蔽失效法定数目团体系统,能屏蔽良性失效或者被攻击者控制的服务器的行为,为用户提供正确的证书和证书撤销列表查询服务.异步通信条件下,n>3f个服务器组成的资料库能够容忍至多f个服务器同时失效.
- 刘海蛟荆继武林璟锵杜皎
- 关键词:入侵容忍
- 基于超内核的网络安全系统模型和安全技术研究
- 本文针对现有的网络安全系统在实现网络安全功能和维护自身安全上存在的问题,提出一种新的面向网络安全系统的体系结构模型:LOIS(Laboratory Of Information Security)系统模型。传统的系统是层...
- 杜皎
- 关键词:网络安全系统内核
- 文献传递
- 可生存系统的两类研究方法被引量:2
- 2006年
- 现有安全技术已经不足以对抗日趋严重的计算机系统及网络的安全问题,根据对可生存系统技术的需求,给出了目前生存技术的两类研究方法:可生存设计和入侵响应。以文件系统为例,阐述可生存设计的思想和方法;重点以可生存数据库为对象,描述入侵响应的3种具体实现方案:入侵恢复,隔离和围堵。另外,针对每一个方案,提出并描述了实现的模型。
- 杜皎冯登国李国辉
- 关键词:可生存系统入侵响应围堵
