操作系統(tǒng)內(nèi)核的安全訪問控制模型研究

（武夷學(xué)院 數(shù)學(xué)與計算機系，福建 武夷山 354300）

1 引言

操作系統(tǒng)是否安全直接影響到計算機系統(tǒng)的安全，因為它是構(gòu)筑在其上的應(yīng)用系統(tǒng)和安全系統(tǒng)的根基，操作系統(tǒng)應(yīng)盡可能提供強的訪問控制機制以限制不安全的非法訪問。

為從操作系統(tǒng)底層提高其安全性，本文研究基于操作系統(tǒng)內(nèi)核的安全訪問控制模型，以linux系統(tǒng)內(nèi)核為例，采用基于角色的訪問控制策略 （Role Based Access Control，RBAC），以提高操作系統(tǒng)的安全性。

基于角色的訪問控制模型 （RBAC）是美國的NIST （National Institute of Standards and Technology）于上世紀九十年代初提出的一種訪問控制技術(shù)。該技術(shù)主要研究將用戶劃分成與其在組織結(jié)構(gòu)體系相一致的角色，以減少授權(quán)管理的復(fù)雜性，降低管理開銷和為管理員提供一個比較好的實現(xiàn)復(fù)雜安全政策的環(huán)境。[1]

美國George Mason大學(xué)教授Ravi Sandhu于1996年提出的RBAC96模型系統(tǒng)全面地描述了RBAC多方面、多層次的意義，得到了廣泛的認可[2]。我國很多的學(xué)術(shù)機構(gòu)和學(xué)者也于上世紀90年代初提出了若干訪問控制策略。吳開超[3]等提出按照客體類型及其層次關(guān)系將訪問控制邏輯分層處理，在不同層次上采取與客體特點相符的訪問控制技術(shù)，從而形成一種訪問控制的層次模型。單智勇[4]等給出一個適用于操作系統(tǒng)的角色訪問控制模型OSR，并在linux內(nèi)核中實現(xiàn)。劉偉[5]等詳細描述了SELinux、RFSOS等三個安全操作系統(tǒng)對角色訪問控制特性支持的不同實現(xiàn)方法。吳作順[6]等以Flask安全模型為研究基礎(chǔ)，闡述了linux操作系統(tǒng)中訪問控制的動態(tài)安全策略特性。張朝清[7]等詳細描述了SELinux中通過獨立的安全服務(wù)器來封裝安全政策,通過對其調(diào)用來獲得安全決定,進而標識和控制進程、內(nèi)核主體和訪問的客體。李洪心[8]等通過分析信息終端中進程的行為，將進程訪問的客體分為可信客體和可疑客體，并在操作系統(tǒng)內(nèi)核中引入RBAC模型，阻止進程主體訪問可疑客體以此強化安全管理機制。

本文也將在linux操作系統(tǒng)內(nèi)核層面討論如何建立一種改進的RBAC模型以提高系統(tǒng)的安全性。

2 經(jīng)過二次改進的RBAC模型的演化過程及描述

2.1 傳統(tǒng)的RBAC96模型

在傳統(tǒng)的 RBAC96模型[2]中，用戶（User）被賦予角色（Role），而權(quán)限(Permission)是被賦給角色，用戶通過擔任某些角色來獲得訪問權(quán)限。會話（Session）有對用戶和角色兩種映射關(guān)系。整個模型是由集合、集合的函數(shù)關(guān)系及其上的映射關(guān)系組成。其具體模型及各元素間關(guān)系如下圖1所示：

● 用戶集合：U=｛u1，u2，… ，un1｝。

● 角色集合：R=｛r1，r2，… ，rn2｝。

● 權(quán)限集合：P=｛p1，… ，pn3｝。

● 用戶與角色的映射關(guān)系：UA?U×R。

● 權(quán)限到角色的映射關(guān)系：PA?P×R。

● 角色繼承關(guān)系：RH?R×R，是角色集R上的偏序關(guān)系，用?表示。如果r1,r2∈R且r1?r2表示r1是r2的上級角色，則r1擁有r2的所有權(quán)限。

● 角色間的約束關(guān)系：RC?R×R，此處的約束主要是靜態(tài)約束，是對模型各元素、用戶-角色分配、角色-權(quán)限分配等進行限制的約束條件。

● 會話集合SE（Session）：為使用戶與系統(tǒng)之間能夠正常交互而建立的連接，在會話中激活相應(yīng)的角色。

2.2 經(jīng)過一次改進的RBAC模型

在linux操作系統(tǒng)中，用戶程序或系統(tǒng)程序訪問文件、設(shè)備等系統(tǒng)資源往往是通過進程(Process)來完成的，進程是某個用戶執(zhí)行程序的一次動態(tài)過程，因此我們將進程和用戶作為訪問客體資源的主體(Subject)，而主體訪問的客體資源是系統(tǒng)中的文件、目錄、設(shè)備、IPC通信等，同時操作OP（Operation）是對客體對象進行增加、刪除、修改等動作，并將權(quán)限這一概念擴展為主體對客體的操作許可。如下圖2所示：

● 主體集合 S=｛s1，s2，… ，sn1｝,包括進程和用戶。

● 客體集合 OB=｛ob1，ob2，… ，obn2｝，是系統(tǒng)中的文件、目錄、設(shè)備、IPC通信、系統(tǒng)控制數(shù)據(jù)等。

● 操作集合 OP=｛op1，op2，…，opn3｝，即對客體對象進行增加、刪除、修改等動作。

● 權(quán)限集合P：是一個二元組（op，ob），表示對客體ob進行op操作的權(quán)限。

● 主體與角色的映射關(guān)系：SA?S×R。

● 角色與角色的沖突關(guān)系：分為靜態(tài)和動態(tài)兩種。靜態(tài)沖突角色既不能賦于同一用戶，也不能賦于同一進程，用 RSC 表示：RSC=｛（r1,r2）│ r1∈ R ，r2∈R｝。動態(tài)沖突角色可以賦于同一用戶，但不能在同一個進程激活，用RDC表示：RDC=｛（r1,r2）│r1∈R，r2∈R｝。它們同樣都滿足角色集R上的偏序關(guān)系，可以繼承。即

2.3 經(jīng)過二次改進的RBAC模型

由于引入進程和用戶作為主體，并且進程是動態(tài)產(chǎn)生的，因此主體對角色的映射關(guān)系更加復(fù)雜并造成會話過多，產(chǎn)生很多冗余數(shù)據(jù)，引入激活角色集合以滿足最小權(quán)限原則，它是主體到角色映射的最大角色集合的子集。

●主體S映射到角色R的最大角色集：

●當用戶開始會話，進程被創(chuàng)建或者用戶使用命令、系統(tǒng)調(diào)用時，激活的角色集應(yīng)滿足最小特權(quán)原則：并且是主體禁止的角色集合，比如主體將訪問一些可疑程序，可禁止賦予一些權(quán)限高或涉及私密的角色。

● 權(quán)限集合在這里改進成一個三元組：（op，ob，pt）,pt表示權(quán)限的類型：分為普通權(quán)限和系統(tǒng)權(quán)限，系統(tǒng)權(quán)限又分為系統(tǒng)管理權(quán)限、安全管理權(quán)限和審計管理權(quán)限[9]。普通權(quán)限可以允許主體獲得指定客體的訪問，系統(tǒng)管理權(quán)限是可以維持系統(tǒng)正常運行的權(quán)限，安全管理權(quán)限是負責(zé)除系統(tǒng)正常運行以外主客體的安全管理權(quán)限，審計管理權(quán)限是進行安全審計的權(quán)限。用RSC表示它們之間的沖突關(guān)系。如下圖3所示：

3 實現(xiàn)的邏輯結(jié)構(gòu)

在linux系統(tǒng)內(nèi)核中加入訪問控制信息處理模塊和訪問請求判定模塊。當應(yīng)用層的應(yīng)用程序或系統(tǒng)管理工具產(chǎn)生進程進行系統(tǒng)調(diào)用請求時，訪問控制信息處理模塊會截取進程操作請求，將進程的標識號、要訪問的客體類型及申請的操作權(quán)限發(fā)送給訪問請求判定模塊，訪問請求判定模塊會通過查詢內(nèi)存中已建立的進程信息、角色信息等得到主體激活的所有角色的權(quán)限，再通過已有的權(quán)限三元組（op，ob，pt）比對激活角色權(quán)限是否有效，如果有效就許可訪問，進行內(nèi)核的系統(tǒng)調(diào)用，否則返回出錯信息給訪問控制信息處理模塊。

例如：讀一個文件的操作，read命令執(zhí)行后將產(chǎn)生一個進程，該進程申請使用系統(tǒng)調(diào)用即讀文件的請求發(fā)送給內(nèi)核的訪問控制信息處理模塊，訪問控制信息處理模塊會截取進程讀操作請求，并將進程的標識號、要訪問的文件所屬客體類型及申請的讀操作權(quán)限發(fā)送給訪問請求判定模塊，訪問請求判定模塊會通過查詢內(nèi)存中已建立的進程信息、角色信息等得到主體激活的所有角色的權(quán)限，再通過已有的權(quán)限三元組（op，ob，pt）比對激活角色權(quán)限是否有效，如果有效就可以進行read的操作，否則返回出錯信息給訪問控制信息處理模塊，訪問控制信息處理模塊再把信息反饋給應(yīng)用層。實現(xiàn)的邏輯結(jié)構(gòu)如下圖4所示：

4 結(jié)論

筆者在RBAC96模型基礎(chǔ)上做了多次改進并給出一個新型的應(yīng)用在linux操作系統(tǒng)上的RBAC模型，提出了激活角色集合以滿足最小特權(quán)原則，將進程和用戶做為主體，引入權(quán)限三元組來描述權(quán)限和客體操作之間關(guān)系，并給出了系統(tǒng)中實現(xiàn)的邏輯結(jié)構(gòu)。今后會對linux中capability機制下如何判斷權(quán)限做出更詳細的論述。

[1] 吳薇.基于角色的訪問控制技術(shù)的用戶權(quán)限管理及實現(xiàn)[J].福建電腦，2008(11).

[2] Sandhu R S,Coyne E J,Feinstein H L,and et.al.Rolebased access control models[J].IEEE Computer,1996,29(2):38-47.

[3] 吳開超，沈志宏，周園春，等.信息系統(tǒng)訪問控制的層次模型[J].計算機工程與設(shè)計，2009,30(1)：22-50.

[4]單智勇，孫玉芳.一個應(yīng)用于操作系統(tǒng)的RBAC模型及其實施[J].計算機研究與發(fā)展,2004,41(2):287-298.

[5] 劉偉，孫玉芳.若干安全操作系統(tǒng)中的基于角色的訪問控制特性[J]計算機工程與應(yīng)用，2004（4）：41-44.

[6] 吳作順,竇文華.基于增強訪問控制的安全Linux研究[J].計算機應(yīng)用研究，2002(3):68-70.

[7] 張朝清,王非非.SELinux系統(tǒng)中可擴展強制訪問控制的實現(xiàn)[J].現(xiàn)代計算機，2006，237（6）：25-28.

[8] 李洪心，關(guān)可卿.基于RBAC的信息終端內(nèi)核模型[J].計算機科學(xué)，2011，38（11）：100-103.

[9] 劉偉，孫玉芳.基于角色訪問控制模型及其在操作系統(tǒng)中的實現(xiàn)[J].計算機科學(xué)，2003，30（8）：166-168.