專利名稱：：一種安全操作系統(tǒng)強(qiáng)制訪問(wèn)控制機(jī)制的實(shí)施方法
技術(shù)領(lǐng)域：
：強(qiáng)制訪問(wèn)控制機(jī)制的實(shí)施方法屬于安全操作系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)領(lǐng)域，是信息安全的核心技術(shù)之一。(二)
背景技術(shù)：
：操作系統(tǒng)是應(yīng)用軟件同系統(tǒng)硬件的接口，其目標(biāo)足高效地、最大限度地、合理地使用計(jì)算機(jī)資源。而安全操作系統(tǒng)是增強(qiáng)安全機(jī)制與功能，保障計(jì)算資源使用的保密性，完整性和可用性。如果沒(méi)有安全操作系統(tǒng)的支持，數(shù)據(jù)庫(kù)就不可能具有存取控制的安全可用性，就不可能有網(wǎng)絡(luò)系統(tǒng)的安全性，也不可能有應(yīng)用軟件信息處理的安全性。因此，安全操作系統(tǒng)是整個(gè)信息系統(tǒng)安全的基礎(chǔ)，缺少安全操作系統(tǒng)的保護(hù)，整個(gè)系統(tǒng)的安全就如同建立在沙灘上的堡壘。許多經(jīng)典文獻(xiàn)指出，當(dāng)前主流操作系統(tǒng)的不安全的主要原因也是由于缺少?gòu)?qiáng)制訪問(wèn)控制機(jī)制。強(qiáng)制訪問(wèn)控制機(jī)制是安全操作操作系統(tǒng)的重要的安全功能之一，是否具備該功能，也是高安全等級(jí)操作系統(tǒng)和低安全等級(jí)操作系統(tǒng)重要區(qū)別之一。在GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》中，要求符合第三級(jí)安全標(biāo)記保護(hù)級(jí)要求的系統(tǒng)具有強(qiáng)制訪問(wèn)控制功能，并且強(qiáng)制訪問(wèn)控制的實(shí)施需要提供有關(guān)強(qiáng)制訪問(wèn)控制模型、數(shù)據(jù)標(biāo)記、以及主體和客體非形式化描述。更近一步，在第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)的系統(tǒng)中，要求可信計(jì)算基建立在一個(gè)形式化模型之上，并且強(qiáng)制訪問(wèn)控制的范圍擴(kuò)到系統(tǒng)中所有的主體和客體。GB/T20271-2006《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》是國(guó)內(nèi)最新的安全操作系統(tǒng)國(guó)家標(biāo)準(zhǔn)，其采用了IS0/IEC15408-1999《信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估通用準(zhǔn)則》中安全功能要求和安全保證要求的思想對(duì)于安全操作系統(tǒng)等級(jí)進(jìn)行了劃分，其對(duì)于強(qiáng)制訪問(wèn)控制從策略，功能，范圍，粒度和環(huán)境五個(gè)方面對(duì)于強(qiáng)制訪問(wèn)控制進(jìn)行了一般性的規(guī)定，并描述了可使用的安全策略模型，包括保密性多級(jí)安全模型，完整性多級(jí)安全模型以及基于角色的訪問(wèn)控制模型。當(dāng)前，大多數(shù)商業(yè)公司和研究機(jī)構(gòu)都是基于Li皿x內(nèi)核(Kernel)來(lái)開發(fā)安全操作系統(tǒng)的，并設(shè)計(jì)和實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制機(jī)制，因?yàn)長(zhǎng)i皿x是一個(gè)開放源碼(OpenSource)的操作系統(tǒng)，研究者可以深入到內(nèi)核，擁有更大的自主閱讀和修改權(quán)限。而通常所采用的方法為修改Kernel中進(jìn)程管理，文件系統(tǒng)等模塊中關(guān)鍵的系統(tǒng)調(diào)用，在其中插入相應(yīng)的鉤子函數(shù)，來(lái)實(shí)施某種特定的安全策略。盡管這種方法能夠完成強(qiáng)制訪問(wèn)控制功能，但是這樣做比較困難。一是這種方法對(duì)于系統(tǒng)開發(fā)人員素質(zhì)要求較高，必須深入到內(nèi)核，讀懂關(guān)鍵的系統(tǒng)調(diào)用，這是一件困難的工作；二是，這種方法工作量較大，內(nèi)核中系統(tǒng)調(diào)用需要修改的地方較多，較為瑣碎，容易產(chǎn)生混亂，影響開發(fā)速度和進(jìn)程。隨著對(duì)于安全操作系統(tǒng)研究的不斷深入以及對(duì)于開發(fā)出高安全等級(jí)操作系統(tǒng)迫切需求，研究者提出了一個(gè)基于Li皿x內(nèi)核通用訪問(wèn)控制框架LSM(Li皿xSecurityModule)，它為開發(fā)者提供了一個(gè)較低的技術(shù)開發(fā)門檻，本專利給出了如何利用該框架進(jìn)行安全操作系統(tǒng)中強(qiáng)制訪問(wèn)機(jī)制的設(shè)計(jì)與開發(fā)的技術(shù)路線。
發(fā)明內(nèi)容高安全等級(jí)操作系統(tǒng)中通常具有強(qiáng)制訪問(wèn)控制機(jī)制，根據(jù)全局的訪問(wèn)控制策略進(jìn)行主體對(duì)于客體的訪問(wèn)授權(quán)是強(qiáng)制訪問(wèn)控制最顯著的特征。本發(fā)明從四個(gè)方面即安全體系結(jié)構(gòu)、流程、支撐模型以及關(guān)鍵鉤子和數(shù)據(jù)結(jié)構(gòu)對(duì)于強(qiáng)制訪問(wèn)控制機(jī)制在安全操作系統(tǒng)中的實(shí)施方法進(jìn)行了說(shuō)明。這為構(gòu)造大型、復(fù)雜、安全的應(yīng)用信息系統(tǒng)提供了保障，并在電子商務(wù)、電子政務(wù)和電子金融等信息系統(tǒng)中有著廣泛而重要的應(yīng)用。作為后續(xù)討論的基礎(chǔ)，首先明確幾個(gè)重要的概念。3.1幾個(gè)基本概念安全操作系統(tǒng)(SecurityOperatingSystem):能對(duì)所管理的數(shù)據(jù)與資源提供適當(dāng)?shù)谋Ｗo(hù)級(jí)、有效地控制硬件與軟件的操作系統(tǒng)。就安全操作系統(tǒng)的形成方式而言，一種是從系統(tǒng)開始設(shè)計(jì)時(shí)就充分考慮到系統(tǒng)的安全性的安全設(shè)計(jì)方式。另一種是基于一個(gè)通用的操作系統(tǒng)，專門進(jìn)行安全性改進(jìn)或增強(qiáng)的安全增強(qiáng)方式。安全操作系統(tǒng)在開發(fā)完成后，在正式投入使用之前，都要求通過(guò)相應(yīng)的安全性測(cè)評(píng)。操作系統(tǒng)安全性(SecurityofOperatingSystem):操作系統(tǒng)具有或應(yīng)具有的安全功能，比如存儲(chǔ)保護(hù)、運(yùn)行保護(hù)、標(biāo)識(shí)與鑒另U、訪問(wèn)控制、安全審計(jì)。可信計(jì)算基(TrustedComputingBase):簡(jiǎn)稱TCB，是計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、軟件、固件和負(fù)責(zé)執(zhí)行安全策略的組合體。它建立了一個(gè)基本的保護(hù)環(huán)境并提供了一個(gè)可信計(jì)算系統(tǒng)所要求的附加用戶服務(wù)。安全策略(SecurityPolicy):對(duì)TCB中資源進(jìn)行管理、保護(hù)和分配的一組規(guī)則。簡(jiǎn)單的說(shuō)，就是用戶對(duì)于安全需要的描述。一個(gè)TCB中可以有一個(gè)或多個(gè)安全策略。安全模型(SecurityModel):用形式化方法來(lái)描述如何實(shí)現(xiàn)系統(tǒng)的機(jī)密性、完整性和可用性等安全要求。主體(Subject):是這樣的一種實(shí)體，它引起信息在客體之間的流動(dòng)。通常，這些實(shí)體是指人、進(jìn)程或設(shè)備等。客體(Object):系統(tǒng)中被動(dòng)的主體行為承擔(dān)者。對(duì)一個(gè)客體的訪問(wèn)隱含著對(duì)其所含信息的訪問(wèn)，客體的類型有記錄、程序塊、頁(yè)面、段、文件、目錄等。訪問(wèn)控制(AccessControl):限制已授權(quán)的用戶、程序、進(jìn)程、或計(jì)算機(jī)網(wǎng)絡(luò)中其它系統(tǒng)訪問(wèn)本系統(tǒng)資源的過(guò)程。強(qiáng)制訪問(wèn)控制(MandatoryAccessControl):用于將系統(tǒng)中的信息分密級(jí)和類進(jìn)行管理，以保證每個(gè)用戶只能夠訪問(wèn)那些被標(biāo)明可以由他訪問(wèn)的信息的一種訪問(wèn)約束機(jī)制。自主訪問(wèn)控制(DiscretionaryAccessControl):用來(lái)決定一個(gè)用戶是否有權(quán)限訪問(wèn)此客體的一種訪問(wèn)約束機(jī)制，而該客體的所有者可以按照自己意愿指定系統(tǒng)中其它用戶對(duì)此客體訪問(wèn)的權(quán)限。敏感標(biāo)記(SensitivityLabel):用以表示主體或客體安全級(jí)別并描述客體數(shù)據(jù)敏感性的一組信息。在可信計(jì)算基中把敏感標(biāo)記作為強(qiáng)制訪問(wèn)控制決策的依據(jù)。LSM(Li皿xSecurityModule):是Linux系統(tǒng)中一個(gè)靈活的、通用的訪問(wèn)控制框7架，通過(guò)提供一系列關(guān)于程序執(zhí)行(ProgramExecution)、文件系統(tǒng)(FileSystem)、節(jié)點(diǎn)(Inode)、文件(File)、進(jìn)程(Task)、進(jìn)程問(wèn)通信(IPC)等方面的鉤子函數(shù)接口，而由用戶重寫相應(yīng)的安全策略。3.2安全體系結(jié)構(gòu)開發(fā)安全操作系統(tǒng)首先要確定其安全體系結(jié)構(gòu)，通常它包括以下幾個(gè)方面的關(guān)鍵內(nèi)容1)詳細(xì)描述了系統(tǒng)中安全相關(guān)的所有方面；這包括系統(tǒng)可能提供的所有安全服務(wù)以及保護(hù)系統(tǒng)安全的所有安全措施，描述方式可以采用自然語(yǔ)言也可以用形式化語(yǔ)言；2)提出了指導(dǎo)設(shè)計(jì)的基本原理；根據(jù)系統(tǒng)設(shè)計(jì)的要求以及工程設(shè)計(jì)的理論和方法，明確系統(tǒng)設(shè)計(jì)的各個(gè)方面的基本原則；3)在一定的抽象層次上描述各個(gè)安全相關(guān)模塊之間的關(guān)系。這可以用邏輯關(guān)系圖表達(dá)。這在抽象層次上按滿足安全需求的方式描述了系統(tǒng)關(guān)鍵元素之間的關(guān)系；4)提出了開發(fā)過(guò)程中的基本框架及對(duì)應(yīng)于該框架的層次結(jié)構(gòu)；顯然，安全體系結(jié)構(gòu)在整個(gè)開發(fā)過(guò)程中了扮演了指導(dǎo)者的角色，確立它的中心地位，所有開發(fā)者在開發(fā)前需要對(duì)于安全體系必須達(dá)成共識(shí)，并在開發(fā)過(guò)程中自覺(jué)服從于安全體系結(jié)構(gòu)。本說(shuō)明書的中強(qiáng)制訪問(wèn)控制機(jī)制是項(xiàng)目Li皿x高安全等級(jí)操作系統(tǒng)的重要安全功能之一，整個(gè)安全操作系統(tǒng)系統(tǒng)由下到上分為四個(gè)層次即驅(qū)動(dòng)層，內(nèi)核層，系統(tǒng)層和應(yīng)用層，其主要包括強(qiáng)制訪問(wèn)控制執(zhí)行模塊、標(biāo)記管理模塊、管理信息處理模塊，安全初始化模塊以及存儲(chǔ)介質(zhì)加密保護(hù)模塊，整個(gè)系統(tǒng)的模塊結(jié)構(gòu)劃分以及模塊之間的關(guān)系見(jiàn)圖1(見(jiàn)說(shuō)明書附圖1)，圖1是Li皿X安全操作系統(tǒng)中模塊劃分圖，系統(tǒng)的強(qiáng)制訪問(wèn)控制功能主要是由強(qiáng)制訪問(wèn)控制執(zhí)行模塊，標(biāo)記管理模塊以及管理信息處理模塊共同完成的。下面分別描述各模塊的功能1.強(qiáng)制訪問(wèn)控制執(zhí)行模塊強(qiáng)制訪問(wèn)控制執(zhí)行模塊在系統(tǒng)調(diào)用接口位置截取系統(tǒng)執(zhí)行流程，并順序執(zhí)行以下功能參調(diào)用標(biāo)記管理模塊完成系統(tǒng)中主客體的標(biāo)識(shí)和強(qiáng)制訪問(wèn)控制驗(yàn)證工作。參根據(jù)標(biāo)記管理模塊返回的函數(shù)調(diào)用結(jié)果，對(duì)系統(tǒng)調(diào)用行為進(jìn)行裁決。參根據(jù)裁決的結(jié)果，提取該次行為的審計(jì)信息，并將其發(fā)送到管理信息處理模塊。參對(duì)被裁決為非法訪問(wèn)的行為，進(jìn)行返回處理，并返回系統(tǒng)錯(cuò)誤信息給應(yīng)用子系統(tǒng)。2.標(biāo)記管理模塊標(biāo)記管理模塊在系統(tǒng)內(nèi)核層執(zhí)行，完成如下一些安全功能參根據(jù)管理信息處理模塊提供的強(qiáng)制訪問(wèn)控制包，建立內(nèi)核用戶安全列表、客體安全列表和特權(quán)安全列表。參在系統(tǒng)執(zhí)行創(chuàng)建新主體(fork,exec)和創(chuàng)建新客體(open,create)的操作時(shí)，從安全列表中查找對(duì)應(yīng)的安全標(biāo)記，并與主體/客體綁定。參在系統(tǒng)執(zhí)行訪問(wèn)時(shí)，根據(jù)強(qiáng)制訪問(wèn)控制執(zhí)行模塊提供的主體/客體標(biāo)記，對(duì)訪問(wèn)是否符合強(qiáng)制訪問(wèn)控制進(jìn)行判決，如果判決允許，則返回允許結(jié)果給強(qiáng)制訪問(wèn)控制執(zhí)行模塊。參對(duì)不符合強(qiáng)制訪問(wèn)控制的訪問(wèn)，判斷主體是否具有該客體的執(zhí)行特權(quán)，如符合該特權(quán)，則返回特權(quán)允許信息給強(qiáng)制訪問(wèn)控制執(zhí)行模塊，否則返回禁止訪問(wèn)結(jié)果。3.管理信息處理模塊管理信息處理模塊處理與安全管理相關(guān)的信息收發(fā)、篩選，包括強(qiáng)制訪問(wèn)控制模塊的接收和審計(jì)模塊的發(fā)送，具體功能如下參接收安全管理中心發(fā)送的下拉安全管理策略數(shù)據(jù)包，檢查其可信性，即完整性，而后將其解密后發(fā)送給標(biāo)記管理模塊。參接收強(qiáng)制訪問(wèn)控制處理模塊中獲取的審計(jì)信息，對(duì)其進(jìn)行分類篩選，并根據(jù)其優(yōu)先級(jí)次序?qū)徲?jì)信息發(fā)送給審計(jì)子系統(tǒng)。參對(duì)需要完整性驗(yàn)證的客體訪問(wèn)操作，當(dāng)標(biāo)記管理模塊返回不確定結(jié)果時(shí)，強(qiáng)制訪問(wèn)控制執(zhí)行模塊向管理信息處理模塊發(fā)送對(duì)應(yīng)審計(jì)信息，由管理信息處理模塊的完整性驗(yàn)證進(jìn)程執(zhí)行完整性驗(yàn)證功能，并將結(jié)果向標(biāo)記管理模塊發(fā)送，然后通知強(qiáng)制訪問(wèn)控制執(zhí)行模塊。參對(duì)網(wǎng)絡(luò)訪問(wèn)控制行為，當(dāng)標(biāo)記管理模塊返回不確定結(jié)果時(shí)，強(qiáng)制訪問(wèn)控制執(zhí)行模塊向管理信息處理模塊發(fā)送對(duì)應(yīng)審計(jì)信息或執(zhí)行完整性驗(yàn)證功能，管理信息處理模塊據(jù)此組織可信接入申請(qǐng)數(shù)據(jù)包，并向?qū)?yīng)的安全節(jié)點(diǎn)子系統(tǒng)發(fā)送，而后獲取對(duì)應(yīng)節(jié)點(diǎn)的可信接入應(yīng)答數(shù)據(jù)包，返回可信接入確認(rèn)數(shù)據(jù)包，然后通知強(qiáng)制訪問(wèn)控制執(zhí)行模塊。4.安全初始化模塊安全初始化模塊完成功能如下參系統(tǒng)從啟動(dòng)到正常運(yùn)行過(guò)程中基于完整性度量的可信鏈建立，包括TPCM模塊對(duì)BIOS的完整性檢查，BIOS對(duì)可信引導(dǎo)程序的完整性檢查，可信引導(dǎo)程序?qū)尚懦跏枷到y(tǒng)的完整性檢查，可信初始系統(tǒng)對(duì)運(yùn)行環(huán)境的完整性檢查。參在系統(tǒng)引導(dǎo)過(guò)程中，執(zhí)行系統(tǒng)用戶開機(jī)檢查功能，為系統(tǒng)的啟動(dòng)分配初始主體信息。5.存儲(chǔ)介質(zhì)加密保護(hù)模塊存儲(chǔ)介質(zhì)加密保護(hù)模塊對(duì)文件系統(tǒng)向存儲(chǔ)介質(zhì)的讀寫操作執(zhí)行文件粒度的加密保護(hù)功能，防止繞過(guò)系統(tǒng)TCB機(jī)制對(duì)存儲(chǔ)介質(zhì)的直接訪問(wèn)行為導(dǎo)致泄密事故。3.3強(qiáng)制訪問(wèn)控制流程系統(tǒng)在初始化過(guò)程中，安全管理中心需要對(duì)系統(tǒng)中的所有主體和客體實(shí)施身份管理、標(biāo)記管理、授權(quán)管理和策略管理。身份管理是確定系統(tǒng)中的所有合法用戶的身份、工作密鑰、證書等與安全相關(guān)的內(nèi)容。標(biāo)記管理是根據(jù)業(yè)務(wù)系統(tǒng)的需要，結(jié)合客體資源的重要程度，確定系統(tǒng)中所有客體資源的安全級(jí)，生成全局客體標(biāo)記列表，同時(shí)根據(jù)用戶在業(yè)務(wù)系統(tǒng)中的權(quán)限和角色確定主體的安全標(biāo)記，生成全局主體標(biāo)記列表。授權(quán)管理是根據(jù)系統(tǒng)需求和安全狀況，授予用戶訪問(wèn)客體資源能力的權(quán)限，生成強(qiáng)制訪問(wèn)控制列表和特權(quán)列表。策略管理則是根據(jù)節(jié)點(diǎn)系統(tǒng)的需求，生成和執(zhí)行主體相關(guān)的策略，包括強(qiáng)制訪問(wèn)控制策略、級(jí)別改變檢查策略等，供節(jié)點(diǎn)系統(tǒng)執(zhí)行。除此之外，系統(tǒng)審計(jì)員需要通過(guò)安全管理中心制定系統(tǒng)審計(jì)策略，實(shí)施系統(tǒng)的審計(jì)管理。系統(tǒng)初始化完成后，用戶便可以請(qǐng)求訪問(wèn)系統(tǒng)資源，該請(qǐng)求將被強(qiáng)制訪問(wèn)控制模塊截獲。強(qiáng)制訪問(wèn)控制模塊從用戶請(qǐng)求中取出訪問(wèn)控制相關(guān)的主體、客體、操作三要素信息，然后查詢?nèi)种?客體列表，得到主/客體的標(biāo)記信息。進(jìn)而依據(jù)強(qiáng)制訪問(wèn)控制策略對(duì)該請(qǐng)求實(shí)施策略符合性檢查。如果該請(qǐng)求符合系統(tǒng)強(qiáng)制訪問(wèn)控制策略，則系統(tǒng)將允許該主體執(zhí)行資源訪問(wèn)。否則，系統(tǒng)將進(jìn)行級(jí)別改變審核，即依據(jù)級(jí)別改變檢查策略，判斷發(fā)出該請(qǐng)求的主體是否有特權(quán)訪問(wèn)該客體。如果上述檢查通過(guò)，系統(tǒng)同樣允許該主體執(zhí)行資源訪9問(wèn)，否則，該請(qǐng)求將被系統(tǒng)拒絕執(zhí)行。系統(tǒng)強(qiáng)制訪問(wèn)控制機(jī)制在執(zhí)行強(qiáng)制訪問(wèn)控制過(guò)程中，需要根據(jù)系統(tǒng)審計(jì)員制定的審計(jì)策略，對(duì)用戶的請(qǐng)求及安全決策結(jié)果進(jìn)行審計(jì)，并且將生成的審計(jì)信息發(fā)送到審計(jì)服務(wù)器存儲(chǔ)，供審計(jì)員管理。圖2是強(qiáng)制訪問(wèn)控制實(shí)施流程圖(見(jiàn)說(shuō)明書附圖2)，其給出了系統(tǒng)中強(qiáng)制訪問(wèn)控制執(zhí)行的流程。3.4支撐模型強(qiáng)制訪問(wèn)控制機(jī)制應(yīng)該建立在形式化的安全模型之上。經(jīng)典的BLP模型是一個(gè)最早提出的防止敏感信息泄漏的機(jī)密性安全模型，而Biba模型是一個(gè)防止信息被非法的篡改和破壞的完整性模型。在當(dāng)前復(fù)雜的計(jì)算環(huán)境下，在防止信息泄漏的基礎(chǔ)上應(yīng)該防止信息被非授權(quán)的修改，即在保護(hù)敏感信息機(jī)密性的同時(shí)保護(hù)信息的完整性，因此需要一個(gè)兼顧信息機(jī)密性和完整性的二元多級(jí)安全模型。以下是在實(shí)現(xiàn)安全操作系統(tǒng)時(shí)，所采用的安全策略模型的形式化描述定義1主體、客體及操作S為主體的集合，O為客體的集合，而A={r，W，a，e}表示主體對(duì)于客體訪問(wèn)方式的集合，其中r為讀訪問(wèn)，w為寫訪問(wèn)，a為追加寫訪問(wèn)，e為執(zhí)行訪問(wèn)。定義2機(jī)密性等級(jí)集合Lc為機(jī)密性等級(jí)集合，4^W:)，"C,Ae;^，其中Cf為正整數(shù)保密級(jí)函數(shù)集合，V^，CeC,，Cm>Cn表示保密級(jí)Cm大于保密級(jí)Cn。K。={、，1^，……，kn}為非等級(jí)機(jī)密性范疇，V&,*2e￡*2表示、包含于k2。定義Le上的滿足偏序特性的"支配"關(guān)系^，設(shè)L=(q，k》GLc，l2=(c2，k2)G>12當(dāng)且僅當(dāng)Cl>C2A2&。定義3完整性等級(jí)集合L工為完整性等級(jí)集合，A^(ai)，'-e/,，《e/^，其中l(wèi)f為正整數(shù)完整級(jí)函數(shù)集合，V'"e/,，im>k表示完整級(jí)im大于完整級(jí)in。&={、，k2，……，kn}為非等級(jí)完整性范疇，v^^e/:,Ae&表示、包含于b，設(shè)定義L工上的滿足偏序特性的"支配"關(guān)系^，"=(Cl，k》GLi，12=(C2，k2)GLi，">12當(dāng)且僅當(dāng)">i2，^2^。定義4系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)v，集合V中的元素vGV={BXMXFXIXH}為一個(gè)系統(tǒng)狀態(tài)，其中當(dāng)前存取集B:對(duì)于b=(sXoXa)GB，sGS，oG0，aGA表示主體s以a的方式對(duì)于客體o進(jìn)行訪問(wèn)；存取控制矩陣M:M={M是矩陣IGM是主體Si對(duì)于客體0j的訪問(wèn)權(quán)限集合};機(jī)密級(jí)等級(jí)函數(shù)F:是由三個(gè)分量組成，即f={fs，f。，f。}，t為主體最大機(jī)密級(jí)函數(shù)，fs(S)GL。表示主體最大機(jī)密級(jí)；f。為主體當(dāng)前機(jī)密級(jí)函數(shù)，f。(S)GL。為主體當(dāng)前機(jī)密級(jí)；f。為客體機(jī)密級(jí)函數(shù)，f。(s)GL。為客體機(jī)密級(jí)。完整級(jí)等級(jí)函數(shù)I:是由三個(gè)分量組成，I={Is，Ie，1。}，Is為主體最大完整級(jí)函數(shù)，Is(S)GLi表示主體最大完整級(jí)；I。為主體當(dāng)前完整級(jí)函數(shù)，I。(S)GLi為主體當(dāng)前完整級(jí)；1。為客體完整級(jí)函數(shù)，I。(s)GLi為客體完整級(jí)。客體間的層次結(jié)構(gòu)H:H=仏lhGP(0)°八屬性1八屬性2}。屬性1:V。,eO，Vo;eO畫(o,)n)=0);屬性2:!3{o"o2,o3,……0ll,}eO[VK"A^W=>0r+,e//(or))n(0+I規(guī)則l:擴(kuò)展自主安全—個(gè)狀態(tài)v=(bXmXfXiXh)滿足可信自主安全，當(dāng)且僅當(dāng)",。,)"-^e^;規(guī)則2:擴(kuò)展簡(jiǎn)單安全—個(gè)狀態(tài)v=(bXmXfXiXh)對(duì)于主體集S，sGS滿足可信擴(kuò)展簡(jiǎn)單安全，當(dāng)且僅當(dāng)Cs,o,;c)e6=>a)x=e;b)x=r，并且fs(s)>f。(o);c)x=a，并且Is(s)》I。(o);d)x=w，并且fs(s)》f。(o)，Is(s)>I。(o);規(guī)則3:擴(kuò)展讀安全—個(gè)狀態(tài)v=(bXmXfXiXh)對(duì)于非可信主體Sut，sGSut滿足擴(kuò)展讀安全，當(dāng)且僅當(dāng)(s，o,。e6:=>a)fc(s)>f0(o)，Ic(s)《I0(o);b)fc(s)>f0(o)，Ic(s)〉I0(o)，ifsGSt;c)fc(s)<f0(o)，Ic(s)《I0(o)，ifsGSt;規(guī)則4:擴(kuò)展追加寫安全—個(gè)狀態(tài)v=(bXmXfXiXh)對(duì)于非可信主體Sut，sGSut滿足擴(kuò)展讀安全，當(dāng)且僅當(dāng)a)"-a)fc(s)《f0(o)，Ic(s)>I0(o)，ifsGSt;b)fc(s)>f0(o)，Ic(s)>I0(o)，ifsGSt;c)fc(s)《f0(o)，Ic(s)<I0(o)，ifsGSt;規(guī)則5:擴(kuò)展寫安全—個(gè)狀態(tài)v二(bXmXfXiXh)對(duì)于非可信主體Sut滿足擴(kuò)展寫安全，當(dāng)且僅當(dāng)(■s,o,w)"=>a)fc(s)=f0(o)，Ic(s)=I0(o);b)fc(s)=f0(o)，Ic(s)<I0(o)，ifsGSt;c)fc(s)=fo(o)，Ic(s)>I0(o)，ifsGSt;d)fc(s)>f0(o)，Ic(s)=I0(o)，ifsGSt;e)fc(s)<f0(o)，Ic(s)=I0(o)，ifsGSt;3.5數(shù)據(jù)結(jié)構(gòu)和鉤子函數(shù)〃強(qiáng)制訪問(wèn)控制標(biāo)記typedefstructtagMAC》bel{BYTEConfLevel;〃保密級(jí)別BYTEInteLevel;〃完整級(jí)別BYTESecClass[8];〃主/客體機(jī)密性范疇BYTEInteClass[8];〃主/客體完整性范疇}—attribute—((packed))MAC—LABEL;級(jí)別的-〃系統(tǒng)主體標(biāo)記數(shù)據(jù)結(jié)構(gòu)typedefstructtagSubjectLabel{V_StringSubName;〃主體名稱V_StringG麗pName;〃主體組名稱MAC_LABELSubLabel;〃主體強(qiáng)制訪控標(biāo)識(shí)BYTESubType;〃主/客體類型}—attribute—((packed))SUB—LABEL;〃系統(tǒng)客體標(biāo)記數(shù)據(jù)結(jié)構(gòu)typedefstructtag0bjectLabel{V_StringObjName;〃客體名稱MAC_LABELObjLabel;〃客體強(qiáng)制訪控標(biāo)識(shí)BYTEObjType;〃客體類型DWORDCheckS咖；〃客體校驗(yàn)值}—attribute—((packed))OBJ—LABEL;強(qiáng)制訪問(wèn)判斷函數(shù)這是我們系統(tǒng)中的一個(gè)關(guān)鍵函數(shù)，該函數(shù)的在是對(duì)于上述安全支撐策略的在編程^個(gè)實(shí)現(xiàn)。intlabel_mac_verify(SUB_LABEL*sub)_label，OBJ_LABEL*obj_label，BYTEmode){BYTEtest—mode;test—mode=0;〃如果雙方處于不同域，則返回自主訪問(wèn)控制失敗if(sub_label_〉SubLabel.SecClass==obj_label_〉ObjLabel.SecClass)returnVERIFY_DAC_FAILED;〃如果主體保密級(jí)別不低于客體級(jí)別，主體完整級(jí)別不高于〃客體級(jí)別，則主體可讀客體.if(sub_label_〉SubLabel.ConfLevel〉=obj_label_〉ObjLabel.ConfLevel)if(sub_label_〉SubLabel.InteLeve1〈=obj_label_〉ObjLabel.InteLevel)testmodeOPERATION_TYPE_READ;〃如果主體保密級(jí)別不高于客體級(jí)別，主體完整級(jí)別不低于〃客體級(jí)別，則主體可寫客體.if(sub_label_〉SubLabel.ConfLeve1〈=obj_label_>0b幾abel.ConfLevel)if(sub_label_>SubLabel.InteLevel〉obj_label_>0b幾abel.InteLevel)testmodeI=OPERATIONTYPEWRITE〃如果主體保密級(jí)別不低于客體保密級(jí)別，主體完整級(jí)別不高于客體級(jí)別，〃則主體可執(zhí)行客體.if(sub_label_>SubLabel.ConfLevel>=obj_label_>0b幾abel.ConfLevel)if(sub_label_>SubLabel.InteLeve1〈=obj_label_>0b幾abel.InteLevel)test—mode|=0PERATI0N_TYPE_EXEC;〃檢查操作是否與權(quán)限一致if((mode&test—mode)!=mode)returnVERIFY_MAC_FAILED;returnVERIFY_MAC_SUCCESS;下表1給出了對(duì)于系統(tǒng)中文件進(jìn)行強(qiáng)制訪問(wèn)控制中所選取的鉤子函數(shù)及說(shuō)明,<table>tableseeoriginaldocumentpage14</column></row><table>鉤子函數(shù)名稱功能說(shuō)明staticintos210_inode_rmdir(structinode氺inode，structdentry氺dentry)檢查刪除目錄的權(quán)限。staticintos210_inode_rename(structinode*old_inode，structdentry氺old—dentry，structinode*new_inode，structdentry*new_dentry)檢查重命名一個(gè)文件或目錄權(quán)限。staticintos210—inode—setattr(structdentry氺dentry，structiattr氺iattr)在設(shè)置文件屬性前檢查權(quán)限。只要文件屬性發(fā)生改變(如文件被截尾，改變文件屬主、改變文件模式、傳送磁盤配額等)，核心就會(huì)在多個(gè)位置調(diào)用notify_change。staticintos210_inode_getattr(structvfsmount氺nrnt，structdentry氺dentry)檢查是否允許讀文件屬性。CN101727545A眾s步10/12X<table>tableseeoriginaldocumentpage16</column></row><table>表l,3.6優(yōu)/3.6.ULSM能句核版本中為必選項(xiàng)目。3.6.2靈活性好可以根據(jù)當(dāng)前的安全需求和安全策略，重寫鉤子函數(shù)，來(lái)實(shí)現(xiàn)不同的安全目標(biāo)，例如，能夠支持單一的機(jī)密性目標(biāo)或完整性目標(biāo)，或同時(shí)支持機(jī)密性和完整性目標(biāo)。3.6.3效率高相關(guān)實(shí)驗(yàn)和性能測(cè)試表明，使用LSM鉤子函數(shù)對(duì)于系統(tǒng)的開銷影響不大。3.6.3易于使用和開發(fā)由于不是在安全操作系統(tǒng)內(nèi)核級(jí)開發(fā)，對(duì)于開發(fā)者的門檻要求比較低，可以通過(guò)模塊的形式進(jìn)行掛載和卸載。具體實(shí)施例方式本發(fā)明闡述了一種安全操作系統(tǒng)強(qiáng)制訪問(wèn)控制機(jī)制的實(shí)施方法，它基于Li皿x安全模塊(LinuxSecurityModule)框架，包括4個(gè)部分安全體系結(jié)構(gòu)、強(qiáng)制訪問(wèn)控制流程、強(qiáng)制訪問(wèn)控制策略模型、關(guān)鍵的數(shù)據(jù)結(jié)構(gòu)。通過(guò)這四個(gè)部分，就可以勾勒出一個(gè)實(shí)施強(qiáng)制訪問(wèn)控制的大體框架。該方法具有通用性好、靈活性好，效率高和易于使用和開發(fā)的優(yōu)點(diǎn)。權(quán)利要求本專利權(quán)利要求主要包括安全體系結(jié)構(gòu)、強(qiáng)制訪問(wèn)控制流程和強(qiáng)制訪問(wèn)控制支撐模型三項(xiàng)1.安全體系結(jié)構(gòu)的劃分強(qiáng)制訪問(wèn)控制機(jī)制是安全Linux操作系統(tǒng)的重要部分，整個(gè)系統(tǒng)主要包括強(qiáng)制訪問(wèn)控制執(zhí)行模塊、標(biāo)記管理模塊、管理信息處理模塊、安全初始化模塊以及存儲(chǔ)介質(zhì)加密保護(hù)模塊，模塊的關(guān)系在附圖1，以下是各個(gè)模塊的關(guān)系。1)強(qiáng)制訪問(wèn)控制執(zhí)行模塊強(qiáng)制訪問(wèn)控制執(zhí)行模塊在系統(tǒng)調(diào)用接口位置截取系統(tǒng)執(zhí)行流程，并順序執(zhí)行以下功能●調(diào)用標(biāo)記管理模塊完成系統(tǒng)中主客體的標(biāo)識(shí)和強(qiáng)制訪問(wèn)控制驗(yàn)證工作?！窀鶕?jù)標(biāo)記管理模塊返回的函數(shù)調(diào)用結(jié)果，對(duì)系統(tǒng)調(diào)用行為進(jìn)行裁決?！窀鶕?jù)裁決的結(jié)果，提取該次行為的審計(jì)信息，并將其發(fā)送到管理信息處理模塊。●對(duì)被裁決為非法訪問(wèn)的行為，進(jìn)行返回處理，并返回系統(tǒng)錯(cuò)誤信息給應(yīng)用子系統(tǒng)。2)標(biāo)記管理模塊標(biāo)記管理模塊在系統(tǒng)內(nèi)核層執(zhí)行，完成如下一些安全功能●根據(jù)管理信息處理模塊提供的強(qiáng)制訪問(wèn)控制包，建立內(nèi)核用戶安全列表、客體安全列表和特權(quán)安全列表?！裨谙到y(tǒng)執(zhí)行創(chuàng)建新主體(fork，exec)和創(chuàng)建新客體(open，create)的操作時(shí)，從安全列表中查找對(duì)應(yīng)的安全標(biāo)記，并與主體/客體綁定?！裨谙到y(tǒng)執(zhí)行訪問(wèn)時(shí)，根據(jù)強(qiáng)制訪問(wèn)控制執(zhí)行模塊提供的主體/客體標(biāo)記，對(duì)訪問(wèn)是否符合強(qiáng)制訪問(wèn)控制進(jìn)行判決，如果判決允許，則返回允許結(jié)果給強(qiáng)制訪問(wèn)控制執(zhí)行模塊?！駥?duì)不符合強(qiáng)制訪問(wèn)控制的訪問(wèn)，判斷主體是否具有該客體的執(zhí)行特權(quán)，如符合該特權(quán)，則返回特權(quán)允許信息給強(qiáng)制訪問(wèn)控制執(zhí)行模塊，否則返回禁止訪問(wèn)結(jié)果。3)管理信息處理模塊管理信息處理模塊處理與安全管理相關(guān)的信息收發(fā)、篩選，包括強(qiáng)制訪問(wèn)控制模塊的接收和審計(jì)模塊的發(fā)送，具體功能如下●接收安全管理中心發(fā)送的下拉安全管理策略數(shù)據(jù)包，檢查其可信性，即完整性，而后將其解密后發(fā)送給標(biāo)記管理模塊。●接收強(qiáng)制訪問(wèn)控制處理模塊中獲取的審計(jì)信息，對(duì)其進(jìn)行分類篩選，并根據(jù)其優(yōu)先級(jí)次序?qū)徲?jì)信息發(fā)送給審計(jì)子系統(tǒng)?！駥?duì)需要完整性驗(yàn)證的客體訪問(wèn)操作，當(dāng)標(biāo)記管理模塊返回不確定結(jié)果時(shí)，強(qiáng)制訪問(wèn)控制執(zhí)行模塊向管理信息處理模塊發(fā)送對(duì)應(yīng)審計(jì)信息，由管理信息處理模塊的完整性驗(yàn)證進(jìn)程執(zhí)行完整性驗(yàn)證功能，并將結(jié)果向標(biāo)記管理模塊發(fā)送，然后通知強(qiáng)制訪問(wèn)控制執(zhí)行模塊?！駥?duì)網(wǎng)絡(luò)訪問(wèn)控制行為，當(dāng)標(biāo)記管理模塊返回不確定結(jié)果時(shí)，強(qiáng)制訪問(wèn)控制執(zhí)行模塊向管理信息處理模塊發(fā)送對(duì)應(yīng)審計(jì)信息或執(zhí)行完整性驗(yàn)證功能，管理信息處理模塊據(jù)此組織可信接入申請(qǐng)數(shù)據(jù)包，并向?qū)?yīng)的安全節(jié)點(diǎn)子系統(tǒng)發(fā)送，而后獲取對(duì)應(yīng)節(jié)點(diǎn)的可信接入應(yīng)答數(shù)據(jù)包，返回可信接入確認(rèn)數(shù)據(jù)包，然后通知強(qiáng)制訪問(wèn)控制執(zhí)行模塊。4)安全初始化模塊安全初始化模塊完成功能如下●系統(tǒng)從啟動(dòng)到正常運(yùn)行過(guò)程中基于完整性度量的可信鏈建立，包括TPCM模塊對(duì)BIOS的完整性檢查，BIOS對(duì)可信引導(dǎo)程序的完整性檢查，可信引導(dǎo)程序?qū)尚懦跏枷到y(tǒng)的完整性檢查，可信初始系統(tǒng)對(duì)運(yùn)行環(huán)境的完整性檢查。●在系統(tǒng)引導(dǎo)過(guò)程中，執(zhí)行系統(tǒng)用戶開機(jī)檢查功能，為系統(tǒng)的啟動(dòng)分配初始主體信息。5)存儲(chǔ)介質(zhì)加密保護(hù)模塊存儲(chǔ)介質(zhì)加密保護(hù)模塊對(duì)文件系統(tǒng)向存儲(chǔ)介質(zhì)的讀寫操作執(zhí)行文件粒度的加密保護(hù)功能，防止繞過(guò)系統(tǒng)TCB機(jī)制對(duì)存儲(chǔ)介質(zhì)的直接訪問(wèn)行為導(dǎo)致泄密事故。注其具體劃分參加說(shuō)明書附圖1。2.強(qiáng)制訪問(wèn)控制實(shí)施流程系統(tǒng)在初始化過(guò)程中，安全管理中心需要對(duì)系統(tǒng)中的所有主體和客體實(shí)施身份管理、標(biāo)記管理、授權(quán)管理和策略管理。身份管理是確定系統(tǒng)中的所有合法用戶的身份、工作密鑰、證書等與安全相關(guān)的內(nèi)容。標(biāo)記管理是根據(jù)業(yè)務(wù)系統(tǒng)的需要，結(jié)合客體資源的重要程度，確定系統(tǒng)中所有客體資源的安全級(jí)，生成全局客體標(biāo)記列表，同時(shí)根據(jù)用戶在業(yè)務(wù)系統(tǒng)中的權(quán)限和角色確定主體的安全標(biāo)記，生成全局主體標(biāo)記列表。授權(quán)管理是根據(jù)系統(tǒng)需求和安全狀況，授予用戶訪問(wèn)客體資源能力的權(quán)限，生成強(qiáng)制訪問(wèn)控制列表和特權(quán)列表。策略管理則是根據(jù)節(jié)點(diǎn)系統(tǒng)的需求，生成和執(zhí)行主體相關(guān)的策略，包括強(qiáng)制訪問(wèn)控制策略、級(jí)別改變檢查策略等，供節(jié)點(diǎn)系統(tǒng)執(zhí)行。除此之外，系統(tǒng)審計(jì)員需要通過(guò)安全管理中心制定系統(tǒng)審計(jì)策略，實(shí)施系統(tǒng)的審計(jì)管理。系統(tǒng)初始化完成后，用戶便可以請(qǐng)求訪問(wèn)系統(tǒng)資源，該請(qǐng)求將被強(qiáng)制訪問(wèn)控制模塊截獲。強(qiáng)制訪問(wèn)控制模塊從用戶請(qǐng)求中取出訪問(wèn)控制相關(guān)的主體、客體、操作三要素信息，然后查詢?nèi)种?客體列表，得到主/客體的標(biāo)記信息。進(jìn)而依據(jù)強(qiáng)制訪問(wèn)控制策略對(duì)該請(qǐng)求實(shí)施策略符合性檢查。如果該請(qǐng)求符合系統(tǒng)強(qiáng)制訪問(wèn)控制策略，則系統(tǒng)將允許該主體執(zhí)行資源訪問(wèn)。否則，系統(tǒng)將進(jìn)行級(jí)別改變審核，即依據(jù)級(jí)別改變檢查策略，判斷發(fā)出該請(qǐng)求的主體是否有特權(quán)訪問(wèn)該客體。如果上述檢查通過(guò)，系統(tǒng)同樣允許該主體執(zhí)行資源訪問(wèn)，否則，該請(qǐng)求將被系統(tǒng)拒絕執(zhí)行。系統(tǒng)強(qiáng)制訪問(wèn)控制機(jī)制在執(zhí)行強(qiáng)制訪問(wèn)控制過(guò)程中，需要根據(jù)系統(tǒng)審計(jì)員制定的審計(jì)策略，對(duì)用戶的請(qǐng)求及安全決策結(jié)果進(jìn)行審計(jì)，并且將生成的審計(jì)信息發(fā)送到審計(jì)服務(wù)器存儲(chǔ)，供審計(jì)員管理。注其具體流程參加說(shuō)明書附圖2。3.強(qiáng)制訪問(wèn)控制的支撐模型二元多級(jí)安全模型強(qiáng)制訪問(wèn)控制機(jī)制應(yīng)該建立在形式化的安全模型之上。經(jīng)典的BLP模型是一個(gè)最早提出的防止敏感信息泄漏的機(jī)密性安全模型，而Biba模型是一個(gè)防止信息被非法的篡改和破壞的完整性模型。在當(dāng)前復(fù)雜的計(jì)算環(huán)境下，在防止信息泄漏的基礎(chǔ)上應(yīng)該防止信息被非授權(quán)的修改，即在保護(hù)敏感信息機(jī)密性的同時(shí)保護(hù)信息的完整性，因此需要一個(gè)兼顧信息機(jī)密性和完整性的二元多級(jí)安全模型。以下是在實(shí)現(xiàn)安全操作系統(tǒng)時(shí)，所采用的安全策略模型的形式化描述定義1主體、客體及操作S為主體的集合，O為客體的集合，而A＝{r，w，a，e}表示主體對(duì)于客體訪問(wèn)方式的集合，其中r為讀訪問(wèn)，w為寫訪問(wèn)，a為追加寫訪問(wèn)，e為執(zhí)行訪問(wèn)。定義2機(jī)密性等級(jí)集合LC為機(jī)密性等級(jí)集合，其中Cf為正整數(shù)保密級(jí)函數(shù)集合，cm＞cn表示保密級(jí)cm大于保密級(jí)cn。Kc＝{k1，k2，....，kn}為非等級(jí)機(jī)密性范疇，表示k1包含于k2。定義LC上的滿足偏序特性的“支配”關(guān)系≥，設(shè)l1＝(c1，k1)∈Lc，l2＝(c2，k2)∈Lc，l1≥l2當(dāng)且僅當(dāng)c1≥c2，定義3完整性等級(jí)集合LI為完整性等級(jí)集合，其中If為正整數(shù)完整級(jí)函數(shù)集合，im＞in表示完整級(jí)im大于完整級(jí)in。Ki＝{k1，k2，....，kn}為非等級(jí)完整性范疇，表示k1包含于k2，設(shè)定義LI上的滿足偏序特性的“支配”關(guān)系≥，l1＝(c1，k1)∈Li，l2＝(c2，k2)∈Li，l1≥l2當(dāng)且僅當(dāng)i1≥i2，定義4系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)v，集合V中的元素v∈V＝{B×M×F×I×H}為一個(gè)系統(tǒng)狀態(tài)，其中當(dāng)前存取集B對(duì)于b＝(s×o×a)∈B，s∈S，o∈O，a∈A表示主體s以a的方式對(duì)于客體o進(jìn)行訪問(wèn)；存取控制矩陣MM＝{M是矩陣|mij∈M是主體si對(duì)于客體oj的訪問(wèn)權(quán)限集合}；機(jī)密級(jí)等級(jí)函數(shù)F是由三個(gè)分量組成，即f＝{fs，fc，fo}，fs為主體最大機(jī)密級(jí)函數(shù)，fs(s)∈Lc表示主體最大機(jī)密級(jí)；fc為主體當(dāng)前機(jī)密級(jí)函數(shù)，fc(s)∈Lc為主體當(dāng)前機(jī)密級(jí)；fo為客體機(jī)密級(jí)函數(shù)，fo(s)∈Lc為客體機(jī)密級(jí)。完整級(jí)等級(jí)函數(shù)I是由三個(gè)分量組成，I＝{Is，Ic，Io}，Is為主體最大完整級(jí)函數(shù)，Is(s)∈Li表示主體最大完整級(jí)；Lc為主體當(dāng)前完整級(jí)函數(shù)，Ic(s)∈Li為主體當(dāng)前完整級(jí)；Io為客體完整級(jí)函數(shù)，Io(s)∈Li為客體完整級(jí)。客體間的層次結(jié)構(gòu)HH＝{h|h∈P(O)o∩屬性1∩屬性2}。屬性1<mrow><mo>&ForAll;</mo><msub><mi>o</mi><mi>i</mi></msub><mo>&Element;</mo><mi>O</mi><mo>,</mo><mo>&ForAll;</mo><msub><mi>o</mi><mi>j</mi></msub><mo>&Element;</mo><mi>O</mi><mo>,</mo><mrow><mo>(</mo><msub><mi>o</mi><mi>i</mi></msub><mo>&NotEqual;</mo><msub><mi>o</mi><mi>j</mi></msub><mo>&DoubleRightArrow;</mo><mi>H</mi><mrow><mo>(</mo><msub><mi>o</mi><mi>i</mi></msub><mo>)</mo></mrow><mo>&cap;</mo><mi>H</mi><mrow><mo>(</mo><msub><mi>o</mi><mi>j</mi></msub><mo>)</mo></mrow><mo>=</mo><mi>&phi;</mi><mo>)</mo></mrow><mo>;</mo></mrow>屬性2<mrow><mo>!</mo><mo>&Exists;</mo><mo>{</mo><msub><mi>o</mi><mn>1</mn></msub><mo>,</mo><msub><mi>o</mi><mn>2</mn></msub><mo>,</mo><msub><mi>o</mi><mn>3</mn></msub><mo>,</mo><mo>.</mo><mo>.</mo><mo>.</mo><mo>.</mo><mo>.</mo><mo>.</mo><msub><mi>o</mi><mi>w</mi></msub><mo>}</mo><mo>&SubsetEqual;</mo><mi>O</mi><mo>[</mo><mo>&ForAll;</mo><mi>r</mi><mrow><mo>(</mo><mn>1</mn><mo>&le;</mo><mi>r</mi><mo>&le;</mo><mi>w</mi><mo>&DoubleRightArrow;</mo><msub><mi>o</mi><mrow><mi>r</mi><mo>+</mo><mn>1</mn></mrow></msub><mo>&Element;</mo><mi>H</mi><mrow><mo>(</mo><msub><mi>o</mi><mi>r</mi></msub><mo>)</mo></mrow><mo>)</mo></mrow><mo>&cap;</mo><mrow><mo>(</mo><msub><mi>o</mi><mrow><mi>w</mi><mo>+</mo><mn>1</mn></mrow></msub><mo>&equiv;</mo><msub><mi>o</mi><mn>1</mn></msub><mo>)</mo></mrow><mo>]</mo></mrow>規(guī)則1擴(kuò)展自主安全一個(gè)狀態(tài)v＝(b×m×f×i×h)滿足可信自主安全，當(dāng)且僅當(dāng)規(guī)則2擴(kuò)展簡(jiǎn)單安全一個(gè)狀態(tài)v＝(b×m×f×i×h)對(duì)于主體集S，s∈S滿足可信擴(kuò)展簡(jiǎn)單安全，當(dāng)且僅當(dāng)<mrow><mrow><mo>(</mo><mi>s</mi><mo>,</mo><mi>o</mi><mo>,</mo><mi>x</mi><mo>)</mo></mrow><mo>&Element;</mo><mi>b</mi><mo>&DoubleRightArrow;</mo></mrow>a)x＝e；b)x＝r，并且fs(s)≥fo(o)；c)x＝a，并且Is(s)≥Io(o)；d)x＝w，并且fs(s)≥fo(o)，Is(s)≥Io(o)；規(guī)則3擴(kuò)展讀安全一個(gè)狀態(tài)v＝(b×m×f×i×h)對(duì)于非可信主體Sut，s∈Sut滿足擴(kuò)展讀安全，當(dāng)且僅當(dāng)<mrow><mrow><mo>(</mo><mi>s</mi><mo>,</mo><mi>o</mi><mo>,</mo><mi>r</mi><mo>)</mo></mrow><mo>&Element;</mo><mi>b</mi><mo>&DoubleRightArrow;</mo></mrow>a)fc(s)≥fo(o)，Ic(s)≤Io(o)；b)fc(s)≥fo(o)，Ic(s)＞Io(o)，ifs∈St；c)fc(s)＜fo(o)，Ic(s)≤Io(o)，ifs∈St；規(guī)則4擴(kuò)展追加寫安全一個(gè)狀態(tài)v＝(b×m×f×i×h)對(duì)于非可信主體Sut，s∈Sut滿足擴(kuò)展讀安全，當(dāng)且僅當(dāng)<mrow><mrow><mo>(</mo><mi>s</mi><mo>,</mo><mi>o</mi><mo>,</mo><mi>a</mi><mo>)</mo></mrow><mo>&Element;</mo><mi>b</mi><mo>&DoubleRightArrow;</mo></mrow>a)fc(s)≤fo(o)，Ic(s)≥Io(o)，ifs∈St；b)fc(s)＞fo(o)，Ic(s)≥Io(o)，ifs∈St；c)fc(s)≤fo(o)，Ic(s)＜Io(o)，ifs∈St；規(guī)則5擴(kuò)展寫安全一個(gè)狀態(tài)v＝(b×m×f×i×h)對(duì)于非可信主體Sut滿足擴(kuò)展寫安全，當(dāng)且僅當(dāng)a)fc(s)＝fo(o)，Ic(s)＝Io(o)；b)fc(s)＝fo(o)，Ic(s)＜Io(o)，ifs∈St；c)fc(s)＝fo(o)，Ic(s)＞Io(o)，ifs∈St；d)fc(s)＞fo(o)，Ic(s)＝Io(o)，ifs∈St；e)fc(s)＜fo(o)，Ic(s)＝Io(o)，ifs∈St。F2008101675600C0000031.tif,F2008101675600C0000032.tif,F2008101675600C0000033.tif,F2008101675600C0000034.tif,F2008101675600C0000035.tif,F2008101675600C0000036.tif,F2008101675600C0000037.tif,F2008101675600C0000038.tif,F2008101675600C0000039.tif,F2008101675600C00000310.tif,F2008101675600C00000313.tif,F2008101675600C0000043.tif2.強(qiáng)制訪問(wèn)控制實(shí)施流程系統(tǒng)在初始化過(guò)程中，安全管理中心需要對(duì)系統(tǒng)中的所有主體和客體實(shí)施身份管理、標(biāo)記管理、授權(quán)管理和策略管理。身份管理是確定系統(tǒng)中的所有合法用戶的身份、工作密鑰、證書等與安全相關(guān)的內(nèi)容。標(biāo)記管理是根據(jù)業(yè)務(wù)系統(tǒng)的需要，結(jié)合客體資源的重要程度，確定系統(tǒng)中所有客體資源的安全級(jí)，生成全局客體標(biāo)記列表，同時(shí)根據(jù)用戶在業(yè)務(wù)系統(tǒng)中的權(quán)限和角色確定主體的安全標(biāo)記，生成全局主體標(biāo)記列表。授權(quán)管理是根據(jù)系統(tǒng)需求和安全狀況，授予用戶訪問(wèn)客體資源能力的權(quán)限，生成強(qiáng)制訪問(wèn)控制列表和特權(quán)列表。策略管理則是根據(jù)節(jié)點(diǎn)系統(tǒng)的需求，生成和執(zhí)行主體相關(guān)的策略，包括強(qiáng)制訪問(wèn)控制策略、級(jí)別改變檢查策略等，供節(jié)點(diǎn)系統(tǒng)執(zhí)行。除此之外，系統(tǒng)審計(jì)員需要通過(guò)安全管理中心制定系統(tǒng)審計(jì)策略，實(shí)施系統(tǒng)的審計(jì)管理。系統(tǒng)初始化完成后，用戶便可以請(qǐng)求訪問(wèn)系統(tǒng)資源，該請(qǐng)求將被強(qiáng)制訪問(wèn)控制模塊截獲。強(qiáng)制訪問(wèn)控制模塊從用戶請(qǐng)求中取出訪問(wèn)控制相關(guān)的主體、客體、操作三要素信息，然后查詢?nèi)种?客體列表，得到主/客體的標(biāo)記信息。進(jìn)而依據(jù)強(qiáng)制訪問(wèn)控制策略對(duì)該請(qǐng)求實(shí)施策略符合性檢查。如果該請(qǐng)求符合系統(tǒng)強(qiáng)制訪問(wèn)控制策略，則系統(tǒng)將允許該主體執(zhí)行資源訪問(wèn)。否則，系統(tǒng)將進(jìn)行級(jí)別改變審核，即依據(jù)級(jí)別改變檢查策略，判斷發(fā)出該請(qǐng)求的主體是否有特權(quán)訪問(wèn)該客體。如果上述檢查通過(guò)，系統(tǒng)同樣允許該主體執(zhí)行資源訪問(wèn)，否則，該請(qǐng)求將被系統(tǒng)拒絕執(zhí)行。系統(tǒng)強(qiáng)制訪問(wèn)控制機(jī)制在執(zhí)行強(qiáng)制訪問(wèn)控制過(guò)程中，需要根據(jù)系統(tǒng)審計(jì)員制定的審計(jì)策略，對(duì)用戶的請(qǐng)求及安全決策結(jié)果進(jìn)行審計(jì)，并且將生成的審計(jì)信息發(fā)送到審計(jì)服務(wù)器存儲(chǔ)，供審計(jì)員管理。注其具體流程參加說(shuō)明書附圖2。3.強(qiáng)制訪問(wèn)控制的支撐模型二元多級(jí)安全模型強(qiáng)制訪問(wèn)控制機(jī)制應(yīng)該建立在形式化的安全模型之上。經(jīng)典的BLP模型是一個(gè)最早提出的防止敏感信息泄漏的機(jī)密性安全模型，而Biba模型是一個(gè)防止信息被非法的篡改和破壞的完整性模型。在當(dāng)前復(fù)雜的計(jì)算環(huán)境下，在防止信息泄漏的基礎(chǔ)上應(yīng)該防止信息被非授權(quán)的修改，即在保護(hù)敏感信息機(jī)密性的同時(shí)保護(hù)信息的完整性，因此需要一個(gè)兼顧信息機(jī)密性和完整性的二元多級(jí)安全模型。以下是在實(shí)現(xiàn)安全操作系統(tǒng)時(shí)，所采用的安全策略模型的形式化描述定義1主體、客體及操作S為主體的集合，O為客體的集合，而A={r，W，a，e}表示主體對(duì)于客體訪問(wèn)方式的集合，其中r為讀訪問(wèn)，w為寫訪問(wèn)，a為追加寫訪問(wèn)，e為執(zhí)行訪問(wèn)。定義2機(jī)密性等級(jí)集合Le為機(jī)密性等級(jí)集合，々=c^)，ceC,入e，其中Cf為正整數(shù)保密級(jí)函數(shù)集合，V^、eC,，Cm〉表示保密級(jí)Cm大于保密級(jí)Cn。K。={、，1^，....，、}為非等級(jí)機(jī)密性范疇，V、^eA，^G^表示、包含于k2。定義k上的滿足偏序特性的"支配"關(guān)系^，設(shè)"二(c"k》GLC，12=(C2，k2)GLc，"^l2當(dāng)且僅當(dāng)q^C2，^3A:2。定義3完整性等級(jí)集合L工為完整性等級(jí)集合，^-Ka,ye/,As/^，其中If為正整數(shù)完整級(jí)函數(shù)集合，V^，/，^/,，im〉in表示完整級(jí)im大于完整級(jí)in。{、，k2，....，kn}為非等級(jí)完整性范疇，V&Ae&As&表示、包含于b，設(shè)定義L工上的滿足偏序特性的"支配"關(guān)系>，l丄=(Cl，k》gLi，12=(C2，k2)gLi，l丄>12當(dāng)且僅當(dāng)i丄>i2，&2^。定義4系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)v，集合V中的元素vgV={BXMXFXIXH}為一個(gè)系統(tǒng)狀態(tài)，其中當(dāng)前存取集B:對(duì)于b=(sXoXa)gB，sgS，og0，agA表示主體s以a的方式對(duì)于客體o進(jìn)行訪問(wèn)；存取控制矩陣M:M={M是矩陣lmijgM是主體Si對(duì)于客體0j的訪問(wèn)權(quán)限集合};機(jī)密級(jí)等級(jí)函數(shù)F:是由三個(gè)分量組成，即f={fs，f。，f。}，fs為主體最大機(jī)密級(jí)函數(shù)，fs(S)gL。表示主體最大機(jī)密級(jí)；f。為主體當(dāng)前機(jī)密級(jí)函數(shù)，f。(S)gL。為主體當(dāng)前機(jī)密級(jí)；f。為客體機(jī)密級(jí)函數(shù)，f。(s)gL。為客體機(jī)密級(jí)。完整級(jí)等級(jí)函數(shù)I:是由三個(gè)分量組成，I={Is，I。，I。}，Is為主體最大完整級(jí)函數(shù)，Is(S)gLi表示主體最大完整級(jí)；L。為主體當(dāng)前完整級(jí)函數(shù)，I。(S)gLi為主體當(dāng)前完整級(jí)；I。為客體完整級(jí)函數(shù)，I。(S)gLi為客體完整級(jí)?？腕w間的層次結(jié)構(gòu)h:h=仏Ihgp(o)°n屬性in屬性2}。屬性丄V。,eO，e^//(。Jn)；屬性2:!3{o,，o2,o3，……<U￡，(1S"w-ei/(or))n(0lt+1s0l)]規(guī)則1:擴(kuò)展自主安全一個(gè)狀態(tài)v二(bXmXfXiXh)滿足可信自主安全，當(dāng)且僅當(dāng)"，0,)"=>"斗；規(guī)則2:擴(kuò)展簡(jiǎn)單安全一個(gè)狀態(tài)v二(bXmXfXiXh)對(duì)于主體集S，sgS滿足可信擴(kuò)展簡(jiǎn)單安全，當(dāng)且僅3)X=6jb)x=r，并且fs(s)>f。(o);c)x=a，并且Is(s)>I。(o);d)X=W，并且fs(S)>f0(0)，IS(S)>I。(0);規(guī)則3:擴(kuò)展讀安全一個(gè)狀態(tài)v=(bXmXfXiXh)對(duì)于非可信主體Sut，sgSut滿足擴(kuò)展讀安全，當(dāng)且僅a)fc(s)>f0(o)，Ic(s)《I0(o);b)fc(s)>f0(o)，Ic(s)>I0(o)，ifsgSt;c)fc(s)<f0(o)，Ic(s)《I0(o)，ifsgSt;規(guī)則4:擴(kuò)展追加寫安全一個(gè)狀態(tài)v=(bXmXfXiXh)對(duì)于非可信主體Sut，sgSut滿足擴(kuò)展讀安全，當(dāng)且僅當(dāng)(s,o，a)e6=>a)fc(s)《f0(o)，Ic(s)>I0(o)，ifsgSt;b)fc(s)>f0(o)，Ic(s)>I0(o)，ifsgSt;c)fc(s)《f0(o)，Ic(s)<I0(o)，ifsgSt;一個(gè)狀態(tài)v=(bXmXfXiXh)對(duì)于非可信主體Sut滿足擴(kuò)展寫安全，當(dāng)且僅當(dāng)a)fc(s)=f0(o)，Ic(s)=I0(o);b)fc(s)=f0(o)，Ic(s)<I0(o)，ifsGSt;c)fc(s)=f0(o)，Ic(s)>I0(o)，ifsGSt;d)fc(s)>f0(o)，Ic(s)=I0(o)，ifsGSt;e)fc(s)<f0(o)，Ic(s)=I0(o)，ifsGSt。全文摘要一種安全操作系統(tǒng)強(qiáng)制訪問(wèn)控制機(jī)制的實(shí)施方法，屬安全操作系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)領(lǐng)域。其主體是安全體系結(jié)構(gòu)和訪問(wèn)控制流程。安全體系結(jié)構(gòu)給出了操作系統(tǒng)為支持強(qiáng)制訪問(wèn)控制機(jī)制，在設(shè)計(jì)上的層次劃分和模塊之間的依賴關(guān)系，在實(shí)施方法中，由下到上分為四個(gè)層次即驅(qū)動(dòng)層、內(nèi)核層、系統(tǒng)層和應(yīng)用層，并包括強(qiáng)制訪問(wèn)控制執(zhí)行模塊、標(biāo)記管理模塊、管理信息處理模塊，安全初始化模塊以及存儲(chǔ)介質(zhì)加密保護(hù)模塊。強(qiáng)制訪問(wèn)控制流程給出了在安全操作系統(tǒng)中實(shí)施強(qiáng)制訪問(wèn)控制在時(shí)序、過(guò)程上先后關(guān)系。支撐模型、數(shù)據(jù)結(jié)構(gòu)和鉤子函數(shù)給出了實(shí)現(xiàn)的具體細(xì)節(jié)。強(qiáng)制訪問(wèn)控制機(jī)制是高安全等級(jí)操作系統(tǒng)必備的安全功能，該方法可廣泛地應(yīng)用于高安全等級(jí)操作系統(tǒng)的設(shè)計(jì)上。文檔編號(hào)G06F21/00GK101727545SQ200810167560公開日2010年6月9日申請(qǐng)日期2008年10月10日優(yōu)先權(quán)日2008年10月10日發(fā)明者劉威鵬,張興,沈昌祥,胡俊申請(qǐng)人:中國(guó)科學(xué)院研究生院