基于轻量级虚拟化环境的多级安全容器机制

摘要

多级安全机制常应用于军事、政府、国防以及其他对信息有密级划分要求的领域，可以让不同安全级的用户使用不同安全级的信息，是一种非常有效的信息访问控制方法。但是传统的多级安全机制在实现时一般对软硬件系统的要求比较高，常依赖特定的安全操作系统，有的甚至需要添加额外的设备，所以最终证明这些多级安全系统在实际应用方面并不成功。此外，随着这几年新兴的虚拟化技术的发展，使得针对虚拟化环境的多级安全机制的研究也变得越来越重要，因此，本文通过分析对比传统虚拟化技术和基于容器的轻量级虚拟化技术各自的特点，利用轻量级虚拟化技术的平台无关性，提出了“基于轻量级虚拟化环境的多级安全容器机制”。
　　本文的主要工作包括:
　　(1)多级安全容器机制的形式化设计:根据多级安全容器机制的设计思想，指出在机制的设计和实现中需要解决的两个核心问题:一是系统中主体和客体如何定义，二是如何根据定义制定多级安全策略。为解决这两个问题，本文首先从参考文献中归纳总结出多级安全保密要求，然后根据轻量级虚拟化环境的系统特点对其中主体和客体进行了定义，最后给出多级安全容器机制的安全策略。
　　(2)多级安全容器机制的安全性分析:为了保证安全策略的正确性和提高用户的信心水平，本文对多级安全容器机制的安全性进行了分析，利用形式化公式，验证多级安全容器策略符合多级安全保密要求。
　　(3)多级安全容器机制的技术可行性分析:提出实现本机制的基础技术是联合文件系统技术并给出实现方法。通过形式化的方法对利用联合文件系统技术实现本机制的可行性进行分析说明，最后设计实现了多级安全容器管理原型系统。
　　基于轻量级虚拟化环境的多级安全容器机制在一定程度上改善了传统多级安全机制易用性较差的问题，可以直接应用在目前市面上大部分的商用系统中。以容器作为基本单位进行安全级的分配，与虚拟机相比规模较小，因此可以提供更加细粒度和精准的多级安全服务。本机制实现简单而且实现方式多样，可以满足不同的多级安全需求，具有很强的实用意义。

目录

声明

致谢

摘要

1．1 研究背景和意义

1．2 研究现状

1．2．1 经典多级安全机制

1．2．2 国内外的研究现状

1．3 论文研究内容

1．4 论文组织结构

1．5 本章小结

2．1 轻量级虚拟化技术

2．1．1 基于容器的轻量级虚拟化技术

2．1．2 Docker

2．1．3 传统虚拟化与基于容器的轻量级虚拟化的对比

2．2 系统安全

2．2．1 形式化描述

2．2．2 可信计算平台

2．2．3 透明／可控

2．2．4 引用监视器

2．2．5 可信度评估

2．3 本章小结

3 基于轻量级虚拟化环境的多级安全容器机制

3．1 设计思路

3．2 多级安全保密要求

3．3 多级安全容器机制

3．4 多级安全容器机制安全性分析

3．5 本章小结

4 多级安全容器机制技术可行性分析

4．1 联合文件系统

4．1．1 技术原理

4．1．2 联合文件系统访问策略

4．2 技术可行性分析

4．3 实验测试

4．4 本章小结

5．1 应用模式

5．2 多级安全容器管理原型系统

5．3 实验测试

5．4 本章小结

6 结论

参考文献

作者简历及攻读硕士学位期间取得的研究成果

学位论文数据集