（计算机软件与理论专业论文）基于lsm的安全机制的研究.pdf

西北工业大学硕士论文 摘要 摘要 目前，越来越多的企业希望通过建立企业级的单点登录系统和安全防护系统， 为企业用户提供统一的信息资源认证访问入口，建立统一的、基于殆色的和个性 化的信息访问与集成平台：通过实施单点登录功能，用户只需一次登录就可以根 据相关的规则去访问不同的应用系统，提高信息系统的安全性和稳定性。在上面 所叙述的研究背景下，本文在对l i n u x 操作系统安全现状进行了研究后指出：一 方面，l i n u x 与其他操作系统互联以实现统一认证和单点登录等问题慢慢地被人 们所重视；另一方面，l i n u x 采用的传统的自主访问控制机制( d a c ) 不能满足 对访问控制进行集中管理这一要求，急需引入一种新的访问控制机制。 p a m ( p l u g g a b l ea u t h e n t i c a t i o nm o d u l e ，可插拔认证模块) 机制采用模块化 设计，使得开发人员可以轻易地在应用程序中插入新的认证技术。p a m 将应用程 序与具体的认证机制分离，当系统改变认证机制时，不再需要修改采用认证机制 的应用程序，而只要由管理员配置应用程序的认证服务模块，极大地提高了认证 机制的通用性与灵活性。用户可以加载第三方p a m 认证服务模块以实现身份认 证机制的替换。本文详细描述了如何基于p a m 机制设计实现第三方p a m 认证模 块以实现l i n u x 单点登录功能。 另外，l i n u x 所采用的传统自主访问控制机制( d a c ) 有明显的缺点，比如 访问粒度太粗等。l i n u x 安全模块( l s m ) 本身不提供任何具体的安全策略，而 是提供了一个通用的访问控制框架给安全模块，由安全模块来实现具体的安全策 略。l s m 通过可加载内核模块的方法，为l i n u x 系统引入了新的访问控制机制。 该方法不会在安全性方面给l i n u x 系统带来明显的损失，也不会带来额外的系统 开销，本文详细描述了如何设计实现一种基于角色的访问控制机制，以实现访问 控制的集中管理。 关键词：单点登录，身份认证，可插拔认证模块，访问控制，l i n u x 安全模块 西北工业大学硕士论文 a b s t r a c i a b s t r a c t t o d a ym o r ea n dm o r ee n t e r p r i s e sw a n tt op r o v i d ec o r p o r a t i o nu s e r sw i t ht h eu n i f i e da c c e s se n t r y f o r t h ei n f o r m a t i o nr e s o u r c ea n db u i l du n i f i e d ，r o l e b a s e da n di n d i v i d u a li n f o r m a t i o na c c e s s p l a t f o r m sb ye s t a b l i s h i n ge n t e r p r i s el a y e rs i n g l es i g n - o ns y s t e ma n ds a f ep r o t e c t i o ns y s t e m w i t h t h es i n g l es i g n - o nf u n c t i o n ，u s e r sc o u l da c c e s sd i f f e r e n ta p p l i c a t i o ns y s t e m sb a s e do nr e l e v a n tr u l e s v i ao n c ei o g i nw h i c he n h a n c e ss y s t e m ss e c u r i t ya n ds t a b i l i t y u n d e rt h ea b o v eb a c k g r o u n d ，a f t e r r e s e a r c h i n gi n t ot h es e c u r i t ya c t u a l i t yo fl i n u xo p e r a t i o ns y s t e m ，t h ep a p e rp o i n to u tt h a t ，a to n e h a n d ，p e o p l ea r ea t t a c h i n gi m p o r t a n c et oi m p l e m e n t a t i o no fu n i f i e da u t h e n t i c a t i o na n ds i n g l e s i g n - o nw i t ha n yo t h e rk i n d so fo p e r a t i o ns y s t e m se t c a tt h eo t h e rh a n d ，l i n u x st r a d i t i o n a l d i s c r e t i o n a r ya c c e s sc o n t r o l ( d a c ) c a nn o ts a t i s f yp e o p l e sd e s i r ef o rc e n t r a l i z e dm a n a g e m e n to f a c c e s sc o n t r o l ，a n e wa c c e s sc o n t r o ln e e dt ob ei n t r o d u c e dt o1 j n u xo p e r a t i o ns y s t e m w i t hm o d u l a r i z a t i o nd e s i g n ，p a mf r a m e w o r ka l l o w sf o rn e wa u t h e n t i c a t i o nt e c h n o l o g i e st ob e p l u g g e d - i n p a ms e p a r a t e sa p p l i c a t i o n sf r o ms p e c i a la u t h e n t i c a t i o nm e c h a n i s ma n dt h u st h es y s t e m d o e s n * tn e e dt om o d i f yt h ea p p l i c a t i o nt oc h a n g ea u t h e n t i c a t i o nm e c h a n i s m ，t od ot h i s ，t h e a d m i n i s t r a t o ro n l yn e e dt oc o n f i g u r et h ea u t h e n t i c a t i o nm o d u l e ，w h i c he n h a n c e st h ea u t h e n t i c a t i o n m e c h a n i s m sf l e x i b i l i t ya n dc o m m o n a b i l i l y u s e r sc a l ll o a dt h i r d - p a r t yp a l ma u t h e n t i c a t i o ns e r v i c e m o d u l e st oc h a n g ei d e n t i t ya u t h e n t i c a t i o nm e c h a n i s m t h ep a p e rd e s c d b e si nd e t a i lh o wt od e s i g n a n dc a f l yo u tat h i r d - p a r t yp a ma u t h e n t i c a t i o nm o d u l et or e p l a c eo r i g i n a lm o d u l ea n dt h u sl i n u x s i n g l es i g n o nf u n c t i o ni si m p l e m e n t e d o t h e r w i s e ，l i n u x sd i s c r e t i o n a r ya c c e s sc o n t r o l0 ) a c ) m e c h a n i s mh a so b v i o u sw e a k n e s s e s , s u c h a sc o a r s e g r a i n e da c c e s sc o n t r o le t c t h el i n u xs e c u r i t ym o d u l e sf l s m ) i t s e l fd o e s n tp r o v i d ea n y s e c u r i t yp o l i c y , b u tp r o v i d e sag e n e r a la c c e s sc o n t r o lf r a m e w o r kf o rs e c u r i t ym o d u l e sa n dt h e s e c u d t yp o l i c yi si m p l e m e n t e db ys e e u d t ym o d u l e s t h ei m p l e m e n t a t i o nb r i n g sn e i t h e ro b v i o u s l o s s e sn o re x t r as y s t e mp e r f o r m a n c eo v e r h e a dt oi j n u xo p e r a t i o ns y s t e m t h ep a p e rd e s c r i b e si n d e t a i lh o wt od e s i g n sa n de a r l yo u tar o l e - b a s e da c c e s sc o n t r o l ( r b a c ) m e c h a n i s mt oi m p l e m e n t c e n t r a l i z e dm a n a g e m e n to fa c c e s sc o n t r o l ， k c y w o r d s ：s i n g l es i g n - o n ，i d e n t i t ya u t h e n t i c a t i o n ，p l u g g a b l ea u t h e n t i c a t i o nm o d u l eo a m ) ， a c c e s sc o n t r o l ，l i n u xs e c u r i t ym o d u l e ( l s h d 两北t 业人学硕j ：论业 第一章绪论 1 1 课题研究背景 第一章绪论 随着计算机与网络通信技术的发展，网络安全问题也日渐突出，情况也越来 越复杂。一方面，作为网络安全方面的一个重要部分，身份认证理论的研究基本 已经成熟：另一方面，随着各种认证技术的出现，各个企业公司采用了各种各样 的安全认证技术，但是这些认证技术对跨操作系统平台的支持也相对不足。由此 出现的同一个人员的多次认证，不同时间，不同地点，不同的操作系统环境下的 不同方式的认证，带来了一些安全隐患和效率问题。现代企业的信息化建设越来 越完善，各种电子邮件系统、网络办公、电子财务、人事管理、针对特定行业的 业务系统的信息网络化等进入了千百个企业。而企业业务f 常运营时，企业用户 需要同时访问多个业务系统，并经常浏览企业内部网中的相关信息资源。由于用 户在访问不同业务系统时需要独立访问该业务系统，同时用户需要在各系统间频 繁地切换，操作较为复杂，无法快速地获得相关业务信息并加以分析利用，此外， 用户在进行业务操作时，需要分别登录到不同的应用系统中，由于系统较多，用 户账号或密码遗忘现象时有发生，或者一套简单用户名和密码供多系统使用，造 成保密强度降低而导致机密信息被非法获取等闯题；而在安全性和系统管理方 面，企业需要大量的i t 技术管理人员，分别管理和维护不同系统( 如：e r p 、统 计分析、o a 、财务、n o t e s 系统等) 的用户信息。需要建立可靠、安全、保密的 业务系统网络环境，保证企业业务不受破坏和干扰。 针对这种状况，企业希望通过实施建立企业级的单点登录系统和安全防护系 统，为企业用户提供统一的信息资源认证访闯入口，建立统一的、基于角色的和 个性化的信息访问、集成平台；通过实施单点登录功能，使用户只需一次登录就 可以根据相关的规则去访问不同的应用系统，提高信息系统的易用性、安全性、 稳定性；在此基础上进一步实现企业用户高速协同办公和企业知识管理功能。企 业的各个业务系统大都采用异构系统( 在不同平台上建立不同应用服务器的业务 系统) 。因此，在确保业务系统独立运行的前提下，要解决单点登录、安全防护和 信息保密问题。基于以上的原因，需要把在不同的操作系统环境下，不同的认证 方式，进行统一管理，一次认证，提高认证的安全性和效率。 两北工业大学顺i ，论史 第一章绪论 1 2 国内外研究现状 l i n u x 系统由于其出色的性能和稳定性，开放源代码特性带来的灵活性和可 扩展性，以及较低廉的成本，而受到计算机工业界的广泛关注和应用。随着用户 的增加，一方面，l i n u x 与其他操作系统互联以实现统一认证和单点登录等问题 慢慢地被人们所重视，人们希望对l i n u x 客户端进行较少的改动就可以实现单点 登录功能；另一方面，l i n u x 采用的传统的自主访问控制机制( d a c ) 不能满足 对访问控制进行集中管理以及人们对于l i n u x 访问控制安全性的要求，急需引入 一种新的访问控制机制，但是最好通过可加载内核模块的方法，这样可以支持多 种访问控制模型，而且不会对内核进行大规模的修改。 p 删技术的提出 身份认证用来认证实体的身份( 是用户、计算机还是程序) ，是操作系统安 全的重要机制之一。系统通过认证机制核查用户的身份证明，并作为用户进入系 统的判定条件，是防止恶意用户进入系统的第一道门槛。 近年来身份认证理论和技术得到了迅速发展，产生了各种认证机制【】，如1 2 i 令机制、r s a 、k e r b e m s 认证体制、s k e y 和基于智能卡的身份认证等。早期l i n u x 的身份认证，当系统中引入新的认证机制时，一些系统入口登录服务如l o g i n f l o g i n 和t e l a e t 等应用程序就必须改写以适应新的认证机制。但是这些认证方案有 一个通病：实现认证功能的代码通常作为应用程序的一部分和应用程序一起编译， 可是一旦发现所用算法存在某些缺陷或者想采用另种认证方法时，用户不得不 重写( 修改或替换) 然后重新编译原程序。很明显，原先的认证方案缺乏灵活性。 为了解决这个问题，1 9 9 5 年s u n 公司的v i p i ns a m a r 和c h a r l i el a i 提出了 p a m ( p l u g g a b l ea u t h e n t i c a t i o nm o d u l e s ，可插拔认证模块) ，并将其应用在s o l a r i s 系统上。p a m 框架将应用程序与具体的认证机制分离，使得系统改变认证机制时， 不再需要修改采用认证机制的应用程序，而只要由管理员配置应用程序的认证服 务模块，极大地提高了认证机制的通用性与灵活性。 l s l i 安全机制的提出 在访闯控制 1 】方面，l i a u x 内核只提供了经典的u n i x 自主访阀控制( d a c ) ， 以及部分的支持了p o s i x 1 e 标准草案中的c a p a b i l i t i e s 安全机制，这对于l i n u x 系统的安全性是不够的，影响了l i n u x 系统的进一步发展和更广泛的应用；另一 方面，要实现访问控制的集中管理，必须设计第三方访问控制模块。访问控制是 指控制系统中的主体如进程对系统中的客体如文件目录等的访问如读、写和执行 两北t 业人掌硕f + 论义 第一章绪论 等。自主访问控制d a c 是指主体( 进程，用户) 对客体( 文件、目录、特殊设 备文件、i p c 等) 的访问权限是由客体的属主或超级用户决定的，而且此权限 旦确定将作为以后判断主体对客体是否有以及有什么权限的唯一依据，只有客 体的属主或超级用户爿有权更改这些权限。传统l i n u x 系统提供d a c 支持的控制 粒度为客体的拥有者、属组和其他人。 传统d a c 有很多缺陷，一是访问控制粒度太粗，不能对单独的主体和客体 进行控制。基于角色的访问控制机制( r b a c ) 在用户与角色之间建立多对多关 联，为每个用户分配一个或多个角色；在角色与权限之问建立多对多关联，为每 个角色分配一种或多神操作权限：同时，通过角色将用户与权限相关联。有很多 安全访问控制模型和框架已经被研究和开发出来，用以增强l i n u x 系统的安全性， 比较知名的有域和类型增强( d f e ) 1 1j 以及l i n u x 入侵检测系统( l i d s ) 等等。 但是由于没有一个系统能够获得统治性的地位而进入l i n u x 内核成为标准：并且 这些系统都大多以各种不同的内核补丁的形式提供，使用这些系统需要有编译和 定制内核的能力，对于没有内核开发经验的普通用户，获得并使用这些系统是有 难度的。 在2 0 0 1 年的l i n u x 内核峰会上，美国国家安全局( n s a ) 介绍了他们关于安 全增强l i n u x ( s e l i n u x ) 的工作，这是一个灵活的访问控制体系f l a s k 在l i n u x 中的实现，当时l i n u x 内核的创始人l i n u s t o r v a l d s 同意l i n u x 内核确实需要一个 通用的安全访问控制框架，但他指出最好是通过可加载内核模块的方法，这样可 以支持现存的各种不同的安全访问控制系统。因此，l i n t l x 安全模块( l s m ) 应 运而生。 1 3 研究内容 文章首先对网络安全理论进行了深入的研究分析。掌握这些安全理论对于深 入理解统一安全认证平台是十分必要的。在此基础之上，结合对统一安全认证平 台的总体认识，在两个方面对原有l i n t l x 客户端进行了改造： 使用第三方p a m 登录认证模块替代l i n u x 系统默认的登录认证模块以 实现统一认证以及单点登录功能。 基于l i n u x 安全模块( l s m ) 设计了基于角色的访问控制模型，同时实 现了访问控制的集中管理。 西北工业大学顾l 论文 第一章绪论 1 4 论文组织 全文共分六章。 第一章为绪论主要提出了统认证平台课题的研究背景以及课题的研究意 义。 第二章首先对统一安全认证平台涉及到的网络安全理论进行了研究。在此基 础之上，进一步研究了l i n u x 身份认证与访问控制理论，为后文统一身份认证平 台l i n u x 客户端认证模块的设计和实现基于角色的访问控制提供理论基础。 第三章给出了统一安全认证平台的总体设计。包括体系结构和工作流程，使 读者对该平台有一个整体的了解。 第四章在对第二章原理及p a m 技术分析的基础之上，结合第三章给出的统 一身份认证平台，实现了第三方p a m 登录认证模块并详细介绍了统一认证平台 l i n u x 客户端认证模块的设计与实现。 第五章同样是在对第二章相关原理与l i n u x 安全模块l s m 分析的基础之上进 行的。文章阐述了l s m 框架与f l a s k 体系结构的优点，接着使用基于l s m 与f l a s k 体系结构设计了基于角色的访问控制模型。 第六章是对整个文章的一个总结，在第六章中列出了系统的优缺点，并对系 统如何改进以及l s m 的发展情况进行了简单的阐述。 4 型堕些查兰竺三堡兰 塑三皇型竺室全型丝堑塞 第二章网络安全理论研究 网络安全就是网络上的信息安全，网络安全的概念非常广泛。从广义上来说， 凡是涉及到网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和 理论都是网络安全的研究领域。统一安全认证平台基于k e r b e r o s 协议，要了解统 一安全认证平台就必须理解并掌握相关的网络安全理论，如密码技术、身份认证 理论以及访问控制理论。 2 1 密码技术 密码技术 4 】是解决网络安全的核心技术，是实现所有安全服务的重要基础。 统一认证平台中数据的传输、客户端和服务器的长期密钥以及会话密钥都要用到 密码技术。当代计算机网络安全的一些密码技术包括对称密码体制、公钥密码体 制、完整性校验、数字签名、密钥管理原则、密码分配方法和公钥证书等。就本 文所设计的内容，本节主要介绍对称密码体制与公钥密码体制。统一认证平台使 用了对成密码体制。 2 1 1 密码体制 密码体制是密码技术中最为核心的个概念。一个密码体制被定义为一对数 据变换。其中一个变换应用于数据起源项，成为明文，所产生的相应数据项称为 密文，而另一个变换应用于密文，恢复出明文。这两个变换分别称作加密变换和 解密变换。习惯上，也使用加密和解密这两个术语。 加密变换将明文数据和一个称作加密密钥的独立数据值作为输入。类似地， 解密变换将密文数据和一个称作解密密钥的独立数据值作为输入。 一个密码体制的明显应用是提供机密性。明文是没有受到保护的数据。密文 可在一个不可信任的环境中传送，因为如果密码体制是安全的，那么任何不知道 解密密钥的人都不可能从密文推断出明文。除此之外，密码体制也有别的用处， 如提供数据完整性服务以及为数据起源提供认证服务等。 2 1 2 对称密码体制 对称密码体制也称为私钥密码体制或秘密密钥密码体制，特征是用于加密盒 解密的密钥是一样的或相互容易推出。对称密码体制又分为两种，即序列( 流) 登苎三些查堂型! ! 堡兰 蔓三兰婴塑塞全墨丝堕壅 密码和分组密码。在序列密码中，将明文消息按字符逐位地加密：在分组密码中， 将明文消息分组( 每组合有多个字符) ，逐组地进行加密，其典型代表是d e s ( d a t a e n c r y p t i o ns t a n d a r d ，数据加密标准) 。 d e s 概述 在1 9 7 3 年和1 9 7 4 年之间，美国国家标准局( n b s ) 后来改名为美国国家标 准技术研究所( n i s t ) ，为了用于保护美国联邦机构的敏感信息，发布了征集加 密算法的通告。从提交的建议中，选择了由i b m 公司提交的算法。1 9 7 5 年在受 控的条件下，对此算法做了一些公开的评述。1 9 7 7 年被采纳为联邦信息处理标准 f i p s p u b 4 6 ，取名为数据加密标准( d e s ) 。该标准很快被用于政府的机密性目的 和金融工业界的完整性目的，并且从那时起，被广泛地应用于各个领域。 d e s 使用了5 6 比特的密钥，每次处理一个长度为6 4 比特的组。加密过程为： 首先对明文比特进行初始置换，然后将所得到的结果进行完全相同的依赖于密钥 的1 6 轮处理，最后应用一个末尾霍换获得密文。依赖于密钥的计算先将6 4 比特 的数据分成两半，每半为3 2 比特其中一半作为一个复杂函数的输入，并且将其 输出结果与另一半进行异或。复杂函数包括通过确定的8 个成为s 盒( 代替盒) 的非线性代换。d e s 的安全性主要依赖于s 盒，而且s 盒是唯一的非线性部分。 解密过程与加密过程一样，除了所使用的密钥的次序( 以逆序使用) 外。 2 1 3 公钥密码体制 公钥密码技术是由d i 肌和h e l l m a n 于1 9 7 6 年首次提出的一种密码技术。该 技术已经得到了长足的发展并且得到广泛的使用。 与对称密码体制相比，公钥密码体制有两个不同的密钥，它可将加密功能和 解密功能分开。一个密钥称作私钥，像在对称密码体制中一样，该密钥被秘密保 存。另一个密钥称作公钥，不需要保密。公钥密码体制必须具有如下特性，给定 公钥，要确定出私钥在计算上是不可行的。公钥密码技术可以简化密钥的管理， 并且可通过公开系统如公开目录服务器来分配密钥。 对算法设计者来说，公钥密码体制的设计比对称密码体制的设计具有更大的 挑战性，因为公开密钥为供给算法提供了一定的信息。目前所使用的公钥密码体 制的安全性基础主要是数学中的难解问题。最流行的有两大类：一类基于大整数 因子分解问题，如r s a 体制、r o b i n 体制等；另一类基于离散对数问题，比如 e l g a m a l 体制、椭圆曲线密码体制等。 加密技术在网络身份认证系统中广泛用于加密数据。其加密方式使得要想通 6 塑! ! ! 些叁兰竺望兰 至三! 塑笪窒全些丝型壅 过计算解密而得以使用数据的方法是不可行的。然而，这些技术还不足以提供有 效的网络身份认证系统。网络身份认证系统还需要解决易用性、单点登录、密钥 创建和分发等相关问题。本章后面介绍了k e r b e r o s 认证系统，从中可以看出这些 问题的解决方案通常非常复杂。 2 2 身份认证理论 统一身份认证平台的一个作用是对不同的用户进行身份的统一认证，这就需 要了解身份认证理论【26 】尤其是网络环境中的身份认证理论。当讨论计算机安全 时，无论用户采用何种操作系统和实施方案，有一些关键概念是普遍适用的。数 据安全的三大要求是： 保密性 完整性 可用性 这里拿个人银行业务这一例子对上述概念做一个简单的解释。保密性是指一 则信息仅限于在选定的人群中传达一一通常，只有账户拥有者才可以知道自己的 银行余额。完整性是指限制更改信息的能力一一其他人不能从账户拥有者的银行 帐户取钱。可用性是指在需要时提供信息的能力一一账户拥有者能够按时支付帐 单。对于银行帐户的基本要求同样可以用于计算机安全。 2 2 1 身份认证的原则 身份认证过程确定实体是它所声称的身份，从而可以正确应用保密性、完整 性和可用性三个原则。认证服务是可控性服务的重要组成部分，它提供了关于某 个实体( 人或事物) 身份的保证。这意味着每当某个实体声称具有一个特定的身 份( 如一个特定的用户名) 时，认证服务将提供某种方法来证实这一声明是正确 的。认证可以用来对抗假冒攻击以确保身份。它是用来获得对谁或对什么事情信 任的一种方法。身份的合法拥有者被称作实体。实现身份认证的方式可以分为三 组： 第一组依赖于该实体具备的知识。该组中最简单的例子是密码。这是只有尝 试进行身份认证的实体知道的一部分知识，它可以被身份验证方证实为正确。其 他更复杂的系统包括质询，应答系统。它将询问一个问题，只有该实体知道其答案。 这种身份认证方法的局限性是，如果某人获取了该实体所掌握的知识，即可冒充 该实体而通过身份认证过程。众所周知，人们并不擅长记忆密码，因此他们选择 西北t 业大学硕l j 论文 第二章网络安全理论研究 的密码往往非常简单而容易被猜出( 比如：姓名或生日) ，而且往往将密码写下来 以防忘记。 第二组依赖于所持有的对象。该对象可以是某种形式的智能卡或密钥标志， 它是唯一的，可由实体用来证明身份。这种身份验证方法的局限性是，如果对象 失窃，则拥有该对象的人立即获得实体的身份。 第三组依赖于属于实体自然特征的唯一标识符。在大多数情况下，本组中的 实体是人丽唯一的自然特征是该人身体的某个方面。这些身份认证方法包括生 物遗传学访问控制( 比如：视网膜扫描和指纹) 。此外还包括某人如何完成任务， 比如签名( 其他人很难复制) 。 有可能构建一个使用任意或全部这些方法的组合的身份认证过程。取决于使 用这些方法的数量，这还可以称为单因素、双因素、三因素或多因素身份认证。 包括的测试越多，您就可以越安全地验证实体的身份。没有准确的身份认证，就 不可能控制授权。在第三章中，双因素认证就是可选的一种身份认证方式。 2 2 2 授权的原则 当实体已经经过身份认证并且证明其身份符合身份验证器的要求后，它就能 够迸入计算机系统完成具体的任务。允许实体访问资源的范围称为授权。拥有有 限访问权限的实体将被允许执行选定部分的具体任务。这些任务的记录由授权方 拥有。这个选定部分可能包括读、写或路改文件的权限以及打印权限；或访问网 络上的其他计算机的权限。没有经过适当的身份认证，授权是无用的，因为任何 用户都将可以轻松地冒充具有更大权限的用户。然两，经过适当的身份认证，授 权可以进一步限制用户访问受限资源的能力，从而提高系统及其数据的安全性。 2 2 3 网络环境中的身份认证和授权 使用网络极大地增加了身份认证和授权过程的复杂性。除了各种身份验证方 法中固有的一般弱点之外，网络的引入还带来了新的问题。这些问题包括：很难 在没有进行检测或干涉的情况下，在网络上传送身份认证和授权数据以提供远程 客户端实体的标识。这就要求设计新的适合网络环境的身份认证和授权系统。 2 3 访问控制理论 访问控制p 1 的目标是防止对任何资源( 如计算资源、通信资源或者信息资源) 进行未授权的访问。所谓未授权访问包括未经授权的使用、泄露、修改、销毁以 塑! ! 三、业墨兰堡! ：堡茎 塑三皇堕堡耋全墨堡旦塞 及颁发指令等。访问控制直接支持机密性、完整性、可用性以及合法使用等基本 安全目标，它对机密性、完接性和合法使用所起的作用是显然的，对可用性所起 的作用主要体现在对以下几个方面进行有效的控制： ( 1 ) 谁能够颁发会影响网络可用性的网络管理指令： ( 2 ) 谁能够滥用资源以达到占用资源的目的： ( 3 ) 谁能够获得可以用于拒绝服务攻击的信息。 访问控制的一般模型假定了一些主动的实体，称为发起者或者主体。它们试 图发起访问一些被动的资源，这些资源称作目标或者客体。 授权决策控制哪些发起者在何种条件下，为了什么目的，可以访问哪些目标。 这些决策以某一访问控制策略的形式反映出来。访问请求通过某个访问控制机制 而得到过滤。 一个访问控制机制模型由两部分组成一实施功能和决策功能，如图2 1 所示。 实际上，这两个组成部分的物理构成可能差别很大。通常，某些构成是将两个组 成部分放在一起。然而，在这些组成部分之间常常要传输访问控制信息，访问控 制服务为这一通信提供了保证。 图2 1 访问控制模型的基本组成部分 2 3 1 访问控制相关属性 在讲述系统的访问控制策略之前，需要先从信息系统有关访问控制的属性讲 起，一般来说，在信息系统内与访问控制策略相关的因素有三大类：主体( 用户) 、 客体( 文件、目录、数据库等) ，以及相应的可用作访问控制的主、客体属性。 ( 1 ) 所谓主体，就是指系统内行为的发起者，通常是指用户发起的进程，而 对于系统内的用户来说，一般可分为如下几类： 耍些! 些查兰堕主堡苎 笙= 兰塑塑塞全墨堡笙堑 普通用户( t l s e f ) ：一个获得授权可以访问系统资源的自然人，在一个计算 机系统中，相应的授权包括对信息的读、写、删除、追加执行以及授予 或者撤销另外一个用户对信息的访问权限等等。对某些信息而言，此用 户可能是此信息的拥有者或系统管理员。 信息的拥有者( o w n e r ) ：一般情况下，信息的拥有者指的是该用户拥有 对此信息的完全处理权限，包括读写、修改和删除该信息的权限以及它 可以授权其他用户对其所拥有的信息拥有某些相应的权限，除非该信息 被系统另外加以访问控制。 系统管理员( s y s t e ma d m i n i s t m t o r ) ：为使系统自进行正常运转，而对系 统的运行进行管理的用户，例如在普通的u n i x 系统中，r o o t 用户即为系 统管理员。 ( 2 ) 所谓客体就是指在信息系统内所有的主体行为的直接承担者。从总的 方面来说，系统内的客体也可以分为三大类； 一般客体( g e n e a lo b j e c t ) ：指在系统内以客观、具体的形式存在的信息 实体，如文件、目录等。 设备客体( d e v i c eo b j e c t ) ：指系统内的设备，如软盘、打印机等。 特殊客体( s p e c i a lo b j e c t ) ：有时系统内的某些进程也是另外一些迸程的 行为的承担者，那么这类进程也是客体的一部分。 ( 3 ) 信息系统的访问控制策略除了涉及羽主、客体属性之外，还包括以下几 个因素： 将要访问该信息的用户的属性，即主体的属性( 例如，用户i d 号或许可 级别等) 。 将要被访问的信息的属性，即客体的属性( 例如信息的安全级别，信息 来源等) 。 系统的环境或上下文的属性( 例如某天的某个时候，系统状态等等) 。 每一个系统必须选择以上三类相关的属性来进行访问控制的决策。般来说， 信息安全策略的制定就是通过比较系统内的主，客体的相关属性来制定的。 2 3 2 访问控制策略 访问控制策略是各种安全策略中核心的策略。它是保护数据安全的一种重要 途径。它可以隈帝0 对关键资源的访问，防止非法用户的侵入或者因合法用户的不 慎操作所造成的破坏。 目前传统的访问控制模型主要可分为3 种【3 1 【l l 】： 婴j ! 三些查兰塑主丝兰 塑三皇堕塑室全里笙堕窒 ( 1 ) 自主性的访问控制( d a c ) 其基本思想是：允许用户自主地将访问权 限授予其他用户，但只能控制直接访问而无法控制间接访问。自主访问控制策略 之所以被称为“自主的”是因为它允许系统中信息的拥有者按照自己的意愿去指 定谁可以以何种访问模式去访问该客体。在这一点上对于信息的拥有者来说是“自 主”的。一般来说，自主访问控制策略是基于系统内用户( 通常是用户u i d ) 加 上访问授权( 例如能力列表c l s ) 或者客体的访问属性( 例如客体的访问控制列 表a c l ) 来决定该用户是否有相应的权限( 即所申请的权限) 访问该客体，当然 自主访问控制机制也可能是基于要访问的信息的内容或者是基于用户在发出对信 息访问相应请求时所充当的角色来进行访问控制的。 实际上在计算机系统内，自主访问控制策略有一个三元组表示，即( s ，o ， a ) ，其中s 表示主体，o 表示客体，a 表示访问模式。相对于强制访问控制策略 中的访问模式只可能是“读”和“写”两种而苦，自主访问控制策略“自主”的 优点还表现在它的访问模式的设定是非常灵活的，如可以将它设为“每天下午可 以读此文件”或者“只有读完文件a 后才能读此文件”等等。 ( 2 ) 强制性的访问控制( m a c ) 其基本思想是：由授权机构为主体和客体 分别定义固定的访问属性，用户无权进行修改。主体权限反映了信任程度，客体 权限则与其所含信息的敏感度一致，通过二者的比较来判断访问的合法性。在强 制访问控制机制下，系统内的每一个用户或主体被赋予一个访问标签( a c c e s s l a b e l ) 以表示他对敏感性客体的访问许可级别，同样，系统内的每一个客体也被 赋予一个敏感性标签( s e n s i t i v i t yl a b e l ) 以反映该信息的敏感性级别，系统内的“引 用监视器”通过比较主、客体相应的标签来决定是否授予一个主体对客体的访问 请求，在大多数系统内( 例如单域系统内，即一个进程只拥有一个域) ，主体只有 一个访问标签，而在有些系统中( 例如多域系统，即一个进程拥有多个域) ，一个 主体可能有多个访问标签( 每一个域的进程拥有一个标签，分别代表着不同的含 义) 。 在强制访问控制策略中，其访问三元组( s ，o ，a ) 与自主访问控制策略相 同，只不过此三元组内的访问模式a 与自主访问控制策略中的访问模式有所不同， 后者可以有非常灵活的形式，而前者只能有两种，即“读”和“写”。在不同的情 况下，其访问控制策略在形式上有可能表现不同，例如在有些情况下( 如保证信 息的机密性) 。主体对客体要想拥有读权限，当且仅当主体的访问标签“高于”课 题的敏感性标签；而在另外一些情况下( 如保证信息的完整性) 可能正好相反， 即主体要想访问客体。其完整性标签要“低于”客体的完整性标签。 ( 3 ) 基于角色的访问控制( r b a c ) r b a c 提出了“角色”的概念，它采 翌韭三些茎兰堕! ：堡兰苎三兰璺塑窒竺窭笙塑堑 用与企业组织结构一致的方式进行安全管理。其基本思想是：在用户与角色之间 建立多对多关联，为每个用户分配一个或多个角色：在角色与权限之问建立多对 多关联，为每个角色分配一种或多种操作权限；同时，通过角色将用户与权限相 关联。 与基于安全级别和类别纵向划分的安全控制机制相比较，r b a c 显示了较多 的机动灵活的优点。特别显著的特点是，r b a c 在不同的系统配之下可以显示不 同的安全控制功能，既可以构造具备自主访问控制类型的系统，也可以构造成为 强制访问控制类型的系统，甚至可以构造同时具备这两种访问控制的系统。 对于( 1 ) 、( 2 ) 类型，虽然能够达到访问控制的目的，但是它们的管理非常 困难。另外，d a c 以降低资源安全性为代价提供了较大的灵活性，适用于一般的 商业机构和民间组织。m a c 适用于军方的多极安全机制，灵活性较差。基于角 色的访问控制由于用角色来连接主体和客体，简化了客体本身的管理复杂性。 基于角色的访问控制策略基于用户在系统中所起的作用来规定其访问权限， 这个作用( 即角色r o l e ) 可被定义为与一个特定活动相关联的组动作和责任。例 如担任系统管理员的用户便有维护系统文件的费任和权限，而并不管这个用户是 谁。这种策略的特点是： ( 1 ) 提供了三种授权管理的控制途径： 改变客体的访问权限； 改变角色的访问衩限； 改变主体所担任的角色； ( 2 ) 提供层次化的管理结构，由于访问权限是客体的属性，所以角色的定义 可以用面向对象的方法来表达，并可用类和继承等概念来表示角色之间的关系。 ( 3 ) 具有提供最小权限的能力，由于可以按照角色的具体要求来定义对客体 的访问权限，因此具有针对性，不出现多余的访问控制，从而降低了不安全性。 ( 4 ) 具有责任分离的能力，不同角色的访问权限可相互制约，即定义角色的 人不一定能担任这个角色，因此具有更高的安全性。 因此基于角色的访问控制模型是一个簧略中立的模型，完全独立于其他安全 手段。由于引入角色的概念，最小权限原则得以实现，系统高度灵活并且低冗余。 根据不同的应用需要可以实现不同级别的r b a c 模型，并且可以实现多管理员协 同管理。这些特点都进一步推动了r b a c 模型的理论和应用研究。目前基于r b a c 的实际系统已经逐步出现，并以飞快的速度递增。二十一世纪初，个统一的 r b a c 模型框架被提出并即将成为标准，基于角色的访问控制模型正逐步被理论 界和工业晃所接受。 塑j ! 三些叁兰堡苎堡苎兰三! 型塑窒全望笙里! 釜 但是，基于角色的传统访问控制模型还存在以下缺陷： 把用户认证和权限检查分开处理，容易形成效率低下的数据访问； 隐含了无条件所有权，忽略了运行时语境对权力的制约； 没有考虑到分布式环境下运行其用户权限的动态变化，给安全管理带来了困 难。 访问控制策略不是相互排斥的，不同的策略可以组合到一起实现更有效的系 统保护。 图2 2 多重访问控制策略 如图2 2 所示，三个内圆环分别代表了一种策略，每一种策略保证了所有可 能访问的一个子集。 2 4l i n u x 身份认证机制 2 4 1 基于文件的传统认证 过去，u n i x 和l i n u x 操作系统在文本文件中存储身份认证和授权信息。这 些文件以及大量其他系统配置文件均位于e t c 目录中。用户帐户信息的最终来源 是e t c p a s s w df 6 】l t l 文件。在没有任何其他身份验证来源的系统上，该文件包含面 向系统所有用户的条目，该文件对于正确操作系统至关重要。每个条目占据一行， 是一个字段列表。字段之间使用冒号分隔，形式如下： a c c o u n t ：p a s s w o r d ：u i d ：g i d ：g e c o s ：d i r e c t o r y ：s h e l l 西北t 监文学硕上论文第二章网络安全理论研究 表2 1 ：u n i x 和l i n u x 密码文件的标准字段 字段名称 描述 a c c o u n t 用户在系统上的唯一名称。只能是小写字母。 p a s s w o r d用户的加密密码。在大多数u n i x 和l i n u x 实旌上，该字段包 含一个星号字符( + ) ，密码实际存储在e t c s h a d o w 文件中。 u i d 用户标识号。u i d 使用1 6 位或3 2 位整数表示。因为过去使用 1 6 位整数表示u i d ，所以在某些系统上的最大u i d 编号是 6 5 3 5 6 。 g i d 组标识号。g i d 使用1 6 位或3 2 位整数表示。因为过去使用1 6 位整数表示g i d ，所以在某些系统上的最大g 1 d 编号是6 5 3 5 6 。 g e c o s 通用电气综合操作系统( g e n e r a le l e c t r i cc o m p r e h e n s i v eo p e r a t i n g s y s t e m ) 字段。该字段的名称已经沿用很久了。该字段通常用于 用户全名或注释 d i r e c t o r y 用户的主目录。陔目录是用户在登录时放簧用户进程的地方。 s h e l 【 用户的登录外壳。外壳是用于描述u n i x 和l i n u x 操作系统上 的命令行用户界面的术语。这里被设为用户登录外壳的二进制路 径。默认为b i n s h 一- - b o u r n e 外壳。它可以被设为b i n f a l s e 以 便禁止用户登录。 密码文件中的典型行示例看上去就像这样：