（计算机科学与技术专业论文）安全操作系统中的可信授权技术研究和实现.pdf

国防科学技术大学研究生院学位论文 摘要 随着i n t e m e t 应用的广泛深入，计算机系统的安全问题引起了人们的高度重视。操作 系统是连接计算机硬件、上层软件及用户的桥梁，是信息安全的重要基础。虽然安全操作 系统的研究与开发己走过了三十多年的历程，取得了大量的关于安全模型、访问控制、身 份认证等方面的成果，极大地提高了操作系统的安全保障能力，然而现有的安全技术还存 在诸多不足：如不能有效预防互联网最常用的攻击方式一缓冲区溢出攻击；难以有效保护 系统，使之免受病毒等恶意代码危害。缓冲区溢出攻击往往利用服务程序或者是s u i d 程序 的漏洞，改变程序的服务流程，进而控制系统。本文认为操作系统的用户授权存在缺陷是 缓冲区溢出攻击成功的重要原因之一，它使得非法用户可以通过挖掘应用漏洞获取额外权 限，因此本文提出了可信授权技术。 主流操作系统的认证授权机制在应用层实现，用户只要通过认证后，内核就可以根据 用户的u i d 确定相应的权限。用户权限是静态分配的，只要过了一道入i s 门槛，就能得到 静态分配给用户的所有权限。入口门槛不仅仅是登录服务程序的认证机制，t e l n e t 服务、却 服务等也都是系统的入口门槛，甚至所有对外提供的服务都可能成为入口门槛。因为攻击 者可能通过利用服务程序漏洞进入系统。虽然登录服务等服务程序采用了认证机制，但整 个认证授权体系是紊乱的：用户通过正常途径可以获得权限；通过认证机制的脆弱性也可 以获得相同权限；通过挖掘应用漏洞也能获得相同权限。系统缺乏一致的认证授权体系， 以判定用户身份的真实性，并动态决定用户能获得的权限。 可信授权目的是解决用户的授权控制，只有真实的授权用户才能获取权限。可信授权 的思想是将不同的认证机制对应不同的认证强度，用户通过不同认证机制后赋予不同的认 证可信度：认证可信度代表对用户身份的相信程度。系统对用户授权时，要考察他是否具 备行使某个权限的认证可信度，只有认证可信度也满足要求时，才会授予该权限。这样就 可以防止攻击者攻破基于口令等相对较弱的认证机制获得较高的系统权限；或防止攻击者 通过缓冲区溢出攻击等手段，绕过认证机制，获得合法用户的权限。 结合基于角色的访问控制模型，本文提出了基于角色和能力的可信授权模型。该模型 遵循可信授权思想，能较好地解决用户授权存在的上述缺陷。 目前很多操作系统都基于p a m 框架实现多种认证机制的灵活应用，但是p a m 的应用 使得管理员分权不彻底；因为p a m 必须赋予某个管理员配置认证机制的权限，这样该管 理员就可通过旁路认证机制，以任何身份登录系统，获取该身份的权限。同时，p a m 没有 区分对待不同强度的认证机制，使得弱的认证机制给系统带来很大危害。因此本文设计和 实现了一个基于认证可信度的认证框架；并以此认证框架为基础，将可信授权技术成功地 应用在k y l i n 角色定权的访问控制框架上。同k y l i n 的其他安全机制结合，使k y l i n 成为一 国防科学技术大学研究生院学位论文 个可信的操作系统。 关键词：安全操作系统，认证，授权，可信授权 国防科学技术大学研究生院学位论文 a b s t r a c t p e o p l ep a ym o r ea n dm o r ea r e n f i o nt os e c u r i t yi nc o m p u t e rs y s t e m s w i t l lt h es p r i n g i n go f i n t e r n e ta p p l i c a t i o n s i n c eo p e r a t i n gs y s t e mi st h eb r i d g ew h i c hc o n n e c t sc o m p u t e rh a r d w a r e ， t o ps o f t w a r ea n du s e r s ，i ti st h ei m p o r t a n tb a s eo fi n f o r m a t i o ns e c u r i t y t h er e s e a r c ha n d d e v e l o p m e n to fs e c u r eo p e r a t i n gs y s t e m sh a v eah i s t o r yo f m o r et h a n3 0y e a r s ，a n da c q u i r eg r e a t i m p r o v e m e n to ns e c u r i t ym o d e l ，a c c e s sc o n t r o la n di d e n t i t ya u t h e n t i c a t i o ne t c a l lt h o s eh a v e e x t r a o r d i n a r i l ye n h a n c e dt h es e c u r i t yo fo p e r a t i n gs y s t e m s ，b u tt h e r e a r eag o o d m a n y d e f i c i e n c i e si nc u r r e n ts e c u r i t yt e c h n i q u e s f o re x a m p l e ，i tc a nn o td e f e n db u f f e ro v e r f l o w a t t a c k s ，t h em o s tc o m m o na t t a c ko ni n t e m e t ，a n dc a r ln o tp r e v e n ts y s t e m sf r o mv i r u sa n do t h e r m a l i c i o u sc o d e se f f e c t i v e l y b u f f e ro v e r f l o wa t t a c k su s u a l l ys u b v e r tt h ev u l n e r a b i l i t i e so fa p r i v i l e g e dp r o g r a ms ot h a tt h ea t t a c k e rc a l lt a k ec o n t r o lo ft h ep r o g r a m ，t h e n c ec o n t r o lt h e s y s t e m t h i sp a p e rf i g u r e st h a tt h eu s e ra u t h o r i z a t i o nd e f i c i e n c yo fo p e r a t i n gs y s t e m si so n eo f t h em o s ti m p o r t a n tr e a s o n sw h i c hc a u s et h es u c c e s so fb u f f e ro v e r f l o wa t t a c k s ，a n dt h e d e f i c i e n c yl e t sm a l i c i o u su s e r se x p l o i ta p p l i c a t i o nv u l n e r a b i l i t i e st oa c q u i r ea d d i t i o n a lp r i v i l e g e s i no r d e rt or e s o l v et h e s ep r o b l e m s ，t h i sp a p e rp r e s e n t st r u s t e da u t h o r i z a t i o n t h ea u t h e n t i c a t i o na u t h o r i z a t i o no fm a i n s t r e a mo p e r a t i n gs y s t e m si si m p l e m e n t e da t a p p l i c a t i o nl a y e r ，s ot h a tau s e rc a na c q u i r ep e r m i s s i o n sa c c o r d i n gt oh i si d e n t i t y ，o n l ya f t e r p a s s i n ga u t h e n t i c a t i o n t h eu s e rp e r m i s s i o n sa r es t a t i c a l l y a u t h o r i z e d i fau s e rp a s s e st h e e n t r a n c eg a t e ，t h e nh ec a l lg e ta l lt h ep e r m i s s i o n ss t a t i c a l l ya u t h o r i z e dt oh i m t h ee n t r a n c eg a t e n o to n l yi n c l u d e sa u t h e n t i c a t i o ns y s t e mu s e db yl o g i np r o g r a m ，b u ta l s oi n c l u d e st e l n e t ，f t pa n d e v e na l lo p e ns e r v i c ep r o g r a m s ，b e c a u s ea t t a c k e r sm a ye n t e ro p e r a t i n gs y s t e m sb ye x p l o i t i n g s e r v i c ep r o g r a mv u l n e m b i l i t i e s a l t h o u g ht h o s es e r v i c ep r o g r a m sa l la d o p ta u t h e n t i c a t i o ns y s t e m ， t h ew h o l ea u t h e n t i c a t i o na u t h o r i z a t i o nm e c h a n i s m i s d i s o r g a n i z e d u s e r sc a b a c q u i r e p e r m i s s i o n sb ys t a t e da p p r o a c h , b u th ec a na l s oa c q u i r et h es a r u ep e r m i s s i o n sb ya t t a c k i n g a u t h e n t i c a t i o nm e c h a n i s mf r a n g i b i l i t yo re x p l o i t i n ga p p l i c a t i o nv u l n e r a b i t i t i e s s oo p e r a t i n g s y s t e m sl a c kac o n s i s t e n ta u t h e n t i c a t i o na u t h o r i z a t i o nm e c h a n i s mt oj u d g et h ea u t h e n t i c i t yo f u s e ri d e n t i t ya n dd y n a m i c a l l ya u t h o r i z eu s e rp e r m i s s i o n s t h eg o a lo ft r u s t e da u t h o r i z a t i o ni st os o l v et h ec o n t r o lo fu s e ra u t h o r i z a t i o n ，s ot h a to n l y t r u ea u t h o r i z e du s e r sc a na c q u i r ep e r m i s s i o n s t h em a i ni d e a i s a s s o c i a t i n g d i f f e r e n t a u t h e n t i c a t i o nm e c h a n i s m sw i t hd i f f e r e n ta u t h e n t i c a t i o ni n t e n s i t y ，a n da s s i g n i n gd i f f e r e n t a u t h e n t i c a t i o nt r u s t w o r t h i n e s st ou s e ra c c o r d i n gt ot h ea d o p t e da u t h e n t i c a t i o nm e c h a n i s m s t h e a u t h e n t i c a t i o nt r u s t w o r t h i n e s si d e n t i f i e sh o wm u c ht h eo p e r a t i n gs y s t e mt r u s t st h eu s e r w h e na 1 1 1 国防科学技术大学研究生院学位论文 s y s t e m a u t h o r i z eau s e rc e r t a i n p e r m i s s i o n , i t w i l l j u d g e w h e t h e rh i sa u t h e n t i c a t i o n t r u s t w o r t h i n e s si se n o u g ht oa c q u i r et h a tp e r m i s s i o n o n l yi ft h ea u t h e n t i c a t i o nt r u s t w o r t h i n e s s s a t i s f i e st h er e q u i r e m e n t ，t h es y s t e mw i l la u t h o r i z et h ep e r m i s s i o nt ot h eu s e r i nt h i sw a y ，w e c a np r e v e n ta r a c k e r sf r o ma c q u i r i n gm o r es y s t e mp e r m i s s i o n sb ya t t a c k i n gf r a g i l ea u t h e n t i c a t i o n m e c h a n i s m s ，s u c ha sp a s s w o r d ，a n dp r e v e n ta t t a c k e r sf r o mg e t t i n gp e r m i s s i o n sa u t h o r i z e dt o o t h e rl e g a lu s e r sb yb y p a s s i n ga u t h e n t i c a t i o ns y s t e m o nt h eb a s eo fr o l eb a s e da c c e s sc o n t r o l ，t h i sp a p e rp u t sf o r w a r dr o l ea n dc a p a b i l i t y b a s e dt r u s t e da u t h o r i z a t i o nm o d e l t h em o d e lf o l l o w st h em a i ni d e ao f t r u s t e da u t h o r i z a t i o n s o i tc a ns o l v et h ea b o v ed e f i c i e n c i e so f u s e ra u t h o r i z a t i o n n o w a d a y so p e r a t i n gs y s t e m sa l la d o p tp a m t oi m p l e m e n tf l e x i b l ea p p l i c a t i o no fv a r i o u s a u t h e n t i c a t i o nm e c h a n i s m s ，b u tp a ma l s ol e a d st ot h ed i f f i c u l t yo ft h o r o u g ha d m i n i s t r a t o r s e p a r a t i o no fd u t y i np a m b a s e ds y s t e m ，o n ea d m i n i s t r a t o rw h oh a st h ep r i v i l e g et oc o n f i g u r e a u t h e n t i c a t i o np o l i c yi sn e c e s s a r y ，s ot h ea d m i n i s t r a t o rc a l lp e r s o n a t ea n yo t h e ru s e rt ol o g i nt h e s y s t e mb yb y p a s s i n ga u t h e n t i c a t i o nm e c h a n i s m s a tt h es a m et i m e ，p a md o e sn o td i f f e r e n t i a t e d i f f e r e n ta u t h e n t i c a t i o nm e c h a n i s m s ，s of r a g i l ea u t h e n t i c a t i o nm e c h a n i s m sw i l lb r i n gs e r i o u s h i d d e nd a n g e rt oo p e r a t i n gs y s t e m t h i sp a p e rd e s i g n sa n di m p l e m e n t sa na u t h e n t i c a t i o n t r u s t w o r t h i n e s sb a s e dp l u g g a b l ea u t h e n t i c a t i o nm o d u l e w ea l s o s u c c e s s f u l l yi m p l e m e n t s t r u s t e da u t h o r i z a t i o no n k y l i nr o l eb a s e da u t h o r i z a t i o n c o m b i n i n gw i t ho t h e rs e c u r i t y t e c h n i q u e si nk y l i n ，o u rw o r km a k e sk y l i no n et r u s t e do p e r a t i n gs y s t e m k e y w o r d s ：s e c u r eo p e r a t i n gs y s t e m ，a u t h e n t i c a t i o n ，a u t h o r i z a t i o n ， t r u s t e da u t h o r i z a t i o n i v 国防科学技术大学研究生院学位论文 图目录 系统资源的受控共享2 t c s e c 的构成与等级结构3 安全t u n i s 的安全管理器与安全机制4 与请求绑定的访问控制程序( a c p ) 4 保护着两个通信对象的看守员5 d t o s 安全体系结构通用框架5 r b a c 中角色的关系示意图1 2 r b a c 9 6 模型关系示意图1 2 r b a c 3 模型示意图1 5 可信授权的系统安全模型1 8 简化的r c b l a 模型1 9 r c b t a 模型族各成员模型的关系图2 0 r c b t a o 模型示意图2 1 r c b t a l 模型示意图2 4 约束模型r c b t a 2 示意图2 5 统一模型r c b t a 3 示意图2 7 p a m 框架结构图3 2 p a m 服务流程图3 4 a t - p a m 总体框架3 6 a t - p a m 主要数据结构及其关系3 7 s e t a u t h t r u s t 流程图4 0 p a m _ e h e c km o d u l e _ m a c 流程图4 0 p a m _ a u t h e n t i c a t e 0 实现流程4 l r b a 与k a c f 的结合4 4 基于k y l i nr b a 的可信授权框架4 5 基于r b a 的可信授权实现组成部分4 6 i 1 2 3 4 5 6 1 2 3 l 2 3 4 5 6 7 1 2 3 4 5 6 7 1 2 3 1 l l l 1 1 2 2 2 3 3 3 3 3 3 3 4 4 4 4 4 4 4 5 5 5图图图图图图图图图图图图图图图图图图图图图图图图图图 国防科学技术大学研究生院学位论文 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 学位论文题目：塞垒握盗丕统主亘焦援拯挂盛曲盟塞皇塞塑 学位论文作者签名： 垒兰老日期：础年上月2z 日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档，允许论文被查阅和借阕；可以将学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书) 学位论文题目：塞全握丝丞统生互焦援拯撞盎鲍盟塞量塞理 学位论文作者签名： 瑟至差日期：) 脚毕年月1 日 作者指导教师签名：基盥型日期：训0 年1 z 月z 叶日 国防科学技术大学研究生院学位论文 第一章绪论 随着i n t e m e t 应用的广泛深入，计算机系统的安全问题目益引起人们的高度重视。有 数据表明，当今世界平均每2 0 秒就有一起黑客事件发生，无论是政府机构、军事部门、 科研院校，还是各大银行、大公司，只要与互联网接轨，虽然采取了一些安全手段如防火 墙等，但是仍旧难逃黑客的“黑手”，在美国每年因为黑客攻击所带来的经济损失高达数 百亿美元。 操作系统是连接计算机硬件、上层软件及用户的桥梁，它的安全性是至关重要的。操 作系统对于计算机系统安全来说好比是大楼的地基，如果没有了它，大楼就无从谈起i l 】【12 1 。 在计算机系统的各个层次上，硬件、操作系统、网络软件、数据库管理系统软件以及应用 软件，各自在计算机安全中都肩负着重要的职责。在软件的范畴中，操作系统处在最底层， 是所有其他软件的基础，它在解决安全上起着基础性、关键性的作用1 3 l ，没有操作系统的 安全支持，计算机系统的安全就如同建设在沙滩上的城堡一样，毫无根基可谈。 1 1 安全操作系统研究的发展 世界上的第一个安全操作系统是a d e p t 5 0 ，a d e p t 5 0 项目始于1 9 6 7 年m 1 ，到今天安 全操作系统的研究与开发已走过了三十多年的历程，经历了奠基时期、食谱时期、多政策 时期和动态政策时期四个发展阶段f 3 0 1 【3 “。 1 1 1 奠基时期 奠基时期始于a d e p t 5 0 ，在这个时期，安全操作系统经历了从无到有的探索过程，安 全操作系统的基本思想、理论、技术和方法逐步建立，主要有以下几个方面： 1 访问控制抽象的诞生 b w l a m p s o n 通过形式化表示方法，运用主体、客体和访问矩阵的思想第一次对访问 控制问题进行了抽象。主体是访问操作中的主动实体，客体是访问操作中的被动实体，即 主体对客体进行访问。访问矩阵是以主体为行索引、以客体为列索引的矩阵，矩阵中的每 一个元素表示一组访问方式，是若干访问方式的集合。 2 引用监控机和安全核的提出 把授权机制与能够对程序的运行加以控制的系统环境结合在一起，可以对受控共享提 供支持，授权机制负责确定用户( 程序) 对系统资源( 数据、程序、设备等) 的引用许可 权，程序运行控制负责把用户程序对资源的引用控制在授权的范围之内。这一思想可以形 第1 页 国防科学技术大学研究生院学位论文 象地表示为图1 1 的形式。 图1 1 系统资源的受控共享 引用监控机思想是为了解决用户程序的运行控制问题而引入的，其目的是在用户( 程 序) 与系统资源之间实施一种授权的访问关系。引用监控机的具体实现称为引用验证机制， 它是实现引用监控机的硬件和软件的组合。安全核是系统中与安全性的实现有关的部分， 包括引用验证机制、访问控制机制、授权机制和授权的管理机制等成分。 3 b l p 模型 d e b e l l 和l j l a p a d u l a 提出了第一个可证明的安全系统的数学模型b e l l & l a p a d u l a 模 型( 简称b l p 模型) 1 6 1 1 7 】【1 8 】 1 9 1 ，支持信息的保密性。b l p 模型后来得到了不断的充实和 完善。继b l p 模型之后，与b l p 模型异曲同工的支持信息完整性的b i b a 模型例被提出了。 4 系统设计和开发 继a d e p t - 5 0 之后，系列的安全操作系统被设计和开发出来，典型的有m u l t i c s 、m i t r e 安全核、u c l a 数据安全u n i x 、k s o s 和p s o s 等。 1 1 2 食谱时期 食谱时期始于1 9 8 3 年美国的可信计算机系统评价标准( t c s e c ) 1 2 l j 颁布之时，因此 这个阶段研究者们以t c s e c 为蓝本研制安全操作系统。 1 可信计算机系统评价标准 t c s e c 提供d 、c 1 、c 2 、b 1 、b 2 、b 3 、a 1 七个等级的可信系统评价标准，每个等 级对应有确定的安全特性需求和保障需求，高等级的需求建立在低等级需求的基础上。如 图1 2 所示。 第2 页 国防科学技术大学研究生院学位论文 蜜 竺竺竺乞_ r _ o ，- _ ，j ， 鬟 1 _ _ _ - j ， d ：攮小保护 c 1 ：1 至安全像轳， c 2 ：受授沈朗辍护 b 1 ：标记霞垒辍护 b 2 ：缎掏化缳护 b 3 t 蜜垒城 a i ；验i i f 的设计 图1 2t c s e c 的构成与等级结构 2 l i n u si v 系统的开发 l i n u si v 以4 1 b s d u n i x 为原型，结合t c s e c 标准的要求，对安全性进行了改造和 扩充。实现了加密口令的身份认证、a c l 结构的自主访问控制、b l p 模型的强制访问控制、 基于事件严重性程度的审计支持和超级用户特权的分隔。 3 安全x e n i x 系统的开发 安全x e n i x 的开发采用改造，增强法对u n i x 系统的原有内核进行改造和扩充，使它支 持新的安全政策和u n i x 的安全政策，并保持相应的系统接口。实现了遵照b l p 模型的强 制访问控制、传统自主访问控制与a c l 机制并存、安全注意键与可信路径、多个特权用 户分权。 4 s y s t e mv m l s 系统的开发 s y s t e m v m l s 是以a t & t 的u n i x s y s t e m v 为原型的多级安全操作系统，以t c s e c 标准的安全等级b 为设计目标。系统按照b l p 模型提供多级安全性支持，并实现了安全标 记机制，在内核中加入了多级安全性( m l s ) 模块。 5 安全t u n i s 系统的开发 安全t u n i s 系统的可信计算基( t c b ) 由硬件、内核和可信进程等成份构成。安全 t u n 【s 系统把内核分割成两个部分，一部分实现安全政策，另一部分实现安全机制。实现 改造过的b l p 模型的安全政策，内核中实现安全政策的部分被设计成个称为安全管理器 的模块，安全管理器的职能是根据安全政策的规定执行安全判定。内核中除安全管理器以 外的其它部分构成安全机制，安全管理器的工作需要安全机制提供的服务的支持。安全管 理器与安全机制在安全t u n i s 中的位置可用图1 3 安全t u n i s 的安全管理器与安全机制 表示。 6 a s o s 系统的开发 a s o s 系统采用访问控制表( a c l ) 结构支持自主访问控制，并依据b l p 模型实现防 止信息泄露的强制访问控制。依据限制的b i b a 模型实现确保数据完整性的强制访问控制。 第3 页 国防科学技术大学研究生院学位论文 1 1 3 多政策时期 t c b 进界 瞧榱边界 图1 3 安全t u n i s 的安全管理器与安全机制 多政策时期的特点是人们超越t c s e c 的范围，在安全操作系统中实现多种安全政策。 为解决在分布式多政策环境中支持用户定义的安全政策的问题，m m t h e i m c r 等提出了访 问控制程序( a c p ) 范型思想，h h a r t i g 等提出了看守员范型思想。 1 访问控制程序范型 在基于客户，服务器的分布式环境中，a c p 可以给充当客户代表的中间实体进行细粒度 的访问授权。一个a c p 是一个程序，客户总是把它和一个请求绑定在一起传送给服务器。 一个a c p 描述一个客户针对每一个请求给中闯实体所授予的权限。在服务器端，作为权限 检查工作的部分，服务器运行随请求一起收到的a c p ，如果a c p 允许，则把访问权限 授给中间实体。图1 4 是a c p 的示意。 臣圈 图 图1 4 与请求绑定的访问控制程序( a c p ) 2 看守员范型 看守员范型实现一个在分布式系统中支持用户定义的安全政策的对象模型，在这个对 象模型中，安全政策由算法和数据的组合表示。个看守员是一个安全政策的保护外壳， 能够为安全政策提供抗篡改性， 把安全政策施加到应用实体上的方法是把对应的看守员与应用实体关联起来，这样的 实体的每一次通信都将被转向到相关联的看守员，如图1 5 所示结果，引起对政策操作的 一次调用。 第4 页 国防科学技术大学研究生院学位论文 虚线酥示# l 鲻蘸拨飘支持 图1 5 保护着两个通信对象的看守员 3 基于m a e h 的d t o s 安全操作系统 d t o s 的目标是为安全分布式系统开发一个政策灵活的、基于微内核豹体系结构。 d t o s 安全体系结构的基础是一个由管理器和安全服务器构成的通用系统框架，如图1 6 所示，它通过安全判定与安全实施的分离支持安全政策的灵活性。安全判定由安全服务器 履行，安全判定的结果由管理器实施。 管理器安全服务器 管理器数据 服务器数据 判定请求 求控制政策 - 一 保留权限政策 活动请求 判定响应 活动请求的权限状态活动计算 可独立拒绝的请求 图1 6d t o s 安全体系结构通用框架 管理器是能够直接访问它所管理的客体的唯一主体，它接收来自各种客户主体的对客 体进行操作的请求序列，并根据它的当前状态( 有可能因来自安全服务器的政策信息的影 响而变化) 确定是否执行每个请求。安全服务器是系统中运行的进程，它根据一组安全规 则进行安全判定。管理器从其它主体( 包括安全服务器) 接收请求，并把安全请求发送给 安全服务器，安全服务器把对安全请求的响应发送给管理器。 1 1 4 动态政策时期 随着应用需求的发展，人们开始要求安全操作系统支持多种安全政策的动态变化，实 现安全政策的多样性。 1 。f l a s k 安全操作系统 f l a s k 安全体系结构嘲描述两类子系统之间的相互作用以及各类子系统中的组件应满 第5 页 国防科学技术大学研究生院学位论文 足的要求，两类子系统中，一类是客体管理器，实施安全政策的判定结果，另一类是安全 服务器，作出安全政策的判定。该体系结构的主要目标是不管安全政策判定是如何作出的， 也不管它们如何随时间的推移而可能发生变化，都确保这些子系统总是有一个一致的安全 政策判定视图，从而在安全政策方面提供灵活性。 f l a s k 原型系统的安全服务器实现了由四个子政策组成的安全政策，这几个子政策是多 级安全( m l s ) 政策、类型裁决( t e ) 政策、基于标识的访问控制( i b a c ) 政策和基于 角色的访问控制( r b a c ) 政策。安全服务器提供的访问判定必须满足每个子政策的要求。 2 。s e l i n u x 安全操作系统 s e l i n u x 是以l i n u x 为基础的基于f l a s k 安全体系结构的安全操作系统。s e l i n u x 实 现的安全服务器定义了一个由类型裁决( t e ) 政策、基于角色的访问控制( r b a c ) 政策 和多级安全( m l s ) 政策组合成的安全政策，其中t e 和r b a c 政策总是系统实现的安全 政策的有机组成，而m l s 政策是可选的。 1 2 当前安全操作系统存在的问题 虽然安全操作系统的研究与开发已走过了三十多年的历程，取得了大量的关于安全模 型、访问控制、身份认证等方面的成果，极大提高了操作系统的安全保障能力，然而现有 的安全技术还存在诸多不足：如不能有效预防互联网最常用的攻击方式一缓冲区溢出攻 击；难以保护系统，使之免受病毒等恶意代码危害。缓冲区溢出攻击往往通过以下方式攻 击系统： 1 通过攻击以r o o t 身份执行的有缺陷的系统守护进程，这样攻击者无须一个账号登 录到本地就可以直接获得远程系统的管理员权限。 2 攻击者在已有一个本地帐号能够登录到系统的情况下，通过攻击本地某些有缺陷 的s u i d 程序，得到系统的管理员权限。 3 攻击者利用服务程序的漏洞，取褥系统的普通用户存取权限，通常是s h e l l 访问权 限，能够以一般用户的身份执行程序和存取文件。攻击者通常攻击以非r o o t 身份 运行的守护进程等手段获得这静访问权限。 4 攻击者通过在本地攻击某些有缺陷的s g i d 程序，把自己的权限提升到某个非r o o t 用户的水平，从而非法获得其他用户( 或其他组用户) 的权限；或者使其他用户 执行攻击者的恶意代码，有时甚至是管理员。 为什么缓冲区溢出攻击会对计算机系统安全造成这么大的危害? 本文认为操作系统 的用户授权存在缺陷是缓冲区溢出攻击成功的重要原因之一，它使得非法用户可以通过挖 掘应用漏洞获取额外权限。 主流操作系统的认证授权机制在应用层实现，用户只要通过认证后，就可以获取在命 第6 页 国防科学技术大学研究生院学位论文 令解释程序提示符状态下的运行权限，内核则根据服务程序的u i d 确定相应的权限。用户 权限是静态分配的，只要过了一道入口门槛，就能得到静态分配给用户的所有权限。入口 门槛不仅仅是登录服务程序的认证机制也包括t e l n e t 服务、邱服务等都是系统的入口门 槛，甚至所有对外提供的服务都可能成为入口门槛，因为攻击者可能通过开发服务程序漏 洞，而进入系统。虽然对于登录服务等服务程序采用了认证机制，但整个认证授权体系是 紊乱的：用户通过正常途径可以获得权限：通过认证机制的脆弱性( 如破解口令) 也可以 获得相同权限；通过挖掘应用漏洞( 如缓冲区溢出攻击) 也能获得相同权限。系统缺乏一 致的认证授权体系，以判定用户身份的真实性，并动态决定用户能获得的权限；主要表现 在以下方面： 1 不同的认证机制没有区别对待，脆弱的认证机制给系统带来很大危害 安全操作系统可以提供多种认证机制，通过认证确定用户身份的合法性，保证系统只 对可信用户授权。但由于认证机制本身的安全性和可靠性等问题，不同的认证机制其强度 也不同，像口令机制就容易被攻破( 猜测口令，口令恢复) ，而智能卡、指纹仪等利用物理 凭证和生物特征的认证机制就比较可靠。因此通过不同强度认证机制确定的用户身份的可 信程度应该不同，认证强度大的认证机制确定的用户身份也应该更可信一些。 当前安全操作系统中，只要用户通过了认证，不管他到底通过了什么认证机制，也不 管他是不是篡改了认证策略的配置而没有通过规定的认证机制，就认为他是完全可信的用 户，就能根据用户的u i d 得到静态分配绘该用户的所有权限。因此，系统可能对只经过很 简单的认证不太可信的用户授予了较高的权限，给系统留下了脆弱的认证机制被攻破的安 全隐患。 2 。系统的授权不可信 用户只要通过认证后，内核就可以根据用户的u i d 确定相应的权限。用户权限是静态 分配的，只要过了一道入口门槛，就能得到静态分配给用户的所有权限。入口门槛不仅仅 是登录服务程序的认证机制，t e l n e t 服务、郎服务等也都是系统的入口门槛，甚至所有对 外提供的服务都可能成为入口门槛。因为攻击者可能通过利用服务程序漏洞，而进入系统。 虽然登录服务等服务程序采用了认证机制，但认证只起到了用户进入系统中门槛的作用， 认证后给用户授权时对用户是否通过认证以及通过何种认证都一概不知，即认证和授权的 脱离。这样即使系统拥有再强大、严密的认证机制，用户完全有可能绕过所有的认证机 制，而只用简单的认证或不用认证就获取完全的授权。如前面所述的缓冲区溢出等漏洞攻 击程序往往利用系统服务进程的安全漏洞，根本就没有通过认证，就取得系统的普通用户 存取权限，或者直接获取管理员权限。这样系统对用户的授权就是不可信的。 3 管理员分权不彻底 超级用户权限过大，也是主流操作系统的安全缺陷之一，因为黑客一旦拥有超级用户， 就获得完全的系统控制权。为此，实现管理员分权是很多安全操作系统( 包括k y l i n 安全 第7 页 国防科学技术大学研究生院学位论文 版) 的重要内容。管理员分权的思想是分解超级用户的权限，形成多个管理员，并互相制 约。然而，要真正实现管理员分权，还有一些难度，认证机制配置就是其中的一个重要障 碍。 目前很多操作系统都基于p a m 框架实现认证机制。p a m 框架将应用程序与具体的认 证机制分离，使得系统改变认证机制时，不再需要修改需要认证的应用程序，而只要由超 级用户或者系统管理员配置应用的认证模块，极大提高认证机制的通用性与灵活性。但是 要保持认证机制的灵活性，必然就得赋予某个管理员配置认证机制的权限，这样该管理员 就可通过旁路认证机制，以任何身份( 包括别的管理员) 登录系统，获取该身份的权限。 这也是目前操作系统的认证和授权相脱节造成的，它导致认证机制被旁路时，就能获取不 应该拥有的权限；造成系统的授权不可信，管理员分权也不可能彻底。 1 3 项目背景及课题意义 为了解决当前安全操作系统中用户授权存在的缺陷，本文提出可信授权技术，并将它 应用于国产服务器操作系统k y l i n 安全版中。 k y l i n 重要的安全机制包括：增强的用户认证机制，细粒度的自主访问控制机制，系 统内核实现的强制访问控制机制。多级安全策略，能力机制，基于角色的用户授权机制， 客体重用机制和安全审计机制等。强制访问控制是保障系统安全的重要内容，其在内核对 系统内各种访问操作加以严格控制，系统实现的多级安全策略有效地保证了信息的机密 性；能力机制将系统中的各种特权进行划分，以避免系统中某些用户或进程的权限过大从 而造成安全隐患：客体重用机制通过对内存和磁盘文件客体的重用，保证在主体活动结束 后，主体占用的存储客体中的信息将不能被另一个主体使用。 本文所研究的可信授权部分主要目的是解决用户的授权控制，只有真实可信的用户才 能获取权限。建立了一致的用户认证授权标准，并且严格控制不可信用户的权限，从而建 立了全系统范围一致