（计算机科学与技术专业论文）基于linux内核及系统调用的文件系统管理的研究与实现.pdf

北京邮电大学硕士研究生论文 摘要 基于l i n u x 内核及系统调用的文件系统 管理的研究与实现 摘要 近年来“n 1 1 ) 【系统由于其出色的性能和稳定性，开放源代码带来的灵活性和 可扩展性，以及较低廉的成本，而受到计算机工业界的广泛关注和应用。但是在 安全性方面，l i n u x 内核只提供了经典u n 自主访问控制，以及部分的支持了 p o s 1 e 标准草案中的c a p a b i l m e s 安全机制，这影响了l i n l l 】【系统的进一步的 发展和更广泛的应用。针对这个问题，本文对l i n u x 系统安全特别是文件系统的 访问控制进行了深入的研究。 “m l 】【安全模块( l s m ) 在内核为增强型访问控制提供了一个灵活通用的支 持框架，它从五个主要的方面对“n u x 内核进行了修改。l s m 本身不提供任何 的安全策略，而是提供了一个通用的安全体系结构给安全模块，由安全模块来实 现具体的安全策略。论文首先介绍了操作系统安全的重要性，说明了目前安全操 作系统面临的威胁和国内外相关研究的情况。接下来详细介绍了l s m 的产生、 设计思想以及实现方法。从可加载内核模块( l 日v i ) 技术思想出发，基于l s m 的安全模块一l i n l l 】【入侵检测系统( u d s ) ，对传统l i n l l ) 【系统安全性进行了全 面的提升：它细化了l i n u x 系统访问控制粒度，对超级用户增加了限制，为“n u x 系统提供了安全的访问控制机制。最后通过分析l i d s 的详细实现，找到其设计 功能中的不足之处，为了进一步细化l i d s 的访问控制粒度，在原有方案的基础 上提出了基于时间和基于用户i d 、组i d 的改进策略，并提供了具体的设计实现 方法。 关键字：l i n u x 安全模块( l s m )l i n u x 入侵检测系统( l i d s ) 系统调用安全域钩子函数 北京邮电大学硕士研究生论文摘要 r e s e a r c ha n di m p i e m e n t a t i o no f f n e s y s t e mm a n a g e m e n t b a s e do nl i n u xk e r n e la n ds y s t e mc a l l a b s t r a c t w i t ht h ee x c e l l tf e a t u r e so fp c r f o m a l l c e ，s t a b i l 时，f l e x i b i l i 饥 e x p 她s i b i l i t ya n d1 0 wc o s t ，“n u xh a sb e e n 们1 d l yu s e di nt h ec o m p u t e r i n d u s t 可b u ti nm e a r e ao fs e c u r i t y ，l i n u xk c m e lo n l yp r o v i d et h ec l a s s i c a c c e s sc o n t m lo fu n i xa 1 1 dt h ec 叩a b i l i t i e sm e c h a n i s mo fp o s 1 e ， w r h i c hb l o c k sd e v e l o p m e n ta n da p p l i c a t i o no fl i n u x a st om i sp r o b l 锄， t h i sp a p e rd i s c u s s e st h es e c u t yo f l i n u x ，e s p e c i a l l yt h ea c c e s sc o n t r o lo f f i l es y s t e m “n u xs e c u r i t ym o d u l e ( l s m ) p r o v i d e saf l e x i b l e 锄dg e n 吲 f - r a m e ，o r kf b rt h ee n b a n c e da c c e s sc o n t r 0 1i nt 1 1 ek e m e l i tm o d i f i e s 也e l i n u xk e m e l 舶mf i v em a i na r e a s i td o e s n tp r o v i d ea n ys e c u r i t yp o l i c y i t s d b u ti tp r o v i d e sag e n e r a ls e c u r i t ) rs y s t c mt os e c u r i t ym o d u l ew h i c h w i l lr e a l i z em es e 乱时t yp o l i c y f i r s t l yt h i sp 叩e rg i v e sa 1 1i n 仃o d u c t i o n a b o u tt 1 1 ei m p o r t a n c eo ft l l es e c u r i 哆o fo p 馓t i n gs y s t e m ，a n dp r e s e n t st h e c u ”e n tt h r e a t so f0 p e r a t i n gs y s t 锄a 1 1 dr e s e a r c hs i t i l a t i o no nt h i sa r c a t h e ni td i s c u s s e st h el s mn - o mg e n e r a t i o no fl s m ，t h j l l l ( i n go fd e s i 印 a n dr e a l i z a t i o n u d si m p m v e sm es e c u 衄o fl i n u x 丘d mt h et h i n l ( i n go f l o a d a b l ek 唧e lm o d u l e ( l i a 订) ，i ts u b d i v i d e st h ea c c e s sc o n 缸d 1 铲踟l a r i t yo fl i n u x ，l i n l i t st h es u p e ru s e r sp r i o r i t y l i n u xi n t m s i o n d e t c t i o ns y s t e m ( l i d s ) p r o v i d e sl i n u xw i t hs e c u r em e c h a 芏l i s mf o r a c c e s sc o n t r 0 1 f i n a l l y ，ad e t a i l e da n a l y s i so fl i d sf o u n dd e f i c i e n c i e si n i t sd e s i g nf i l n c t i o n t o 血r n l e rr c f i n e m e n tl i d sg r a n u l 撕t yo fa c c e s s c o n t r 0 1 ，i nt h eo r i g i n a ld e s i g ni m p r o v e m e n ts t r a t e g i e sb a s e do nt h et i m e a n db a s e do nu s e ri d ，g r o u pi dw e r eg i v eo u t ，a n das p e c i f i cd e s i 印 m e t h o di sd r o v i d e d k e yw o r d s ：l s ml i d s s y s t e mc a l ls e c u r i t yf i e l d h o o k i i 北京邮电大学硕士研究生论文 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书面使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：；霉钍一 日期：j 2 1 z _ 垒 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授 本人签名：i 垡蕴日期： 导师签名：三舅_ l 日期： 权书。 一7 、# t 丛z 。! ：兰 北京邮电大学硕士研究生论文 绪论 第一章绪论 1 1 操作系统安全的重要性 操作系统是计算机重要的系统软件，它负责控制和管理计算机所有的软、硬 件资源。由于操作系统的重要地位，使攻击者常常以操作系统为主要攻击目标， 因此研究保护操作系统的方法、设计安全的操作系统，对整个计算机系统的安全 至关重要。 随着计算机的普及，互联网渗透到人们生活的方方面面，信息安全则日益成 为人们关注的焦点。根据计算机软件系统的组成，软件安全可分为：操作系统安 全、网络软件安全、数据库安全、应用软件安全。而操作系统作为计算机系统的 基础软件，是计算机资源的首要管理者，控制着整个系统的运行，直接和硬件打 交道并为用户提供接口，是计算机软件的基础、核心。在网络环境中，网络的安 全可信性依赖于各主机系统的安全可信性，而主机系统的安全性又依赖于其操作 系统的安全性，故没有操作系统的安全就谈不上主机系统和网络系统的安全性。 数据库管理系统d b m s 通常是建立在操作系统之上的，若没有操作系统安全机制 的支持，数据库就不可能具有存取控制的安全可信性。计算机应用软件都建立在 操作系统之上，它们都是通过操作系统完成对系统中信息的存取和处理。因此， 操作系统的安全是计算机系统安全的基石。a t & t 实验室的s b e l l o v i i l 博士对美国 c e r t ( c 伽叩咖e m 哪c yr 髓p 彻t e m ) 提供的安全报告进行分析后认为，多 数安全闯题都源于操作系统的安全脆弱性。 操作系统作为计算机系统的重要组成部分，其安全性的研究具有着重要的意 义。一个安全的操作系统应该满足用户的保密性( c 蛐f i d t i a l i 劬、完整性( i l i t 唧t y ) 及可用性( a v a j l a b i l i 劬的要求，亦即所谓c i a 的要求。就计算机安全而言， 一个 操作系统仅仅完成其大部分的设计功能是远远不够的。当计算机操作系统的某个 功能模块上存在一个漏洞时，从系统功能的角度来看可以忽略它，因为这个漏洞 对系统功能的影响可能微乎其微，甚至没有影响。但是，从系统安全的角度来说， 漏洞没有大小之分，即使一个很小的漏洞都有可能使得整个计算机系统的安全控 制机制变得毫无价值，甚至导致整个系统的崩溃。系统中的漏洞一旦被入侵者发 现并利用，后果将是十分严重的。从图l l 近年来操作系统高风险漏洞年统计 图( 1 9 9 8 2 0 0 4 ) 中我们可以看到，操作系统相关的新漏洞的发现从2 0 0 2 年以来虽 然情况有所好转，但形式依然非常严峻，这些漏洞都能被网络黑客轻易地用于入 侵计算机系统，导致蠕虫的泛滥，甚至导致重要信息被窃取。如果把一个操作系 北京邮电大学硕士研究生论文 统比喻是一个大房间，系统中的漏洞好比房间墙上的一个没有关上的窗户，虽然 可以居住，却无法将盗贼拒之门外。 图l l 近年来操作系统高风险漏洞年统计图( 1 9 9 8 2 0 0 4 ) 随着近几年网络技术的飞速发展，信息资源的共享程度进一步加强，网络资 源的安全问题也越来越引起人们的高度重视。特别值得注意的是，随着大规模网 络的应用以及金融、教育、政府等重要网络的接入，近几年来的入侵事件每年都 成倍的增长，而且有愈演愈烈的趋势。 而在这些攻击事件中，大多数攻击大多数都是通过挖掘操作系统和应用服务 程序的弱点或者缺陷实现的。2 0 0 3 年肆虐全球的“冲击波”病毒就是一个很好的 例子，虽然微软已经发现了这个系统漏洞并在微软的官方网站上提供了相应的系 统补上供用户下载，但全球仍有无数的操作系统遭受到了攻击。 据国家计算机病毒应急处理中心统计，在“冲击波”病毒出现2 4 小时内，全 球有1 4 0 万个网络地址( 相当于1 4 0 万台以上电脑) 被入侵。仅在“冲击波”病毒出 现的4 个工作日内，该中心收集到全国范围内的6 1 0 0 0 多个案例，受感染的计算机 超过1 0 0 万台，全国所有地区几乎都有案例报告。2 0 0 1 年红色代码( c o d e r o d ) 是 首个黑客型病毒，因不断搜寻i ss e r v 盯而导致网络交通异常，从而造成了2 6 2 亿 美金的损失。全球计算机受攻击数目达到l o o 多万台，清除红色代码病毒共花费 了1 1 亿美元，生产中断造成的损失达到了1 5 2 亿。 相对于已经发现的系统漏洞来说，未知的系统漏洞的危害性就更大了。互联 北京邮电大学硕士研究生论文 绪论 网安全系统( i s s ) 公司在2 0 0 3 年4 月份的一份报告中称，美国军方曾发现有人利用 微软w i i i d o w s 系统中一个当时尚未被发现的系统漏洞进行攻击，微软在事发五天 后发布了系统补丁。但此事件告诉人们，当前的操作系统并不定是牢不可破的， 只是许多潜藏的安全漏洞还没有被发现，是企业和用户所不知道的。 另外，从安全角度来看，操作系统软件的配置是很困难的，配置时一个不经 意的失误就有可能导致一系列的安全漏洞。例如，在l i n 弧早期的版本的文件系 统中，生成文件时的默认的属性叫m a s k 的值) 设置的不太恰当，在配置文件所 有权和权限时，常常由于文件的账户所有权不正确或文件权限设置的不正确，而 导入潜在漏洞，进而对系统的安全造成威胁。 当前，网络保障和信息安全的已引起人们的讨论网络安全的热点问题，但随 着防火墙、入侵检测、漏洞扫描、网闸、渗透式测试等网络安全产品的开发及相 关技术的研究，入们不得不思考这样的问题：这些安全产品的“底座”( 搡作系 统) 可靠坚固吗? 人们已经发现在w i t - d o w s 操作系统中存在着“后门”，也发现 在w o r d 软件中有追踪用户m 的手段，尽管微软已发布了可以禁止这些“后门” 的补丁，但仍难以消除人仃 的顾虑。尽管w 砌o w s 操作系统开始提供部分源代码， 人们对讹d o w s 源代码的研究才刚刚开始，对它的安全性难以评估并予以增强。 即使是开源软件i i m 的安全性也是值得研究的，虽然我们手头上有内核代码， 如果不去研究就不可冉皂发现操作系统中潜在的漏洞，单靠别人发现并公布系统漏 洞，我们的系统同样毫无安全性可言。 要真正解决硬件系统、数据库系统、应用软件以及网络系统的安全问题，就 必须解决操作系统的安全性，研究和开发具有高可靠性、高容错能力和可动态配 置策略的安全操作系统。 1 1 1 操作系统安全的威胁 随着网络技术的飞：速发展，互联网的普及应用以及金融等重要网络的接入， 越来越多的系统遭到入侵攻击的威胁，这些威胁大多是通过挖掘操作系统和应用 服务程序的弱点和缺陷实现的。对操作系统安全构成的威胁主要有： 计算机病毒：指编审口或在计算机程序中插入的破坏计算机功能或毁坏数 据，影响计算机使用，并能自我复制的组计算机指令或程序代码。病 毒具有隐蔽性、传染性、潜伏性、破坏性等特点 特洛伊木马：这是一个包含在合法程序中的非法程序。它在用户不知情 的情况下执行，并把用户信息发送给攻击者。尽管特洛伊木马不具自我 复制能力，但仍具潜伏性，且有更大的欺骗性和危害性 隐蔽通道：指允许进程以危害系统安全策略的方式传输信息的通信信道。 北京邮电大学硕士研究生论文 按照信息传递的方式又分为：存储隐蔽通道、时间隐蔽通道。存储隐蔽 通道是指一个主体直接或间接地写某个存储单元，而被另一个违反安全 策略的主体读取该单元信息。时间隐蔽通道是指发送进程对系统资源状 态进行调节，接收进程利用实时时钟等作为时间基准检测系统资源状态 的变化，从而接收信息。 后门：是利用植入操作系统内部的一段爿 法代码入侵系统。后门只能利 用操作系统本身的缺陷或由系统的开发人员安装。 因此，面对各种各样的安全威胁和攻击，我仃 必须采取有力的安全机制进 行保护、防御和反击。但是，目前国内信息安全工作主要还是集中在应用层、传 输层和网络层，对操作系统安全认识不足或者缺乏有效的解决措施，这从我国使 用的主流操作系统都为国外大公司所控制且缺乏基本的安全机制可见一斑。没有 操作系统的安全，信息安全犹如“沙滩上的城堡”。 1 1 2 操作系统安全等级划分 我国一些科研机构从上世纪9 0 年代开始研究安全操作系统，到目前已经取得 了一些成果，从这些机构现在开发的安全操作系统来看，主要还是以美国的 t c s e c 安全评价标准为基础的。美国国防部国家计算机安全中心于1 9 8 3 年制定 了t c s e c ( t m s t e dc o m l m t 盯s y s t 咖e v a l u a t i o nc r i t e r i a ) ，用于商用操作系统、网 络组件和可信应用所达保护程度的安全等级范围，通常称为“橘皮书”，如表1 1 所示： 表l l 操作系统安全等级 安全等级描述主要特征 a 1 验证设计 计算机的软、馒件设计均垂r 止式的安全策略模型，可通过 理论分析进行验证，生产过程和销售过程也绝对可靠，目前 尚无满足此条件的计算机产品 b 3 安全域 具有高度的抗侵入能力，可防篡改，进行安全审计事件的监 视，具备故障恢复能力 b 2 结构保护 提供结构化的保护措施，对信息实现分类保护 b 1 标识安全保护 允许带级别的访问控制，如一般、秘密、机密、绝密等 c 2 控制访问保护 具备审计功能，不允许访问其他用户的内存内容和恢复其他 用户已删除的文件 c l自主安全保护 用户可保护自己的文件不被别人访问，如典型的多用户系统 d 最小保护 只提供最小保护，如p c 机 北京邮电大学硕士研究生论文 绪论 t c s e c 标准由可信任级别组成，更高一级的安全等级通过在低一级的安全等 级增加更严格的安全保护和验证要求来实现。没有操作系统能满足a l 安全等级。 尽管一些安全操作系统达到了b 级安全等级，但对通用操作系统来说，c 2 级基本 能满足实际运用。 c 2 级安全等级包括如下关键要求： 安全登录措施 要求用户能被唯一识别，并只有通过某种方式的鉴别后才能访问计算机。 自主访问控制 允许资源的主人决定谁可以访问该资源和对该资源所做的操作，资源的 主人管理分配给一个用户或一组用户访问该资源的权限类别。 安全审计 提供检测和记录安全相关事件或任何创建、访问和删除系统资源的企图。 登录标识符记录所有用户的标识，可以跟踪实施未经授权行为的任何人。 对象重用保护 阻止用户访问另一用户己删除的数据或先前使用并已释放的内存。 b 1 级操作系统除上述机制外，还不允许文件的属主改变其许可权限。b 2 级操 作系统要求计算机系统中所有对象都加标签，且给设备( 如磁盘、磁带或终端) 分 配单个或多个安全级别。 1 2 目前安全操作系统面临的问题 目前，现实中广泛应用的操作系统大多是普通的操作系统或者是安全级别比 较低的操作系统。按照t c s e c 的标准大多数的计算机使用的操作系统不能达到 b 2 级安全标准。总结目前的各类安全操作系统普遍存在的问题主要有： 访问控制机制不够灵活，不能够有效的支持多种安全策略的实现。当前 的安全操作系统大多数开始支持多安全策略，但是因为这方面的研究才 刚开始，所以对多策略的支持还不够完善。既然使用多安全策略，那么 不同策略之间难免出现规则冲突。如何在充分发挥不同安全策略自身优 势的同时，保证各种安全策略所定义的安全规则不发生规则冲突，还有 待进一步的研究和思考。 访问控制的粒度太大，特别是对物理设备的访问控制粒度不够细。目前 的安全操作系统都考虑的比较少甚至没有考虑与设备安全相关的模块， 之所以在操作系统中加入对设备的访问控制模块，是因为作为计算机系 统重要组成部分的设备自身的安全是相当重要的。稍微懂得驱动编程的 人就可以直接将硬盘中数据直接读出，完全可以绕过目前许多的访问控 北京邮电大学硕士研究生论文 绪论 制系统。最简单的例子，使用软件懿p l o r c 2 f 就可以在w i n d o w s 下读出 l i m 下的e x t 2 格式的文件，不需要任何特殊权限。即使在“1 1 u x 操作系 统下，具有适当权限的用户( 这些权限包括可以加载自己的模块和对某些 系统调用的访问权限) 就可以通过自己的设备驱动程序将设备上的信息 读取出来。其原理在于设备的驱动程序直接控制内核底层的设备i o 端 口，处于内核的最低层，而日前操作系统访问控制虽然也是在内核中的， 但是处于驱动程序的上方。而对大多数的应用层软件来说，其使用的访 问控制机制不是操作系统的访问控制模块，而是应用软件自己构造的访 问控制模块。 没有将密码技术和当前的访问控制技术进行有效的结合。密码技术是计 算机安全的关键技术，体系结构是基础，两者缺一不可。目前随着人们 安全意识水平的提高，对数据安全性有了更加迫切的要求，特别是数据 的完整性和机密性。即使加密的信息，如果体系结构不合理，也会给黑 客们一个可乘之机。 随着网络的迅速普及，越来越多的计算机接入了h l t 锄e t ，同时各种病毒、木 马、以及窃听等攻击工具随之而来使我们被攻击的可能性也大大的提高了。但是 普通的操作系统往往没有实现细粒度的访问控制，从而使一些攻击者有了可乘之 机。从理论上讲，访问控制的粒度越细，系统的安全性就越高。 操作系统作为计算机系统的重要组成部分，其安全性是计算机信息系统安全 的不可缺少的方面，研究和开发安全操作系统任重而道远并具有重要意义。尽管 人们对安全操作系统的各项技术已经研究了很多年，但是还有很多的问题有待人 们去研究和解决。接下来来主要对国内外的安全操作系统进行分析和研究，分析 了当前安全操作系统的现状和发展趋势，同时指出了目前安全操作系统存在的不 足。 1 3 国内外相关研究现状 1 3 1 国外安全操作系统的研究发展 早在2 0 世纪6 0 年代，安全操作系统的研究就引起了研究机构( 尤其是美国军方) 的重视，至今，人们已在这个领域付出了几十年的努力，开展了大量的工作，取 得了丰富的成果。安全操作系统的发展经历了奠基时期( 如m d a t i p e r i o d ) 、成熟 时期( c o o 枞p e r i o d ) 、多策略时期( m u l t i p o l i c y p e r i o d ) 和动态策略时期 ( d y n 锄i c l 0 l i c yp c r i o d ) 四个阶段。 北京邮电大学硕士研究生论文绪论 奠基时期：在这个时期中，逐步建立了安全操作系统的基本思想、理论、技 术和方法。 m u m 是开发安全操作系统最早期的尝试之一。1 9 6 5 年，美国贝尔实验 室和麻省理工学院的m a c 课题组等一起联合开发一个称为m i l l 虹锵的新 操作系统，其目标是要向大的用户团体提供对计算机的同时访问，支持 强大的计算能力和数据存储，并具有很高的安全性。贝尔实验室里的后 来参加u n 早期研究的许多人当时都参加了m m 6 c s 的开发工作由于 m u l 矗c s 预期的复杂性和理想性，结果未能达到预期的日标，而且连他们 自己也不清楚什么时候才算达到设计的日标。虽然m l l l t i c s 未能成功，但 它在安全操作系统的研究方面迈出了重要的第一步，为后来的安全操作 系统研究积累了大量的经验。 1 9 6 7 年，计算机资源共享系统的安全控制问题引起了美国国防部的高度 重视，美国国防科学部( d e 胁s es c i c cb o a r d ) 旗下的计算机安全特别部 队o a s k f 咄c o m p u t e rs o 础劬的组建拉开了操作系统安全研究的序 幕。 1 9 6 9 年，c w e i s s r n 彻发表了有关a d e p t 5 0 安全控制的研究成果。安全 a d e p t - 5 0 是历史上的第一个安全操作系统，可以实际投入使用，运行于 m n v 3 6 0 硬件平台，它以一个形式化的安全模型一一高水标模型 咖g h w a t c r m a r l 【m o d d ) 为基础，实现了美国的一个军事安全系统模型， 为给定的安全问题提供了一个比较形式化的解决方案。 1 9 6 9 年，b w l a m p s 通过形式化表示方法运用主体( g u b j e 吐) 、客体 ( o b j e c t ) 和访问矩阵( a c c sm a 矗x ) 的思想第一次对访问控制问题进行了 抽象。 1 9 7 0 年，w h w a r e 推出的研究报告对多渠道访问的资源共享的计算机系 统引起的安全问题进行了研究。报告结合实际的国防信息安全等级划分 体制，分析了资源共享系统中敏感信息可能受到的安全威胁，提出了解 决计算机安全问题的建议途径。报告研究的主要目标是多级安全系统 ( n i u l t i - l c 、，c ls w 嘶t y s y s t 锄) 在计算机中的实现。 1 9 7 2 年，作为承担美国空军的一项计算机安全规划研究任务的研究成果， j p a n d e r n 在一份研究报告中提出了引用监控器( 州湎e n 伽l 砌o o r ) 、引 用验证机制( 触c cv a l i d a t i o n 蛐羽l a n i 锄) 、安全内核( s e c 嘶t y k 唧e 1 ) 和 安全建模( m o d d i n g ) 等重要思想。 1 9 7 3 年，b w l am p n 通过对程序的禁闭( c o n f i n 锄锄t ) 问题的研究提出 了隐通道( c o v e n c h 姐n e l ) 的概念。同年，d e b e l l 和l j l a pa d _ u l a 提出了第 北京邮电大学硕士研究生论文 一个可证明的安全系统的数学模型，这就是b e l l & l a p a d u l a 模型，简称b l p 模型。 1 9 7 5 年，j h s a l t e r 和m d s c h r o e d c r 提出了安全保护系统的设计原则。 1 9 7 6 年，m a 1 1 a m s ，w l z 和j d u l l m 锄提出了操作系统保护的第 一个基本理论( h r u 理论) 。 成熟时期：从无到有，在探索如何研制安全计算机系统的同时，人们也在研 究着如何建立评价标准去衡量计算机系统的安全性。第一个计算机安全评价标准 的诞生，把安全操作系统研究带入了一个新的阶段。在这一时期，主要是围绕 t c s e c 为蓝本研制安全操作系统。 1 9 8 3 年，美国国防部颁布了历史上第一个计算机安全评价标准，这就是 著名的可信计算机系统评价标准，简称t c s e c ，又称橘皮书。它为安全 系统指定了一个单一的系统安全策略。 1 9 8 4 年，a o m 技术公司的s i 沁衄e r 发表了l u s 系统的设计与开 发成果。l i n u s 是u n i x 类的实验型安全操作系统。传统的u n i x 系统虽 然提供一定的保护机制，但安全性不是它的设计目标。l 玳u s 以4 1 b s du 血【为原型，结合t c s e c 标准的要求，对安全性进行了改造和扩充。 1 9 8 6 和1 9 8 7 年，i b m 公司的v d g l i g o 肖发表了安全x i x 系统的设计与 开发成果。安全x 饥i x 是以x e l l i x 为原型的实验型安全操作系统，属于u n i 】【 类的安全操作系统，它要实现的是t c s e c 标准1 3 2 - a l 级的安全要求。 1 9 8 8 年，a 尉l tb d l 实验室的c w f l i i l l d i 和j d w c i s s 发表了s y s t 锄 l s 系统的设计与开发成果。s y 龇眦v 舢l s 是以a t t 的嘶x s y s t 瞰i v 为原型的多级安全操作系统，以t c s e c 标准的安全等级b 为设计 目标。 1 9 8 9 年，加拿大多伦多大学的g l g 姗i 既r h o l t 和m f 吼k 锄妇发表了 安全t u n i s 系统的设计与开发成果。n 烈i s 仃0 r o n t ou n i v 粥时s y s t e m ) 是加拿大多伦多大学开发的一个与u n i x 兼容的操作系统，是u n i x 内核的 一个新的实现，该系统用强类型的t 1 | f i n gp l u s 高级语言编写，具有较好 的模块化结构。安全t u n i s 系统是以t u n i s 系统为原型的安全操作系统。 多策略时期：随着互联网的普及、分布式系统的应用，单一安全策略己完全 不能满足现实世界的需求。 1 9 9 0 年，a b r 锄s 和l a pa d _ u l a 提出了通用访问控制框架( g m lf r 姗铡o f l 【 f o ra 瑚档sc 伽盱o l ，简记g f a c ) ，这是一个经典的多安全策略支持框架， 北京邮电大学硕士研究生论文绪论 但实施起来比较困难。 1 9 9 3 年，美国国防部推出d g s a ( d o dg o a ls 耐t y a r 出t e m 鹏) 安全体系 结构，它的显著特点是提出了对多安全策略支持的要求。 1 9 9 7 年完成的d 1 d s ( d i s t r i b u t e dt r 哪t e do p 啪t i n gs y s t 锄) 项目就是能够 支持多种安全策略的一个原型系统，它能支持多级安全策略( m l s ) 、基 于标识的访问控制策略( i d e 以t yb 鹪。da ；c e 鲻c 响l ，简记m a c ) 、类型 强制策略( t y p ee n f b r o e m t ，简记t e ) 等。 动态策略时期：由于安全策略并不是静止的，如何支持策略的灵活性是动态 镱略时期的重要特征。 f l a s k 系统的诞生是进入动态策略时期的标志，它是从d t o s 原型系统衍 生而来，并实现了动态安全策略，支持策略的灵活性。f l 勰k 模型将安全 策略的实施与安全策略的决策独立开来，策略的变更不会影响策略实施 部分的代码，较好地支持了动态安全策略。f l a s k 是以f l l 】l 【e 操作系统为基 础开发的安全操作系统原型。f l u k e 是一个基于微内核的操作系统，它提 供一个基于递归虚拟机思想的、利用权能系统的基本机制实现的体系结 构。 2 0 0 1 年发布的由美国国家安全局牵头开发的安全增强l i n u x ( s e c i l r i t y c 。d i j 删x ，简记s e i j 姗 ) ，就是以f l 船k 体系结构为基础的安全操 作系统，实现了类型强制策略( t e ) ，基于角色的访问控制策略( r d l eb 勰c d a 嘲c 的l ，简记r b a c ) 和多级安全策略( m 珂石k v c ls 嘶t y ，简记 m l s k 目前国外还有其他一些正在研究和开发的安全操作系统项目，如：基于规则 的访问控制安全增强系统r s b a c ( r u l es c tb 勰c da 淌sc 伽呐d 、l s m ( ij n 弧 s 。c i l r i t ym o d u k ) 、0 p e n w a l l ( o w l ) 、o p 衄s s h 和t f u s t b s d 。总结一下从六十年 代早期的基础理论研究开始，到目前为止安全操作系统的增强性技术研究总共有 四五十年的历史。我们把上面提到的以时间为主线，根据各个时期主要技术和理 论模型以及评价标准划分的四个不同的阶段，以表格的形式整理如下。见表1 2 不同阶段的安全系统划分： 北京邮电大学硕士研究生论文 绪论 表1 2 不同阶段的安全系统划分 六七十年代八十年代九十年代初期九十年代末至今 主要特点初期阶段，探讨基单一的安全策略。多种安全策略并多种安全策略的 本的思想、技术和产生了可以使用的存，开始探讨支支持，更好的支 方法产品，有了评估标 持多种安全策略持策略灵活性， 准 更细粒度的访问 控制 代表性主体、客体、模型、系统安全等级、多安全策略共 策略灵活性进一 的思想访问控制、访问控1 s e c 标准、分级存、如何将多种步加强，探索新 制列表等安全操作系统的研安全策略结合的访问控制技 制 术，l s m 框架的 提出 推动因素美军方意识到资 美国防部要求被采网络应用范围的现实中的网络环 源共享对计算机纳的系统必须符合迅速扩大境要求系统应该 的安全造成威胁t c s e c 标准适应策略的动态 改变 主要产品无实用的产品安全融 d t o sl s m 、r s b a c 、 f l a s k 1 3 2 国内安全操作系统的研究发展 我国也进行了一些有关安全操作系统的开发和研制工作。由于各方面的原 因，与国外同时期的研究和产品相比，我国对安全操作系统增强性技术的研究相 对来说要落后些。但是，近几年以i j m l 】【为代表的自由软件的流行，对我国的安 全操作系统的开发和研究起到积极的推动作用，并有一批产品相继问世。 为了促进中国安全操作系统的发展，国家也积极的指定了相应的标准，对安 全操作系的研发、测试、管理等技术指标和安全等级进行了规范。1 9 9 9 年1 0 月1 9 日我国国家技术监督局发布了国家标准g b l 7 8 5 9 1 9 9 9 计算机信息系统安全保 护等级划分准则，为计算机信息系统安全保护能力划分了等级。该标准于2 0 0 1 年强制执行。在2 0 0 6 年，又发布了包括g b 厂r2 0 2 7 2 2 0 0 6 信息安全技术一操作 系统安全技术要求在内的1 5 项信息安全国家标准。g b 厂r 2 0 2 7 2 - 2 0 0 6 标准依据 g b l 7 8 5 9 1 9 9 9 的五个安全保护等级的划分，根据操作系统在信息系统中的作用， 规定操作系统安全所需要的安全技术的各个安全等级的要求。 下面列举一下我国在安全操作系统研究方面的主要历程： 北京邮电大学硕士研究生论文 绪论 1 9 9 3 年，国防科技大学对基于t c s e c 标准和u n s v s t 锄v 3 2 版的安全 操作系统s u n 的研究与开发进行了探讨。s u n 是国内首次研制成功 的高安全等级的操作系统，打破了国外技术封锁。 在s u n 研究工作的基础上，海军计算技术研究所按照t s e c 标准的b 2 安全等级的要求，围绕u m xs y 鼬锄v 4 2 版的安全增强系统u n i x s v l h 2 ，s e 的开发开展了研究工作。 在“c o s a 国产系统软件平台”国家“八五”科技攻关项目中，围绕着 u n 类国产操作系统c o s v 2 o 的安全子系统的设计与实现工作，中 国安全操作系统的研究得到了进一步的深入。 “九五”期间，信息产业部电子1 5 所按照1 s e c 标准的b l 安全等级的要 求对u n 操作系统的内核进行了改造。 以为代表的自由软件在中国的广泛流行对中国安全操作系统的研 究与开发具有积极的推动作用。1 9 9 9 年，中国科学院软件研究所推出了 红旗中文操作系统发行版本，同时，开展了基于i i m x 的安全操作 系统的研究与开发工作。 中科院计算所研究开发了i j n u x 的入侵检测系统( ii n l h l 佃】s i d e t e c t i o ns y s t 锄，简记l i d s ) 。该系统通过权能( c a p a b i l i 叻机制实现对整 个系统的控制，提供了访问控制表支持，具有入侵检测和响应功能。 南京大学的s o f t o s ，提供了强制访问控制、审计、禁止客体重用、入侵 检测等功能模块。 中科院信息安全中心的s i i 姗x ，该系统以t c s e c 标准的b 1 级和中国国 家标准的第三级要求为设计目标，提供身份标识与鉴别、自主访问控制、 强制访问控制、最小特权管理、安全审计、可信通路、密码服务和网络 安全服务等方面的支持。 2 0 0 6 年9 月，国家重点科研项目一一高可用性、高安全性“银河麒麟”服 务器操作系统由国防科技大学计算机学院研制成功。这是目前中国通过 认证的安全等级最高、拥有自主知识产权的操作系统。该系统研制成功， 是中国“八六三”计划一项重大成果，标志着中国操作系统研发水平迈 上一个新台阶。操作系统是计算机服务器的软件基础。长期以来，中国 操作系统的应用市场基本上被外国控制。研制具有自主知识产权的服务 器操作系统是中国的一项战略决策。国防科技大学自2 0 0 1 年承担“银河 麒麟”服务器操作系统研制任务以来，突破一系列核心技术，使设计和 研发出来的“银河麒麟”进一步优化和升级了操作系统核心，不仅能与 国际主流操作系统兼容，而且可支持多种微处理器和多种体系结构的计 北京邮电大学硕士研究生论文 算机，并在高安全、高可用、高性能和网络支持方面具有核心竞争力。 1 3 3 国内外安全操作系统的总结 通过前面两小节对国内外安全操作系统发展的介绍，我们可以看出，操作系 统安全增强技术作为信息安全的关键部分，得到了国内外的普遍重视。作为操作 系统安全增强中的一个重要组成部分，访问控制技术一直以来是人们进行研究的 热点。随着新问题的出现，人们对原有的访问控制模型不断的进行改造以适应新 的实践要求。与此同时，研究人员不断的改进相关的评估标准，从最初的t c s e c 到现在的c c 标准。综合国内外当前的各种安全l i n l l 】【操作系统，他们普遍只支持 单一的访问控制策略，如角色访问控制策略或者类型域安全策略，而不能够充分 各种安全策略的优点，扬长避短。另外，目前的访问控制技术还没有能够达到比 较理想的细粒度的访问控制，要有效的对付恶意代码一类的攻击必须实现比较细 粒度的访问控制。 综合起来安全操作系统的发展重点还是在两个主要方面：访问控制的灵活性 方面和访问控制的粒度方面。灵活性就是如何尽可能多的支持不同的安全策略， 同时又尽量避免各种策略之间的冲突；访问控制粒度就是要细化控制的层次。粒 度划分越细，会带来灵活性的相应提升，从某种程度上提高了安全性。但是粒度 的细化，如果没有统一的标准，随着各种安全策略越来越多反而会造成操作系统 内部结构的混乱。所以，粒度的控制以及与灵活性的平衡，还需要做深入研究探 讨。 1 4 论文课题来源 本课题出白国防基础科研项目“网络融合及其安全检测与评估技术研究”， 属于安全检测部分中的子项目，重点在于对操作系统安全，特别是其中的文件系 统进行必要的防范和保护。 当前大多数网络服务器以及主机都采用稳定性能更加出色u n 或者l 施酝 操作系统，由于操作系统源代码的开源性，导致系统漏洞也更加容易暴露，不断 有各类的安全漏洞被发现，从而容易被攻击。我们对付这些漏洞不得不花很多的 人力来堵住它，所以，提高o s 系统自身的牢固性就显得非常的重要。尤其是在 u n i 】【或者i j n 麟系统中，系统设计时就赋予了r 0 h o t 用户无穷的权限，获得r o o t 用户权限可以任意修改系统中的任何配置，比如网络、服务、进程、文件以及对 其他的用户进行修改。试想如果这样的权限被别有用心的入侵者获得，那么后果 将是不堪设想的。 北京邮电大学硕士研究生论文绪论 基于这种考虑，本课题将重点放在当前普及的l j j l u x 系统的入侵检测的研究 与实现上来，在系统的安全诸多方面中，选择了最为常用的同时也是与日常使用 关系最为紧密的文件系统为课题研究的重心，研究基于l 缸啦内核及其系统调用 的文件系统的入侵检测的方法以及实现方法讨论。 1 5 论文主要工作 与很多其他通用操作系统一样，作为网络服务器常用的操作系统“n u x 只提 供简单的访问控制。这种机制虽然使用起来比较方便，技术比较成熟，却无法很 好地保证系统的安全。 本课题的主要目标是提高l i n 眦操作系统的安全性，尤其是其中文件系统的 安全。首先研究了当前国内终对安全操作系统的研究情况，发现当前的安全系统 存在的主要问题就是访问控制的灵活性方面和访问控制的粒度细化方面都不是 非常的完善。需要有一种通用的安全框架来实现对多种策略的支持，并提供细粒 度的访问控制方式。 通过研究选择了i j n 似s u r i t ym o d u i 嚣( “n 弧安全模块，简记l s m ) ，l s m + 安全框架是在内核模块的基础上提出的一套通用的、轻量级的访问控制安全框 架。它可以用于主流的l i m 内核，为各类安全策略提供一个统一的开发和运行 平台。对于i i n l 内核，l s m 访问控制框架能使许多访问控制模型作为一个动 态内核模块u ( m ( l 0 a d a b l ck 砌dm o d u i e ) ，避免各类安全策略实现过程中对内 核代码的修改、补丁操作，以及内核重新编译等工作。l s m 可以满足多数l i