-
公开(公告)号:CN101833453B
公开(公告)日:2012-12-05
申请号:CN201010168987.X
申请日:2010-05-13
Applicant: 天津大学
Abstract: 本发明属于可信计算领域,涉及一种基于安全知识库的顺序图缺陷检测方法:利用UML顺序图描述设计阶段中的某一业务逻辑,首先对这些顺序图添加安全属性的扩展,然后对这些业务逻辑进行FSA建模并从模型中提取出所有的攻击路径,最后借助由攻击模式库、缺陷库及两者的二元关系所构建的安全知识库,进行缺陷检测,最终生成威胁分析报告。采用本发明可以有效地检测顺序图隐藏的系统缺陷,能够在软件开发的早期发现这些漏洞并作修补,从而降低了软件开发和维护的成本,提高了软件的安全系数,增强可信性。
-
公开(公告)号:CN102801524A
公开(公告)日:2012-11-28
申请号:CN201210194306.6
申请日:2012-06-13
Applicant: 天津大学
Abstract: 本发明公开了一种可信认证体系基础上基于信任理论的可信服务系统,其特征在于,该系统包括四个模块,即基于组合公钥CPK标识认证的可信认证模块、满足临时服务和快速服务重组的信任可计算模块,满足服务动态需求和自动化程度要求的、基于智能代理技术的自动信任协商模块,基于模糊非齐次马尔可夫系统和多元回归分析的服务可信性预测模块。与现有技术相比,本发明可以在软件开发的初期设计阶段,对软件进行建模,并通过统一威胁建模驱动软件评估,进而根据可能存在的威胁做出缓和方案,大大提高了软件的安全性。
-
公开(公告)号:CN102799834A
公开(公告)日:2012-11-28
申请号:CN201210186363.X
申请日:2012-06-07
Applicant: 天津大学
IPC: G06F21/22
Abstract: 本发明公开了一种基于系统资产的软件安全需求分析方法,包括:过程一:确立系统资产类别与安全功能组件的对应关系,以及在资产与安全功能组件之间有可能出现的威胁的对应关系,构建安全知识库;进行系统资产、威胁、攻击模式的分类以及建立对应关系,使得能够从系统资产确定所对应的安全组件;过程二:针对具体的系统开发且根据需求人员确定的系统资产,在安全知识库中获得相应的安全功能组件,再由安全需求分析人员考虑具体技术和安全策略进行精化选择,将最终选定的安全功能组件描述成安全概要规范;与现有技术相比,本发明能够使安全知识不足的需求分析人员快速进行安全需求分析,有效地降低分析安全功能需求的难度,降低安全需求开发成本。
-
公开(公告)号:CN102739402A
公开(公告)日:2012-10-17
申请号:CN201210185839.8
申请日:2012-06-06
Applicant: 天津大学
Abstract: 本发明属于信息安全领域,涉及一种RFID系统中基于HB+的一种强安全认证方法,系统中的阅读器和标签共享n比特密钥x和y,标签拥有一个噪声发生器,在每一轮认证时,以η∈(0,1/2)的概率生成一个比特的噪声v={0,1|prob(v=1)=η}(prob(v=1)指的是v=1发生的概率),该强安全认证方法包括阅读器和标签之间的r轮认证过程,在进行r轮认证后,如果标签的响应错误轮数小于ηr,则认证通过。本发明是一种适合应用在低端RFID系统中的安全、简单、高效的RFID强安全认证方法。
-
公开(公告)号:CN102662840A
公开(公告)日:2012-09-12
申请号:CN201210094463.X
申请日:2012-03-31
Applicant: 天津大学
Abstract: 本发明属于软件功能检测技术,公开了一种Firefox浏览器扩展行为自动检测系统,利用插桩的Firefox浏览器抽取扩展行该系统包括浏览器插桩模块(101)、扩展下载模块(102)、测试站点模块(103)、扩展信息提取模块(104)、事件模拟模块(105)、注入对象跟踪模块(106)以及控制模块(107),扩展下载储存库(108),与现有技术相比,本发明是为了能够对现有浏览器扩展的行为有所了解,进而提出适当的安全策略以降低浏览器扩展的使用风险,希望借此能够让用户在应用扩展时,在保证安全的前提下,拥有较大的自由度。为浏览器内部扩展是否具有安全威胁提供有效的判断依据,也就是说,能够在安全的基础上充分发挥Firefox拥有强大扩展功能且人性化程度高的优势。
-
Patent Agency Ranking
公开(公告)号:CN102156832B
公开(公告)日:2012-09-05
申请号:CN201110074647.5
申请日:2011-03-25
Applicant: 天津大学
Abstract: 本发明公开了Firefox扩展的安全缺陷检测方法,涉及网络与软件安全交叉领域,构建用于静态分析的演绎数据库和用于动态分析的非安全动作序列数据库;提取扩展内容中的源代码信息;在非安全动作序列数据库中,建立起映射关系;将预处理后的源代码信息导入演绎数据库,按照预设规则查询演绎数据库中关系,将查询到的演绎数据库中的关系添加进预设结果集,获取静态分析结果;当预处理后的源代码信息需要检测,采用追踪方法检测注入内容的类型,并记录自恶意代码注入点之后的源代码信息的动作序列,与非安全动作序列数据库中的相应信息对比、匹配,若存在对挂马攻击敏感的安全缺陷,根据映射关系输出安全缺陷分析结果信息及可行的缓和方案建议。
-
公开(公告)号:CN102236758A
公开(公告)日:2011-11-09
申请号:CN201110211081.6
申请日:2011-07-26
Applicant: 天津大学
IPC: G06F21/00
Abstract: 本发明属于可信计算领域,涉及一种基于安全知识库的安全需求获取方法,包括两个部分1)资产和威胁分别进行分类,然后建立对应关系,并构建包括资产、威胁和安全功能组件三部分的资产威胁知识库;2)具体的安全需求获取过程,包括用例分析、确定资产、威胁分析、细化安全需求、安全需求迭代几个步骤。本发明主要用于在需求分析阶段利用CC标准对软件进行安全需求分析和信息获取,以减少软件开发初期的安全漏洞。
-
公开(公告)号:CN102136047A
公开(公告)日:2011-07-27
申请号:CN201110046569.8
申请日:2011-02-25
Applicant: 天津大学
Abstract: 本发明公开了一种基于形式化及统一软件模型的软件可信工程方法,属于软件可信领域,所述方法包括以下步骤:基于形式化语言、传统UML视图,构建包含软件需求设计信息、软件实现信息和运行环境信息的统一软件模型;根据软件可信工程技术架构,进行所述统一软件模型的一致性和有效性验证,并自动生成单元测试实例;构建基于所述统一软件模型的软件安全缺陷知识库;基于所述软件安全缺陷知识库,通过形式化语言定理证明机,发现所述统一软件模型中潜在的软件安全缺陷;并根据所述潜在的软件安全缺陷给出相应的缓和方案。本方法有效的提高了软件质量、消除了设计缺陷、降低了开发成本和提高了可维护性等有益效果,解决了传统软件工程的不足。
-
公开(公告)号:CN102103677A
公开(公告)日:2011-06-22
申请号:CN201110056755.X
申请日:2011-03-09
Applicant: 天津大学
IPC: G06F21/22
Abstract: 本发明涉及属于安全、可靠性测试领域。为缓和软件威胁,增强软件系统的安全性,本发明采用的技术方案是,威胁模型驱动的软件安全评估方法,包括下列步骤:1.构建软件系统的概图;2.分解软件系统;3.识别软件系统的关键资产;4.识别并建模软件威胁;5.基于攻击路径评估软件安全;6.根据软件安全评估的结果制定缓和方案并确定其优先级,应用缓和方案改进软件系统的设计,缓和软件威胁,增强软件系统的安全性。本发明主要应用于增强软件系统的安全性。
-
公开(公告)号:CN102103514A
公开(公告)日:2011-06-22
申请号:CN201110049279.9
申请日:2011-03-02
Applicant: 天津大学
Abstract: 本发明涉及属于安全、可靠性测试领域。为将CC标准应用到软件的安全需求分析过程中,建立安全需求与CC标准之间的关系,为用户生成安全需求文档和安全活动图,本发明采用的技术方案是,在CC标准下基于活动图扩展的安全需求分析方法,包括下列步骤:1.确定系统功能,选出系统中需要被保护的资产信息,获得需要被保护的资产信息;2.抽取出针对资产信息所存在的威胁;3.建立安全需求与CC标准之间的关系;4.扩展活动图为安全活动图,并导出安全需求文档。本发明主要应用于将CC标准应用到软件的安全需求分析过程。
-
-
-
-
-
-
-
-
-
Search Results
134
records
(took 0.079 seconds)
