关于双处理器网络隔离模式的安全客户端系统研究.pdf

摘要 当前Imemet应用己广泛地融入到工作和生活的方方方面，人们在受益其快捷便利的 同时，也遭受到日益严重的网络安全威胁。其中，对网络客户端用户而言，主机的数据信 息安全是尤为重要的一个方面。值得关注的是以Windows作为操作系统的客户端长期受困 于系统的漏洞以及各种基于漏洞的病毒和木马的袭扰，使得客户端上的敏感信息屡屡被网 络黑客窃取。因此，如何在保证系统较高可用性的前提下提升网络客户端主机整体安全水 平是当前网络安全的重要研究方向之一。 本文提出采用主／辅式双处理器、双操作系统的网络隔离架构来解决Windows客户端 的安全问题。在该架构中，主机“X86主核”与板卡(Net、Ⅳork Card， Sec嘶t)，Prevention 工作，通过部署在NSPC上的高安全嵌入式操作系统实施网络安全防护措施，以尽可能避 免Windows客户端由于自身安全弱点、漏洞和后门程序而导致的安全弊端。论文开展的主 要工作如下： 1)提出了一种基于“双处理器、双操作系统”的网络隔离架构，并给出了能够有效 保护客户端主机信息安全安全防护机制； 2)设计了一种基于网络协议的数据包认证技术，对所有流经辅核系统的数据包进行 基于数据分析的流量控制，从而有效防范由外网发起的针对协议漏洞的攻击； Access 3)设计了一种基于进程的访问控制模型PBAC(Process．BaSedConn．01)，该模型 将进程权限从用户权限分离，动态获取并更新进程的安全等级，既能满足最小特权原则， 同时也克服了网络服务的动态性与传统访问控制模型主客体安全标签静态赋值之间的矛 盾。 协议认证模块、访问控制模块和内核服务模块的各项预定功能。 最后，对论文中存在的不足和未来可进一步研究的问题进行了展望。 关键词：客户端安全；双处理器、双操作系统；协议认证；访问控制；PBAC ABSTRACT Intelllet llsed Witllthe ofmenetwork haSbeen inour deVelopment tecllIlology，nle widely me ofⅡ1e moreandmoret11rea_tS dailyliVes．Peoplee坷oy adVantageIntemet，where舔sufrer theteminalhost’s infoma矗on 丘omit．The seIlsitiVe is雠most of sec面够of importantpan net、)~，ork isVaLluablet0benoticedthatusershaVesu髓red矗omlots sec埘够n i11the hasmakentllesensitiVe Vims Windows a11d缸qaIlsexstillg operationsystems，Whjch iIlfo皿ationstolen to t11e ofhostonthe byhackers丘equently．Hence，HowimprcIvesafet)r of oneofthemainresearchdireCtionsofne咖rk premiselli曲aVailabil时