專利名稱:一種松散耦合角色授權(quán)的類型實施訪問控制方法及其系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明主要涉及到操作系統(tǒng)安全訪問控制領(lǐng)域�����,特指一種結(jié)合角色授權(quán)與類型實施的操作系統(tǒng)安全訪問控制策略及控制系統(tǒng)。
背景技術(shù):
當前�����,隨著信息技術(shù)的不斷發(fā)展和大規(guī)模應(yīng)用����,信息安全成為越來越突出的問題。 其中����,操作系統(tǒng)安全為信息系統(tǒng)安全提供強有力的保障。訪問控制通過控制操作系統(tǒng)內(nèi)主體對客體的訪問權(quán)限��,從而有效控制主體的行為��,保護信息安全���。類型實施(Type Enforcement)安全策略將操作系統(tǒng)中具有相同安全屬性的對象劃分為一個類型,通過規(guī)定類型之間的訪問權(quán)限來達到訪問控制目的���,具有訪問控制粒度細�、訪問控制規(guī)則配置靈活度高等特點,有利于實現(xiàn)基于應(yīng)用的操作系統(tǒng)安全域隔離���。TE模型為每個進程綁定稱為“域”的安全屬性��,而給每個客體綁定稱為“類型”的屬性�,對具有相同域的進程同等對待���,對具有相同類型的客體也同等對待���。在此基礎(chǔ)上,模型定義了訪問矩陣�����,用于指定域如何訪問類型以及域之間如何互操作�。TE模型定義的規(guī)則主要有訪問決策規(guī)則和標記決策規(guī)則。訪問控制規(guī)則基于一對給定的主客體安全類型對以及訪問操作類型來確定訪問是否許可���,用于在系統(tǒng)中進行細粒度的訪問控制��;標記決策規(guī)則則主要為一個新對象確定安全屬性����,為執(zhí)行流程控制和安全隔離提供了基礎(chǔ)。為了在多安全策略下���,實現(xiàn)操作系統(tǒng)安全策略控制的靈活性�����,目前安全操作系統(tǒng)大多使用內(nèi)核訪問控制框架技術(shù)進行多安全策略的集成�����。內(nèi)核訪問控制框架將安全實施與安全決策分離���,從而支持多安全策略以及靈活的策略改變。訪問控制框架由客體管理系統(tǒng)�����、 安全服務(wù)器與訪問控制信息組成���?��?腕w管理系統(tǒng)分散在內(nèi)核各模塊中,負責管理進程��、文件等主客體�����。該系統(tǒng)嵌入安全實施代碼�����,負責向安全服務(wù)器提交安全決策請求����,接收決策結(jié)果并做出相應(yīng)處理;安全服務(wù)器則接收客體管理系統(tǒng)的安全請求��,在安全策略模塊中根據(jù)請求包含的主客體標記計算訪問決策��,返回訪問決策結(jié)果�����。訪問控制信息則用于存儲主客體的安全屬性���,用于在不同策略下計算訪問決策���。當前類型實施安全策略實現(xiàn)基本均作為一個安全策略模塊����,掛載在安全訪問控制框架之下���,從而專注于類型實施系統(tǒng)本身的開發(fā)與配置�����,而無需過多涉及操作系統(tǒng)的內(nèi)部訪問細節(jié)�。隨著操作系統(tǒng)的用戶多樣性發(fā)展����,不同的用戶使用操作系統(tǒng)的權(quán)限可能也不同, 為解決這一問題��,需要在TE策略的基礎(chǔ)上�,引入用戶角色的概念,不同角色的用戶在操作系統(tǒng)中對應(yīng)的安全類型也可能不同�����。因此���,有從業(yè)者研究帶角色授權(quán)的類型實施控制方法�����, 將用戶角色與類型實施相結(jié)合����,更好的體現(xiàn)最小特權(quán)和職責分離是操作系統(tǒng)中兩個重要的安全原則���。在目前主流安全操作系統(tǒng)中����,主要采取基于角色訪問控制(Role Based Access Control, RBAC)與類型實施策略層次性緊耦合的結(jié)合方式��,利用類型實施策略來實現(xiàn)RBAC 中的角色——權(quán)限分配關(guān)系���。經(jīng)典的RBAC模型包括用戶�、角色����、權(quán)限3個主要概念,以及用戶-角色分配(UA)和角色-權(quán)限分配(PA) 兩種關(guān)系����。用戶只有以特定的角色才能訪問特定的對象��。RBAC與 TE層次性緊耦合的結(jié)合方式保留了傳統(tǒng)RBAC中的UA�,但是用TE模型來實現(xiàn)PA��,即把一個域集合作為角色的權(quán)限集�����。一個角色擁有一個域也稱為該角色能進入(enter)這個域�����。同時該方式提供了角色間的層次關(guān)系定義����,用于實現(xiàn)角色的繼承。使用獨立于傳統(tǒng)Unix用戶標識符的用戶身份標識�,系統(tǒng)中用戶標識在策略文件中定義,與角色�、類型共同構(gòu)成了一個 {id, role, type)三元組標識的主客體安全上下文。一個用戶可以有多個角色���,但是在任何特定時間內(nèi)只能激活其中的一個���。這種組合方式的優(yōu)點在于具有很好的層次關(guān)系����,RBAC位于中間層��,負責將TE規(guī)則與系統(tǒng)實際用戶聯(lián)系起來����;TE模型是面向單個應(yīng)用的����,并不關(guān)心那些角色可以進入該應(yīng)用的域;角色則負責統(tǒng)籌TE模型在每個應(yīng)用中的權(quán)限分配�����,使之與系統(tǒng)用戶相聯(lián)系����。然而,RBAC與TE的這種結(jié)合方式同時也導致策略分析必須在TE和RBAC兩個不同層次上進行����,既要保證TE策略的正確性�,又要在此基礎(chǔ)上分析角色的授權(quán)策略��,大大增加在策略分析上的復雜性���。并且��,這種做法導致類型實施策略與用戶角色緊密耦合�����,系統(tǒng)添加新的角色時�,需要同時檢查系統(tǒng)中已有的TE安全配置���;策略規(guī)則數(shù)目龐大����,策略描述語言的語法和語義都較為復雜�,規(guī)則的制定和管理都需要對策略語言非常熟悉,否則很容易出錯�����。因此,此類安全策略的配置工作多為系統(tǒng)研究人員進行���,配置語言語法及規(guī)則都很復雜��,不能靈活變更�,用戶無法根據(jù)角色變化情況對安全策略配置進行靈活調(diào)整�����。此外�����,隨著控制系統(tǒng)規(guī)則配置數(shù)量的增加�,對系統(tǒng)運行性能影響大���。根據(jù)安全操作系統(tǒng)的使用經(jīng)驗�����,系統(tǒng)中最重要的用戶角色為系統(tǒng)管理員�����,負責系統(tǒng)日常管理與配置��,涉及系統(tǒng)絕大部分應(yīng)用���,具有最高權(quán)限���;安全管理員、審計管理員等職能角色主要負責與本職能相關(guān)的應(yīng)用��,應(yīng)用類型比較集中�����;此外�����,普通用戶登錄系統(tǒng)時一般使用缺省角色����,如果要根據(jù)實際使用情況來區(qū)分角色,該角色涉及的應(yīng)用也比較單一�����。由此得出,從實際應(yīng)用出發(fā)��,類型實施策略與角色授權(quán)的結(jié)合可以以類型實施對系統(tǒng)進行安全域控制為主��,輔以不同角色對系統(tǒng)中特定應(yīng)用的控制�����,因此�,研究一種松散耦合角色授權(quán)關(guān)系的類型實施策略具有實際意義。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題就在于針對現(xiàn)有技術(shù)存在的技術(shù)問題��,本發(fā)明提供一種可減少用戶角色配置更改對類型實施規(guī)則系統(tǒng)的影響���、降低安全配置難度���、方便用戶根據(jù)實際使用情況靈活配置的松散耦合角色授權(quán)的類型實施訪問控制方法及系統(tǒng)。為解決上述技術(shù)問題��,本發(fā)明采用以下技術(shù)方案
一種松散耦合角色授權(quán)的類型實施訪問控制方法����,其特征在于在類型實施訪問控制方法的基礎(chǔ)上增加用戶角色關(guān)聯(lián)關(guān)系���,并添加與用戶角色相關(guān)的進程類型轉(zhuǎn)換規(guī)則定義以及相應(yīng)的類型轉(zhuǎn)換判定機制����;在系統(tǒng)進程類型發(fā)生轉(zhuǎn)換時,根據(jù)進程類型轉(zhuǎn)換規(guī)則���,判斷是否根據(jù)用戶當前角色而發(fā)生與角色相關(guān)的類型轉(zhuǎn)換�����,以改變用戶進程執(zhí)行流��,進入用戶角色特定的安全域���。作為本發(fā)明的進一步改進 上述方法的具體步驟為
①構(gòu)建類型實施安全控制系統(tǒng),類型實施安全控制系統(tǒng)用來接收來自訪問控制框架的訪問控制請求��,然后根據(jù)當前訪問策略配置得出安全決策���; ②進行類型實施安全管理
2. 1定義類型實施安全策略的規(guī)則��,包括安全訪問控制規(guī)則��、一般類型轉(zhuǎn)換規(guī)則與角色相關(guān)類型轉(zhuǎn)換規(guī)則�;定義用戶與角色的關(guān)聯(lián)關(guān)系一個用戶只允許關(guān)聯(lián)一種角色,配置完成后�,用戶登錄系統(tǒng)以后的進程都具有該角色;
2. 2完成類型實施安全控制系統(tǒng)的初始化���,轉(zhuǎn)入運行模式�����,接收來自訪問控制框架的請求��,按照上述類型實施安全策略的規(guī)則�����,給出決策結(jié)果���;如接收到訪問控制決策請求,轉(zhuǎn)至步驟2. 3 �����;如接收到進程類型遷移請求�,轉(zhuǎn)至步驟2. 4 ���;如接收到確定客體類型的請求�,轉(zhuǎn)至步驟2. 5 ;
2. 3接收來自訪問控制框架的訪問控制決策請求���,根據(jù)主����、客體的類型����,查詢安全訪問控制規(guī)則表,得出是否允許訪問繼續(xù)�����;如果策略允許訪問執(zhí)行�,則向訪問控制框架返回允許;否則就返回禁止��;
2. 4接收來自訪問控制框架的進程類型遷移請求�,確定進程改變執(zhí)行映像后,其安全類型是否發(fā)生改變����,以及改變的結(jié)果�;
2. 5接收來自訪問控制框架的確定客體類型的請求�����,確定客體的類型���。所述安全訪問控制規(guī)則為主體對客體訪問時所具有的權(quán)限集合����,該安全訪問控制規(guī)則包括主客體規(guī)則����、主體通配規(guī)則以及客體通配規(guī)則。所述一般類型轉(zhuǎn)換規(guī)則為主體或客體發(fā)生類型轉(zhuǎn)換的條件及結(jié)果��,所述一般類型轉(zhuǎn)換規(guī)則包括主體類型轉(zhuǎn)換規(guī)則和客體類型轉(zhuǎn)換規(guī)則�。所述角色相關(guān)類型轉(zhuǎn)換規(guī)則為在用戶以具體角色登錄的情況下,進程類型可能發(fā)生的與角色相關(guān)的類型轉(zhuǎn)換規(guī)則��。所述步驟2. 2的具體步驟為
(1)調(diào)用內(nèi)核訪問控制框架的模塊初始化函數(shù)���,向訪問控制框架注冊該模塊�����;
(2)操作系統(tǒng)root文件系統(tǒng)掛載后���,訪問策略配置文件,生成各策略規(guī)則的內(nèi)部表示�,分別為系統(tǒng)安全類型鏈表、訪問控制規(guī)則鏈表���、一般類型轉(zhuǎn)換鏈表�、角色相關(guān)類型轉(zhuǎn)換鏈表以及用戶角色對應(yīng)關(guān)系鏈表��;
(201)構(gòu)建系統(tǒng)安全類型鏈表讀取系統(tǒng)安全類型配置文件�,以安全類型名、安全類型 ID這2元組為表項�,生成系統(tǒng)安全類型鏈表;
(202)構(gòu)建訪問控制規(guī)則鏈表讀取訪問控制規(guī)則配置文件���,以主體安全類型ID����、客體安全類型ID���、訪問控制權(quán)限集這3元組為表項�����,生成訪問控制規(guī)則鏈表����;
(203)構(gòu)建一般類型轉(zhuǎn)換鏈表讀取一般類型轉(zhuǎn)換規(guī)則配置文件,以主體安全類型ID��、 客體安全類型ID�、process/file、新安全類型ID這4元組為表項����,生成一般類型轉(zhuǎn)換規(guī)則鏈表;
(204)構(gòu)建角色相關(guān)類型轉(zhuǎn)換鏈表讀取角色相關(guān)類型轉(zhuǎn)換規(guī)則配置文件��,以角色ID���、 客體安全類型ID�����、pr0CesS����、主體新安全類型ID這4元組為表項,生成角色相關(guān)類型轉(zhuǎn)換規(guī)則鏈表;
(205)構(gòu)建用戶角色對應(yīng)關(guān)系鏈表讀取用戶角色關(guān)聯(lián)關(guān)系配置文件,以用戶ID�、角色 ID這2元組為表項�����,生成用戶角色對應(yīng)關(guān)系鏈表����;
(3)設(shè)置0號進程與1號進程的安全類型為proC_def_t��;(4)遍歷在掛載root文件系統(tǒng)之前生成的文件inode��,從文件系統(tǒng)中獲取該文件的安全屬性�����,并設(shè)置到inode上��。本發(fā)明進一步還包括安全策略的維護��,所述用戶通過用戶命令的方式對系統(tǒng)規(guī)則進行配置�����。本發(fā)明 進一步還提供一種松散耦合角色授權(quán)的類型實施訪問控制系統(tǒng),其特征在于包括運行于操作系統(tǒng)內(nèi)核的類型實施訪問控制策略模塊�、運行于操作系統(tǒng)用戶層的策略安全配置模塊以及位于文件系統(tǒng)中的策略規(guī)則配置模塊,所述類型實施訪問控制策略模塊主要接收來自訪問控制框架的訪問控制請求����,并根據(jù)當前訪問策略配置得出安全決策, 發(fā)往訪問控制框架�;所述策略安全配置模塊以命令行的方式為用戶提供類型實施安全策略維護的手段,通過類型實施內(nèi)核模塊提供的系統(tǒng)調(diào)用對類型實施策略進行安全配置�����,所述安全配置命令將同時修改內(nèi)存中的策略規(guī)則以及保存在文件系統(tǒng)中的策略規(guī)則配置模塊���。所述類型實施訪問控制策略模塊包括策略初始化�、主體安全類型遷移��、客體安全類型遷移����、訪問權(quán)限檢查、策略規(guī)則配置管理5個子模塊����,所述策略初始化模塊主要負責向訪問控制框架注冊安全模塊�����,以及系統(tǒng)安全策略配置����、系統(tǒng)進程初始安全類型設(shè)置等初始化工作�����;所述訪問權(quán)限檢查模塊負責根據(jù)框架提供的主��、客體安全標記以及訪問操作類型�����, 得出決策是否允許訪問發(fā)生�;所述主體安全類型遷移主要完成在用戶進程改變執(zhí)行映像時�����,判斷是否發(fā)生主體類型的遷移���;所述客體安全類型遷移主要完成在用戶新創(chuàng)建文件客體時�,得出新生成客體的安全類型。與現(xiàn)有技術(shù)相比����,本發(fā)明的優(yōu)點在于
1、采用本發(fā)明能夠在普通類型實施安全控制中加入角色控制�,根據(jù)不同用戶角色控制用戶進程類型的轉(zhuǎn)換,從而改變用戶進程的執(zhí)行流��,使不同角色用戶執(zhí)行相同程序時可以根據(jù)角色的不同進入不同的安全域����,進行安全隔離,從而實現(xiàn)操作系統(tǒng)的最小特權(quán)與安全隔離����;
2、采用本發(fā)明能極大地保證策略配置的靈活性�,提高訪問控制效率。結(jié)合角色的類型轉(zhuǎn)換判斷僅在類型轉(zhuǎn)換發(fā)生的第一步進行�����,無需在每次進程類型轉(zhuǎn)換時都判斷角色信息���, 極大地降低的TE策略與角色控制的耦合度�,降低因角色變更而對系統(tǒng)配置帶來的影響。此夕卜����,由于無需每次判斷角色規(guī)則,大大提高進程類型遷移決策的效率���;
3����、采用本發(fā)明能夠極大提高訪問控制決策工作的效率�����。在訪問控制決策過程中����,提供了多種通配訪問規(guī)則�,并實現(xiàn)系統(tǒng)缺省配置、主體通配匹配�����、客體通配匹配與一般訪問控制規(guī)則相結(jié)合,對訪問控制決策判斷過程進行優(yōu)化���;同時�,用戶可以通過多種通配規(guī)則進行訪問控制規(guī)則配置�,降低配置難度;
4��、本發(fā)明不依賴于特定的操作系統(tǒng)�����,支持平臺的多樣性�����,具有通用性�����。對于任何操作系統(tǒng)的經(jīng)典類型實施控制系統(tǒng)實現(xiàn)�,僅需添加角色類型轉(zhuǎn)換規(guī)則與相應(yīng)判斷機制,均可使類型實施機制具有角色控制功能��,實現(xiàn)基于角色的系統(tǒng)權(quán)限劃分���。
圖1為本發(fā)明基于訪問控制框架構(gòu)建的類型實施系統(tǒng)結(jié)構(gòu)圖�; 圖2為本發(fā)明中第二步的系統(tǒng)初始化流程圖3為本發(fā)明中第三步的訪問控制決策流程圖;圖4為本發(fā)明中 第四步的主體類型轉(zhuǎn)換流程圖5為本發(fā)明中第五步的客體安全類型確定流程圖��,其中5a為已存在客體安全屬性的確定流程�����,5b為新創(chuàng)建客體安全屬性的確定流程��。
具體實施例方式以下將結(jié)合說明書附圖和具體實施例對本發(fā)明做進一步詳細說明��。如圖1所示���,是本發(fā)明基于操作系統(tǒng)訪問控制框架構(gòu)件的類型實施系統(tǒng)結(jié)構(gòu)圖。 本發(fā)明所構(gòu)建的類型實施控制系統(tǒng)以安全模塊的形式掛接在操作系統(tǒng)安全訪問控制框架之下���,主要接收來自訪問控制框架的訪問控制請求,然后根據(jù)當前訪問策略配置得出安全決策�����。系統(tǒng)主要包括策略初始化��、主體安全類型遷移���、客體安全類型遷移、訪問權(quán)限檢查�、 策略規(guī)則配置管理5個子模塊。策略初始化模塊主要負責向訪問控制框架注冊安全模塊�����, 以及系統(tǒng)安全策略配置��、系統(tǒng)進程初始安全類型設(shè)置等初始化工作;初始化結(jié)束后�����,系統(tǒng)將接收并處理來自訪問控制框架的請求�����,具體分工為訪問權(quán)限檢查模塊負責根據(jù)框架提供的主�����、客體安全標記以及訪問操作類型�����,得出決策是否允許訪問發(fā)生�����;主體安全類型遷移主要完成在用戶進程改變執(zhí)行映像時�����,判斷是否發(fā)生主體類型的遷移�����;客體安全類型遷移主要完成在用戶新創(chuàng)建文件客體時���,得出新生成客體的安全類型。此外�,用戶通過策略規(guī)則配置管理模塊對策略的配置進行修改。類型實施安全策略的核心是用戶配置的安全控制規(guī)則��,本發(fā)明定義的安全控制規(guī)則有安全訪問控制規(guī)則����、一般類型轉(zhuǎn)換規(guī)則與角色相關(guān)類型轉(zhuǎn)換規(guī)則3類,此外�,還需要指定用戶與角色的對應(yīng)關(guān)系,以上各類配置分別保存在相應(yīng)的安全配置文件中
1.1定義安全訪問控制規(guī)則定義主體對客體訪問時所具有的權(quán)限集合�。該類規(guī)則包括制定主客體規(guī)則和主/客體通配規(guī)則三類
1)指定主客體規(guī)則,即規(guī)則的主客體類型都是具體指定的��,規(guī)則具體形式為 <安全類型Typel�����,安全類型Type2�,訪問控制權(quán)限集Perml〉。其含義為安全類型為Typel的主體訪問安全類型為Type2的客體時�����,允許的操作集合為Perml�。只有該主體對該客體的訪問在Perml中顯示許可,操作才能繼續(xù)�,否則不允許操作進行。2)主體通配規(guī)則��,即無論主體為何種類型,對該指定客體都具有Perm2集合所規(guī)定的權(quán)限�,其具體形式為
<wildcard_t,安全類型Type�����,訪問控制權(quán)限集Perm2>
3)客體通配規(guī)則��,即無論客體為何種類型����,該指定主體對客體均具有Perm3集合所規(guī)定的權(quán)限,其具體形式為
<安全類型Type����,wildcard_t,訪問控制權(quán)限集Perm3>
1.2定義一般類型轉(zhuǎn)換規(guī)則定義主體或客體發(fā)生類型轉(zhuǎn)換的時機及結(jié)果�。具體有兩種形式
1)主體類型轉(zhuǎn)換規(guī)則定義主體在執(zhí)行過程中的類型轉(zhuǎn)換規(guī)則。具體形式為 <安全類型Typel���,安全類型Type2����,process,安全類型Type3> 其含義為安全類型為Typel的進程執(zhí)行安全類型為Type2的客體時�����,進程類型將轉(zhuǎn)換為 Type3 ;2)客體類型轉(zhuǎn)換規(guī)則定義主體在生成新客體時����,新客體的安全類型如何確定�����。具體形式為
<安全類型 Typel���,安全類型Type2�,file��,安全類型Type3>
其含義為安全類型為Typel的進程在安全類型為Type2的目錄下生成的文件等客體���, 其安全類型為Type3 ����;
1.3定義角色相關(guān)類型轉(zhuǎn)換規(guī)則定義在用戶以具體角色登錄的情況下����,進程類型可能發(fā)生的與角色相關(guān)的類型轉(zhuǎn)換規(guī)則。具體形式為
<用戶角色RID1,安全類型Type2����,process,安全類型Type3> 其含義為當前用戶的角色為RID1,進程類型為缺省進程類型pr0C_def_t���,執(zhí)行安全類型為Type2的客體時�����,進程的類型將轉(zhuǎn)換為Tyep3��。1.4定義用戶與角色的對應(yīng)關(guān)系�,表示用戶登錄系統(tǒng)后所具有的角色����。具體形式為
〈用戶ID,角色ID>
為方便起見��,每個用戶只可以關(guān)聯(lián)一種角色��,即用戶僅可以以一種角色登錄系統(tǒng)�����。系統(tǒng)預設(shè)的角色有sysadm (系統(tǒng)管理員Xsecadm (安全管理員)與def_role (缺省角色)三類。 sysadm角色與root用戶關(guān)聯(lián)��;secadm與安全管理員用戶關(guān)聯(lián)��;如果未顯式的設(shè)置某用戶的角色關(guān)聯(lián)關(guān)系���,則該用戶的角色為def_r0le。圖2是本發(fā)明第二步的系統(tǒng)初始化流程示意圖�,具體按照如下方法完成系統(tǒng)的初始化工作
2. 1調(diào)用內(nèi)核訪問控制框架的模塊初始化函數(shù),向訪問控制框架注冊該模塊�; 2.2操作系統(tǒng)root文件系統(tǒng)掛載后,訪問策略配置文件��,生成各策略規(guī)則的內(nèi)部表示��,分別為系統(tǒng)安全類型鏈表�����、訪問控制規(guī)則鏈表��、一般類型轉(zhuǎn)換鏈表和角色相關(guān)類型轉(zhuǎn)換鏈表以及用戶角色對應(yīng)關(guān)系鏈表����。2. 2. 1構(gòu)建系統(tǒng)安全類型鏈表讀取系統(tǒng)安全類型配置文件����,以 < 安全類型名����;安全類型ID>2元組為表項,生成系統(tǒng)安全類型鏈表�����。2. 2. 2構(gòu)建訪問控制規(guī)則鏈表讀取訪問控制規(guī)則配置文件�����,以 < 主體安全類型 ID,客體安全類型ID�,訪問控制權(quán)限集>3元組為表項,生成訪問控制規(guī)則鏈表���;
2. 2. 3構(gòu)建一般類型轉(zhuǎn)換鏈表讀取一般類型轉(zhuǎn)換規(guī)則配置文件��,以 < 主體安全類型 ID�,客體安全類型IDjrocess/file����,新安全類型IDM元組為表項�,生成一般類型轉(zhuǎn)換規(guī)則鏈表��;
2. 2. 4構(gòu)建角色相關(guān)類型轉(zhuǎn)換鏈表讀取角色相關(guān)類型轉(zhuǎn)換規(guī)則配置文件�����,以 < 角色 ID,客體安全類型ID�,process,主體新安全類型IDM元組為表項,生成角色相關(guān)類型轉(zhuǎn)換規(guī)則鏈表�����;
2. 2. 5構(gòu)建用戶角色對應(yīng)關(guān)系鏈表讀取用戶角色關(guān)聯(lián)關(guān)系配置文件��,以〈用戶ID����,角色ID>2元組為表項�����,生成用戶角色對應(yīng)關(guān)系鏈表��;
2. 3設(shè)置0號進程與1號進程的安全類型為proC_def_t ���;
2. 4遍歷在掛載root文件系統(tǒng)之前生成的文件inode���,從文件系統(tǒng)中獲取該文件的安全屬性�����,并設(shè)置到inode上��。圖3為本發(fā)明第三步的訪問控制決策流程圖�����,具體按照如下方法處理來自訪問控制框架的訪問控制 決策請求
第三步�����,接收來自訪問控制框架的訪問控制決策請求��,根據(jù)主客體的類型�,查詢訪問控制規(guī)則表����,得出是否允許訪問繼續(xù)。如果策略允許訪問執(zhí)行���,則向訪問控制框架返回允許��; 否則返回禁止����。3. 1獲取主體、客體的安全類型id ��;假設(shè)主體類型為tid_s�����,客體類型為tid_o ���; 3. 2以tid_s、tid_o為關(guān)鍵字�,查詢訪問控制規(guī)則表,若存在匹配的表項��,則按如下方
法處理�����,否則轉(zhuǎn)3.3步
3. 2. 1獲取表項指定的權(quán)限集合perml ���;
3.2.2查詢當前操作是否屬于perml�����,如是����,則向訪問控制框架返回允許;否則���,返回
禁止���;
3.3判斷客體類型是否為unlabelecLt,如是���,則向訪問控制框架返回允許�����,否則�,轉(zhuǎn) 3. 4 步��;
3. 4以tid_s為關(guān)鍵字,查詢客體通配規(guī)則�,若存在匹配的表項,則按如下方法處理��, 否則轉(zhuǎn)3. 5步
3. 4. 1獲取表項指定的權(quán)限集合perm2 �����;
3.4.2查詢當前操作是否屬于perm2��,如是����,則向訪問控制框架返回允許;否則��,轉(zhuǎn)3.5
止
少�;
3. 5以tid_o為關(guān)鍵字,查詢主體通配規(guī)則�,若存在匹配的表項,則按如下方法處理�����, 否則向訪問控制框架返回禁止
3.5. 1獲取表項指定的權(quán)限集合perm3 ��;
3.5.2查詢當前操作是否屬于perm3����,如是,則向訪問控制框架返回允許�;否則,向訪問控制框架返回禁止�����;
圖4為本發(fā)明第四步的主體類型轉(zhuǎn)換流程圖�����,具體按照如下方法處理來自訪問控制框架的訪問控制決策請求
第四步����,接收來自訪問控制框架的請求,按照如下方法確定進程改變執(zhí)行映像后��,其安全類型是否發(fā)生改變�,以及改變的結(jié)果。4. 1獲取主體�、客體的安全類型id ;假設(shè)主體類型為tid_s�����,客體類型為tid_o ;
4.2按照缺省情況�,先將進程新類型tid_n賦值為tid_s ;
4. 3判斷tid_s是否為proC_def_t��,如果是�����,則按如下方法計算用戶進程新類型���;否貝1J�,轉(zhuǎn)4.4步����;
4. 3. 1獲取當前用戶ID ;
4.3.2以當前用戶ID為關(guān)鍵字����,查詢用戶角色對應(yīng)關(guān)系列表。如存在匹配表項�,則以對應(yīng)關(guān)系指定的角色為當前角色;否則���,當前角色為def_role ���;
4. 3. 3以用戶當前角色、tid_o為關(guān)鍵字��,查詢角色相關(guān)類型轉(zhuǎn)換規(guī)則���; 4. 3. 4若存在匹配的規(guī)則���,則設(shè)置tid_n為規(guī)則指定的結(jié)果類型,轉(zhuǎn)4. 5步����; 4.3.5若不存在匹配的規(guī)則,轉(zhuǎn)4.4步�����;
4.4以tid_s與tis_o為關(guān)鍵字�,查詢一般類型類型轉(zhuǎn)換規(guī)則。按如下方法計算進程新類型
4. 4. 1若存在匹配的規(guī)則����,則設(shè)置tid_n為規(guī)則指定的結(jié)果類型����,轉(zhuǎn)4. 5步�;4. 4. 2若不存在匹配的規(guī)則,轉(zhuǎn)4. 5步��;
4.5向訪問控制框架返回tid_n�����,作為進程的新類型��。圖5為第五步描述的客體安全類型的確定流程圖����。其中,5a描述的是已存在的客體如何確定其安全屬性��;5b描述的是對于新創(chuàng)建的客體���,如何確定其安全屬性����。具體流程如下所示
5.1如果所查詢的客體已經(jīng)在文件系統(tǒng)中存在�����,則直接獲取該文件的安全類型,此時分為兩種情況
5. 1. 1若該客體已經(jīng)被設(shè)置了具體的安全類型����,則返回該類型����; 5. 1. 2若該客體沒有設(shè)置具體的安全類型,則返回imlabelecLt作為該文件的缺省安全類型����;
5. 2如果是新創(chuàng)建客體,此時需要根據(jù)客體類型轉(zhuǎn)換規(guī)則�����,計算得出新客體的安全類型��,具體按照如下方法實施
5. 2. 1獲取當前進程的安全類型tid_p ����;
5. 2. 2獲取被創(chuàng)建客體所在父目錄的安全類型tid_d ;
5.2.3以tid_p與tid_d為關(guān)鍵字���,查詢客體類型轉(zhuǎn)換規(guī)則�����,如存在匹配的規(guī)則��,返回規(guī)則指定的類型作為新客體的類型����;否則,返回imlabelecLt作為新客體的類型�。第六步,安全策略的維護���。安全策略是類型實施訪問控制進行安全決策的準則�����。類型實施訪問控制的最大特點就是所有安全類型���、訪問控制規(guī)則等都可以由用戶進行配置, 提供了最大的靈活度��。因此,安全策略的配置與維護是系統(tǒng)的重要組成部分��。本發(fā)明設(shè)計用戶(一般是安全管理員)通過用戶命令的方式對系統(tǒng)規(guī)則進行配置����,具體方法如下
6.1系統(tǒng)安全類型配置包括系統(tǒng)安全類型的添加與刪除,按照如下方法來完成配
置
6. 1. 1通過系統(tǒng)調(diào)用���,在內(nèi)核中對系統(tǒng)安全類型表做出相應(yīng)修改����; 6. 1. 2在用戶層�����,修改系統(tǒng)安全類型配置文件��;
6.2安全訪問控制規(guī)則配置包括主客體規(guī)則和主�����、客體通配規(guī)則的添加���、刪除與修改,按照如下方法來完成配置
6. 2. 1通過系統(tǒng)調(diào)用���,在內(nèi)核中對安全訪問控制規(guī)則表做出相應(yīng)修改�; 6. 2. 2在用戶層,修改系統(tǒng)安全訪問控制規(guī)則配置文件�;
6.3 一般類型轉(zhuǎn)換規(guī)則配置包括主體類型轉(zhuǎn)換規(guī)則和客體類型轉(zhuǎn)換規(guī)則的添加、刪除與修改���,按照如下方法來完成配置
6. 3. 1通過系統(tǒng)調(diào)用���,在內(nèi)核中對一般類型轉(zhuǎn)換規(guī)則表做出相應(yīng)修改; 6. 3. 2在用戶層��,修改系統(tǒng)一般類型轉(zhuǎn)換規(guī)則配置文件�����;
6.4角色相關(guān)類型轉(zhuǎn)換規(guī)則配置包括對角色相關(guān)類型轉(zhuǎn)換規(guī)則的添加��、刪除與修改�, 按照如下方法來完成配置
6. 4. 1通過系統(tǒng)調(diào)用,在內(nèi)核中對角色相關(guān)類型轉(zhuǎn)換規(guī)則表做出相應(yīng)修改�����; 6. 4. 2在用戶層,修改系統(tǒng)角色相關(guān)類型轉(zhuǎn)換規(guī)則配置文件�����; 6.5系統(tǒng)用戶角色對應(yīng)關(guān)系配置包括系統(tǒng)用戶角色對應(yīng)關(guān)系的的添加���、刪除與修改�, 按照如下方法來完成配置
6. 5. 1通過系統(tǒng)調(diào)用����,在內(nèi)核中對用戶角色對應(yīng)關(guān)系鏈表做出相應(yīng)修改;6.5.2在用戶層�,修改用戶角色對應(yīng)關(guān)系配置文件��;
參見圖1����,本發(fā)明進一步提供一種松散耦合角色授權(quán)的類型實施訪問控制系統(tǒng),它包括運行于操作系統(tǒng)內(nèi)核的類型實施訪問控制策略模塊����、運行于操作系統(tǒng)用戶層的策略安全配置命令模塊以及保存在文件系統(tǒng)中的策略規(guī)則配置模塊。類型實施訪問控制策略模塊運行在操作系統(tǒng)內(nèi)核中���,以安全模塊的形式掛接在操作系統(tǒng)安全訪問控制框架之下��。對系統(tǒng)的對象管理與訪問控制實施均由操作系統(tǒng)訪問控制框架負責�����,類型實施策略模塊主要接收來自訪問控制框架的訪問控制請求���,然后根據(jù)當前訪問策略配置得出安全決策���,發(fā)往訪問控制框架。類型實施策略模塊主要包括策略初始化��、主體安全類型遷移�����、客體安全類型遷移�、訪問權(quán)限檢查、策略規(guī)則配置管理5個子模塊����。 策略初始化模塊主要負責向訪問控制框架注冊安全模塊,以及系統(tǒng)安全策略配置���、系統(tǒng)進程初始安全類型設(shè)置等初始化工作��;初始化結(jié)束后�,系統(tǒng)將接收并處理來自訪問控制框架的請求,具體分工為訪問權(quán)限檢查模塊負責根據(jù)框架提供的主��、客體安全標記以及訪問操作類型����,得出決策是否允許訪問發(fā)生;主體安全類型遷移主要完成在用戶進程改變執(zhí)行映像時����,判斷是否發(fā)生主體類型的遷移;客體安全類型遷移主要完成在用戶新創(chuàng)建文件客體時���,得出新生成客體的安全類型�。此外���,用戶通過策略規(guī)則配置管理模塊對策略的配置進行修改。策略安全配置命令為用戶以命令行的方式為用戶提供類型實施安全策略維護的手段�����,主要通過類型實施內(nèi)核模塊提供的系統(tǒng)調(diào)用對類型實施策略模塊進行安全配置。安全配置命令將同時修改內(nèi)存中的策略規(guī)則以及保存在文件系統(tǒng)中的策略規(guī)則配置文件���。以上僅是本發(fā)明的優(yōu)選實施方式�����,本發(fā)明的保護范圍并不僅局限于上述實例����,凡屬于本發(fā)明思路下的技術(shù)方案均屬于本發(fā)明的保護范圍�。應(yīng)當指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說���,在不脫離本發(fā)明原理前提下的若干改進和潤飾���,應(yīng)視為本發(fā)明的保護范圍。
權(quán)利要求
1.一種松散耦合角色授權(quán)的類型實施訪問控制方法�,其特征在于在類型實施訪問控制方法的基礎(chǔ)上增加用戶角色關(guān)聯(lián)關(guān)系,并添加與用戶角色相關(guān)的進程類型轉(zhuǎn)換規(guī)則定義以及相應(yīng)的類型轉(zhuǎn)換判定機制�;在系統(tǒng)進程類型發(fā)生轉(zhuǎn)換時,根據(jù)角色相關(guān)進程類型轉(zhuǎn)換規(guī)則����,判斷是否根據(jù)用戶當前角色而發(fā)生與角色相關(guān)的類型轉(zhuǎn)換�����,以改變用戶進程執(zhí)行流����, 進入用戶角色特定的安全域����。
2.根據(jù)權(quán)利要求1所述的松散耦合角色授權(quán)的類型實施訪問控制方法,其特征在于步驟為①構(gòu)建類型實施安全控制系統(tǒng)���,類型實施安全控制系統(tǒng)用來接收來自訪問控制框架的訪問控制請求�����,然后根據(jù)當前訪問策略配置得出安全決策��;②進行類型實施安全管理2. 1定義類型實施安全策略的規(guī)則�,包括安全訪問控制規(guī)則�、一般類型轉(zhuǎn)換規(guī)則與角色相關(guān)類型轉(zhuǎn)換規(guī)則;定義用戶與角色的關(guān)聯(lián)關(guān)系一個用戶只允許關(guān)聯(lián)一種角色����,配置完成后,用戶登錄系統(tǒng)以后的進程都具有該角色����;2. 2完成類型實施安全控制系統(tǒng)的初始化,轉(zhuǎn)入運行模式���,接收來自訪問控制框架的請求��,按照上述類型實施安全策略規(guī)則�����,給出決策結(jié)果�����;如接收到訪問控制決策請求����,轉(zhuǎn)至步驟2. 3 ��;如接收到進程類型遷移請求���,轉(zhuǎn)至步驟2. 4 ����;如接收到確定客體類型的請求,轉(zhuǎn)至步驟 2. 5 �;2. 3接收來自訪問控制框架的訪問控制決策請求,根據(jù)主�����、客體的類型�,查詢安全訪問控制規(guī)則表,得出是否允許訪問繼續(xù)����;如果策略允許訪問執(zhí)行,則向訪問控制框架返回允許���;否則就返回禁止���;2. 4接收來自訪問控制框架的進程類型遷移請求,確定進程改變執(zhí)行映像后���,其安全類型是否發(fā)生改變����,以及改變的結(jié)果��;2.5接收來自訪問控制框架的確定客體類型的請求��,確定客體的類型�。
3.根據(jù)權(quán)利要求2所述的松散耦合角色授權(quán)的類型實施訪問控制方法,其特征在于 所述安全訪問控制規(guī)則為主體對客體訪問時所具有的權(quán)限集合���,該安全訪問控制規(guī)則包括主客體規(guī)則����、主體通配規(guī)則以及客體通配規(guī)則�����。
4.根據(jù)權(quán)利要求2所述的松散耦合角色授權(quán)的類型實施訪問控制方法�����,其特征在于 所述一般類型轉(zhuǎn)換規(guī)則為主體或客體發(fā)生類型轉(zhuǎn)換的條件及結(jié)果���,所述一般類型轉(zhuǎn)換規(guī)則包括主體類型轉(zhuǎn)換規(guī)則和客體類型轉(zhuǎn)換規(guī)則����。
5.根據(jù)權(quán)利要求2所述的松散耦合角色授權(quán)的類型實施訪問控制方法,其特征在于 所述角色相關(guān)類型轉(zhuǎn)換規(guī)則為在用戶以具體角色登錄的情況下����,進程類型可能發(fā)生的與角色相關(guān)的類型轉(zhuǎn)換規(guī)則。
6.根據(jù)權(quán)利要求2所述的松散耦合角色授權(quán)的類型實施訪問控制方法�,其特征在于所述步驟2. 2的具體步驟為(1)調(diào)用內(nèi)核訪問控制框架的模塊初始化函數(shù),向訪問控制框架注冊該模塊�����;(2)操作系統(tǒng)root文件系統(tǒng)掛載后��,訪問策略配置文件�,生成各策略規(guī)則的內(nèi)部表示,分別為系統(tǒng)安全類型鏈表���、訪問控制規(guī)則鏈表���、一般類型轉(zhuǎn)換鏈表、角色相關(guān)類型轉(zhuǎn)換鏈表以及用戶角色對應(yīng)關(guān)系鏈表���;(201)構(gòu)建系統(tǒng)安全類型鏈表讀取系統(tǒng)安全類型配置文件�,以安全類型名、安全類型 ID這2元組為表項�,生成系統(tǒng)安全類型鏈表;(202)構(gòu)建訪問控制規(guī)則鏈表讀取訪問控制規(guī)則配置文件��,以主體安全類型ID�、客體安全類型ID����、訪問控制權(quán)限集這3元組為表項,生成訪問控制規(guī)則鏈表���;(203)構(gòu)建一般類型轉(zhuǎn)換鏈表讀取一般類型轉(zhuǎn)換規(guī)則配置文件�����,以主體安全類型ID����、 客體安全類型ID����、process/file、新安全類型ID這4元組為表項�,生成一般類型轉(zhuǎn)換規(guī)則鏈表;(204)構(gòu)建角色相關(guān)類型轉(zhuǎn)換鏈表讀取角色相關(guān)類型轉(zhuǎn)換規(guī)則配置文件,以角色ID����、 客體安全類型ID、pr0CesS�、主體新安全類型ID這4元組為表項,生成角色相關(guān)類型轉(zhuǎn)換規(guī)則鏈表����;(205)構(gòu)建用戶角色對應(yīng)關(guān)系鏈表讀取用戶角色關(guān)聯(lián)關(guān)系配置文件,以用戶ID�、角色 ID這2元組為表項,生成用戶角色對應(yīng)關(guān)系鏈表����;(3)設(shè)置0號進程與1號進程的安全類型為proC_def_t; (4)遍歷在掛載root文件系統(tǒng)之前生成的文件inode�����,從文件系統(tǒng)中獲取該文件的安全屬性��,并設(shè)置到inode上�。
7.根據(jù)權(quán)利要求1-6中任意一項所述的松散耦合角色授權(quán)的類型實施訪問控制方法,其特征在于還包括安全策略的維護�����,所述用戶通過用戶命令的方式對系統(tǒng)規(guī)則進行配置。
8.一種松散耦合角色授權(quán)的類型實施訪問控制系統(tǒng)��,其特征在于包括運行于操作系統(tǒng)內(nèi)核的類型實施訪問控制策略模塊����、運行于操作系統(tǒng)用戶層的策略安全配置模塊以及位于文件系統(tǒng)中的策略規(guī)則配置模塊,所述類型實施訪問控制策略模塊主要接收來自訪問控制框架的訪問控制請求�����,并根據(jù)當前訪問策略配置得出安全決策�,發(fā)往訪問控制框架�;所述策略安全配置模塊以命令行的方式為用戶提供類型實施安全策略維護的手段,通過類型實施內(nèi)核模塊提供的系統(tǒng)調(diào)用對類型實施策略進行安全配置�����,所述安全配置命令將同時修改內(nèi)存中的策略規(guī)則以及保存在文件系統(tǒng)中的策略規(guī)則配置模塊����。
9.根據(jù)權(quán)利要求8所述的松散耦合角色授權(quán)的類型實施訪問控制系統(tǒng),其特征在于 所述類型實施訪問控制策略模塊包括策略初始化�����、主體安全類型遷移、客體安全類型遷移���、 訪問權(quán)限檢查���、策略規(guī)則配置管理5個子模塊,所述策略初始化模塊主要負責向訪問控制框架注冊安全模塊��,以及系統(tǒng)安全策略配置��、系統(tǒng)進程初始安全類型設(shè)置等初始化工作����;所述訪問權(quán)限檢查模塊負責根據(jù)框架提供的主、客體安全標記以及訪問操作類型�,得出決策是否允許訪問發(fā)生;所述主體安全類型遷移主要完成在用戶進程改變執(zhí)行映像時�,判斷是否發(fā)生主體類型的遷移;所述客體安全類型遷移主要完成在用戶新創(chuàng)建文件客體時�����,得出新生成客體的安全類型��。
全文摘要
一種松散耦合角色授權(quán)的類型實施訪問控制方法及其系統(tǒng),該方法為在類型實施訪問控制方法的基礎(chǔ)上增加用戶角色關(guān)聯(lián)關(guān)系���,并添加與用戶角色相關(guān)的進程類型轉(zhuǎn)換規(guī)則定義以及相應(yīng)的類型轉(zhuǎn)換判定機制��;在系統(tǒng)進程類型發(fā)生轉(zhuǎn)換時���,根據(jù)進程類型轉(zhuǎn)換規(guī)則,判斷是否根據(jù)用戶當前角色而發(fā)生與角色相關(guān)的類型轉(zhuǎn)換����,以改變用戶進程執(zhí)行流,進入用戶角色特定的安全域���。該系統(tǒng)包括運行于操作系統(tǒng)內(nèi)核的類型實施訪問控制策略模塊、運行于操作系統(tǒng)用戶層的策略安全配置模塊以及位于文件系統(tǒng)中的策略規(guī)則配置模塊�����。本發(fā)明具有可減少用戶角色配置更改對類型實施規(guī)則系統(tǒng)的影響�、降低安全配置難度、方便用戶根據(jù)實際使用情況靈活配置等優(yōu)點��。
文檔編號G06F12/14GK102222191SQ20111016202
公開日2011年10月19日 申請日期2011年6月16日 優(yōu)先權(quán)日2011年6月16日
發(fā)明者丁滟, 何連躍, 吳慶波, 唐曉東, 戴華東, 陳松政, 魏立峰 申請人:中國人民解放軍國防科學技術(shù)大學