Java的安全特性分析及安全代码开发 被引量：2

1

作者 舒文曲 蒋念平 张宁 《计算机工程》 CAS CSCD 北大核心 2002年第9期278-280,共3页

Java语言是基于类型安全的类型语言,它通过Java语法和Java语义来规定类型,并保证Java程序的安全性。从JDK1.0到JDK1.1再到从JDK1.2,的Java安全性不断得到加强和完善。然而,安全是相对的,要设计出安全性好的Java程序,就必须深入理解Java... Java语言是基于类型安全的类型语言,它通过Java语法和Java语义来规定类型,并保证Java程序的安全性。从JDK1.0到JDK1.1再到从JDK1.2,的Java安全性不断得到加强和完善。然而,安全是相对的,要设计出安全性好的Java程序,就必须深入理解Java的安全特性和安全机制。文章分析了上述问题。 展开更多

关键词 安全特性分析 安全代码 开发 JAVA语言 程序设计语言 计算机

在线阅读 下载PDF 职称材料

深度代码模型安全综述

2

作者 孙伟松 陈宇琛 +7 位作者 赵梓含 陈宏 葛一飞 韩廷旭 黄胜寒 李佳讯 房春荣 陈振宇 《软件学报》 北大核心 2025年第4期1461-1488,共28页

随着深度学习技术在计算机视觉与自然语言处理等领域取得巨大成功,软件工程研究者开始尝试将其引入到软件工程任务求解当中.已有研究结果显示,深度学习技术在各种代码相关任务(例如代码检索与代码摘要)上具有传统方法与机器学习方法无... 随着深度学习技术在计算机视觉与自然语言处理等领域取得巨大成功,软件工程研究者开始尝试将其引入到软件工程任务求解当中.已有研究结果显示,深度学习技术在各种代码相关任务(例如代码检索与代码摘要)上具有传统方法与机器学习方法无法比拟的优势.这些面向代码相关任务训练的深度学习模型统称为深度代码模型.然而,由于神经网络的脆弱性和不可解释性,与自然语言处理模型与图像处理模型一样,深度代码模型安全也面临众多挑战,已经成为软件工程领域的焦点.近年来,研究者提出了众多针对深度代码模型的攻击与防御方法.然而,目前仍缺乏对深度代码模型安全研究的系统性综述,不利于后续研究者对该领域进行快速的了解.因此,为了总结该领域研究现状、挑战及时跟进该领域的最新研究成果,搜集32篇该领域相关论文,并将现有的研究成果主要分为后门攻击与防御技术和对抗攻击与防御技术两类.按照不同技术类别对所收集的论文进行系统地梳理和总结.随后,总结该领域中常用的实验数据集和评估指标.最后,分析该领域所面临的关键挑战以及未来可行的研究方向,旨在为后续研究者进一步推动深度代码模型安全的发展提供有益指导. 展开更多

关键词 深度代码模型 深度代码模型安全 人工智能模型安全 后门攻击与防御 对抗攻击与防御

在线阅读 下载PDF 职称材料

常见源代码安全漏洞分析与研究 被引量：7

3

作者 朱圣才 徐御 王火剑 《信息网络安全》 2014年第2期48-52,共5页

源代码安全作为软件安全最为重要的安全点之一,是软件安全最底层的关键点。文章提出了源代码安全的一些常见的检测指标,结合SQL注入、跨站脚本、路径篡改和空指针4个比较常见的源代码安全漏洞对源代码安全进行了详细的分析研究。文章提... 源代码安全作为软件安全最为重要的安全点之一,是软件安全最底层的关键点。文章提出了源代码安全的一些常见的检测指标,结合SQL注入、跨站脚本、路径篡改和空指针4个比较常见的源代码安全漏洞对源代码安全进行了详细的分析研究。文章提出了源代码安全必须规避的一些基本方法,提高了源代码的安全和质量。 展开更多

关键词 源代码安全 应用安全 SQL注入 跨站脚本

在线阅读 下载PDF 职称材料

JAVA反编译技术和代码安全 被引量：9

4

作者 王翔 刘劼 《现代电子技术》 2004年第10期22-23,26,共3页

JAVA语言今天在全世界获得了广泛的应用。在 Internet数据库、多媒体、CGI及动态网页的制作方面随处可见JAVA程序的身影。随着编译技术的基本定型 ,反编译技术有了很大的发展。这使得代码变得越来越不安全 ,JA VA语言中这个问题尤其突... JAVA语言今天在全世界获得了广泛的应用。在 Internet数据库、多媒体、CGI及动态网页的制作方面随处可见JAVA程序的身影。随着编译技术的基本定型 ,反编译技术有了很大的发展。这使得代码变得越来越不安全 ,JA VA语言中这个问题尤其突出。本文对当前主流的反编译技术进行分析介绍 ,进而提出一系列安全措施用以提高代码的安全性。 展开更多

关键词 JAVA语言 反编译 代码安全 数据库 编译技术

在线阅读 下载PDF 职称材料

加强应用系统源代码安全的风险管理 被引量：2

5

作者 黄洪 《信息网络安全》 2008年第10期56-58,共3页

当今黑客们越来越多的采用直接攻击企业的应用系统已达到窃取企业数据,破坏企业信息的目的。越来越多的源代码安全漏洞让黑客有机可乘,如何提高应用系统的安全性是保障信息系统整体安全性的一个非常重要环节。

关键词 源代码安全 风险管理 代码审查 渗透测试

在线阅读 下载PDF 职称材料

一种高效检测源代码安全漏洞的代码审查方法 被引量：4

6

作者 周诚 张涛 +1 位作者 马媛媛 李伟伟 《现代电子技术》 北大核心 2015年第5期83-86,共4页

目前代码安全审查和白盒安全测试被广泛用于分析源代码并检测安全漏洞。这里描述一种基于安全特性参照树的更高效的代码安全审查方法,其中安全特性提取于源代码中所有可操作的内容。这种方法只在源代码层面进行安全检查,可以大大减少错... 目前代码安全审查和白盒安全测试被广泛用于分析源代码并检测安全漏洞。这里描述一种基于安全特性参照树的更高效的代码安全审查方法,其中安全特性提取于源代码中所有可操作的内容。这种方法只在源代码层面进行安全检查,可以大大减少错误代码行为,并为自动化安全审查提供了有效的解决方案。 展开更多

关键词 代码安全检测 漏洞检测 代码审查 参考树

在线阅读 下载PDF 职称材料

基于自动信任协商的可信移动代码验证方法

7

作者 刘巍伟 韩臻 +1 位作者 凌明清 郭煜 《北京交通大学学报》 CAS CSCD 北大核心 2009年第2期22-25,29,共5页

移动代码具有智能型和移动性,对目标主机平台构成安全威胁.现有对移动代码的授权和认证方法多是以可信第三方的直接授权为基础.本文针对目前开放网络的特点,提出一种基于自动信任协商(ATN)的移动代码保护方法(ATMCVM),该模型通过逐步披... 移动代码具有智能型和移动性,对目标主机平台构成安全威胁.现有对移动代码的授权和认证方法多是以可信第三方的直接授权为基础.本文针对目前开放网络的特点,提出一种基于自动信任协商(ATN)的移动代码保护方法(ATMCVM),该模型通过逐步披露证书的方法能够解决两个陌生的代码生产者和消费者间动态建立信任关系的问题. 展开更多

关键词 移动代码安全 属性证书 信任协商

在线阅读 下载PDF 职称材料

基于压缩的代码保护的低开销策略

8

作者 陈勇 何炎祥 +2 位作者 石谦 吴伟 李清安 《计算机科学》 CSCD 北大核心 2011年第11期119-122,共4页

利用压缩算法及C语言编译器辅助分析,提出了一种用于代码保护的低开销策略。设计了一种基于C语言安全漏洞的安全级别模型,它对不同安全级别的代码采用不同的保护策略,以减少保护开销。同时设计了一种分块二进制压缩算法(BCC压缩算法),... 利用压缩算法及C语言编译器辅助分析,提出了一种用于代码保护的低开销策略。设计了一种基于C语言安全漏洞的安全级别模型,它对不同安全级别的代码采用不同的保护策略,以减少保护开销。同时设计了一种分块二进制压缩算法(BCC压缩算法),对保护前的代码进行了压缩处理,使保护开销进一步降低。软件模拟实验表明,使用该压缩算法可将保护代价降为原代价的80%～90%。 展开更多

关键词 代码安全保护 安全模型 压缩算法 低存储容量

在线阅读 下载PDF 职称材料

一种面向应用需求的代码保护方法

9

作者 徐超 何炎祥 +2 位作者 陈勇 吴伟 刘健博 《计算机科学》 CSCD 北大核心 2012年第11期93-97,共5页

为了防止攻击者对编译后可执行代码进行读取分析和篡改,提出了一种基于编译器分析的软硬件相结合的保护框架。首先对具体应用需求进行分类(数据重要型和算法重要型),然后提取分类后的关键代码块,生成带标记的二进制代码,最后综合数字签... 为了防止攻击者对编译后可执行代码进行读取分析和篡改,提出了一种基于编译器分析的软硬件相结合的保护框架。首先对具体应用需求进行分类(数据重要型和算法重要型),然后提取分类后的关键代码块,生成带标记的二进制代码,最后综合数字签名(RSA)和(AES)加解密算法对标记信息进行相应处理,并将其加载到FPGA进行校验运行。实验分析显示,该方法具有较好的可操作性和可维护性,既减小了软件保护的开销,降低了系统实现成本,又达到了保护目的。 展开更多

关键词 代码安全保护 关键代码块 应用需求 数字签名 FPGA

在线阅读 下载PDF 职称材料

基于类型化内存地址的安全策略的设计与实现

10

作者 郭帆 陈意云 胡荣贵 《计算机研究与发展》 EI CSCD 北大核心 2003年第7期1001-1007,共7页

提出了一种检查代码安全的类型安全策略 ,详细描述了该策略的逻辑表示、形式化描述和基于该策略的证明方法 ,最后给出一个基于该策略的定理证明器HBTSTP 策略的核心思想是给每个合法的内存地址赋予类型 ,使用符号表达式记录内存的状态变... 提出了一种检查代码安全的类型安全策略 ,详细描述了该策略的逻辑表示、形式化描述和基于该策略的证明方法 ,最后给出一个基于该策略的定理证明器HBTSTP 策略的核心思想是给每个合法的内存地址赋予类型 ,使用符号表达式记录内存的状态变化 ,对于需要读写内存的指令 ,调用证明器进行类型检查 。 展开更多

关键词 类型安全策略 证明方法 类型检查 代码安全 逻辑表示 形式化描述

在线阅读 下载PDF 职称材料

C语言静态代码分析中的调用关系提取方法 被引量：7

11

作者 江梦涛 荆琦 《计算机科学》 CSCD 北大核心 2014年第S1期442-444,共3页

程序静态分析(Program Static Analysis)是指在不运行代码的方式下,通过词法分析、语法分析、控制流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。首先对程序静态分析的... 程序静态分析(Program Static Analysis)是指在不运行代码的方式下,通过词法分析、语法分析、控制流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。首先对程序静态分析的特点、常用静态分析技术、静态分析实现方式进行描述,然后通过一个实例讲解C语言静态代码分析中函数与变量的调用关系的实现方法,总结了现今在C语言调用关系分析中可以借鉴的工具与实现方式。 展开更多

关键词 程序静态分析 函数调用 代码安全

在线阅读 下载PDF 职称材料

基于Smart Packets的主动网络管理模型研究

12

作者 马燕 邹显春 康庆 《计算机科学》 CSCD 北大核心 2004年第12期37-39,46,共4页

主动网络是一种新型的网络体系,它不仅可以传送数据包,而且还可以执行数据包中特定的运算任务。主动网络为用户提供了可编程的接口,用户可通过网络中的节点动态地注入所需的服务。Smart Packets采用紧缩格式和安全代码编写其中的程序,... 主动网络是一种新型的网络体系,它不仅可以传送数据包,而且还可以执行数据包中特定的运算任务。主动网络为用户提供了可编程的接口,用户可通过网络中的节点动态地注入所需的服务。Smart Packets采用紧缩格式和安全代码编写其中的程序,它能够支持主动网络管理。本文讨论了传统网络管理中存在的问题,分析了主动网络管理体系结构与管理机制。重点研究了Smart Packets的结构、管理机制、包的格式、编程语言和设计目标,以及安全性。 展开更多

关键词 主动网络 安全代码 行数据 编程语言 接口 传送数据 管理模型 用户 管理机制 服务

在线阅读 下载PDF 职称材料

一种用于Java虚拟机的类型化低级语言 被引量：3

13

作者 陈晖 陈意云 +1 位作者 吴萍 项森 《计算机研究与发展》 EI CSCD 北大核心 2006年第1期15-22,共8页

为了能够减小运算系统的需信任计算基础、描述较小粒度的安全策略,目前的研究倾向于从程序设计语言和编译器入手来提高软件的安全性·基于以上研究背景设计了一种类型化的低级语言TLL·TLL是一种为Java虚拟机即时编译器设计的... 为了能够减小运算系统的需信任计算基础、描述较小粒度的安全策略,目前的研究倾向于从程序设计语言和编译器入手来提高软件的安全性·基于以上研究背景设计了一种类型化的低级语言TLL·TLL是一种为Java虚拟机即时编译器设计的类型安全中间语言,以构造一个具有更小需信任计算基础的Java虚拟机系统为目的·TLL的类型系统基于多态的类型化λ演算,它具有丰富的表现力且能够编码各种高级语言的抽象·基于TLL的一个虚拟机原型系统已经实现,它可以作为实现一个高安全且面向多种源语言的运行时系统的起点· 展开更多

关键词 类型化语言 代码安全 验证编译

在线阅读 下载PDF 职称材料

基于Sigmoid函数的软件漏洞风险评价算法 被引量：1

14

作者 王帆 洪流 顾欣 《信息安全研究》 2018年第11期993-996,共4页

在软件开发过程中,开发人员通常对代码的安全性关注较少,同时现有的安全测试与渗透测试也缺乏整体安全分析,导致软件漏洞风险难以把控.若在软件产品中存在安全漏洞,将对涉及该软件产品的系统安全造成严重影响.着眼于国家网络安全与基础... 在软件开发过程中,开发人员通常对代码的安全性关注较少,同时现有的安全测试与渗透测试也缺乏整体安全分析,导致软件漏洞风险难以把控.若在软件产品中存在安全漏洞,将对涉及该软件产品的系统安全造成严重影响.着眼于国家网络安全与基础软硬件自主可控战略的大背景和现有软件漏洞风险评价的不足之处,提出基于Sigmoid函数的软件漏洞风险评价算法,对软件的安全漏洞风险情况进行评价,帮助开发人员快速定位安全性最差的代码模块,修补或选取更加安全、优秀的代码,提高软件整体安全水平. 展开更多

关键词 SIGMOID函数 软件漏洞 风险评价算法 软件安全 代码安全

在线阅读 下载PDF 职称材料

一种类型化低级语言的设计与应用

15

作者 陈晖 陈意云 项森 《小型微型计算机系统》 CSCD 北大核心 2006年第5期913-918,共6页

介绍了以构造一个具有更小的需信任计算基础的Java虚拟机系统为目的的研究工作,将一种类型安全的低级语言TLL应用到Java虚拟机的即时编译器中.TLL的类型系统基于多态的类型化λ演算,它具有丰富的表现力且能够编码各种高级语言的抽象.基... 介绍了以构造一个具有更小的需信任计算基础的Java虚拟机系统为目的的研究工作,将一种类型安全的低级语言TLL应用到Java虚拟机的即时编译器中.TLL的类型系统基于多态的类型化λ演算,它具有丰富的表现力且能够编码各种高级语言的抽象.基于TLL的一个虚拟机原型系统已经实现,它可以作为实现一个具有微小的需信任计算基础的Java虚拟机的起点. 展开更多

关键词 类型化语言 代码安全 验证编译

在线阅读 下载PDF 职称材料

一种新型类型化中间语言的优化实现技术

16

作者 李筱青 陈晖 陈意云 《计算机工程》 EI CAS CSCD 北大核心 2005年第5期63-65,共3页

类型化中间语言是提高代码安全性的一类重要方法。然而在其实现过程中,庞大的类型信息很难被高效地表达和操作。一个未经优化的实现将会给系统带来指数级增长的开销。该文描述了一种新型的类型化中间语言的优化实现技术,并将其成功应用... 类型化中间语言是提高代码安全性的一类重要方法。然而在其实现过程中,庞大的类型信息很难被高效地表达和操作。一个未经优化的实现将会给系统带来指数级增长的开销。该文描述了一种新型的类型化中间语言的优化实现技术,并将其成功应用于IntelORP(OpenRuntimePlatform)的即时编译器中。 展开更多

关键词 代码安全性 类型化语言 编程语言

在线阅读 下载PDF 职称材料