訪問控制框架及其在Ｌｉｎｕｘ中的應(yīng)用研究

摘要:簡要介紹了ISO通用訪問控制框架，比較詳細(xì)地闡述和分析了當(dāng)前幾種主要的訪問控制框架理論及其在Linux中的實(shí)現(xiàn)，對(duì)這幾種訪問控制框架的相同點(diǎn)和不同點(diǎn)進(jìn)行了比較，最后指出了這些訪問控制框架存在的一些問題及今后的發(fā)展趨勢#65377;

關(guān)鍵詞:訪問控制框架;Linux安全操作系統(tǒng);Linux安全模塊;通用訪問控制框架;Flask

中圖分類號(hào):TP309文獻(xiàn)標(biāo)志碼:A

文章編號(hào):1001-3695(2007)04-0217-03

訪問控制是計(jì)算機(jī)信息安全領(lǐng)域中的核心技術(shù)之一，它保證信息資源能受到合法的#65380;可控制的訪問，它也是安全操作系統(tǒng)的主要內(nèi)容#65377;Linux操作系統(tǒng)的開放源代碼給許多國家#65380;團(tuán)體以及企業(yè)在安全操作系統(tǒng)的研發(fā)方面提供了基本條件#65377;在Linux及類Linux安全操作系統(tǒng)的訪問控制方面產(chǎn)生了各種各樣的技術(shù)和模型，這些訪問控制技術(shù)的研究均有其不同的開發(fā)需求背景，實(shí)現(xiàn)方式也不盡相同#65377;這些背景導(dǎo)致了一個(gè)新的技術(shù)——訪問控制框架的產(chǎn)生#65377;基于此，引發(fā)了增加的框架如何保證對(duì)內(nèi)核盡量小的影響和如何按需求產(chǎn)生合理的訪問決定權(quán)#65377;本文的工作是闡述和分析Linux系統(tǒng)下的幾種訪問控制框架及其實(shí)現(xiàn)，并分析了這些框架理論的優(yōu)點(diǎn)和實(shí)現(xiàn)過程中的一些問題，對(duì)今后在Linux訪問控制框架理論完善及實(shí)現(xiàn)的改進(jìn)提供一些思路#65377;

1通用訪問控制框架

1969年B.W.Lampson 通過形式化表示方法運(yùn)用主體(Subject)#65380;客體(Object)和訪問矩陣(Access Matrix)的思想第一次對(duì)訪問控制問題進(jìn)行了抽象，主體是訪問操作中的主動(dòng)實(shí)體，客體是訪問操作中的被動(dòng)實(shí)體^[1]#65377;在此之后，自主訪問控制#65380;強(qiáng)制訪問控制#65380;基于角色的訪問控制等單一策略的訪問控制技術(shù)陸續(xù)被人們提出以適應(yīng)不同的安全需要#65377;1972 年，作為承擔(dān)美國空軍的一項(xiàng)計(jì)算機(jī)安全規(guī)劃研究任務(wù)的研究成果，J.P.Anderson 在一份研究報(bào)告[ANDE1972]中提出了引用監(jiān)控機(jī)(Reference Monitor)#65380;引用驗(yàn)證機(jī)制(Reference Validation Mechanism)#65380;安全核(Security Kernel)和安全建模(Modeling)等重要思想^[2]#65377;這可以說是現(xiàn)在訪問控制框架的原始模型，由此發(fā)展出某種框架來集成多種單一訪問控制策略#65377;從單一策略支持到動(dòng)態(tài)多種策略支持，實(shí)用型訪問控制框架隨之出現(xiàn)，訪問控制朝實(shí)用性前進(jìn)了一大步#65377;訪問控制框架可以很好地滿足安全操作系統(tǒng)發(fā)展對(duì)多安全策略的需求#65377;1996年，ISO發(fā)表了通用訪問控制框架技術(shù)標(biāo)準(zhǔn)，其基本的實(shí)體主要由主體#65380;客體#65380;訪問實(shí)施組件(Access Control Enforcement Function，AEF)和訪問控制決定組件(Access Control Decision Function，ADF)組成^[3]，其框架結(jié)構(gòu)如圖1所示#65377;主體向AEF發(fā)出對(duì)客體的訪問請(qǐng)求，AEF向ADF詢問判定請(qǐng)求#65377;ADF根據(jù)多種訪問決定信息(Access Decision Information， ADI)如主體的ADI#65380;訪問請(qǐng)求ADI和客體ADI以及訪問控制策略規(guī)則等形成最后的判定結(jié)果向AEF返回，則由AEF實(shí)施訪問控制判定#65377;

訪問控制框架將安全策略決定與其實(shí)施相隔離，不管安全策略判定是如何形成的，也不管它們?nèi)绾坞S時(shí)間的推移而發(fā)生變化，均確保訪問控制框架子系統(tǒng)總是有一致的安全策略判定視圖，從而在安全策略方面提供靈活性#65377;

由于Linux系統(tǒng)的開源性，目前眾多的訪問控制及其框架技術(shù)實(shí)現(xiàn)都是以此為背景的，這也是本文的目的之一，即更加充分地討論Linux系統(tǒng)的訪問控制技術(shù)#65377;需要說明的是，ISO訪問控制框架不是首先提出的框架，在它之前已經(jīng)有了GFAC#65380;Flask等框架理論，但它是一種標(biāo)準(zhǔn)化的形式，具有通用性和典型性#65377;

2Linux訪問控制框架現(xiàn)狀分析

Linux訪問控制框架理論主要有GFAC#65380;Flask和LSM三種#65377;基于這些框架理論，不同的組織提出了其在Linux下的各自實(shí)現(xiàn)，下面就各框架理論和對(duì)應(yīng)的具體應(yīng)用進(jìn)行詳細(xì)的闡述#65377;

2.1GFAC

2.1.1通用訪問控制框架

GFAC(Generalized Framework for Access Control)研究項(xiàng)目由Marshall Abrams領(lǐng)導(dǎo)，于20世紀(jì)90年代前期完成^[4]#65377;它提供了一個(gè)用于表達(dá)和支持多安全政策的框架，其主要目標(biāo)是:使得描述#65380;形式化和分析各種訪問控制政策更容易;使得用戶可以從系統(tǒng)開發(fā)者提供的多個(gè)安全政策支持模塊中選擇幾個(gè)進(jìn)行配置，得到需要的安全政策，并且可以確信安全政策得到了正確的實(shí)施;對(duì)于所支持的每個(gè)安全政策，都能證明滿足了政策的原始定義#65377;GAFC具體的框架組件和訪問過程如圖2 所示#65377;

2.1.2GFAC在Linux上的應(yīng)用

RSBAC(Rule Set Based Access Control)是基于GFAC的Linux內(nèi)核安全訪問控制實(shí)現(xiàn)方式#65377;根據(jù)GFAC的實(shí)現(xiàn)^[5]，RSBAC訪問控制分為AEF和ADF組件以及ACI(Access Control Information)模塊，所有組件緊密地融合進(jìn)Linux內(nèi)核#65377;其中ACI負(fù)責(zé)管理訪問控制的安全屬性;ADF組件執(zhí)行系統(tǒng)的強(qiáng)制安全策略，根據(jù)內(nèi)部的規(guī)則組件判斷系統(tǒng)進(jìn)程的請(qǐng)求是否符合這些規(guī)則組件所規(guī)定的安全政策;AEF根據(jù)ADF的判斷讓系統(tǒng)進(jìn)程請(qǐng)求執(zhí)行相應(yīng)的系統(tǒng)調(diào)用函數(shù)#65377;RSBAC的主體權(quán)限授權(quán)過程如圖3所示#65377;

ADF中包含一組可配置的政策規(guī)則，對(duì)于不同的進(jìn)程請(qǐng)求，不同的政策會(huì)返回不同的授權(quán)結(jié)果#65377;目前RSBAC的ADF采用了嚴(yán)格限制的策略，只要有一項(xiàng)政策規(guī)則返回NOT_GRANTED，則ADF就給AEF返回否決的決定#65377;AEF根據(jù)ADF返回的結(jié)果確定執(zhí)行系統(tǒng)調(diào)用函數(shù)還是給調(diào)用的進(jìn)程一個(gè)錯(cuò)誤的信息，之后AEF通知ADF調(diào)用情況，ADF所有的決定模塊會(huì)相應(yīng)地調(diào)整其屬性，最后控制權(quán)返回給進(jìn)程#65377;

在RSBAC中，多種不同的安全策略模塊作為ADF已經(jīng)在系統(tǒng)中實(shí)現(xiàn)#65377;除了傳統(tǒng)的BLP模型，還包括安全信息修改策略(Security Information Modification， SIM)#65380;功能控制策略(Functional Control， FC)#65380;文件標(biāo)記策略(File Flags， FF)#65380;角色兼容性策略(Role Compatibility， RC)#65380;授權(quán)執(zhí)行策略(Authorization enforcement， AUTH)和訪問控制列表(ACL)等#65377;訪問請(qǐng)求必須滿足全部安全策略才授予許可權(quán)#65377;

2.2Flask

2.2.1Flask 訪問控制框架

Flask訪問控制安全框架是在猶他大學(xué)和Secure Computing Corp 的協(xié)助下由NSA設(shè)計(jì)的^[6]#65377;Flask框架包含了對(duì)象管理器和安全服務(wù)器以及它們之間的訪問向量緩存器(AVC)，如圖4 所示#65377;對(duì)象管理器訪問控制執(zhí)行模塊(AEF);安全服務(wù)器提供決策(ADF)，是封裝安全政策邏輯的一個(gè)獨(dú)立的操作系統(tǒng)組件，對(duì)外提供獲取安全政策判定的通用接口;訪問向量緩存器是客體管理器中的，用于緩存安全服務(wù)器放回的或升級(jí)的客體的許可權(quán)，這樣對(duì)象管理權(quán)就不會(huì)被已經(jīng)執(zhí)行的決策請(qǐng)求所淹沒，能減小性能開銷#65377;對(duì)象管理器給安全服務(wù)器發(fā)送一對(duì)SID和客體類的標(biāo)簽對(duì)，通過查詢安全性服務(wù)器根據(jù)相應(yīng)的安全上下文和客體類別給出決策#65377;安全服務(wù)器中有多種訪問控制安全模塊，根據(jù)某種策略來作出決定#65377;

Flask框架的安全服務(wù)器實(shí)現(xiàn)了由四個(gè)子策略組成的安全策略，這幾個(gè)子策略是多級(jí)安全(MLS)策略#65380;類型實(shí)施(TE)策略#65380;基于標(biāo)志的訪問控制(IBAC)策略和基于角色的訪問控制(RBAC)策略#65377;安全服務(wù)器提供的訪問判定必須滿足每個(gè)子策略的要求#65377;

2.2.2Flask在Linux上的應(yīng)用

2001年美國國家安全局(NSA)介紹了SELinux的實(shí)現(xiàn)，它基于Flask安全框架^[7]#65377;安全服務(wù)器和訪問向量緩存(AVC)是在Linux 操作系統(tǒng)中增加的兩個(gè)新組件#65377;安全服務(wù)器是Linux 內(nèi)核中的一個(gè)子系統(tǒng)，內(nèi)核中的其他子系統(tǒng)屬于客體管理器#65377;SELinux 實(shí)現(xiàn)的安全服務(wù)器定義了一個(gè)由TE政策#65380;RBAC政策和MLS政策組合成的安全政策#65377;其中，TE和RBAC政策是系統(tǒng)實(shí)現(xiàn)的安全政策的有機(jī)組成，MLS 政策是可選的政策#65377;當(dāng)內(nèi)核配置選項(xiàng)CONFIG FLASK MLS 打開時(shí)，系統(tǒng)提供MLS 政策支持#65377;

SELinux使用策略配置語言定義安全策略，然后通過Checkpolicy編譯成二進(jìn)制形式，存儲(chǔ)在文件/ss_policy中，在內(nèi)核引導(dǎo)時(shí)讀到內(nèi)核空間#65377;這意味著安全性策略在每次系統(tǒng)引導(dǎo)時(shí)都會(huì)有所不同#65377;策略甚至可以通過使用security_load_policy接口在系統(tǒng)操作期間更改#65377;

2.3LSM

2.3.1LSM 訪問控制框架

LSM(Linux Security Module)提供一個(gè)通用的訪問控制安全模塊框架，本身不提供任何具體的訪問控制安全政策，其提出的原因#65380;背景及要求參見文獻(xiàn)[8]#65377;LSM的實(shí)現(xiàn)框架結(jié)構(gòu)如圖5所示#65377;其中，左邊部分是其在內(nèi)核中對(duì)用戶進(jìn)程的操作過程，右邊是其用以判斷進(jìn)程訪問權(quán)限的安全模塊策略引擎#65377;用戶進(jìn)程執(zhí)行系統(tǒng)調(diào)用，首先游歷Linux內(nèi)核原有的邏輯找到并分配資源，進(jìn)行錯(cuò)誤檢查，并經(jīng)過經(jīng)典的UNIX自主訪問控制(DAC)，恰好就在Linux內(nèi)核試圖對(duì)內(nèi)部對(duì)象進(jìn)行訪問之前，一個(gè)LSM的鉤子對(duì)安全模塊所必須提供的函數(shù)進(jìn)行一個(gè)調(diào)用，從而對(duì)安全模塊提出這樣的問題:是否允許訪問執(zhí)行?安全模塊根據(jù)其安全策略進(jìn)行決策并作出回答:允許，或者拒絕，進(jìn)而返回一個(gè)錯(cuò)誤#65377;

LSM策略引擎的實(shí)現(xiàn)是采用通過在內(nèi)核源代碼中放置鉤子的方法來仲裁對(duì)內(nèi)核內(nèi)部對(duì)象進(jìn)行的訪問#65377;這些對(duì)象有任務(wù)#65380;Inode節(jié)點(diǎn)#65380;打開的文件等#65377;當(dāng)加載一個(gè)安全模塊時(shí)，必須使用register_security()函數(shù)向LSM框架注冊(cè)這個(gè)安全模塊#65377;這個(gè)函數(shù)將設(shè)置全局表security_ops，使其指向這個(gè)安全模塊的鉤子函數(shù)指針，從而使內(nèi)核向這個(gè)安全模塊詢問訪問控制決策#65377;一旦一個(gè)安全模塊被加載就成為系統(tǒng)的安全策略決策中心，而不會(huì)被后面的register_security()函數(shù)覆蓋，直到這個(gè)安全模塊被unregister_security()函數(shù)向框架注銷，即簡單地將鉤子函數(shù)替換為缺省值，系統(tǒng)回到UNIX超級(jí)用戶機(jī)制#65377;另外，LSM框架還提供了函數(shù)mod_reg_security()和函數(shù)mod_unreg_security()，使其后的安全模塊可以向已經(jīng)第一個(gè)注冊(cè)的主模塊注冊(cè)和注銷#65377;但其策略實(shí)現(xiàn)由主模塊決定是提供某種策略來實(shí)現(xiàn)模塊堆棧從而支持模塊功能合成，還是簡單地返回錯(cuò)誤值以忽略其后的安全模塊#65377;這些函數(shù)都提供在內(nèi)核源代碼文件security/security.c中#65377;

LSM對(duì)于內(nèi)核開發(fā)人員和安全研究人員的價(jià)值就在于:可以使用其提供的接口將現(xiàn)存的安全增強(qiáng)系統(tǒng)移植到這一框架上，從而能夠以可加載內(nèi)核模塊的形式提供給用戶使用;或者甚至可以直接編寫適合自己需要的安全模塊#65377;LSM對(duì)于普通用戶的價(jià)值就在于:可以提供各種安全模塊，由用戶選擇適合自己的需要加載到內(nèi)核，滿足特定的安全功能#65377;LSM本身只提供增強(qiáng)訪問控制策略的機(jī)制，由各個(gè)安全模塊實(shí)現(xiàn)具體特定的安全策略#65377;下面列出已經(jīng)在LSM中實(shí)現(xiàn)的安全模塊:

(1)SELinux#65377;這是一個(gè)Flask靈活訪問控制體系在Linux上的實(shí)現(xiàn)，并且提供了類型增強(qiáng)#65380;基于角色的訪問控制以及可選的多級(jí)安全策略#65377;SELinux原來是作為一個(gè)內(nèi)核補(bǔ)丁實(shí)現(xiàn)的，現(xiàn)在已經(jīng)使用LSM重新實(shí)現(xiàn)為一個(gè)安全模塊#65377;SELinux可以被用來限制進(jìn)程為最小特權(quán)，保護(hù)進(jìn)程和數(shù)據(jù)的完整性和機(jī)密性，并且支持應(yīng)用安全需求#65377; 

(2)DTE Linux#65377;這是一個(gè)域和類型增強(qiáng)在Linux上的實(shí)現(xiàn)#65377;就像SELinux一樣，DTE Linux原來是作為一個(gè)內(nèi)核補(bǔ)丁實(shí)現(xiàn)的，現(xiàn)在已經(jīng)使用LSM重新實(shí)現(xiàn)為一個(gè)安全模塊#65377;當(dāng)這個(gè)安全模塊被加載到內(nèi)核上時(shí)，類型被賦給對(duì)象，域被賦給進(jìn)程#65377;DTE策略限制域之間和從域到類型的訪問#65377; 

(3)Openwall 內(nèi)核補(bǔ)丁的LSM移植#65377;Openwall內(nèi)核補(bǔ)丁提供了一系列的安全特性集合來保護(hù)系統(tǒng)免受如緩沖區(qū)溢出和臨時(shí)文件競爭這樣的攻擊#65377;有安全模塊正在被開發(fā)出來以支持Openwall補(bǔ)丁的一個(gè)子集#65377; 

(4)POSIX.1e Capabilities#65377;Linux內(nèi)核中已經(jīng)存在有POSIX.1e Capabilities邏輯，但是LSM將這個(gè)邏輯劃分到了一個(gè)安全模塊中#65377;這樣的修改使得不需要的用戶可以從他們的內(nèi)核中把這個(gè)功能略去;也使得Capabilities邏輯的開發(fā)可以脫離內(nèi)核開發(fā)獲得更大的獨(dú)立性#65377; 

(5)LIDS#65377;它開始時(shí)作為一個(gè)入侵檢測系統(tǒng)開發(fā)，后來逐漸演變?yōu)槭褂迷L問控制系統(tǒng)的形式來進(jìn)行入侵預(yù)防#65377;它通過描述一個(gè)給定的程序可以訪問哪些文件來進(jìn)行訪問控制#65377;同樣地，LIDS原來是作為一個(gè)內(nèi)核補(bǔ)丁實(shí)現(xiàn)的，并附帶了一些管理工具，現(xiàn)在已經(jīng)使用LSM重新實(shí)現(xiàn)為一個(gè)安全模塊#65377; 

2.3.2LSM在Linux上的應(yīng)用

LSM是Linux內(nèi)核的一個(gè)輕量級(jí)通用訪問控制框架#65377;它使得各種不同的安全訪問控制模型能夠以Linux可加載內(nèi)核模塊的形式實(shí)現(xiàn)出來，用戶可以根據(jù)其需求選擇適合的安全模塊加載到Linux內(nèi)核中，從而大大提高了Linux安全訪問控制機(jī)制的靈活性和易用性#65377;目前，它仍然是作為一個(gè)Linux內(nèi)核補(bǔ)丁的形式提供，但同時(shí)也提供Linux 2.4穩(wěn)定版本的系列和Linux 2.5開發(fā)版本的系列，并且很有希望進(jìn)入Linux 2.6穩(wěn)定版本#65377;

3Linux訪問控制框架的問題及發(fā)展

分析了三種主要的訪問控制框架的現(xiàn)狀及其在Linux上的實(shí)現(xiàn)后，下面說明其共同點(diǎn)和不同點(diǎn):

(1)都具有ISO通用訪問控制框架的基本特征，由ADF和AEF組成#65377;

(2)都是基于內(nèi)核的，目前以補(bǔ)丁形式存在，對(duì)系統(tǒng)內(nèi)核會(huì)有一些影響#65377;

(3)訪問控制決策組件(ADF)支持動(dòng)態(tài)的多種訪問控制政策，實(shí)現(xiàn)訪問控制政策的多樣性#65377;

(4)訪問控制框架將安全策略決定與其實(shí)施相隔離，不管安全策略判定是如何形成的，也不管它們?nèi)绾坞S時(shí)間的推移而發(fā)生變化，都確保訪問控制框架子系統(tǒng)總是有一致的安全策略判定視圖，從而方便靈活地構(gòu)建訪問控制的最終許可權(quán)決定#65377;

訪問許可權(quán)實(shí)現(xiàn)方式ADF中的規(guī)則組成地位平等，沒有主從關(guān)系，SELECT CASE和IF THEN ELSE結(jié)構(gòu)形成決定權(quán)類似于RSBAC，安全服務(wù)器中的MLS#65380;TE#65380;TBAC#65380;RBAC安全策略地位相同，沒有主從關(guān)系

有主安全模塊，并且由它主導(dǎo)決定許可權(quán)#65377;具有優(yōu)先權(quán)關(guān)系

對(duì)內(nèi)核的影響^[6，8，9]對(duì)內(nèi)核影響較大#65377;使用時(shí)間較長，較成熟#65377;需下載模塊安裝

對(duì)內(nèi)核影響較小#65377;目前還在開發(fā)中，Red Hat Linux發(fā)行版中有實(shí)驗(yàn)版本

對(duì)內(nèi)核影響很小，幾乎可以忽略，補(bǔ)丁也較小#65377;Linux內(nèi)核2.4以上有配備的模塊，有希望成為標(biāo)準(zhǔn)模塊

ADF支持的策略種類MAC#65380;FC#65380;SIM#65380;PM#65380;MS#65380;FF#65380;RC#65380;AUTH#65380;ACL均為單一策略

MLS#65380;TE#65380;TBAC#65380;

RBAC均為單一策略SELinux#65380;DTE Linux#65380;Openwall#65380;POSIX.1e#65380;LIDS可以支持其他多策略模型

目前還沒有一種單一策略的訪問控制技術(shù)能滿足Linux系統(tǒng)訪問控制的需要，發(fā)展動(dòng)態(tài)多安全策略的訪問控制技術(shù)——Linux訪問控制框架，也就成了必要，

而實(shí)際上，Linux系統(tǒng)內(nèi)核訪問控制的發(fā)展經(jīng)歷了從單一策略到動(dòng)態(tài)的多安全策略的過程，同時(shí)不給內(nèi)核的系統(tǒng)調(diào)用帶來太大的影響，從應(yīng)用上來看這的確是解決問題的一條途徑#65377;在這幾種訪問控制框架實(shí)現(xiàn)中，目前LSM的支持比較廣，也比較有優(yōu)勢#65377;

4結(jié)束語

文章以ISO訪問控制框架為參考的基礎(chǔ)上，詳細(xì)闡述了Linux系統(tǒng)的訪問控制框架理論發(fā)展及實(shí)際應(yīng)用，也注意到了目前主要三種理論及實(shí)現(xiàn)的問題所在，即多個(gè)安全策略規(guī)則之間可能存在沖突#65377;如何有效組織多安全策略形成最終的訪問許可權(quán)決定是其研究的重點(diǎn)#65377;另外，從支持多種安全策略到運(yùn)行策略靈活性，也還有相當(dāng)一段距離，努力使得訪問控制框架的性能達(dá)到靈活#65380;方便和實(shí)用也是今后的工作重點(diǎn)之一#65377;

本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文。