学位论文 > 优秀研究生学位论文题录展示

基于LSM的Linux安全性研究

作 者: 邓明强
导 师: 章勇
学 校: 南京航空航天大学
专 业: 计算机科学与技术
关键词: Linux安全模块 访问控制表 自主访问控制 强制访问控制 基于角色的访问控制 SELinux
分类号: TP316.81
类 型: 硕士论文
年 份: 2011年
下 载: 89次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着计算机的普及,计算机安全成为人们关注的焦点。操作系统作为计算机的基础软件,是计算机系统安全的基石。Linux系统因为其出色的性能和稳定性,以及开源代码带来的灵活性,受到计算机工业界的青睐。Linux安全模块是一个轻量级的访问控制框架,使得各种不同的安全模块能够以Linux可加载内核的方式实现。这为用户带来了很大的方便,用户可以根据自己的需要选择恰当的模块载入到内核中,这也提高了Linux的灵活性和易用性。访问控制是常用的安全防护技术,是信息安全保障机制的核心内容,是实现数据保密性和完整性的主要手段。本文正是利用Linux安全模块实现强制访问控制,达到增强Linux安全性的目的。本文首先对Linux安全模块的设计思想以及实现方法进行了详细的分析,并实验分析了其对系统性能的影响。其次,对访问控制机制进行深入研究。在计算机操作系统中,ACL已经成为实现访问控制模型的流行方法;强制访问控制根据主体与客体的安全级别来控制访问;自主访问控制是根据用户的权限控制访问;基于角色的访问控制是访问控制的一个独立部分,在合适的时候可以与自主访问控制及强制访问控制共存。最后,对已有的强制访问控制实现进行深入分析,给出了一种改进的强制访问控制实现方法,包括详细的设计过程和具体的实现方法。文中实现的强制访问控制有如下优点:访问控制策略内容放于策略配置文件中,便于策略管理员管理;满足最小特权原则,即允许用户拥有完成任务所需的最小权利,这样就减小了因疏忽或侵入者冒充合法用户而导致的损害;支持权限分离。

全文目录


摘要  4-5
ABSTRACT  5-12
第一章 绪论  12-18
  1.1 课题的研究背景  12-15
    1.1.1 操作系统安全是系统安全的基石  12-13
    1.1.2 操作系统面临的威胁  13-14
    1.1.3 操作系统访问控制  14-15
  1.2 研究现状  15-17
    1.2.1 国外研究现状  15-16
    1.2.2 国内研究现状  16-17
  1.3 研究内容  17
  1.4 论文组织  17-18
第二章 Linux 安全模块的分析研究  18-33
  2.1 Linux 的安全性  18-21
    2.1.1 基本概念  18-20
    2.1.2 Linux 中安全相关的系统调用  20
    2.1.3 Linux 中的安全实现  20-21
  2.2 Linux 安全模块的设计难题  21
  2.3 Linux 安全模块的设计  21-23
  2.4 Linux 安全模块的实现  23-29
    2.4.1 不透明安全域  23-24
    2.4.2 钩子函数  24-25
    2.4.3 安全系统调用  25-26
    2.4.4 注册安全模块  26-27
    2.4.5 capabilities 机制  27-28
    2.4.6 一些典型的钩子  28-29
  2.5 LSM 存在的不足之处  29-31
    2.5.1 钩子的位置  29-30
    2.5.2 模块堆叠  30
    2.5.3 安全审计  30-31
  2.6 实验与分析  31-32
  2.7 本章小结  32-33
第三章 访问控制研究与分析  33-46
  3.1 访问控制与其他的安全服务  33-34
  3.2 访问控制矩阵  34-35
  3.3 访问控制矩阵的实现方法  35-37
    3.3.1 访问控制表  35-36
    3.3.2 权能  36-37
    3.3.3 授权表  37
  3.4 访问控制策略  37-44
    3.4.1 自主策略  38-40
    3.4.2 强制策略  40-42
    3.4.3 基于角色的策略  42-44
  3.5 权限管理  44-45
  3.6 本章小结  45-46
第四章 基于LSM 的MAC 模型的设计与实现  46-63
  4.1 已有的MAC 实现  46-50
    4.1.1 MAC 与DAC  46
    4.1.2 SELinux  46-48
    4.1.3 SMACK  48
    4.1.4 AppArmor  48-49
    4.1.5 TuxGuardian  49-50
  4.2 MAC 的设计  50-54
    4.2.1 一些基本概念  50-51
    4.3.2 基本规则  51-52
    4.2.3 结构框架  52-54
  4.3 MAC 的具体实现  54-60
    4.3.1 总体结构  55
    4.3.2 一些重要的数据结构  55-57
    4.3.3 安全模块的构建  57-58
    4.3.4 模块的加载与卸载  58-59
    4.3.5 钩子函数的实现  59-60
  4.4 应用举例与性能分析  60-62
  4.5 本章小结  62-63
第五章 总结与展望  63-65
  5.1 总结  63-64
  5.2 下一步工作展望  64-65
参考文献  65-69
致谢  69-70
在学期间的研究成果及发表的学术论文  70

相似论文

  1. 军校校园网络可靠性和安全性设计与实现,TP393.18
  2. 面向跨域信息交换的访问控制策略可视化分析,TP393.08
  3. 实时嵌入式系统VxWorks安全机制的研究与实现,TP316.2
  4. 多级安全数据库测试技术研究与测试工具设计,TP311.13
  5. 强制访问控制在Windows上实施框架的研究与改进,TP393.08
  6. 基于角色的自主访问控制机制的研究与实现,TP316
  7. 基于角色访问控制策略的委托模型研究,TP393.08
  8. 空间DBMS查询语言及其安全机制研究,TP311.13
  9. 基于Linux的多路入侵探测系统研究与实现,TP393.08
  10. Linux操作系统访问控制安全研究与实现,TP309
  11. SELINUX的研究与改进,TP309
  12. SELinux安全策略分析工具的研究,TP393.08
  13. 基于NETCONF网络管理系统的访问控制机制分析与研究,TP393.07
  14. 达梦数据库强制访问控制机制研究,TP311.13
  15. 基于安全标记的Web应用访问控制技术研究,TP393.08
  16. 面向等级保护的VPN技术研究与设计,TP393.08
  17. SELinux安全策略配置工具的研究,TP393.08
  18. 安全数据库强制访问控制的研究与实现,TP309
  19. 多级安全网络研究,TP393.08
  20. 基于角色访问控制的PMI系统的研究与架构,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机软件 > 操作系统 > 网络操作系统 > UNIX操作系统
© 2012 www.xueweilunwen.com