日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

1.引言

在奎屯等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供網(wǎng)站制作、成都網(wǎng)站建設(shè) 網(wǎng)站設(shè)計(jì)制作按需網(wǎng)站開發(fā),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),成都品牌網(wǎng)站建設(shè),成都全網(wǎng)營(yíng)銷,外貿(mào)網(wǎng)站制作,奎屯網(wǎng)站建設(shè)費(fèi)用合理。

本文通過研究安全操作系統(tǒng)的訪問控制模型，結(jié)合國(guó)內(nèi)、外的相關(guān)安全標(biāo)準(zhǔn)和已有的先進(jìn)技術(shù)，將密碼服務(wù)與高級(jí)別存取控制機(jī)制有機(jī)地結(jié)合起來，形成一個(gè)適應(yīng)各類安全2級(jí)實(shí)用操作系統(tǒng)。該安全服務(wù)器將在Linux操作系統(tǒng)的基礎(chǔ)上（目前Linux操作系統(tǒng)主要發(fā)行版本的安全性大致處于《TCSEC》標(biāo)準(zhǔn)[1，2] 的C2 級(jí)），參照GB/T 18336（等同采用CC標(biāo)準(zhǔn)）安全保證級(jí)別EAL4，開發(fā)符合GB 17859中規(guī)定的結(jié)構(gòu)化保護(hù)級(jí)（相當(dāng)于TCSEC中規(guī)定的B2級(jí)）功能要求的安全操作系統(tǒng)。

1. 安全策略訪問控制模型

該類模型是從訪問控制的角度描述安全系統(tǒng)，主要針對(duì)系統(tǒng)中主體對(duì)客體的訪問及其安全控制。[2]

1.1 BLP模型

Bell&Lapadula(BLP)模型[3~5]---是由----Bell和Lapadula于1973年提出并于1976年修定、整合和完善的安全模型，它是最典型的信息保密性多級(jí)安全模型，通常是處理多級(jí)安全信息系統(tǒng)的設(shè)計(jì)基礎(chǔ)。

BLP模型的安全策略包括強(qiáng)制訪問控制和自主訪問控制兩部分。強(qiáng)制訪問控制中的安全特性,要求對(duì)給定安全級(jí)別的主體，僅被允許對(duì)同一安全級(jí)別和較低安全級(jí)別上的客體進(jìn)行“讀”，對(duì)給定安全級(jí)別上的主體，僅被允許向相同安全級(jí)別或較高安全級(jí)別上的客體進(jìn)行“寫”，任意訪問控制允許用戶自行定義是否讓個(gè)人或組織存取數(shù)據(jù)。

BLP模型為通用的計(jì)算機(jī)系統(tǒng)定義了安全性屬性,即以一組規(guī)則表示什么是一個(gè)安全的系統(tǒng)。其優(yōu)點(diǎn)是這種基于規(guī)則的模型比較容易實(shí)現(xiàn)。但是它不能更一般地以語義的形式闡明安全性的含義。因此，這種模型不能解釋主、客體框架以外的安全性問題，還不能較好的處理隱蔽通道的問題。

1.2 DTE模型

DTE （Domain and Type Enforcement）模型[5]是由O’Brien and Rogers于1991年提出的一種訪問控制技術(shù)。它通過賦予文件不同的型（type）、賦予進(jìn)程不同的域（domain）來進(jìn)行訪問控制，從一個(gè)域訪問其他的域以及從一個(gè)域訪問不同的型都要通過DTE策略的控制。

近年來DTE模型被較多的作為實(shí)現(xiàn)信息完整性保護(hù)的模型。該模型定義了多個(gè)域（Domain）和型（Type），并將系統(tǒng)中的主體分配到不同的域中，不同的客體分配到不同的型中，通過定義不同的域?qū)Σ煌男偷脑L問權(quán)限，以及主體在不同的域中進(jìn)行轉(zhuǎn)換的規(guī)則來達(dá)到保護(hù)信息完整性的目的。

DTE使域和每一個(gè)正在運(yùn)行的進(jìn)程相關(guān)聯(lián)，型和每一個(gè)對(duì)象（ e.g.文件、包）相關(guān)聯(lián)。如果一個(gè)域不能以某種訪問模式訪問某個(gè)型，則這個(gè)域的進(jìn)程不能以該種訪問模式去訪問那個(gè)型的對(duì)象。當(dāng)一個(gè)進(jìn)程試圖訪問一個(gè)文件時(shí)，DTE 系統(tǒng)的內(nèi)核在做標(biāo)準(zhǔn)的系統(tǒng)許可檢查之前，先做DTE許可檢查。如果當(dāng)前域擁有被訪問文件所屬的型所要求的訪問權(quán)，那么這個(gè)訪問得以批準(zhǔn)，繼續(xù)執(zhí)行正常的系統(tǒng)檢查。

1.3 RBAC模型

RBAC模型[5]是基于角色的訪問控制模型。該模型主要用于管理特權(quán)，在基于權(quán)能的訪問控制中實(shí)現(xiàn)職責(zé)隔離及極小特權(quán)原理。

RBAC包含以下基本要素：用戶集(Users)，主體進(jìn)程集(Subjects)，角色集(Roles)，操作集(Operations)，操作對(duì)象集(Objects)，操作集和操作對(duì)象集形成一個(gè)特權(quán)集(Privileges)；用戶與主體進(jìn)程的關(guān)系(subject_user),用戶與角色的關(guān)系(user_role), 操作與角色的關(guān)系(role_operations)， 操作與操作對(duì)象的關(guān)系(operation_object)。

通常subject_user是一個(gè)多對(duì)一的關(guān)系，它把多個(gè)主體進(jìn)程映射到一個(gè)用戶，這些進(jìn)程都是替代該用戶的主體進(jìn)程；在本模型中它就是一個(gè)典型的多對(duì)一的關(guān)系。user_role可以是多對(duì)多的關(guān)系，但在本模型中它被簡(jiǎn)化為一對(duì)一的關(guān)系。role_operations是一個(gè)一對(duì)多的關(guān)系，它把一個(gè)角色映射到多個(gè)操作，是角色被授權(quán)使用的操作的集合；operation _object是一個(gè)一對(duì)多的關(guān)系，它把一個(gè)操作映射到多個(gè)操作對(duì)象，是操作被授權(quán)作用的操作對(duì)象集。

在本模型中，替代用戶的主體進(jìn)程可能只激活用戶角色的被授權(quán)的操作的一部分，而且操作也可能僅作用在被授權(quán)作用的操作對(duì)象集的一個(gè)子集合上。在本系統(tǒng)中，將實(shí)現(xiàn)基于角色的授權(quán)和控制，支持角色互斥，不支持角色的繼承，不支持同一個(gè)用戶的多個(gè)角色。

2. 安全系統(tǒng)的設(shè)計(jì)

2.1 安全模型的設(shè)計(jì)

參照GB 17859中結(jié)構(gòu)化保護(hù)級(jí)的安全功能特性要求，本系統(tǒng)中的安全服務(wù)器將遵循改進(jìn)的BLP模型、DTE模型以及RBAC模型來實(shí)現(xiàn)系統(tǒng)的安全策略。其中，BLP模型是多級(jí)安全模型，保護(hù)信息的機(jī)密性；DTE模型是多域模型，保護(hù)信息的完整性；RBAC模型是基于角色的訪問控制模型，是授權(quán)模型。通過三種模型的相互作用和制約，保證系統(tǒng)中的信息以及系統(tǒng)自身的安全性。

授權(quán)策略RBAC是整個(gè)系統(tǒng)的基礎(chǔ)，它通過為用戶設(shè)置特定角色，影響IA控制、特權(quán)控制、多域訪問控制和強(qiáng)制訪問控制等基本功能，達(dá)到控制系統(tǒng)中用戶/主體對(duì)客體/對(duì)象的訪問的目的。在本系統(tǒng)中，每個(gè)用戶都有且只有一個(gè)角色。為某個(gè)用戶給定一個(gè)角色，相當(dāng)于給定該用戶的***特權(quán)集、安全標(biāo)記范圍、DTE域范圍和最小審計(jì)掩碼。該用戶的上述屬性只能夠在給定角色的范圍內(nèi)指定。RBAC是通過最小特權(quán)、強(qiáng)制訪問控制（包括MAC機(jī)密性保護(hù)和DTE完整性保護(hù)）和安全審計(jì)等功能組合實(shí)現(xiàn)的。

而多域策略DTE和多級(jí)安全策略BLP則是在授權(quán)策略授權(quán)的基礎(chǔ)上，調(diào)用多域訪問控制和強(qiáng)制訪問控制功能，實(shí)現(xiàn)對(duì)客體/對(duì)象信息的完整性和機(jī)密性保護(hù)。

本系統(tǒng)在BLP模型的基礎(chǔ)上進(jìn)行了一些改動(dòng)：

1. 對(duì)BLP模型“上寫下讀”的信息流規(guī)則進(jìn)行了限制，將其中的“上寫”改為：低安全等級(jí)的主體可以創(chuàng)建高安全等級(jí)的客體或向高安全等級(jí)的客體中添加信息，但是不能修改或刪除高安全等級(jí)客體中的原有信息。例如，低安全等級(jí)的主體可以在高安全等級(jí)目錄下（在通過了DAC和DTE檢查的情況下）創(chuàng)建新的文件（包括子目錄、命名管道等），但是不能刪除原有的文件（包括子目錄、命名管道等），也不能改寫高安全等級(jí)文件的內(nèi)容；

2. 引入可信主體的概念，即：所謂可信主體，就是擁有多個(gè)安全級(jí)或一個(gè)安全級(jí)范圍的主體；

3. 引入可信客體的概念，即：所謂可信客體，就是擁有多個(gè)安全級(jí)或一個(gè)安全級(jí)范圍的客體。

本系統(tǒng)中DTE實(shí)現(xiàn)采用為主體/客體指定域/型標(biāo)識(shí)（統(tǒng)稱為DTE標(biāo)識(shí)）的方法，DTE策略將通過為主體賦“域”（Domain），為客體賦“型”（Type），并定義“域”和“型”之間的訪問權(quán)限實(shí)現(xiàn)DTE完整性保護(hù)，并采用DTEL（DTE Language）語言進(jìn)行描述，通過命令設(shè)置到系統(tǒng)核心。

核心中將為每個(gè)主體維護(hù)一個(gè)“域”標(biāo)記，為每個(gè)文件維護(hù)一個(gè)“型”標(biāo)記。當(dāng)操作發(fā)生時(shí)，系統(tǒng)將根據(jù)主體“域”標(biāo)記、文件“型”標(biāo)記以及訪問控制表判斷是否允許操作發(fā)生。

原則上，構(gòu)造一個(gè)安全系統(tǒng)必須同時(shí)兼顧用戶應(yīng)用系統(tǒng)、O/S服務(wù)系統(tǒng)、Linux 內(nèi)核、硬件這四個(gè)子系統(tǒng)，使它們都獲得有效的保護(hù)；但本系統(tǒng)主要關(guān)心用戶應(yīng)用系統(tǒng)和Linux 內(nèi)核系統(tǒng)，因?yàn)樗鼈兣cLinux 系統(tǒng)安全聯(lián)系最直接。構(gòu)筑安全Linux 系統(tǒng)的最終目標(biāo)就是支持各種安全應(yīng)用，如果系統(tǒng)在構(gòu)造之初就沒有區(qū)別地對(duì)待不同的應(yīng)用，或者說不采取隔離的方式對(duì)待不同的應(yīng)用，那么這樣的系統(tǒng)是不實(shí)用的，因?yàn)椴煌膽?yīng)用對(duì)系統(tǒng)安全可能造成的威脅是不同的。對(duì)用戶應(yīng)用系統(tǒng)的控制，我們主要采用角色模型與DTE技術(shù)的結(jié)合；而對(duì)Linux 內(nèi)核的控制，則通過權(quán)能訪問控制、增強(qiáng)的BLP模型及DTE策略來實(shí)現(xiàn)。

2.2 安全系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)

用戶請(qǐng)求的系統(tǒng)操作進(jìn)入核心后，首先經(jīng)過安全策略執(zhí)行點(diǎn)，調(diào)用相應(yīng)的安全策略執(zhí)行模塊，安全策略執(zhí)行模塊讀取相關(guān)的系統(tǒng)安全信息和主/客體安全屬性，并調(diào)用安全策略判定模塊進(jìn)行安全判定，決定是否允許用戶請(qǐng)求的操作繼續(xù)執(zhí)行；當(dāng)用戶請(qǐng)求的系統(tǒng)操作得到允許并執(zhí)行結(jié)束后，再次通過安全策略執(zhí)行點(diǎn)，進(jìn)行相關(guān)安全信息/屬性的設(shè)置和安全審計(jì)。

安全服務(wù)器中的功能模塊與原有的系統(tǒng)操作是相對(duì)獨(dú)立的，雙方通過hook函數(shù)進(jìn)行聯(lián)系。通過改變hook函數(shù)的指向，可以啟用不同的安全服務(wù)器。不同的安全服務(wù)器可以選擇不同的安全策略，從而達(dá)到支持多安全策略的目的。

2.3 安全系統(tǒng)的功能設(shè)計(jì)

安全系統(tǒng)在原有Linux操作系統(tǒng)基礎(chǔ)上，新增了的強(qiáng)制訪問控制、最小特權(quán)管理、可信路徑、隱通道分析和加密卡支持等功能組成，系統(tǒng)的主要功能如下：

1. 標(biāo)識(shí)與鑒別

包括角色管理、用戶管理和用戶身份鑒別等三個(gè)部分。

2. 自主訪問控制

本系統(tǒng)在自主訪問控制中加入ACL機(jī)制。

3. 強(qiáng)制訪問控制

提供基于數(shù)據(jù)保密性的資源存取控制方法，提供了比DAC更嚴(yán)格的訪問約束。

4. 安全審計(jì)

本系統(tǒng)能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計(jì)跟蹤記錄，并能阻止非授權(quán)的用戶對(duì)它訪問或破壞。

5. 客體重用

在本系統(tǒng)中，出于系統(tǒng)效率和可靠性的考慮，只實(shí)現(xiàn)對(duì)核心重要數(shù)據(jù)結(jié)構(gòu)剩余信息的自動(dòng)清除和文件內(nèi)容的人工清除。

6. 最小特權(quán)管理

特權(quán)管理實(shí)現(xiàn)的方法是：對(duì)特定角色的用戶和可執(zhí)行文件賦予相應(yīng)的特權(quán)集，用戶登錄時(shí)獲取初始特權(quán)集，進(jìn)程在執(zhí)行可執(zhí)行文件時(shí)，根據(jù)文件的特權(quán)集重新獲取新的特權(quán)；提供賦予可執(zhí)行客體的有效、繼承、許可三個(gè)特權(quán)集的能力。

7. 可信路徑

可信路徑要求為用戶提供與系統(tǒng)交互的可信通道。強(qiáng)制身份鑒別和網(wǎng)絡(luò)加密都是可信路徑的組成部分。此外，本系統(tǒng)將為用戶提供安全注意鍵，系統(tǒng)監(jiān)視到用戶使用該鍵后，將自動(dòng)退出當(dāng)前會(huì)話，回到登錄界面。

8. 隱蔽通道分析

本系統(tǒng)掩蔽通道分析將基于源代碼，采用下列方法進(jìn)行：

分析所有操作，列出操作及其涉及的共享資源（客體屬性）

ü 列出操作與共享資源的關(guān)系圖。

ü 找出所有可能的存儲(chǔ)隱蔽通道。

ü 分析、標(biāo)識(shí)每個(gè)存儲(chǔ)隱蔽通道，并給出帶寬。

9. 加密卡支持

本系統(tǒng)將支持一款經(jīng)過國(guó)家商用密碼管理委員會(huì)辦公室認(rèn)證的加密卡，為用戶提供加密API和對(duì)文件進(jìn)行加/解密的功能，同時(shí)也為本系統(tǒng)的強(qiáng)身份鑒別和網(wǎng)絡(luò)加密部分提供支持。

3. 結(jié)論

本系統(tǒng)通過對(duì)Linux核心結(jié)構(gòu)和操作系統(tǒng)域外層安全體系的層次結(jié)構(gòu)的研究，遵循國(guó)內(nèi)、外的相關(guān)安全標(biāo)準(zhǔn)，將三種安全策略模型和已有的先進(jìn)技術(shù)有機(jī)地結(jié)合起來，增加了強(qiáng)制訪問控制、最小特權(quán)、可信路徑等安全功能，成功的在Linux操作系統(tǒng)上得已實(shí)現(xiàn)，基本達(dá)到了GB17859中規(guī)定的結(jié)構(gòu)化保護(hù)級(jí)（《TCSEC》的B2級(jí)）的要求。

操作系統(tǒng)安全增強(qiáng)技術(shù)作為信息安全的關(guān)鍵部分，得到了國(guó)內(nèi)、外的普遍重視。在安全領(lǐng)域，系統(tǒng)的安全性總是相對(duì)的。因此，對(duì)安全模型的研究和建模以及信息安全系統(tǒng)體系和方案設(shè)計(jì)的研究還有待進(jìn)一步的深入。本設(shè)計(jì)方案已經(jīng)在Linux操作系統(tǒng)上得到具體的實(shí)現(xiàn)，還有待于在實(shí)際應(yīng)用中對(duì)安全操作系統(tǒng)進(jìn)一步地考驗(yàn)和完善。

 

本文標(biāo)題：Linux安全訪問控制模型應(yīng)用及方案設(shè)計(jì)　
分享網(wǎng)址：http://www.5511xx.com/article/djpehsc.html