（计算机科学与技术专业论文）基于角色的自主访问控制机制的研究与实现.pdf

国防科学技术大学研究生院工程硕士学位论文 = = = = = = = = = = = = = = = = = = = = = = = = = = = m ! i - - z l - - i zzzzi= 摘要 操作系统安全是信息安全的基础，而操作系统安全的重要内容是保证操作系 统中数据的安全。访问控制作为保证系统中各类数据和文件安全的重要手段，一 直是操作系统安全研究的重要方向。基于a c l 的自主访问机制可以针对单个用户 或用户组授权，但这种授权通常是因为用户具有某种职位，如果被授权的用户不 再承担该职位，权限应被及时撤销。但是由于a c l 设置操作繁琐，可能会出现授 权撤销不及时的现象。 缓冲区溢出攻击以获取r o o t 权限为目标，是一种最常见和最危险的攻击手段。 虽然有各种方法试图抵御缓冲区溢出攻击，但要完全杜绝几乎是不可能的。k y l i n 安全操作系统能够限制攻击者在缓冲区溢出攻击成功后获取系统管理员角色，攻 击者只能获取普通用户权限。但由于系统存在大量属主为r o o t 的文件，攻击者_ 旦通过缓冲区溢出攻击获取r o o t 身份，所能造成的安全威胁不容小视。 针对自主访问控制存在的授权撤销不及时的缺陷，本文提出了一种基于角色 的细粒度自主访问控制机制r a c l 。该机制在k y l i n 操作系统的原有a c l 基础上， 结合角色定权r b a ，在自主授权中引入了用户角色约束，实现了针对角色的授权 和针对用户在承担特定角色时的访问授权。通过角色限制，使得用户只有在承担 该角色时，用户才能拥有针对该角色的访问授权。一旦用户不再承担该角色，访 问授权可以及时撤销。有效解决了a c l 权限撤销不及时而导致的权限扩散的问题。 本文通过修改k y l i n 操作系统原有a c l 设计实现了r a c l 机制，并进行了功能测 试。 为了降低缓冲区溢出攻击成功后的威胁，本文对r a c l 进行了改进，定义了 文件角色，并设计了r a c lf 机制。该机制在r a c l 的基础上减少了授权对象， 降低管理的难度；并在文件的属主用户访问文件时，进行角色限制。在文件角色 和文件属主用户的当前角色不一致时，文件的属主用户按照其他用户对待，进行 后续的访问控制检查。通过文件危色和用户角色的约束，使得攻击者在缓冲区溢 出攻击成功获取r o o t 身份后，由于受到角色限制，攻击者也不能对系统进行破坏， 降低了缓冲区溢出攻击的危害程度。本文在k y l i n 访问控制框架下实现了该机制， 并进行了功能及性能测试，验证了该机制的有效性和可用性。 主题词：信息安全，安全操作系统，自主访问控制，角色，基于角色的自主访 问控制 第i 页 国防科学技术大学研究生院工程硕士学位论文 a b s t r a c t t h eo p e r a t i n gs y s t e ms e c u r i t yi st h eb a s i so fi n f o r m a t i o ns e c u r i t ya n dt h e i m p o r t a n c eo f i ti st oe n s u r et h es e c u r i t yo ft h ed a t ai nt h eo p e r a t i n gs y s t e m a sac r i t i c a l m e t h o dt og u a r a n t e et h es a f e t yo fv a r i o u st y p e so fd a t aa n dd o c u m e n t s ，a c c e s sc o n t r o l h a sa l w a y sb e e na ni m p o r t a n tr e s e a r c hd i r e c t i o n a c c e s sc o n t r o ll i s t ( a c l ) m e c h a n i s m c o u l da u t h o r i z et oas i n g l eu s e ro ru s e rg r o u p ，s u c ha u t h o r i z a t i o ni su s u a l l yd u et ot h e u s e r s i o b s i ft h ea u t h o r i z e du s e rd o e sn o tt a k et h ep o s i t i o na n ym o r e ，p e r m i s s i o n s h o u l db et i m e l yr e v o k e d w h e r e a s ，t h ec o m p l i c a t e da c ls e t t i n go p e r a t i o nm a yl e a dt o t h ep h e n o m e n o nt h a tp e r m i s s i o nb en o tw i t l l d r e wt i m e l y w i mt h eg o a lo fo b t a i n i n gr o o tp r i v i l e g e s ，b u f f e ro v e r f l o wi so n eo ft h em o s t c o m m o na n dd a n g e r o u sm e a n so fa t t a c k a l t h o u g ht h e r ea r em a n yw a y st op r e v e n t b u f f e ro v e r f l o w ，i ti sa l m o s ti m p o s s i b l et ob ec o m p l e t e l ye l i m i n a t e d k y l i ns e c u r e o p e r a t i n gs y s t e mc a nl i m i tt h er o l eo fs y s t e ma d m i n i s t r a t o rb ef i l c h e dw i t ht h eh e l po f b u f f e ro v e r f l o wa t t a c k ；a t t a c k e r sc o u l do n l yo b t a i nt h en o r m a lu s e rr i g h t s h o w e v e r ， t h e r ea r ea1 a r g en u m b e ro fd o c u m e n t sw i t ht h eo w n e ro fr o o ti nt h es y s t e m ，o n c ea n a t t a c k e ro b t a i nt h er o o ts t a t u st h r o u g ht h eb u f 佗ro v e r f l o wa t t a c k s t h es e c u r i t yt h r e a t s p o s e dc a n n o tb en e g l e c t e d a i m i n ga tt h es h o r t c o m i n g so fd i s c r e t i o n a r ya c c e s sc o n t r o li na u t h o r i z a t i o nb e i n g n o tw i t h d r a w nt i m e l y ，t h i sp a p e rp r o p o s e saf i n e g r a i n e dr o l e b a s e da c c e s sc o n t r o l l i s tm e c h a n i s m ( r a c l ) i ti sb a s e do nr b am o d u l eo ft m s t e dk y l i no s ，a n d i n t r o d u c e su s e r sr o l er e s t r i c t i o ni nd i s c r e t i o n a r ya c c e s sc o n t r o l ，w h i c hm a yg r a n t a u t h o r i t yt ot h er o l ea n dt h eu s e rw i t hs p e c i a lr o l e t h r o u g hr o l el i m i t a t i o n s ，t h eu s e r c o u l dh a v et h ea c c e s sa u t h o r i z a t i o no n l ya f t e rh eh a sg o tt h er o l e o n c et h eu s e ri sn o l o n g e ra s s u m i n gt h er o l e a c c e s sa u t h o r i z a t i o nc a nb er e v o k e di nt i m e i th a sb e e na n e f f e c t i v es o l u t i o nt ot h ea c lp e r m i s s i o n sb e i n gn o tr e m o v e di nt i m e ，w h i c hw o u l d c a u s et h ep r o b l e mo fa c c e s sp e r m i s s i o nd i f f u s i o n t h er a c lh a sb e e nd e s i g n e da n d i m p l e m e n t e db a s e do l lm o d i f yt h ek y l i no p e r a t i n gs y s t e m so r i g i n a la c lm e c h a n i s m ， a n dt h ef u n c t i o n a lt e s t sh a sa l s ob e e nc a r r i e do u t t or e d u c et h et h r e a to fb u f f e ro v e r f l o wa t t a c k s t h i sp a p e rh a si m p r o v e dt h er a c l a n dd e f m e st h ef i l er o l e sa n dr a c lfm e c h a n i s m s t 1 1 i sm e c h a n i s md e c r e a s e s a u t h o r i z a t i o no b j e c t sa n dr e d u c e sm a n a g e m e n td i f f i c u l t ，w h i c hb a s e do nt h er a c l ；a n d d o e sr o l el i m i t a t i o n sd u r i n gt h ef i l eo w n e ra c c e s s i n g w h e nt h er o l eo faf i l ea n di t s o w n e r sc u r r e n tr o l ea r ei n c o n s i s t e n t , t h ef i l eo w n e rw i l lb et r e a t e da so t h e ru s e r sa n d f o l l o w - u po ft h ea c c e s sc o n t r o lm e c h a n i s mc h e c k s u n d e rt h ef i l er o l e sa n du s e rr o l e s c o n s t r a i n t sa l la t t a c k e rc o u l dn o td e s t r o yt h es y s t e ma sar e s u l to fr o l el i m i t a t i o n s ， a l t h o u g hh eh a sa l r e a d yo b t a i n e dt h er o o ts t a t u sw i t has u c c e s s f u lb u f f e ro v e r f l o wa t t a c k ， a n dt h i sr e d u c et h es y s t e mh a z a r d sb r o u g h tb yb u f f e ro v e r f l o wa t t a c k s t h i sm e c h a n i s m 第i i 页 国防科学技术大学研究生院工程硕士学位论文 h a sb e e ni m p l e m e n t e du n d e rt h ek y i i na c c e s s c o n t r o lf r a m e w o r k ，a n dt h ee f f e c t i v e n e s s a n da v a i l a b i l i t yo ft h em e c h a n i s mh a sa l s ob e e nv e r i f i e db yu s i n gf i m c t i o n a lt e s t i n ga n d p e r f o r m a n c et e s t i n g k e yw o r d s ：i n f o r m a t i o ns e c u r i t y ，s e c u r eo p e r a t i n gs y s t e m ，d a c ，r o l e ， r a c l 第i i i 页 国防科学技术大学研究生院工程硕士学位论文 表 表 表 表 表4 2 表4 3 表4 4 表4 5 表4 6 表4 表4 表4 表4 7 8 9 1 0 表目录 a c l 的规则类型1 2 r a c l 访问控制项2 6 需要修改的a c l 函数3 0 带文件角色的r a c lf 访问控制项3 6 与r b a 相关的数据结构3 9 r a c lf 相关数据结构4 0 文件操作相关的钩子函数一4 5 g e t f r a c l 的参数表4 7 s e t f r a c l 的参数表4 7 r a c lf 管理员命令4 8 u n i xb e n c h 系统性能测试数据5 0 o p e n 调用的时间开销5 1 其余系统调用的时间开销5 l 第1 i i 页 国防科学技术大学研究生院工程硕士学位论文 图目录 图1 1k y l i l l 安全子系统结构3 图2 1g f a c 框架图7 图2 2f l a s k 结构图8 图2 3l s m 总体框架示意图9 图2 4 访问控制矩阵1 0 图2 5r b a c 9 6 模型17 图2 6 堆栈结构示意图1 9 图2 7 堆的结构2 0 图2 8 堆溢出攻击原理示意图：2 0 图2 9 缓冲区溢出攻击示意图2 1 图3 1r a c l 的初始化过程图2 7 图3 2r a c l 的权限检查过程2 8 图4 1带文件角色的r a c lf 访问控制检查算法3 8 图4 2r a c lf 的初始化及继承4 2 图4 3 r a c li n o d eh a sp e r m 0 流程图4 4 图4 4 钩子函数r a e li n o d er e a n a m e 0 的流程图4 6 第1 v 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 学位论文题目：基王盛鱼鲤自童边闻整剑扭劐的鲤究量塞理 学位论文作者签名：亟量型幽 日期： 哆年，二月巧日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档，允许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文题目：基王盘鱼鲍宣圭透闺控剑扭剑鲍珏塞复塞理 学位论文作者签名： 童量型鱼型一 日期： 沙田年i 二月巧日 作者指导教师签名：一= 瑟垃生l 日期： 如7 年，月彬日 国防科学技术大学研究生院工程硕士学位论文 第一章绪论 信息技术的迅猛发展把人类社会带到了一个高度信息化和网络化的时代，人 们的生产和生活方式也发生了重大的改变。在这种背景下，大量的信息被数字化， 例如政务信息、商务信息、教育医疗信息、银行账户信息等关系国计民生的信息 都以数字化的方式被存储和管理。信息技术高度发展给人们带来便利的同时也带 来威胁，计算机系统越来越容易受到黑客、病毒的攻击，使信息领域的各个方面 不断地受到信息威胁和信息犯罪的滋扰。如何有效地保护这些重要的资源和信息 的安全是一个不可回避且十分重要的问题。我国一直对国家信息安全的建设非常 重视，“关于发展国家信息安全保障体系的2 7 号文件明确指出了我国今后信息 安全建设和发展的根本性指导思想：“坚持积极防御、综合防范的方针，全面提 高信息安全防护能力，以安全促发展，在发展中求安全 。然而仅仅依赖计算机 应用空间的安全机制，无法从根本上保证信息安全。没有操作系统安全机制的保 障，应用空间的安全机制容易遭受破坏、旁路和欺骗攻击。作为计算机系统底层 软件的操作系统，才是信息安全研究的基础部分，更是研究的重中之重，所以加 强操作系统本身的安全性，就显得尤为重要。 1 1引言 信息安全是十分复杂的系统问题，它的研究包含多方面的内容【1 1 。一般认为信 息安全包括物理设备安全、计算机安全和网络安全。计算机安全包括操作系统安 全和外层应用安全。操作系统的安全性在计算机系统的整体安全性中具有至关重 要的作用，没有操作系统安全的支持，计算机系统的安全性是没有基础的郾，4 】。 操作系统把所有有价值的信息看作一般数据以文件的形式统一存储和管理， 因此操作系统最后管理的是可被存取的数据文件。例如l i n u x 操作系统将所有资源 包括设备作为文件统一调度和管理。故要在操作系统层级保证信息安全，就是要 保证操作系统中数据的安全，即保证数据的保密性、完整性和可用性【引。数据的保 密性是指对信息或资源的隐藏，只允许拥有相应特权的主体对特定数据进行访问； 数据的完整性指的是信息或资源的可信度，通常使用防止非法的或者未经授权的 数据改变来保证完整性；数据的可用性是指对信息或资源的期望使用能力，即数 据必须是有效且可以被访问的1 6 1 。保证操作系统中数据的安全性，究其实质就是要 控制系统中主体对客体的访问权刚7 1 。 自主访问控帝i j ( d i s c r e t i o n a r ya c c e s sc o n t r o l 。d a c ) 和强制访问控常1 ( m a n d a t o r y a c c e s sc o n t r o l ，m a c ) 作为最基本的两类访问控制方式被绝大多数操作系统所采 第1 页 国防科学技术大学研究生院工程硕士学位论文 用。自主访问控制采用基于身份的控制策略，它使用户具备自主安全保护的能力， 系统中用户可以自由地决定其他用户以何种方式访问他所拥有的客体【8 】。常见的自 主访问控制是类u n i x 系统中粗粒度的u g o 权限管理方式和细粒度的访问控制列 表a c l 机制。强制访问控制采用基于规则的控制策略，系统依据相应的访问控制 规则来判断访问是否合法，对用户的访问行为进行限制，任何用户都无法改变控 制规则。最典型的强制访问控制有保密性策略和完整性策略。 然而这些机制和策略都存在缺陷和不足，例如，自主访问控制机制权限管理 松散，容易造成权限扩撒，且不能对系统中的信息流进行保护，无法抵御木马程 序；强制访问控制对系统的限制大都过于严格，给系统的工作带来一些麻烦【9 】。因 此有必要对自主访问控制机制进行深入的研究，使其满足系统的安全需要。 面对各种各样的缓冲区溢出攻击、病毒和木马，u n i x 、w i n d o w s 、l i n u x 等操 作系统都在不断的发展和改进自身的安全机制和权限管理方式来确保操作系统的 安全。 针对访问控制机制的不足和众多安全威胁，l i n u x 2 6 内核集成了美国国家安全 局开发的s e l i n u x 安全增强子系统。s e l i n u x z o , 1 1 】是以l i n u x 系统为基础的基于 f l a s k 安全体系结构的安全操作系统，它实现了基于角色的访问控制( r b a c ) 、类型 增强模型t e ( t y p ee n f o r c e m e m ) 和强制访问控s u ( m a c ) 以及可选的多级访问控制 ( m l s ) 。 国内在操作系统安全方面的研究起步比较晚，但在近几年也取得了重要进展。 如中国科学院技术研究所开发的基于l i n u x 的安全操作系统l i d s ：中科红旗开发 的r e df l a gs e c u r eo s4 0 ；中国科学院信息安全技术工程研究中心开发了基于 l i n u x 的安全操作系统s e c l i n u x ；此外还有国防科学技术大学开发的基于l i n u x 的 操作系统银河麒麟操作系统( k y l i no p e r a t i n gs y s t e m ) 。 然而这些研究并没有彻底解决自主访问控制在权限管理和安全性上的缺陷， 给系统带来了安全隐患。为进一步增强系统的安全性，有必要改进自主访问控制 机制的权限管理方式，增强自主访问控制机制的安全性，使其在一定程度上能降 低缓冲区溢出攻击对系统的破坏。本课题对l i n u x 的自主访问控制机制进行了细致 的分析，提出了改进自主访问控制机制的方法，并在k y l i n 操作系统上进行设计实 现。 1 2 k y l i n 安全操作系统 银河麒麟操作系统是有国防科学技术大学计算机学院“8 6 3 服务器操作系统 内核课题组研制的操作系统，分为标准版和安全版。安全版从许多方面对k y l i n 操作系统的安全性做了增强，为系统提供了全方位的保护。安全子系统具有高安 第2 页 国防科学技术大学研究生院工程硕士学位论文 全级的保障措施，实现了如下安全模块：强制访问控制m a c 、细粒度的自主访问 控制a c l 、角色定权r b a 、多级安全策略m l s 、能力策略c a p 、禁止客体重用 o b r 、可信路径s a k 、安全审计a u d i t 、安全数据保护s d p 、身份标识与鉴别 i d e n t 、文件完整性检查t r i p w a r e 、可信数据授权t d a 、类型实施策略t e 及s m t 安全管理工具。k y l i n 安全操作系统的安全子系统结构如图1 1 所示： f s a k i o b r ll t r i p w a r e 可信路径 lf 客体重用 ll 完整性检查 l 图1 1 k y l i n 安全子系统结构 r b a 在l s m 框架下提供角色定权功能，并结合m l s 、c a p 、t e 策略完成强 制访问控制功能；a u d i t 负责进行安全审计：启动审计服务，完成审计记录；a c l 通过访问控制列表实现细粒度的自主访问控制；o b r 实现内存和硬盘的禁止客体 重用；i d e n t 完成用户的身份标识与鉴别，为r b a 和a c l 的使用提供基础；可 信路径提供安全注意键，启动可信的登录流程；t r i p w a r e 为进行文件完整性检查的 工具；s d p 对安全数据进行保护，包括对审计数据、强制访问控制属性和用户鉴 别数据的保护；s m t 提供安全管理工具，提供方便的安全配置与管理，包括对强 制访问控制的管理，定义角色的安全策略属性，定义文件的强制访问控制安全属 性，定义文件的访问控制列表，定义审计配置和审计日志文件。 1 3 课题研究内容 操作系统安全的核心问题就是如何有效控制用户对系统内敏感数据的存取， l i n u x 系统通过实施自主访问控制机制和各种强制访问控制策略来保证数据的安 全。这两种访问控制对系统来说都是必要的，强制访问控制对系统整体进行了很 第3 厦 国防科学技术大学研究生院工程硕士学位论文 好的保护，自主访问控制使用户能管理自己的隐私信息，保护其资源不被非授权 用户所访问。但是自主访问控制机制存在权限管理和安全性方面的缺陷，给系统 带来安全隐患。 为此本课题对l i n u x 系统的自主访问控制的两种机制u g o 和a c l 进行了研 究，分析了两种机制在权限管理和安全性上的不足，提出的改进的方法，并在k y l i n 操作系统中实现经改进的自主访问控制策略。课题的主要工作包括以下几个方面： 对操作系统的安全研究现状进行了说明，包括介绍了操作系统访问控制框 架与访问控制技术，指出l i n u x 操作系统存在的安全问题。其中对缓冲区溢出攻击 作了重点介绍，并对自主访问控制的缺陷进行了深入研究，指出自主访问控制存 在不适当授权、权限撤销不及时和不能抵御缓冲区溢出攻击等问题。 - 针对自主访问控制的不足，在a c l 的基础上，提出了一种基于角色的自 主访问控制机制，通过参考p o s i x 1 e 标准草案，设计基于角色的自主访问控制的 语法规则和权限检查算法。 - 根据设计的要求，在k y l i n 操作系统角色定权技术的基础上，依照角色定 权框架r b a 所提供的h o o k 函数接口，实现基于角色的自主访问控制机制。 _ 使用u n i xb e n c h 和自主开发的测试程序对基于角色的自主访问控制机制 进行功能测试和性能测试，并分析测试结果。 1 4 论文的组织 本文是对课题研究工作的总结，全文共分7 章，结构如下： 第一章“绪论，首先阐述了课题背景，指出为了进一步增强操作系统的安 全性，改进现有的自主访问控制机制是相当必要的；然后简单介绍了k y l i n 安全操 作系统，列举了本文研究的主要内容，最后说明了论文的组织结构情况。 第二章“操作系统安全现状研究 ，对访问控制框架和访问控制技术进行了 分析，指出l i n u x 操作系统存在的安全问题，并着重对缓冲区溢出和自主访问控制 的缺陷进行了探讨。 第三章“基于角色的自主访问控制机制r a c l 的研究 ，针对a c l 权限管 理存在的缺陷，提出将角色与a c l 相结合来改进a c l 的权限管理方式，解决a c l 授权不恰当和容易造成权限扩散的问题。在参考a c l 的基础上，设计了r a c l 的 类型和访问控制项，给出了新机制的权限检查算法。并通过修改l i n u x 系统中原有 的a c l 代码，对r a c l 机制进行了实现。最后对r a c l 的功能进行了测试，并对 测试结果进行了分析。 第四章“抵御缓冲区溢出攻击r a c l 的改进与实现”，首先针对a c l 不能 防范缓冲区溢出攻击的缺陷，在第三章研究的基础上，提出了文件角色这一概念， 第4 页 国防科学技术大学研究生院工程硕士学位论文 i i m m l i m 通过文件角色来限制缓冲区溢出攻击对系统的破坏力。接着介绍了改进后的r a c l 机制在k y l i n 操作系统下的具体实现过程。最后对其进行的功能测试和性能测试， 并对性能测试所得到的数据进行了分析。 第五章“结束语 ，对本课题的研究工作进行总结，展望进一步的研究方向。 第5 页 国防科学技术大学研究生院工程硕士学位论文 第二章操作系统安全研究现状 从2 0 世纪6 0 年代开始，人们便对操作系统安全展开了研究，经过4 0 多年的 发展，安全操作系统已经能够支持多种安全策略的动态变化，实现了策略的多样 性【1 3 】。在这种形势下，对访问控制策略的研究已经成为了操作系统安全研究的重 点。 访问控制策略对操作系统安全来说是至关重要的，安全操作系统要想达到完 整性、保密性和可用性这三大目标，必须依赖于操作系统所提供的访问控制策略。 一般来讲，我们说一个操作系统是安全的，是指它满足某个给定安全策略的要求。 目前研究操作系统安全的主流方向之一就是通过分析当前操作系统的安全缺陷及 可能受到的外来攻击，改进现有的访问控制机制或者研究新的安全技术，从而增 强操作系统的安全性。 本章首先对操作系统的访问控制框架进行了介绍，接着对访问控制技术进行 了研究，然后分析了l i n u x 系统存在的安全问题，最后对本章进行了小结。 2 1 访问控制框架 信息技术爆炸式的发展使得操作系统面临的安全环境越来越复杂，单一的安 全策略已经不能满足复杂的安全需要，为了保证操作系统的安全，系统必须支持 多个安全策略模型，支持多种安全策略的动态变化，为安全策略提供灵活的支持， 如r s b a c 、s e l i n u x 系统就能支持多个安全策略模型。目前在常见的安全体系结 构中能支持多安全策略的框架有：通用访问控制框架( g e n e r a lf r a m e w o r k f o ra c c e s s c o n t r o l ，g f a c l 、f l a s k 框架、l s m 框架、f a m 框架( f l e x i b l ea u t h o r i z a t i o nm a n a g e r ) 等。本节将对g f a c 框架、f l a s k 框架和l s m 框架进行了介绍。 2 1 1g f a c 框架 g f a c 框架是由a b r a m s 等人于上世纪9 0 年代提出的在单一系统中实现多种 安全策略的方法，它提供了一个支持多级安全策略的框架【1 4 】，它的主要目标是i ”】： 1 ) 使得描述、形式化和分析各种访问控制策略更为容易； 2 ) 使得用户可以从系统开发者提供的多个安全策略支持模块中，选择几个进 行配置，得到需要的安全策略，并且可以确信安全策略得到了正确的实施； 3 ) 对于所支持的每个安全策略，都能证明满足了策略的原始定义。 g f a c 将访问控制分为两部分：访问控制实施( a c c e s sc o n t r o le n f o r c e m e n t f a c i l i t y ，a e f ) 和访问控制决策( a c c e s sc o n t r o ld e c i s i o nf a c i l i t y ，a d f ) ，如图2 1 第6 页 国防科学技术大学研究生院工程硕士学位论文 g f a c 框架所示。a d f 部分负责实施系统中的各种安全策略，综合计算各个安全 策略的判断结果，然后决定访问请求是否允许访问；a e f 部分依据a d f 部分的判 定结果，控制请求的访问是否进行。a d f 部分在进行判定时，需要参考的访问控 制信息( a c c e s sc o n t r o li n f o r m a t i o n ，a c 8 ，如主客体的安全属性。 南i 蠢 6 允 禁止 图2 1g f a c 框架图 从图2 1 可以看出在g f a c 框架下的访问控制过程是：主体在访问客体前，向 a e f 部分发送请求，a e f 将访问请求发送到a d f 部分，a d f 根据主客体的a c i 信息和安全策略判断访问是否允许。若拒绝访问请求，a d f 向a e f 返回决策结果， 否则可以响应主体对客体请求的访问。 g f a c 框架最大的优点是将访问控制实施部分和访问控制决策部分相分离，使 策略与实施无关，这样就可以方便地在a d f 中加入新的安全策略而无需改变a e f 部分。但是，g f a c 框架的最大缺点是对系统效率影响比较大，特别是加入多个安 全策略后效率影响显著f l6 】。 r s b a c 系统是基于g f a c 框架实现的一个安全操作系统，该系统最早由德国 汉堡大学的a m o n0 t t 提出，并应用于a d a m a n tl i n u x 、a l tl i n u xc a s t l e 发行版等 l i n u x 操作系统中。r s b a c 系统已经实现了多种安全策略模型，包括：b l p 模型， 安全信息修改策略( s e c u r i t yi n f o r m a t i o nm o d i f i c a t i o n ，s i m ) ，功能控制策略 ( f u n c t i o n a lc o n t r o l ，f c ) 、文件标记策略( f i l ef l a g s ，f f ) 、角色兼容策略( r o l e c o m p a t i b i l i t y ，r c ) 【1 7 j 和访问控制列表a c l 等。 第7 页 国防科学技术大学研究生院工程硕士学位论文 2 1 2f l a s k 框架 f l a s k 框架是由美国国家安全局( n s a ，n a t i o n a s e c u r i t ya g e n c y ) 、u t a h 大学 和s s c ( s e c u r ec o m p u t i n gc o r p o r a t i o n ) 联合提出的一个访问控制框架。f l a s k 以 d t o s 的安全结构为基础，以提供灵活的多策略支持为主要目标，侧重动态安全策 略的支持，解决了d t o s 在权限撤回等方面存在的问题。 f l a s k 结构将安全策略的决策和安全策略的实施分离开来，而不管安全策略 决策的过程与安全策略的变更。如图2 2 所示，f l a s k 结构由安全服务器( s e c u r i t y s e r v e r ，s s ) 和对象管理器- ( o b j e c tm a n a g e r ，o m ) 组成【l 引。安全服务器s s 是一个内 核子系统，主要负责安全策略的决策；客体管理器o m 负责实施安全策略的判定 结果。 f l a s k 结构描述了对象管理器和安全服务器之间的交互，以及对它们内部组 成部分的要求。其中对象管理器提供了三个功能：1 为客户端提供访问决策、标记 决策和多实例化决策的接口；2 提供一个访问向量缓存器( a c c e s sv e c m rc a c h e ， a v c ) ，用来暂时缓存访问决策的结果，以提高系统效率；3 给安全服务器s s 提供 一个策略改变的通知接口。 图2 2f l a s k 结构图 安全服务器作为安全策略的决策部分，需要为系统提供安全策略决策，维护 安全标识符( s e c u r i t yi d e n t i f i e r ，s i d ) 与安全上下文( s e c u r i t yc o n t e x t ，s c ) 之间的映 射关系，同时还要为新生产的对象提供安全标识符s i d ，管理访问向量缓存器 a v c ，并为对象管理器提供策略变更的接口。 f l a s k 框架下访问控制的过程为：当对象管理器接收到一个客户请求时，首 先查询a v c ，如果没有适当的缓存结果，将通过内部的决策接口向安全服务器提 交查询。安全服务器根据策略逻辑做出安全决策，返回给对象管理器，同时由对 象管理器更新a v c 。 第8 页 国防科学技术大学研究生院工程硕士学位论文 f l a s k 是目前影响力最大的多安全策略访问控制框架，其最大的优点就是对 动态安全策略的支持。 其中n s a 发布的安全增强l i n u x ( s e c u r i t ye n h a n c e dl i n u x ，s e l i n u x ) ，就是以 f l a s k 框架为基础开发的。s e l i n u x 实现了四个安全策略：多级安全( m u l t i l e v e l s e c u r i t y ，m l s ) 策略、类型实施( t y p ee n f o r c e m e m ，t e ) 策略v 9 】、基于标识的访问 控锘l j ( i d e n t i t y b a s e da c c e s sc o n t r o l ，i b a c ) 策略和基于角色的访问控锋j u ( r o l e b a s e d a c c e s sc o n t r o l ，r b a c ) 策略。 2 1 3l s m 框架 由于各种安全访问控制模型和框架的出现，l i n u x 需要一个机制用于支持各种 安全模型与框架，为此内核设计和开发人员引入了l i n u x 安全模块( l s m ) 。 l s m 通过在内核源代码中放置了钩子( h o o k ) 的方法来截获主体对客体的访问。 l s m 为多数内核对象增加了安全域，这些内核对象包括：进程控制块( t a s ks t m c t ) 、 i n o d e 节点、打开的文件、超级块( s u p e rb l o c k ) 等。用户执行系统调用时，首先经 过l i n u x 内核原有的逻辑找到并分配资源，进行错误检查，然后经过传统的d a c ， 并在l i n u x 内核试图访问内核对象之前，通过h o o k 函数调用具体的访问控制模块， 安全模块根据其安全策略判断主体的访问是否被允许。基本过程如图2 3 所示。 图2 3l s m 总体框架示意图 l s m 框架对于内核开发人员和安全研究人员的价值就在于：可以使用其提供 的接口将现存的安全增强系统移植到这一框架上，从而能够以可加载内核模块的 形式提供给用户使用；甚至可以直接编写适合自己需要的安全模块。 2 2 访问控制技术 访问控制就是指控制系统中主体对客体的访问权刚2 0 l 。其中主体是指引起信 第9 页 国防科学技术大学研究生院工程硕士学位论文 息在客体间交换或者改变系统状态的主动实体，通常是发出访问请求的对象，例 如进程；客体是指包含或接收数据的被动实体，是信息的载体；通常是被访问的 对象，例如文件；而权限是指对客体进行特定模式访问的操作许可。访问控制模 型通常可以划分为自主访问控制、强制访问控制和基于角色的访问控制。 2 2 1 自主访问控制 自主访问控制是一种最普遍的访问控制策略，其基本思想伴随着访问控制矩 阵被提出。在自主访问控制机制下，具有授予访问权限权力的主体( 用户或用户进 程) 可以自主地将其拥有的对客体的访问权限或访问权限的子集授予其他主体。在 自主访问控制中有这种授予权力的主体通常是客体的属主。 自主访问控制类似于访问控制矩阵，可以用三元组$ ，o ，彳) 表示，其中s 代表 系统中主体集合，o 表示系统中客体的集合，么代表主体对客体访问权限的集合。 通过图2 4 访问控制矩阵，可知对于任意的e s ，o i d ，都有相应的存在a ， a u 决定了主体s ，对客体d ，的访问权限。 s oio2 0 j 刀 s1 ana1 2 al m s2a2 ia 刀a2 m s 1 7a 1 7 1a n 2a 册 图2 4 访问控制矩阵 文献 9 】指出自主访问控制包括严格d a c 、层次d a c 和属主关系变更d a c 三 种。严格d a c 就是属主授予的权限不能扩散；层次d a c 就是权限可以在一定层 次上进行扩散，即用户可以将他人授予其得权限转授予另一用户；属主关系变更 d a c 就是允许用户把客体的属主变更给其他用户，也就是过户。属主关系变更 d a c 一般和严格d a c 或层次d a c 结合应用。典型的自主访问控制机制有u g o 权限管理方式和a c l 访问控制列表机制。 2 2 1 1u g o 权限管理方式 u g o 权限管理方式是u n i x 系统基本的权限管理方式，其中u 代表文件属主 ( u s e r ) ，g 代表文件