毕业设计（论文）-基于进程的访问控制技技术究与实现.doc

摘要操作系统的安全是计算机系统安全的基石，对计算机的资源进行访问控制是操作系统安全机制的重要内容。基于进程的访问控制是为了增强现有的操作系统的安全性，其原理是依据进程的具体功能，进一步划分对系统资源访问权限管理的粒度，从而最大程度地降低有害程序对计算机系统的威胁。 本文分析了自主访问控制（dac）、强制访问控制、基于角色的访问控制（rbac）的原理和机制，研究了通用安全框架lsm（linux安全模块）的实施过程，给出了在linux系统中基于进程访问控制的设计和实现。本文分析了相对于传统的自主访问控制和强制访问控制，基于进程访问控制的特点；描述了在linux2.6.x内核上实现访问控制的模型；设计了在lsm框架下基于进程访问控制的模型。 关键词：linux系统安全 访问控制 lsm 安全框架abstractoperating system security is the foundation of computer system security ，access control to computer resources is an important content of the operating system security mechanisms. access control is based on the process to enhance the security of the existing operating system. the principle is based on specific features of the process ,and is further divided on the granularity of the access management of system resources so as to minimize the unwanted program threats to computer systems.this article analyses the discretionary access control (dac), mandatory access control, role-based access control (rbac) the principles and mechanisms, researches the general security framework lsm (linux security modules) implementation process, provides the linux system based on process design and implementation of access control.also ，this article compares the relatively traditional discretionary access control and mandatory access control, process-based access control features; describes models of access control on the linux2.6.x kernel and designs the context of lsm process-based access control model. keyword：linux system security access control lsm 目录目录第一章 绪论11.1 操作系统安全的重要性11.1.1 操作系统安全面临的威胁11.1.2 安全操作系统的发展21.1.3 中国安全操作系统的发展31.2 本文研究内容及目标3第二章 安全机制及安全框架52.1 安全机制52.1.1 基本概念52.1.2 自主访问控制52.1.3 强制访问控制62.1.4 基于角色的访问控制72.2 lsm通用安全框架92.2.1 lsm的由来92.2.2 lsm设计思想102.3 lsm设计分析132.3.1 lsm设计分析132.3.2 接口说明：给内核开发人员和安全研究人员使用的钩152.4本章小结17第三章 基于进程的访问控制的设计193.1 基于进程的访问控制提出193.1.1 思路分析193.2访问控制模型的建立203.2.1 基本集合203.2.2 模型定义203.2.3 模型描述213.3 基于进程的访问控制的设计223.3.1基于进程的访问控制模型的设计223.3.2基于进程的访问控制框架233.3.3 安全授权模块的设计243.3.4 访问规则模块的设计253.3.5 访问判决模块的设计263.4 基于基础的访问控制机制的实现263.4.1安全授权模块的实现263.4.2访问规则模块的设计283.4.3 访问判决模块的实现293.4.4 模块的注册和注销313.5本章小结31第四章 测试和分析334.1模块加载334.2 模块测试344.3 系统性能测试354.4本章小结35第五章 总结和体会37致谢39参考文献：41第一章 绪论3第一章 绪论1.1 操作系统安全的重要性 随着计算机技术和网络技术的迅速发展，信息共享的程度逐步提高，信息安全受到越来越多人们的关注。操作系统作为计算机系统的基础软件，是计算机资源的首要管理者，控制着整个系统的运行，直接和硬件打交道并为用户提供接口，是计算机软件的基础。因此，操作系统的安全是计算机系统安全的基石。 1.1.1 操作系统安全面临的威胁随着网络技术的发展，越来越多的系统遭到入侵攻击的威胁，这些威胁大多数是通过操纵系统和应用程序的弱点和缺陷实现的。对操作系统安全构成的威胁主要有以下几大类：1）计算机病毒：编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒（computer virus）。具有破坏性，复制性和传染性。 2)特洛伊木马：指包含在合法程序中的非法程序，在用户不知情的情况下执行，并把用户信息发给攻击者。不具有复制性，但仍有潜伏性，并且会欺骗用户并造成更大的危害。3）隐蔽通道：给定一个强制安全策略模型m和它在一个操作系统中的解释i(m),i(m)中两个主体i(si)和i(sj)之间的任何潜在通信都是隐蔽的,当且仅当模型m中的相应主体si和sj之间的任何通信在m中都是非法的。（系统中不受安全策略控制的，违反安全策略的信息泄露路径）隐蔽通道主要有两种类型:存储通道和定时通道.如果一个进程直接或间接地写一个存储单元,另一个进程直接或间接地读该存储单元,则称这种通道为隐蔽存储通道.如果一个进程通过调节它对系统资源的使用,影响另外一个进程观察到的真实响应时间,实现一个进程向另一个进程传递信息,则称这种通道为隐蔽定时通道. 4)后门：是利用植入操作系统内部的一段非法代码入侵系统。后门只能利用操作系统本身的缺陷或有系统的开发人员安装。面对各种各样的安全威胁和攻击，我们必须采取行之有效地安全机制进行保护、防御和反击。1.1.2 安全操作系统的发展从20实际60年代开始，人们便开始了对安全操作系统的研究，并经历了四个主要阶段：奠基时期（foundation period）、食谱时期（cookbook period）、多策略时期（multi-policy period）、和动态策略时期（dynamic-policy period）1。奠基时期：起始于1967年安全adept-50项目的启动。在这个时期，安全操作系统经历了从无到有的探索过程，安全操作系统的基本思想、理论、技术和方法逐步建立。食谱时期：1983年美国国防部颁布了历史上第一个计算机安全评价标准，即可信计算机系统评价标准（tcsec2），它为安全系统指定了一个单一的系统安全策略。在这一时期，主要是围绕tcsec为蓝本研制安全操作系统，包括：1984年，axiom公司研发的linus iv 系统，1986年ibm公司的xenix系统，1988年at&t bell实验室开发的system v/mls系统，1990年trw公司开发的asos系统等。多策略时期：起始于1993年， 这个时期人们开始超越tcses的范围，在安全操作系统中实现多种安全策略。1997年完成的dtos（distributed trusted operating system）项目就是能够支持多种安全策略的一个原型系统，能支持多级安全策略（mls）、基于标识的访问策略（ibac）、类型强制策略（te）等。动态策略时期：1999年flask3系统的诞生是进入动态策略时期的标志，这个时期的特点是使安全操作系统支持多种安全策略的动态变化，从而实现了安全策略的多样性。 linux作为一个类unix操作系统，遵循gpl协议4和开放源代码，可用来做服务器安全操作系统。而且已经有许多访问控制模型、框架被研发出来，如selinux5（security-enforced linux）、域与类型强制（domain and type enforcement ，dte）、rsbac（rule set based access control）等。为了支持众多的安全模型，在linus的提议下，chris wright ,crispin cowan,stephen smalley 等人发布了基于linux 内核2.4.18版本的linux安模块（linux security modules，lsm6）的补丁程序。lsm是linux黑河的轻量级通用访问控制框架，它可允许多种不同的访问控制模型作为可加载的内核模块实施，用户可根据需求选择合适的安全模块加载到linux内核中，开发符合自身要求的安全模块也无需改变内核数据结构及内核源代码，提高了linux访问控制机制的灵活性和易用性。1.1.3 中国安全操作系统的发展 我国的安全操作系统研究起步较晚，信息安全工作主要还是以网络防护为主，但任然开展了一系列的工作，并取得了一定的成绩。如：中科院软件所的红旗安全操作系统rfsos(redflag secure os)7；国防科技大学主持开发了银河麒麟服务器操作系统(kylin20)；中科院计算所研究开发了linux的入侵检测系统(linux intrusion detection system，简记lids)8；南京大学开发了softos服务器安全操作系统；中科院信息安全中心的seclinux；信息产业部电子第三十研究所开发了强林linux安全操作系统等。 1.2 本文研究内容及目标 本文先对安全操作系统现存的各种安全机制和安全框架进行分析，提出构建在lsm框架下的基于进程的访问控制，设计了其实现方法.第二章 安全机制及安全框架17第二章 安全机制及安全框架 2.1 安全机制2.1.1 基本概念访问控制，是指控制系统中主体对客体的访问，也即根据访问主体和客体间的关系，来决定主体是否可以访问客体。这里的主体可以是进程等，客体可以是文件、目录等，访问可以是读、写和执行等9。 主体是指主动的实体，是访问的发起者，它造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。 客体是指包含或接受信息的被动实体，客体在信息流动中的地位是被动的，是处于主体的作用之下，对客体的访问意味着对其中所包含信息的访问。客体通常包括文件、设备、信号量和网络节点等。访问(access)是使信息在主体(subject)和客体(object)之间流动的一种交互方式。访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计等等。访问控制涉及的领域很广，方法也很多，通常访问控制策略可以划分为自主访问控制、强制访问控制和基于角色的访问控制三种。 2.1.2 自主访问控制自主访问控制是一种最为普遍的访问控制手段，用户可以按自己的意愿对系统的参数做适当的修改以决定哪些用户可以访问他们的文件，亦即一个用户可以有选择地于其他用户共享他的文件。用户有自主的决定权。自主访问控制一个安全的操作系统需要具备访问控制机制。它基于对主体及客体所属的主体组的识别，来限制对课题的访问，还要校验主体对客体的访问清酒是否符合存取控制规定来决定对客体访问的执行与否。这里所谓的自主访问控制是指主体可以自主地讲访问权，或访问权的某个子集授予其他主体。传统的自主访问控制模型是基于状态机设计的，系统的状态可以用三元组(s,o,a)表示，其中s表示系统中主体的集合，o表示系统中客体的集合，a表示二维的访问矩阵。在此访问矩阵中，主体用行来表示，客体用列来表示，主客体的交叉点就表示主体对客体所拥有的访问权限，此访问权限取决于访问权限有限集，如读、写、追加等。 图2.1访问矩阵通过上图的访问控制矩阵，对任意的，都相应的存在，决定了主体可对客体可以进行何种操作。自主访问控制可以通过图2.2说明：图2.2 自主访问控制示意图2.1.3 强制访问控制强制访问控制是“强加”给访问主体的，即系统强制主体服从访问控制政策。强制访问控制（mac）的主要特征是对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能改变他自己及任何其它客体的敏感标记，从而系统可以防止特洛伊木马的攻击。 强制访问控制技术的基本思想是：系统中的主体、客体被赋予了相应的安全属性，系统通过比较主、客体安全属性间的关系来确定主体是否有访问客体的权限。安全属性是强制的，它是由安全管理员或操作系统按照限定的规则分配，用户或代表用户的进程不能修改安全属性，即使是用户拥有的客体的安全属性也不能被修改。如果系统认为具有某一安全属性的用户不能访问某个客体，则任何人(含客体的所有者)都不能使该用户具有访问此客体的权限，即系统独立于用户行为“强制”执行访问控制。 强制访问控制机制和自主访问控制机制最根本的区别在于强制访问控制是由系统(而不是属主)依据相应的访问规则来判断此次访问的合法性，对用户及用户程序的行为进行限制，而自主访问控制则是由资源的属主来决定谁可以对资源进行何种访问，访问完全由资源属主决定。在实际应用中，某些关键资源的属主可能对系统和安全没有深入的了解，较难准确地设置资源的安全属性。强制访问控制可通过图2.3来说明 图2.3 强制访问控制示意图2.1.4 基于角色的访问控制基于角色的访问控制(role based access control)的基本思想是：在用户和访问许可权限之间引入角色(role)的概念，角色可以由安全管理员根据实际的 工作需要生成或取消，并分配给指定的用户，用户与角色相联系，角色与访问许可权限相联系，一个用户对应一个或多个角色，一个角色对应一个或多个访问许可权限1011。这样便可以通过给用户指派角色进行授权，从而实现了用户与访问权限的分离，降低了用户对系统产生危害的可能性。 基于角色访问控制（rbac）模型是目前国际上流行的先进的安全访问控制方法。它通过分配和取消角色来完成用户权限的授予和取消，并且提供角色分配规则。安全管理人员根据需要定义各种角色，并设置合适的访问权限，而用户根据其责任和资历再被指派为不同的角色。这样，整个访问控制过程就分成两个部分，即访问权限与角色相关联，角色再与用户关联，从而实现了用户与访问权限的逻辑分离。由于实现了用户与访问权限的逻辑分离，基于角色的策略极大的方便了权限管理。例如，如果一个用户的职位发生变化，只要将用户当前的角色去掉，加入代表新职务或新任务的角色即可。研究表明，角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多，并且给用户分配角色不需要很多技术，可以由行政管理人员来执行，而给角色配置权限的工作比较复杂，需要一定的技术，可以由专门的技术人员来担但是不给他们给用户分，这与现实中的情况正好一致。图2.4 rbac模型结构图2.2 lsm通用安全框架2.2.1 lsm的由来近年来linux系统由于其出色的性能和稳定性，开放源代码特性带来的灵活性和可扩展性，以及较低廉的成本，而受到计算机工业界的广泛关注和应用。但在安全性方面，linux内核只提供了经典的unix自主访问控制（root用户，用户id，模式位安全机制），以及部分的支持了posix.1e标准草案中的capabilities安全机制，这对于linux系统的安全性是不足够的，影响了linux系统的进一步发展和更广泛的应用。有很多安全访问控制模型和框架已经被研究和开发出来，用以增强linux系统的安全性，比较知名的有安全增强linux（selinux），域和类型增强（dte），以及linux入侵检测系统（lids）等等。但是由于没有一个系统能够获得统治性的地位而进入linux内核成为标准；并且这些系统都大多以各种不同的内核补丁的形式提供，使用这些系统需要有编译和定制内核的能力，对于没有内核开发经验的普通用户，获得并使用这些系统是有难度的。在2001年的linux内核峰会上，美国国家安全局（nsa）介绍了他们关于安全增强linux（selinux）的工作，这是一个灵活的访问控制体系flask在linux中的实现，当时linux内核的创始人linus torvalds同意linux内核确实需要一个通用的安全访问控制框架，但他指出最好是通过可加载内核模块的方法，这样可以支持现存的各种不同的安全访问控制系统。因此，linux安全模块（lsm）应运而生。linux安全模块（lsm）是linux内核的一个轻量级通用访问控制框架。它使得各种不同的安全访问控制模型能够以linux可加载内核模块的形式实现出来，用户可以根据其需求选择适合的安全模块加载到linux内核中，从而大大提高了linux安全访问控制机制的灵活性和易用性。目前已经有很多著名的增强访问控制系统移植到linux安全模块（lsm）上实现，包括posix.1e capabilities，安全增强linux（selinux），域和类型增强（dte），以及linux入侵检测系统（lids）等等。在linux2.4稳定版本系列和linux2.5开发版本系列中，lsm作为内核补丁提供给用户，在linux2.6稳定版本中，lsm被linux内核接受成为linux内核安全机制的标准，在各个linux发行版中提供给用户使用。2.2.2 lsm设计思想linux安全模块（lsm）的设计必须尽量满足两方面人的要求：让不需要它的人尽可能少的因此得到麻烦；同时让需要它的人因此得到有用和高效的功能。以linus torvalds为代表的内核开发人员对linux安全模块（lsm）提出了三点要求：真正的通用，当使用一个不同的安全模型的时候，只需要加载一个不同的内核模块 概念上简单，对linux内核影响最小，高效，并且能够支持现存的posix.1e capabilities逻辑，作为一个可选的安全模块另一方面，各种不同的linux安全增强系统对linux安全模块（lsm）提出的要求是：能够允许他们以可加载内核模块的形式重新实现其安全功能，并且不会在安全性方面带来明显的损失，也不会带来额外的系统开销。为了满足这些设计目标，linux安全模块（lsm）采用了通过在内核源代码中放置钩子的方法，来仲裁对内核内部对象进行的访问，这些对象有：任务，inode结点，打开的文件等等。用户进程执行系统调用，首先游历linux内核原有的逻辑找到并分配资源，进行错误检查，并经过经典的unix自主访问控制，恰好就在linux内核试图对内部对象进行访问之前，一个linux安全模块（lsm）的钩子对安全模块所必须提供的函数进行一个调用，从而对安全模块提出这样的问题是否允许访问执行？，安全模块根据其安全策略进行决策，作出回答：允许，或者拒绝进而返回一个错误。另一方面，为了满足大多数现存linux安全增强系统的需要，linux安全模块（lsm）采取了简化设计的决策。linux安全模块（lsm）现在主要支持大多数现存安全增强系统的核心功能：访问控制；而对一些安全增强系统要求的其他安全功能，比如安全审计，只提供了的少量的支持。linux安全模块（lsm）现在主要支持限制型的访问控制决策：当linux内核给予访问权限时，linux安全模块（lsm）可能会拒绝，而当linux内核拒绝访问时，就直接跳过linux安全模块（lsm）；而对于相反的允许型的访问控制决策只提供了少量的支持。对于模块功能合成，linux安全模块（lsm）允许模块堆栈，但是把主要的工作留给了模块自身：由第一个加载的模块进行模块功能合成的最终决策。所有这些设计决策可能暂时影响了linux安全模块（lsm）的功能和灵活性，但是大大降低了linux安全模块（lsm）实现的复杂性，减少了对linux内核的修改和影响，使得其进入linux内核成为安全机制标准的可能性大大提高；等成为标准后，可以改变决策，增加功能和灵活性。posix1e权能逻辑提供了授权被粗粒度访问机制拒绝的访问的功能。lsm将权能逻辑设计为一个可选的模块，如图2.5所示。首先像传统访问控制一样，由主体发起对客体的访问请求，然后进行对主体身份的标识，在进行传统的dac检查时，如果用户id检查失败，控制流程会通过调用lsm安全框架中的许可钩子函数，来询问具体模块中注册的相应函数，如果函数 允许覆盖dac机制，那么安全模块就可以对访问请求重新授权，否则拒绝访问。从对权能逻辑的处理流程也可以发现对每一现存的安全模型，通用框架都尽可能提供最小支持以维持框架的通用性和对系统的影响最小。 图 2.5 lsm权能逻辑框图 加入lsm安全框架后，用户进程对资源进行访问的执行过程如图2.6所示。首先用户进程发起对客体进行访问的需求，然后执行系统调用从而进入内核态，由linux内核查找并分配资源，接着进行错误检查，并经过传统的unix自主访问控制，在linux内核试图对内核客体进行访问之前，通用框架的钩子函数调用安全模块注册的函数，从而对安全模块提出问题“是否允许访问执行?”，安全模块根据其安全策略进行相应的操作。通过图26可以看出，钩子函数是在最接近所需访问的客体的层次上插入的，这样可以 保证对内核的影响达到最小。因为所有的操作都会汇集到访问的发生点，钩子函数在这里可以满足各种安全项目的需求及设计简单的原则。 图2.6 lsm结构框图2.3 lsm设计分析linux安全模块（lsm）目前作为一个linux内核补丁的形式实现。其本身不提供任何具体的安全策略，而是提供了一个通用的基础体系给安全模块，由安全模块来实现具体的安全策略。其主要在五个方面对linux内核进行了修改：在特定的内核数据结构中加入了安全域；在内核源代码中不同的关键点插入了对安全钩子函数的调用； 加入了一个通用的安全系统调用 ；提供了函数允许内核模块注册为安全模块或者注销； 将capabilities逻辑的大部分移植为一个可选的安全模块。2.3.1 lsm设计分析 下面对这五个方面的修改逐个做简要的介绍。 (一） 安全域是一个void*类型的指针，它使得安全模块把安全信息和内核内部对象联系起来。下面列出被修改加入了安全域的内核数据结构，以及各自所代表的内核内部对象：task_struct结构：代表任务（进程） linux_binprm结构：代表程序super_block结构：代表文件系统 inode结构：代表管道，文件，或者socket套接字 file结构：代表打开的文件 sk_buff结构：代表网络缓冲区（包） net_device结构：代表网络设备 kern_ipc_perm结构：代表semaphore信号，共享内存段，或者消息队列 msg_msg：代表单个的消息 另外，msg_msg结构，msg_queue结构，shmid_kernel结构被移到include/linux/msg.h和include/linux/shm.h这两个头文件中，使得安全模块可以使用这些定义。 （二） linux安全模块（lsm）提供了两类对安全钩子函数的调用：一类管理内核对象的安全域，另一类仲裁对这些内核对象的访问。对安全钩子函数的调用通过钩子来实现，钩子是全局表security_ops中的函数指针，这个全局表的类型是security_operations结构，这个结构定义在include/linux/security.h这个头文件中，这个结构中包含了按照内核对象或内核子系统分组的钩子组成的子结构，以及一些用于系统操作的顶层钩子。在内核源代码中很容易找到对钩子函数的调用：其前缀是security_ops-。对钩子函数的详细说明留到后面。（三）linux安全模块（lsm）提供了一个通用的安全系统调用，允许安全模块为安全相关的应用编写新的系统调用，其风格类似于原有的linux系统调用socketcall()，是一个多路的系统调用。这个系统调用为security()，其参数为(unsigned int id, unsigned int call, unsigned long *args)，其中id代表模块描述符，call代表调用描述符，args代表参数列表。这个系统调用缺省的提供了一个sys_security()入口函数：其简单的以参数调用sys_security()钩子函数。如果安全模块不提供新的系统调用，就可以定义返回-enosys的sys_security()钩子函数，但是大多数安全模块都可以自己定义这个系统调用的实现。（四） 在内核引导的过程中，linux安全模块（lsm）框架被初始化为一系列的虚拟钩子函数，以实现传统的unix超级用户机制。当加载一个安全模块时，必须使用register_security()函数向linux安全模块（lsm）框架注册这个安全模块：这个函数将设置全局表security_ops，使其指向这个安全模块的钩子函数指针，从而使内核向这个安全模块询问访问控制决策。一旦一个安全模块被加载，就成为系统的安全策略决策中心，而不会被后面的register_security()函数覆盖，直到这个安全模块被使用unregister_security()函数向框架注销：这简单的将钩子函数替换为缺省值，系统回到unix超级用户机制。另外，linux安全模块（lsm）框架还提供了函数mod_reg_security()和函数mod_unreg_security()，使其后的安全模块可以向已经第一个注册的主模块注册和注销，但其策略实现由主模块决定：是提供某种策略来实现模块堆栈从而支持模块功能合成，还是简单的返回错误值以忽略其后的安全模块。这些函数都提供在内核源代码文件security/security.c中。（五） linux内核现在对posix.1e capabilities的一个子集提供支持。linux安全模块（lsm）设计的一个需求就是把这个功能移植为一个可选的安全模块。posix.1e capabilities提供了划分传统超级用户特权并赋给特定的进程的功能。linux安全模块（lsm）保留了用来在内核中执行capability检查的现存的capable()接口，但把capable()函数简化为一个linux安全模块（lsm）钩子函数的包装，从而允许在安全模块中实现任何需要的逻辑。linux安全模块（lsm）还保留了task_struck结构中的进程capability集（一个简单的位向量），而并没有把它移到安全域中去。linux内核对capabilities的支持还包括两个系统调用：capset()和capget()。linux安全模块（lsm）同样保留了这些系统调用但将其替换为对钩子函数的调用，使其基本上可以通过security()系统调用来重新实现。linux安全模块（lsm）已经开发并且移植了相当部分的capabilities逻辑到一个capabilities安全模块中，但内核中仍然保留了很多原有capabilities的残余。这些实现方法都最大程度的减少了对linux内核的修改影响，并且最大程度保留了对原有使用capabilities的应用程序的支持，同时满足了设计的功能需求。以后要使capabilities模块完全独立，剩下要做的主要步骤是：把位向量移到task_struct结构中合适的安全域中，以及重新定位系统调用接口。2.3.2 接口说明：给内核开发人员和安全研究人员使用的钩linux安全模块（lsm）对于内核开发人员和安全研究人员的价值就在于：可以使用其提供的接口将现存的安全增强系统移植到这一框架上，从而能够以可加载内核模块的形式提供给用户使用；或者甚至可以直接编写适合自己需要的安全模块。linux安全模块（lsm）提供的接口就是钩子，其初始化时所指向的虚拟函数实现了缺省的传统unix超级用户机制，模块编写者必须重新实现这些钩子函数来满足自己的安全策略。下面简要介绍linux安全模块（lsm）提供的钩子，详细情况请参考源代码，特别是include/linux/security.h头文件中security_operations结构的定义。至于具体如何根据自己需要的安全策略编写安全模块，可以参考selinux，dte，lids等系统的安全模块实现。首先是任务钩子，linux安全模块（lsm）提供了一系列的任务钩子使得安全模块可以管理进程的安全信息并且控制进程的操作。模块可以使用task_struct结构中的安全域来维护进程安全信息；任务钩子提供了控制进程间通信的钩子，例如kill()；还提供了控制对当前进程进行特权操作的钩子,例如setuid()；还提供了对资源管理操作进行细粒度控制的钩子，例如setrlimit()和nice()。其次是程序装载钩子。很多安全模块，包括linux capabilities，selinux，dte都需要有在一个新程序执行时改变特权的能力。因此linux安全模块（lsm）提供了一系列程序装载钩子，用在一个execve()操作执行过程的关键点上。linux_binprm结构中的安全域允许安全模块维护程序装载过程中的安全信息；提供了钩子用于允许安全模块在装载程序前初始化安全信息和执行访问控制；还提供了钩子允许模块在新程序成功装载后更新任务的安全信息；还提供了钩子用来控制程序执行过程中的状态继承，例如确认打开的文件描述符。再次是进程间通信ipc钩子。安全模块可以使用进程间通信ipc钩子来对system v ipc的安全信息进行管理，以及执行访问控制。ipc对象数据结构共享一个子结构kern_ipc_perm，并且这个子结构中只有一个指针传给现存的ipcperms()函数进行权限检查，因此linux安全模块（lsm）在这个共享子结构中加入了一个安全域。为了支持单个消息的安全信息，linux安全模块（lsm）还在msg_msg结构中加入了一个安全域。linux安全模块（lsm）在现存的ipcperms()函数中插入了一个钩子，使得安全模块可以对每个现存的linux ipc权限执行检查。由于对于某些安全模块，这样的检查是不足够的，linux安全模块（lsm）也在单个的ipc操作中插入了钩子。另外还有钩子支持对通过system v消息队列发送的单个消息进行细粒度的访问控制。下面是文件系统钩子。对于文件操作，定义了三种钩子：文件系统钩子，inode结点钩子，以及文件钩子。linux安全模块（lsm）在对应的三个内核数据结构中加入了安全域，分别是：super_block结构，inode结构，file结构。超级块文件系统钩子使得安全模块能够控制对整个文件系统进行的操作，例如挂载，卸载，还有statfs()。linux安全模块（lsm）在permission()函数中插入了钩子，从而保留了这个函数，但是也提供了很多其他inode结点钩子来对单个inode结点操作进行细粒度访问控制。文件钩子中的一些允许安全模块对read()和write()这样的文件操作进行额外的检查；还有文件钩子允许安全模块控制通过socket ipc接收打开文件描述符；其他的文件钩子对像fcntl()和ioctl()这样的操作提供细粒度访问控制。接下来是网络钩子。对网络的应用层访问使用一系列的socket套接字钩子来进行仲裁，这些钩子基本覆盖了所有基于socket套接字的协议。由于每个激活的用户socket套接字有伴随有一个inode结构，所以在socket结构或是更底层的sock结构中都没有加入安全域。socket套接字钩子对有关进程的网络访问提供了一个通用的仲裁，从而显著扩展了内核的网络访问控制框架（这在网络层是已经由linux内核防火墙netfilter进行处理的）。例如sock_rcv_skb钩子允许在进入内核的包排队到相应的用户空间socket套接字之前，按照其目的应用来对其进行仲裁。另外linux安全模块（lsm）也为ipv4，unix域，以及netlink协议实现了细粒度的钩子，以后还可能实现其他协议的钩子。网络数据以包的形式被封装在sk_buff结构（socket套接字缓冲区）中游历协议栈，linux安全模块（lsm）在sk_buff结构中加入了一个安全域，使得能够在包的层次上对通过网络层的数据的安全信息进行管理，并提供了一系列的sk_buff钩子用于维护这个安全域的整个生命周期。硬件和软件网络设备被封装在一个net_device结构中，一个安全域被加到这个结构中，使得能够在设备的层次上维护安全信息。最后是其他的钩子。linux安全模块（lsm）提供了两种其他系列的钩子：模块钩子和顶层的系统钩子。模块钩子用来控制创建，初始化，清除内核模块的内核操作。系统钩子用来控制系统操作，例如设置主机名，访问i/o端口，以及配置进程记帐。虽然现在的linux内核通过使用capability检查对这些系统操作提供了一些支持，但是这些检查对于不同操作差别很大并且没有提供任何参数信息。2.4本章小结本章主要对linux的安全机制和安全框架进行的分析和研究，并给出了通过lsm安全框架来实现内核安全模块的方法。第三章 基于进程的访问控制的设计31第三章 基于进程的访问控制的设计3.1 基于进程的访问控制提出在传统的访问控制中用户可以自主地将访问权，或访问权的某个子集授权给其他主体，并以此来判断对客体的操作。然而用户对客体的访问时通过执行具体的进程来实现的，因此进程在对客体访问时就有主体的所有访问权限，这就导致了进程的权限过于宽泛，访问粒度不够细，违背了最小访问权限的原则。强制访问控制机制可以使访问粒度变细，但是不够灵活。因为要维护基本的访问控制矩阵，每当新的主体或对象被添加到系统中，他们必须被增加到访问矩阵中（尽管在有的系统中该矩阵被作为一个模型，但基本的问题仍然存在，仍然需要占用每个主体和客体）。如果系统中存在很多的对象，没增加一个主体，就不得不为所有的对象作出是否允许这个新的主体能够访问它们的决定。由此，我们提出基于进程的访问控制思想（process based access control），将用户进程作为访问控制的主体，依据规则来指定进程访问控制客体资源12，这样就可以有效地控制访问粒度，防止进程权限过于宽泛的问题了。3.1.1 思路分析传统的访问控制可以用三元组（s,o,a）表示，其中s表示用户集合，o表示客体集合，a表示访问权限集合。对任意的，都相应的存在，决定了主体可对客体可以进行何种操作。传统的访问控制模型中只描述了用户对资源的访问权限，而没有准确指出用户执行的某一进程应该享有该用户的那些权限（该用户的权限的一个子集），而是默认用户执行的程序就拥有该用户享有的所有权限。因此，当用户执行一个进程时，这个进程就有了的所有访问权限，如果攻击者将木马植入该程序，入侵者就有可能通过该程序获得用户的权限。这样以来，系统的安全就得不到保障。基于进程的访问控制通过四元组(s，p，o，a)来表示，其中s表示用户集合，p表示当前正在运行的进程，这是访问控制的主体，o表示客体集合，a表示访问权限集合，这样便可以组成一个三维的访问控制矩阵，可描述如下：对于任意的都相应的存在，表示当用户，在运行进程，时对客体。所进行的操作。因此当用户，运行进程，时就无法获得的所有权限，这样即使该进程被非法控制，由于对资源的访问权限更加细致，所以造成的破坏比原先要小很多。可见，基于进程的访问控制思想不但能够有效地阻止非法用户的进程对资源的访问，同时也能限制合法用户的进程对系统资源的非法使用。在传统的访问控制模型之后，由基于进程的访问控制进行更细致的控制，从而可以有效阻止针对系统安全漏洞的攻击。3.2访问控制模型的建立3.2.1 基本集合主体（subject）：系统中具有主动行为能力的对象。主要包括用户(user)和进程（process）。客体（object）：系统中能够保存信息的实体，只能被动地接受主体的访问。主要包括文件（file）、目录（dir）、设备（dev）、进程间通信（ipc）、访问权限：主体对客体操作的学科，主体拥有某个权限表示主体可以对客体进行某种操作，用一个三元组表示：（主体，客体，访问类型）、3.2.2 模型定义users，process，objects，permission分别表示用户，进程，客体和权限的集合。up表示用户对客体操作许可权限的集合；pp表示进程对客体操作许可权限的集合；，表示任意一个用户；，表示任意一个进程；，表示任意一个课题；，表示用户对客体的访问权限的集合；，表示进程对客体的访问权限的集合；，表示当用户 执行进程是对客体访问权限的集合，且；upa，权限到用户的映射关系；ppa, 权限到进程的映射关系；ph，表示进程间的集成关系；如果（x，y）ph，可以表示为描述子进程x集成父进程y的所有权限。模型用图3.1来表示：图3.1 访问控制模型框图3.2.3 模型描述主体是系统中具有主动行为能力的对象，包括用户和进程。用户通过运行可执行程序来创建进程。对客体的访问取决于用户对客体的访问权限和进程对客体的访问权限。用户对客体的访问权限可由增强的自主访问控制进行分配；进程对客体的访问权限可由系统管理员通过系统调用进行分配。对客体只能执行同时存在于用户权限集合和进程权限集合中的访问类型。例如，用户userl通过运行进程p1来对文件file1和file2进行操作，如果userl对file1的访问权限为(open，read, write)，对file2的访问权限为(open，read)，而pl对文件file2的访问规则为拒绝，那么用户userl运行进程pl时就只能对文件filel进行相应的操作，而不能对p2进行操作。层次关系指的是父进程和子进程的权限关系，子进程可以具有父进程的全部权限，而父进程不一定有子进程的全部权限。 3.3 基于进程的访问控制的设计3.3.1基于进程的访问控制模型的设计访问控制模型的最重要的原则就是：用户权限和进程权限的分离。进程只有完成其任务锁必需的安全权限，这样就限制了原先利用了用户全部权限的攻击手段。由于主机系统的多样性，只有用户自己知道应用环境的特点，知道系统创建的进程会访问哪些资源，应该具有哪些权限。本系统分为对用户的访问控制和对进程的访问控制两部分，第一部分采用增强的自主访问控制，第二部分则是基于lsm安全框架的基于进程的访问控制。用户进程首先通过dac控制模块，如果通过权限检查就进入pbac模块，否则直接拒绝。在pbac模块中，通过检查当前进程是否具有访问客体的权限来判断是否允许其对客体进行访问，如果 通过了pbac模块的权限检查，则进程可以执行实际的操作完成对客体的访问。图3.2 访问控制模型结构框图3.3.2基于进程的访问控制框架为了不占用过多的系统资源，引入拒绝访问的思想，我们使进程对资源的访问只有允许或拒绝，二没有进一步的控制到打开、读、写等操作。基于进程的访问控制通过在进程执行时检查访问规则来控制对资源的访问。因此，每一个运行的进程可以访问未包括在访问规则集中的资源。相对于进程能够访问的资源，不能访问的资源的数量是很少的，并且在具有斧子关系的进程间，被禁止访问的资源并不会有太大变化，因此对进程应用拒绝访问的思想是可行的。基于进程访问控制的设计，采用的是用户对进程授权访问规则的方式，由用户根于应用环境来制定各个进程对资源的访问规则。系统分为三部分：安全授权模块、访问规则模块、访问判断模块。首先通过安全授权模块来对新创建的进程进行授权，然后访问判断模块调用访问规则模块中的相关函数，根据子进程的访问规则集来做出是否具备访问资源权限的决定。在lsm框架下设计的基于进程的访问控制，决策部分主要通过调用lsm钩子函数来执行。图3.3 pbac访问控制系统框图3.3.3 安全授权模块的设计在linux中，进程以树的数据结构形式来存储。除了init进程外，每个进程都有自己的父进程。当启动linux系统时内核被装载，首先创建init进程，它是通过执行/sbin/init产生的，因此进程树的根节点是init进程，这个进程产生许多新进程，新进程安全shell产生一个孩子进程来处理后面的请求。用户接口开始于bash，图形用户接口从这里开始。 图3.4 进程树结构图安全授权模块主要通过设置进程的访问规则集来实现的。当一个进程创建了一个新的孩子进程时，父进程的访问规则集将会继承给孩子进程，并且通过系统调用来为孩子进程增加新的访问规则，同时，一个进程不能改变自己的访问规则集。因此孩子进程总是至少具有它们父进程的访问规则。可用如下定义描述：假定p1和p2是进程树p中的节点，并且p1具有访问规则集合r1，p2具有访问规则集r2，r是所有可能的访问规则的集合。r1和r2是集合r的自己，如果p1是p2的后代，那么r1是r2的超集。访问规则的继承发生在新进程创建之前，因此新进程在所有访问规则被设置好之前不会被执行。3.3.4 访问规则模块的设计访问规则可以将文件和信号等相关资源分开设计，拒绝访问信号（signal access deny，sad）规则和拒绝访问文件（file access deny，fad）。相应的规则集分为sad规则集和fad规则集两部分。sad规则是指对进程设置不能访问的信号和socket等资源。fad规则是指不能访问的文件资源，它被定义为该文件在系统中的路径（linux中设备视为文件）。访问规则集中绝大部分的访问规则是fad规则集。如果设置了一个给定的路径的访问规则，那么进程将不能访问这个文件和这个路径下面的所有资源。fad规则集储存在一个树形的结构中，以路径作为元素。 当一个进程试图访问一个资源时，就坚持sad规则集和fad规则集。如果要访问的资源是这个两个集合的合集中的元素，访问就被拒绝。例如，如果进程的fad规则集为/boot，则进程就不能访问/boot下的所有文件。 在访问规则模块中，通过定义一系列函数来操作sad规则集和fad规则集中的元素，进而管理访问规则。3.3.5 访问判决模块的设计由于应用层程序对系统资源的访问时通过系统调用来实现的，所以可以通过在系统调用中截获对资源访问的请求，然后调用安全策略函数并返回访问结果。具体流程