（计算机软件与理论专业论文）电信自助服务终端访问控制应用研究.pdf

摘要 电信自助服务是自助服务在电信行业中的应用。随着各种信息技 术的发展，电信自助服务的发展趋向于网络化和功能多样化。网络化 和功能的多样化发展将直接导致自助服务受各种攻击的风险性增加。 本课题中现有的电信自助服务安全设计对自助服务终端的保护 不够，从而引起整个系统的安全问题。本文从访问控制的角度研究了 如何增强电信自助服务终端的安全，提出了两科- 不同特点的解决方 案。 第一种方案采用已有的s e l i n u x 访问控制机制，根据电信自助服 务终端的应用特点制定出了一系列的访问控制规则来加强终端的安 全性。测试与分析结果表明这些规1 ) i j 能够很好地保证终端的安全。该 方案有许多优势但规则制定复杂，占用内存多。 针对第一种方案存在的问题，本文研究了第二种方案。该方案是 使用l s m 机制实施一个变种的b l p 模型来加强电信自助服务终端的 访问控制。虽然b l p 模型常用于军事领域而彳、= 适用于商业领域，但 对作为主要用于与后台服务器交互的电信自助服务终端来说，它是适 合的。因为终端主要作用是与主机交互，其本身存放的数据少，与主 机交互的数据多，所以它对信息的机密性要求高于对信息的完整性要 求。但b l p 模型不能很好地保证系统安全完整性，不能有效地限制隐 蔽通道。此外，b l p 模型中的可信主体是不受其星特性的控制，从而 对系统的安全带来隐患。本文针对以上问题，采用一种改进的b l p 模型。接着在比较分析s e l i n u x 和l s m 这两种安全支持机制的基础 上，考虑到有些白助服务终端内存资源宝贵，本文采用l s m 机制来 实现b l p 变种模型的访问控制。 关键词自助服务，访问控制，b l p 模型，s e l i n u x ，l s m a b s t r a c t t e l e c o ms e l f - s e r v i c e i st h e a p p l i c a t i o n o fs e l f - s e r v i c e i n t e l e c o m m u n i c a t i o n i n d u s t r y w i t h t h e d e v e l o p m e n t o fi n f o r m a t i o n t e c h n o l o g y , t e l e c o ms e l f - s e r v i c eb e c o m e sm o r ea n dm o r ep o p u l a ri n n e t w o r ka n dm o r ed i v e r s i f i e di nf u n c t i o n t h u sd i r e c t l yr e s u l t si n i n c r e a s i n gt h r e a t st oi t ss e c u r i t y - 。 t h ed e s i g no fs e c u r i t yi nt h et e l e c o ms e l f - s e r v i c es y s t e ms t u d i e dh a s n o to f f e r e de n o u g hp r o t e c t i o no ns e l f - s e r v i c e st e r m i n a l w h i c hw i l lc a u s e w h o l es y s t e m ss e c u r ep r o b l e m t h i st h e s i sr e s e a r c h e sh o wt oe n h a n c et h e s e c u r i t yo fs e l f - s e r v i c et e r m in a lo na na c c e s sc o n t r o lp r o s p e c t i v e t w o m e t h o d sw i t hd i f f e r e n tc h a r a c t e r i ca r ep u tf o r w a r dt os o l v et h ep r o b l e m o n em e t h o di st oa d o p te x s i s t i n gs e l i n u xc o n t r o lm e c h a n i s m i nt h i s m e t h o d as e to fa c c e s sc o n t r o lr u l e sw h o s ed e s i g ni sa c c o r d i n gt ot h e f e a t u r e so ft e r m i n a ls y s t e m sa r ea p p l i e dt oe n h a n c et h et e r m i n a l s s e c u r i t y t h er e s u l t so ft e s t sa n da n a l y s i s e sp r o v et h a tt h o s er u l e sc a n p r o t e c tt h et e r m i n a l sw e l l t h i sm e t h o dh a sm a n ya d v a n t a g e sb u t t h e d e s i g no fr u l e si sc o m p l i c a t ea n di tw a s t e sm o r es t o r a g e a n o t h e rm e t h o dw h i c hg e t sr i do ft h ep r o b l e m se x s i s t i n gi nt h ef i r s t m e t h o di st oi m p l e m e n tam o d i f i e db l pm o d e lw i t hl s mm e c h n i s m t h e b l pm o d e la r em o r eo f t e na p p l i e di nm i l i t a r yf i e l d sr a t h e rt h a nf o r c o m m e r c i a lu s eb e c a u s ei tp r o m i s e st h ec o n f i d e n t i a l i t yo ft h e i n f o r m a t i o n n o tt h e i n t e g r i t yo ft h ei n f o r m a t i o n b u ta s s e l f - s e r v i c e t e r m i n a l s ，w h i c ha r em a i n l yi n t e r a c t i v ew i t hb a c k g r o u n ds e r v e r s ，t h eb l p m o d e li sp r o p e r f o rt h em a i nf u n c t i o no ft e r m i n a l si si n t e r a c t i n gw i t h h o s t n o tt h es t o r i n go ft h ed a t a b u tt h ebl pm o d e lh a st w om a jo r p r o b l e m s o n ep r o b l e mi s t h a tb l pm o d e li sn o ta b l et op r o t e c tt h e i n t e g r i t yo ft h es y s t e ms e c u r i t ya n df a i l st or e s t r i c tc o v e r t c h a n n e l e f f e c t i v e l y t h eo t h e rp r o b l e mi st h a tt h ec r e d i b l es u b j e c ti sn o tc o n t r o l l e d b yt h e 幸p r o p e r t y , w h i c hm a yc a u s ed a m a g e so ft h es y s t e m b e c a u s eo f t h e s ep r o b l e m s ，a ni m p r o v e db l pi sa d o p t e d t h e nb a s e do nc o m p a r i s o n s a n da n a l y s i s e so ft w om e c h a n i s m ss u p p o r t i n gs e c u r i t y s e l i n u xa n d l s m ，a n dw i t hc o n s i d e r a t i o nt os a v et h et r e a u r a b l em e m o r yr e s o u r c e so f i l t e l e c o ms e l f - s e r v i c et e r m i n a l s ，l s mi ss e l e c t e dt oi m p l e m e n tt h ea c c e s s c o n t r 0 1m o d e l k e yw o r d s ：s e l f - s e r v i c e ，a c c e s sc o n t r o l ，b l pm o d e l ，s e l i n u x ， l s m i i i 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：王鳓 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文， 允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内 容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科 学技术信息研究所将本学位论文收录到中国学位论文全文数据库， 并通过网络向社会公众提供信息服务。 作者签名：l 盟导师签名兰篁丝日期：蜱月旦日 硕十学位论文第一章概述 1 1 引言 1 1 1 自助服务 第一章概述 自助服务【l 是指以交互作用的方式向客户提供使用现金或磁卡、i c 卡等自 主付款方式获取所需服务为基本特征，以方便、安全、高效和高科技含量而有别 于传统服务行业的一个全新的服务领域。它是集光、机、电、防伪识别、数字加 密、智能软件等技术于一体的高科技智能化产品。智能自助服务可以广泛应用于 交通、金融、邮电、娱乐、零售业以及社会服务等诸多领域，像金融领域银行业 的自动存取款，服务业的自动售票机、t l 动检票机、自动售货机、自动收费系统、 纸硬币兑换机、手机自助缴费机、自助查询机等都是自助服务范围，它改变了交 易的模式，能够能够让客户更多的参与到交易或交流中来，增强了交互性和自主 性。服务已经逐渐深入到现代人的生活习惯中来，金融超市、自助银行、网上银 行、电话银行、刷卡消费等自助会融服务模式很大程度上拓展了银行窗口服务的 模式。同时也深深影响了消费者的消费习惯和生活方式。 自助服务终端【5 6 】是平台中直接与用户交互的部分，它的分析与设计主要集 中于两点：与用户的交互和硬件设计和控制。自助服务要求客户能在无人指导的 情况下在自助设备上完成业务操作，因此，自助服务终端要求有人性化的操作界 面，如用生动的图形动画、文字说明及丰富的的声音来提示来引导客户进行自助 操作：操作流程要简单、明了、无二义性，使客户能简单、直观地完成操作；容 错性能好，能处理各种正常或异常情况，使客户放心操作。 1 1 2 自助终端安全概论 自助服务现已广泛应用于多个领域如金融行业，电信行业等【7 1 。随着各种信息 技术的发展，自助服务平台的发展趋向于网络化和智能化【舡9 1 。而其中网络化的发 展将直接导致自助服务系统受各种攻击的风险性增加。而一旦受到攻击不但会影 响到系统服务的性能和质量。而且自助服务终端与业务逻辑处理系统之间传输的 内容包含了用户信息，一旦重要的数据信息丢失或被窃取，对客户和公司带损失。 因此必须要有一种安全机制来保证自助服务系统。 自助服务终端的软件属于商业用途软件，一些与货币识别器相关的数据尤其 是货币特征数据库和识别算法必须受到保护，尽量降低在传输过程中被窜改和窃 硕十学位论文第一章概述 取的可能性。目前，计算机网络受到的安全威胁主要有身份窃取、假冒、数据窃 取、否认、错误路由、拒绝服务、数据流分析和非授权接入等，采用的网络安全 基本技术主要有：身份验证、存取控制、数据完整性、数据机密性、防火墙技术、 入侵检测和漏洞检测技术以及安全协议等【1 0 1 。网络系统安全是一个很大的课题， 需要采取多种措施才能提高系统的安全性。软件本身在设计和实现上也必须充分 考虑系统安全性。防火墙技术、入侵检测和漏洞检测技术以及安全协议等手段虽 然能够较好地解决安全问题，但是它们都存在的一个严重的问题就是无法防止操 作系统带来的安全性问题。整个系统往往由于某个服务出现问题而被完全攻破。 一旦攻破了整个系统，密码再安全也是徒劳的。因此对于这种涉及商业和金融的 自助服务终端有必要从操作系统层加强其安全性。 1 1 3 操作系统访问控制对自助服务终端的重要作用 计算机安全包括信息的保密性、完整性和可用性三个基本方面j2 1 。保密性 保证信息不被泄露，完整性保证信息不被任意篡改和破坏，可用性保证有效信息 能够被使用而不会由于安全规则原因无法使用。其中信息的保密性和完整性是经 常受到威胁的，且越来越难防 1 3 - 1 5 】。 影响自助服务终端安全有两大因素：技术因素和非技术因素。其中非技术因 素是与人有关的因素。无论技术控制的效用有多大，如果非技术性因素影响了技 术的实现与应用，那么它对安全的影响是巨大的【怕】。本文只讨论计算机技术方 面的因素。技术上的自助服务终端系统的安全可包括硬件安全和软件安全。而其 中软件安全是自助服务终端安全的主要问题。自助服务终端软件安全可划分为操 作系统安全、数据库安全、应用软件安全和网络软件安全。它们都有着自身的安 全增强方式，起着不同的安全防护作用，加强了整个系统的安全。操作系统管理 计算机的软硬件资源，直接与硬件交互。由于操作系统是所有其他软件运作的基 础，因此操作系统的安全有着至关重要的作用。a t & t 实验室的s b e l l o v i n 博士 曾对美国计算机网络紧急响应队提供的安全报告进行过分析，结果表明很多安全 问题都是源于操作系统安全的脆弱【0 7 1 。 操作系统访问控制【l8 】是防止恶意代码的有效方法【旧】。病毒、蠕虫和木马都 属于恶意代码。1 9 8 8 年【2 们，康奈尔大学研究生罗伯特莫罩斯将其编写的蠕虫程 序输入计算机网络，在几个小时内导致互联网堵塞，运行迟缓。计算机病毒会影 响信息的完整性。木马以某种隐秘的方式启动运行，不易被用户发现。木马通常 继承了用户程序相同的用户i d 、存取权甚至特权。因此，木马能在不破坏系统 的任何安全规则的情况下进行非法操作。它不但影响到信息的完整性，而且破坏 信息的保密性，盗取账号和密码的工作多是由它来完成的。它们的传播是通过用 2 硕十学位论文第一章概述 户有意无意的执行携带恶意代码的可执行程序，从而使得恶意代码得以执行，进 而将它自身或者是自身的变体植入其他客体。如有的病毒被执行后，修改系统中 断，使得每次产生中断时，病毒都有机会执行一次，从而使病毒得以复制或发作。 又如有的w i n d o w s 下的木马传播的程序被执行后就植入木马并修改启动项使得 木马每次丌机后都能得以运行。恶意代码感染范围是执行该代码的用户所能够写 访问的可执行代码。由于某些操作需要一定的权限才能执行，例如病毒传播需要 对介质的写权限，因此恶意代码总是在具有一定的权限下得以传播的。因此，控 制权限滥用和传播就可以控制恶意代码的传播。同时，从计算机安全角度来看 恶意代码破坏了信息的保密性和完整性，所以如果能够有一种保证信息的保密性 和完整性的机制也可以阻止恶意代码的传播。 黑客攻击由于其手段的多样性与恶意代码有点不同，黑客经常利用网络协议 的脆弱性发起攻击。尽管如此，黑客要实现入侵也和恶意代码一样要获得合法权 限后才能做后继的工作。因此，黑客往往利用某一服务的漏洞来提升自己的权限。 由上可知，要减少或消除自助服务安全的威胁就要保证权限的合理使用，控 制权限的传播和滥用。这些安全机制可以放在应用层的软件上，也可以放在操作 系统层上。1 9 9 9 年9 月，我国发佰了中华人民共和国国家标准计算机信息系统 安伞保护等级划分准则1 2 0 - 2 2 】对操作系统的安全等级进行了划分。由此可见操作 系统对安全的影响。 总之，没有操作系统提供的安全，信息系统和其他应用系统就好比“建在沙 堆上的堡垒”1 2 3 】。上层应用系统的安全性必须依赖于底层基础软件的支持，没 有操作系统提供的安全保证，整个计算机系统的安全性无法得到根本保障【2 4 1 。 1 2 课题来源及意义 本课题来源于国家十五科技攻关项目“基于货币识别的智能自助服务平台 的子课题，在原有的电信自助服务系统上分析讨论了该系统的安全性，并从操作 系统访问控制角度研究了自助服务终端本身的安全问题，提出的两种方案在一定 程度上解决了自助服务的安全性问题，也为访问控制的应用研究作了有益的探 索。 1 3 论文内容安排 第一章概述，首先阐述了自助服务系统相关概念并对自助服务终端存在的安 全性问题作了讨论，分析了操作系统访问控制在自助服务终端安全性上的重要作 3 硕十学位论文 第一章概述 用。 第二章从整个系统的构架研究了电信自助服务系统的安全防范，详细分析了 自助服务终端与后台主机的数据加密传送，分析了当前安全设计的不足，得出服 务终端对整个系统安全的重要影响，提出从访问控制的角度加强电信自助服务终 端的安全性。 第三章提出了用s e l i n u x 解决自助服务终端的方案，说明了该方案的优势所 在，并对该方案进行了深入的研究，设计了一系列基于s e l i n u x 的自助服务终端 访问控制规则，并从自助服务终端存在的四个安全隐患分析了该安全策略的有效 性。最后测试了该方案的可行性，结果表明该方案是有效的。 第四章探讨了变种b l p 模型在l s m 上实现。比较分析了s e l i n u x 和l s m 两种机制，根据实际情况选用了l s m 机制来实现b l p 模型。结合s e l i n u x 的实 现，设计出一个应用于自助服务终端的占内存小的能够实现b l p 变种模型的安 全模块。 第五章对本文工作进行了总结，并对下一步的工作进行了展望。 4 硕士学位论文第二章电信白助服务系统安全 第二章电信自助服务系统安全 2 1 电信自助服务系统的体系结构及其安全 电信自助服务平台系统安全性要求严，在软件体系结构方面，我们采用了当 前业界最为成熟的三层体系结构，即数据层、应用层、表示层。平台网络拓扑图 如图2 一l 所示。 震睦二 岁 懿_ 据库 务器 i l 口 ：夸 管理辱境 卜卜嗣 程一壁一硒 图2 - 1 自助服务平台网络拓扑图 数据层：是整个平台的数据中心，包括交易数据库、b o s s 系统提供的外部 接入逻辑组。 应用层：是平台的应用逻辑处理层，是自助服务平台的核心层。应用层接受 表示层的交易数据请求或者业务数据请求，然后分别从交易数据库或者b o s s 系 统外部接入逻辑组获取表示层需要的数据，最后转发给表示层。 表示层：即操作员接入层，本系统中表示层由自助服务终端、客户服务中心、 终端管理系统组成。为了避免非法访问系统，在表示层与应用层之问可设有防火 墙。表示层将用户的功能请求转化为应用层能够识别的数据请求包，并提交给应 5 硕士学位论文 第二章电信白助服务系统安全 用层，最后将从应用层获取的数据用某种方式展现给用户。 总体上自助服务平台从功能上分为自助终端、终端管理系统、业务逻辑处理 系统、客户服务中心、b o s s 系统外部接入逻辑组和交易数据库六大部分。自助 终端直接与用户交互，引导用户完成业务办理；业务逻辑处理系统是自助服务平 台的衔接纽带，它负责处理平台的业务逻辑请求和交易数据的处理。管理系统负 责管理终端配置和交易数据，实时豁控终端运行；客户服务中心通过与用户的视 频交互帮助用户办理综合电信业务；b o s s 系统外部接入逻辑组是b o s s 系统提 供的业务接口抽象描述，它负责提供平台所需的业务数据。交易数据库用于保存 交易记录。图2 2 是平台的逻辑结构图。 图2 - 2 自助服务平台逻辑结构图 从平台的逻辑结构图可以看出，平台的所有业务处理鄙是在业务逻辑处理系 统中完成，表示层的w e b 浏览用户、自助服务终端和管理系统只接收和输出数 据，数据层的b o s s 系统外部接入逻辑组和交易数据库则服务提供满足条件的 数据。 通过采用这种业务逻辑集中处理的方式，提高了应用系统的安全性：将客户 端与数据库隔离起来，客户端无权限直接访问数据库，有利于安全管理，可有效 防止恶意攻击，还可以利用中间件的安全管理特性进一步加强权限控制管理。 2 2 数据通讯安全设计 系统的网络数据通讯是自助服务平台运行的关键，它是将平台各个独立的部 分连接成一个完整平台的纽带。 6 硕七学位论文第二章电信白助服务系统安全 终端管理系统与自助服务终端之间采用基于c l i e n t s e r v e r 模式、t c p i p 协议 的套接字通讯方式。自助服务终端为s e r v e r 端，终端管理系统为c l i e n t 端。自助 服务终端一直处于监听状态，当终端管理系统向自助服务终端发起远程控制请求 时，终端接收控制请求并与管理系统建立连接，然后自助终端就能接收管理系统 的远程控制信息。当远程控制结束时，终端管理系统主动关闭连接，自助终端则 将继续监听控制请求。 自助终端与业务逻辑处理系统之间的数据长连接通讯。在该通讯过程中，除 了要保证自助终端能够及时向业务逻辑处理系统发出业务请求，并从业务逻辑处 理系统接收处理结果外，还要保证系统能够实时的对自助终端的运营情况、网络 连接情况进行监控，所以在自助终端和业务逻辑处理系统之间采用长连接通讯方 式。 该通讯方式首先由自助终端向业务逻辑处理系统发送心跳包，业务逻辑处理 系统根据此心跳包检验该终端身份的合法性，如果通过，则两者之间以 c l i e n t s e r v e r 方式建立t c p 连接，用于双方信息的相互提交。t c p i p 连接建立 后，由自助终端( c l i e n t ) 发起建立应用层的连接，可以连续发送多个数据包，然 后断丌连接，在连接保持期间，如果没有数据包发送，需要双方发链路检测包， 以再次保持连接。 管理平台对终端的远程控制采用短连接方式，在这两者之问的数据通讯中， 自助终端为服务器端( s e r v e r ) ，管理平台为客户端( c l i e n t ) 。自助终端_ 直处于网 络监听状态，当管理平台向自助终端发起远程监控请求时，自助服端接收控制请 求并与管理平台建立连接，然后自助终端就能接收管理平台的远程监控信息，根 据不同的监控业务类型，来完成不同的监控操作。当远程监控结束时，自助服务 终端主动关闭连接，同时继续监听监控请求。 在这两者的通信存在如下的安全问题： 1 通信对方可能被冒充，从而使得如帐号密码等敏感数据信息泄露。 2 通信数据有可能被截取或篡改，从而破坏数据的机密性或完整性。 对于可能的冒充，我们采用内部函数来实现身份验证。 自助服务终端与业务逻辑处理系统之间传输的内容包含了用户信息，因此安 全性要求高，为了防止数据包在传输过程中被泄漏或者恶意篡改，专i - j n 定种 数据包格式。为了便于处理，请求包和应答包采用相同的数据包格式都包括包头 和包体两部分，包头包括终端编号、交易流水号、服务编码、业务号码、错误编 码等信息，包头信息实际上代表通讯双方的通讯协议，包头信息的内容将直接影 响到接收方对于数据包的处理；包体存储实际需要的业务数据，它是办理业务所 需的输入参数。包头长度固定，而包体长度根据业务类型不同长度也相应地发生 7 硕十学位论文第二章电信白助服务系统安全 变化，在数据包处理时包体的长度可以通过包头中的数据包长度获取。为了防止 请求包在传输过程中信息泄漏或被恶意篡改，系统将对包体信息和部分包头信息 采用m d 5 算法生成消息验证包，然后对消息验证包进行加密之后再传输。 发送方 譬输接收方 图2 - 3 数据包封装、传输、解析示意图 图2 3 描述了数据包从封装到传输再到解析的全过程。当自助服务端接收到 用户的业务请求时根据用户的输入形成数据包体，然后由系统自动生成交易流水 号、服务编码等信息并形成数据包头，再将数据包头和数据包体封装成( m a r s h a l ) 原始数据包，接着系统根据包体内容和指定部分包头内容采用m d 5 t 2 5 j 算法生成 m d 5 消息串并装入原始数据包行成请求数据包，最后采用指定的加密算法对请 求包进行加密同时装入发送缓冲区发送到业务逻辑处理系统。 业务逻辑处理系统从接收缓冲区中接收到请求数据包后先用密钥对请求包 8 硕十学位论文第二章电信白助服务系统安全 解密，然后根据包体内容和指定部分包头内容采用m d 5 算法生成m d 5 验证串， 并和包头中的m d 5 消息串进行比较，如果两者不相同则说明数据包在传输过程 中已经遭到纂改，业务逻辑处理系统视该数据包无效直接抛弃不做任何处理，否 则i 兑明数据包f 确。对于j 下确的请求数据包，业务逻辑处理系统对数据包的各项 内容一一解析( u n m a r s h a l ) ，然后交给相应的处理逻辑处理。 业务逻辑处理系统处理完后向自助服务终端发送应答包的过程与以上相同， 只是发送方和接收方与以上过程相比交换了而已。 2 3 电信自助服务系统的安全设计 虽然现在电讯自助营业系统主要运行在电讯的内部网络，但随着信息化技术 的发展不排除系统部署到外部i n t e m e t 网络的可能，因此我们有必要提供有效措 施，避免来自网络的未经授权的对系统内部的存取，以及对通讯信息进行窃听和 非法修改。目前，计算机网络受到的安全威胁主要有身份窃取、假冒、数据窃取、 否认、错误路由、拒绝服务、数据流分析和非授权接入等，采用的网络安全基本 技术主要有：身份验证、存取控制、数据完整性、数据机密性、防火墙技术、入 侵检测和漏洞检测技术以及安全协议等。网络系统安全是一个很大的课题，需要 采取多种措施才能提高系统的安全性。软件本身在设计和实现上也必须充分考虑 系统安全性。 2 3 1 当前系统安全设计 目前我们主要采用以下安全及权限控制策略来解决系统所面对的实际安全 问题： ( 1 ) 保证连接安全。通过防火墙限制对主机的访问，关闭无须丌放的端e l ，防 止来自网络对各节点主机的非法进入。 ( 2 ) 身份验证与授权。统一用户输入，对于不可识别的命令，在表现层即被阻 挡，合法的命令统一成一个唯一的命令，进行处理。限制未授权用户的使用权限： 对于浏览器用户，按照角色分配权限，进行身份验证；对于所有的业务调用，在 e j b 的基础上，进行身份验证和授权处理；所有的用户相关保密信息，包括账户、 密码等，都采用m d 5 不可逆加密算法加密存放。 ( 3 ) 采用符合c 2 级以上安全标准的操作系统和数据库服务器，提供完整管理、 审计、监控和故障处理功能。 ( 4 ) 关闭系统中不必要的服务以及文件共享功能，通过网络版防病毒软件来防 止病毒入侵，通过应用服务器来更新病毒代码，保证系统能防止最新的病毒入侵。 9 硕十学位论文 第二章电信白助服务系统安全 2 3 2 存在的问题 1 在保证连接安全的安全时，仅考虑了主机的安全，没有考虑终端的安全。 这样造成的结果是一旦一个终端被控制那么将直接影响到主机和整个系统的安 全。终端不安全可能产生如下问题： ( 1 ) 终端被控制后，用户的账号、密码等敏感信息会被盗取。终端如果被攻破， 那么建立于其上的加密就如同虚设，黑客可以很轻易地绕过复杂的密码破解而获 得敏感信息。 ( 2 ) 终端被控制后由于其受到主机的信任，所以可以向主机发送数据，这样就 可以骗取主机作一些非法的操作如修改后台数据库的相关信息或传送其他一些 敏感信息给受控终端。 2 自助服务系统通过防火墙来控制对主机的访问，对于通过外网接入的终端 也使用防火墙来保护。防火墙在一定程度上控制了来自外网的攻击，但它不能防 止来自网络内部的攻击行为，黑客可以通过各种手段进入内部网络绕过防火墙而 发起攻击。因此，防火墙只是整体安全防范策略的一部分，无法全面保证自助服 务的安全。 3 即使不连外网，也存在安全问题。对局域网而言【2 6 1 ，由于自身缺乏集中控 制机制，在防泄密方面具有很大的局限性。网络内各终端具有自主性，后台主机只 能获取终端的工作状态而无法监控其内部的行为。 4 当自助服务功能变得更加复杂时，需要丌放的服务就更多，从而使得自助 服务安全风险增大。 2 3 3 解决办法 上述存在的最主要的问题在于没有重视自服务终端的安全问题。这是由于当 前的安全需求所造成的。当前的终端都是连接在局域网上，因此存在的安全威胁 不多，对安全的需求不够强烈。然而随着自助服务的网络化和功能多样化的发展， 存在的安全威胁将会增加，这样对自助服务系统的安全需求就会增加。而用访问 控制来加强电信自助服务终端本身的安全可以很好地弥补上述安全设计存在的 问题。 2 4 小结 本章从整个系统的构架研究了自助服务系统的安全防范。对自助服务终端与 后台主机的数据传送，系统采用m d 5 加密保证其机密性和完整性。该方法可以 1 0 硕十学位论文第二章电信白助服务系统安全 有效防止网络传送过程中产生的安全问题。然而仅仅采用这种加密的方法很难满 足连接外网的需求。如果没有自助服务终端的安全，一旦终端被攻破，黑客将可 以绕过加密机制来获取机密信息。同时也会导致整个系统安全问题的产生。基于 此，本文将重点从访问控制的角度来对电信自助服务终端进行研究。 硕士学位论文 第二章基ts e l i n u x 的访问控制规! i ! i j 设计 第三章基于se l i n u x 的访问控制规则设计 3 1s e l i n u x 在电信自助服务终端上的优势 基于s e l i n u x 操作系统的电信自助服务终端除了与其他运行于l i n u x 下的系 统一样享受源码的免费开放及性能稳定外，还可享受s e l i n u x 带来的高安全性。 s e l i n u x 可以最大限度地保证l i n u x 系统的安全。没有s e l i n u x 保护的l i n u x 的 安全级别和w i n d o w s 一样，是c 2 级，但经过保护s e l i n u x 保护的l i n u x ，安全 级别则可以达到b 1 级。 除了具有操作系统级别提供的安全支持，还有网络层上的各种安全系统如防 火墙，i p s e c 等等。这样就大大降低了自助服务平台安全丌发方面的成本和难度。 从以上对安全性能和安全丌发成本的分析可知，基于s e l i n u x 操作系统的自 助服务终端无疑具有很大的优势。此外，l i n u x 原有的丌源免费优势及图内的广 泛研究【2 7 2 8 1 为基于s e l i n u x 的自助服务平台的其他方面的丌发也降低了成本。 3 2s e l i n u x 访问控制机制分析 3 2 1 支持机制分析 在信息安全只益受重视的今天，单一的安全策略已经很难满足安全需求的动 态多样化，不能灵活地支持多种安全策略和策略的动态改变【2 9 1 。当i 订没有一个策 略模型可以满足每种环境的安全需要，系统必须支持多个安全策略模型【。 s e l i n u x l 3 1 - 3 3 1 j 下是在这个背景下由美国国家安全局为主导研发出来的。s e l i n u x 是f l a s k t 3 4 】体系结构在l i n u x 上的实现。f l a s k 体系结构是一种支持多安全策略的 通用安全机制，可以控制访问权限的传播，执行细粒度的访问权限检查并且支持对 已经授予的访问权限的撤消。访问控制框架可以很好地满足安全操作系统发展对 多安全策略的需求p 研。 f l a s k 体系结构由对象管理器和安全服务器组成。对象管理器接收主体对客 体的访问请求，并将请求发送给安全服务器，由安全服务器根据安全策略进行策 略判定，然后将判定结果反馈给对象管理器，由对象管理器实施相应的操作。对 象管理器是安全策略的执行者，安全服务器是安全策略的判定者。f l a s k 体系结 构如图3 1 所示。 1 2 硕+ 学位论文第三章基。ts e l i n u x 的访问控制规则设计 图3 1f l a s k 结构 这种安全策略的执行和安全策略的判定相分离的结构有利于配置灵活的安 全策略。当需要改变安全策略时，只需修改安全服务器就可以了。 安全服务器用于提供安全策略决策，维持s i d 和安全上下文之问的映射，提供 新创建客体的s i d 和成员客体的s i d ，并且管理对象管理器的访问向量缓存 ( a v c ) 。另外在多数安全策略服务器实现中提供了加载和更改策略的功能。安全 服务器缓存已经计算过的安全决策结果可以加快下次查询的速度，从而提高整个 系统的性能。 对象管理器在f l a s k 体系结构中的作用是接收主体对客体的访问请求，并将 请求发送给安全服务器，在得到安全服务器的安全决策后执行相应的安全操作。 f l a s k 多安全策略框架通过对象管理器与系统进行集成。对象管理器是运行于内 核各子系统、经过形式化验证的安全代码，它是各内核子系统的抽象集成。对象 管理器主要作用是标记出受安全策略保护的客体、鉴别客户和服务器、响应客户 的访问请求、缓存安全决策。 在s e l i n u x 中，对象管理器包含在进程管理、文件系统管理、s o c k e ti p c 等 子系统中，通过l s m 的h o o k s 来实现。s e l i n u x 通过重写l s m 的h o o k s 函数 来控制自己的安全访问。而作为f l a s k 体系结构中的对象管理器，h o o k s 没有 最终的决策权，它是通过查询安全服务器来决定的。如图3 2 所示。 和f l a s k 原型系统一样，s e l i n u x 提供的安全服务器具体实现也定义了一个 由类型加强( t e ) 策略、基于角色的访问控制( r b a c ) 策略和多级安全( m l s ) 策略组合成的安全策略。其中t e 和r b a c 策略总是系统实现的安全策略的有机 组成，而m l s 策略是可选的策略，当内核配置选项c o n f i gf l a s km l s 打丌 时，系统会提供m l s 策略支持。 1 3 硕十学位论文第三章基于s e l i n u x 的访问控制规则设计 图3 2f l a s k 在l i n u x 中的实现示恶图 3 2 2r b a c 和t e 访问控制模型简介 安全模型是对安全策略所表达的安全需求的简单、无歧义的描述，它为安全 策略和它的实现机制之问的关联提供了一种框架，可以用来指导制定具体的安全 策略。安全模型的目的在于明确地表达安全需求，为设计丌发安伞系统提供指导。 3 2 2 1r b a c 模型 基于角色的访问控制模型r b a c 3 7 】思想首次出现在7 0 年代的多用户多任 务在线系统中，但是直到9 0 年代才引起研究者们的重视。1 9 9 2 年，美团国家标 准化和技术委员会洲i s t ) 的f e r r a i o l o 等人提出基于角色的访问控制概念【3 8 】。此 后，r b a c 不断发展，出现了许多r b a c 模型，其中，乔治麻省大学( g e o r g em a s o n u n i v e r s i t y ) 的s a n d h u 教授提出的r b a c 9 6 模型族【”】由于系统、全面地描述了 r b a c 的层次含义及关系成为角色访问控制研究领域的经典模型。基于角色的访 问控制可以运用于许多类型的系统中，如数据库系统和操作系统m l 中。 r b a c 的主要思想就是权限与角色相关联，用户被授予角色从而获得相应的 权限。管理员根据组织中的职能分工创建角色，然后根据责任和资格授予用户相 应的角色，从而实现用户和访问权限的逻辑分离。r b a c 的这种用户和访问权限 的逻辑分离，使得用户权限管理简单。管理员可以很容易的添加和撤销用户的角 色，也能够根据系统和应用程序的需要添加和删除角色的权限。有效的访问控制 策略对系统的安全性起着重要的作用。传统的访问控制技术如访问控制列表、访 问控制距阵、能力表等在大型系统管理时会带来查询速度慢、管理复杂和管理丌 销大的问题，而基于角色的访问控制技术可以有效地解决上述问题【4 。 1 4 硕七学位论文第三章基t - s e l i n u x 的访问控制规则设计 3 2 2 2t e 模型 t e 模型已被多个操作系统使用，如s e l i n u x 、d t e l i n u x ，因此它对安全的 控制能力可见一斑。t e 将系统中的实体划分为两大类，主体和客体。所有实体 都具有一个属性，主体的属性叫域，客体的属性叫类型。这样所有的主体被归到 若干个域中，所有的客体则被归到若干个类型中。t e 模型就是以主客体的属性 为基础，根据定义好的访问控制矩阵来决定主体是否有权访问客体。这些访问规 则存放在域定义表( d o m a i nd e f i n i t i o nt a b l e ) 和域交互表( d o m a i ni n t e r a c t i o nt a b l e ) 中。域定义表用于描述各个域的主体对不同类型客体的操作权限，域交互表用于 描述各个域的主体之问的许可访问模式。t e 模型可以控制程序的执行和域的转 移。这样，域就能与特殊的入口程序联系起来。t e 模型的这个特点把功能或可 信度不同的代码与不同权限关联起来，从而防止恶意代码的执行。 传统的t e 模型同等地处理在同一个域中的进程，并且同等地处理具有同一 类型的客体。t e 模型是虽然型实施非常灵活，但访问控制表也可能很快变得过 于复杂，从而使型实施难以投入实用。另外，文件的类型属性的存在需要有文件 系统的支持。 d t e 模型是t e 模型的扩展。d t e 使用以下两种方式来解决这些问题： ( 1 ) 用d t e 语言( d t e l ) 来详细描述d t e 策略。这种语言适合于表达与当 前应用和系统配置兼容的可重用访问控制配置。 ( 2 ) 使用隐式类型( i m p l i c i tt y p i n g ) 把文件和该文件的d t e 安全属性联系起 来。这种方法不需要改变文件系统格式，因为d t e 文件安全属性并不是和文件 一对一的存储在磁盘上的，而是使用目录层次来简洁地描述具有相同安全属性的 一个文件层次的各个部分。 d t e 模型对操作系统有一个更细粒度的控制，它也可以实现完整性控制【4 2 1 ， 并且能与其他模型很好的结合【4 3 1 。但现有d t e 实现系统存在安全目标不明确， 缺乏对系统及其安全性质的形式定义和分析的缺点，导致系统安全性难以得到保 证m l 。同时，它更像是基于进程的访问控制模型【4 5 - 4 9 1 。 3 3 自助服务终端结构分析 终端系统由刷卡机构、纸币机构、硬币机构、出货机构、网络通信单元、 u p s 电源、显示器、票据打印机等模块组成。各模块都有各自的处理器系统，它 们与多机协同控制系统协同工作，形成一个分布式的控制处理系统。 自助服务终端结构如图3 3 所示。 1 5 硕十学位论文 第二章基于s e l i n u x 的访问控制规则设计 3 4 访问控制规则设计 图3 - 3 自助服务终端结构 图3 4r b a c 和d t e 关系图 当前s e l i n u x 所使用的安全服务能够同时支持四种类型的安全策略，它们分 别是多级安全( m l s ) 策略、类型加强( d t e ) 策略、基于角色的访问控制( r b a c ) 策略和基于标志的访问控制( i b a c ) 。其中前三者使用较为广泛。这三种类型的 1 6 硕士学位论文第二章基于s e l i n u x 的访问控制规则设计 安全策略各有所长，这样可以充分发挥它们的长处，满足更多、更高的安全要求。 多级安全策略增强系统安全保密性方面；类型加强由于实现了更细粒度的访问控 制，可以满足多种安全需求，如完整性，从而为系统安全提供更好的保护；基于 角色的访问控制则在最高一层上实现安全控制，并可为前面两个安全策略提供提 供支持。其中最核心的是d t e 。而r b a c 是在d t e 基础上实现的，r b a c 所建 立的角色都是在d t e 的所定义的域基础上建立起来的，r b a c 和d t e 的关系如 图3 _ 4 所示。在r b a c 中，用户( u s e r ) 和角色( r o l e ) 的关联是多对多的；在d t e 中，域只能访问规定的类型；r b a c 中的角色和d t e 中的域是多对多的关系。 本安全策略基于r b a c 和d t e 来进行设计。 3 4