基于和模糊综合评判的信息安全风险评估.pdf

8 22 0 0 9 4 5 ( 2 2 ) C o m p u t e rE n g i n e e r i n ga n dA p p l i c a t i o n s 计算机工程与应用 基于A H P 和模糊综合评判的信息安全风险评估 肖龙，戚溺，李千目 X I A OL o n g ，Q IY o n g ，L IQ i a n - m u 南京理工大学计算机科学与技术学院，南京2 1 0 0 9 4 C o U e g eo fC o m p u t e rS c i e n c e ，N a n j i n gU n i v e r s i t yo fS c i e n c ea n dT e c h n o l o g y ，N a n j i n g2 1 0 0 9 4 ，C h i n a E - m a i l ：w a n g m a i l n j u s t e d u c n X I A OL o n g ，Q IY o n g ，L IQ i 皿- - I n t l I n f o r m a t i o ns e c u r i t yr i s kI 鲢s e s s m e n t e v a l u a t i o n C o m p u t e rE n g i n e e r i n ga n dA p p l i c a t i o n s ，2 0 0 9 ，4 s ( 2 2 ) ：8 2 - 8 5 A b s t r a c t ：T h i sa r t i c l es t a l r t f iw i t ht h et h e o r ya n dr e s e a r c ho fi n f o r m a t i o ns e c u r i t yr i s ka s s e s s m e n t I tp r o p o s e si n f o r m a t i o ns e c u r i t y r i s ka s s e s s m e n tm e t h o db a s e do nA n a l y t i cH i e r a r c h yP r o c e s s ( A H P ) a n df u z z yc o m p r e h e n s i v ee v a l u a t i o n I ts o l v e st h ed i f f i c u l t y w h e nc o n d u c t i n gq u a n t i t a t i v ee v a l u a t i o no fq u a l i t a t i v ea s s e s s m e n ti n r i s ka s s e s s m e n t F i n a l l yi tg i v e sap r a c t i c a le x a m p l et op r o v e t h a tt h i sm e t h o dc a nb ea p p l i e dv e r yw e l lt oi n f o r m a t i o ns e c u r i t yr i s ka s s e s s m e n t K e yw o r d s ：i n f o r m a t i o ns e c u r i t yr i s ka s s e s s m e n t ；A n a l y t i cH i e r a r c h yP r o c e s s ( A H P ) ；f u z z yc o m p r e h e n s i v ee v a l u a t i o n 摘要：从4 - - - 2 息安全风险评估的原理和研究现状入手，提出了基于层次分析 去- ( A H P ) 和模糊综合评判的信息安全风险评估的方 法，解决了风险评估中定性指标定量评估的难点。最后给出实例，证明该方法能有效地应用于信息安全风险评估。 关键词：信息安全风险评估；层次分析法；模糊综合评判 D O I ：1 0 3 7 7 8 6 i s s n 1 0 0 2 8 3 3 1 2 0 0 9 2 2 0 2 8 文章编号：1 0 0 2 8 3 3 1 ( 2 0 0 9 ) 2 2 - 0 0 8 2 - 0 4文献标识码：A中图分类号：T P 3 0 9 1 引言 计算机和网络技术在当今社会迅猛发展并且得到广泛应 用，使得各行各业对信息系统的依赖日益加深，信息技术几乎 渗透到了社会生活的方方面面。信息系统及其所承载信息的安 全问题日益突出，信息和服务在保密性、完整性、可用性等方面 出现问题，都会给组织机构带来很大的负面影响。由于互联网 的存在，组织机构的信息系统不可避免的与外部系统有着复杂 的联系。因此信息安全和保密尤其重要。每个信息系统都存在 着风险，信息资产与风险是一对矛盾，资产价值越高，面临的风 险就越大。通过信息安全风险管理，可以妥善平衡信息资产和 信息安全风险之间的矛盾。为了在安全风险的预防、减少、转 移、补偿和分散等之间做出决策，需要对网络系统进行信息安 全风险评估。 2 0 0 7 年颁布的国家标准信息安全技术信息安全风险评 估规范) t l G B T 2 0 9 8 4 2 0 0 7 中定义信息安全风险评估是依据有 、关信息安全技术与管理标准，对信息系统及由其处理、传输和 存储的信息的机密性、完整性和可用性等安全属性进行评价的 过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全 事件的可能性，并结合安全事件所涉及的资产价值来判断安全 事件一旦发生对组织造成的影响【1 1 。通过风险评估，可以识别信 息系统安全风险的大小。根据系统的功能用途以及系统承载信 息需要的安全程度，可以对系统定级，进行分级保护。在我国， 信息安全分级保护是信息安全保障工作的基本制度、基本策 略、基本方法，充分体现了“适度安全、保护重点”的目的，可以 有效提高信息安全保障工作的整体水平。 2 信息安全风险评估的研究现状及相关准则 信息安全风险是指由于资产的重要性、人为或自然的威胁 以及利用信息系统及其管理体系的脆弱性，导致安全事件发生 所造成的影响【l J 。 要对信息系统进行风险评估，首先要对信息系统进行风险 分析f 一1 。风险分析中涉及资产、威胁、脆弱性及已有安全措施4 个基本要素。每个要素有各自的属性，资产的属性是资产价值； 威胁的属性是威胁主体、影响对象、出现频率、动机等；脆弱性 的属性是资产弱点的严重程度；已有安全措施的属性是实施的 各种实践、规程和机制等。风险分析原理如图1 所示。 由以上分析原理，可以得出风险的计算公式，如公式( 1 ) 所示： R ( A ，T ，y ) = R ( L ( r ，y ) ，只l a ，v a ) )( 1 ) 其中，R 表示安全风险计算函数；A 表示资产；T 表示威胁；V 表 示脆弱性；，n 表示安全事件所作用的资产价值；V a 表示脆弱性 严重程度；表示威胁利用资产的脆弱性导致安全事件发生的 基金项目：国家自然科学基金( t I I eN a i l o h a lN a t u r a lS c i e n c eF o u n d a t i o no fC h i n au n d e rG r a n tN o 9 0 7 1 8 0 2 1 ) ；江苏省普通高校研究生科研创新计 划项目( t h eP r o j e c tI n n o v a t i o no fG r a d u a t eS t u d e n t so fJ i a n g s uP r o v i n c eo fC h i n a u n d e rG r a n tN o C X 0 8 S _ 0 0 9 Z ) 。 作者筒介：肖龙( 1 9 8 3 一) ，男，硕士研究生主要研究领域为信息安全风险评估；戚滂( 1 9 7 0 一) ，通讯作者，男，博士后，副教授，硕士生导师，主要研究 领域为信息安全风险评估、数据挖掘；李千目( 1 9 7 9 一) ，男，博士后，副教授，硕士生导师。主要研究领域为信息安全。 收稿1 3 期：2 0 0 8 - 4 ) 4 - 3 0修回1 3 期：2 0 0 8 - 0 7 2 1 万方数据 肖龙，戚j 勇，李千目：基于A H P 和模糊综合评判的信息安全风险评估2 0 0 9 ，4 5 ( 2 2 ) 8 3 图l 风险分析原理图 可能性；，表示安全事件发生后产生的损失。 经过风险分析后，就可以进行信息系统的风险评估。风险 评估的流程如图2 所采u 。 图2 风险评估实施浇程图 由图2 可以看出，对系统风险评估之后，就进入实施风险 管理阶段。风险管理是指以可接受的费用识别、控制、降低或消 除可能影响信息系统的安全风险的过程回。信息安全风险管理 包括对象确立、风险分析、风险控制、审核批准、监控与审查和 沟通与咨询6 个方面内容。对象确立是根据要保护系统的业务 目标和特性，确定风险管理对象。风险分析是针对确立的风险 管理对象所面I 向拘风险进行识别、解析和评价。风险控制是依 据风险分析的结果，选择和实施合适的安全措施。风险控制是 为了将风险始终控制在可接受的范围内。审核批准包括审核和 批准两部分。审核是指通过审查、测试、评审等手段，检验风险 评估和风险控制的结果是否满足信息系统的安全要求；批准是 指机构的决策层依据审核的结果，做出是否认可的决定。监控 与审查是对前4 个步骤进行监控和审查，保证过程和成本的有 效性。沟通与咨询是对前4 个步骤的相关人员提供沟通和咨 询。沟通为参与人员提供了交流途径；咨询为相关人员提供了 学习途径。 在实施风险管理时，要依据现有的国内外的相关标准和准 则。国内外的主要信息安全评价准则有： T C S E C ( T r u s t e dC o m p u t e rS y s t e m sE v a l u a t i o nC r i t e r i a ) 1 3 J ， 可信赖计算机系统评价准则，是美国国防部在1 9 8 3 年公布 的。该标准将安全分为4 个方面，又把这4 个方面分为7 个安 全级别，为计算机安全产品的评价提供了测试方法。 I T S E C ( I n f o r m a t i o nT e c h n o l o g yS e c u r i t yE v a l u a t i o nC r i t e r i a 声。 信息技术安全评价准则，是西欧四国( 英、法、德、荷) 在1 9 9 1 年公布的。该标准首次提出了信息安全的保密性、完整性、可用 性等概念。它的评估过程是，首先由产品或系统的保证人描述 个安全目标，再对产品或系统关于安全设计的有效性和具体 实现的正确性进行评估。 C T C P E C ( C a n a d i a nT r u s t e dC o m p u t e rP r o d u c tE v a l u a t i o n C r i t e r i a ) m ，加拿大可信计算机产品评估准则，是1 9 9 1 年加拿 大公布的。该标准将安全需求分为4 个层次，并且指导制造商 将适当的安全特征加到安全产品中。 C C ( I n f o r m a t i o nT e c h n o l o g yS e c u r i t yE v a l u a t i o nC o m m o n C r i t e r i a ) 6 1 ，联合公共准则是由美国、加拿大、欧洲四国在1 9 9 3 年经过协商同意所起草的单一的通用准则。它的目的是建立一 个各国都能接受的通用的信息安全产品和系统的安全性评价 准则，在任何地方通过C C 准则评价并得到许可进入国际市场 时就不需要再做评价。 C O R A S ( AP l a t f o r mf o rR i s kA n a l y s i so fS e c u r i t yC r i t i c a l S y s t e m s ) 川，安全关键系统的风险分析平台，是由欧洲四国( 德 国、希腊、英国、挪威) 在2 0 0 1 年至2 0 0 3 年5 月完成的。 C O R A s 通过开发个基于模型的风险评估方法和工具支持平 台，为安全要求较高的安全关键系统进行准确、清晰和高效的 信息安全风险评估提供个框架规范和标准。它是一种通过 U M L 建模语言规范描述风险评估过程和综合采用多种互为补 充的风险分析技术。 C O M A ( C o m p o n e n t - o r i e n t e dm o d e l - b a s e ds e c u r i t ya n a l y - s i s ) 脚，面向组件基于模型的安全分析，是C O R A S 的二期项目， 准备在2 0 0 7 年完成，但至今还未完成。 以匕几种国外重要的安全标准和准则的关系如图3 所示。 周面 L - - - - _ J L J 图3 几种国外重要安全评价准刚的关系 我国在信息安全风翻砰牯方面起步相对较晚，但重视程度 相当高，许多专家学者对信息安全风险评估做了大量的研究工 作，国家也出台了部分相关标准。最新公布的G B T2 0 9 8 4 2 0 0 7 ( 信息安全技术信息安全风险评估规范f 1 】，对信息安全风 险评估做了全方面的阐述，提出了评估的详细流程和规范。 3 基于层次分析法和模糊综合评判的信息安全风险 评估模型 对网络系统进行信息安全风险评估，最主要的难点就是定 性指标的定量处理。提出了基于层次分析法及模糊综合评判的 信息安全风险评估方法，有效地解决了这一难点。层次分析法 可以计算影响信息安全风险有关因素的相对权重值，对各因素 权重值排序，做横向比较，为采取相关措施提供有力依据；模糊 综合评判根据专家对信息系统的评价，综合得到信息系统的风 险等级，从而提高对信息系统安全风险认识的针对性和紧迫 感，采取有效安全防范措施，确保网络信息系统的安全。 基于该方法的信息安全风险i 乎估模型如图4 所示。 万方数据 8 4 2 0 0 9 ，4 5 ( 2 2 )C o m p u t e rE n g i n e e r i n ga n dA p p l i c a t i o n s 计算机工程与应用 图4 基于层次分析法及模糊综合评判的信息安全评估模型 3 1 层次分析法 层次分析法( A n a l y t i cH i e r a r c h yP r o c e s s ，A H P ) 1 9 l 是美国运 筹学家TLS a a t y 教授提出的一种简便、灵活而又实用的多准 则决策方法。它的算法步骤如下： 步骤1 建立层次结构模型。 步骤2 构造判断矩阵。对同一层次的指标两两比较其相 对重要性得出相对权值的比值叫加。以此来构造判断矩阵，如 公式( 2 ) 所示： A = 1 O ) 1 0 ) 2 0 ) 2 1 0 ) 1 I 叫n 0 ) 2 峨 垃生1 1l 口I l 口也 ： 6 k l a b , ： ( 2 ) 上式判断矩阵A 为I t i t 的方阵，其主对角线为1 。满足呼= 1 饵，i # j ，i , j = l ，2 ，3 ，I t , a q O ，a o 为i 与，两因素相对权值的 比值，可按1 - 9 比例标度法对重要性程度赋值。 表1S a a t y1 9 级判断矩阼标准度 重量丝! 咝宣墨 一 表示2 个元素相比，具有同等重要性 表示2 个元素相比，前者比后者稍重要 表示2 个元素相比，前者比后者明显重要 表示2 个元素相比，前者比后者强烈重要 表示2 个元素相比前者比后者极端重要 表示上述判断的中间值 若元素i 与元素j 的重要性之比为a t 则 元素j 与元素i 的重要性之比为o ，- - 1 h 步骤3 权值计算。F 面是利尉和法计算权值。 将A 的每一列向量归一化。 诘 L ( 筒，2 ，n ) 善 对按列归化的判断矩阵，再按行求和。 顽：五( 1 川2 i = 12 “，凡) 矾= 乞( ，凡) 将向量识【雨，矾，耵归化。 露_ ( 讧1 ，2 ，n ) 谚 ( 3 ) ( 4 ) ( 5 ) 步骤4 一致性检验。 计算最大特征根： A f 喜訾 计算一致性指标： C I = 兰堕二生( 7 ) I t - l 计算一致性比例： 衄：璺 ( 8 ) R ， 当C R O 1 时，认为判断矩阵的一致性可以接受。 表2 平均随机致性标度月， 阶数12 345 6 78 R 1000 5 80 91 1 21 2 41 3 21 4 l 阶教9 1 0l l 1 2 1 31 41 5 月，1 4 51 4 91 5 2l - 5 41 5 61 5 8 1 5 9 3 2 模糊综合评判 模糊综合 乎判f 】o 】，是对具有多种属性的事物，或者说其总 体优劣受多种凶素影响的事物，做出个能合理地综合这些属 性或因素的总体评判。层次结构模型不论是多层的还是单层 的，都要有两个关键的步骤：确定模糊关系足，R 是从因素集x 到判断集y 的个模糊映射；计算模糊评判子集B = A 。R 。在复 杂的系统中，由于考虑的因素较多，又存在一定的层次性，就必 须采用分层逐级i 平判的方法进行，即模糊多层次综合评判法。 模糊多层次综合评判法的步骤如下： 设因素集x = ，X 2 ，菇。l ，毛表示某问题需要考虑的因素， 判断集Y = t y 。，Y 2 ，表示要判断的等级。 步骤l 划分因素集工。 对因素集x = 鼻。，茗2 ，“ 作划分，即式中茁产协n ，戈。，省。1 ， i = 1 ，2 ，n 。置中含有k 。个因素。 步骤2 单因素评判。 对每个髫l - ，王。，互。 的k 。个因素，按初始模型作综合 评判。设置的因素重要程度模糊子集为A 一的k 个因素的总 的评价矩阵为冠，于是得到： B 。- - - A t 足l = ( 6 “b n ，b 。) ，i = l ，n ( 9 ) 式中的曰为毛的单因素评判。 步骤3 多因素综合评判。 因素集X = 恤，孙，X , n ) 的因素重要程度模糊子集为A ，且 A = ( A 。，A ：，A 。) ，则x 的总的评价矩阵R 为l f 曰l f A I 。R l 詹2 L 。j 2 f A j R 。J l 。) 则得出总的多因素综合评判结果，即 B = A 。足( 1 1 ) 即因素x = 恤。，并。 的综合评判结果。 4 实例分析 由G B g r2 0 9 8 4 2 0 0 7 可知，信息安全风险分析有四个要 素需要识别，而每个要素又包括很多子要素。为了突出风险评 估的重点，对信息系统风险的评价指标体系进行适当的简化。 得到图5 所示的指标体系。 毗勉； 。，M馓 万方数据 肖龙，戚溺，李千目：基于A H P 和模糊综合评判的信息安全风险评估 信息安全风脸工 资产x l1 威胁) 1 21 脆弱性石3 l 已有安全措施肖4 保完II 可 密l l 整l 】用 性Il 性；I 性 x n J 1 2 x 1 3 技 术 脆 弱 性 J 3 l 管 理 脆 弱 性 工3 2 预 防 安 全 措 施 X 4 1 圈5 信息安全风险评估指标体系 保 护 安 全 措 施 工4 2 图5 的评价指标体系中，保密性是表示数据所达到的未提 供或泄露给非授权的个人、过程或其他实体的程度；完整性是 保证信息及信息系统不会被非授权更改或破坏的特性；可用性 表示被授权实体按要求能访问和使用数据或资源；环境因素是 指由于环境条件或自然灾害。意外事故所导致的软硬件故障； 人为因素是指外部人员的恶意破坏和内部人员缺乏责任心所 导致的信息系统故障；技术脆弱性涉及物理层、网络层、系统层 和应用层等各层次的安全问题；管理脆弱性可分为技术管理和 组织管理，前者与具体技术活动相关，后者与管理环境相关；预 防性安全措施可以降低威胁利用脆弱性导致安全事件发生的 可能性；保护安全措施可以减少因安全事件发生对信息系统造 成的影响。 基于上述的评价模型，对某高校个网站系统进行信息安 全风险评估。该网站服务器的I P 地址为2 1 9 2 3 0 9 3 2 0 3 ，应用 图4 所示的指标体系对系统进行评估。用1 - 9 比例标度法构造 判断矩阵如下： l 1 0 3 3 3 A 1 0 6 6 7 0 5 f 1 A 1 - 1 0 6 6 7 【1 3 3 3 A f ( 。二 A 严( 。乙 3】52 1O 5O 6 6 7 211 3 3 3 1 5 O 7 51 1 50 7 51 1 0 5 2 1 0 6 6 7 1J 1 5 1J A - - l1 ) 计算出第一层对应于x 的权值为 1 1 7 = 0 4 ，0 1 3 3 ，0 2 6 7 ，0 2 1 第二层对于x 1 ，x 2 的权值分别为 肜1 f 0 3 3 3 ，0 2 2 2 ，0 4 4 5 J 形M o 4 ，0 6 】 形F 0 6 ，0 4 】 W 4 = O 5 ，0 5 】 以上都可以满足一致性检验C R O 1 。 由以上结果可以求得第二层指标的相对权重以及排序如 表3 。 利用调查问卷的形式，请2 0 位专家对各指标权重进行评 判。所有专家对某等级评价的次数整理如表4 。 表3 二级指标权莺及捧序 二级指标风险值权重排序 J 1 l o 1 3 32 0 3 = r 1 2o 0 8 88 07 _ ) r 1 3o 1 7 8o o1 X 2 1o 0 5 32 08 工2 2o 0 3 19 29 工3 1o 1 6 02 02 | = I ( 3 20 1 0 6 蚰4 J 4 l 0 1 0 0 0 05 X 4 2o 1 0 0 0 06 表4 专家评判统计 由表4 中X l l ，X 1 2 ，X 1 3 三项，可得模糊关系眉对其进行 归化，得到模糊关系矩阵 0 0 1 5 足l = 1 0 0 5 0 1 5 I O 1 0 0 1 5 同理可得 R 刮盎5 ：脚0 5 002 S 置3 - l o 0 5o 1 5 胙仨黑 0 2 5O 5 00 1 01 0 1 50 3 00 3 5 0 4 00 1 50 2 0 O 10 4 00 4 5 O 10 4 50 3 5 O 5 00 20 0 5 0 2 5 O 4 0 1 5 0 20 6 0 1 5 0 20 50 2 0 由口= 矸乍露。可计算出单层次评价结果 县1 - 暇。R 1 - 【0 1 ，0 1 5 ，0 4 ，0 3 3 3 ，0 2 2 2 同理可得 B 2 = W e 足产【O 0 5 ，0 0 5 ，0 1 ，0 4 5 ，o 3 5 1 B 3 = 盼R 3 = O 0 5 ，0 2 5 ，0 5 ，0 4 ，0 1 5 】 B , - - W 4 * 詹4 = 【0 ，0 1 ，0 2 ，0 5 ，0 2 】 把以上单层次评价结果综合起来，就得到了总的模糊关系 矩阵 所以最后总的模糊综合评价结果为 曰= w o 曰= 【0 1 ，0 2 5 ，0 4 O 3 3 3 ，O 2 2 2 】 计算结果中，最大值O - 4 在判断等级“中”，根据最大隶属度原 则，认为该网站的信息安全风险评估等级为中。 5 结束语 运用层次分析法和模糊综合评判对信息网络系统安全风 险进行评估，解决了评估中定性指标定量评估的难点。通过此 方法，可以计算要素的相对风险程度和整个信息网络系统的安 全风险等级。通过确认风险等级，可以提高对信息系统安全风 险的认识；确定要素的相对风险程度，可以在控制风险、减少风 险和转移风险中做出正确的判断。实例证明该方法具有较强的 科学性和有效性，可以很好地适用于信息安全风险评估。 参考文献： 【1 】G B 厂r2 0 9 8 4 2 0 0 7 信息安全技术信息安全风险评估规范【s 】 【2 1 范红冯登国，吴亚非信息安全风险评估方法与应用【M 1 北京：清 华大学出版社，2 0 0 6 ( 下转8 9 页) 勉枷啪瑚 O O O n粥伽枷姗 O O O n 4 1 5 2 O O 0 n幅晒巧m O O 0 n 0 5 5 0 0 0 ) m n n 0 万方数据 邓亚平，喻林峰：H M I P v 6 0 f ，M A P 提前选取的宏移动管理机制2 0 0 9 4 5 ( 2 2 ) 8 9 t i m e 图6T C P 拥塞窗口变化 t i m e 图7A R 2 切换到A R 3 的接收序号部分 H M I P 与提出的方案切换延迟进行对比，随着无线链路时延的 增大，它们平均切换延迟也逐渐增大。在4 0 m s 之上，与H M I P 对比更加明显。在H M I P 由于发生的是域间切换，它的时延要 比所提出方案要大。 W i r e l e s s 呲D e l a y m s 图9 时延对比图 在分析丢包现象时，采用了在M N 与C N 间进行U D P 通 信。仍然采用图5 的拓扑结构，考虑M I P 、H M I P 和本方案三种 方案的分组丢失。这三者的平均丢包问题跟切换的延迟有很大 关系，在实际通信中考虑了链路丢包的可能。从表1 可以看出， M I P 、H M I P 的A R 2 到A R 3 切换分别产生了平均7 和8 左右的 分组丢失数量，而本方案只有平均1 左右的分组丢失。这是因 为本方案由于使用双路径和缓存的机制，其从A R 2 向A R 3 移 动时，平均分组丢失要比其他两类要低。 表1 平均丢包教对比 3 结束语 采用了将M A P 选择算法提前到M N 还没有移出旧的 M A P 之前进行，选择出相邻的最优的M A P 。经过选取，M N 在 O 州 、撩燃燃M T c Ps e q u e n c en u m b e r 图8 端到端分组的时延 切换过程中同时处于两个M A P 域，形成了双路径方式，提高了 H M I P v 6 中域问切换性能。 由于在提出的方案中，需要在E A R 收到相邻M A P 的通告 消息才能进行M A P 的提前选取，当没有收到相邻的M A P 通告 消息，仍然回到了基本H M I P v 6 方式。所以在以后的工作中，希 望能够提出一种不依赖路由器通告消息而进行提前选取M A P 的更完善的方案。 参考文献： 【l 】P e r k i n sC ，J o h n s o nD R F C3 7 7 5M o b i l i t ys u p p o r ti n 蹦s 1 I E T F ， 2 0 0 4 【2 1S o l i m a nH ，C a s t e l l u c e i aC 。E l M a l k iK ，e ta 1 R F C 4 1 4 0H i e m r c h i c a l m o b i l eI p 而m o b i l i t yn u m a g e m e n t S I E T F 。2 0 0 4 - 1 2 【3 】K o o d l iI L R F C 4 0 6 8F a s t h a n d o v e r sf o rm o b i l eI P v 6 【s l I 圈r F ，2 0 0 5 0 7 【4 】D a sS I D M P ：A n i n t r a - - - d o m a i n m o b i l i t ym a n a g e m e n tp r o t o c o l f o r n e x t g e n e r a t i o n w i r e l e s sn e t w o r k s J I E E EW i r e l e s sC o m m u n i c a - t i o n s 2 0 0 2 ：3 8 4 5 【5 】X i eJ ，A k y i l d i zI Ad i s t r i b u t e dd y n a m i cn g i o n a ll o c a t i o nm a n a g e - m e n ts c h e m ef o rm o b i l eI P I C ：F a E E EI N F O C O M 2 0 0 2 ：1 0 6 9 1 0 7 8 【6 】H u a n gCM H s u TH ，C h i a n gMS A D y n a m i cF o r w a r d i n gP o i n t ( D F P ) c o n t r o ls c h e m ef o rf a s th a n d o f f C 1 1 1 3 3 r dE U R O M I C R O C o n f e r e n c eo nS o f t w a r eE n g i n e e r i n ga n dA d v a n c e dA p p l i c a t i o n s ， S E 从2 0 0 7 2 0 0 7 【7 】W o oM P e r f o r m a n c ea n a l y s i s o fm o b i l eI Pr e g i o n a l r e g i s t r a t i o n J 1 I E I C ET r a n sC o m m u n i c a t i o n s 。2 0 0 3 E 8 6 一B ( 2 ) 【8 】C o s t aXP ，M o m n oM T AM I P v 6 ，F M I P v 6a n dH M l l 6h a n d o v e r l a t e n c ys t u d y ：A h a l y t i e a la p p r o a c h C 】I S T M o b i l e W i r e l e s s T e l e c o m m u n i c a t i o n sS u m m i t2 0 0 2 J a n2 0 0 2 【9 】P a c kS ，K w o nT ，C h o iY Am o b i l i t y - b a s e dl o a dc o n t r o ls c h e m ea t m o b i l i t ya n c h o rp o i n ti nh i e r a r c h i c a lm o b i l eI P v 6n e t w o r k s J I E E E C o m m u n i c a t i o n sS o c i e t yG l o b e c o m2 0 0 4 ，2 0 0 4 【1 0 】H e l m yA ，J a s e e m u d d i nM ，B h 聃k a r aG M u h i c a s t - b a s e dm o b i l i t y ：A B O Y e | a r c h i t e c t u r ef o r e f f i c i e n tm i c m m o b i l i t y i J S e l e c t e dA I e 日si n C o m m u n i c a t i o n 8 2 0 0 4 ，2 2 ( 4 ) ：6 7 7 6 9 0 ( 上接8 5 页) 【3 】3D o D5 2 0 0 2 8 - S r DT r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a S 【4 】I T S E C I n f o r m a t i o nt e c h n o l o g ys e c u r i t ye v a l u a t i o nc r i t e r i a S 【5 】5 C T C P E C T h eC a n a d i a nt r u s t e dc o m p u t e rp r o d u c te v a l u a t i o nc r i t e r i a v e r s i o n3 O e 【S 】 【6 1C C I n f o r m a t i o nt e c h n o l o g ys e c u r i t ye v a l u a t i o n c o m i f l o f lc r i t e r i a S 【7 1 V r a a l s e nF ，d e nB r a b e rF ，H o g g a n v i kl ，e t8 1 T h eC O R A St o o l s u p p o r t e dm