论文摘要
操作系统的安全是整个信息系统安全的基础。研究和开发安全的操作系统是提高计算机信息系统安全性的重要手段,具有重要意义。安全增强Linux(SELinux)是Flask强制访问控制体系结构在Linux中的实现。它可以根据系统的安全需求对安全策略进行配置,从而突破了传统的强制访问控制灵活性不足的局限。SELinux对于我们研究和开发自主版权的安全操作系统具有很好的参考价值和借鉴意义,有必要对其进行分析和相关研究。 本文首先介绍和详细分析了SELinux强制访问控制机制相关方面的内容(主要包括SELinux概述、SELinux访问控制机制和SELinux中安全服务器的实现等)。在此基础上,主要进行了如下两部分工作: 1.通过将Linux组的概念引入SELinux,对SELinux的用户管理进行了改进与实现。解决了SELinux中用户间分配相同角色集的分配方式不灵活及用户在不同角色集之间的转换方式不灵活且容易产生不安全因素的问题。 2.通过对SELinux与IPsec的集成进行研究,实现了SELinux在网络访问控制方面尚未实现的对IP数据包进行标记并根据标记对数据包进行相应控制的功能。主要分为两步:1)通过借助于IPsec,设计并实现了根掘安全策略对IP数据包进行标记的功能;2)通过在内核中增加LSM钩子函数、在SELinux安全模块中增加对这些钩子函数的具体实现和增加相应的SELinux安全策略实现了根据数据包的标记对其收发进行控制的功能。