（模式识别与智能系统专业论文）安全linux操作系统的设计与研究.pdf

摘要 随着信息安个问题 .益成为计算机领域首要的问题， 操作系统的安全问题也 日益突出它的重要性。虽然现在还没有真正的、 成熟的商业安全操作系统， 但这 方面的研究 一 直进行着，而构建一个安全操作系统才是最终解决问题的关键。 本文首先对多种安全操作系统使用的安全策略做了lm 入的分析、比较， 找出 其中先进的安全策略模块，并在详细分析 b l p , b i b a安全模型基础上提出了 l d b b安全策略模型。接着针对目前的各种各样的黑客攻击、入侵和病毒问题， 对一个优秀的安全操作系统的总体安全功能提出了九个方面的规划， 并且提出了 很多安全方面的见解和解决方案。 最后详细的剖析了f l a s k 体系结构和运行方式， 以及如何将f l a s k 体系结构安置在 l i n u x 操作系统中; 细致的分 析了s e l i n u x 操 作系统安全模块的内核， 找出其中的不足， 在此基础上重新设计关键的安全模块， 如重要的数据结构，安全标签和 h o o k函数。 关键字: 安全策略， 安全模型， fl a s k 体系结 构， s e l i n u x 操作系统， b l p , b i b a , l dbb ab s t r a c t wi t h i n f o r m a t io n t h r e a t s a n d s e c u r i t y r e q u i r e me n t s b e c o m i n g a l l - i m p o r t a n t p r o b l e m , t h e s e c u r i t y o f o p e r a t i o n s y s t e m i s b e c o m i n g t h e k e y t o t h e p r o b l e m. h o w e v e r n o n e o f s e c u r e o p e r a t i o n s y s t e m i s m a t u r e a n d p o w e r f u l i n b u s i n e s s a n d t h e r e s e a r c h o f i t i s a l w a y s g o i n g o n . s o d e s i g n i n g a n d c o m p o s i n g a s e c u r e o p e r a t i o n s y s t e m i s t h e u l t i m a t e l y a i m . e a c h s e c u r i t y o p e r a t i o n s y s t e m h a s i t s o w n s e c u r i t y p o l i c y . t h i s p a p e r a n a l y s e s s o m e s e c u r e p o l i c y i n - d e p t h o f e a c h s e c u r i t y o p e r a t i o n s y s t e m , a n d p a r t i c u l a r p r e s e n t b l p a n d b i b a p o l i c y , p u tt i n g f o r w a r d a n e w p o l i c y l d b b . a n a l y s i n g a n e x c e l l e n t s e c u r i ty o p e r a t i o n s y s t e m i n f u l l a s p e c t s , p u t t i n g f o r w a r d s o m e o p i n i o n s a n d s o l u t i o n s c h e m e s f o r s o l v i n g t h e h a c k i n v i r u s , a n d i n t r u s i o n i s i n t h e s e c e n d . i n t h e e n d , t h i s p a p e r a n a l y s e s t h e f r a m e w o r k a n d r u n n i n g mo d e o f f l a s k , a n d t h e k e rne l o f s e l i n u x o p e r a t i o n s y s t e m, f i n d i n g t h e i n s u f f i c i e n c y o f w h i c h . r e d e s i g n t h e i m p o r t a n t m o d u l e o f s e l i n u x , s u c h a s d a t a s t r u c t u r e , s e c u r i t y l a b e l a n d h o o k f u n c t i o n , k e y wo r d s : s e c u r i t y p o l ic y， s e c u r i t y m o d e l , f l a s k a r c h i t e c t u r e , s c l in u x o p e r a t i o n s y s t e m, b l p , bi h a . l drb 西北工业大学硕士学位论文安全l in u x操作系统的设计与研究 佑 一 _e ? 5 台 二 月 )祠户q获 决 随着信息技术 和网 络技术的 不断的飞速发展， 信息安全问 题日 益成为首 要的 问题。 各研究机构、 厂商都不约而同的在这个领域投入大量的人力、 物力、 财力， 各种网络安全产品相应的浮出水面，例如防火墙、v p n , i d s等等。但是终极目 标却是最低层的 操作系统的安 全问题， 没有操作系统提供的安 全保证， 整个计算 机操作系统的安全性是没有保障的 1 -. 1 研究背景 操作系统安全性是计算机安全的重要基础， 要妥善解决日益广泛的计算机安 全问题，必须有坚固的安全操作系统作后盾， 这要求我们去寻找切实有效的开发 方法，开发出能够满足实际应用需要的安全操作系统来。 安全操作系统的发展从最初六、七十年代到现在经历了奠基时期 ( f o u n d a t i o n p e r i o d ) , 食谱时期( c o o k b o o k p e r i o d ) 、 多政策时期( m u l t i - p o l i c y p e r i o d ) 和动态政 策时期 ( d y n a m i ( - p o l i c y p e r i o d )。它是随 着操作系统的发 展而逐渐改变、 成熟。近些年来开 源操作系统的出 现， 特别是l i n u x 操作系统， 人们对它的稳定性和成熟度逐渐认可， 这对安全操作系统的发展起了重要的推动 作用。掌握l i n u x 的核心技术并增强它的安全性，配合先进的安全模型，进而研 制和开发先进的安全操作系统，以其可以应用于对安全具有特殊需求的领域， 具 有十分重要的意义。 1 . 2研究目标 目标是设计一个包括一个满足结构化保护级安全功能要求的、 有实用价值 的l i n u x 系统，该 系统将继承l i n u x 的高 效性和稳定性， 并结合以 结构化保护级 的强大存取控制机制 这样的系统可以作为 高度安 全的服务器操作系统使用。 木 文所设计的安全操作系统与原始的l i n u x 相比， 至少在理论上， 很多安全问题将 不复存在。例如，木的kh # i . 系统将实现基于 b i b a模型的 6 整性强制存取控制 只要适当使用这 一 机制，当 一 个 w e b 服务器软件被攻陷， p被用来在系统，才 “ 植入 西北工业大学硕士学位论文安全l in u x操作系统的设计与研究 佑 一 _e ? 5 台 二 月 )祠户q获 决 随着信息技术 和网 络技术的 不断的飞速发展， 信息安全问 题日 益成为首 要的 问题。 各研究机构、 厂商都不约而同的在这个领域投入大量的人力、 物力、 财力， 各种网络安全产品相应的浮出水面，例如防火墙、v p n , i d s等等。但是终极目 标却是最低层的 操作系统的安 全问题， 没有操作系统提供的安 全保证， 整个计算 机操作系统的安全性是没有保障的 1 -. 1 研究背景 操作系统安全性是计算机安全的重要基础， 要妥善解决日益广泛的计算机安 全问题，必须有坚固的安全操作系统作后盾， 这要求我们去寻找切实有效的开发 方法，开发出能够满足实际应用需要的安全操作系统来。 安全操作系统的发展从最初六、七十年代到现在经历了奠基时期 ( f o u n d a t i o n p e r i o d ) , 食谱时期( c o o k b o o k p e r i o d ) 、 多政策时期( m u l t i - p o l i c y p e r i o d ) 和动态政 策时期 ( d y n a m i ( - p o l i c y p e r i o d )。它是随 着操作系统的发 展而逐渐改变、 成熟。近些年来开 源操作系统的出 现， 特别是l i n u x 操作系统， 人们对它的稳定性和成熟度逐渐认可， 这对安全操作系统的发展起了重要的推动 作用。掌握l i n u x 的核心技术并增强它的安全性，配合先进的安全模型，进而研 制和开发先进的安全操作系统，以其可以应用于对安全具有特殊需求的领域， 具 有十分重要的意义。 1 . 2研究目标 目标是设计一个包括一个满足结构化保护级安全功能要求的、 有实用价值 的l i n u x 系统，该 系统将继承l i n u x 的高 效性和稳定性， 并结合以 结构化保护级 的强大存取控制机制 这样的系统可以作为 高度安 全的服务器操作系统使用。 木 文所设计的安全操作系统与原始的l i n u x 相比， 至少在理论上， 很多安全问题将 不复存在。例如，木的kh # i . 系统将实现基于 b i b a模型的 6 整性强制存取控制 只要适当使用这 一 机制，当 一 个 w e b 服务器软件被攻陷， p被用来在系统，才 “ 植入 西 北 s 业 大 学 硕 士学 位 论 文 安个l i n o , 操作系统的设计与研究 恶意代码时， 无论该服务器软件如何通过复制、 转储来伪装这段恶意代码都不 可能对系统构成致命伤害， 因为 任何有权运行这段代码的其它进程其“ 写” 权限 都不会比这个服务器软件来得高。 再比如， 本的目标系统将把超级用户的特权分 派给管理员、安全员和审公 员二种招互制约的管理员角色， 在这种情况下，除非 攻击者获得审计员的权限，否则其攻击行为将无法隐匿。 本文力图实现以下三个目标: ( 日确定可适合与操作系统的安全策略和安全模型，揭示不同的安全策略 之间的本质特性和相互联系。 ( 2 ) 研究多安全政策之间的相互关系，研究多策略支持的技术方法，构建 支持多安全策略的安全体系结构。 ( 3 ) 把所研究的安全政策和实施方法运用到实际的安全操作系统的开发 之中开发一个实际的支持多安全策略的操作系统原型。 1 .3研究方法 本文采用的方法有两种:一种是 自 顶向下的分解方式，一种是自底向上的组 合方式。 在研究安全策略的实施的时候使用第一种方法:在研究多政策支持、 客 体服务器的构建的时候使用第二种方法;一些其他的部分使用两种结合的方法。 1 .4论文的主要贡献 本文以一个实际的操作系统的为开发实践为基 础， 针对日 益变化的信息威胁 和各种各样的安全需要， 设汁一个具体强制存取控制策略， 多种安全策略组合的 安全操作系统。 ( 1 ) f l a s h 体系为 基础，实 现定义了一 种混合的安全性策略，由 类型 实施 ( t 日、 基于角色的访问控制 ( r b a c )和可选的多级别安全性 ( m l s )组成， 并提出 l d b b 模型的安全策略， 设计一个强大的强制 存取控制策略。 ( 2 )对系统总体安全功能做了详细的设计，虽然有些功能目 前来说无 法实现， 但是是对安全操作系统的全面性做了 规划，为以后的安 个模型建立，具体实施起到了很好的指导作用。 西 北 s 业 大 学 硕 士学 位 论 文 安个l i n o , 操作系统的设计与研究 恶意代码时， 无论该服务器软件如何通过复制、 转储来伪装这段恶意代码都不 可能对系统构成致命伤害， 因为 任何有权运行这段代码的其它进程其“ 写” 权限 都不会比这个服务器软件来得高。 再比如， 本的目标系统将把超级用户的特权分 派给管理员、安全员和审公 员二种招互制约的管理员角色， 在这种情况下，除非 攻击者获得审计员的权限，否则其攻击行为将无法隐匿。 本文力图实现以下三个目标: ( 日确定可适合与操作系统的安全策略和安全模型，揭示不同的安全策略 之间的本质特性和相互联系。 ( 2 ) 研究多安全政策之间的相互关系，研究多策略支持的技术方法，构建 支持多安全策略的安全体系结构。 ( 3 ) 把所研究的安全政策和实施方法运用到实际的安全操作系统的开发 之中开发一个实际的支持多安全策略的操作系统原型。 1 .3研究方法 本文采用的方法有两种:一种是 自 顶向下的分解方式，一种是自底向上的组 合方式。 在研究安全策略的实施的时候使用第一种方法:在研究多政策支持、 客 体服务器的构建的时候使用第二种方法;一些其他的部分使用两种结合的方法。 1 .4论文的主要贡献 本文以一个实际的操作系统的为开发实践为基 础， 针对日 益变化的信息威胁 和各种各样的安全需要， 设汁一个具体强制存取控制策略， 多种安全策略组合的 安全操作系统。 ( 1 ) f l a s h 体系为 基础，实 现定义了一 种混合的安全性策略，由 类型 实施 ( t 日、 基于角色的访问控制 ( r b a c )和可选的多级别安全性 ( m l s )组成， 并提出 l d b b 模型的安全策略， 设计一个强大的强制 存取控制策略。 ( 2 )对系统总体安全功能做了详细的设计，虽然有些功能目 前来说无 法实现， 但是是对安全操作系统的全面性做了 规划，为以后的安 个模型建立，具体实施起到了很好的指导作用。 西 北 s 业 大 学 硕 士学 位 论 文 安个l i n o , 操作系统的设计与研究 恶意代码时， 无论该服务器软件如何通过复制、 转储来伪装这段恶意代码都不 可能对系统构成致命伤害， 因为 任何有权运行这段代码的其它进程其“ 写” 权限 都不会比这个服务器软件来得高。 再比如， 本的目标系统将把超级用户的特权分 派给管理员、安全员和审公 员二种招互制约的管理员角色， 在这种情况下，除非 攻击者获得审计员的权限，否则其攻击行为将无法隐匿。 本文力图实现以下三个目标: ( 日确定可适合与操作系统的安全策略和安全模型，揭示不同的安全策略 之间的本质特性和相互联系。 ( 2 ) 研究多安全政策之间的相互关系，研究多策略支持的技术方法，构建 支持多安全策略的安全体系结构。 ( 3 ) 把所研究的安全政策和实施方法运用到实际的安全操作系统的开发 之中开发一个实际的支持多安全策略的操作系统原型。 1 .3研究方法 本文采用的方法有两种:一种是 自 顶向下的分解方式，一种是自底向上的组 合方式。 在研究安全策略的实施的时候使用第一种方法:在研究多政策支持、 客 体服务器的构建的时候使用第二种方法;一些其他的部分使用两种结合的方法。 1 .4论文的主要贡献 本文以一个实际的操作系统的为开发实践为基 础， 针对日 益变化的信息威胁 和各种各样的安全需要， 设汁一个具体强制存取控制策略， 多种安全策略组合的 安全操作系统。 ( 1 ) f l a s h 体系为 基础，实 现定义了一 种混合的安全性策略，由 类型 实施 ( t 日、 基于角色的访问控制 ( r b a c )和可选的多级别安全性 ( m l s )组成， 并提出 l d b b 模型的安全策略， 设计一个强大的强制 存取控制策略。 ( 2 )对系统总体安全功能做了详细的设计，虽然有些功能目 前来说无 法实现， 但是是对安全操作系统的全面性做了 规划，为以后的安 个模型建立，具体实施起到了很好的指导作用。 西北工业大学硕士学位论文 安全 l i n u x 操作系统的设计与研究 ( 3) ( 4) 对多种安全操作系统进行了研究，比较它们的架构，工作原理和 使用的安全策略，以及它们各自的先进性。特别是深入的剖析了 f l a s k 体系结构， 和s e l i n u x 操作系统内核，并以 此为基础设计 了 史加优秀的安 全操作系统体系。 对内核中的关键技术，如持久标签和h o o k函数做了详细的设计， 并且给出了数据结构以及接c - 1 ,融合到 s e l i n u x 中，提高原有的 操作系统的安全性和效率二 1 . 5论文的组织结构 本文的内 容分为六章，各 章的内 容简 述如下: 第一章是 “ 导言” ，分析本文的研究背景，研究内容和目标，研究方法，归 纳本文的研究成果。 第二章是 “ 安全策略和模型的研究” ， 对多 种安 全操作系统使用的安全策略 做了 深入的分析、比较。并详细的介绍了b l p , b i b a 安全模型，并 在此基础上 提出了l d b b策略模型。 第三章是 “ 总体安全功能设计” ，对一个优秀的安全操作系统的全面性做了 分析， 提出了很多安全方面的见解和解决方案。 第四章是 “ 应用 f l a s k安全体系结构到 l i n u x 中” ，分析了 f l a s k 体系结构 和运行方式，以及如何将 f l a s k 体系结构安置在 l i n u x 操作系统中。 第五章是 “ 构建安全操作系统内核” ， 分析了s e l i n u x操作系统内核，找出其 中的不足， 在此基础上重新设计关键的安全模块，如安全标签和h o o k 函数。 第六章是 “ 结论” ，对本文做了概要总结，对未来的设计方向做了规划。 西北工业大学硕士学位论文 安全 l i n u x 操作系统的设计与研究 ( 3) ( 4) 对多种安全操作系统进行了研究，比较它们的架构，工作原理和 使用的安全策略，以及它们各自的先进性。特别是深入的剖析了 f l a s k 体系结构， 和s e l i n u x 操作系统内核，并以 此为基础设计 了 史加优秀的安 全操作系统体系。 对内核中的关键技术，如持久标签和h o o k函数做了详细的设计， 并且给出了数据结构以及接c - 1 ,融合到 s e l i n u x 中，提高原有的 操作系统的安全性和效率二 1 . 5论文的组织结构 本文的内 容分为六章，各 章的内 容简 述如下: 第一章是 “ 导言” ，分析本文的研究背景，研究内容和目标，研究方法，归 纳本文的研究成果。 第二章是 “ 安全策略和模型的研究” ， 对多 种安 全操作系统使用的安全策略 做了 深入的分析、比较。并详细的介绍了b l p , b i b a 安全模型，并 在此基础上 提出了l d b b策略模型。 第三章是 “ 总体安全功能设计” ，对一个优秀的安全操作系统的全面性做了 分析， 提出了很多安全方面的见解和解决方案。 第四章是 “ 应用 f l a s k安全体系结构到 l i n u x 中” ，分析了 f l a s k 体系结构 和运行方式，以及如何将 f l a s k 体系结构安置在 l i n u x 操作系统中。 第五章是 “ 构建安全操作系统内核” ， 分析了s e l i n u x操作系统内核，找出其 中的不足， 在此基础上重新设计关键的安全模块，如安全标签和h o o k 函数。 第六章是 “ 结论” ，对本文做了概要总结，对未来的设计方向做了规划。 西北工业大学硕士学位论文 安全l ma e操作系统的设计与研究 第二章 安全策略和模型的研究 自六十年代以来， 人们对安全策略和模型的研究投入了大量的精力， 也取得 了很多成果。 本章对安全策略和模型做了 总结， 对安全策略和模型研究和开发方 面的二三十年来的有代表性的工作进行深入的考察， 归纳和选择， 力求找到适合 l i n i 1 x 操作系统的安个策略和模t =-1 . 本章首先讨论通常的安全操作系统可以 达到的安全目 的， 接着给出 适合与各 个安全操作系统安全策略并针对每个安全策略详细描述了相应的安全机制， 最后 找到 适合本 操作系统的安全操作系统的安全模型描 述以 及实现， 2 . 1安全 目的 计算机安全的日的的定义通常包括三个方而: . 机密性 ( c o n f i d e n t i a l i t y ) :防止未 经授权的信息泄漏。 . 完整性 ( i n t e g r i t y ) :防 止未经授权的信息被篡改。 . 可用性 ( a v a i l a b i l i t y ) :防 止未经授权的信息或资 源截留。一 可用性与信息和资源 ( 如计算机系统本身) 有关，而机密性和完整性只与信 息本身有关。 要验证一个系统有很高的可用性是不大可能， 但是验证一个系统有 较高的机密性和完整性， 并且两者可以由访问控制来达到。 因此为机密性和完整 性实现 一 个访问监控器是有可能的。 机密性和完整性可以使用精确的、 全局和一 致的属性来描述， 而其他的属 性则不能。 因此一个系统是否能够满足机密性和完 整性是可以计算的， 因此本文下面所讨论的都是基于机密性和完整性为目的而展 开的 2 . 2安全策略 安全策略关注信0 、 系 统种的 信息 控制、 管理和分发。 踏实规定信息系统或产 品对敏感信-qq 、 的处理和使用方式的法律、 规则和条例的集合( i t s g 1 9 9 1 7 因此由上面可知女全操作系统的主要目的是保障信息的机密性和完整性。 安 全操作系统的斗要任务就拉制系统中主体对客体的访问， 严格划分系统中各主体 西北工业大学硕士学位论文 安全l ma e操作系统的设计与研究 第二章 安全策略和模型的研究 自六十年代以来， 人们对安全策略和模型的研究投入了大量的精力， 也取得 了很多成果。 本章对安全策略和模型做了 总结， 对安全策略和模型研究和开发方 面的二三十年来的有代表性的工作进行深入的考察， 归纳和选择， 力求找到适合 l i n i 1 x 操作系统的安个策略和模t =-1 . 本章首先讨论通常的安全操作系统可以 达到的安全目 的， 接着给出 适合与各 个安全操作系统安全策略并针对每个安全策略详细描述了相应的安全机制， 最后 找到 适合本 操作系统的安全操作系统的安全模型描 述以 及实现， 2 . 1安全 目的 计算机安全的日的的定义通常包括三个方而: . 机密性 ( c o n f i d e n t i a l i t y ) :防止未 经授权的信息泄漏。 . 完整性 ( i n t e g r i t y ) :防 止未经授权的信息被篡改。 . 可用性 ( a v a i l a b i l i t y ) :防 止未经授权的信息或资 源截留。一 可用性与信息和资源 ( 如计算机系统本身) 有关，而机密性和完整性只与信 息本身有关。 要验证一个系统有很高的可用性是不大可能， 但是验证一个系统有 较高的机密性和完整性， 并且两者可以由访问控制来达到。 因此为机密性和完整 性实现 一 个访问监控器是有可能的。 机密性和完整性可以使用精确的、 全局和一 致的属性来描述， 而其他的属 性则不能。 因此一个系统是否能够满足机密性和完 整性是可以计算的， 因此本文下面所讨论的都是基于机密性和完整性为目的而展 开的 2 . 2安全策略 安全策略关注信0 、 系 统种的 信息 控制、 管理和分发。 踏实规定信息系统或产 品对敏感信-qq 、 的处理和使用方式的法律、 规则和条例的集合( i t s g 1 9 9 1 7 因此由上面可知女全操作系统的主要目的是保障信息的机密性和完整性。 安 全操作系统的斗要任务就拉制系统中主体对客体的访问， 严格划分系统中各主体 西北工业大学硕十学位论文 安全 l i n u x操作系统的设计与胡究 的责任， 确保最小 特权、 特权分离和完全仲裁安全原则的实施。 注:主体 ( s u b j e c t ) :引 起信息在客休之间流动的人、进程或设备等。 客体 ( o b j e c t ) : 信息的 载体。 么3两个最熏要的安幽雄赌橄型 6 m是访问控制矩阵; f是安 全级别函数， 用于确定任意主体和客体的安全 级别: f / 是客体间的层次关系， 抽象出的访问 方式有四种，分别是只可读厂 、 只 可写a 、 可读写， 和不可读写 ( 可执行) e 。 主体的 安全级别包括最大安全级别和 当前安全级别，最大安全级别通常简称为安全级别。以下 特性和定理构成了 b l p 模型的核心内容。 . 简单安全特性 ( s s 一 特性):如果 ( 主体，客体，可读)是当前访问，那么 一定有: l e v e l ( 主体) l e v e l ( 客体) 其中，l e v e l表示安全级另 叽 . 星号安全特性 ( * 一 特性):在任意状态，如果 ( 主体，客体，方式)是当前 访问， ( 1 ) 那么一定有: 若方式是: ; ，则:l e v e l ( 客体) c 二 一 e n c - l e v e l ( 主体) ; 西北工业大学硕十学位论文 安全 l i n u x操作系统的设计与胡究 的责任， 确保最小 特权、 特权分离和完全仲裁安全原则的实施。 注:主体 ( s u b j e c t ) :引 起信息在客休之间流动的人、进程或设备等。 客体 ( o b j e c t ) : 信息的 载体。 么3两个最熏要的安幽雄赌橄型 6 m是访问控制矩阵; f是安 全级别函数， 用于确定任意主体和客体的安全 级别: f / 是客体间的层次关系， 抽象出的访问 方式有四种，分别是只可读厂 、 只 可写a 、 可读写， 和不可读写 ( 可执行) e 。 主体的 安全级别包括最大安全级别和 当前安全级别，最大安全级别通常简称为安全级别。以下 特性和定理构成了 b l p 模型的核心内容。 . 简单安全特性 ( s s 一 特性):如果 ( 主体，客体，可读)是当前访问，那么 一定有: l e v e l ( 主体) l e v e l ( 客体) 其中，l e v e l表示安全级另 叽 . 星号安全特性 ( * 一 特性):在任意状态，如果 ( 主体，客体，方式)是当前 访问， ( 1 ) 那么一定有: 若方式是: ; ，则:l e v e l ( 客体) c 二 一 e n c - l e v e l ( 主体) ; 西北工业大学硕十学位论文 安全 l i n u x操作系统的设计与胡究 的责任， 确保最小 特权、 特权分离和完全仲裁安全原则的实施。 注:主体 ( s u b j e c t ) :引 起信息在客休之间流动的人、进程或设备等。 客体 ( o b j e c t ) : 信息的 载体。 么3两个最熏要的安幽雄赌橄型 6 m是访问控制矩阵; f是安 全级别函数， 用于确定任意主体和客体的安全 级别: f / 是客体间的层次关系， 抽象出的访问 方式有四种，分别是只可读厂 、 只 可写a 、 可读写， 和不可读写 ( 可执行) e 。 主体的 安全级别包括最大安全级别和 当前安全级别，最大安全级别通常简称为安全级别。以下 特性和定理构成了 b l p 模型的核心内容。 . 简单安全特性 ( s s 一 特性):如果 ( 主体，客体，可读)是当前访问，那么 一定有: l e v e l ( 主体) l e v e l ( 客体) 其中，l e v e l表示安全级另 叽 . 星号安全特性 ( * 一 特性):在任意状态，如果 ( 主体，客体，方式)是当前 访问， ( 1 ) 那么一定有: 若方式是: ; ，则:l e v e l ( 客体) c 二 一 e n c - l e v e l ( 主体) ; 西 北 工 业 人 学 rk 卜 学 位 论 文女全l i n u x 操作系统的设计与研究 ( 2 )若方式是w ，则:斤 刀( 客体)二c u r r e n t - l e v e l ( 主体) ; 3 )若方式是r ，则:c u r r e n t - l e v e l ( 主体) l e v e l ( 客体) ; 其中 ，c u r r e n t - l e v e l 表 示 当 前 安 全 级 别。 基本原则: 1 . n o r e a d - u p s e c r e c y : 只有当一个主体女全级别优势于一个客体的安全级别时，这个主体才可 以 “ 读 “ 这个客体。 2 . n o w ri t e - d o wn s e c re c v: 只有当一个客体的安全 级别优势于一个主体的安全级别时，这个主体才 可以 “ 写 “ 这个客体， 3 稳性原则 ( t r a n q u i l i t y ): 任何主体不能改变一个活动客体的分类。 4 .自 主安全特性 ( d s 一 特性) : 如果 ( 主体- i ， 客体一 1 . 方式一 x ) 是当 前访 问，那么， 方式 一 x一定在 访问 控制矩阵m的元素m i _j 中。 5 . n o n - a c c e s s i b i l i t y o f i n a c t i v e o b j e c t : 一 个主体不能对非活动 客体的内容 进行 “ 读”操作。 6 . r e w r i t i n g o f i n a c t i v e o b j e c t s : 给一个新激活的客体分配一个初态，且这个状态不依赖于以前所拥有过 的状态口 基本安全定理: 如果系统状态的 每一次变化都能满足s s 一 特性、 * 一 特性和d s 一 特性 的要求， 那么，在系统的整 个状态变化过程中，系统的安全性是不会被破坏的。 b l p模型支持的是信息的保密性。 2 . 3 .2 b i b a 模型 b l p 模型时通过防止对信启 、 非授权泄漏而达到保密的目的。然而，它却无法 防止对系统信息进行非法的修改，由b i b a 提出的模型通过运用于 b l p 模型类似 的原则而达到保护信息完整性的目的。 系统中的每个主体和客体被分配 一 个叫完 整性级别 ( i n t e g r i t y l e v e l ) 和分类 ( c l a s s i f i c a t i o n ) . 这个模型考虑的访问模式为: 西 北 工 业 人 学 rk 卜 学 位 论 文女全l i n u x 操作系统的设计与研究 ( 2 )若方式是w ，则:斤 刀( 客体)二c u r r e n t - l e v e l ( 主体) ; 3 )若方式是r ，则:c u r r e n t - l e v e l ( 主体) l e v e l ( 客体) ; 其中 ，c u r r e n t - l e v e l 表 示 当 前 安 全 级 别。 基本原则: 1 . n o r e a d - u p s e c r e c y : 只有当一个主体女全级别优势于一个客体的安全级别时，这个主体才可 以 “ 读 “ 这个客体。 2 . n o w ri t e - d o wn s e c re c v: 只有当一个客体的安全 级别优势于一个主体的安全级别时，这个主体才 可以 “ 写 “ 这个客体， 3 稳性原则 ( t r a n q u i l i t y ): 任何主体不能改变一个活动客体的分类。 4 .自 主安全特性 ( d s 一 特性) : 如果 ( 主体- i ， 客体一 1 . 方式一 x ) 是当 前访 问，那么， 方式 一 x一定在 访问 控制矩阵m的元素m i _j 中。 5 . n o n - a c c e s s i b i l i t y o f i n a c t i v e o b j e c t : 一 个主体不能对非活动 客体的内容 进行 “ 读”操作。 6 . r e w r i t i n g o f i n a c t i v e o b j e c t s : 给一个新激活的客体分配一个初态，且这个状态不依赖于以前所拥有过 的状态口 基本安全定理: 如果系统状态的 每一次变化都能满足s s 一 特性、 * 一 特性和d s 一 特性 的要求， 那么，在系统的整 个状态变化过程中，系统的安全性是不会被破坏的。 b l p模型支持的是信息的保密性。 2 . 3 .2 b i b a 模型 b l p 模型时通过防止对信启 、 非授权泄漏而达到保密的目的。然而，它却无法 防止对系统信息进行非法的修改，由b i b a 提出的模型通过运用于 b l p 模型类似 的原则而达到保护信息完整性的目的。 系统中的每个主体和客体被分配 一 个叫完 整性级别 ( i n t e g r i t y l e v e l ) 和分类 ( c l a s s i f i c a t i o n ) . 这个模型考虑的访问模式为: 西北 工 业 大 学 硕 士 学 位 论 文 安全l i n u x 操作系统的设计与研究 . 修改 ( m o d i t y ) : 在客体中 “ 写”信息， 这类似于其他 模型中的 “ 写” 操作。 .调用 ( i n v o k e ) :它不同于以前的方式，以前的方式都是应用于客体，这个 操作是用于主体。如果两个主体间有了调用 ( i n v o k e ) 权利，他们之间就可 以进行通信了。 。观察 ( o b s e v e ) :“ 读”客体中的信息，它于其他模型中的读 ( r e a d )方式相 类似。 . 执行 ( e x c u t e ) : 执行一个客体 ( 程序) o b i b a 的核心策略: 严格环策略 ( s t r i c t i n t e g r i t y p o l i c y ) . 完整性*一性质:只有一个主体的完整性基本高于一个客体的完整性级 别时，才可以对客体进行 “ 修改” 。 . 调用性 质 ( i n v o c a t i o n p r o p e r t y ) : 只有一个主体的完整性级别高于另 一个主体的完整性级别时，才可以对另一个主体进行调用。 . 简单完整性条件_ ( s i m p l e i n t e g r i t y c o n d i t i o n ) :只 要当 一个客体的 完 整性级别高于一个主体的完整性 级别时 ，才可以对客体进行观 察 ( o b s e r v e )操作。 这个策略 跟b l p 安全策略对偶， 上面的策略防止信息从低完整性级别的 客体 流向具体高或不可比 较的完整性级别的客体。可以概括为:n o r e a d一d o w n i n t e g r i t y 和n o w r i t e一u p i n t e g r i t y ，这两个原则时b l p 模型中n o r e a d 一 u p 和 n o w r i t e - d o w n 原 则的 对偶。 纵上所述， 将 b l p 模型的保密控制原理和 b i b a 模型的严格完整性原理结合， 可以达到保密性和完整性的目的。 2 .4几种安全操作系统概述和使用的策略 2 .4 . 1 引用监控机和安全核 1 9 7 2年了 作为承 担美匡 空军的 ， 项计算机安全规划 研究任务的研究成果， j . 尸 .a n d e r s o n在一份研究报告. a n d e 1 9 了 2 中提出了引用监控机 ( r e f e r e n c e m o n i t o r ) 、 引用验证机制( : 。e r e n c e v a l i d a t i o n m e c h a n i s m ) , 女全核t s e c t lr 上 t y 西北 工 业 大 学 硕 士 学 位 论 文 安全l i n u x 操作系统的设计与研究 . 修改 ( m o d i t y ) : 在客体中 “ 写”信息， 这类似于其他 模型中的 “ 写” 操作。 .调用 ( i n v o k e ) :它不同于以前的方式，以前的方式都是应用于客体，这个 操作是用于主体。如果两个主体间有了调用 ( i n v o k e ) 权利，他们之间就可 以进行通信了。 。观察 ( o b s e v e ) :“ 读”客体中的信息，它于其他模型中的读 ( r e a d )方式相 类似。 . 执行 ( e x c u t e ) : 执行一个客体 ( 程序) o b i b a 的核心策略: 严格环策略 ( s t r i c t i n t e g r i t y p o l i c y ) . 完整性*一性质:只有一个主体的完整性基本高于一个客体的完整性级 别时，才可以对客体进行 “ 修改” 。 . 调用性 质 ( i n v o c a t i o n p r o p e r t y ) : 只有一个主体的完整性级别高于另 一个主体的完整性级别时，才可以对另一个主体进行调用。 . 简单完整性条件_ ( s i m p l e i n t e g r i t y c o n d i t i o n ) :只 要当 一个客体的 完 整性级别高于一个主体的完整性 级别时 ，才可以对客体进行观 察 ( o b s e r v e )操作。 这个策略 跟b l p 安全策略对偶， 上面的策略防止信息从低完整性级别的 客体 流向具体高或不可比 较的完整性级别的客体。可以概括为:n o r e a d一d o w n i n t e g r i t y 和n o w r i t e一u p i n t e g r i t y ，这两个原则时b l p 模型中n o r e a d 一 u p 和 n o w r i t e - d o w n 原 则的 对偶。 纵上所述， 将 b l p 模型的保密控制原理和 b i b a 模型的严格完整性原理结合， 可以达到保密性和完整性的目的。 2 .4几种安全操作系统概述和使用的策略 2 .4 . 1 引用监控机和安全核 1 9 7 2年了 作为承 担美匡 空军的 ， 项计算机安全规划 研究任务的研究成果， j . 尸 .a n d e r s o n在一份研究报告. a n d e 1 9 了 2 中提出了引用监控机 ( r e f e r e n c e m o n i t o r ) 、 引用验证机制( : 。e r e n c e v a l i d a t i o n m e c h a n i s m ) , 女全核t s e c t lr 上 t y 西北 工 业 大 学 硕 士 学 位 论 文 安全l i n u x 操作系统的设计与研究 . 修改 ( m o d i t y ) : 在客体中 “ 写”信息， 这类似于其他 模型中的 “ 写” 操作。 .调用 ( i n v o k e ) :它不同于以前的方式，以前的方式都是应用于客体，这个 操作是用于主体。如果两个主体间有了调用 ( i n v o k e ) 权利，他们之间就可 以进行通信了。 。观察 ( o b s e v e ) :“ 读”客体中的信息，它于其他模型中的读 ( r e a d )方式相 类似。 . 执行 ( e x c u t e ) : 执行一个客体 ( 程序) o b i b a 的核心策略: 严格环策略 ( s t r i c t i n t e g r i t y p o l i c y ) . 完整性*一性质:只有一个主体的完整性基本高于一个客体的完整性级 别时，才可以对客体进行 “ 修改” 。 . 调用性 质 ( i n v o c a t i o n p r o p e r t y ) : 只有一个主体的完整性级别高于另 一个主体的完整性级别时，才可以对另一个主体进行调用。 . 简单完整性条件_ ( s i m p l e i n t e g r i t y c o n d i t i o n ) :只 要当 一个客体的 完 整性级别高于一个主体的完整性 级别时 ，才可以对客体进行观 察 ( o b s e r v e )操作。 这个策略 跟b l p 安全策略对偶， 上面的策略防止信息从低完整性级别的 客体 流向具体高或不可比 较的完整性级别的客体。可以概括为:n o r e a d一d o w n i n t e g r i t y 和n o w r i t e一u p i n t e g r i t y ，这两个原则时b l p 模型中n o r e a d 一 u p 和 n o w r i t e - d o w n 原 则的 对偶。 纵上所述， 将 b l p 模型的保密控制原理和 b i b a 模型的严格完整性原理结合， 可以达到保密性和完整性的目的。 2 .4几种安全操作系统概述和使用的策略 2 .4 . 1 引用监控机和安全核 1 9 7 2年了 作为承 担美匡 空军的