学位论文 > 优秀研究生学位论文题录展示

SELinux安全策略配置工具的研究

作 者: 田民丽
导 师: 翟高寿
学 校: 北京交通大学
专 业: 计算机科学与技术
关键词: 安全操作系统 强制访问控制 安全策略配置 SELinux
分类号: TP393.08
类 型: 硕士论文
年 份: 2010年
下 载: 89次
引 用: 1次
阅 读: 论文下载
 

内容摘要


操作系统的安全是保证信息系统安全的关键所在,强制访问控制机制的引入,使得操作系统的安全性得到了很大程度的提高。美国国家安全局(NSA)主导开发的SELinux,支持基于角色的访问控制模型、类型增强安全模型以及可选的多级安全模型。SELinux对安全策略配置的依赖性很强,能否有效地实施并保证系统的安全取决于安全策略配置的正确性。然而,SELinux的安全策略配置较为复杂,给Linux用户的安全实施和维护工作带来很大的困难,从而制约着SELinux安全机制的可靠性和可信性。本文研究的目标是SELinux安全策略配置,旨在探索安全策略配置过程可能采用的方法和技术,以减少Linux安全操作员管理安全策略配置的工作量和复杂度,改善SELinux安全机制的实施效果。为此,需从两个方面考虑和入手来具体展开。一方面是如何方便和简化用户构建安全策略配置的操作过程,另一方面是如何保证安全策略配置的正确性和可靠性。论文通过跟踪SELinux相关研究成果,包括SELinux安全体系结构及其所支持的安全模型,特别是对NSA所提供的示例策略的分析,给出了安全策略配置构建的基本流程,形成安全策略配置的基本架构。在此基础上,试图通过向导式的构建方式和语法制导的编辑方式来方便和减少用户的操作。另外,编辑过程中所提供的安全策略配置的可伸缩型树状结构显示机制,可清晰展示安全策略配置源文件乃至安全策略配置项之间的内在联系,实现了用户对特定安全策略描述的快速准确定位。为保证安全策略配置的正确性和可靠性,论文还讨论了访问控制空间的一致性分析检查方法,并考虑在安全策略配置完成甚至进行过程中引入所谓的静态或动态检查机制。论文给出了SELinux安全策略配置工具基本设计方案、关键模块的原型实现以及SELinux安全策略配置的实施过程。最后,对论文相关研究工作进行了总结,提出了对后续工作的一些建议,并对课题下一步的研究方向进行了展望。

全文目录


致谢  5-6
摘要  6-7
ABSTRACT  7-10
1 绪论  10-22
  1.1 课题背景  10-11
  1.2 国内外研究现状  11-19
    1.2.1 安全操作系统研究及发展  11-15
    1.2.2 Linux安全机制发展  15-18
    1.2.3 SELinux发展及研究现状  18-19
  1.3 论文研究内容与技术路线  19-20
  1.4 论文组织结构  20-22
2 Linux安全体系与安全模型  22-30
  2.1 Linux安全体系架构  22-24
  2.2 SELinux安全体系结构  24-26
    2.2.1 Flask整体框架  24-25
    2.2.2 Flask数据类型及支持模型  25
    2.2.3 Flask实施  25-26
  2.3 SELinux所支持的安全模型  26-29
    2.3.1 MLS模型  26-27
    2.3.2 RBAC模型  27-29
    2.3.3 DTE模型  29
  2.4 本章小结  29-30
3 SELinux安全策略描述  30-48
  3.1 SELinux安全策略描述语言  30-32
    3.1.1 原始示例策略配置  30-31
    3.1.2 安全策略描述语言的研究及发展  31-32
  3.2 SELinux安全策略描述框架  32-38
    3.2.1 SELinux安全策略构建与载入  32-33
    3.2.2 示例策略配置一级目录体系  33-35
    3.2.3 示例策略配置安全框架分析  35-38
  3.3 SELinux安全策略规则描述  38-47
    3.3.1 TE规则描述  38-42
    3.3.2 RBAC规则描述  42-45
    3.3.3 安全上下文规则描述  45-47
  3.4 本章小结  47-48
4 SELinux安全策略配置工具设计  48-70
  4.1 总体设计方案  48-50
  4.2 安全策略框架向导式构建模块详细设计  50-54
    4.2.1 TE模块配置向导式构建  51-52
    4.2.2 RBAC模块配置向导式构建  52-54
  4.3 安全策略源文件编辑模块的详细设计  54-59
    4.3.1 语法着色功能  55-56
    4.3.2 语法制导功能  56-59
  4.4 安全策略体系结构化显示模块的详细设计  59-60
  4.5 安全策略一致性检查模块的详细设计  60-69
    4.5.1 策略信息提取子模块  60-62
    4.5.2 策略语义分析子模块  62-63
    4.5.3 访问控制空间构建子模块  63-67
    4.5.4 完整性分析子模块  67-69
  4.6 本章小结  69-70
5 实验方案  70-82
  5.1 关键模块原型实现  70-79
    5.1.1 信息提取模块测试结果分析  72-73
    5.1.2 策略语义分析模块测试结果分析  73-75
    5.1.3 主体访问空间构建模块测试结果分析  75-76
    5.1.4 完整性分析模块测试结果分析  76-79
  5.2 安全策略配置实施环境  79
  5.3 安全策略配置实施过程  79-81
  5.4 本章小结  81-82
6 结束语  82-86
  6.1 论文工作总结  82-83
  6.2 论文成果及创新  83-84
  6.3 研究展望  84-86
参考文献  86-88
附录A 安全策略一致性检查模块数据结构定义  88-90
作者简历  90-94
学位论文数据集  94

相似论文

  1. 实时嵌入式系统VxWorks安全机制的研究与实现,TP316.2
  2. 多级安全数据库测试技术研究与测试工具设计,TP311.13
  3. 强制访问控制在Windows上实施框架的研究与改进,TP393.08
  4. 基于角色的自主访问控制机制的研究与实现,TP316
  5. 基于虚拟机架构的分布式强制访问控制系统,TP393.08
  6. 移动存储设备安全适配器的研究与实现,TP333
  7. SELINUX的研究与改进,TP309
  8. SELinux安全策略分析工具的研究,TP393.08
  9. 基于NETCONF网络管理系统的访问控制机制分析与研究,TP393.07
  10. 基于LSM的Linux安全性研究,TP316.81
  11. SELinux安全策略分析方法的研究,TP393.08
  12. 安全操作系统审计子系统的研究与设计,TP393.08
  13. 达梦数据库强制访问控制机制研究,TP311.13
  14. 基于安全标记的Web应用访问控制技术研究,TP393.08
  15. 安全操作系统混合多策略模型的设计与应用研究,TP393.08
  16. 面向等级保护的VPN技术研究与设计,TP393.08
  17. 访问控制策略语言的研究与设计,TP393.08
  18. 基于有限状态自动机的动态信息流监控研究与分析,TP277
  19. 安全数据库强制访问控制的研究与实现,TP309
  20. 基于可信计算的安全发布技术研究,TP309

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com