（计算机应用技术专业论文）面向电子政务终端安全操作系统访问控制的设计与实现.pdf

北京交通大学硕士研究生毕业论文 摘要 随着信息技术的飞速发展， 电子政务在政府实际工作中己 经发挥了 越来越重要的作用。 而在电子政务中， 安全问题是一个十分重要的问题， 没有电子政务的安全，整个政府办公将受到很大影响。 当前，电子政务系统在安全方面存在很多隐患:首先， 在我国的电 子政务内网中， 使用的主流操作系统都是从国外引进的， 其安全性难以 让人放心，并且己 经证明 w i n d o w s 操作系统曾留 有后门; 其次，现有 操作系统都是通用操作系统，大都采用以自主访问控制为主的安全措 施，安全等级很低，很容易攻破，极易受木马和病毒的攻击; 再次，大 部分的安全防范措施是由防火墙、入侵监测和病毒防护这个 “ 老三样” 组成， 这种安全手段仅在外围对非法用户和越权访问进行封堵， 以 达到 防止外部攻击的目的， 而对共享源的访问者源端不加控制。 综合以上三 点，我们可以看出，随着恶意用户的手段越来越高明， 防护者只能把防 火墙越砌越高、入侵检测越做越复杂、恶意代码库越做越大， 误报率也 随之增多， 加之底层操作系统不能提供有力的安全支持， 使得安全的投 入不断增加， 维护与管理变得更加复杂和难以实施， 信息系统的使用效 率大大降低。 本文描述的安全操作系统是面向电子政务内网， 从分析电子政务的 应用出发，为电子政务定做的专用安全操作系统。 该操作系统的特点如 下:第一，提出了新的访问控制思想，不对敏感数据从外围进行封堵， 而是将访问控制的重心放在终端，对共享源的访问者源端进行访问控 制， 攻击源端安全了，整个系统也就安全了， 这是无需证明的公理;第 二， 将操作系统中加入强制访问控制， 在电子政务内网中， 要处理的工 作流程都是预先设计好的， 操作使用的角色是确定的， 应用范围和边界 都是明确的， 因此可以 制定用户的安全等级， 并对各种等级用户所拥有 的权限进行限制， 这种权限不是用户自 定义的， 而是安全管理员分配的。 第三， 网络访问控制是本文的一大特色， 该访问控制是在整个安全操作 系统思想的指导下对b / s 结构中b端进行访问控制的实现方式， 也是新 的访问控制思想的标志。 通过对b端访问 请求消息的分析， 得出访问请 未经作 者、 导 师问 意 勿全文公布 北京交通大学硕士研究生毕业论文 求的主体、客体和操作，从源端进行网络访问控制。 第四， 对该安全操 作系统中所需要的相关措施如安全配置管理以及加解密等内容进行了 简要叙述。 关键词: 电子政务 安全操作系统 b l p模型 强制访问控制 网络访 问控制 北京交通大学硕士研究生毕业论文 abs tract wit h t h e d e v e l o p m e n t o f i n f o r m a t i o n t e c h n o l o g y , e - g o v e r n m e n t h a s p l a y e d m o r e a n d m o r e i m p o r ta n t r o l e i n g o v e r n m e n t s d a i l y w o r k . i n e - g o v e rn m e n t , s e c u r i t y i s a p r o b l e m w h i c h s h o u l d b e a tt a c h e d g r e a t i m p o r t a n c e t o . wi t h o u t s e c u r i t y , t h e w h o l e e - g o v e r n m e n t w i l l b e o u t o f o r d e r . a t p r e s e n t , t h e r e a r e a l o t o f p o t e n t i a l d a n g e r s i n e - g o v e r n m e n t : f i r s t l y , m a j o r o p e r a t i n g s y s t e m s a r e t h o s e w h i c h w e r e i n t r o d u c e d fr o m a b r o a d , a n d t h e i r s e c u r i t y c a n n o t s e t o u r h e a r t s a t r e s t . i n f a c t , s o m e b a c k d o o r s h a v e b e e n f o u n d i n win d o w s o p e r a t i n g s y s t e m . s e c o n d l y , t h e e x i s t i n g o p e r a t i n g s y s t e m s a r e g e n e r a l u s e d , w h i c h u s e o n l y d i s c r e t i o n a r y a c c e s s c o n t r o l ( d a c ) . t h i s k i n d o f a c c e s s c o n t r o l i s s o v u l n e r a b l e t h a t i t c a n b e a t t a c k e d b y t r o y h o r s e . t h i r d l y , m o s t m e a s u r e s t a k e n a r e f i r e w a l l s , i d s a n d v i r u s p r o t e c t i o n s . t h e s e p r o t e c t i o n s a i m t o k e e p t h e a tt a c k o u t o f i m p o r t a n t d a t a , b u t t h e y d o n o t c o n t r o l t h e s o u r c e s o f a tt a c k s . s o , w h e n a tt a c k s b e c o m e m o r e a n d m o r e s e v e r e , w h a t w e c a n d o i s o n l y t o m a k e t h e fi r e w a l l t a l l e r a n d t a l l e r , i d s m o r e a n d m o r e c o m p l e x , v i r u s l i b r a ry l a r g e r a n d l a r g e r a n d e v e n t h e p r o b a b i l it y o f w r o n g r e p o r t c a n b e b i g g e r . a c c o r d i n g t o a b o v e , t h e s e c u r i t y s y s t e m w i l l b e c o m e d i f f i c u l t t o b e m a i n t a i n e d , m a n a g e d a n d i m p l e m e n t e d . t h e s e c u r e o p e r a t i n g s y s t e m d e s c r i b e d i n t h i s t h e s i s f o c u s e s o n t h e g o v e m m e n t s i n t r a n e t . t h e f e a t u r e s a r e a s f o l l o w s : f i r s t l y , n e w a c c e s s c o n t r o l c o n c e p t i s u s e d . i t d o e s n o t l i e j u s t o u t o f i m p o rt a n t d a t a in s e r v e r , b u t r e s i d e i n t h e c l i e n t t o c o n t r o l t h e s o u r c e o f a t ta c k . i f e v e ry c l i e n t i s s e c u r e , t h e w h o l e s y s t e m w i l l b e s e c u r e . t h i s i s a n a x i o m . s e c o n d l y , u s i n g ma n d a t o r y a c c e s s c o n t r o l ( ma c ) . i n g o v e r n m e n t s i n t r a n e t . t h e p r o c e s s e s a n d r o l e s a r e p r e d e fi n e d . s o w e c a n c l a s s i f y a l l t h e u s e r s , a n d g i v e e v e r y k i n d o f r o l e s c o r r e s p o n d i n g r i g h t s . t h e s e r i g h t s a r e n o t c u s t o m i z e d b y u s e r , b u t b y s e c u r i t y ma n a g e r . t h i r d l y , n e t w o r k a c c e s s c o n t r o l i s d i ff e r e n t fr o m o t h e r s e c u r e s y s t e m . i t a n a l y s e s t h e r e q u e s t m e s s a g e o f c l i e n t , a n d g e t t h e 北京交通大学硕士研究生毕业论文 i n f o r m a t i o n o f s u b j e c t , o b j e c t a n d a c t i o n , a c c o r d i n g t o w h i c h w e c a n c o n t r o l t h e s o u r c e o f a c c e s s . f o u r t h ly , s o m e r e l a t e d p r o b l e m s a b o u t s e c u r e o p e r a t i n g s y s t e m h a v e b e e n d e s c r i b e d i n b r i e f . k e y w o r d s : e - g o v e rn m e n t s e c u r e o p e r a t i n g s y s t e m b l p mo d e l ma n d a t o r y a c c e s s c o n tr o l n e t w o r k a c c e s s c o n tr o l 北京交通大学硕士研究生毕业论文 第一章 绪 论 1 . 1 引言 随着计算机信息技术的飞速发展，电子政务在政府实际工作中已经发 挥了 越来越重要的作用 c h e n 2 0 0 z 。 可以 毫不夸张地说， 现在如果缺少了 电子信息技术这个手段，大量的政府部门将完全无法进行正常的工作，将 直接给国家的经济发展带来巨大的负面影响。 而在电子政务的建设过程中， 安全性问题是电子政务的首要问题，各国政府都在开展这方面的研究。在 电子政务系统的技术选择过程中，一定要首先考虑政务信息的安全问题。 p e n g 2 0 0 2 当前，在国内的电子政务内网办公系统中，以国家铁道部为例，网络 服务器和文件服务器都使用wi n d o w s 2 0 0 0 操作系统， 在这两个服务器中都 存储重要的数据，为了保证服务器中数据的安全，在服务器上安装了防火 墙、入侵监测系统以及病毒防护系统等。这样的系统防护存在很多安全隐 出 第一，大部分的安全防范措施是由防火墙、入侵监测和病毒防护这个 “ 老三样”组成，这种安全手段仅在敏感数据外围对非法用户和越权访问 进行封堵，以达到防止外部攻击的目的，而对共享源的访问者源端不加控 制 s h e n 2 0 0 3 . 第二，计算机信息系统是建立在操作系统之上的，仅仅针对操作系统 之上的资源进行保护，而对操作系统不采取任何有效的保护措施，那么整 个信息系统的根基就不牢固，信息的安全就没有根本的保障，因此操作系 统的 安全与 否至关重要。 s h i 2 0 0 2 第三，长期以来，我国广泛应用的主流操作系统都是从国外引进直接 使 用的 产品。 从国 外引 进的 操作 系 统， 其 安 全性 难以 令人 放 心 w u 2 0 0 3 . 安全操作系统与国家利益密切相关，高级别的系统向 来是被美国政府禁止 出口的。开展安全操作系统研究和开发具有我国目主版权的安全操作系统 产品是我国各行各业的迫切需要。我国在操作系统安全领域，也开展了一 _1- 北京交通大学硕士研究生毕业论文 些工作 s h 1 2 0 0 2 ， 但还远 远不能 满足对日 益增长的 基础操作系 统 平台的 安 全要求。 第四，现有操作系统大都是通用操作系统，大都采用以自 主访问控制 为主的安全措施，安全等级很低 g b 1 9 9 9 s u n 1 9 9 9 ，很容易 攻破，极易 受木马和病毒的攻击。因此开发面向应用的专用安全操作系统的需要日 益 迫切。 综合以 上四点，我们可以 看出，随着恶意用户的手段越来越高明，防 护者只能把防火墙越砌越高、 入侵检测越做越复杂、 恶意代码库越做越大， 误报率也随之增多，加之底层操作系统不能提供有力的安全支持，使得安 全的投入不断增加，维护与管理变得更加复杂和难以实施，信息系统的使 用效率大大降低。 l i n u x开放源代码为我们自 主研制安全操作系统提供了前所未有的机 遇 ，以 l in u x操作系统为基础研制安全操作系统是现实可行的 s u n 1 9 9 9 wu 2 0 0 3 。 我们完全可以 根据需要， 对l i n u x 操作系统进行定 制，开发出自己的专用安全操作系统。 1 .2国内外发展现状 mu lt i c s 是安全操作系统的最早尝试， 在 1 9 6 5 年由a t 第二章，介绍l i n u x 操作系统现有的安全性，并指出其存在的安全问题: 第三章，介绍通常使用的访问控制方法;第四章，对终端安全操作系统进 行概述， 使读者对新型的安全操作系统有一个总体的了 解; 第五章， 对安 全操作系统中的访问控制进行理论阐述和逻辑方面的设计:第六章，具体 阐述访问控制的实现方法;第七章，测试的方法和对实验数据的分析;第 八章，对所做工作的总结以及对以后工作的展望。 北京交通大学硕士研究生毕业论文 第二章 l i n u x 现有访问控制与电子政务 2 . 1电子政务采用 l i n u x的必然性 由第一章我们可以知道，现有电子政务使用的主流操作系统都是从国 外引进的， 安全性很难让人放心， 特别是在wi n d o w s 曾经发现留有后门的 情况下， 政府还在大范围使用wi n d o w s ，这不能不让人为电子政务的安全 作出考虑。 l i n u x是开放源代码的操作系统，这使国内的计算机工作者可以了解 该操作系统的内部实现，这样就防止了任何后门的存在，使我们对操作系 统本身的安全性能够了解和控制，消除了我们的后顾之忧。但是，l i n u x 操作系统并不是一个高安全等级的操作系统，还不能对上层应用提供强有 力的安全支持，而且由于电子政务有其自 身的特点， 通用的安全操作系统 并不能十分贴切地满足电子政务的需求。因此，对现有的l i n u x 进行安全 增强，并根据具体的需要进行定制，开发出国内自 主知识产权的专用安全 操作系统是时代发展的需求和必然发展方向。 2 .2 研究l i n u x 访问控制的重要性 从l i n u x诞生之日起，访问控制并没有在该操作系统中占 有十分重要 的地位，而是把大部分努力放在了功能的实现上。然而，对于一个安全操 作系统来说，它的作用就是要防止非法用户的入侵，并避免合法用户进行 误操作和恶意攻击，实际上就是对用户的访问操作进行控制，以防止用户 做自己权限范围之外的事情。因此，安全操作系统的核心组成部分之一就 是访问控制， 安全操作系统的特性在相当大程度上也体现在访问控制上面。 因此，对l i n u x 操作系统本身的访问控制进行研究，找出其具有的缺陷， 并根据实际需要，对现有访问控制进行加强，是研究安全操作系统的必由 之路。 北京交通大学硕士研究生毕业论文 2 3 l i n u x 现有的访问控制 l i n u x实现的是支持多层目 录的树型结构的文件系统。每个目 录和文 件对应到一个称为i 节点的数据结构，访问控制信息存放在 i 节点中，文 件或目 录被打开时相应 i 节点被调入内存。 在l i n u x 系统中， i i o设备、内 存、终端、网络等也作为文件看待，可以 使用与文件一样的系统调用进行 操作。 2 .3 . 1 . 文件权限 文件权限是 l i n u x文件系统安全的关键，l in u x以权限定义为基础实 现访问 控制， q ing 2 0 0 2 中 对此有较为 详细的 讨论。 在l in u x 系统中， 每 个用户有一个唯一的用户名和用户i d号 ( u i d )。 另外， 每个用户与一个 或多个分组相关联。 l i n u x文件系统中的每个文件属于一个用户和一个分组。每个文件和 目 录有三组权限与之相关:一组为文件的拥有者，一组为文件所属分组的 成员，一组为其他所有用户。 每组权限有三个权限标志位来控制以下权限: 可读 ( r ) 一 如果被设置，则文件或目 录可读。 可写 ( w ) 一 如果被设置，文件或目 录可以被写入或修改口 可执行 ( x ) 一 如果被设置，文件或目 录可以被执行和搜索。 这9 位合起来被称为 “ 模式位 ( m o d e b i t s )”。模式位通常用一列十 个字符来表示，每个字符表示一个模式设置，还有一位指明文件类型。 文件模式( f i l e m o d e ) i 1 1 o t h e r i - 1 g r o u p l o wn e r 一 r e g u l a r d d i r e c t o r v 北京交通大学硕士研究生毕业论文 p p i p e c c h a r a c t e r d e v i c e b b l o c k d e v i c e 1 s y mb o l i c l i n k 模式的第一字符指明文件类型:如普通文件、目 录文件、管道文 件、字符设备文件和块设备文件等等。 后面 9个字符是三组权限位，分别指:文件拥有者，拥有者所属 用户组以及其它用户。每组中三位字符分别指该类用户能否读、写和执行 该文件。 如 : $i s - 1 d r wx r - x - - - 1 r o o t o t h e r 2 r o o t s v s 3 4 3 f e b 2 3 0 9 : 5 8 r u n 5 1 2 j u l 1 1 2 2 : 1 2 s b i n 第一行的- r w x r - x r - x以气”开始，表示 r u n是一个普通文件，拥有者 具有读、 写和执行权限 ( r w x ) ， 分组和其他用户有相同级别的权限 ( r - x ) , 表示任何人可以对该文件进行读或执行。 第二行是一个目 录( 以“ d ” 指明) ， 其拥有者有读、写和执行艘 索权限 ( r wx )，分组有读和执行/ 搜索权但 不能写 ( r - x )，其他用户什么权限都没有 ( - 一)。 2 .3 .2 . 访问权限确认 权限位串中的三组权限是独立进行检查的。用户的访问权限按文件主 人、同组人、其他人的顺序进行确认，如果是主人，则用与主人对应的那 组权限位去确定用户所具有的权限;如果不是主人而是同组人，则用同组 人对应的权限位去确定用户的权限;若也不是同 组人便按其他人处理，用 其他人对应的权限位去确定用户的权限。系统对超级用户不作任何权限检 杳。 北京交通大学硕士研究生毕业论文 2 . 4 l i n u x 现有访问控制的弊端 l i n u x的访问控制是如此简单，其安全机制是以自 主访问控制为基础 的， 在l i n u x 操作系统的实现中，这种机制存在一系列的安全问 题， 将会 给电子政务带来很大影响。 2 . 4 . 1 . 自主访问控制易受攻击 l i n u x在访问控制方面仅仅有自 主访问控制，也就是说，用户有权力 对自己所建立的文件进行控制。 允许哪个用户以什么样的方式访问该文件， 甚至是把自己的这种权力转移到哪个用户上面都是由文件或目 录的创建者 来决定的。 这种自 主访问控制存在的致命缺陷就是极容易受到木马的攻击。 例如， l in u x按照 p a t h环境变量指定的目 录和目 录次序搜索待执行的程序文 件。 用户可在各自的环境配置文件中设定p a t h的值， 假定某用户允许“ 其 它人”对他的工作目 录拥有 “ 写”权限，并且工作目 录在目 录搜索次序中 排在首位，在这种条件下，只要在该用户的工作目 录中放进一个常用命令 ( 例如 i s )的伪版本 ( 特洛伊木马)，一旦该用户执行相应命令，特洛伊 木马就以该用户所拥有的权力运行，攻击者就可达到攻击目的。木马可以 修改该用户所创建文件的属性和授权情况，这样，自 主访问控制就形同虚 设，失去意义了。 2 . 4 . 2 . 超级用户权限过大 在l i n u x 系统中，基于下面两点决定使用安全相关命令的能力: 1 . 是否用户具有该程序的执行权限。 2 .是否调用用户为r o o t ， 也即是否调用进程的有效用户i d为0 . 所有调用进程的有效用户i d不为r o o t 时， 特权系统调用都不能成功 这种方法有两个缺陷， 一是所有的内核操作都允许 r o o t 访问， 超级用户r o o t 具体对系统的完全控制权。二是为了进行系统管理，通常有超过一个以上 北京交通大学硕士研究生毕业论文 的人知道超级用户 r o o t 的口令，或者系统中存在另外的用户 i d为 0的帐 号。 第一个缺陷意味着攻击者只要获得超级用户帐号，就能够完全控制系 统。攻击者通过猜测或其它方法获得超级用户口令后，可以在系统中植入 具有特权权限的特洛伊木马。第二个缺陷意味着超级用户的口令常常可能 是共享的，不能控制超级用户受控使用。 在l i n u x 系统中，超级用户角色的设计使得一个单一的兔色拥有一切 可能的特权，具有至高无上的权力，明显地违背了最小特权原则。 在电子政务系统中， 如果某个人的权限过大， 在访问的时候没有阻碍， 那么在正常的工作中，就会因为拥有这样权限的人滥用职权，越轨办事， 后果不堪设想。因此，在操作系统中，各种权力集一身的用户应该消除， 使权力分散，这样就可以提高整个系统的安全性，尽可能减少系统的安全 隐患。 北京交通大学硕士研究生毕业论文 第三章 访问控制的通用方法 访问控制通常可以 分为两类，即自 主访问 控制和强制访问 控制，在任 何一种高安全等级的操作系统中，都存在这两种访问控制，而且强制访问 控制是高安全等级安全操作系统的标志。因此，本文所讨论的面向电子政 务终端安全操作系统也以这两种访问控制方法为基础，对l i n u x作面向电 子政务的改造。 3 . 1 自主访问控制 自 主访问 控制 ( d i s c r e t i o n a ry a c c e s s c o n t r o l , d a c ) 是最常用的 一类 访问控制机制，是用来决定一个用户是否有权访问客体的一种访问约束机 制。在自主存取控制机制下，文件的拥有者可以按照自己的意愿指定系统 中的其他用户对其文件的访问 权。亦即，使用自 主访问 控制机制，一个用 户可以自主地说明其资源允许系统中哪些用户以何种权限进行共享。从这 种意义上讲，是 “ 自主”的。另外，自 主也指对其他具有授予某种访问权 力的用户能够自 主地 ( 可能是间接的)将访问权或访问权的某个子集授予 另外的用户。 需要自 主访问控制保护的客体数量取决于系统环境，几乎所有的系统 在自 主存取控制机制中都包括对文件、目 录、 pc以及设备的访问控制口 为了实现完备的自 主访问 控制机制，系统要将访问控制矩阵相应的信 息以某种形式保存在系统中，访问控制矩阵的每一行表示一个主体，每一 列表示一个受保护的客体，矩阵中的元素表示主体可以对客体进行的访问 控制模式。目 前在操作系统中实现的自 主访问控制机制都不是将矩阵整个 地保存起来，因为这样做效率很低。实际的方法矩阵的行或列表达访问控 制信息。 在l i n u x系统中，实现了一种十分简单、常用而又有效的自 主访问控 制模式，就是在每个文件上附加一段有关访问控制信息的二进制位，这些 二进制位反映了不同类别用户的存取方式:文件的拥有者、文件拥有者同 一1 1- 北京交通大学硕士研究生毕业论文 组的用户以及其他用户。 该方法在2 3 : l i n u x 现有的访问 控制中 进行了 描 述 。 强制访问控制 1 . 强制访问控制概述 犯3.2. 在强制访问控制下， 系统中的每个进程、 每个文件、 每个i p c客体( 消 息队列、信号量集合和共享存储区) 都被赋予了 相应的安全属性， 这些安 全属性是不能改变的，它由管理部门 ( 如安全管理员)或由操作系统自 动 地按照严格的规则来设置，不像访问控制表那样，由用户或它们的程序直 接或间接地修改。当一进程访问一个客体 ( 如文件)时，调用强制访问控 制机制，根据进程的安全属性和访问方式，比较进程的安全属性和文件的 安全属性，从而确定是否允许进程对文件的访问。代表用户的进程不能改 变自身的或任何客体的安全属性，包括不能改变属于用户的客体的安全属 性，而且，进程也不能通过授予其他用户文件存取权限简单地实现文件共 享。如果系统判定拥有某一安全属性的主体不能访问某个客体，那么任何 人 ( 包括客体的拥有者) 也不能使它访问该客体。 从这种意义上讲， 是“ 强 制”的。 强制访问控制和自 主访问控制是两种不同类型的访问控制机制，它们 常常结合起来使用。仅当主体能够同时通过自 主访问控制和强制访问控制 检查时，它才可能访问一个客体用户使用自 主访问控制防止其他用户非法 入侵自己的文件，强制访问控制则作为更强有力的安全保护方式，使用户 不能通过意外事件和有意识的误操作逃避安全控制。因此，强制访问控制 用于将系统中的信息分密级和类进行管理，使用于政府部门、军事和金融 等领域。 通常强制访问控制可以有许多不同的定义，但它们都同美国国防部定 义的多级安全策略相接近，所以人们一般都将强制访问控制和多级安全体 系结构相提并论。 北京交通大学硕士研究生毕业论文 3 .2 .2 . b l p模型描述 b e l l n a t o ,n u c l e a r ) 军事安全策略规定，一个用户要能得到某一信息，用户的等级必须大 于等于该信息的等级，而且用户的类别集合必须包含该信息的所有类别。 例如: 一1 3- 北京交通大学硕士研究生毕业论文 设文件 f的安全类为 f : s e c r e t ; n a t o , n u c