学位论文 > 优秀研究生学位论文题录展示

SELINUX的研究与改进

作 者: 刘岩
导 师: 王箭
学 校: 南京航空航天大学
专 业: 计算机应用技术
关键词: 操作系统 安全 体系结构 SELinux 访问控制 审计机制
分类号: TP309
类 型: 硕士论文
年 份: 2010年
下 载: 78次
引 用: 0次
阅 读: 论文下载
 

内容摘要


人类社会正迈向一个高度信息化、数字化的时代。在这种形势下,大量的信息被数字化并由信息系统统一维护和管理。随着信息系统的不断完善,信息系统管理着越来越多重要的数据,信息系统的安全性已成为信息系统设计中十分重要的问题。由于操作系统处于信息系统最底层,具有基础和核心地位,操作系统的安全成为了整个信息系统安全的前提和根本保证,因此对操作系统层级的安全机制的研究是十分必要的。信息系统安全的重要内容是保证系统中数据的安全,而数据的安全性可通过存取访问控制来实现。目前,Linux操作系统以其优越、稳定的系统性能赢得了越来越多用户的青睐。面对不断提升的安全需求,Linux操作系统的存取访问控制机制也在不断发展和完善。例如,最新的Linux 2.6内核中集成了支持强制访问控制的SELinux安全子系统用于满足高等级安全需求。但是这些机制仍存在许多不足之处。本文首先介绍和详细分析了SELinux强制访问控制机制相关方面的内容(主要包括操作系统的安全体系结构和安全模型,SELinux介绍、SELinux访问控制机制和SELinux中安全服务器的实现等)。同时,一个安全操作系统的审计子系统需要对系统中的安全相关活动进行记录、检查和审核,从底层的具体操作抽象出用户行为意图。它的主要目的是检测和制止非法用户对信息系统的入侵,并显示合法用户的误操作及记录系统出现错误前的状态。内核是与硬件接触最紧密的操作系统构件,将审计系统置于内核之中能直接从底层得到原始的审计数据。在此基础上,主要进行了如下工作:1.将Linux用户进行归类,将用户分类的概念引入SELinux,对SELinux的用户管理进行了改进与实现。解决了SELinux中用户间分配相同角色集的分配方式不灵活及用户在不同角色集之间的转涣方式不灵活且容易产生不安全因素的问题。2.深入研究了SELinux的强制访问控制机制和访问控制策略,提出了一套利用SELinux的访问控制机制和策略来加强审计系统自身安全的办法。综合应用安全审计理论和内核知识,对审计系统中审计hook函数点的设置、审计的内容、审计事件的类别等关键问题进行了论述并给出了具体解决方案,规划了审计系统中各个部件、研究了各个部件之间的通信机制并提出了一个内核级审计系统的总体架构模型。根据总体架构模型,对其中的模块进行了一定程度的实现。

全文目录


摘要  4-5
Abstract  5-12
第一章 绪论  12-18
  1.1 研究背景及意义  12-15
  1.2 主流安全操作系统的研究现状  15-16
  1.3 我国安全操作系统的发展状况  16-17
  1.4 本文内容安排  17-18
第二章 目前主流的几种安全体系结构和安全模型  18-28
  2.1 安全模型  18-24
    2.1.1 BLP 模型  18-20
    2.1.2 Biba 模型  20-21
    2.1.3 RBAC 模型  21-23
    2.1.4 DTE 模型  23-24
    2.1.5 Chinese Wall 模型  24
  2.2 安全体系结构  24-27
    2.2.1 DTOS 框架  24-25
    2.2.2 GFAC 框架  25-26
    2.2.3 FLASK 体系结构  26-27
  2.3 本章小结  27-28
第三章 SELinux 的研究与分析  28-45
  3.1 基本概念  28-32
  3.2 LSM 访问控制框架及其实现  32-36
    3.2.1 LSM 访问控制框架  33-34
    3.2.2 LSM 的实现  34-36
  3.3 SELinux 介绍  36-39
    3.3.1 简介  36-37
    3.3.2 SELinux 与Flask 体系结构  37-39
  3.4 SELinux 相关模型  39-42
    3.4.1 RBAC 模型  39-40
    3.4.2 TE 模型  40-42
  3.5 SELinux 工作原理  42-43
  3.6 本章小结  43-45
第四章 对SELinux 用户管理方式的改进  45-59
  4.1 Selinux 系统中确定安全上下文身份属性的过程  45
  4.2 存在问题  45-46
  4.3 改进及解决方案  46-48
  4.4 实现  48-58
    4.4.1 PAM 机制分析  48-53
    4.4.2 具体实现  53-58
  4.5 本章小结  58-59
第五章 为selinux 增加安全审计功能  59-75
  5.1 审计的功能和作用  59
  5.2 审计的一些相关概念和内容  59-63
    5.2.1 审计踪迹  59-60
    5.2.2 审计的内容标准  60-61
    5.2.3 审计的格式标准  61-62
    5.2.4 审计点的选择  62-63
  5.3 SELinux 相对传统linux 的内核变化  63-64
  5.4 在SEL i nux 访问控制机制的基础上增加审计机制  64
  5.5 为selinux 添加审计功能  64-70
    5.5.1 审计点的选择  65-67
    5.5.2 审计格式  67-68
    5.5.3 审计踪迹的存储与查询  68
    5.5.4 审计系统的保护  68-69
    5.5.5 安全审计子系统的整体架构  69-70
  5.6 审计功能的实现  70-74
    5.6.1 审计结构  71-72
    5.6.2 用户空间与内核的通信  72-73
    5.6.3 设计审计策略库  73-74
  5.7 本章小结  74-75
第六章 结束语  75-77
  6.1 论文工作总结  75-76
  6.2 今后工作的展望  76-77
参考文献  77-80
致谢  80-81
在学期间的研究成果及发表的学术论文  81

相似论文

  1. 面向SMDA的服务建模方法及工具实现,TP311.52
  2. Windows内核态密码服务接口设计与实现,TP309.7
  3. 嵌入式可信计算机系统安全机制的设计与实现,TP309
  4. 矢量CAD电子图纸保护系统研究,TP391.72
  5. 基于WEB的仿真互操作性测试工具研究,TP391.9
  6. 基于主动方式的恶意代码检测技术研究,TP393.08
  7. 面向Gnutella和eMule网络拓扑测量和安全性分析,TP393.08
  8. 基于功能节点的无线传感器网络多对密钥管理协议研究,TP212.9
  9. 基于LEACH的安全建簇无线传感器网络路由协议研究,TP212.9
  10. 基于比对技术的非法网站探测系统的实现与研究,TP393.08
  11. 医疗信息集成平台中DICOM中间件及访问控制模型的设计与实现,TP311.13
  12. 浙江大明山景区山地户外运动基地建设研究,G895
  13. 黄磷储罐区安全评价方法研究,TQ126.317
  14. 港内拖带钻井平台的通航安全研究,TE951
  15. 基于PDCA的R施工项目安全管理研究,TU714
  16. 土地生态安全评价方法综合应用研究,X826
  17. 土地生态安全评价指标体系研究,X826
  18. 转基因水稻对肉仔鸡饲用安全性研究,S831.5
  19. 畜产品质量安全保障监管RFID系统,TS201.6
  20. 转基因食品中的伦理问题,B82-05
  21. 基于小学生安全教育的教育游戏设计策略研究,G434

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密
© 2012 www.xueweilunwen.com