The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Implementation of Security Kernel based on Linux OS

리눅스 운영체제 기반의 보안 커널 구현

  • 손형길 (동국대학교 대학원 컴퓨터공학과) ;
  • 박태규 (한서대학교 컴퓨터정보학과) ;
  • 이금석 (동국대학교 컴퓨터공학과)
  • Published : 2003.04.01
Download PDF
⟨ Previous Next ⟩

Abstract

Current security efforts provided in such as firewall or IDS (intrusion detection system) of the network level suffer from many vulnerabilities in internal computing servers. Thus the necessity of secure OS is especially crucial in today's computing environment. This paper identifies secure OS requirements, analyzes tile research trends for secure Linux in terms of security kernel, and provides the descriptions of the multi-level security(MLS) Linux kernel which we have implemented. This security kernel-based Linux meets the minimum requirements for TCSEC Bl class as well providing anti-hacking, real-time audit trailing, restricting of root privileges, and enterprise suity management functions.

네트워크 수준에서 정보보호를 위한 침입차단 시스템과 침입탐지 시스템은 조직 내의 컴퓨터 서버 보안 대책으로는 그 한계를 갖고 있다. 이에 따라 보안 운영체제(Secure OS)에 관한 필요성이 점차 사회적으로 공감대를 형성하고 있다. 본 논문에서는 보안 운영체제의 요구사항과 최근 보급되고 있는 리눅스 운영체제의 커널 수준에서의 보안 연구동향을 살펴보고, 본 연구팀에서 구현한 다중등급 보안 리눅스 커널을 주요 기능 중심으로 기술하고 시험 평가로서 접근제어, 성능 및 해킹 시험을 실시하여 안전성을 입증하였다. 이 보안 커널 기반의 리눅스 운영체제는 TCSEC Bl급에서 요구하는 기준 기능 외에 해킹 차단, 실시간 감사 추적, root의 권한 제한, 통합보안관리 등의 추가적 기능을 제공한다.

Keywords

References

  1. DoD, Trusted Computer System Evaluation Criteria, DoD 5200.28, STD, 1985
  2. Bell. D. and Lapadula, 'Secure Computer System : Mathematical Foundations and Model,' MITRE Report MTR 2547, Vol.2, Nov., 1973
  3. R. Magnus et al, LINUX KERNEL INTERNALS, 1999
  4. Charles W. Flink II et al., 'System V/MLS Labeling and Mandatory Policy Alternatives,' Proc. of USENIX-Winter'89, pp.413-427, 1989
  5. D. D. Downs et al., 'Issues in Discretionary Access Control,' Proc. of IEEE Symposium on Security and Privacy, pp.208-218, 1985 https://doi.org/10.1109/SP.1985.10014
  6. ISO/IEC JTC1/SC27, Information Technology-Security Techniques-Security Information Object, N2315, 1999
  7. http://www.radium.ncsc.mil/tpep/epl/
  8. http://www.cs.utah.edu/flux/fluke/
  9. Charles P. Pfleeger, Security in Computing, PTR, 1997
  10. Federal Register, Vol.65, No.10, Rules & Regulation (Part III : Dept. of Commerce, Bureau of Export Administration, Revision to Encryption Items ; Interim Final Rule)
  11. ISO/IEC 15408 Common Criteria, http://www.common-criteria.org, Aug., 1999
  12. Peter A. Loscocco et al., The Inevitability of Failure : The Flawed Assumption of Security in Modern Computing Environments, 21st NISSC, 1998
  13. Sue Hildreth, ASP Security : Why Firewall Are Not Enough, http://www.ebizQ.net, Feb., 2001
  14. Dixie B. Baker, Fortresses Built Upon Sand, ACM Proc. of the New Security Paradigms Work-shop, 1996 https://doi.org/10.1145/304851.304886
  15. Thomas H. Ptacek et al., Insertion, Evasion, and Denial of Service : Eluding Network Intrusion Detection, NAI Lab., 1998
  16. IEEE Std 1003.2c-Draft standard fot Information Technology Portable Operating System Interface(POSIX) Part2 : Shell and Utilities : Protection and Control Interfaces
  17. Paul C. Clark, Policy-Enhanced Linux, 23rd NISSC, 2000
  18. http://www.police.go.kr 경찰청사이버테러대응센터보도자료
  19. Security Enhanced Linux, http://www.nsa.gov/selinux/
  20. Immunix, http://immunix.org/
  21. Computer Associates, eTrust Access Control for UNIX, 2001