学位论文 > 优秀研究生学位论文题录展示

可动态载入的模块化安全Linux内核

作 者: 王涛
导 师: 卿斯汉
学 校: 中国科学院研究生院(软件研究所)
专 业: 计算机应用技术
关键词: 安全内核 安全模块 动态载入 电子证书 通用缓存
分类号: TP316.81
类 型: 硕士论文
年 份: 2003年
下 载: 270次
引 用: 3次
阅 读: 论文下载
 

内容摘要


本文综合已有安全操作系统方面的实际研究成果和经验,提出了一种能从应用层动态载入、具有模块化结构的操作系统安全内核的构建模型。KNumen就是根据该模型在Linux平台上开发的一个实例,具有结构简单、配置灵活、可移植性强、功能全面、便于维护、易于使用等特点。其基于电子证书的身份认证、可根据实际需要对安全模块进行灵活配置、远程管理等功能尤为突出。 KNumen结构紧凑,主要由执行机构、决策机构、安全策略库三大部分组成。执行机构负责截取来自应用程序的系统调用、形成决策请求和实施决策结果。决策机构提供的回调函数是安全模块实现动态加载和模块化机制的基础,而安全模块是实施各种安全机制的中心。安全策略库存放整个系统的安全策略配置信息,具体的存储方式与文件系统无关。 为提高系统性能,可以在安全内核中创建一个以分裂树为基础的访问控制信息通用缓存。实践证明,缓存的加入能够有效地克服内核执行效率下降的问题。此外,基于电子证书的身份认证机制加强了系统的安全性和可靠性。用户有自己的公、私钥,可以使用证书文件进行远程认证和登陆,建立可信、保密的网络连接。 在KNumen的安全模块中,既有实现普通安全功能的模块,如MAC模块、ACL模块、审计模块等,也有负责完成特殊安全功能的模块,如重要进程保护模块和可信进程授权模块。事实上,可以实现的安全模块远不止这些,系统本身可以扩充和改进的地方还很多,这些都是今后进一步完善和发展的方向。 本文提出的思想是在安全操作系统研究和开发上的一种新的尝试。实践已表明该系统行之有效,达到了预期的效果,因而可以作为今后在这方面进一步深入研究和发展的基础。

全文目录


第一章 引言  7-12
  1.1 国内外安全操作系统的研究与发展概况  7-8
  1.2 可动态载入模块化安全内核的提出  8
  1.3 KNUMEN的系统特点  8-9
  1.4 KNUMEN的安全功能  9-12
第二章 KNUMEN的体系结构  12-20
  2.1 KNUMEN在整个系统中的位置  12
  2.2 系统总体结构  12-15
  2.3 安全模块注册  15-16
  2.4 请求类型定义  16-17
  2.5 系统调用的截取  17-20
第三章 访问控制信息通用缓存  20-30
  3.1 基本结构  20-22
  3.2 二分查找树的设计与实现  22-23
    3.2.1 节点结构  22
    3.2.2 函数接口  22-23
  3.3 分裂树的设计与实现  23-24
    3.3.1 节点结构  23
    3.3.2 函数接口  23-24
  3.4 ACI通用缓存  24-30
    3.4.1 数据结构  24-27
    3.4.2 函数接口  27-30
第四章 基于电子证书的身份认证  30-40
  4.1 用户和组  30-34
    4.1.1 数据结构  31
    4.1.2 认证用户配置信息的保存  31-32
    4.1.3 认证组配置信息的保存  32-33
    4.1.4 Group缓存  33-34
  4.2 主体身份信息  34-35
  4.3 证书和证书文件  35-36
  4.4 证书的生成  36-37
  4.5 本地认证过程  37-38
  4.6 远程认证过程  38-40
第五章 安全模块  40-55
  5.1 MAC模块  40-43
    5.1.1 许可标签和敏感性标签  40-41
    5.1.2 安全标签的定义  41
    5.1.3 访问控制信息  41-42
    5.1.4 访问控制规则  42-43
  5.2 ACL模块  43-48
    5.2.1 访问权限  43-44
    5.2.2 访问控制信息  44-45
    5.2.3 ACE  45-46
    5.2.4 ACL  46-48
    5.2.5 访问控制规则  48
  5.3 审计模块  48-52
    5.3.1 审计记录的结构  49-50
    5.3.2 审计记录文件  50
    5.3.3 审计记录缓冲区  50-51
    5.3.4 异常处理  51-52
  5.4 其它模块  52-55
    5.4.1 重要进程保护模块  52-53
    5.4.2 可信进程授权模块  53-55
第六章 总结与提高  55-57
参考文献  57-59
发表文章目录  59-60
致谢  60

相似论文

  1. Windows内核态密码服务接口设计与实现,TP309.7
  2. Kylin系统中数据隐藏及保护策略的研究与实现,TP393.08
  3. 基于DM365的高清网络摄像机Web服务器设计,TN948.41
  4. 农业排灌系统中密钥和发卡子系统的设计与实施,TN918.2
  5. 基于Linux的多路入侵探测系统研究与实现,TP393.08
  6. 基于LSM的Linux安全性研究,TP316.81
  7. 基于群签名的电子印章系统设计与实现,TP393.08
  8. Windows访问控制实施框架研究、设计与实现,TP393.08
  9. 基于LSM框架的安全模块管理器的设计与实现,TP311.52
  10. PKI技术在城市应急联动系统中的应用研究,TP393.08
  11. Linux2.4.x内核TCP/IP协议栈安全性研究,TP316
  12. 基于LSM的安全机制的研究,TP393.08
  13. 电力应用背景下嵌入式安全操作系统的设计与开发,TP316
  14. PKI信任体系互联互通问题及桥CA技术研究,TP393.08
  15. 基于Linux的强制访问控制机制及其安全测试自动化的研究,TP309
  16. Linux操作系统中多安全策略框架及一致性研究,TP316.81
  17. 网络化远程测控系统的网络信息安全关键技术研究,TP393.08
  18. 6LoWPAN安全性分析与设计,TN929.5
  19. 基于中间件Edge Server的射频识别技术的研究与应用,TP391.44
  20. 基于通用访问控制框架LSM的Linux安全内核的研究,TP316.81

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机软件 > 操作系统 > 网络操作系统 > UNIX操作系统
© 2012 www.xueweilunwen.com