安全linux访问控制机制分析与实现机械制造及其自动化专业论文.docxVIP

摘要摘要 摘要 摘要 随着计算机及网络技术的高速发展，信息技术在给人们工作、生活带来方 便的同时，也带来了信息安全方面的威胁。日前有多种信息安全技术，其中操 作系统是基础。由于Linux的源码开放性，本文以Linux为基础设计并实现安 全操作系统，主要提高其在访问控制方面的安全性。 本文首先说明了现有系统在访问控制方面的缺陷及其改进方法，重点论述 j，系统的设计方案、关键技术以及功能模块的设计与实现，在结尾处讲述系统 的管理配置过程，对系统的优缺点进行了总结，指出了安全操作系统的发展方 向。 Linux在访问控制方面存在如下缺陷：超级用户的权利太大，可以做一切 事情；文件系统访问控制力度不够，系统上的重要文件可以很容易地被修改； 进程也不能够很好地得到保护，关键服务容易被非法终止或删除；基于保护位的 自主型访问控制，难于基于单个用户制定全局性的安全策略。 为了克服这些缺陷，提高系统安全性，本系统在“nu)(原有访问控制机制 之上，增加一层访问控制。它通过修改安全相关的系统调用，在内核级动态地 截获访问请求，然后，根据安全管理员制订的访问控制策略，判断请求的操作 能否执行，从而实施增强的访问控制，控制系统中用户特别是超级用户的访问 权限，增强对系统资源主要是文件和进程的保护。 本系统在考虑系统功能的同时，注意了体系结构的设计。它基于通用访问 控制框架GFAc设计，将访问控制决策和访问控制实施分离，两者之间通过接口 通信，可以灵活的修改或增加访问控制模型，而无需修改策略实施部分，使系 统容易扩展。因为系统中只有策略实施模块与操作系统相关，具有可移植性。 本系统由如下四个模块组成：其一，文件系统访问控制增强模块。通过在 VFs层设计数据结构保存AcL信息，并修改vFs层文件系统相关的系统调用， 在核心层实现AcL模型，加强文件安全性，实现权限集中管理，限制root权限， 使用文件隐藏技术保护关键文件和目录；其二，进程保护模块。本系统使用并扩 展了Linux权能机制，用于支持进程保护，保护进程不被非法杀死，并将进程 隐藏，降低被攻击的可能性，具体是通过修改进程相关的系统调用实现的；其 北京工业大学丁学硕Ij学位论文?，自身保护模块。该模块采用内核密封技术和系统锁定技术，保证系统本身 北京工业大学丁学硕Ij学位论文 ?，自身保护模块。该模块采用内核密封技术和系统锁定技术，保证系统本身 的安全性；其四，配置管理工具。为了便于安全管理员配置安全策略，管理配 臀系统，该模块提供策略配置工具和系统管理工具。 本系统的实现过程基于Linu)(安全模块框架，不仅简化了实现过程，还使 系统接口标准化，便于系统维护和移植。具体的模块功能是通过编写Linux内 段模块实现的，它使访问控制增强功能与原有系统无缝集成，保证系统安全性、 两效率、用户透明性。 关键字：Linux、安全操作系统、访问控制、AcL 摘簧Abstract 摘簧 Abstract With tho development of computer seience and network techn0109v， i nformation technology makes people’s work and life more and more conveni ent． an蠢at the$a疆e t自嚣e threatens the securitv o}information。 Up to now， many information securi Ly techn0109ies have been developed co protect the information from destroying，loaking，or unavailability， soeure operating system is the basis of a11 of them．The thesis designs a11d imDlements a secure OS based on Linux which is free and oDen with ￡}1e goal of i攥proving tbe security in aeeess eontrol。 T}1e paper firstly points out the l imitations of current l，inux in access e(》ntroi and the捺e专hod专o overco疆e them， then e孺phasizes on e毛曼borating system architecture design， key technologies， the design and i玳plementation of