操作系统访问控制错误修复方法研究

基本信息
批准号:61471344
项目类别:面上项目
资助金额:82.00
负责人:张阳
学科分类:
依托单位:中国科学院软件研究所
批准年份:2014
结题年份:2018
起止时间:2015-01-01 - 2018-12-31
项目状态: 已结题
项目参与者:冯登国,程亮,邓艺,孙晓山,曾述可,陈东,韩志辉,傅玉,梁月晟
关键词:
安全策略恢复操作系统安全策略漏洞检测安全策略分析
结项摘要

Configuring correct security policies is critical to assure the security of operating systems (OS), and hence has direct impact to the security of all Information Technology systems. However, OS users often experience difficulties in configuring large-scale while correctness-assured OS security policies. Existing techniques can assist OS users in detecting misconfiguration of OS security policies, but their effectiveness is commonly affected by issues like inadequate usability, confusing detection results, and having no support for fixing such misconfiguration. To address the above issues, we propose to investigate and develop a holistic and formal-method-based solution for detecting and localizing errors in OS security policy configurations, with which OS users can find and fix OS security policy misconfiguration more quickly and with less effort. To be more specific, this research will investigate a solution that comprises the following measures: modeling measure that formalizes OS security policy mechanisms in a unified manner; measure that automatically detects violation instances to OS security polices; measure that localizes configuration errors causing such violation instances (by calculating the minimum edge cut sets of directed graphs); measure that labels OS security policies to establish a direct mapping between configuration errors and their corresponding violation instances; and measure that propagates the labelling information. The correctness and effectiveness of the solution to be investigated will be evaluated against mainstream OS security policy mechanisms.

操作系统的安全性是所有信息系统安全的基础。而作为操作系统安全机制重要内容的安全策略配置却受到配置困难、正确性难以保障等问题的困扰,从而极大地影响了操作系统的安全性。现有的研究成果在检测安全策略配置错误方面,普遍的存在着适用性不够、检测结果不直观等缺陷,无法帮助操作系统用户有效的理解和修正安全策略配置上的错误。为解决现有方法的缺陷,本课题将研究和建立一套统一、有效的安全策略配置错误检测和定位框架,从而帮助操作用户及时准确地发现安全策略配置中的错误,减少操作系统的安全隐患。该框架包含面向多操作系统的安全策略建模机制以及基于自动推理的违反安全策略实例查找机制并借助于图论中有向图最小割集求解技术,对导致违反安全策略实例的安全策略配置错误实现精确定位。为用户更好的理解和修正安全策略配置中错误,该框架还将引入安全策略规则标记和标记信息传播机制,从而建立从安全策略配置规则到违反安全策略的实例映射关系。

项目摘要

为帮助用户及时准确地发现安全策略配置中的错误,减少操作系统的安全隐患,本项目提出了能力依赖图的概念,以此为基础,设计并实现了一套统一、有效的安全策略配置错误检测框架。该框架可以对Windows系列、Linux系列,以及Android系列操作系统的安全机制和策略进行建模,构建能力依赖图,然后基于一阶逻辑自动推理寻找攻击路径、发现违反安全策略的实例,从而发现安全配置漏洞。对于包含了潜在攻击路径的系统配置,项目提出了正常能力损失(Normal Capability Loss)的概念,将策略配置的修复转化为MaxSAT问题,给出策略强化方案,最大限度地降低系统的能力损失。我们将框架应用于多种主流商业操作系统,成功地1)发现了Ubuntu 10.04中SELinux安全策略的错误配置,并对其进行了修复;2)发现了三星Android 7.0中的多条攻击路径,其中包括了一条被黑客实际采用的攻击路径。项目实施期间,课题组共计发表论文15篇(包括1篇CCF A类会议论文和1篇B类会议论文),申请软件著作权1项,实现原型系统1套,培养研究生5名,并为6名研究生提供研究方向。总体而言,本课题实现了预期目标,项目所实现的框架可以极大地简化系统管理员在评估系统面临的潜在安全风险和选择安全加固方案时花费的精力。

项目成果
{{index+1}}

{{i.achievement_title}}

{{i.achievement_title}}

DOI:{{i.doi}}
发表时间:{{i.publish_year}}

暂无此项成果

数据更新时间:2023-05-31

其他相关文献

1

玉米叶向值的全基因组关联分析

玉米叶向值的全基因组关联分析

DOI:
发表时间:
2

正交异性钢桥面板纵肋-面板疲劳开裂的CFRP加固研究

正交异性钢桥面板纵肋-面板疲劳开裂的CFRP加固研究

DOI:10.19713/j.cnki.43-1423/u.t20201185
发表时间:2021
3

硬件木马:关键问题研究进展及新动向

硬件木马:关键问题研究进展及新动向

DOI:
发表时间:2018
4

基于SSVEP 直接脑控机器人方向和速度研究

基于SSVEP 直接脑控机器人方向和速度研究

DOI:10.16383/j.aas.2016.c150880
发表时间:2016
5

小跨高比钢板- 混凝土组合连梁抗剪承载力计算方法研究

小跨高比钢板- 混凝土组合连梁抗剪承载力计算方法研究

DOI:10.19701/j.jzjg.2015.15.012
发表时间:2015

张阳的其他基金

1

饮用水生产中有机微污染物和微生物引发纳滤膜污染的微界面过程研究

饮用水生产中有机微污染物和微生物引发纳滤膜污染的微界面过程研究

批准号:20706038
批准年份:2007
资助金额:17.00
项目类别:青年科学基金项目
2

净水工艺中超滤膜氧化行为对其分离传质性能影响机理研究

净水工艺中超滤膜氧化行为对其分离传质性能影响机理研究

批准号:51808388
批准年份:2018
资助金额:23.00
项目类别:青年科学基金项目
3

颗粒相活性氧物质(ROS)在多换芳烃(PAHs)非均相反应过程中的含量及其影响因素研究

颗粒相活性氧物质(ROS)在多换芳烃(PAHs)非均相反应过程中的含量及其影响因素研究

批准号:21307129
批准年份:2013
资助金额:26.00
项目类别:青年科学基金项目
4

Exosome介导肝癌细胞CD147诱导成纤维细胞MMPs分泌的机制研究

Exosome介导肝癌细胞CD147诱导成纤维细胞MMPs分泌的机制研究

批准号:81602521
批准年份:2016
资助金额:17.00
项目类别:青年科学基金项目
5

大气颗粒态自由基的非均相生成及对大气硫酸盐、硝酸盐的生成影响

大气颗粒态自由基的非均相生成及对大气硫酸盐、硝酸盐的生成影响

批准号:21677145
批准年份:2016
资助金额:66.00
项目类别:面上项目
6

华南地区二叠-三叠纪之交浅海碎屑岩相腕足动物群研究

华南地区二叠-三叠纪之交浅海碎屑岩相腕足动物群研究

批准号:41602017
批准年份:2016
资助金额:18.00
项目类别:青年科学基金项目
7

经济责任审计创新及其信号传递效应研究——基于财政资金配置效率视角

经济责任审计创新及其信号传递效应研究——基于财政资金配置效率视角

批准号:71172224
批准年份:2011
资助金额:41.00
项目类别:面上项目
8

幽门螺杆菌相关异常甲基化谱与胃黏膜病变的关系

幽门螺杆菌相关异常甲基化谱与胃黏膜病变的关系

批准号:81572774
批准年份:2015
资助金额:57.00
项目类别:面上项目
9

微处理器硬件木马旁路检测技术研究

微处理器硬件木马旁路检测技术研究

批准号:61602505
批准年份:2016
资助金额:20.00
项目类别:青年科学基金项目
10

多巴胺/D2受体轴在脑出血后血脑屏障损伤中的保护作用及机制研究

多巴胺/D2受体轴在脑出血后血脑屏障损伤中的保护作用及机制研究

批准号:81701183
批准年份:2017
资助金额:20.00
项目类别:青年科学基金项目
11

利用皮肤靶向表达SOX9蛋白的转基因小鼠对多毛症的发生机理进行初步研究

利用皮肤靶向表达SOX9蛋白的转基因小鼠对多毛症的发生机理进行初步研究

批准号:81071283
批准年份:2010
资助金额:36.00
项目类别:面上项目
12

miR-24通过调控GNAI3影响成骨分化的机制研究

miR-24通过调控GNAI3影响成骨分化的机制研究

批准号:81700942
批准年份:2017
资助金额:20.00
项目类别:青年科学基金项目
13

闪电CPT事件的宽带综合观测及其物理过程研究

闪电CPT事件的宽带综合观测及其物理过程研究

批准号:41205002
批准年份:2012
资助金额:26.00
项目类别:青年科学基金项目
14

复杂制造过程中轮廓数据监控方法研究

复杂制造过程中轮廓数据监控方法研究

批准号:71401123
批准年份:2014
资助金额:20.00
项目类别:青年科学基金项目
15

跨平台的操作系统安全机制形式化验证方法研究

跨平台的操作系统安全机制形式化验证方法研究

批准号:60970028
批准年份:2009
资助金额:29.00
项目类别:面上项目
16

三维大小错觉加工的时程机制

三维大小错觉加工的时程机制

批准号:31300833
批准年份:2013
资助金额:24.00
项目类别:青年科学基金项目
17

PKA/DOC1R通路对小鼠卵母细胞早期发育调节机制的研究

PKA/DOC1R通路对小鼠卵母细胞早期发育调节机制的研究

批准号:30800392
批准年份:2008
资助金额:20.00
项目类别:青年科学基金项目
18

社会网络在协调网络成员博弈中的作用:实验研究

社会网络在协调网络成员博弈中的作用:实验研究

批准号:71501108
批准年份:2015
资助金额:18.50
项目类别:青年科学基金项目
19

青藏高原特有植物黄缨菊谱系地理学及进化意义

青藏高原特有植物黄缨菊谱系地理学及进化意义

批准号:31800310
批准年份:2018
资助金额:22.00
项目类别:青年科学基金项目
20

增韧超高性能混凝土(STUHPC)加固RC桥梁的抗弯承载机理与计算理论

增韧超高性能混凝土(STUHPC)加固RC桥梁的抗弯承载机理与计算理论

批准号:51778221
批准年份:2017
资助金额:58.00
项目类别:面上项目
21

5G高频段无线信道建模关键理论研究

5G高频段无线信道建模关键理论研究

批准号:61871300
批准年份:2018
资助金额:66.00
项目类别:面上项目
22

基于云的植被多波段3D联合模拟研究

基于云的植被多波段3D联合模拟研究

批准号:41801257
批准年份:2018
资助金额:25.00
项目类别:青年科学基金项目
23

大跨预应力NSC-UHPC连续混合箱梁桥新体系试验与理论研究

大跨预应力NSC-UHPC连续混合箱梁桥新体系试验与理论研究

批准号:51578226
批准年份:2015
资助金额:62.00
项目类别:面上项目
24

MIF活性区域靶向抗体制备及其抗脓毒症机制研究

MIF活性区域靶向抗体制备及其抗脓毒症机制研究

批准号:81601718
批准年份:2016
资助金额:17.00
项目类别:青年科学基金项目
25

基于实测的宽带多天线无线信道建模

基于实测的宽带多天线无线信道建模

批准号:61401321
批准年份:2014
资助金额:24.00
项目类别:青年科学基金项目
26

艾滋病男男性接触人群高危行为风险干预研究

艾滋病男男性接触人群高危行为风险干预研究

批准号:71103200
批准年份:2011
资助金额:19.00
项目类别:青年科学基金项目
27

人工触发闪电上行正先导始发、传输及辐射过程观测研究

人工触发闪电上行正先导始发、传输及辐射过程观测研究

批准号:41775009
批准年份:2017
资助金额:68.00
项目类别:面上项目
28

药用植物紫锥菊活性成分生物合成关键基因的鉴定与代谢工程研究

药用植物紫锥菊活性成分生物合成关键基因的鉴定与代谢工程研究

批准号:31670352
批准年份:2016
资助金额:62.00
项目类别:面上项目
29

COX-2甲基化与表达及与癌前病变的关系

COX-2甲基化与表达及与癌前病变的关系

批准号:30801346
批准年份:2008
资助金额:20.00
项目类别:青年科学基金项目
30

增强型半准Z源直驱永磁风电系统机侧谐波特性分析及抑制方法研究

增强型半准Z源直驱永磁风电系统机侧谐波特性分析及抑制方法研究

批准号:51907061
批准年份:2019
资助金额:21.00
项目类别:青年科学基金项目
31

番茄苯丙烷类化合物合成的关键调控因子鉴定和应用研究

番茄苯丙烷类化合物合成的关键调控因子鉴定和应用研究

批准号:31701255
批准年份:2017
资助金额:26.00
项目类别:青年科学基金项目
32

噬菌体内溶素抑制水稻细菌性褐条病菌细胞分裂的机制研究

噬菌体内溶素抑制水稻细菌性褐条病菌细胞分裂的机制研究

批准号:31901925
批准年份:2019
资助金额:24.00
项目类别:青年科学基金项目

相似国自然基金

1

基于属性加密的数据访问控制方法研究

批准号:61662071
批准年份:2016
负责人:刘雪艳
学科分类:F0206
资助金额:40.00
项目类别:地区科学基金项目
2

基于格理论的社交网络访问控制方法研究

批准号:61303248
批准年份:2013
负责人:张颖君
学科分类:F0205
资助金额:23.00
项目类别:青年科学基金项目
3

面向云存储数据的弹性访问控制方法研究

批准号:61902123
批准年份:2019
负责人:邓桦
学科分类:F0206
资助金额:29.00
项目类别:青年科学基金项目
4

云制造环境下多粒度服务访问控制方法研究

批准号:51165004
批准年份:2011
负责人:李春泉
学科分类:E0510
资助金额:48.00
项目类别:地区科学基金项目