基于LSM树的在线监测数据安全存储系统设计

水电厂在线监测数据对于水电厂设备维护方案的制定和实施具有重要的参考作用,一旦泄露或者丢失,造成的损失将是巨大的。为了保证监测数据的安全性,设计基于日志结构合并树(Log-Structured Merge-Tree,LSM树)的水电厂在线监测数据安全存储系统。该系统由硬件接口层、数据传输层以、数据存储层以及安全功能模块层四部分组成。以LSM树为基础设计数据存储模型,当RAM中的存储量达到限值后,将水电厂在线监测数据从微处理器中的内部存储器RAM转移到后者外部磁盘当中,完成数据存储。为存储模型设置三个安全防护模块,在实现数据存储的同时,保证数据的安全性。结果表明,四个磁盘的写入数据大小始终维持在100 kB以上,磁盘存储空间利用率高于90%,由此说明该系统的存储性能较为优越;检测灵敏度系数在1.0以上,密文的敏感度在10以下,说明水电厂在线监测数据安全性较高,实现了安全存储。

基于LSM框架构建Linux安全模块

操作系统安全是信息安全的一个重要方向。Linux安全模块(LSM)为Linux操作系统内核支持多个安全模块提供了有力的支持。首先介绍了LSM的实现机制,详细分析了它的关键技术。然后,以一个具体的安全模块为例,描述了如何使用LSM机制在Linux操作系统中完成一个简单的安全模块的开发。介绍了安全模型构建的过程,并对它的安全性进行了讨论。使用LSM框架可以使得操作系统灵活的支持和采用各种不同的安全策略,提高系统的安全性。

基于LSM架构对Linux文件系统进行安全性增强

Linux内核只提供了经典的UNIX自主访问控制。Linux安全模块(LSM)是Linux内核的一个轻量级通用访问控制框架,它使得各种不同的安全访问控制模型能够以Linux可加载内核模块的形式实现出来。首先对Linux安全模块(LSM)的实现机制和接口进行了介绍,然后提出了一种对Linux文件系统的基于LSM架构的强访问控制增强,同时改进了LSM机制引入了多级安全策略的机制。

LSM框架下可执行程序的强制访问控制机制

分析LSM框架的基本设计思想和Linux系统上原有的可执行程序访问控制机制存在的问题,在此基础上讨论在LSM框架下可执行程序强制访问控制机制的设计。作为验证,基于Linux2.6.11内核实现了一个可执行程序强制访问控制系统原型,对如何在操作系统中实现可执行程序的强制访问控制具有指导意义。

基于Linux安全模块的通用框架研究与实现

给出了LSM安全通用框架的原型构造和实现技术,并以SELinux为例论述了安全通用框架栈式堆叠安全模块,最后分析了通用框架的局限性并提出了改进方法。

Linux Shell安全审计机制的扩展

Unix Shell生成的命令历史记录是系统审计信息的重要来源,但它未能包含检测入侵所需的足够信息,且容易被用户本人篡改.利用可装入内核模块和系统调用劫持技术实现了对Linux Shell安全审计机制的扩展,并给出了用其进行安全监测的例子.

访问控制框架及其在Linux中的应用研究

简要介绍了ISO通用访问控制框架,比较详细地阐述和分析了当前几种主要的访问控制框架理论及其在Linux中的实现,对这几种访问控制框架的相同点和不同点进行了比较,最后指出了这些访问控制框架存在的一些问题及今后的发展趋势。

基于LSM框架的审计系统的设计与实现

LSM是Linux系统的通用访问控制框架,在安胜安全操作系统V4.0中,我们在这一访问控制框架的基础上做了适当的扩展并设计实现了安全审计系统.该安全审计系统与安胜安全操作系统V2.0的审计系统相比,性能得到了很大的提高.另外,隐蔽通道会绕过系统的安全策略来进行非法的数据流传输,我们在审计系统中进行了实时检测和报警.

基于Linux驱动级内核访问监控技术研究与实现

针对POSIX.1e标准的权能模块的缺陷进行了改进,在Linux内核安全模块(LSM)框架基础上,加载改进的模块,对操作系统内核层进行监听和控制处理,完成进程信任状特权仲裁、安全i节点(i-node)操作、信息队列反馈等一系列操作,最后调用字符设备反馈监控信息到应用层进行安全控制处理。实验表明,改进方案与加载原有权能模块Linux内核的方法相比,不仅在系统的运行效率、监控的正确率和系统扫描覆盖率上有所提高,而且在系统资源占用率等多项指标中都显示其具有良好的监控性能。

基于LSM的轻量级透明加密设计与实现

为了防止数据失窃需要对敏感数据进行加解密处理,提出一种基于Linux安全模块框架的轻量级透明加密方法。该方法主要是对文件进行写操作时,使用LSM钩子实现对文件的加密操作;当用户试图读取文件时触发内核读系统调用服务例程并在该例程中实现文件的解密操作。测试结果发现基于LSM的透明加密在确保数据安全的情况下对读写性能影响不大。

基于Linux的强制访问控制研究

本文围绕安全操作系统中强制访问控制部分的理论和研究,自行构建了Linux系统的强制访问控制机制。该机制支持BLP修改模型的多级安全策略,其构建参考了GFAC和LSM等访问控制模型。内容包括总体设计思路、安全策略和安全信息的形式化、关键函数的实现等。

支持增强Linux安全性的多个安全策略模型的统一框架(英文)

首先分析Linux系统中两种主要安全机制的局限性.然后,给出SECIMOS的构建,简介了各个安全策略模型及其实现模块,并描述结合多个安全模块的方法.最后,给出了SECIMOS的性能参数和与其他安全项目之间的比较.

Linux系统可加载内核模块安全应用研究

介绍了Linux系统可加载内核模块机制(LKM)的用途、特点以及编写方法。提出了利用LKM提高系统安全性能以及防范攻击者利用LKM对系统进行入侵的措施。

一种基于LSM的数据源在异常检测中的应用

针对异常检测中的数据源选择、行为描述、正常行为学习和行为匹配,提出了一种新的基于安全模块的数据源。为验证其有效性,采用基于信息理论的数据分析和马尔可夫模型两种方法,并与目前较多采用的系统调用数据源作了对比。实验结果表明,新数据源有效,且在一定条件下,比系统调用数据更具优势。

基于LSM的安全访问控制实现

LSM是Linus Torvalds提出来的支持多种安全策略的底层架构。而细粒度的自主 访问控制和强制访问控制是安全操作系统中必不可少的一部分。文章介绍了LSM项目的结构 与设计，并以此为基础讨论了细粒度的自主访问控制和强制访问控制在其上的实现。

Linux系统内核的沙箱模块实现

文中实现了一种基于Linux内核模块的沙箱安全系统。用户可以将Linux系统中的应用程序放置在受控的沙箱中运行 ,将其与系统其它部分隔离 ,从而可以防御潜在的攻击 ;或者当应用程序被攻击时 ,限制入侵者的破坏范围。这个沙箱系统作为Linux内核模块实现 ,可以在不改变原有系统内核和应用程序的情况下部署运行 ,增强了操作系统的安全性能。

利用LSM框架实现基于角色的访问控制

传统的L inux操作系统只提供有限的访问控制机制,缺乏对现有访问控制模型的有效支持,为了克服L inux在安全访问控制方面的不足,增强安全管理的灵活性和易用性,本文深入研究了LSM(L inux SecurityModu le)安全访问框架和基于角色的访问控制(RBAC-Role-Based Access Control)技术,提出了一种利用LSM框架实现RBAC的方法,并详细讨论了在L inux环境中有关实现问题。

Linux安全模块框架的研究和安全日志的实现

Linux安全模块(LSM)是为主流Linux内核设计的一种轻量级、通用的访问控制框架,它提供了内核级的编程接口,已有多种不同的访问控制模型可以装载内核模块的形式在LSM框架上实现。对LSM的工作机制进行了研究,并实现了安全日志策略。

通用访问控制框架LSM的研究

由于用户安全需求的多样性与复杂性,如何构建一个支持多安全策略的访问控制框架成为操作系统安全的焦点。Linux安全模块是一种新的通用访问控制框架,它为用户定制自己的安全模块提供了一个通用接口。文中通过研究通用访问控制框架的发展历程,详细论述了LSM访问控制框架的原理,及如何在LSM下编写自己的安全模块。

基于框架的Linux安全增强开发技术

基于框架开发软件有助于复用代码 ,提高开发效率和质量。对 LSM( Linux Security Module)和 RS-BAC( Rule Set Based Access Control)实现的 GFAC( Generalized Framework of Access Control)框架进行了分析 ,修改并扩充了 RSBAC的 GFAC框架并将其应用于 Linux安全增强操作系统的开发 。