| 基金资助 | 第1-7页 |
| 中文摘要 | 第7-9页 |
| 英文摘要 | 第9-11页 |
| 目录 | 第11-15页 |
| 图表目录 | 第15-17页 |
| 第一章 引言 | 第17-27页 |
| 1.1 研究背景 | 第17-21页 |
| 1.1.1 计算机安全的问题分析 | 第17-18页 |
| 1.1.2 安全操作系统的发展趋势 | 第18页 |
| 1.1.3 计算机安全评价标准概况 | 第18-20页 |
| 1.1.4 基于TCSEC标准的模式之问题 | 第20-21页 |
| 1.2 研究主题及目标 | 第21-22页 |
| 1.3 论文的主要贡献 | 第22-24页 |
| 1.4 论文的组织结构 | 第24-27页 |
| 第二章 安全操作系统研究的发展 | 第27-59页 |
| 2.1 发展阶段划分方法 | 第27-28页 |
| 2.2 奠基时期 | 第28-37页 |
| 2.2.1 萌芽与访问控制抽象 | 第28-29页 |
| 2.2.2 引用监控机和安全核 | 第29-31页 |
| 2.2.3 隐通道与BLP模型 | 第31-32页 |
| 2.2.4 保护机制结构与设计原则 | 第32-33页 |
| 2.2.5 操作系统保护理论 | 第33-35页 |
| 2.2.6 系统设计和开发 | 第35-37页 |
| 2.3 食谱时期 | 第37-44页 |
| 2.3.1 第一个计算机安全评价标准 | 第37-38页 |
| 2.3.2 LINUSIV系统的开发 | 第38-39页 |
| 2.3.3 安全Xenix系统的开发 | 第39-41页 |
| 2.3.4 SystemV/MLS系统的开发 | 第41-42页 |
| 2.3.5 安全TUNIS系统的开发 | 第42-43页 |
| 2.3.6 ASOS系统的开发 | 第43-44页 |
| 2.4 多政策时期 | 第44-49页 |
| 2.4.1 国防部目标安全体系结构DGSA | 第44-45页 |
| 2.4.2 多政策环境中的安全政策支持范型 | 第45-47页 |
| 2.4.3 基于Mach的DTOS安全操作系统 | 第47-49页 |
| 2.5 动态政策时期 | 第49-53页 |
| 2.5.1 基于Fluke的Flask安全操作系统 | 第50-52页 |
| 2.5.2 基于Linux的SE-Linux安全操作系统 | 第52-53页 |
| 2.6 中国的安全操作系统研究开发工作 | 第53-54页 |
| 2.7 相关工作 | 第54-55页 |
| 2.8 本章小结 | 第55-59页 |
| 第三章 CC标准结构模型分析 | 第59-67页 |
| 3.1 安全需求的定义 | 第59-61页 |
| 3.1.1 安全需求定义方式 | 第60页 |
| 3.1.2 安全功能需求 | 第60-61页 |
| 3.1.3 安全保障需求 | 第61页 |
| 3.2 需求定义的用法 | 第61-63页 |
| 3.2.1 安全组件包 | 第61页 |
| 3.2.2 保护轮廓定义书(PP | 第61-62页 |
| 3.2.3 安全对象定义书(ST | 第62-63页 |
| 3.3 安全确信度等级 | 第63-64页 |
| 3.4 安全产品的开发 | 第64页 |
| 3.5 产品安全性评价 | 第64-65页 |
| 3.6 本章小结 | 第65-67页 |
| 第四章 CC标准框架下的安全操作系统开发方法 | 第67-79页 |
| 4.1 研究的环境 | 第67-69页 |
| 4.2 安全功能确立方法的研究 | 第69-72页 |
| 4.2.1 安全环境的确立 | 第69-70页 |
| 4.2.2 安全目标的产生 | 第70页 |
| 4.2.3 安全需求的定义 | 第70-71页 |
| 4.2.4 安全功能的描述 | 第71-72页 |
| 4.3 安全保障措施的研究 | 第72-75页 |
| 4.3.1 安全产品的表示 | 第73页 |
| 4.3.2 安全产品的开发 | 第73-74页 |
| 4.3.3 开发控制 | 第74页 |
| 4.3.4 产品安全性检查 | 第74-75页 |
| 4.3.5 应用指导 | 第75页 |
| 4.4 研究结果的讨论 | 第75-77页 |
| 4.5 本章小结 | 第77-79页 |
| 第五章 CC标准框架下安全确信度的定量表示方法 | 第79-89页 |
| 5.1 CC标准框架下的安全确信度 | 第79-81页 |
| 5.1.1 产品开发过程描述 | 第79-80页 |
| 5.1.2 安全保障措施 | 第80-81页 |
| 5.2 CC标准的安全确信度的表示 | 第81-84页 |
| 5.2.1 主观逻辑的基本思想 | 第81-83页 |
| 5.2.2 确信度的定量表示方法 | 第83-84页 |
| 5.3 确信度定量表示方法的实际意义 | 第84-87页 |
| 5.4 本章小结 | 第87-89页 |
| 第六章 多级安全政策的适应性实施方法 | 第89-113页 |
| 6.1 二层判断空间划分 | 第90页 |
| 6.2 BLP模型的形式化框架简述 | 第90-92页 |
| 6.3 ABLP实施方法理论框架的建立及其正确性证明 | 第92-108页 |
| 6.3.1 ABLP实施方法理论框架的建立 | 第92-94页 |
| 6.3.2 ABLP实施方法的正确性证明 | 第94-105页 |
| 6.3.3 外层判断空间的限定条件 | 第105-108页 |
| 6.4 ABLP实施方法解释 | 第108页 |
| 6.4.1 规则ABLP-1的解释 | 第108-109页 |
| 6.4.2 规则ABLP-2的解释 | 第109-110页 |
| 6.4.3 规则ABLP-3的解释 | 第110-111页 |
| 6.5 本章小结 | 第111-113页 |
| 第七章 安全政策格与多级安全政策 | 第113-125页 |
| 7.1 安全政策格的定义方法 | 第114-117页 |
| 7.1.1 安全政策格的基本思想 | 第114-115页 |
| 7.1.2 安全政策特征 | 第115-117页 |
| 7.1.3 基于特征的安全政策分类 | 第117页 |
| 7.2 多级安全政策的历史敏感性 | 第117-120页 |
| 7.2.1 MLS政策的历史敏感性特点 | 第117-119页 |
| 7.2.2 ABLP实施方法的算法设计与分析 | 第119-120页 |
| 7.3 DTOS安全政策格的修正 | 第120页 |
| 7.4 本章小节 | 第120-125页 |
| 第八章 安全操作系统RS-Linux的开发实现 | 第125-137页 |
| 8.1 系统设计指导思想 | 第125-126页 |
| 8.2 RS-Linux安全功能设计 | 第126-129页 |
| 8.2.1 安全功能需求组件的确定 | 第126-127页 |
| 8.2.2 安全功能需求组件的描述 | 第127-129页 |
| 8.3 RS-Linux安全功能的实现 | 第129-135页 |
| 8.3.1 系统逻辑结构设计 | 第129-131页 |
| 8.3.2 安全模型映射 | 第131-132页 |
| 8.3.3 性能负面影响测算 | 第132-135页 |
| 8.4 RS-Linux的兼容性问题 | 第135-136页 |
| 8.5 本章小结 | 第136-137页 |
| 第九章 结论 | 第137-141页 |
| 9.1 论文工作主要成果 | 第138-139页 |
| 9.2 进一步的工作 | 第139-141页 |
| 参考文献 | 第141-161页 |
| 附录ARS-Linux在CC标准框架下的安全保障需求 | 第151页 |
| A.1配置管理(ACM) | 第151-152页 |
| A.1.1授权控制(ACM_CAP.3) | 第151页 |
| A.1.2覆盖范围(ACM_SCP.1) | 第151-152页 |
| A.2交货与使用(ADO) | 第152页 |
| A.2.1交货程序(ADO_DEL.1) | 第152页 |
| A.2.2安装、生成和启动程序(ADO_IGS.1) | 第152页 |
| A.3开发(ADV) | 第152-153页 |
| A.3.1功能描述(ADV_FSP.1) | 第152页 |
| A.3.2高级设计(ADV_HLD.2) | 第152-153页 |
| A.3.3一致性证明(ADV_RCR.1) | 第153页 |
| A.3.4安全政策模型的建立(ADV_SPM.1) | 第153页 |
| A.4指南资料(AGD) | 第153-154页 |
| A.4.1管理员指南(AGD_ADM.1) | 第153-154页 |
| A.4.2用户指南(AGD_USR.1) | 第154页 |
| A.5生命周期支持(ALC) | 第154页 |
| A.5.1安全措施描述(ALC_DVS.1) | 第154页 |
| A.6安全测试(ATE) | 第154-155页 |
| A.6.1覆盖范围(ATE_COV.2) | 第154-155页 |
| A.6.2深度(ATE_DPT.1) | 第155页 |
| A.6.3功能测试(ATE_FUN.1) | 第155页 |
| A.6.4独立测试(ATE_IND.2) | 第155页 |
| A.7脆弱性评估(AVA) | 第155-157页 |
| A.7.1对指导方法的审查(AVA_MSU.1) | 第155-156页 |
| A.7.2TOE安全功能强度评价(AVA_SOF.1) | 第156页 |
| A.7.3开发人员对脆点性的分析(AVA_VLA.1) | 第156-157页 |
| 附录B 缩略语汇编 | 第157-159页 |
| 致谢 | 第159-160页 |
| 作者攻读博士学位期间发表的学术论文 | 第160-161页 |
| 作者简介 | 第161页 |
