| 1 绪论 | 第1-19页 |
| ·背景 | 第11-12页 |
| ·课题来源 | 第12页 |
| ·国内外研究应用现状 | 第12-16页 |
| ·本文工作 | 第16-17页 |
| ·论文结构 | 第17-18页 |
| ·小结 | 第18-19页 |
| 2 安全操作系统概论 | 第19-44页 |
| ·计算机安全威胁 | 第19-23页 |
| ·计算机安全的基本需求 | 第19-20页 |
| ·保密性要求 | 第19页 |
| ·完整性要求 | 第19页 |
| ·可用性要求 | 第19-20页 |
| ·可控性要求 | 第20页 |
| ·可审查性要求 | 第20页 |
| ·安全威胁的主要来源 | 第20-21页 |
| ·软件设计和实现的缺陷和漏洞 | 第21页 |
| ·计算机系统配置和操作不当 | 第21页 |
| ·安全威胁的主要方法 | 第21-23页 |
| ·非授权访问 | 第21-22页 |
| ·破坏数据完整性 | 第22页 |
| ·拒绝服务攻击 | 第22页 |
| ·陷门 | 第22-23页 |
| ·特洛伊木马 | 第23页 |
| ·基本概念和术语 | 第23-25页 |
| ·安全操作系统的重要性 | 第25-27页 |
| ·计算机安全 | 第25-26页 |
| ·安全操作系统的定义 | 第26页 |
| ·安全操作系统的重要性 | 第26-27页 |
| ·安全评价标准 | 第27-42页 |
| ·概述 | 第27-29页 |
| ·可信计算机系统评价标准(TCSEC) | 第29-32页 |
| ·D类安全等级 | 第29-30页 |
| ·C类安全等级 | 第30页 |
| ·B类安全等级 | 第30-31页 |
| ·A类安全等级 | 第31-32页 |
| ·通用信息技术安全评价标准(CC) | 第32-39页 |
| ·介绍和通用模型 | 第32-34页 |
| ·安全功能需求 | 第34-35页 |
| ·安全保证需求 | 第35-39页 |
| ·中国计算机信息系统安全评价标准 | 第39-42页 |
| ·第一级 用户自主保护级 | 第39页 |
| ·第二级 系统审计保护级 | 第39-40页 |
| ·第三级 安全标记保护级 | 第40-41页 |
| ·第四级 结构化保护级 | 第41-42页 |
| ·第五级 访问验证保护级 | 第42页 |
| ·小结 | 第42-44页 |
| 3 安全操作系统的基本原理 | 第44-54页 |
| ·概述 | 第44-45页 |
| ·引用监视器与安全核 | 第45-46页 |
| ·安全核与TCB | 第46-48页 |
| ·安全核的设计原则 | 第48-50页 |
| ·信息保护机制的设计原则 | 第48-49页 |
| ·安全核的设计原则 | 第49-50页 |
| ·安全操作系统的设计方法 | 第50-53页 |
| ·分离法(虚拟机法) | 第51页 |
| ·安全核法(改进/增强法) | 第51-52页 |
| ·仿真法 | 第52-53页 |
| ·小结 | 第53-54页 |
| 4 安全机制 | 第54-98页 |
| ·概述 | 第54页 |
| ·硬件系统的安全机制 | 第54-58页 |
| ·内存保护 | 第54-55页 |
| ·运行域保护 | 第55-57页 |
| ·I/O保护 | 第57-58页 |
| ·软件系统的安全机制 | 第58-97页 |
| ·标识与鉴别机制 | 第58-63页 |
| ·定义 | 第58-59页 |
| ·标识与鉴别的基本要求 | 第59-60页 |
| ·简单口令机制 | 第60页 |
| ·令牌口令机制 | 第60页 |
| ·Linux的PAM机制 | 第60-63页 |
| ·Windows NT/2000的SAM机制 | 第63页 |
| ·访问控制机制 | 第63-72页 |
| ·主体 | 第64页 |
| ·客体 | 第64页 |
| ·主体和客体的安全属性 | 第64-67页 |
| ·自主访问控制 | 第67-69页 |
| ·强制访问控制 | 第69-71页 |
| ·新型访问控制技术 | 第71-72页 |
| ·最小特权管理机制 | 第72-74页 |
| ·原理 | 第72页 |
| ·应用 | 第72-74页 |
| ·可信通路机制 | 第74-75页 |
| ·原理 | 第74页 |
| ·安全注意键 | 第74-75页 |
| ·隐通道的分析与处理 | 第75-90页 |
| ·隐通道的定义 | 第75-76页 |
| ·隐通道的分类 | 第76-79页 |
| ·隐通道的分析方法 | 第79-81页 |
| ·隐通道的分析工具 | 第81-83页 |
| ·隐通道带宽评估 | 第83-85页 |
| ·隐通道的处理 | 第85-90页 |
| ·安全审计机制 | 第90-97页 |
| ·安全审计系统的一般要求 | 第91页 |
| ·安全审计系统的通用模型 | 第91-92页 |
| ·审计事件 | 第92-93页 |
| ·审计记录 | 第93-95页 |
| ·安全审计的方式 | 第95页 |
| ·审计追踪(审计分析) | 第95-97页 |
| ·小结 | 第97-98页 |
| 5 安全策略模型 | 第98-117页 |
| ·概述 | 第98页 |
| ·安全策略分类 | 第98-99页 |
| ·安全策略模型 | 第99-113页 |
| ·状态机模型 | 第99-101页 |
| ·BLP模型 | 第101-103页 |
| ·Biba模型 | 第103-105页 |
| ·面向主体的低水标策略 | 第103页 |
| ·面向客体的低水标策略 | 第103-104页 |
| ·低水标完整性审计策略 | 第104页 |
| ·环策略 | 第104页 |
| ·严格完整性策略 | 第104-105页 |
| ·Clark-Wilson模型 | 第105-108页 |
| ·Chinese Wall模型 | 第108-109页 |
| ·RBAC模型 | 第109-111页 |
| ·其它安全策略模型 | 第111-113页 |
| ·信息流模型(Flow Model) | 第111-112页 |
| ·无干扰模型(Noninterference Model) | 第112页 |
| ·DTE模型 | 第112-113页 |
| ·安全策略模型的实现方法 | 第113-116页 |
| ·System V/MLS方法 | 第113页 |
| ·Lipner方法 | 第113-114页 |
| ·Karger方法 | 第114-116页 |
| ·小结 | 第116-117页 |
| 6 多级安全策略框架 | 第117-130页 |
| ·概述 | 第117页 |
| ·GFAC框架 | 第117-120页 |
| ·DGSA框架 | 第120-122页 |
| ·DTOS框架 | 第122-124页 |
| ·Flask框架 | 第124-129页 |
| ·小结 | 第129-130页 |
| 7 Linux的安全性分析 | 第130-152页 |
| ·概述 | 第130-131页 |
| ·Linux的安全机制 | 第131-136页 |
| ·标识与鉴别机制 | 第131页 |
| ·安全注意键 | 第131-132页 |
| ·LKM机制 | 第132页 |
| ·能力机制 | 第132-133页 |
| ·日志系统 | 第133-135页 |
| ·防火墙机制 | 第135-136页 |
| ·Linux的安全缺陷 | 第136-138页 |
| ·Linux安全模块-LSM | 第138-151页 |
| ·Linux安全模块介绍 | 第138-139页 |
| ·设计原则和要求 | 第139页 |
| ·体系结构 | 第139-142页 |
| ·实现方法介绍 | 第142-148页 |
| ·不透明的安全域 | 第143-144页 |
| ·安全钩子函数的调用 | 第144-146页 |
| ·安全系统调用 | 第146页 |
| ·安全模块的注册 | 第146-147页 |
| ·Capabilities | 第147-148页 |
| ·钩子函数介绍 | 第148-151页 |
| ·任务钩子函数 | 第148页 |
| ·程序加载钩子函数 | 第148-149页 |
| ·IPC钩子函数 | 第149页 |
| ·文件系统钩子函数 | 第149-150页 |
| ·网络钩子函数 | 第150页 |
| ·其它钩子函数 | 第150-151页 |
| ·小结 | 第151-152页 |
| 8 基于Linux的安全操作系统模型及其实现 | 第152-162页 |
| ·概述 | 第152页 |
| ·体系结构 | 第152-154页 |
| ·具体实现 | 第154-160页 |
| ·定制安全的Linux内核 | 第154-155页 |
| ·安全层模块的实现 | 第155-159页 |
| ·ADSL模块的实现 | 第159-160页 |
| ·限制与不足 | 第160-161页 |
| ·小结 | 第161-162页 |
| 9 结束语 | 第162-165页 |
| 附录1 作者研究生阶段科研经历 | 第165-166页 |
| 附录2 作者研究生阶段论文发表情况 | 第166-167页 |
| 独创性声明 | 第167-168页 |
| 致 谢 | 第168-169页 |
| 参考文献 | 第169-173页 |