安全操作系统中的存取控制

1、第 25 卷 第 4 期2004 年 8 月大连大学学报Vol. 25 No . 4Aug. 2004J OURNAL OF DALIAN UNIVERSITY安全操作系统中的存取控制毛玉萃( 大连大学 信息工程学院 , 辽宁 大连 116622) 摘 要 :安全操作系统 ( SOS) 是建立在其上的系统的安全基石 ,有效的存取控制是实现 SOS 有效的措施和方法 ,应用在 SOS 系统中的存取控制方式主要有三种基于主体权限的存取控制方式 、基于主客体操作的存 取控制方式和基于角色的存取控制方式 ;基于访问控制方式建立的 SOS 模型的代表有 :BPL 模型 、RBAC 模 型和 Biba 模

2、型 ;三种存取控制方式和模型各有其特点 . 在实际 SOS 中这三种存取控制方式还能引起安全隐 患 ,必须结合其他的安全措施和方法来提高操作系统的安全性 .关 键 词 :存取控制 ;安全操作系统 ;安全操作系统模型文章编号 :10082 2395 (2004) 042 00602 04中图分类号 : TP301文献标识码 :AAccess control in the secure operating systemMAO Yu2cui( College of Information Engineering ,Dalian University ,Dalian 116622 ,China )Ab

3、stract :SOS is secure base of the system building on SOS ; the effective Access Control is the effective measure andmethod implementing SOS. The three pattens of access control used in the models of SOS are the subjec2t right2based ac2 cess control , subject &object operator2based access control

4、 , and role based access control ; the access2control2based SOS typical models are the BPL , Biba and RBAC ; the pattens of access control and the models have their characteristics. There are hidden dangers caused by Access Control in the running SOS , for improving security of the operating system

5、other methods must be combined with.Key words :access control ; secure operating system ;model of secure operating system操作系统是所有建立在计算机上的系统 (如应用软件系统 、系统软件 、网络系统 、信息系统等) 的基础 ,因此如果没有一个安全的操作系统作为基石 ,建立在此上的所有系统就都没有安全可言了 ,故建立一个安 全操作系统是十分必要的 . 影响操作系统安全的因素很多 ,许多研究和实践表明操作系统中的大多数的安全问题都是由于存取控制处理不当而引起的1 - 5 ,因而存

6、取控制在安全操作系统模型的设计和实现中占 有十分重要的地位.三种存取控制方式 13 ,57 1这里的存取控制仅适用于计算机系统内的主体 ( subject ) 和客体 (object ) ,主体的含义是系统中能够发起行为的实体 ,如进程 、用户等 ;客体的含义是系统中接受主体行为的实体 ,如文件 、目录 、程序 、字 、段 、处 理器 、打印机 、网络结点等 . 对一个客体的访问就是对客体的信息进行访问. 存取控制是计算机系统中安全 机制的主要内容 ,它主要包括三个任务 :(1) 授权 ,其含义是确定给予哪些主体存取客体的权利 ;(2) 确定存取权限 ;存取权限也即主体如果对客体能进行某种或某

7、几种访问 ,就说该主体对该客体拥 收稿日期 :20032 122 26基金项目 :大连大学学科发展基金资助项目 ( XKFZ0212)作者简介 :毛玉萃 (1964 - ) ,女 ,副教授 .有这种或这几种存取权限 ,通常访问类型有 R (读) 、W (写) 和 X ( 执行) . 在 BPL 模型中的访问类型有 R ( 只读) 、W (读写) 、A (只写) 、E (执行) 和 C (控制) . (3) 实施存取权限 .在安全操作系统中 ,存取控制一般分为自主存取控制 (DAC) 和强制存取控制 (MAC) 两种形式 ,本文中对这两种形式进一步划分 ,分为基于主体权限的存取控制方式 、基于主

8、客体操作的存取控制方式和基于角 色的存取控制方式三种方式.1. 1基于主体权限的存取控制方式基于主体权限的存取控制方式是一种自主存取控制 ,是最常见的存取控制机制 ,是基于主体对客体所 拥有的访问权限而进行存取控制的.对主体权限的管理方法主要有三种 :存取控制矩阵 ( PM) ;访问控制列表 (ACL) ;权能列表 ( CL) .存取控制矩阵是通过一个矩阵记录主体对客体的访问权限 ,如图 1 所示. 它的优点在于既可以通过主 体也可以通过客体获得主体对客体的访问权限 ;缺点在于太大了 ,浪费空间. 访问控制列表是存取控制矩 阵按列即按客体进行组织的 ,表明哪些主体对该客体拥有何种访问权限. 图

9、 2 是对应图 1 的访问控制列 表 . 权能列表是存取控制矩阵按行即按主体进行组织的 ,表明该主体对哪些客体拥有何种访问权限. 图 3 所示是对应图 1 的权能列表.基于 CL 管理主体对客体的访问权限的系统具有基于 ACL 管理主体对客体的访问权限的系统所无法支持的安全特性 :(1) 最小特权. 用户不拥有执行任务所需之外的权能 .(2) 选择性授权访问. 父进程 (主体) 能够选择其所拥有的权限传给子进程 (主体) . (3) 权限传递控制 . 主体只能经授权的受控通道获得额外的权限.1. 2 基于主客体操作的存取控制方式在基于主客体操作的存取控制方式下 ,系统中的主客体被赋予不同的安全

10、级 ,该安全级是由系统按照 严格的规则设置的 ,主客体不能修改安全级.计算机内的所有信息都有相应的保密级别 ,称为密级. 每一用户都拥有一个许可证 ,标明可以使用哪一类密级的信息. 仅当用户的许可证不小于信息的密级时他才能合法地使用该信息. 密级和许可证统称为 安全级. 安全级包括两个方面 :安全级别和范畴集. 安全级别通常可分为公开 、秘密 、机密和绝密四个级别 , 它们是呈线性排列 ,即公开 < 秘密 < 机密 < 绝密. 范畴集是对应安全级所涉及的领域 ,即拥有某一安全级的用户的集合 .基于主客体操作的存取控制方式是根据主客体的安全级别 ,对正要实施的操作进行控制 ,其

11、控制的规 则主要有两条 :(1) 简单安全特性 :当主体对客体实施读或执行操作时 ,主体的安全级别应不小于客体的安全级别.(2) 3 特性 :当主体对客体实施写操作时 ,主体的安全级别应小于客体的安全级别 ;当主体对客体实施 读写操作时 ,主体的安全级别应等于客体的安全级别.基于主客体操作的存取控制是一种强制访问控制 .62大连大学学报第 25 卷1. 3基于角色的存取控制方式角色 ( role) 是按照系统的要求或责任等进行得分工 ,或则说角色是系统中一类访问权限的集合 . 按角 色对用户进行基本分类 ,可分为四类 ,也即系统中有四种基本角色 :超级用户 ( root) :系统资源的管理者.

12、 具有添加一般用户的权限 ,没有定义和修改系统安全级的权利 ,也没有读写审计员的数据的权限.安全管理员 ( sso) :系统安全级的定义者和修改者 ,他仅负责设置系统及各主 、客体的安全级 ;审计员 (auditor) :负责监视和记录系统的活动. 具有添加审计员的权限.一般用户 ( user) :系统资源的使用者.超级用户 、安全管理员和审计员共同负责系统的安全 ,并各负其责 ,不能越权 ,即角色在某种程度上是 互斥的.系统还可以按其它方式设置角色 ,例如对信息按安全级别 (如公开 、秘密 、机密和绝密) 设置角色 ,这样就有四种角色 ,也就有四类用户 :可访问绝密信息的用户类 ;可访问机密

13、信息的用户类 ;可访问秘密信息的 用户类 ;只可使用公开信息的用户类.角色和通常提到的用户组是有区别的 ,用户组是用户的一个集合 ,是按合作的任务划分的 ,它不涉及 到授权许可 ;角色既是一个用户集合 (按职责划分的) ,也是一个授权许可的集合 .操作的控制方式是首先根据实际情况 ,设置系统中的各种角色 ,对每一用户分配相应角色 . 在系统运 行过程中 ,当用户进行某种操作时 ,根据他的角色对操作进行审核 ,如果在其允许的操作范围内 ,操作进 行 ;否则拒绝该操作.基于角色的存取控制是一种强制访问控制.三种典型安全操作系统模型的存取控制分析2安全操作系统的模型很多 ,有基于存取控制建立的 ,有

14、基于信息流建立的 ,还有基于状态转换建立的 ,这里对基于存取控制建立的三种典型的安全操作系统模型进行分析.2. 1 BL P 模型的存取控制方式 2 ,3 ,6 ,7 BLP 模型的存取控制采用基于主体权限的存取控制方式和基于主客体操作的存取访问控制方式相结 合的方式 ;基于主体权限的存取控制方式通过存取控制矩阵按用户的意愿进行存取控制 ;基于主客体操作的存取访问控制方式采用了简单安全特性和 3 特性 ,通过安全级强制性约束主体对客体的存取. 另外 BLP 模型还使用了可信主体的概念 ,用来表示实际系统中不受 3 特性制约的主体 ,来保证系统的正常运行. BLP 模型的不足之处是 :(1) 由

15、于可信主体不受 3 特性制约 ,使该主体访问权限太大 ,不符合最小特权原则 ,因而应对可信主体 的操作和应用进一步细化 .(2) BLP 模型注重保密性控制 ,而缺少完整性控制 ,即控制信息从高安全级传向低安全级 ,不能控制 “向上写”操作 (控制信息从低安全级传向高安全级) ,因而不可避免出现隐蔽通道 (covert channel) .2. 2 RBAC 模型的存取控制方式 1 ,4 ,8 RBAC 模型是基于角色的存取控制方式建立起的安全操作系统模型. 与基于其它两种存取控制方式 建立起来的模型相比 ,它具有较多的灵活性 ,最显著的特点是 :在不同的系统配置下可以具有不同的安全控制功能

16、, 既可以构造具备 DAC 类型的系统 , 也可构造具备 MAC 类型的系统 , 甚至可以构造同时兼有DAC 类型和 MAC 类型的系统. 在 RBAC 模型中角色是分层的 ,同时还建立了约束机制.角色分层的基础是安全级别的线形关系 ,即公开 < 秘密 < 机密 < 绝密 ,分为四个层次 : 能访问绝密信 息的用户所处的角色位于顶层 ,能访问机密信息的用户所处的角色位于第二层 ,能访问秘密信息的用户所处的角色位于第三层 ,只能访问公开信息的用户所处的角色位于底层. 角色的分层有利于信息的安全 ,处 于不同角色层的用户可访问不同密级的信息.约束机制主要包括三方面 :(1) 角色

17、的互斥状态 :一个用户在两个互斥的角色集中只能指派他为一个集合中的角色 ;(2) 对角色附加数量的约束 :具有某种角色的用户数量是有限的 ;(3) 对角色施加前提约束 :某个用户被指派为某个角色的前提是已被指派为另一种角色 .约束机制对用户成为某层角色集中的成员进行了限定 ,从而限定了高密角色集的成员数量 ,提高了系 统的安全性.2. 3伯巴 (Biba ) 模型的存取控制方式 6 ,9伯巴模型与 BPL 模型有许多相同之处 ,也是基于主体 、客体以及它们的安全级别进行存取控制方式.伯巴模型对系统中的每个主体和客体均分配一个安全级别 ,称为完整级别. 为保证信息的完整性 ,伯巴模 型采取了多种

18、存取控制策略 ,主要有非自主策略和自主策略. 非自主策略主要有 :(1) 对于主体的下限标记策略 :它规定了主体对客体或主体对主体的访问规则 ,它是一个动态策略 ,即 可修改主客体的完整级别 .(2) 对于客体的下限标记策略 :它规定了主体对客体访问后客体的完整级别的设置规则 ,它也是一个 动态策略.(3) 下限标记完整审计策略 :在前两种设置的规则下如果发生了违反安全的操作将被记录在审计追踪 记录中.(4) 环策略 :它也规定了主体对客体或主体对主体的访问规则 ,但它不修改主客体的完整级别 ,是一个 非动态策略.(5) 严格完整性策略 :它规定了防止信息从低完整级别客体向高或不可比完整级别客

19、体传递的规则.自主策略主要有 :(1) 使用存取控制列表来表示主体对客体的访问权限 ;(2) 客体的层次结构 :这种层次结构表现为一棵树 ,若一主体对一客体要进行存取 ,对此客体的先驱结 点持有相应的访问权限 ;(3) 环 :环是每个主体分配到的权限的数字表示.与 BPL 模型相对 ,Biba 模型注重完整性控制 ,而缺少保密性控制.3结 束 语理论上的基于存取控制而建立的安全操作系统模型是不存在安全隐患的. 但是建立实际系统的安全操作系统模型只是理论模型的一部分 ,因而存在着一定的安全隐患 ,主要是隐蔽通道 ,也即信息泄露 ,这并不是说理论上的存取控制机制的不完善 ,而是在实现过程中对细粒度

20、的主客体 (如一个变量) 没有进行安全级的 标示 ,如果对每个细粒度主客体都进行安全级标示 ,实现起来将变的非常复杂 ,为解决这一问题 ,可以把基于 存取控制和基于信息流的两种安全控制方式结合在一起 ,从而提高了实际系统的安全性.参考文献 :1234卿斯汉 ,刘文清 ,刘海峰 . 操作系统安全导轮 M . 北京 :科学出版社 ,2003.石文昌 ,孙玉芳 . 安全操作系统研究的发展 (上) J . 计算机科学 ,2002 ,29 (6) :52 12.石文昌 ,孙玉芳 . 安全操作系统研究的发展 (下) J . 计算机科学 ,2002 ,29 (7) :92 13.阳富民 ,涂刚 ,胡贯荣 . 基于 L INUX 的操作系统安全模型 J . 计算机工程与应用 ,2001 ,13 :115 -