（计算机应用技术专业论文）linux操作系统访问控制安全研究与实现.pdf

l i n u x 操作系统访问控制安全研究与实现 计算机应用技术专业 研究生石伟丞指导教师谭良 摘要在操作系统安全方面，访问控制的地位是极为重要的，其作用是显 示地控制主体对客体的访问权限，从而防止客体被非法访问、篡改等非法操作。 本文将对目前的访问控制研究进行总结，并着重对自主访问控制和被称为“下 一代访问控制”的使用控制模型进行深入研究，本论文的主要研究工作如下： ( 1 ) 自主访问控制研究：分析了自主访问控制的研究状况，指出了现有 的自主访问控制模型存在的不足，并针对这些不足进行了改进，提出了一种更 为完善的自主访问控制模型带周期时间特性的自主访问控制委托树模型 ( p d a c d t m ) 。p d a c d t m 不仅在d a c 中引入了周期时间，而且在权限委托 方面提出了委托树模型。该委托树模型通过委托深度，委托广度来限制委托权 限的传播，同时还支持复合权限委托。相对于其它委托模型，p d a c d t m 以 树形结构刻画了权限委托的传播，使得委托关系的处理更为明确、完备，也更 加灵活且易维护。同时论文还详细阐述了如何对l i n u x 内核以及a c l 库进行修 改来实现p d a c d t m 。 ( 2 ) 使用访问控制研究：介绍并分析了使用访问控制模型( u c o m ) 及 其研究状况。在分析传统访问控制策略不足的基础上，提出了一种基于u c o n 的具有访问特征判断能力的使用控制模型叫u c o n 。该模型通过在u c o n 的基础上引入既定义务、待定义务，即定条件、待定条件以及特征和激活规则 来对访问进行主观判断，从而降低或者排除具有访问权限的非法用户所带来的 安全威胁。最后，通过应用实例分析证明了cu c o n 模型的有效性。 关键词：自主访问控制；特性；委托树；访问控制列表；使用控制模型 a c c e s sc o n t r o ls e c u r i t yr e s e a r c h i n ga n d r e a l i z i n g b a s e do nl i n u xs y s t e m a b s t r a c t ：i nt h ea s p e c to ft h eo p e r a t i n gs y s t e ms e c u r i t y , t h ea c c e s st oc o n t r o li s e x t r e m e l yi m p o r t a n t ；i t sf u n c t i o ni st h a ti tc a nc o n t r o lt h ev i s i t i n gj u r i s d i c t i o nf r o m s u b j e c tt ot h eo b j e c tb yt h ed e m o n s t r a t i o n ，t h u sp r e v e n t i n gt h ei l l e g a lv i s i t ，t h e i n t e r p o l a t i o na n dt h eo t h e ri l l e g a lo p e r a t i o n s t h i sa r t i c l ec a r r i e so nt h es u m m a r yt o t h er e s e a r c ho fa c c e s sc o n t r o la t p r e s e n t ；t h ed i s c r e t i o n a r ya c c e s sc o n t r 0 1a n d t h eu s e a g ec o n t o r lm o d e lw h i c hi sc a l l e d t h en e x tg e n e r a t i o na c c e s sc o n t r o l w i l l b ee m p h a t i c a l l yr e s e a r c h e d t h em a i nr e s e a r c hw o r ko ft h i sp a p e ri sa sf o l l o w s ： ( 1 ) r e s e a r c ho nd i s c r e t i o n a r ya c c e s sc o n t r o l ：i th a sa n a l y z e dt h ed i s c r e t i o n a r y a c c e s sc o n t r o lr e s e a r c hc o n d i t i o n ，i t p o i n t so u tt h ee x i s t i n gd i s c r e t i o n a r ya c c e s s c o n t r o lm o d e le x i s t e n c ei n s u f f i c i e n c y , a n da i m sa ti m p r o v i n gt h e s ei n s u f f i c i e n c i e s ， i ta l s op r o p o s e so n ek i n do fp e r f e c td i s c r e t i o n a r ya c c e s sc o n t r o lm o d e l p e r i o d d i s c r e t i o n a r ya c c e s sc o n t r o lt r e em o d e l ( p d a c d t m ) n o to n l yp d a c d t mh a s i n t r o d u c e dt h ep e r i o d , b u ta l s oi t p r o p o s e st h ed e l e g a t i o nt r e em o d e lf o r t h e p e r m i s s i o nd e l e g a t i o n t h r o u g ht h ed e l e g a t i o nd e p t h ，t h ed e l e g a t i o nb r e a d t hl i m i t st h e d i s s e m i n a t i o no ft h e d e l e g a t i o np e r m i s s i o n m e a n w h i l e ，i t ss u p p o r t e dc o m p l e x p e r m i s s i o nd e l e g a t i o n p d a c d t mu s e ds t r u c t u r et r e et od e p i c tt h es p r e a do fp e r m i s s i o n d e l e g a t i o n ，t h a tm a k e st h er e l a t i o n s h i po fd e l e g a t i o nm o r ec l e a r l y , c o m p r e h e n s i v e ，f l e x i b l ea n d m o r ee a s i l yt ob em a i n t a i n a tt h es a l n et i m e ，w ea l s od e s c r i b e dh o wt oi m p l e m e n tt h e p d a c d t mi nl i n u xk e r n e la n da c l l i b r a r ye l a b o r a t e d ( 2 ) r e s e a r c ho nu s e a g ec o n t r o l ：i ti n t r o d u c e sa n da n a l y z e st h eu s e a g ec o n t r o l m o d e l ( u c o m ) a n dt h er e s e a r c hc o n d i t i o n i nt h i sp a p e r , b a s e do nt h ea n a l y s i so f t r a d i t i o n a la c c e s sc o n t r o lw eh a v ei n t r o d u c e da nn e wm o d e _ ti7 c o n ，w h i c h b a s e do nt h eu c o na n dh a st h ea b i l i t yt oj u d g et h ec h a r a c t e ro f a c c e s s i n g b yt h e w a yo fi n t r o d u c i n ga s s u r eo b l i g a t i o n s ，u n s u r eo b l i g a t i o n s ，a s s u r ec o n d i t i o n s ，u n s u r e i i c o n d i t i o n s ，c h a r a c t e r sa n da c t i v er u l e st om a k et h ec u c o nh a st h ea b i l i t yt o j u d g ea c c e s s i n gs u b j e c t i v e l y , t h e r e b yi tc a nr e d u c eo re x c l u d et h o s et h r e a t sf o r m t h ei l l e g a lu s e r sw h oh a sp e r m i s s i o n f i n a l l y , w et a k ea ne x a m p l et op r o v et h e v a l i d i t yo fc u c o n k e yw o r d s ：d i s c r e t i o n a r ya c c e s sc o n t r o lp o l i c y ；c h a r a c t e r ；d e l e g a t i o nt r e e a c c e s sc o n t r o ll i s t s ；u s e a g ec o n t r o l ； i i i 四川师范大学学位论文独创性及 使用授权声明 本人声明：所呈交学位论文，是本人在导师递基熬握指导下，独立 进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不含任何 其他个人或集体己经发表或撰写过的作品或成果。对本文的研究做出重要贡献 的个人和集体，均已在文中以明确方式标明。本声明的法律结果由本人承担。 本人承诺：已提交的学位论文电子版与论文纸本的内容一致。如因不符而 引起的学术声誉上的损失由本人自负。 本人同意所撰写学位论文的使用授权遵照学校的管理规定： 学校作为申请学位的条件之一，学位论文著作权拥有者须授权所在大学拥 有学位论文的部分使用权，即：1 ) 已获学位的研究生必须按学校规定提交印 刷版和电子版学位论文，可以将学位论文的全部或部分内容编入有关数据库供 检索；2 ) 为教学、科研和学术交流目的，学校可以将公开的学位论文或解密 后的学位论文作为资料在图书馆、资料室等场所或在有关网络上供阅读、浏览。 本人授权中国科学技术信息研究所将本学位论文收录到中国学位论文全 文数据库，并通过网络向社会公众提供信息服务。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：导师签名：c 签字日期：年月 日 签字日期：扩7 d 年6 月j , - 日 第一章概述 1 1 基本术语 本文可能涉及到得专业术语包括如下： 1 ) 计算机信息系统( c o m p u t e ri n f o r m a t i o ns y s t e m ) 由计算机及其相关的和配套的设备、设施( 含网络) 构成的，按照一定的 应用目的和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 2 ) 安全策略( s e c u r i t yp o l i c y ) 有关管理、保护和发布敏感信息的法律、规定和实施细则。简单地说，就 是用户对安全的要求的描述。 3 ) 客体( o b j e c t ) 主要指被动的包含信息或接受信息的实体。对一个客体的访问意味着对该 客体所包含信息的访问。客体可以是记录、块、页、文件、目录、程序、设备、 网络接口、i o 端口等。 4 ) 主体( s u b j e c t ) 主要指系统中行为的发起者，通常是指由用户发起的进程，或系统状态改 变的用户、进程或设备等。 5 ) 所有权( o w n e r s h i p ) 一个用户对一个客体具有全部的控制。一个主体对一个客体具有所有权则 这个主体通常是这个客体的创建者，并且具有对这个客体的访问具有完全的控 制。 6 ) 自主访问控制( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 基于对主体或主体组的鉴别来限制对客体的访问的一种方法。自主的含义 指一个对客体具有一定访问权限的主体能够将此权限直接或间接地传递给其 他任何主体。 7 ) 强制访问控制( m a n d a t o r ya c c e s sc o n t r o l ，m a c ) 强制访问控制是“强加 给访问主体的，即系统强制主体服从访问控制策 略。强制访问控制( m a c ) 的主要特征是对所有主体及其所控制的客体( 例如： 进程、文件、段、设备) 实施强制访问控制。为这些主体及客体指定敏感标记， 这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。 系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。 用户的程序不能改变他自己及任何其它客体的敏感标记，从而系统可以防止特 洛伊木马的攻击。 8 ) 访问控制粒度( a c c e s sc o n t r o lg r a n u l a r i t y ，a c g ) 访问控制粒度指限制主体权限的精度。细粒度的访问控制有助于防止权限 泄露。在多用户系统中，往往需要细粒度的访问控制，粒度可以细化到某个用 户只能在特定时间段，使用特定的方式访问某文件，即使是超级用户请求访问 该文件，也会检查是否具有访问权限。而对于单用户系统和用于特定任务的系 统中，较粗的粒度( 如用户被授权可以访问整个系统) 已经足够。 9 ) 访问控制列表( a c c e s sc o n t r o ll i s t ，a c l ) 访问控制列表相当于是系统中主体的一个“能力列表”，其作用是用来描 述系统中哪些主体可以何种访问方式对某个客体进行访问。客体属主可以对此 访问控制列表进行配置管理，按照自己的意愿来指定谁可以以何种方式访问该 客体。 i 0 ) 使用控制( u s a g ec o n t r 0 1 ) 也称其为a b c 模型包含3 个基本元素：主体( s u b j e c t ) 、客体( o b j e c t ) 、 权限( r i g h t ) 和另外3 个与授权有关的元素：授权规则( a u t h o r i z a t i o nr u l e ) 、 条件( c o n d i t i o n ) 、义务( o b l i g a t i o n ) 。u c o n 模型将义务、条件和授权作为使 用决策进程的一部分，提供了一种更好的决策能力。 1 2 研究背景 随着计算网络的迅速发展，计算机系统安全问题日益突显，非法的计算机 系统入侵，窃取、篡改、毁坏重要信息数据，给社会带来了不可估量的损失， 也阻碍了信息技术应用的普及。在s b e l l o v i n 博士曾经对美国c e r t ( c o m p u t e r e m e r g e n c yr e s p o n s et e a m ) 提供的安全分析报告啪1 中表明，大约有5 0 的计 算机网络安全问题是由于软件工程产生的安全缺陷引起的，其中，很多问题的 根源都在操作系统的安全脆弱性之中。同时在2 0 0 8 年度美国c s i 提交的计算 机犯罪和安全调查也表明了由系统漏洞以及系统安全的脆弱性所导致的信 息安全事故层出不穷。由此可见对于操作系统安全问题仍然任重而道远。 2 1 3 访问控制模型研究 如果把目前既有的访问控制模型按照授权策略来划分乜1 ，那么最具代表性 的是：强制访问控制( m a c ) ，基于角色的访问控制( r b a c ) ，自主访问控制( d a c ) 。 以这几种典型的访问控制策略为基础又衍生出许多不同功能的访问控制模型。 使用访问控制模型的提出，可以说是访问控制研究领域的又一个里程碑，被称 为下一代访问控制模型，在下面4 个小节中将分别对这几种访问控制模型进行 简要的研究说明。 1 3 1 强制访问控制模型 强制访问控制策略的核心是为主体和客体分配安全等级标签，通过对比主 体和客体的安全等级来决定主体对客体的访问。强制访问控制策略可以分为2 类，一是基于保密原则的强制访问策略，其代表模型是b l p 1 模型，利用不上 读不下写来保证保密性。二是基于完整性的强制访问策略，其代表模型是 b i b a h l 模型，利用不上写不下读来保证完整性。其中b l p 模型被认为是基本 安全定理3 ，应用较为广泛，但是b l p 模型本身存在安全级定义不完备、信息 完整性、时域安全性和隐蔽通道等缺陷，为弥补这些缺陷人们做了许多完善工 作，其中较为重要的成果是b l d m 模型晒3 和m b l p 模型。由n a s 开发的 s e l i n u x 呻7 1 ，是在l i n u x 下实现一个扩展强制访问控制安全模块，其融入了域 一类型( d o m a i n - t y p e ) 和强制访问控制策略同时还采用了基于角色的访问控制 概念。它通过对用户和进程权限的最小化，即使权限被夺取也不会对整个系统 带来灾难性的影响。这一系列的改进虽然信息保密性缩小了威胁的范围，但是 如果出现高等级权限的泄露仍然会对系统产生严重的影响。 1 3 2 基于角色的访问控制模型 角色访问控制策略中权限不再直接赋予主体，而是将权限赋予某个角色， 这个角色拥有能完成其任务的最小权限集，主体通过角色分配而获得所属角色 的权限，r b a c 可以说是目前访问控制领域研究较广泛的一种技术。1 9 9 2 年就 出现了r b a c 的雏形，f e r r a i o l o k u h n 模型哺1 ，随后s a n d h u 等人先后提出了著 名的r b a c 9 6 旧 ，a r b a c 9 7 n 引，a r b a c 9 9 n 模型，直到2 0 0 1 年n i s t 提出了r b a c 3 标准n 羽。对r b a c 的扩展应用中，其中较具有代表性的有t - r b a c 口副将角色 与任务关联，t r b a c n 4 一钔将角色赋予时间特性，r c l t 口5 1 将角色引入委 托的概念，等等。角色访问控制优点在于角色的职能相对于用户职能来说是相 对稳定的，同时通过角色使得权限实现了模块化，从而降低了权限管理的复杂 度。对于角色访问控制扩展研究中进一步增强了角色的灵活性和时效性，但是 当出现角色泄露或者被非法持有时，角色具有的权限便可能被非法利用。 1 3 3 自主访问控制模型 自主访问控制策略中允许用户按照自己的意愿将访问权限，或者访问权限 子集转授于其他用户或组。目前对于d a c 的研究大致可以分为2 个方面，一方面 是基础模型的安全性研究，主要关注安全的可判定性。1 9 世纪7 0 年代后期， h a r r i s o n ，r u z z o ，和u 1 1 m a n 就引入了一种被称为h u r 的语言来描述了d a c ，并 证明了在这种模式下的安全性是不可判定的n 引。直至u 2 0 0 4 年s o l w o r t h 和 s l o a n n 6 1 发表的一篇文章使得d a c 的安全性研究再次引起了学术界的关注，文献 中认为“一般意义下的d a c 安全性是不可证明的，并根据这个断言和动机提 出了一种新的基于标记和重标记的访问控制模式( s s 模式) ，并指出该模型能 “全面的实现d a c 模型 ，同时证明s s 模式的安全性是可证明的n6 1 。但不久后 n i n g h u il i 和m a h e s hv t r i p u n i t a r a 便在文献 1 7 中对s o l w o r t h 和s l o a n 所做 的工作n 6 3 给予了否定，文中作者在d a c 的g d n 踟模式下给出了一种有效运算法则 来判断安全性，证明了d a c 的安全性是可判定的，从而否定了s o l w o r t h 和s l o a n 提出的“d a c 的安全性是不可判定的，需要创建一种新的、安全性可判定的访 问控制模式 这一论断，并且指出s s 模式并不能完全实现d a c 。文献 1 9 中开 始将研究目光转移多j d a c 安全分析的复杂度上。 对d a c 的另一个研究方面是基于基础模型的扩展研究，关注的是授权策略的 可用性。由于d a c 扩展研究成果众多啪。7 1 ，限于篇幅不再一一介绍，对d a c 的授 权引入时间概念最初是由b e r t i n o 等人提出乜5 l ，随后b e r t i n o 等人又相续为d a c 引入了授权间的时序依赖脾引，时序依赖的推导规则雎7 | ，但是该模型没有限制具 有权限的用户如何使用和传播权限，仍然可能存在权限滥用的安全隐患，同时 没有明确表述权限委托的策略。 4 委托啪1 ( d e l a g a t i o n ) 是一种重要的访问控制策略，其允许用户将自己部 分或者全部权限委托给他人，使得他人能够代替或者协作用户完成某项任务， 从而提高了访问控制的灵活性与实用性。文献 3 7 在b e r t i n o 等人的研究基础 上汹2 7 3 引入了委托策略并对推导规则本身也增加了周期时间特性，提出了一种 基于周期时间的自主访问控制委托模型p d a c d m ，该模型对委托权限增加使用次 数限制来限制委托权限的使用，同时还引入委托深度来限制委托权限的传播， 这从一定程度上缓解了权限传播和使用的无限性带来的安全隐患。 1 3 4 使用控制模型 s a n d h u 等人于2 0 0 2 年提出了被称为下一代访问控制模型的u c o n 啪1 ，该模 型是凌驾于传统访问控制之上的更高抽象层次的访问控制模型。该模型由八个 组件组成：主体s ( s u b j e c t ) ，主体属性a t t ( s ) ( s u b j e c ta t t r i b u t e s ) ，客 体0 ( o b j e c t ) ，客体属性a t t r ( o ) ( o b j e c ta t t r i b u t e s ) ，权限r ( r i g h t ) ， 授权a ( a u t h o r i z a t i o n ) ，义务b ( o b l i g a t i o n s ) ，条件c ( c o n d i t i o n s ) 。这 八个组 图1u c o n 模型 件的定义可参考文献 3 0 。八个组件之间的关系如图1 所示。图1 中u c o n 的 结构主要反映的是组件之间的关系，图中使用决策过程被看作是主体，客体， 授权，义务以及条件之间存在的某种关系。 这八个组件中的主体，客体，权限都来自于传统访问控制，是为人们所熟 5 悉的，其中授权，义务与条件是使用决策的3 大决定因素，授权是基于主体和 客体属性进行的，义务是主体在访问前或者访问中必须完成的任务，条件系统 环境的约束。传统的访问控制模型只是使用了授权来对访问进行判断，而义务 和条件则是访问控制中提出的新概念，是对传统访问控制的完善也是区别于传 统访问控制的所在。u c o n 可描述为以下形式： i f主体符合授权策略始完成相关义务符合相关条件 t h e n 允许主体获取或者使甬权限 u c o n 模型很明显的特性是使用决策的连续性和属性的易变性，连续性使 得访问决策可以访问前或者访问中实施。u c o n 中将访问分为3 个阶段：访问 前( p e r ) ，访问中( o n g o i n g ) ，访问后( p o s t ) ，使用控制决策时可以根据前 2 个阶段进行授权，分别称为预先授权和访问进行时授权。属性的易变性是指 主体、客体的属性是随访问执行的结果而改变的，根据访问的3 个阶段可分为： 无更新要求( 0 ) 、使用前更新( 1 ) 、使用中更新( 2 ) 、使用后更新( 3 ) 。易变 性的作用在于回收不符合授权规则的访问权限。 基于这八个组件，文献 3 0 中给出了u c o n 模型如何实现d a c ，m a c ，r b a c ， d r m 眵2 1 和t r u s tm a n a g e m e n t 嘞3 。可见u c o n 为访问控制提出了一种通用的模式。 1 4 问题提出 由于论文的篇幅有限，在本论文中我们主要的研究工作将围绕自主访问控 制和使用控制模型展开，在此我们将先指出现有的自主访问控制模型和使用控 制模型存在哪些不足，还需要做哪些改进。 1 4 1 对于自主访问控制 d a c 以其灵活性，权限控制的细粒度性而普遍地运用于各种操作系统，具 有广泛的应用性。但是传统的d a c 存在一些缺点，例如无法控制授出权限的使 用，即授出的权限在什么时候能被使用，持续使用的时间是多久，以及授出权 限是否能被继续转授等等。针对于这些问题国内外的专家学者分别给与了完 善，但是这些研究成果大多都是相对独立的，并没有形成一个较为完备的整体， 同时这些研究成果大多都专注于权限如何向外扩散的，而对于权限回收、修改 6 等后期维护的成果相对很少。p d a c d m 口7 3 模型可以说是目前在d a c 研究方面较为 完善的一个理论模型，其具备了时间敏感性，可委托性，以及时序依赖性，因 此我们选择在p d a c d m 基础上做进一步的研究。p d a c d m 仍存在不足之处。主要 包括以下几点： ( 1 ) p d a c d m 中一次权限委托只能是单一权限到单个用户，这就对权限委托 的实施带来了不便，例如用户u 1 需要将客体o l 的( r ，w ) 权限委托给整个用户 组g 2 ，而g 2 中存在2 0 个用户，因此u 1 需要进行2 2 0 次权限委托。这不仅增加了 委托工作量同时还使得委托需求集7 3 规模急剧膨胀而影响系统性能。因此我们 有必要扩大单次委托权限的范围和委托权限接受者范围，我们称之为复合权限 委托。 ( 2 ) p d a c d m 对于委托关系没有明确的描述，虽可通过间接委托史( i d h ) 7 1 推导得出，但间接委托史只是一个基于时间的序列，每确定一对委托关系需 要遍历整个委托史来确定，这是非常繁杂与耗时的。p d a c d m 能很好的描述权 限的委托扩散，但是对于委托出去的权限进行维护时就显得很棘手，其原因就 在于委托关系的不明确。为解决此问题，我们将使用树形结构来刻画委托权限 的传播，制定相关的委托规则来规范权限的委托传播。 ( 3 ) p d a c d m 还只是一个理论模型，还没有在具体实现上做进一步研究， 因此我们在理论上对模型进行改进后，还将把改进后的理论模型具体的实现到 l i n u x 操作系统当中，提供具有现实意义的指导。 1 4 2 对于使用控制模型 对于访问控制的研究，在历届学者的潜心专研下得到了不断地完善并取得 了众多的研究成果，但是值得关注的是虽然访问控制技术在不断地完善，但是 信息安全事故依然层出不穷。可见没有绝对安全的访问控制策略，其安全性 只是相对的，局限的。传统访问控制的核心是授权策略，授权策略是用于确定 一个主体能否具有访问客体的权利。在传统访问控制的授权策略下只要主体被 授予某种权限，那么主体就能以该权限访问客体，其形式如下： i f 拥有访问权哏t h e n 允许i 体访问客体。 然而对于访问权限的持有可能存在以下3 种情况：1 被合法用户持有，如 7 图2 的一一一访问过程。2 由于权限泄露被非法用户非法持有，如图 2 的一一一访问过程。3 由于合法用户的身份泄露或者被伪造而导致 访问权限被非法用户持有，如图2 的一一一访问过程。第一种情况为 正常情况，而后两种情况则是非正常的，存在安全隐患的情况，我们称后两种 情况中的权限持有者为具有访问权限的非法用户。由于传统访问控制策略是基 于用户身份验证的，一旦通过身份验证便可以取得相应主体身份并行使相应访 问权限。而对于访问权限是否被“合法使用对于传统访问控制来说是无法辨 别的，因此传统访问控制无法防止具有访问权限的非法用户所造成的威胁。例 如：( 如图1 ：一一一过程) 用户b 的网上银行的账号密码被用户a 窃取，那么a 则可以以b 的身份登录网上银行对账户上的金额进行转账操作而 导致用户b 的账户金额被盗。 因此我们认为一个完备的访问控制不仅应该具有防止权限的泄露和防止身 份被窃取或者伪造的预先防护能力，还应该具备即使出现权限泄露，身份被窃 取或者伪造时的后续防护能力。 用户a 用户b 用户c 塑竺坠垩瞅竺! 二吣望坚里多吣竺竺 磊翮- 傩- 赢影 图2 可能的访问流程 通过1 3 节的研究工作，我们可以发现一直以来对于访问控制的研究重点仍 然是授权策略，关注的是如何为主体分配权限，以及体如何让用户受控的使用 分配的权限。改进后的访问控制可以描述为以下形式： i f 拥有访问权限符合权限使蹋限钢条件 h e n 允许i 体访问客体 而这一系列研究改进后的传统访问控制仍然是基于主体身份进行的，仍然 不能够防止具有访问权限的非法用户所造成的威胁。一次访问的发生应该看作 是一次人机交互的过程，而计算机系统中的“主体”只是现实用户行使权力时 8 使用的工具。所以真正存在威胁的是现实中的用户，而不是计算机中的主体。 因而要防止具有访问权限的非法用户所带来的威胁就必须将访问控制范畴延 伸到现实中的用户。传统访问控制策略只是专注于主体权能，即主体能以何种 方式访问某个客体，而忽略了主体是如何被现实用户使用的，即现实用户能如 何利用主体身份来访问客体。明显的是通过主体身份识别来限制现实用户对客 体的访问是不能防止具有访问权限的非法用户所造成的威胁的，而通过现实用 户对主体身份下的访问权限的使用特征来辨别访问权限是否被合法使用成为 一种可行的手段，因为某用户对某客体的访问是具有一定特征的，这个特征是 反应用户对客体的使用习惯的，而这个习惯是无法或者很难被窃取和伪造的， 因而通过这种访问特征判断在一定程度上可以防止具有访问权限的非法用户 所造成的威胁。本文将在第五章节中论述如何在u c o n 的基础上构建一种基于使 用特征的具有主观判断能力的新型访问控制模型：cu c o n 。 1 5 论文主要工作 本论文的主要研究工作将主要围绕自主访问控制和使用控制模型来展开， 在本文的后续章节中将针对自主访问控制与使用控制模型的不足分别对其进 行扩展研究，论文的主要工作包括以下几个方面： 1 改进自主访问控制 ( 1 ) 构造带周期时间特性的自主访问控制委托树模型( p d a c d t m ) ，给出模 型中基本组件的定义，委托树的逻辑结构与定义，委托规则的定义，委 托算法的分析。 ( 2 ) p d a c d t m 模型在l i n u x 操作系统中的具体实现。首先给出了l i n u x 内 核的扩展与重编译，然后介绍了a c l 的扩展与实现。 ( 3 ) 性能测试分析，对扩展a c l 的各项性能进行了测试，分了对系统的影响， 测试内容主要包括以下几个方面：安全检查耗时，委托节点检查延时， 连带修改延时，连带删除耗时。 2 改进使用控制模型 ( 1 ) 构造具有特征判断能力的使用控制模型( c _ u c o n ) ，给出模型基本组件 的定义及组件之间的关系。 9 ( 2 ) 对cu c o n 的相关特征模型进行解析，并用示例说明模型的有效性。 1 6 论文的组织结构 本文共分六章，各章节的大致内容如下： 第一章为“概述”，在该章节中说明了该研究的研究背景，简要的分析了 目前国内外对访问控制的研究近况，并指出了问题的所在以及解决问题的思 路，在本章末交待了论文中主要的工作及文章组织结构。 第二章为“带周期时间特性的自主访问控制委托树模型构建 ，在该章中 首先给出了一些基本概念的定义，并在此基础上提出了委托树模型。同时还给 出了委托树中进行权限委托的规则以及委托算法，在章末详细的讲解了委托树 的维护操作及维护基本算法。 第三章为“p d a c d t m 的设计与实现 ，该章首先给出了总体设计的基本思路 与设计目标，紧接着是对现有的、传统的a c l 安全访问控制机制进行了剖析， 然后详细的说明了如何在l i n u x 操作系统中对传统a c l 进行改造，使其实现委 托树模型。 第四章为“p d a c d t m 性能测试分析 ，该章主要是对比改造前后的a c l 安全 访问控制在性能上差别，以及对系统影响。 第五章为“具有特征判断能力的使用控制模型构造 ，在该章中将详细阐 述如何在u c o n 的基础上构建具有特征判断能力的使用控制模型，并例举示例 说明其工作原理及访问控制的有效性。 第六章为“总结与展望 ，该章主要是对本论文进行总结，提出了一些想 到了而没有实现的思想，以及一些不知的，待解决的问题。 最后为“致谢，在该环节中我需要向我的导师以及所有指导过我研究工 作的领导和朋友致以衷心的感谢。 l o 第二章带周期时间特性的自主访问控制委托树模型构建 在本章中我们将首先给出带周期时间特性的自主访问控制模型( p d a c d t m ) 的一些基本概念及基本组件的定义，再由这些组件构造p d a c d t m 模型。由于 p d a c d t m 区别于传统自主访问控制模型最主要特征是委托权限的可维护性，因 此在本章还将给出p d a c d t m 模型的基本维护操作。 2 1 基本概念 定义l ：时间域f d ( t i m ed o m a i n ) 为一个2 元组( 气，乙 ，尸) ，其中 t b ， 名 为时间区间嘶1 ，t b ，幺分别为起始时间和结束时间，p 为时间周期。我们定 义 ( 气，乙 ，p ) ) = 兀( 力n 彘，名 ) ，函数兀( ) 的具体定义文献 2 6 中有详 细说明。 定义2 ：委托限制d c ( d e l e g a t i o nc o n s t r a i n t ) 为一个3 元组( 彬z 力，用 以限制获得委托权限的主体的再委托操作，d e n 为委托的最大深度，当庐 时表示无深度限制，矿n 为委托的最大广度，当萨o 。时表示无广度限制，且 w d ；传 0 ，1 ) 为强制限制开关，如果f = o ，表示无强制限制，可以最多直接向 w 个主体委托权限；如果f = l ，表示存在强制限制，权限最多能委托传播给w 个主体( 包涵间接委托传播) ，其委托限制由遗传规则产生。委托限制彤的原 子函数g e t d ( p c ) ，g e t _ w ( ，g e t f ( d c ) 分别返回d 肜厶 定义3 ：权限委托助( p e r m sd e l e g a t i o n ) 为一个三元组( s ，p e r m s ，d ) ， 其中s s 为委托权限的接受者，p e r m s 为权限集，且p e r m s c - p e r m s ，表示委 托权限，d 0 表示被访问客体。原子函数g e t s ( 砌，g e t _ p e r m s ( p p ) ， g e t 一0 ( 月功分另0 返回占，p e r m s ，0 。 定义4 ：委托请求d r e q ( d e l e g a t er e q u e s t ) 为一个三元组( 磁彤，p b ) ， 表示拥有委托权限的用户向系统提出的一次权限委托请求。原子函数g e t t d ( d r e q ) ，g e t d c ( 腑功，g e t _ _ p d ( p r e q ) 分别返回d r e q 中的f d , d c , 觑 需要注意的是，当委托请求被成功执行后，委托请求将成为委托接收者的 一个属性。 2 2 委托树模型 带周期时间特性的自主访问控制委托树由委托节点构成。本节中，我们先 定义委托节点，再给出委托树的概念。 定义5 ：委托节点p n ( d e l e g a t i o nn o d e ) 为一个3 元组( d n i d ，p a r e n t j d ， d r e q ) ，d n i d 为节点i d ，p a r e n t i d 为该委托节点的父节点i d ，d r e q 为已成 功执行的委托请求。 委托节点集合( d n s ) 为以d n 为基本元素的集合。为叙述方便我们用d n p 表 示d n 的父委托节点，d n c 表示d n 的子节点。原子函数g e t i d ( d n ) ，g e t _ p i d ( d n ) ，g e t d r e q ( d n ) 分另j 返回d n 中的d n i d ，p a r e n t i d ，d r e q 。 函数n e wd n ( ) 创建一个新的委托节点。 定义6 ：委托树( d e l e g a t i o nt r e e ，d t ) 为一系列具有父子关系委托节点 ( d n ) 所组成的集合。我们以d t ( d n ) 表示一棵具体的树，意味着以节点d n 为根的委托树，如图3 就为一棵以0 1 ) | n e r 为根的委托树d t ( 0 1 j l n e r ) 。 图3 委托树 n 3 函数g e t _ t c o u n t ( d n ) 返回以d n 为根节点的委托子树d t ( d n ) 的节点总数。 函数g e tc c o u n t ( d n ) 返回d n 的子节点个数。 函数f i n d s d n s ( s ，d t ) 返回委托树d t 中所有委托者为s 的委托节点集， 可形式化表示为以下形式： f in d s d n s ( s ，d t ) = d nvd n d t ，g e t s ( g e t _ p d ( g e t d r e q ( d n ) ) ) = s ) 其中s s 。 函数c o m p u t e t d ( s ，p e r m ，d n s ) 返回委托节点集d n s 中委托接受者s 对权 1 2 限p e r m 拥有的全部时间域。可形式化表示如下： c o m p u t e t d ( sp e r m ，脚固= u t d ivd n d a i s , t d = g e t t d ( g e t d r e q ( 历 ) ) ) ) 其中p e r m p e r m s ，s s 。这里us e t 运算表示求集合s e t 中所有元素的并 集。 函数f i n d i d t _ r o o t ( 脚返回委托节点d n 所在间接委托树的根节点。例如 f in d id t _ r o o t ( d n 4 ) = d n l 。 函数h a s a b i l i t y ( 刎判断节点d n 是否有能力继续委托权限，若有返回l ， 否则返回0 ，在判断时存在2 种情况： 1 非强制限制( g e t f ( g e t d c ( g e t d r e q ( 刎) ) = = 0 ) ，判断可表示如下： h a s a b i l i t y ( 刎= f 1 ，g e t d ( g e t d c ( g e t d r e q ( 励、) ) oa g e t _ w ( g e t d c ( g e t d r e q ( 历叻) ) oa g e t _ w ( g e t d c ( g e t d r e q ( 厶叻) ) g e t _ t c o u n t ( d t ( f i n d jd t r o o t ( 刎) ) l o ，o t h e r 其中蜊勿兀 定义7 ：委托关系d r e l ( d e l e g a t i o nr e l a t i o n ) 为委托树中的任意一条边， 可以表示为二元有序偶( d n l ，d n 2 ) ，表示委托节点d n i 与d n 2 存在委托关系。 如图3 中( d n 。，d n 。) 就为一条委托关系。由委托关系形成的集合称为委托关 系集( 砒d 。腑s 可形式化表示如下： d r e s = ( d n l ，d n 2 ) iv d n l ，d n 2 ed t 八d n l c d n 2 八( d n l = g e t _ p a r e n t ( d n 2 ) 定义8 ：直系委托关系链d d r e l c ( d i r e c td e l e g a t i o nr e l a t i o nc h a i n ) 为委托树中从根节点到某一节点的路径。我们称处于这条路径中的所有委托节 点之间具有直系关系( d i r e c td e l e