本文是一篇硕士论文,撰写硕士论文将对作者提出更高的要求——数据资料翔实充分、论证分析详尽缜密、推理演算思路清晰、论文结构规范清晰、专业词汇运用准确。(以上内容来自百度百科)今天为大家推荐一篇硕士论文,供大家参考。
第一章 绪论
1.1课题研究背景及意义
近年来,信息技术在政治、军事、经济和文化等各个领域不断渗透和推陈出新,正深刻改变着人类社会的运作方式和发展模式,驱动着各行各业快速实现转型和创新,催生了一大批新兴产业,促进了我国生产力发展和综合国力的提升。正是由于政务、军事、交通和金融等行业与信息化的深度耦合,使它们严重依赖信息技术,因此重要信息系统、基础信息网络和信息化融合安全是国家安全的重要组成部分,而桌面操作系统作为支撑信息化的重要基础软件[1],如何增强它的安全已成为确保信息化安全的一个十分重要而紧迫的课题,对促进信息化朝更快更好方向发展具有十分重要的意义。 桌面操作系统作为基础软件,被广泛应用于军事指挥控制系统、各行业办公系统、软件开发、多媒体设计、平面设计,以及个人学习、购物和娱乐等,是个人计算机必备的系统软件。据中国互联网络信息中心发布的《第 39 次中国互联网络发展状况统计报告》[2],全国使用台式机或笔记本电脑办公的企业比例达到了 99.0%,全国 7.31 亿网民通过台式电脑和笔记本电脑上网的比例分别为 60.1%和 36.8%,主要用于网上办公、网络社交、网络搜索、新闻浏览、网络游戏、网上购物和网络理财等,由此可见桌面操作系统用户众多且用途广泛,但报告指出全国感染过病毒木马程序的台式机和笔记本达到 2.47 亿台,且它们每月受病毒木马程序影响的数量平均在 4000 万到 5500 万之间,同时用户遭遇网上欺骗、病毒木马感染、账号密码被盗和个人隐私泄露等安全事件的比例分别达到了 39.1%、36.2%、33.8%和 32.9%,因此保护用户数据信息和上网安全已迫在眉睫,而作为处理和管理用户数据信息的桌面操作系统,对它的安全加固又显得尤其重要和紧迫。 桌面操作系统作为一个通用计算平台,包含各种各样的服务和软件,这使得系统异常复杂臃肿且漏洞频发,通过对美国国家漏洞数据库(National Vulnerability DataBase)中关于操作系统和相关应用程序出现的漏洞情况进行统计,分析发现它们主要遭遇的漏洞包括代码注入漏洞[3]、信息泄露漏洞[4]、权限许可与访问控制漏洞[5]、缓冲区错误漏洞和配置错误漏洞[6]等,具体统计数据如图 1.1 所示。
........
1.2国内外研究现状
通过对国内外同行在桌面操作系统安全研究领域的工作进行分析,得出对桌面操作系统进行安全增强的研究工作主要可分为三种类型,一是通过设计面向桌面操作系统的访问控制机制来增强其安全,进行形式化理论研究和非形式化研究,如设计安全增强架构,构建安全模型,并制定相应的安全策略。在技术层面,不断更新系统的漏洞补丁、部署安全防御软件、采用新的安全技术对系统进行安全增强。 访问控制[7]是桌面操作系统实施资源保护的重要措施,可分为自主访问控制机制[8]、强制访问控制机制[9]和基于角色的访问控制机制[10],其基本任务是在对主体进行识别和认证的基础上,判断主体是否允许访问客体,并以此限制主体对客体的访问。目前访问控制相关研究主要集中在三方面:1)访问控制策略,根据具体安全需求所指定的资源访问相关的限制和约束;2)策略描述,把安全策略以形式化方法描述和表示;3)策略支持结构,即在系统中如何实现具体的访问控制策略。 从授权方式上讲,访问控制策略简单分为两类:自主式策略和强制式策略。自主访问控制[11]是系统中的进程、文件、IPC 客体被赋予了一定的安全属性,这些安全属性一旦被赋予是不能被改变的,在主体访问客体时,基于它们的安全属性做出访问控制决策,自主式策略已在流行桌面操作系统(如 Unix、WindowNT 等)中得到广泛使用,但是自主式策略资源管理权限比较分散,信息容易泄露,难以抵御特洛伊木马的攻击。强制访问控制机制[12]是在自主访问控制的机制下,系统中的其他用户对文件的访问权可以由文件的拥有者按照自己的意愿精确定制。基于角色的访问控制[13]是对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合,每一种角色对应一组相应的权限,一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。
.........
第二章 相关技术研究
针对现有桌面操作系统的数据安全防护能力弱的问题,国内外学者提出了众多的解决方案,大致可以划分为三类。第一类方案通过建立安全模型来控制对用户数据的非授权访问,如 BLP 模型、Biba 模型、DTE 模型和中国墙模型等,还有由它们组成的混合模型。第二类方案是通过软硬件安全机制来保护数据不被非法访问,如可信计算技术、虚拟化技术和 DEP 技术等。第三类方案通过密码学手段来保护数据的安全,如 PGP、TrueCrypt 等存储加密工具。但安全和易用总是一对矛盾的存在,如 Linux 安全模块 SELinux 能很好保护数据的完整性和机密性,但由于其策略复杂,某些合法的访问也被阻止,导致人们常常禁用该安全模块,从而难以达到增强系统安全的目的。为了能够清楚的了解本文的研究内容,本章将讲述与后面章节相关的一些基本概念和相关技术。
2.1操作系统安全理论
总的来讲,访问控制是计算机安全的重要基础,访问控制机制在用户(或代表用户执行的进程)与系统资源(如应用、桌面操作系统、防火墙、路由器、文件和数据库)之间工作。访问控制策略的目的不同,访问控制的策略也就各不相同,但不管访问控制的策略是什么样的,访问控制策略的含义都是在什么样的情况下谁允许什么类型的访问,访问控制策略的分类如下: (1)自主访问控制[46](Discretionary Access Control,DAC):是访问控制实现的传统方法。它的实现是根据请求发出者的身份和访问规则来实现控制访问的目的,限定了请求发出者能够(或不能够)做什么。“自主”的意思说明在这种访问方式中,一个实体被赋予按照自己的需求和意愿授予另一个实体访问某些资源的权限。 (2)强制访问控制[47](Mandatory Access Control,MAC):它的概念来源于军事信息安全需求,通过实体能够拥有访问某种资源权限的安全标识来实现访问控制。“强制”的意思说明在这种访问控制方式中,一个有权限访问某些资源的实体不能按照自己的需求或意愿授予另一个实体这些权限。 (3)基于角色的访问控制[48](Role-Based Access Control,RBAC):在系统中,根据用户被赋予的角色及角色被赋予的访问权限实现的访问控制。 (4)基于属性的访问控制[49](Attribute-Based Access Control,ABAC):基于用户、被访问资源及当前环境条件来控制访问。
...........
2.2 Docker容器系统
2.2.1 Docker关键技术
Docker 是一个开源的容器引擎,能够使任何软件应用程序的包装、运输和部署自动化。Docker 容器包含软件组件所有的依赖项(如二进制文件、库、配置文件、脚本、jar 等),这意味着 Docker 容器是轻量、便携、在需要时能够实现随装随用。对用户来说,Docker是一个 C/S 模式的架构,但在 Docker 的后端它的架构是松耦合的,Docker 容器启动时,它架构中的各个模块配合默契、各尽其职,同时支撑 Docker 的正常运行。 每个用户之间彼此隔离,互不影响。一般硬件虚拟化方法给出的方案是虚拟机,而 LXC给出的方法是 Container 容器,进一步来说就是使用内核命名空间(kernel namespace)[67]。内核命名空间中通过将容器中的进程(pid)、网络(net)、进程间通信组(ipc)、挂载点(mnt)、主机名与域名(uts)、用户与用户组(user)隔离开。 PID namespace。采用对进程重新生成标号的方法达到隔离效果是比较实用的。相同PID 的进程可以同时存在于两个不同的命名空间中。每个进程命名空间中均有属于自己的一套计数程序,可以有效的为所有的命名空间维护它们的树状结构。树状结构当中的父节点可以查看其子节点的内容,而子节点不可以查看父节点的内容。PID 可以使每个容器有一个标号为 1 的进程,它可以终止命名空间中的所有进程,若出现不安全信息时,管理员通过启动它关闭所有的容器。Network namespace。PID namespace 使每个 namespace 中的 PID 彼此隔离,然而网络端口还是被共享的,网络隔离是通过 Net namespace 实现的,每个 Net namespace 有独立的文件目录,这样每个容器的网络就能隔离开来[68]。Docker 自身用 veth 的方式将容器中的虚拟网卡同主机上的一个 docker 网桥:docker 0 连接在一起。 #p#分页标题#e#
..........
第三章 基于容器的桌面系统安全增强架构CellPlatform ......... 27
3.1 桌面系统安全需求与假设 ...... 27
3.2 CellPlatform 总体架构............. 29
3.3 面向操作系统的多域隔离安全架构 CellOS ............ 31
3.3.1 总体架构 ........ 31
3.3.2 CellOS 安全模块 ....... 33
3.4 桌面应用仓库 CellStore .......... 31
3.5 本章小结 ............ 37
第四章 基于最先访问的多域隔离安全模型 ......... 39
4.1 MISMBFA 安全目标 .... 39
4.2 MISMBFA 模型相关定义 ....... 39
4.3 MISMBFA 安全特性 .... 40
4.4 MISMBFA 安全标识管理 ....... 40
4.5 MISMBFA 安全状态转换规则 .......... 42
4.6 MISMBFA 的安全性定理证明 .......... 43
4.7 本章小结 ............ 45
第五章 桌面应用镜像安全防护机制 .......... 47
5.1 安全性需求分析 ........... 47
5.2 镜像的安全威胁分析 .............. 47
5.3 桌面应用仓库的安全防护架构 SecImage .............. 48
5.4 镜像隐私保护 .... 49
5.5 镜像传输安全协议 ....... 51
5.6 本章小结 ............ 53
第六章 CellPlatform 原型系统实现及分析
为有效验证本文 CellPlatform 架构、MISMBFA 安全模型和桌面应用仓库及其安全防护架构 SecImage 的正确性和安全性,本章阐述基于 XUbuntu 和 Docker 实现的 CellPlatform原型系统,并通过实验分析 CellPlatform 原型系统的性能和安全性。实验结果表明,CellPlatform 原型系统的性能稍逊色于 XUbuntu 系统,但这些性能损耗在可忽略的范围内,但 CellPlatform 原型系统在应用程序运行效率方面显然优于 XUbuntu,且其安全性明显增强。
6.1 CellPlatform原型系统实现
CellPlatform 原型系统基于 Ubuntu 的衍生版 XUbuntu16.04 和先进的容器虚拟化系统Docker 1.10 开发而成,能支持 X86 和 ARM 等主流 CPU 架构。由于 XUbuntu 具有稳定性高、界面友好和简洁灵巧等特点,其采用的 Xfce 桌面环境易于定制开发,同时 Docker 具有启动速度快、资源占用少和镜像管理灵活高效等特点,非常契合 CellPlatform 架构设计思想,并具备原型系统实现的良好技术基础,因此基于 XUbuntu 和 Docker 进行原型系统开发。 在 CellPlatform 中,每一个应用程序均运行在相互隔离的容器中,但容器系统 Docker通常用于部署 WEB 服务、数据库服务、应用开发工具等无 GUI 的系统软件或应用软件,因此如何在容器中运行 GUI 程序是 CellPlatform 原型系统必须解决的问题。本文基于 X 视图系统来实现在统一桌面环境中显示各容器运行的 GUI 应用程序。X 视图系统采用 C/S 架构,其服务端程序运行在进行视窗展示和人机交互的主机上。其有两种工作模式,在第一种模式中,客户端和服务端程序均运行在同一台主机上;在第二种模式中,客户端运行在远程的主机上,通过网络连接运行在本地主机上的服务端程序,该模式通过网络连接客户端和服务器,对网络传输要求甚高。本文采用第二种模式实现桌面统一化,其服务端运行在主机中,客户端运行在位于同一台主机的容器中,客户端和服务端基于 Unix 套接字实现视图数据和事件信息传输,其架构如图 6.4 所示。
..........
总结
本文主要针对桌面操作系统的安全增强展开研究,主要工作及创新点总结如下:
1.设计了基于容器的桌面系统安全增强架构 CellPlatform。在桌面操作系统 XUbuntu的基础上,基于容器系统 Docker 设计了桌面系统安全增强架构 CellPlatform。CellPlatform从操作系统平台和应用平台两个方面来增强桌面系统安全,CellPlatform 由两部分构成:1)面向操作系统的多域隔离安全架构 CellOS,其利用轻量级虚拟化技术增强应用之间的隔离性和精简系统组成,减小了系统攻击表面,同时基于访问控制模型实现业务流隔离和多级安全访问控制,保证桌面操作系统中数据的安全;2)增强应用镜像安全的桌面应用仓库CellStore,保证了桌面应用镜像的机密性、完整性和可信性,从而减小了对桌面系统的安全威胁。
2.构建基于最先访问的多域隔离安全模型 MISMBFA,并基于该模型实现了 CellOS的访问控制模块 CellController。在域型模型 DTE、多级安全模型 BLP 和中国墙模型的安全思想基础上,结合应用容器的访问行为和业务属性构建了 MISMBFA,来隔离归属不同业务的应用程序之间的信息流,并阻止高安全级到低安全级的信息流动。在 MISMBFA 中,主体和客体根据它们的业务属性被划分到各业务域,客体的安全级别是根据其敏感程度和重要程度来决定,主体的安全级由其初始安全级或最先访问的客体的安全级决定,并以保证系统业务隔离性和保密性为目的实施访问控制决策。
3.提出了桌面应用镜像隐私和完整性保护机制。针对私有桌面应用镜像的隐私保护需求,设计了镜像分量加密的方案来保护桌面应用镜像中包含的用户数据文件或配置信息,同时设计了镜像传输安全协议来保证桌面应用镜像在发布和下载的整个生命周期内的完整性和可用性,防止被恶意篡改的桌面应用镜像威胁桌面系统的安全。
..........
参考文献(略)
