分布式多级安全(共7篇)
分布式多级安全 篇1
一、概述
如今制约商务网站发展的核心和关键问题就是交易的安全性。本文基于泵理论研究分布式多级安全模型, 该模型集成了域安全, 域隔离, 域冗余的域管理安全策略, 通过独立的域来管理不同安全级别的数据, 高级别的域和低级别的域通过数据二极管相连, 高级别域中备份了低级别域中的数据。本文还着重讨论了多级安全的动态管理方面的安全策略和它们的实现机制。
二、简单分布式多级安全模型
在此给出一个简单的分布式多级安全模型, 该模型的核心思想就是通过独立的域来管理不同安全级别的数据, 高级别域中备份了低级别域中的数据。由于该模型没有考虑到多级安全的动态管理方面, 所以称为简单分布式多级安全模型。
定义:一个简单分布式多级安全 (S D M L S) 模型是一个N元组 (S, O, R, L, D, f, SP)
1. 集合S包含所有的主体, 包括用户和进程等。
2. 集合O包含所有的客体, 包括文件、目录、设备、进程等。
3. 集合R包含所有的权限, SDMLS模型有一种权限read。
4. 集合L包含所有的安全级别, n为集合L中元素的个数, 即。并且我们假定。
5. 集合D包含m个不同的域 (Domain) , 。
6. 函数, f赋予每个主体和客体一个安全级别。
7. 集合SP包含所有的安全策略 (Security policy) , SDMLS模型的。
sp1 (域安全策略) 要求任何一个主体只能够读相同安全级域中的客体。
sp2 (域隔离策略) 要求低安全级域中的主体不能够感知高安全级域中主体的行为。
sp3 (域冗余策略) 要求任何一个安全级别为i的域中包含所有安全级别小于等于i的客体, 即。
S D M L S模型通过采用独立的域来管理不同安全级别的数据, 这种分布式结构多级安全模型具有以下优点:
1.分布式的域管理机制能够很好的平衡负载, 能够消除性能瓶颈。
2.分布式的域管理机制和冗余机制提高了多级安全系统的可靠性和可用性。
3.分布式的域管理机制减轻了系统的安全性威胁, 所有安全级别的数据受到威胁的概率很小。
三、多级安全动态管理的安全策略
每个客体都有一个创建者, 只有客体的创建者才能够删除客体。
但是我们并不能够完全相信客体创建者的行为, 所以我们需要安全官员的介入, 在安全官员的许可下删除操作才能够成功。当然安全官员是可信的, 如果什么都不可信则创建不了一个安全系统。
通常一个客体的创建过程分为两步:
1. 决定客体包含的信息, 即客体所属的阁。
2. 决定客体的安全级别。根据参与创建客体的主体数量把客体创建分为两类:单主体创建和多主体创建。典型的单主体创建客体的情况是主体按照例行的规则创建客体, 比如工作日志, 调查报告等等;典型的多主体创建客体的情况是通过会议讨论的形式创建文件。
首先我们给出关于客体创建的安全策略:
dsp1:任意单个主体创建的客体的安全级别等于该主体的安全级别。。符号creator代表客体的创建主体。
dsp2:任意多个主体创建的客体的安全级别等于最高主体的安全级别。。符号creators代表客体的创建主体的集合。
我们利用反证法来说明这两个策略的有效性:
对于单主体创建的情况, 如果安全策略sp1改成如下两种情况中的一种都不适合:
1., 该安全策略就不能够应付高安全级别的主体泄漏高安全级信息的情况。
2., 该安全策略不必要。因为低安全级的信息已经备份到高安全级的域中。并且creator本身知道客体o的内容。
对于多主体创建的情况, 如果安全策略sp2改成如下两种情况中的一种都不适合:
1., 该安全策略就不能够应付高主体泄漏高安全级信息的可能。因为高安全级的主体的参与不可避免地导致高安全级别的信息渗透到创建的客体中。
2., 该安全策略不必要。因为低安全级的信息已经备份到高安全级的域中, 并且高级别的creators本身知道客体o的内容。
分析完毕安全策略的有效性之后, 我们给出安全策略的实现机制:
安全策略dsp1的实现只需根据实际需要赋予某些主体创建相应客体的权限即可。根据SDMLS模型的sp2可知, 低安全级的主体不能够感知到创建客体的存在。根据SDMLS模型的sp3可知, 高安全级的主体能够获得新创建的客体。
相对而言, 安全策略dsp2的实现就比较复杂, 本文是通过多阶段创建的机制来实现d s p 2, 创建活动是由安全级别最高的主体M A X主持的。整个过程分为三个阶段:
1.创建准备阶段:由M A X给不同安全级别的主体分配主题, 不同安全级别的主体可能接收到的主题不同。所有的主体按照接收到的主题进行准备。
2.讨论过程:从低级别讨论开始, 各个低级别的主体给出该级别的信息, 然后按照该级别的主题进行讨论。讨论完毕, 该级别的主体全部隔离。然后再进行高级别的讨论。直至M A X级别。
3. 创建:M A X根据讨论的结果创建级别的客体。
四、扩展的分布式多级安全模型
把简单分布式多级安全模型和多级安全动态管理的安全策略结合起来就可以获得更全面的扩展的分布式多级安全模型。
定义:一个扩展的分布式多级安全 (EDMLS) 模型是一个N元组 (S, O, R, L, D, C, f, SP)
1. 集合S包含所有的主体, 包括用户和进程等。
2. 集合O包含所有的客体, 包括文件, 目录, 设备, 进程等。
3. 集合R包含所有的权限, BLP模型只有三种权限read, cre-ate和delete。
4. 集合L包含所有的安全级别。n为集合L中元素的个数, 即。并且我们假定。
5. 集合D包含n个不同的域 (Domain) , 。
6. 集合C包含所有的阁, 。
7. 函数, f赋予每个主体和客体一个安全级别。
8. 集合SP包含所有的安全策略 (Security policy) , SDMLS模型的
sp1 (域安全策略) 要求任何一个主体只能够读相同安全级域中的客体。
sp2 (域隔离策略) 要求低安全级域中的主体不能够感知高安全级域中主体的行为。
sp3 (域冗余策略) 要求任何一个安全级别为i的域中包含所有安全级别小于等于i的客体, 即
dsp1 (单主体创建安全策略) 任意单个主体创建的客体的安全级别等于该主体的安全级别。
dsp2 (多主体创建安全策略) 任意多个主体创建的客体的安全级别等于最高主体的安全级别。。
dsp3 (客体安全级别更改安全策略) 客体安全级别的改变必须要所有客体属于的阁中安全级别大于等于客体安全级别的主体表决。
dsp4 (客体更改安全策略) 客体内容更改必须要保留旧版本, 并且依据dsp1和dsp2创建包含更改内容的新客体。
根据EDMLS模型的定义来分析EDMLS模型对多级安全TM的处理:
1.通过域安全策略, 可以防止低级别的主体直接访问高级别的客体。
2.通过域隔离策略, 可以防止高级别的主体把高级别的客体包含的信息泄漏出去, 并且能够避免低级别的主体能够观察到高级别主体的行为并进行推理攻击。
3.通过单主体创建安全策略, 多主体创建安全策略, 客体安全级别更改安全策略, 客体更改安全策略为多级安全动态管理方面提供相应的安全策略。
4.通过域冗余策略, 可以避免低级别的主体能够观察到高级别主体的行为并进行推理攻击, 并能够提高多级系统的可靠性和可用性。当低安全级域中的数据遭到破坏之后, 可以通过备份进行恢复。
五、结论
本文针对商务网站的安全问题, 研究了一种分布式的多级安全模型。该模型集成了域安全, 域隔离, 域冗余的域管理安全策略, 通过独立的域来管理不同安全级别的数据, 高级别的域和低级别的域通过泵相连, 高级别域中备份了低级别域中的数据, 从而能够很好的克服商务网站所面临的安全问题。由于硬件价格的下降, 基于分布式的多级安全系统具有很好的前景。
参考文献
[1]冯朝阳:多级安全数据模型的数据紧凑度研究[J].计算机工程与应用, 2007, (11)
[2]吴思凌咏红:电子商务多级安全模型及其应用[J].现代图书情报技术, 2004, (06) .76~78
分布式多级安全 篇2
关键词:PACS,DICOM3.0,HIS,医学影像数据,信息存储技术,JPEG2000
医学影像存储与传输系统(picture archiving and communication sysstem,PACS)是放射学、影像医学、数字化图像技术与计算机技术及通讯工程发展相结合的产物,它是全面解决医学影像数据提取、显示、存储、传送和管理的信息系统。随着医学影像设备数字化程度的不断提升,越来越多的影像数据被存储到PACS中,为临床诊疗与管理提供了极大的方便与帮助。由于医学影像数据量大且需要长期保存,以及要求能在较短时间内调阅任意时间的历史影像资料,PACS存储体系结构的选择一直成为构建PACS的重要问题,是PACS设计开发中的核心与难点。我院2006年基于Visual C++软件开发语言和SQL Server数据库管理工具,采用多级分布式存储体系结构,对原有的PACS进行了全新的升级,本文论述了如何实现影像数据的多级分布式存储。
1 影像数据的特点
1.1 影像数据来源
从信息源数据形态来看,其来源可分为:①原有X光片、CT胶片等介质形态扫描转换为的数字影像;②直接由CT、DR、MRI、DSA等影像检查设备产生的数字影像;③由胃镜、肠镜、纤支镜等内窥镜及病理、B超等检查设备产生的视频模拟信号影像转换为的数字影像;④其他数据格式的数字影像转换而来的数据。
1.2 影像数据存储格式
影像数据的存储格式、元数据的标识、表示方式等由DICOM3.0 (digital imaging and communications in medicine)标准规定。在影像数据中,保存了影像的产生日期(image date)、时间(image time)、设备类型(modality)、设备厂家(manufacturer)、病人姓名(patient name)、病人ID号(patient ID)、出生日期(date of birth)、性别(sex)、检查唯一标识(Study Instance UID)、序列标识(Series Instance UID)、图像标识(Image Instance UID)等,利用这些信息建立影像管理数据库对影像数据进行管理。影像数据一旦形成就不会再改变,对影像的标注、解释等可通过另外保存数据实现。
2 存储体系特征和结构
PACS存储的影像数据主要是医学图像数据和相关信息(病人的基本信息、诊断分析报告、医生信息等),根据影像数据的使用频度和存取速度要求,整个PACS存储结构必须具备以下特征:
(1)医学图像数据和相关信息的完整性,保证PACS采集的新图像完整无误地存入系统。
(2)存储结构的高效率,保证数据存储的低代价和数据回迁查询的高效率。
(3)数据信息的安全性,保证存储的图像和相关信息不会因人为或不可知因素而彻底丢失。
因此,PACS存储结构设计由网络通信模块、数据管理模块构成。完成基于DICOM3.0标准的数据通信、分布式存储和查询、备份管理、数据回迁等功能。其体系结构如图1所示。
网络通信模块通过DICOM端口,实现基于DICOM标准的网络通信功能,为医学影像设备和系统提供图像信息,以及影像数据存储、查询和转存服务,即STORE SCP(Service Class Provider),FIND SCP和MOVE SCP服务。数据管理模块直接对数据库和图像文件区进行各种操作,是存储体系结构的核心。
医学影像设备和其他医学信息都通过网络通信模块与PACS存储体系结构相联系。当影像设备发送影像数据给系统时,存储结构首先通过网络通信模块STORE SCP服务接收图像,并根据信息分布式树型结构解析出图像数据和相关信息,通过服务器存入在线存储设备(同时传送近线NAS备份)。数据管理模块将图像数据以文件的形式存入在线存储区中,同时将相关信息存入中心数据库中;当影像设备需要从存储体系获取图像时,通过网络通信模块FIND SCP和MOVE SCP服务将请求发送给存储体系,数据管理模块根据FIND SCP服务解析出具体查询条件,将数据库中匹配的相关信息通过DIMSE(DICOM Message Service Element)服务返回给客户端;MOVE SCP服务查询指定图像的存储地址,根据存储地址访问具体的图像,并将图像数据通过网络通信模块发送给影像设备。
3 多级分布式存储和查询
3.1 信息数据库架构
构建分布式树型结构,利用中心数据库存放图像的相关信息,同时将图像数据放置在图像文件区中。这种方法具有存取灵活,便于数据共享等优点。数据库只存放图像的索引信息,增量数据相对比较缓慢,保证了数据库的稳定性。
根据DICOM3.0标准,将影像数据分为病人级、病例级、序列级和图像级的信息,上一级和下一级都是一对多的关系。这四级从现实实体中抽象出来,符合当前医院的工作流程,具有很强的实用性。其树型结构如图2所示。
病人级为最高级,主要存储病人的基本信息,如姓名、性别、年龄和ID号。这些信息是基本不变的,会永久保存在医院数据库中。每次病人就诊,医院就会调出这些信息,每一个病人相应地都会分配一个Patient ID号作为唯一识别号。
病例级为第二级,主要存储病人每次到医院看病时记录的一部分信息,如姓名、病例号、Study Instance UID、就诊科室和医生,其中Study Instance UID为唯一识别号。
序列级为第三级,主要存储病人每次检查时记录的不同检查部位的信息,如申请单信息、序列号、诊断部位、Series Instance UID、影像设备、诊断结果,其中Series Instance UID为唯一识别号。
图像级为第四级,主要存储具体医学图像的信息,如图像号、Image Instance UID、图像尺寸、图像描述,其中Image Instance UID为唯一识别号。
3.2 多级存储模式
由于PACS中图像数据量相当大,通常以TB为单位,因此存储结构采用多级分布式技术进行存储管理,基于多种存储设备,实现科学分配影像数据在PACS中数据流。
3.2.1 在线(on-line)存储
基于服务器为中心的直连存储(Direct Attached Storage,DAS),数据以本地磁盘和磁盘阵列存储。我院采用Lenovo dl560服务器与lenovo 620R光纤磁盘阵列作为在线存储设备。用于存储最新和使用频率较高的影像数据。服务器充分发挥Xeon平台的技术优势,盘阵中12块140G硬盘采用RAID 0+1技术,冗余存储磁盘阵列(RAID)存储影像数据的实际容量约840GB,保证了医院影像数据十个月的实时在线,盘阵虽然可用空间减少一部分,但磁盘读写速度提高了一倍,具有较高的硬件冗余和安全保障。
3.2.2 近线(near-line)存储
以数据为中心的附网存储(Network Attachment Storage,NAS),是将存储设备通过标准的网络拓扑结构,连接到局域网,为网络用户提供独立的存储空间,用于存储不常用的图像数据,我院采用的是DELL PowerVault745N服务器,后级使用DELL PowerVault 220S磁盘SCSI存储设备1套,内置146G的SCSI硬盘14块,采用RAID 5技术。可用于影像数据存储的实际容量约为1.8TB,能够保证影像数据接近两年的近线存储。存储途径为:影像数据由数字设备传入服务器后,1份存入服务器在线存储设备,1份传送至NAS系统备份。一旦NAS系统积余容量耗尽,直接进行扩容,保证全部影像数据的近线存储。
3.2.3 离线(off-line)存储用于存储需要永久保存的数据,通常用光盘和磁带存储,其存储容量理论上讲是无穷。
NAS系统的不断存储与扩容,基本上保证了影像数据的完整性存储,但为了防止意外的发生,离线数据的存储也必不可少。我们选择的离线存储介质为磁带,因为磁带的成本是所有备份介质中最低的,速度处于中上等水平,保存时间也较长,具有较高性价比。我院采用的是DELL PowerVault 100T DAT72磁带机,该磁带驱动器提供了经济型磁带驱动器的存储容量和数据吞吐量,使用的4MM DAT72存储媒介单盘容量高达36GB (原始)或72GB (压缩),备份速率高达12.6GB/h(原始)或25.2GB/h (压缩),运用于我们系统实际,基本上是接近一月存储一盘,人力参与不多。
3.3 分级查询
由于需要在上TB级的海量数据中快速找出符合用户需求的图像数据,因此设计有效的查询方式是有必要的。根据信息分布式存储的结构。查询也采用分级的方式。这在很大程度上增加了查询的灵活性,提高了查询的整体效率。查询设计原则按照以下两种分类进行混合查询:①病人级→病例级→序列级→图像级;②在线存储区→近线存储区→离线存储区。当接收到客户端的查询请求后,分析查询信息,确定其查询的级别以及信息在数据库中存储的大致位置。对某一存储级的查询,按照深度查询的思想,从病人级到图像级一步步深入查询。对图像的查询,利用广度查询的思想,按照时间顺序,先后查询在线、近线和离线存储区,并及时地将查询结果反馈给客户端。
4 安全性和数据回迁
4.1 备份管理
备份管理是为保证影像数据的安全性而设计,根据存储的体系结构,需要备份的数据包括两类:图像和相关信息。相关信息存放在SQL server数据库中,增量数据相对较小,我们选择定制数据库维护计划备份策略,设定每日18点数据流较小时备份用户数据库,以避免出现资源争用,这样即能保证数据的安全又可实现存储的高效率。
由于图像数据量大并且格式复杂,所以重点是实现图像的备份。图像的备份流程:首先网络通信模块在接受到影像数据之后,分别将图像和从中解析出的相关信息存入在线存储区和在线数据库。刚存入的图像没有经过备份,因此将其加入到备份队列中,备份系统会根据用户设置的备份策略,将备份队列中的图像数据备份到近线存储区,并更新近线数据库相对应信息。为保证数据存储的低代价,我们对备份的图像进行了基于JPEG2000标准及感兴趣区域编码(ROI)的压缩技术处理,提高了存储效率(3~8)倍。近线至离线的数据备份流程类似。
JPEG2000标准是国际标准组织ISO/ITU-T为21世纪图像压缩和应用而制定的新的静止图像压缩标准。其采用离散小波变换(Discrete Wavelet Transform,DWT)和最新的嵌入式编码技术。我们采用的压缩方案:①在医学图像中,通常病变区域与其它正常的组织和背景区域对比具有不同的灰度值,从而使得图像所对应的灰度直方图出现双峰。利用病变图像灰度直方图双峰值这一特点,我们采用多阈值分割方法对感兴趣区域实现自动分割。②对图像背景区域进行JPEG2000标准的高压缩比的变换和量化方法的压缩。对于病变区域(ROI),采用MAXSHIFT算法来实现感兴趣区域技术编码。③感兴趣区域(ROI)的图像编码将病变区域编码条件中的优先级比其他图像区域(背景)设置得高一些,可以相对地提高图像质量;在传输过程中,感兴趣区域被编码于最优先的位平面,以达到高画质。④对变换后图像进行小波逆运算,可得到恢复图像。
4.2 数据回迁
在线存储设备是确保PACS运行的关键设备,在线数据的缺失对医疗工作的影响最大,如何快速恢复数据是PACS必须考虑的问题。多级分布式存储结构,较好地保障了整个系统数据的安全性与完整性。一旦发生在线存储设备一时间无法排除故障的情况,可以采取更改数据库管理中影像资料的读取路径,直接将路径指向NAS系统,保障了速度与应用;在线存储设备恢复正常后,将NAS系统中的影像数据回迁至在线存储设备,即可保证在线数据的完整。如果NAS系统的影像数据发生意外,可以将磁带中的离线数据回迁至NAS系统,确保NAS系统影像数据的完整。
5 结束语
医学影像是临床诊断中应用最普遍、最重要的诊断依据之一,也是PACS在临床医学领域中得以迅速发展的原因。但是海量数据安全存储问题,也一直是困扰PACS快速发展的制约瓶颈,本文的存储体系结构是完全开放的存储解决方案。采用多级分布式数据存储与备份,确保数据存储的完整和安全;多种方式的分级数据查询,提高了数据查询的效率;采用JPEG2000压缩技术,减少了对存储容量的需求,降低了数据长期保存的成本。完全能满足医院现在和未来对图像数据存储的实际需求,极大地促进了医院实现放射医疗完全数字化。
参考文献
[1]ACR-NEMA Committee,Digital Imaging and Communi- cations in Medicine:version3.0.2001 [EB/OL].http://www. hci.uu.se/courses/lmd100/vt01/material/telemedicine
[2]冯丹,等.磁盘阵列附网存储技术的研究[J].计算机工程,2002,28(10):172-173.
[3]George K Anastassopoulos,Athanassios N Skodras. JPEG2000 ROI Coding in Medical Imaging Applications [EB/OL].http://www.upalras.gr/ieee/skodras/pubs/ans-c50. pdf,2003-02.
[4]Huang HK,Andriol k.Design and Implementation of a Pic- ture Archiving and Communication System [J].Digital Imaging,2000,6(5):47-59.
[5]Taubman D.High Performance Scalable Image Compression with EBCOT [J].IEEE Trans .Image Processing,2000,9 (7):1158.
[6]张立科,等.Visual C++音视频编解码技术及实践[M].北京:人民邮电出版社,2006.
分布式多级安全 篇3
随着非线性负荷的大量使用,电能质量污染日益严重,谐波和间谐波的同时存在,增大了检测的难度。
国内外学者对电网谐波检测问题做了大量的研究工作。快速傅里叶变换( Fast Fourier Transform,FFT) 法在非同步采样情况下存在较大的误差,无法精确地检测间谐波的信息[1]。小波变换[2,3]法存在着频率混叠和小波基选取等问题。Prony法[4]虽然可准确估计间谐波的频率、幅值,但其抗干扰性较差。支持向量机的稳健频谱估计方法[5],采用迭代变权最小二乘法减少了计算复杂度,检测精度高,但需要模型的先验知识。Wigner-Ville分布( WVD) 凭借其优良的数学性质而得到了广泛应用,但其交叉项提供了虚假的频谱成分,影响了WVD物理解释[6]。文献[7]采用Hilbert-Huang变换方法[8]( HHT) 进行谐波检测,完全根据信号性质自适应进行分解,其核心部分是经验模态分解 ( Empirical Mode Decomposition,EMD) ,但当信号中含有间歇性成分或脉冲干扰等异常事件时,将会产生模态混叠现象,使其IMF的物理意义不明确。为解决EMD模态混叠问题,Wu和Huang提出了集合经验模态分解( Ensemble Empirical Mode Decomposition,EE-MD) 方法[9]。
信号中的不同频率分量在时频面上的耦合作用是WVD产生交叉项的主要原因,同时,信号中的噪声也会影响分析结果的正确性。本文将进行多次EEMD分解的操作称为“多级EEMD”,在对含有噪声的谐波和间谐波信号进行多级EEMD分解过程中抑制噪声干扰。通过逐级调节白噪声幅值,使EEMD转换为EMD或逼近EMD,获取质量较高的单一频率固有模态函数 ( Intrinsic Mode Function,IMF) 分量,分别对得到的IMF进行WVD计算,分析结果求和得到抑制交叉项的WVD分布。该方法可实现含脉冲干扰信号中谐波和间谐波频率检测,采用最小二乘算法( LS) 获得幅值的估计值,从而实现谐波和间谐波信号频率、幅值的检测。
2 EEMD 基本理论
EEMD通过向待分析信号中添加白噪声,改变信号极值点特性,削弱了模态混叠现象。
EEMD方法为:
( 1) 对待分析信号X( t) 加入服从正态分布的白噪声ni( t) ,即:
式中,xi( t) 为第i次加入白噪声的信号。
( 2) 对xi( t) 进行EMD分解[8],得到各IMF分量。
( 3) 重复步骤( 1) 和( 2) 共N次,每次添加强度相同但序列不同的白噪声,获得各IMF分量。
( 4) 对所有N次EMD分解后得到的各层IMF分量分别求整体平均,即为最终的IMF。
( 5) 待分析信号X( t) 可表示为:
即信号X( t) 可表示为一系列固有模态函数ck( t) 与一个残余项rN( t) 的和。
Huang等人指出白噪声对信号分析的影响有如下统计规律:
式中,e为输入信号与IMF分量重构之后的标准离差; a为白噪声幅值; N为添加白噪声序列的数目。
由式( 3) 可知: 采用EEMD分解时,添加白噪声的幅值a越小,重构精度就越高; 当a = 0时,EEMD转换为经典EMD。在信噪比较小时,可适当增大a,在补充缺失尺度的同时加快收敛速度。对加入白噪声后的信号进行EMD分解,获取的IMF分量中必然包含随机噪声,选择合适的白噪声添加次数N,可以抑制或消除分解结果中噪声带来的影响。
在EEMD分解过程中,受采样率不足及样条插值的影响,将出现与信号不相关的低频成分,即伪分量。借助IMF与原信号的相关性可以去除其中的伪分量,对于时间序列x1( n) 、x2( n) ,两者的相关系数定义为:
3 Wigner-Ville 分布及交叉项
Wigner-Ville分布是一种二次型时频分布,与其他时频分布相比有许多优良性质[10]。信号X( t) 的Wigner-Ville分布定义为:
式中,S( t) 是信号X( t) 的解析信号。
若信号r( t) = u( t) + v( t) ,则有
式中称为交叉项; WVDu( t,ω) 、WVDv( t,ω) 称为自项;Re {·} 表示取实部运算。
由式( 6) 可知,两个信号之和的WVD并非每个信号的WVD之和,多出一个交叉项。在待分析信号中含有n个分量时,将会产生n( n - 1) /2个交叉项。
4基于多 级 EEMD 和 WVD 分布的检测方法
4. 1 多级 EEMD 的提出
在非线性负荷电流信号由基波、谐波与间谐波分量的线性组合构成时,对其进行WVD计算后,将不可避免产生交叉项,在对应的时频面上产生虚假频率,难以确定原始信号的真实构成成分。从交叉项产生原因出发,若将信号分解为若干单频分量,分别对各分量进行WVD计算,将计算结果求和,即可得到抑制交叉项的WVD分布。
EEMD对待分析信号随机加入白噪声序列,平滑脉冲干扰等异常事件,这种随机性使有些信号成分一级EEMD分解后,个别IMF分量还可能存在模态混叠现象,因此,合理地进行多级EEMD分解就有可能获得质量较高的单频IMF分量。
4. 2 检测方法步骤
( 1) 选择合适的噪声强度和重复次数,对含有脉冲干扰的谐波和间谐波信号进行多级EEMD分解,得到一组质量较高的单频IMF。
( 2) 对步骤( 1) 得到的IMF分别进行WVD计算,将各分量的计算结果求和,即可得到抑制交叉项的信号WVD分布,达到谐波和间谐波频率检测的目的。
( 3) 采用LS估计谐波和间谐波分量的幅值。
5 仿真分析
5. 1 间谐波信号的数值仿真
原始信号假设为:
采样频率为2k Hz,向其中加入3个幅值为- 1A、- 1A、+ 1A的脉冲干扰和5% 的随机噪声。对上述信号进行一级EEMD分解,各IMF分量和原信号相关系数如表1所示,设置阈值为相关系数序列中最大值的3 /5。
此时,阈值为0. 3061,保留前5层IMF分量,分别对各IMF进行WVD计算,分析结果如图1所示,可以看出210Hz和400Hz之间出现了虚假频率成分,有必要进行二级EEMD处理,阈值设置同上。
图2为经过二级EEMD处理后的WVD,可以看出虚假频率成分已被削弱,谐波、间谐波频率及幅值计算结果如表2所示。
作为对比,采用基于EMD抑制WVD交叉项的方法对信号进行分析,分析结果如图3所示。从图3中可以看出,EMD模态混叠使WVD分布图上出现虚假频谱成分,干扰了谐波和间谐波频率检测。
通过大量仿真证明,对含有脉冲干扰的谐波和间谐波信号进行两级EEMD分解能够有效抑制交叉项,获得较高的频率检测精度。
5. 2 调幅信号仿真
间谐波污染严重的负载电流信号通常具有调幅性,考虑如下信号:
式中,n( t) 由3个幅值为 - 1A、- 1A、+ 1A的脉冲干扰和方差为0. 05的随机噪声组成,采样频率2k Hz。
对信号f( t) 进行一级EEMD分解,各IMF分量和原信号相关系数如表3所示,相关性阈值处理同5. 1节,得到的WVD如图4所示。
图5为经过二级EEMD处理后( 阈值设置同上) 的WVD,可以看出交叉项得到了抑制。受LS算法适用范围的限制,对此调幅信号的幅值没有得到较好的跟踪效果,在此只考虑本文方法对频率的检测,结果如表4所示。
采用EMD抑制交叉项的结果如图6所示,从图中无法确定真实信号频率成分。
5. 3 实例分析
考虑文献[11]的实际电弧炉电流信号,向其中加入5% 随机噪声和幅值为25A和 - 20A的脉冲干扰,波形如图7所示。
利用本文方法对含噪电弧炉电流信号进行分析。首先进行一级EEMD分解,各IMF分量和原信号相关系数如表5所示,阈值处理同5. 1节,经过一级EEMD分解的WVD如图8所示。
图8中,虚假频率与真实频率互相交织,需要进行二级EEMD分解抑制 交叉项。分别 对IMF2、IMF3、IMF4分量进行EEMD分解,为得到效果较好的WVD,阈值取为0. 95,经过二级EEMD处理后的WVD如图9所示,可以看出交叉项已被削弱,谐波、间谐波频率及幅值计算结果如表6所示。
采用EMD抑制交叉项的结果如图10所示。
6 结论
( 1) 仿真结果表明,基于多级EEMD和WVD分布的谐波和间谐波检测方法,能准确检测出信号中的谐波和间谐波成分。与基于EMD的WVD方法相比较,本文的方法有效地解决了脉冲干扰带来的模态混叠问题。
( 2) 针对含有噪声干扰的谐波和间谐 波信号,本文方法无需预处理,在多级EEMD分解过程中平滑脉冲干扰和削弱白噪声。通过逐级调节白噪声幅值,使EEMD向EMD过渡,利用EMD( 或近似EMD) 良好的分频特性,获得一组质量较高的单频IMF,既解决了WVD交叉项问题又准确地检测出谐波和间谐波的频率,为谐波检测提供了一种新方法。
摘要:为了有效抑制多种噪声和准确检测谐波/间谐波频率,提出了基于多级集合经验模态分解(EEMD)和Wigner-Ville分布(WVD)的谐波/间谐波检测方法。利用白噪声的幅值可调性,对含有噪声的检测信号进行多级EEMD分解,平滑脉冲干扰和削弱白噪声的同时,得到了一组固有模态函数(IMF)分量,对每个IMF进行WVD计算,可准确检测出谐波/间谐波频率,有效抑制了交叉项和噪声干扰。采用最小二乘算法估计各频率分量的幅值,实现了噪声背景下的谐波和间谐波检测。仿真结果验证了该方法的可行性与有效性。
分布式多级安全 篇4
关键词:电子文档,访问控制,身份识别
1 电子文档多级管控系统的整体需求分析
1.1 泄密原因分析
电子文档的泄密, 很大程度是有由于当前的技术手段较为落后, 技术防范措施不足导致的。随着计算机的普及, 现代办公呈现出自动化的重要特征, 越来越多的机密信息都是以电子文档的形式加以保管。一旦电子文档泄密, 就可能带来无法估量的损失。要设计电子文档多级安全管控系统, 首先第一要务必须全面认清泄密原因, 才有可能对症下药更好解决电子文档泄密问题。
泄密的原因大致包括以下几个方面:首先, 绝大多数的电子文档都没有设置口令密码, 或者即便设置了, 密码级别比较低, 破解容易, 起不到基本的保护作用。而且缺乏一个完善的身份认证机制来规范电子文档的使用权限。对于一些通过身份验证的使用者, 也没有进一步地加以权利约束, 对使用者的行为监管并不到位。第二, 对于电子文档使用过程的技术监督和管理还有所欠缺, 这直接导致保密的电子文档遭到复制粘贴修改、发送等操作, 极大地提高了泄密的概率。第三, 在发生了电子文档泄密事件之后, 相应的追责体制并不完善, 导致泄密者有恃无恐。
1.2 电子文档多级管控系统的设计目标分析
电子文档多级管控系统旨在从技术层面和管理层面双管齐下加大对电子文档的管控。技术层面上, 主要采用网络访问控制、密码和认证、底层驱动控制、虚拟磁盘、密钥管理、数字水印等信息安全技术及策略, 全面动态管理主机、服务器以及整个应用环境中的各类电子文档, 要做到事前安全部、署事中实时监管、事后安全审计, 从而实现电子文档立体式的、多级的全方位管控。管理从面上主要是加强制度建设和教育管理。本系统的具体设计目标主要包括以下几点:首先, 禁止非法用户的访问。具体的技术措施包括但是不限于指纹识别、视网膜识别、账号口令验证、个人数字证书验证等等, 通过对登陆用户的识别和身份验证, 识别非法用户, 拒绝非法用户进入系统。第二, 保护重要信息。对于电子文档的每个使用者, 都要赋予一定的操作权限, 这一权限直接与使用者的身份、职务、部门等信息挂钩, 不同的使用者拥有对电子文档不同的操作权限。打印机、移动存储设备的使用也要遵循安全管理策略, 不同级别不同角色的用户分级控制, 按照级别访问电子文档。通过用户角色权限管理、存储设备管理、存取控制等多种渠道, 禁止非法用户非法获取机密信息, 杜绝非法复制、拷贝等操作。第三, 加密信息, 即使发生外泄, 也不会导致信息被解读。采用密码技术对电子文档进行加密处理, 要确保重要的电子文档不论在何时都以密文的形式加以存放, 采用安全中间件的方式, 任何电子文档的使用者都无法绕过加密处理, 即使电子文档被带出系统保护范围, 也会无法读取。第四, 跟踪记录电子文档的违规操作。采用日志加密和数字水印等技术手段处理电子文档, 跟踪记录电子文档的使用情况, 包括何人何时何地对电子文档展开过何种形式的操作, 这些跟踪记录可以为电子文档的管理提供切实依据。第五, 终端设备与智能卡匹配使用, 防止终端设备丢失造成的信息外泄。采用智能卡的方式保存用户的身份识别标识、全新信息以及自动自动动态生成会话密钥。智能卡和移动终端设备必须配合使用, 缺一不可, 即使设备丢失, 也无法从移动设备中获取机密信息。
2 电子文档多级管控系统设计
2.1 系统组成结构
文档安全管理子系统、信息安全运输子系统以及主机防护子系统共同构成了电子文档多级管控系统。
(1) 文档安全管理子系统。文档安全管理子系统作为电子文档多级安全管控系统的核心主题, 主要负责电子文档进行自动加解密、动态授权访问和行为管控等等。其主要遵从动态配置规则, 利用数据库和文档服务器展开相关的控制和管理。用户使用电子文档时, 运行于驱动层的用户终端, 根据服务器的授权自动透明的将文档实时加解密;文档的接收者也必须通过核心服务器的验证, 只有通过认证的接收者才能在许可权限范围之内对电子文档进行相关操作, 不能通过核心服务器验证的用户无法打开加密文档, 确保电子文章永远处于一个安全的内部环境之中。 (2) 信息安全传输子系统。通过使用个人数字证书进行身份认证和一次一密的加密操作, 有效防比信息泄露、扩散、监听、篡改、冒名、重放, 提高信息通信传输的安全。 (3) 主机防护子系统。通过与安全文档管理系统配合使用, 可以有效地禁止未授权用户和应用程序访问网络、操作主机、读写U盘移动设备, 有效防止病毒、后门木马通过移动存储设备感染和入侵。通过个人主机上安装电子保险箱.用户可以将受系统规则保护之外的电子文档存放在电子保险箱中, 由于电子保险箱是设备驱动层无缝地嵌入到WINDOWS系统平台的文档系统, 对上层应用完全透明。所以高效地实现了本地文档保护的可靠性、稳定性、方便性, 保证了文档的安全存储。
2.2 系统实现效果
该电子文档多级安全管控系统面向用户需求而设计, 其基本上可以满足一般企业的电子文档的日常安全管理。该系统致力于提供全程的保护, 包括了电子文档建立、打开、使用、传送以及删除等全部生命周期在内。一旦脱离应用范围, 原则上电子文档将不可以继续使用。如果遇到特殊情况, 确实需要在应用范围之外使用电子文档时, 使用者可以进行离线申请, 景观管理中心的授权后, 使用者可以在授权期限、授权操作范围内获得离线的电子文档。
电子文档多级安全管控系统主要负责应用范围内电子文档的安全使用和传输, 保证主机和核心服务器的安全性。其可以有效杜绝未经授权的非法访问, 也可以防止木马、病毒的入侵。但是值得一提的时, 电子文档安全管控系统的设计是一项系统的庞大的工程。而且随着计算机水平的不断提供, 电子文档解密技术不断发展, 我们必须要不断学习最新的网络安全技术, 必须不断升级我们的操作系统, 同时注意对底层驱动处理上与主流杀毒软件共存, 不发生冲突。以上都是今后我们要继续努力的方向。
参考文献
[1]符凯, 陈晓江, 何路, 房鼎益.电子文档保护系统的设计与实现[J].微电子学与计算机, 2006 (09) .
分布式多级安全 篇5
在主流即时通信 (Instant Messaging, IM) 产品中, 进行文件传输、音频/视频传输时主要采取P2P的通信方式, 而即时消息主要还是通过IM服务器进行转发。对于当前的IM网络来说, 一个很大的安全隐患在于它们开放的和不安全的通信连接。缺乏认证、机密性和完整性保护, 这使得攻击者可以进行会话劫持和假扮等攻击, 给用户发送虚假的消息甚至耗尽客户端或服务器的资源而使它们崩溃[1]。本实验系统, 是在可信计算技术的基础上, 寻求一种能够实现多级安全即时消息系统的新方案, 对于不同保密级别的即时消息, 提供多级安全保障技术, 有利于学生对于可信计算、安全模型和安全策略的学习与应用, 也可以进一步开发作为实际应用系统, 无论从理论上还是从实践上都具有很强的研究意义。
2、多级安全即时消息系统的设计
2.1 系统基本架构
本IM系统采用点对点工作模式, 信息交换不经过服务器而在客户端之间直接进行。假设客户端1要发送消息给客户端2, 工作过程如下: (1) 客户端1向服务器询问客户端2的地址; (2) 服务器检查数据库, 返回客户端2的地址作为应答; (3) 客户端1根据得到的地址, 通过多级安全模块, 在可信计算平台上使用本文提出的安全策略来保护不同保密级别的消息, 然后将加密后的消息发送给客户端2。系统主要模块的关系框图如图1所示。
2.2 系统流程图
本教学系统的实验流程图如图2所示。下面详细介绍下实验流程中的几个主要步骤:
(1) 首先是用户登录, 用户在登录界面中选择初始角色。本系统提供administrator, super, teacher和student这四种角色供用户选择, 每种登录角色间对应于不同的通信安全策略。
(2) 用户登录成功后, 显示用户主界面。在此界面上, 用户可以查询目前登录所选择的角色、所处于的安全等级, 并且可以开始进行即时消息的通信。
(3) 选择一对一通信后, 用户选择要进行即时消息通信的对方用户开始通信, 教学系统会根据本机登录角色与对方登录角色读取初始安全通信策略开始通信。用户在通信结束后, 系统会提示用户对通信进行评价, 根据评价打分结果来动态调整通信策略, 使当前的通信策略符合用户的安全需求。
(4) 选择广播通信后, 用户可以选择多个通信目标同时进行即时消息的通信, 与一对一通信的不同之处在于系统根据发送方的角色来决定初始安全通信策略。
(5) 进入编程模块, 本系统提供所有功能让学生进行操作, 包括即时消息通信功能、角色选择功能、安全等级、安全策略、通信等级以及通信评价等功能, 但是不提供关键部分源代码, 这部分代码要求学生自己编程完成, 通过编译之后再次进入用户界面, 学生可以完成设定安全策略、改变通信等级的设定方式等功能。
2.3 核心技术的实现
可信计算平台将加密、解密、认证等基本的安全功能写入硬件芯片, 并确保芯片中的信息不能在外部通过软件随意获取。在这种情况下除非将硬件芯片从系统中移除, 否则理论上是无法突破这层防护的。以下的核心技术都是在可信计算平台基础上完成的。
2.3.1 多级安全模型的选择
BLP模型 (无上读无下写) 只保障信息的保密性, Biba模型 (无下读无上写) 只保障数据的完整性[2], 都具有一定的局限性。而RBAC模型的基本思想是将访问许可权分配给一定的角色, 用户通过饰演不同的角色获得角色所拥有的访问许可权, 这样便可以比较灵活地分配给角色一定的访问权限。因此, 本系统主要借助RBAC模型[3]来搭建多级安全实验平台。
2.3.2 安全策略的提出
(1) 一对一即时消息系统的安全策略。点对点即时消息系统的安全策略图如图3所示, U1、U2、…、UN代表登录的用户, R1、R2、…、RM代表登录用户所分别对应的角色, P1、P2、…、PL代表各角色之间所必须满足的权限规则和约束条件。由于同一用户可以有不同角色, 不同用户也可以有同一角色, 所以用户数N和角色数M不一定相等。点对点即时消息系统的安全策略就是对于两个角色之间的权限规则和约束条件做初始的规定, 用户使用其选择的角色登录之后按照初始规定的安全策略进行通信。
(2) 广播 (Broadcast) 即时消息系统的安全策略。与一对一即时消息系统的安全策略不同之处在于, 广播即时消息系统是由一名用户将即时消息同时发送给多个其他用户, 所以是以发送方为主要依据来制定初始通信策略, 而不像点对点即时消息系统平等地以通信双方的用户来制定初始通信策略。
2.3.3 动态安全策略的制定
本实验系统实现了一种自定义的信任等级计算方法, 即基于历史通信评价信息建立动态信任关系, 若两个实体有直接信任关系则直接采用基于历史通信评价信息计算信任值dira (b) , 表示a对b的直接信任值, 设Sab为节点a对节点b评价, ε为处罚因子, 则有其中e的初值为1。则节点a和b的直接信任值计算公式为:Sab的定义域范围为[0, 1], 在定义域范围内, Sab的值越大, 即评价越高, 处罚因子的值变化越小, 从而对信任值dira (b) 的影响越小;反之亦然。
该公式的应用方法是, 根据用户对通信质量的满足程度打分 (输入0至1之间的一个浮点数) , 分数越高代表对通信质量的满意程度越高, 根据该打分计算出处罚因子和直接信任值dir。然后根据这两个变量量化出信任等级, 满意程度越高, 所得到的量化信任等级安全程度越高。本系统量化出1、2、3、4这四个信任等级, 1的安全等级最高, 安全程度依次降低, 4的安全等级最低。最后返回量化出的信任等级n给用户, 可以在当前通信策略下改变通信的信任等级, 使用改变后的信任等级所对应的安全策略, 即实现了基于历史通信的动态安全策略。
3、结语
本文在可信计算平台的基础上, 采用了多级安全模型, 提出并实现了新的安全策略, 并应用到了即时消息系统中, 对于不同保密级别的即时消息提供多级安全保障技术, 根据通信质量动态改变通信的安全策略。该实验系统可以供教学使用, 也可以开发成实际应用系统。
参考文献
[1]徐向阳等.基于即时通信的安全保护策略[J].计算机工程, 2007.第33卷:125-127.
[2]黄益民等.信息安全模型的研究及安全系统方案设计[J].浙江大学学报, 2001.第35卷:604-605.
分布式多级安全 篇6
2015年2月3日,中国互联网络信息中心(CNNIC)在北京发布的《第35次中国互联网络发展状况统计报告》显示,截至2014年12月,我国网民规模达6.49亿,互联网普及率为47.9%。 在网络越来越普及的今天,早期建设的网络基础设施隐患重重, 信息安全受到的威胁种类越来越多。如今各行各业的信息系统都需要在互联网上交流传播信息,时时刻刻都避免不了面对各种安全威胁。为了提高信息安全保障,必须采取各种信息安全的策略, 其中最重要的就是等级保护。
以信息系统为主体,等级保护就是根据该信息系统的重要性采取相应的保护策略,按照信息系统等级实行分级保护,不同等级的系统采取不同层度的防护策略,即对重要系统重点防护,对一般系统适度保护。等级保护与多级安全紧密相关,因为等级保护起源于美国对军事安全所制定的多级安全策略。多级安全是指对信息系统里的主体和客体分别设置安全标记、定级,依据主体、 客体安全标记的比较来决定主体对客体的访问是否允许。
由于多级安全网络提出较晚,传统安全通信模型主要服务于IP网络。传统安全通信模型最初并没有考虑到多级安全,不能实现安全标记与信息客体、数据流的绑定。所以,如果要在传统模型中实现标记强制访问控制,则实施起来非常复杂、代价太大, 因此,传统安全模型难以适应多级安全的网络安全通信目标。另外,因为互联网纷繁复杂,多级安全应用到互联网时在灵活性、 适应性方面都存在巨大挑战。严格遵循多级安全规则会导致部分网络主体的访问受限,满足不了网络协同工作的需求。因为以上这些原因,传统安全通信模型无法直接应用到多级安全网络中。 所以,面向多级安全的网络安全通信仍然存在着一些亟待解决的问题。比如,缺乏面向多级安全的网络安全通信模型,信息系统中的各种对象的安全标记一成不变,不够灵活,无法适应网络通信的各种情况。因此,我们需要在具体通信中针对不同的访问请求,对对象的安全标记适当地做一些调整。
1安全标记绑定技术
安全标记绑定技术是多级安全中主体与客体资源访问控制、 数据流控制的基础,是确保多级安全网络通信中实施多级安全控制的关键。目前的安全标记绑定技术主要有以下三种:
1.1传统的安全标记绑定技术
传统的安全标记绑定技术是在数据或者客体里比如在电子邮件首行、文档的首部或尾部添加安全标记,再进行数字签名。 这种方法能实现一定的安全控制,但是对于异构数据交换系统实现起来比较困难,并且这种方法是对客体或数据的整体控制,无法实现细粒度的安全标记绑定。
1.2基于XML的安全标记绑定技术
基于XML的安全标记绑定技术主要包括:为XML文档强制访问控制,为XML对信息客体元数据的描述。
1.3数据流与安全标记绑定技术
数据流与安全标记绑定是指数据流如何携带安全标记,以期实现随时随地的数据流访问控制。这种技术是在安全通信协议的中额外增加安全标记的选项,实现起来比较简单,但是该方法增加了IP报文的长度。
2面向多级安全的网络模型
等级保护的实施体现在信息系统的多级安全,以确保客体资源的机密性与完整性。目前经典的基于等级保护的多级安全模型主要包括BLP模型和Biba模型等。BLP模型来源于具有严格机密性要求的政府和军事应用,其主要目标是防止高密级信息泄漏给低密级的主体,在主体访问客体时实施强制访问控制,访问规则比较简单,在具体实施过程中还有不少问题,比如灵活性差。 Biba模型的严格完整性策略能够有效地保证数据的完整性,却不能防止恶意的不可信主体人为故意泄露高安全级别的信息给低密级主体。其主要缺点在于主体和客体的完整性标记都是固定不变的,严重缺乏灵活性。基于这样的缺陷,在多级安全的网络通信中,我们可以对符合条件的对象安全标记进行调整。并且, BLP模型侧重于机密性,Biba模型侧重于完整性,而在实际信息系统中,需要兼顾机密性和完整性,所以,可以考虑把BLP模型和Bi Ba模型结合起来使用。
2.1定义主要元素
(1)实体:可以是信息系统中的所有资源(进程、文件、 设备等)和用户。
(2)主体:主动发起对另一个实体的访问请求的实体,如用户、执行操作的进程、主机、设备等,记为Subject,简写为S。
(3)客体:被动接受主体发起的访问请求的实体,如消息、 文件、目录、分组、连接、设备等,记为Object,简写为O。
(4)主体授权标记:特定的可信主体可以获得的特定权限, 记为SA = {(cmin,cmax),(imin,imax)}。其中,Scmin和Scmax分别表示主体S的最低和最高机密性级别;Simin和Simax分别表示主体S的最低和最高完整性级别。
(5)客体安全类别:客体的机密性和完整性受到破坏时可能产生的影响,记为OC = {cimp,iimp}。其中,Ocimp和Oiimp分别表示客体O的机密性类别和完整性类别。
(6)主体安全标记:主体的机密性级别、完整性级别和授权标记,记为SL =(cmin,cmax,imin,imax)。
(7)客体安全标记:客体的机密性级别、完整性级别和安全类别,记为OL =(cimp,iimp)。
(8)访问属性:主体对客体的访问方式,记为A= {r,w}。 其中,r表示只读、w表示只写。
2.2模型的基本安全特性
下面分别就何时主体可以读客体、主体可以写客体进行规定。为了便于说明,定义如下:主体的机密性级别和完整性级别为Sc、Si;客体的机密性级别和完整性级别分别为Oc,Oi。主体的最高和最低机密性级别分别为Scmax,Scmin。
当主体、客体的安全标记符合下列规则之一时,主体可以读客体:
(1)Sc不低于Oc,且Si不高于Oi;
(2)Sc不低于Oc,且Si高于Oi,但Oc高于Oi且Scmin不高于Oi;
(3)Sc低于Oc且Si不高于Oi,但Oi高于Oc且Scmax不低于Oc。
当主体、客体的安全标记符合下列规则之一时,主体可以写客体:
(1)Sc不高于Oc且Si不低于Oi;
(2)Sc不高于Oc且Si低于Oi,但Oc高于Oi且Simax不低于Oi;
(3)Sc高于Oc且Si不低于Oi,但Oi高于Oc且Sc不高于Oc。
2.3主体安全级别调整的原则
(1)如果主体和客体的安全标记既符合BLP模型,也符合Biba模型,则不用调整主体的安全级别。
(2)如果主体、客体的安全标记既不符合BLP模型也不符合Biba模型,则不用调整主体的安全级别。
(3)如果主体、客体的安全标记符合BLP模型,但是不符合Biba模型,则:
1当Oc高于Oi,即客体的机密性优先于其完整性时,则可以调整Si,但是不能调整Sc;
2当Oi高于Oc,即客体的完整性优先于其机密性时,则不能调整Si,加上假设前提是主体、客体的完整性级别不符合Biba模型,所以不必调整主体的机密性级别,即此种情况下,对主体的机密性级别和完整性级别都不做调整。
(4)如果主体、客体的安全标记符合Biba模型但是不符合BLP模型,则
1当Oi高于Oc时,不可调整Si,只能调整Sc;
2当Oc高于Oi时,则不可调整Sc,加上前提是主体、客体的完整性级别不符合BLP模型,所以不必调整主体的完整性级别Si。
以上的主体安全性调整原则可以用下图1的流程来表示。
2.4访问控制策略
(1)自主访问控制策略
自主访问控制是一种提供由用户对自身所创建的客体的访问权限进行控制的安全机制。这些访问权限包括允许或拒绝其它用户对该用户所创建的客体进行读、写、删除等操作,还可以进行授权转移等。自主访问控制的主要特点是由用户自主进行授权管理。
(2)强制访问控制策略
强制访问控制是指由系统按信息系统确定的规则对每一个用户所创建的所有客体的访问权限进行控制的安全机制。这种访问权限包括主体对客体的读、写、删除等操作。强制访问控制的主要特点是由系统安全员而不是客体创建者进行授权管理,通过强制访问控制安全策略,对主体访问客体的操作进行控制,实现对客体的机密性和完整性保护。
2.5访问控制流程
当主体请求访问信息系统中客体资源后,该信息系统的多级安全子系统将截获该访问请求,并从中解析出与访问控制相关的主体、客体、访问类型等关键信息,多级安全子系统查询主体、 客体安全标记列表,得到该主体、客体的安全标记信息,并依据主体、客体的安全标记的具体匹配情况对该请求进行判断,具体的处理流程如图2所示。
(1)如果该请求符合信息系统的自主访问控制策略,则该请求的判定结果为Yes,即系统允许该主体访问客体资源;否则将按后续步骤检查该访问请求是否符合系统的强制访问控制策略。
(2)如果该请求符合系统的强制访问控制策略,即机密性标记符合BLP模型且完整性标记符合Biba模型,则系统将允许该主体执行资源访问,否则进行下一步。
(3)如果该请求中主体、客体的安全标记符合BLP模型或Biba模型,系统将根据主体授权标记和客体安全类别检查判断是否可以临时调整主体在当前访问中的机密性级别或完整性级别,然后再次判断主体是否有权访问客体。如果主体安全级别调整过后符合访问要求,则允许该主体执行资源访问,否则,系统将拒绝此次请问请求。
(4)如果该请求中主、客体的安全标记既不符合BLP模型,也不符合Biba模型,则判定结果为No,即系统将拒绝此次访问请求。
3结语
基于多级物元分析的机场安全评价 篇7
关键词:民用机场,多级物元,安全评价,指标体系
1 引言
随着民用航空运输业的迅猛发展, 航空运输的安全越来越受到人们的重视。机场作为航空运输的重要环节之一, 关系到整个航空运输业的发展, 其安全性有着举足轻重的地位。国内外对机场安全评价进行了多方面的研究, 其评价方法主要有层次分析法 (AHP) 和模糊评价法[1]。层次分析法适用于评价对象不是很多, 否则工作量太大, 且没有结合多方面的经验数据;而模糊评价法主观性大, 评价精度不是很高。由于机场的安全生产体系是一个复杂的多因素系统, 其评价内容是多方面的, 有些因素是难以度量的, 具有很高的灰色性。近年来, 物元分析法因其诸多的优点, 逐渐受到重视并得到了广泛的应用。例如, 在大坝安全度评价中, 利用物元模型分析大坝的强度条件和抗裂条件等对大坝安全度的影响[2];在机场环境影响因素的综合评价中, 利用物元模型分析噪声环境影响、生态环境影响等对机场环境影响因素的质量状况和超标情况进行分析评价[3]等等。物元分析法的优点包括:计算量小, 计算相对简单, 对于多指标的复杂问题, 可以编程, 由计算机进行处理, 能够把事物的质和量很好的结合等。本文针对民用机场安全评估方法中存在的不足, 采用多级物元分析模型, 对民用机场的安全进行评价, 可以将众多因素进行分类, 比较, 利用关联度进行分析, 使评价结果更加全面, 直观, 进一步提高评价结果的科学性、准确性。
2 建立评价指标体系
2.1 评价指标建立
机场安全评价是一个十分复杂的、系统的工作, 建立科学的指标体系, 是进行正确评价的先决条件。在对民用机场安全状况的分析原则上应能科学、全面、客观和公正地反映其真实的内涵和水平, 评价指标要有全面性、系统性、可比性和可行性。本文针对影响机场安全系统的各主要因素进行分析, 并对影响安全评价的因素进行筛选、整合, 从而构建了由飞行安全保障系统、航站安全保障系统、停机坪安全保障系统、空防安全保障系统、应急救援保障系统、指挥协调系统6个一级指标系统和21个二级指标组成的安全评价指标体系, 如图1所示。这些技术指标是保障机场安全的重要基础, 是完成机场复杂运营过程的必要条件。
2.2 指标权重确定
在民用机场安全评价指标体系中, 各指标对目标的重要度是不同的, 根据各指标的重要程度分别赋予不同的权重, 权重分配的合理与否将直接影响到评价结果准确性。本文采用AHP法[4], 求得专家的权重集, 将远离中心模式的孤立意见剔除后求均值, 使结果更接近民用机场安全生产的实际情况, 具体的计算过程就不再赘述, 权重的结果见表1。
3 多级物元模型分析[5]
机场安全评价指标体系中的6大类一级指标可用C= (C1, C2, …, Cf) (f=1, 2, …, 6) 表示, 每一类Cf有nf个评价因子, 即Cf= (Cf1, Cf2, …, Cfn) , 其中Cfi表示第f类中第i个评价因子, 见图1所示。
(1) 一级评价
对指标体系中的每一类别Cf进行一级评价。
①确定经典域 (即给出Cf关于各等级各特征的取值范围) 如下:
undefined
式中, Rfj为机场第j级安全状况的物元模型, Nfj为研究对象Cf (如飞行安全保障系统) 的第j个安全水平等级 (j=1, 2, …, m) ;Xfji为安全性属于第j级时的第i项指标的量值范围, 即各等级关于对应特征Cfj的经典域
②确定节域, 节域指安全指标Cf各特征全部等级的值域。
undefined
Rfp为机场安全评价物元模型的节域, Nfp是机场安全等级的全体, Xfpi为Nfp关于特征Cfi的量值范围, 即
③确定待评物元
待评对象为Nf (如飞行安全保障系统) , 将对其分析得到的数据用物元表示为:
undefined
式中Rf是机场安全的待评物元, Nf为待评价的对象, yfi为Nf关于特征Cfi的量值, 即待评价的对象经分析所得到的具体数据。
④单指标关联度
点与区间的距:点x0与有限实区间X=
undefined
设Nf与Nfj (j=1, 2, …, m) 关于特征Cfi的距为ρ (yfi, Xfji) , Nf与Nfp关于特征Cfi的距为ρ (yfi, Xfpi) , 则待评对象的特征Cfi关于第j个等级的关联度Kj (yfi) 为:
undefined
该式表示待评机场在第i个分项指标属于等级j的程度。
⑤多指标综合关联度
计算待评事物Nf (如飞行安全保障系统) 关于等级j的关联度Kj (Nf) 为:
undefined
wfi为Cfi的权值。
(3) 二级评价
计算待评事物N (机场安全) 关于等级j的关联度Kj (N) 为:
undefined
wf为Cf的权值。
(4) 评定等级
关联度的大小表示对象符合标准对象等级的程度, 其值越大, 符合的程度越高。由最大隶属度原则Kj0=maxKj (N) (j=1, 2, …, m) 可知, N属于j0等级。对于所有的j, 若Kj (N) ≤ 0, 则表示N的等级已经不在所划分的各等级范围之内, 应当重新加以识别。
令
undefined
则称undefined为Nf所属等级的特征值, 表示待评对象属于等级j0的程度。
4 算例分析
以南方沿海城市某一机场为例, 根据此机场的安全生产情况, 由机场的专家组人员通过打分的方法将机场中各个评价指标的安全水平划分为4个等级 (取m=4) , 分别为很安全、安全、较安全、不安全, 记为Ⅰ级、Ⅱ级、Ⅲ级、Ⅳ级。通过对专家打分的结果进行整理得出单项指标的原始数值。将机场的安全评价体系及相应指标的权值、经典域和得分列于表1中 (置信度为0.95) 。
4.1 单要素综合评价
应用上述理论和方法, 对机场安全水平进行单要素综合评价。由于单个要素综合评价方法基本类似, 现以飞行安全保障系统为例, 介绍其评价方法。
(1) 确定飞行保障区的经典域、节域、待评物元。
①经典域物元
undefined
②节域物元
undefined
③待评物元
undefined
(2) 计算待评物元的单指标关联度和多指标综合关联度, 采用层次分析法得到机场飞行安全保障系统各评价指标权重值后, 根据上述给出的经典域、节域、待评物元, 分别用式 (5) ~ (9) 计算待评物元关于各等级的单指标关联度、多指标综合关联度。结果见表2。
(3) 确定机场飞行区安全保障系统安全等级
根据表2数据和式 (6) 、 (8) 、 (9) , 由最大隶属度原则确定评价对象的等级为Ⅲ级, 等级特征值为2.9729。
4.2 整体综合评价
应用与上述相似的步骤, 完成同一层其他单要素对象的评价后, 得到各单要素的综合评价等级和等级特征值, 根据已确定的权重, 按从底层到顶层逐层递归的方式, 最终得到机场整体安全水平的综合关联度、安全水平等级及特征值, 结果如表3所示。从表3可以看出该机场安全等级为Ⅲ级, 即较为安全, 等级特征值为3.0047, 即准确的等级为3.0047级, 介于Ⅲ级和Ⅳ级之间, 更偏向于Ⅲ级。
针对此机场的安全水平处于较低安全等级的情况, 有关部门应加强对该机场的安全管理, 主要从完善信息化监管水平, 实现自动化动态管理;充分发挥安全监察部门的作用;建立危机管理系统, 增强机场应急处置能力和加大培训力度, 以人为本倡导企业文化建设等方面提升机场整体的安全水平, 从而能够杜绝隐患, 减少事故的发生。
5 结论
应用物元分析理论建立民航机场安全评价的多级物元分析模型, 对机场的安全水平进行综合评价, 能够得到客观合理的结果。物元分析法不仅给出了评价对象的定性和定量评价结果, 能全面、直观地反映出机场安全综合水平, 而且能明确机场安全状况需要改进的指标, 为改善和提高机场安全状况提供参考。把多级物元分析模型引入机场安全评价中, 为机场安全状况的评价提供了一种新思路。
参考文献
[1]刘刚, 朱金福.一种机场安全风险灰色多层次评价方法研究[J].人类工效学, 2008, 14 (3) :1~2LIU Gang, ZHU Jin-fu.A grey hierarchy risk evaluationfor civil airport operation security and safety[J].Chinesejournal of ergonomics, 2008, 14 (3) :1~2
[2]王志军, 汪亚超, 宋宜猛.物元模型在大坝安全度评价中的应用[J].水电自动化与大坝监测, 2008, 32 (1) :75~77WANG Zhi-jun, WANG Ya-chao, SONG Yi-meng.Ap-plication of matter element model to dam safety evaluation[J].Hydropower automation and dam monitoring, 2008, 32 (1) :75~77
[3]郑汝海, 杜浩, 蔡良才, 等.基于物元模型的机场环境影响综合评价[J].噪声与振动控制, 2008 (1) :121~123ZHENG Ru-hai, DU Hao, CAI Liang-cai, et al.Com-prehensive evaluation for airport environment impactbased on matter element model[J].Noise and vibrationcontrol, 2008 (1) :121~123
[4]高扬, 牟德一.航空安全评估中的层次分析法—AHP[J].中国安全科学学报, 2000, 10 (3) :39~40GAO Yang, MU De-yi.AHP method in assessment ofairline safety[J].China safety science journal, 2000, 10 (3) :39~40