（计算机系统结构专业论文）基于linux系统的安全访问控制策略研究.pdf

重庆大学硕士学位论文 中文摘要 摘要 操作系统安全是计算机安全的必要条件。开源l i n u x 操作系统为我国发展以 l i n u x 为原型的自主产权的安全操作系统提供了良好的机遇。访问控制是安全操作 系统中最重要的特性之一。现有访问控制权限粒度过粗，r o o t 权限过大，访问控制 缺乏灵活性等缺陷严重阻碍了安全l i n u x 的发展。如何以现有l i n u x 为基础，针对 l i n u x 的安全性和易用性，实现动态多安全策略和模块化的安全内核，成为当前研 究的难点和热点。 本文基于国内外相关研究成果的对比研究，采用“改进增强”法，以访问控 制为研究内容，在自主访问控制和基于角色的访问控制这两方面对l i n u x 内核进行 研究和改造。论文的主要工作如下： 给出了安全l i n u x 访问控制的设计思路和实现目标，基于f l a s k 体系结构和 l s m 访问控制框架，结合自主访问控制和基于角色的访问控制设计了访问控制总 体框架结构。 根据访问控制的特点，设计了基于访问控制列表的自主访问控制；并针对 现有自主访问控制粒度过粗，r o o t 权限过大等问题，设计了九种自主访问控制权限， 实现了粒度更细的访问控制；设计并实现了基于l s m 安全框架的可动态加载的访 问控$ l j y u 表模块、控制台命令工具和系统接口。 分析了经典r b a c 9 6 模型族，重点对r b a c 3 模型进行改进，扩展了会话 概念，引入了活动角色，定义了模型集合和规则，并实现了访问控制模块、策略 实旌模块和策略引擎模块，给出了系统接口。 综上，本文针对l i n u x 安全性的不足，设计了基于f l a s k 和l s m 的访问控制框 架，对自主访问控制和基于角色的访问控制进行改进，实现了细粒度的自主访问 控制和基于活动角色的访问控制。性能测试结果表明，改进后的访问控制对系统 性能影响较小，满足设计要求，具有一定的理论和应用价值。 关键词：安全操作系统，自主访问控制，访问控制列表，基于角色的访问控制 重庆大学硕士学位论文 英文摘要 a b s t r a c t s e c u r i t yo p e r a t i n gs y s t e mi sv e r yn e c e s s a r yf o rc o m p u t e rs e c u r i t y l i n u xp r o 、，i d 鼯 ag o o do p p o r t u n i t yf o rd e v e l o p m e n tt om a k el i n u x $ d 2 u r eo p e r a t i n gs y s t e ma sa p r o t o t y p e t h ea c c e s sc o n t r o li so n eo ft h em o s ti m p o r t a n tc h a r a c t e r i s t i c si nt h es e c u l e o p e r a t i n gs y s t e m 1 1 1 eo u r r c n ta c c 船$ c o n t r o lc a nn o ts a 虹s 黟w i mt h ea c t u a ln e e d s i nt h e h i g h l ys e c u r ee n v i r o n m e n t ，s u c h 勰e x c e s s i v et h i c k n e s so fd i s c r e t i o n a r ya o c e s sc o n t r o l p e r m i s s i o n sg r a n u l a r i t y , r o o tp e r m i s s i o n se x c e s s i v e l yt ob eg r e a t , a n dl a c k sf l e x i b i l i t y o f a c c e s sc o n t r o l ，w h i c hh a ss e r i o u s l yh i n d e r e dt h es e c u r i t yl i n u xd e v e l o p m e n t h o wt o r e a l i z e st h es e c a l l ek e r n e lo fd y n a m i cm u l t i - s e c u r i t yp o l i c i e sa n dm o d u l a r i z a t i o n , b a s e d o ue x i s t i n gl i n u xa n da c c o r d i n gt ot h es e c u r i t ya n du s a b i l i t y , i so n eo f t h em o s td i f f i c u l t i s s u e si nd i s s e r t a t i o n b a s e do nc o m p a r i s o nr e s e a r c ha n du s e di m p r o v e m e n to re n h a n c e m e n tp r i n c i p l e ， t h i sd i s s e r t a t i o nr e s e a r c h e da n dr e c o n s t r u c t e dt h el i n u xk e r n e lf r o mt h e s et w oa s p e c t s ， d i s c r o t i o n a r ya c c e s sc o n t r o la n dr o l e - b a s e da c c e s sc o n t r 0 1 n em a i nc o n t a n t sa r e 硝 f o l l o w s p r o p o s e dd e s i g ni d e aa n dt h er e a l i z e dg o a lo fa c c e s sc o n t r o lt ot h es e c u r i t y l i n u x ，a n dd e s i g n e dt h eo v e r a l lf r a m e w o r ks t r u c t u r ow h i c hi sb a s e do i lf l a s ks y s t e m a r c h i t e c t u r ea n dl s mf r a m e w o r k a c c o r d i n gt ot h ea c c e s sc o n t r o lc h a r a c t e r i s t i c s ，t h i sd i s s e r t a t i o nd e s i g n e dt h e d i s c r e t i o n a r ya c c e s sc o n t r o lw h i c hb a s e do nt h ea c c e s sc o n t r o ll i s t f o rt h ee x i s t i n g d i s c r e t i o n a r ya c c e s sc o n t r o lg r a n u l a r i t ye x c e s s i v e l yt ob em i c ka n dr o o tp e r m i s s i o n s e x c e s s i v e l yt ob eg r e a t , t h i sd i s s e r t a t i o nd e s i g n e dn i n ep e m i s s i o n so fd i s c r e t i o n a r y a c c e s sc o n t r o la n dr e a l i z e df i n e - g r a n u l a r i t yv i s i t i n gp e r m i s s i o n s f u r t h e r m o r e , t h e d i s s o r t a t i o nd e s i g n e da n dr e a l i z e dam o u n t a b l ea c lm o d u l ew i t ht h eh o o k si n s e r t e d i n t ok e r n e lb yt h el i n u xs e c u r i t ym o d u l ef o r t h ee x t e n d e dp e r m i s s i o n ，删d e dc o n t r o l c o n s o l ec o m m a n da n da p i a n a l y z e dt h ec l a s s i cr b a c 9 6m o d e lf a m i l y , a n dm a k e dt h ei m p r o v e r a a n tt o r b a c 3m o d e la n de x t e n d e dt h ec o n c e p to fs e s s i o n , i n t r o d u c e da c t i v er o l e ，d e f i n e d s o r t i es e t sa n dr u l e so fm o d e la n dr e a l i z e dt h ea c c e s sc o n t r o lm o d u l e , t h es t r a t e g y i m p l e m e n t a t i o nm o d u l e ，t h es t r a t e g ye n g i n em o d u l ea n dt h em o d u l ei n t e r f a c e s t o 飘】mu p ，a i m e da tl i n u xs e c u r i t yd e f i c i e n c i e s ，d e s i g n e dt h ea c o 嚣sc o n t r o l f r a m e w o r kb a s e do nf l a s ka n dl s m t h i sd i s s e r t a t i o nm a k e dt h ei m p r o v e m e n tt ot h e 重庆大学硕士学位论文 英文摘要 d i s c r e t i o n a r ya c c e s sc o n t r o la n dr o l e - b a s e da c c e s sc o n t r 0 1 t e s t i n gt a s kw a sd o n e 、i t l lp e r f o r m a n c eo ft h ed i s c r e t i o n a r ya c c e s sc o n t r o la n dr o l e - b a s e da c c e s sc o n t r 0 1 t h et e s tr e s u l td e m o n s t r a t e dt h a ti nt h i sd i s s e r t a t i o ni m p r o v i n gt h ea c c e s sc o n t r o lh a d l i t t l ei n f l u e n c et ot h es y s t e mp e r f o r m a n c ea n dm e e t sr e q u i r e m e n t so ft h ed e s i g n , a n d h a dt h ec e r t a i nt h e o r e t i ca n dt h ea p p l i e dv a l u e s k e y w o r d s ：s e c u r eo p e r a t i n gs y s t e m , d i s c r e t i o n a r ya c c e s sc o n t r o l ，a c c e s sc o n t r o l l i s t s 。r o l e b a s e da c c e s sc o n t r o l h i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取 得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文 中不包含其他人已经发表或撰写过的研究成果，也不包含为获得重庆太堂 或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本 研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 靴做储獬：铡 签字日期：函0 年和f 日 学位论文版权使用授权书 本学位论文作者完全了解重庆太堂有关保留、使用学位论文的 规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许 论文被查阅和借阅。本人授权重麽太堂可以将学位论文的全部或部 分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段 保存、汇编学位论文。 保密() ，在年解密后适用本授权书。 本学位论文属于 不保密() 。 ( 请只在上述一个括号内打“”) 学位论文作者签名：导师签名： 签字日期。手t 园年月日 签字日期：必7 年6 月6 日 重庆大学硕士学位论文1 绪论 1 绪论 计算机技术在飞速发展，计算机安全技术在不断进步。然而，纵观整体而考虑， 由技术进步带来的安全性增强能力顶多只能弥补由于应用环境的复杂性带来的安 全威胁的增长程度。不但如此，计算机新技术的出现还可能使计算机系统的安全 性问题便得比以前更糟。一方面现实世界依赖计算机系统的程度越来越高，另一 方面计算机系统安全性问题越来越突出。为了使这一矛盾逐步得到缓解，必须对 矛盾的本质进行深入的分析。从多个不同的角度进行考察会发现问题的一个共同 点，就是操作系统的安全性在计算机系统的整体安全性中具有至关重要的作用， 它是计算机系统安全的基础。 a t & t 实验室的s b e l l o v i n 博士曾经对美国c e r t ( c o m p u t e re m e r g e n c y r e s p o n s et e a m ) 提供的安全报告进行过分析【l 】，分析结果表明，大约5 0 的计算 机网络安全问题是由于软件工程产生的安全缺陷引起的，其中，很多问题的根源 都在操作系统的安全脆弱性之中。 1 1 研究背景 l i n u x 是一个自由、开放的操作系统，在各国政府和各大公司的支持下，已经 成为主流操作系统之一。由于设计和开发之初将l i n u x 定位于通用操作系统，安全 等级仅接近国家标准一级安全等级【2 1 ，所以提供的安全功能也非常有限。但是i , i n u x 设计公开的发展模式促使其安全性能够得到较快的改进，在对各类安全操作系统 进行研究后发现，安全l i n u x 的主流实现方法就是对l i n u x 改造，使其成为一个达 到高安全等级的安全操作系统。 实现高安全等级的l i n u x 必须有高效的系统安全体系结构，它是计算机系统安 全的基石。安全操作系统经过三十多年的发展已经进入动态多策略时期，现在比 较有名的体系结构是由n s a ( 美国国家安全局) 、s c c ( 安全计算公司) 和美国u t a h 大学f l u x 研究小组共同合作提出的f l a s k ( f l u k e a d v a n c e ds e c u r i t y k e r n e l ) 安全体 系结构，它从d t o s 原型系统的安全体系结构衍生而来的【如【2 3 】。f l a s k 的安全体系 结构克服了d t o s 体系结构中的不足，实现了动态多安全策略，支持策略灵活性。 1 1 1 安全l i n u x 的访问控制 访问控制1 2 4 堤安全l i n u x 中不可或缺的安全特性之一，在安全操作系统中有两 种最主要的访问控制框架，即g f a c 和l s m 。g f a c ( g a n e r a l i z c df r a m e w o r kf o r a c c e s sc o n t r 0 1 ) 是一个由管理器和安全服务器构成的通用系统框架。它是a b r a m s 和l a p a d u l a 2 6 1 1 2 7 】【2 8 1 于1 9 9 0 年提出的一种新型的访问控制模型，主要思想是将访问 重庆大学硕士学位论文1 绪论 控制策略和访问控制实施分离，两者之间通过定义的接口进行通信，这样可以灵 活的修改或增加访问控制模型，而无需修改策略实施部分。 但g f a c 最大的缺陷就是实施多安全策略的时候效率低下，因此，为了把g f a c 中策略实施和仲裁分离的先进思想融入到l i n u x 内核中，同时又不带来额外的系统 开销，于是在2 0 0 1 年l i n u x 内核2 5 的高峰会议上，l i n u st o r v a l d s 发起了l s m 项 引2 9 】。他提出了l i n u x 内核需要有通用的访问控制框架并且希望新的框架能整合 多种安全模型和原型，它具备如下三个特征：( 1 ) 真正通用，不同的安全模型的 实施仅仅是加载不同的安全模快。( 2 ) 概念上简单，最小的扩散，有效。( 3 ) 能 够将现有的p o s i x 1 e 权能逻辑作为一个可选安全模块实现【4 1 。 本文对安全l i n u x 的访问控制研究就是基于支持动态多策略的f l a s k 体系结构 和支持模块化的l s m 访问控制框架。 1 1 2 实施安全l i n u x 访问控制关键问题 通过对国内外现有安全操作系统的研究和分析，我们发现访问控制中存在以下 关键问题： 最小特权 现有访问控制权限粒度只有读( r ) 、写( w ) 、执行( x ) ，粒度过粗；超级用户 ( 如r o o t ) 拥有过多的特权，与最小特权原则相悖，也无法满足高安全性需要。 “用户”和“会话” 在基于r b a c 模型的安全操作系统中，用户并不能代表所有操作的执行者， 大部分情况下是进程( 包括用户进程和系统进程) 文件、目录等数据进行访问。 r b a c 模型中用户( u s e r ) 的概念无法准确表示系统的所有操作的执行者，因此， 需要对r b a c 模型中用户概念进行扩展。同样，会话( s e s s i o n ) 概念描述的是单 个用户与角色集合的映射关系，形式过于宽泛，灵活性较差，所以需要引入新的 概念来描述主体和角色之间的动态关系。 与原有系统的兼容性 访问控制的实施机制通常以内核补丁的形式出现，因此同原有系统的兼容和同 其他安全功能的结合比较困难，另外升级和维护都比较麻烦。 许可检查策略 访问控制检查算法的合理性和访问控制提供给系统的特权机制。自主访问控制 与其他访问控制策略的关系，如：特权何时超越自主访问控帛i ( d a c。_override) 持久化策略 持久化问题包括存储、归档、恢复及保护等一些子问题。访问控制信息必须能 够进行高效的读写而不增加系统开销。 简单易用的配置工具 2 重庆大学硕士学位论文1 绪论 设计一个易用的访问控制管理工具对于增强整个安全操作系统的可用性来说 也是非常重要的。 这些关键问题均是本文需要讨论，并在设计和实现中加以改进的问题。 1 2 论文主要工作 本论文仔细研究了安全操作系统中访问控制实现原理，详细调研了国内外一些 典型实现，结合主流l i n u x ，论述了如何基于f l a s k 体系结构和l s m 框架来设计并 实现安全l i n u x 的访问控制子系统。 本论文的主要工作有： 对自主访问控制进行分析，设计并实现了访问控制列表( a c c e s sc o n t r o l l i s t ，a c l ) ；对访问权限细粒度化为1 2 种；探讨了访问控制表的存储及保护，利 用文件系统扩展属性实现a c l 的存放，维护及保护；改进了a c l 的语法规则和 访问检查策略。 对r b a c 的经典模型_ r b a c 9 6 模型簇中的r b a c 3 模型进行了分析， 实现并改进了该模型。在该模型中，扩展了“用户”概念，使用主体( s u b j e c t ) 描述系统中具有主动行为能力的对象，包括用户和进程；引入“活动角色”概念 更准确的描述了主体和角色集合之间动态的映射关系，避免了“会话”概念形式 过于宽泛，灵活性差的缺点，从而使模型满足最小特权原则的要求。 1 3 论文组织结构 本论文共分五章，各章的内容简要描述如下： 第一章是“绪论”，分析了论文的研究背景，介绍了论文完成的主要工作，简 述了论文的组织结构。 第二章是“访问控制的研究与分析”，给出了与访问控制相关的基本术语。对 访问控制的分类进行说明。阐述了传统的r b a c 9 6 模型簇，特别是r b a c 3 模型。 第三章是“访问控制设计与实现”，首先，给出了设计思路与访问控制的总体 结构。然后，详细介绍了增强的自主访问控制的设计细节。对r b a c 9 6 模型簇进 行改进，实现了访问控制模块、策略实施模块和策略引擎模块，最后，给出访问 控制的具体实现。 第四章是“性能测试与分析”，对d a c 、r b a c 性能进行了测试，同时分析了 实现方式对系统性能的影响。 第五章是“总结与展望”，对本论文的工作进行了总结，并提出继续改进的设 想以及有待进一步研究的工作。 重庆大学硕士学位论文 2 访问控制的研究与分析 2 访问控制的研究与分析 安全操作系统的基本目的就是保障信息的机密性、完整性和可用性，访问控制 就是实现这一目标的重要手段，也是安全操作系统最重要的功能之一。访问控制 是用来处理主体和客体之间交互的限制，l i n u x 系统中所采用的访问控制是传统 u n i x 的基于访问模式位的单一的自主访问控制，无法满足信息处理系统的日益多 样化安全需求。因此对构建安全l i n u x 中与访问控制相关的安全模型、安全策略等 进行深入研究具有十分重要的意义和价值。本论文先从访问控制的基本术语入手， 分析现有l i n u x 的自主访问控制和基于角色的访问控制。 2 1 基本术语 根据国家标准g b l 7 8 5 9 1 9 9 9 2 1 对访问控制的规范，与访问控制相关的基本术 语有： 计算机信息系统( c o m p u t e ri n f o r m a t i o ns y s t e m ) 由计算机及其相关的和配套的设备、设施( 含网络) 构成的，按照一定的应用 目的和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 可信计算基( t r u s t e dc o m p u t i n gb a s e ，t c b ) 计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的 组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用 户服务。 安全策略( s e c u r i t yp o l i c y ) 有关管理、保护和发布敏感信息的法律、规定和实施细则。简单地说，就是用 户对安全的要求的描述。 客体( o b j e c t ) 主要指被动的包含信息或接受信息的实体。对一个客体的访问意味着对该客体 所包含信息的访问。客体可以是记录、块、页、文件、目录、程序、设备、网络 接口、i o 端口等。 主体( s u b j e c t ) 主要指系统中行为的发起者，通常是指由用户发起的进程，或系统状态改变的 用户、进程或设备等。 ， 命名用户( n a m e du s e r ) 在t c b 中唯一标志的用户。唯一标志是指根据这个标志自主访问控制可以执 行访问控制裁决【l l 】。如t c b 中每个用户都有与其他用户不同的唯一的e n i d ，因此， 4 重庆大学硕士学位论文 2 访问控制的研究与分析 在访问控制裁决时，就以e u i d 为鉴定用户身份的依据。 所有权( o w n e r s h i p ) 一个用户对一个客体具有全部的控制。一个主体对一个客体具有所有权则这个 主体通常是这个客体的创建者，并且具有对这个客体的访问具有完全的控制。 标识与鉴别( i d e n t i f i c a t i o n & a u t h e n t i c a t i o n ) 用于保证只有合法用户才能进入系统进而访问系统中的资源。 自主访问控制( d i s c r e t i o n a r y a c c e s sc o n t r o l ，d a c ) 基于对主体或主体组的鉴别来限制对客体的访问的一种方法。自主的含义指一 个对客体具有一定访问权限的主体能够将此权限赢接或间接地传递给其他任何主 体【1 1 1 。 强制访问控制( m a n d a t o r ya c c e s sc o n t r o l ，m a c ) 每个主体都有既定的安全属性，每个客体也都有既定安全属性，主体对客体是 否能执行特定的操作取决于二者安全属性之间的关系。 访问控制粒度( a c c e s sc o n t r o lg r a n u l a r i t y ，a c g ) 访问控制粒度指如何限制主体的权限。细粒度的访问控制可以防止权限泄露。 在单用户系统和用于特定任务的系统中，较粗的粒度( 如用户被授权可以访问整 个系统) 已经足够。然而在多用户系统中，就需要更细的访问控制粒度【1 2 】。粒度 可以细化到某用户只能在特定一段时间，使用特定一终端访问某文件，即使是超 级用户请求访问该文件，也会检查是否具有访问权限。 访问控制列表( a c c e s sc o n t r o ll i s t ，a c l ) 它是相对于某些系统中主体的一个“能力列表”，在某些系统中，与客体相关 联的有一个“访问控制列表”，用来表示系统中哪些用户可以对此信息进行何种访 问。信息的拥有者可以对此访问控制列表进行管理，即他们可以按照自己的意愿 来指定谁可以访问此信息。 角色( r o l e ) 系统中一类访问权限的集合。 o 最小特权原则( l e a s tp r i v i l e g ep r i n c i p l e ) 系统中每一个主体只拥有和其操作相符的所要求的必需的最小的特权集。 2 2 自主访问控制 自主访问控制是基于对主体身份的识别，来限制其对客体的访问，并检验访问 请求是否符合存取控制规则来决定对客体访问的执行与否。因此保护客体的安全 和限制主体的权限是自主访问控制的主题【5 】。 5 重庆大学硕士学位论文2 访问控制的研究与分析 2 2 1 基本思想 系统内每个主体( 用户或代表用户的进程) 都有一个唯一的用户号( u i d ) ， 并且总是属于某一个用户组，而每一个用户组有唯一的组号( g d ) 。这些信息由 超级用户或授权用户为系统内的用户设定，并保存在系统的e t c p a s s w d 文件中，通 常情况下，代表用户的进程继承用户的u d 和g d 。 系统对每一个客体的访问主体区分为客体的属主( u ) 、客体的属组( g ) 以 及其他用户( o ) ，而对每一客体的模式区分为读( r ) 、写( w ) 、执行( x ) 1 1 】，所 有这些信息构成一访问控制矩阵。允许客体的所有者和特权用户通过这一访问控 制矩阵为客体设定访问控制信息。 当用户访问客体时，根据进程的u i d 、g i d 和文件的访问控制信息检查访 问的合法性。 为维护系统的安全性，对于某些客体，l i n u x 通过s e t u i d s e t g i d 程序来 解决越权问题，它使得代表普通用户的进程不继承用户的u i d 和g i d ，而是继承 该进程所对应的应用程序文件的所有者的u i d 和g i d ，并通过该身份访问客体。 2 2 2 实施机制 访问控制列表( a c l ) 自主访问控制范围内的每一个客体都与一个a c l 相对应：指名系统中的每一 个主体获得此客体访问的相应授权，如读、写、执行等。a c l 可以将访问控制细 化到单个的主体。这种方法相应于将访问控制矩阵以列的方式来存储。如图2 1 所 示的为访问控制矩阵对应的文件f i l e l 的a c l 存放： 主体 客体( o b j e c t ) ( s u b j e c t ) 脚e lf i l c 2f i l e 3 ao w n r e a d w r i t c r e a d w r i t e br e a do w n r & u t w r i t er e a d cr e a d w n t c o w n r e a d ，w r i t e 图2 1 访问控制矩阵示例 f i g2 1a c c e s sc o n t r o lm a t r i xd c m o n s w a t i o n 通过查询一个客体的a c l ，系统很容易判断试图访问该客体的主体是否有相 应的权限，同时也很容易撤销所有主体对一客体的所有访问权限，这只需要将该 客体的a c l 列表设为空即可。 6 重庆大学硕士学位论文 2 访问控制的研究与分析 a 一 bc o w b r e a d r e a dr e a d r e a d o o 图2 2 文件f i l e l 的访问控制列表 f i g 2 2a c c e s sc o n t r o ll i s t so f d o e f i l e l a c l 较完备地表达了访问控制矩阵，目前，访问控制列表是自主访问控制实 现中应用最广泛的一种方法。 能力列表( c a p a b i l i t yl i s t ，c l ) 能力列表是基于主体来实现访问控制矩阵，在这种方法中，每一个主体与一称 为“能力列表”的列表项相联系，该列表项指名系统中的某一个主体拥有对哪些 客体的访问权刚1 3 】。这种方法相应于将访问矩阵以行的形式存储。与图2 1 访问控 制矩阵对应的主体a 的c l 的存放如图2 3 所示： f i l e l j f i l e 2f i l e 3 o r e a d r e a d r e a d r e a d o o 图2 3 主体a 的能力列表 f i g 2 3c a p a b i l i t yl i s to f t h es u b j e c t a 在早期，出现了很多基于能力列表控制的计算机系统，但都不成功，现代操作 系统基本上都是采用基于a c l 的方法。本论文研究的自主访问控制就是对a c l 改进，对权限粒度进行细化，从而完善现有的自主访问控制。 2 3r b a c 模型 基于角色的访问控制模型( r o l e - b a s e d a c c e s sc o n t r o l ，r b a c ) 顾名思义属于 访问控制系统中的一种，它是上世纪7 0 年代提出来的，当时应用于多用户多任务 的在线系统中【1 5 1 。 7 重庆大学硕士学位论文 2 访问控制的研究与分析 2 3 1r b a c 模型核心思想 r b a c 模型的核心思想就是引入了“角色”的概念，扩展了单一的“用户”概 念。系统把访问权限赋给角色，用户通过分配的角色来获取访问权限，角色可以 根据实际需要来设定，如管理员角色、操作员角色等。这样把权限分配给角色就 可以实现更加灵活的安全控制功能和访问控制方式。 2 3 2r b a c 9 6 模型族 经过的深入研究，1 9 9 6 年s a n d h u 等人提出了一个基于角色的访问控制参考模 型，即r b a c 9 6 模型族【1 6 1 。该模型族由于系统、全面地描述了r b a c 的层次含义 及关系成为角色访问控制研究领域的经典模型。 r b a c 9 6 模型族包括4 个不同层次，r b a c 0 模型定义了支持基于角色访问控 制的最小需求，如用户、角色、权限、会话等概念；r b a c l 模型在r b a c 0 的基 础上加入了角色继承关系，可以根据组织内部权力和责任的结构来构造角色与角 色之间的层次关系；r b a c 2 模型在r b a c 0 的基础上加入了各种用户与角色之间、 权限与角色之间以及角色与角色之间的约束关系，如角色互斥、角色最大成员数、 前提角色、前提权限等；而r b a c 3 模型是对r b a c l 和r b a c 2 的集成，它不仅 包括角色的层次关系，还包括约束关系。它们之间的关系如图2 4 所示。 、 图2 4r b a c 9 6 模型族间的关系 f i g 2 4r e l a t i o n so f t h er b a c 9 6m o d e l sf a n a l y 基本模型r b a c 0 在r b a c 9 6 模型族中基本模型是r b a c o e l 7 1 。r b a c 0 由四个基本要素构成， 即用户( u ) 、角色( r ) 、会话( s ) 和授权( p ) 。一个系统中，定义并存在着多 个用户，定义并存在多个角色，称之为用户分配( u a ) ；同时对每个角色设置了 多个授权关系，称之为授权的赋予( p a ) 。在r b a c 中，用户与角色的关系是多对 多的关系。在英文中常使用a u t h o r i z a t i o n 、a c c e s sr i g h t 、p r i v i l e g e 和p e r m i s s i o n ， 中文的含义就是授权。所谓负授权，实际上就是定义一些条件，令某些用户在某 种条件下不能访问某些资源【l 射。在不同的系统中，客体的种类可能非常不同。r b a c 8 重庆大学硕士学位论文2 访问控制的研究与分析 模型中授权就是将这些客体的访问控制权限在可靠的控制下连带角色所需要的操 作一起提供给那些角色代表的用户。通过授权的管理机制，可以给予一个角色以 多个授权，而一个授权也可以赋予多个角色，同时一个用户可以扮演多个角色， 一个角色有可以接纳多个用户。不难看出，相比于用户和授权之间的直接关联的 作法，通过r b a c 模型安全操作系统能够以远为简单的方式向最终用户提供语意 更为丰富和完整的访问控制功能。 会话是一个用户到多个角色的映射。每个用户进入系统得到自己的控制的时 候，就得到了一个会话。每个会话都是动态产生的，从属于一个用户。只要静态 定义过这些角色与该用户的关系，会话根据用户的要求负责将它代表的用户映射 到多个角色中去。一个会话可能激活的角色是改换用户的全部角色的一个子集。 对于该用户而言，在一个会话内可以获得全部被激活的角色所代表的授权，这样 的安全机制就可以得到的好处是显然的。例如：同一用户在进入系统时，打开适 当的会话就可以以最小的系统代价获得最灵活的系统安全服务功能。在工作站环 境下，一个用户还可以同时打开多个会话，每个会话置于一个窗口内；用户获得 非常大的灵活性，同时又获得可靠的数据安全，因为系统可以方便的设置成：安 全级别较低的活动不会打开一个较高安全级别的会话。因为引入会话概念，使得 在一个系统中并存两个以上访问控制的灵活性也大大增加了。角色和会话的设置 带来的好处是容易实施最小特权原则，即在一个成熟的安全系统内部应当绝不会 给予用户超过执行任务所需特权以外的特权。 在图2 5 中，从会话到角色的双箭头表示在一次会话中多个角色可以被同时激 活。用户的权限是在一个会话中每个活动角色所拥有权限的集合。在图2 5 中，从 会话到用户的单箭头表示每个会话和单个用户相关联，这种关系在会话的过程中 保持不变。 9 重庆大学硕士学位论文2 访问控制的研究与分析 r b a c 3 图2 5 r b a c 模型 f i g 2 5r b a cm o d e l s 下面给出r b a c 0 的形式化定义： 定义一：r b a c 0 模型的组成包括下列几个部分： u ，胄，p 以及s ( 用户，角色，授权和会话) p a p x ap a 是权限到角色的多对多的关系。 u a u x au a 是用户到角色的多对多的关系。 r o t e s ( s f ) r ( u s e r ( s ，) ，) u a 其中 u s e r ：s 专u ，将各个会话映射到一个用户去的函数u s e r ( s i ) 。 r o l e s ：s 寸2 。，将各个会话s i 与一个角色集合联接起来的映射，随时间 变化可以变化，且会话s i 的授权q r o l e s ( s , 1 0 ，r ) 只4 。 在r b a c 中每个角色至少具备一个授权，而每个用户至少扮演一个角色，虽 然从形式上看并不要求这一点。 角色的层次结构模型r b a c l 在一般的单位或组织中，特权或职权通常是具有线性关系的，因此在r b a c 中引进一定的层次结构用以反映这一实际是自然的。例如，任取一个组织的机构 图，会发现它们极其相似，都是类似于树状的连通图。原则上r b a c l 体现了上级 领导( 角色) 所得到的信息访问权限高于下级职员的权限。在多级安全控制系统 内，访问控制类的保密级别是线性排列的。r b a c l 支持的层次关系可以容易地实 现多级安全系统所要求的保密级别的线性排列要求n 9 2 0 1 。 1 0 重庆大学硕士学位论文 2 访问控制的研究与分析 下面给出r b a c l 的形式化定义： 定义二：髓a c l 模型的组成部分包括下列几个部分； 阢r ，尸以及s ( 用户，角色，授权和会话) p p a x r ，p a 是授权到角色的多对多的关系。 u u a x r ，u a 是用户到角色的多对多的关系。 r r h x r ，r h 是角色上的一个偏序关系，称之为角色层次关系或支 配关系，一般记作“”。 r o l e s ( $ ；) ( ，胁e r ) ，) 删】 其中 u s f f r ：s 斗u ，将各个会话映射到一个用户去的函数u s e r ( s i ) 。 r o l e s ：s 专2 ，将各个会话s i 与一个角色集合联接起来的映射，随时间 变化可以变化，且会话s i 的授权q r o l e s ( s , 】0 ，) 只4 。 约束模型r b a c 2 r b a c 0 的另一个增强的方向是r b a c 2 ，即所谓的约束模型 2 1 】【2 2 1 。r b a c l 和 r b a c 2 之间是互不相关的，因此也就是不可比较的。作为一个完整的安全模型， 约束增强是非常重要的性能，通过约束机制，r b a c 就可以实现强制安全控制， 而且包括了对r b a c 本身的管理和控制。最常见的约束条件就是角色互斥( 冲突) 状态，一个用户在两个互斥的角色集中只能分配以其中一个角色中的角色。如采 购员和出纳员就是典型的角色互斥的例子。 与角色互斥相似的是授权的互斥机制。如签字权，审计权。简而言之，对p a 的约束可以防止系统内的重要的特权被失控地分散，从而保证了强制控制的可靠 实施。从应用程序的角度看，角色在系统内的代表是功能树。此外，有时可以对 角色附加数量的约束和前提约束。 定义三：r b a c 2 约束模型的定义：r b a c 2 包含了r b a c 0 所有基本特性，除 此之外增加了对r b a c 0 的组成元素的核查过程，只有拥有有效的元素才可被接 受。 合并模型r b a c 3 r b a c 3 模型【6 】将r b a c1 模型和r b a c 2 模型合并，提供角色层次关系和约束 关系。 约束关系同样可以运用在角色层次关系之上，如图2 5 中的指向r f i 的虚线箭 头所示。角色层次关系是偏序关系，这是模型内在的约束。除此之外，可以限制 给定角色的子角色的数目，或者限制某些角色不能拥有子角色。由于r b a c 3 模型 比较完整地定义了r b a c 的各部分及其相互关系，因此，本论文在以后讨论中涉 及的r b a c 模型主要指的是r b a c 3 模型。 重庆大学硕士学位论文2 访问控制的研究与分析 2 4 本章小结 本章首先介绍了与访问控制有关的概念；然后分析了l i n u x 现有自主访问控制 的基本思想和实施机制，即基于a c l 和c l 的自主访问控制；最后，分析了r b a c 9 6 模型族，重点分析了该模型族r b a c 0 、r b a c l 、r b a c 2 和合成模型r b a c 3 以及 这些模型之间的关系。 重庆大学硕士学位论文3 访问控制设计与实现 3 访问控制设计与实现 访问控制主要有自主访问控制、强制访问控制、基于角色的访问控制等。本章 在主流l i n u x 内核的安全性研究基础上，针对现有自主访问控制的不足，设计实现 了基于a c l 的自主访问控制。r b a c 模型是当前安全领域研究的一大热点，它实 现简单，而且可以实现灵活的安全控制功能，因此，本章在实现了自主访问控制 基础上，同时也对经典r b a c 9 6 模型族中r b a c 3 模型进行改进，并在l i n u x 内核 中实现。 3 1 访问控制总体设计 3 1 1 设计思路和目标 本文的安全l i n u x 在整体设计上，基于l i n u x 2 5 7 2 内核，采用f l a s k 体系结 构和l s m 访问控制框架整合为一的设计思路，在系统设计和实施中实现了模块化 的思想。而本文的访问控制子系统是基于一种混合访问控制策略，即增强d a c 和 r b a c 模型。 自主访问控制允许系统中的信息拥有者可以按照自己的意愿去指定谁可以以 何种访问模式去访问客体，它