支持POSIX权能机制的一个新的特权控制的形式模型.pdfVIP

683 中国科学E辑信息科学2004，34(6)：683,-一700 支持POSIX权能机制的一个新的特权 控制的形式模型术 季庆光料卿斯汉 贺也平 (中国科学院软件研究所信息安全技术工程研究中心，北京100080) 摘要 为了在操作系统中实施极小特权原理，必须对进程的特权进行有效的控 制；但是进程的动态性使实现对它的控制变得困难重重．在深入分析进程特权 的形成过程和作用机制的基础上，提出了实施极小特权原理的三层实现机制， 即管理层、功能控制层和执行层；而且明确指出限制特权的有效范围是特权控制 持它．在分析现有控制机制的优缺点的基础上，不仅提出了改进的权能公式， 同，新机制推广了子域控制机制，实现了子域控制机制的动态化． 关键词 形式模型极小特权 角色域 权能 1引言 securi哆)，网络安全类(networksecurity)和文件系统安全类(file systemsecurity)；其 中也把El令问题和TrojanHorses问题视为系统的最重要的安全问题．由此可以 看出非授权主体侵入系统是不可忽视的安全隐患，为了有效地解决这个问题， 我们认为必须从三方面入手：建立严格有效的进入系统的检验过程；实施成功 的约化风险的机制；以及执行合理的审计追踪规范，或者实现实时的系统扫描 2003—08—07收稿，2004—04—28收修改稿 目 4+E—mail：qgji@ercist．iscas．ac．cn SCIENCEINCHINA Ser．EInformationSciences 中国科学E辑信息科学 第34卷 监控．第一方面确保进入系统的用户是合法的；第二方面确保；一旦非法主体进 入系统，使它的危害极小化；第三方面确保系统能成功记录非法主体的行为，为 事后的分析提供可靠的依据．本文主要研究第二方面的问题． 在操作系统中的主体就是进程，非法进程进入系统的途径主要是：通过某 种手段获得合法用户的帐号，创建有效进程；Trojan 中，随合法进程进入系统．它们对系统的危害主要是非法地使用系统资源；破坏 系统使系统瘫痪．进程获得一些重要资源的使用权是通过进程具有的特权来描 述的，而所谓特权是指基于系统的访问控制机制，在系统上实施某种行为的能 力．而恰当特权(appropriate 系统的访问控制机制，在系统上执行一个特殊的受限制的操作，或者超越某个 特殊的访问控制策略的能力；它被定义为某些进程与特权的结合方式，这些进 程与需要特殊特权的功能相关．因此控制进程对系统可能的危害就是要有效控 制进程恰当特权的变化，实现进程恰当特权的极小化；目前普遍认可的实现进 程恰当特权的极小化的基本原理是极小特权原理，按文献【3]中的观点，该原理 的基本点是：无论在系统的什么部分，只要是执行某个操作，执行该操作的进程 (主体)除能获得执行该操作所需的特权外不能获得其他的特权． 我们认为在系统中实现极小特权原理应该包含3个层次：顶层，从宏观上 讲，对进程在整体上能有和不能有的特权进行界定，我们称其为管理层；中层， 我们称其为功能控制层，在系统中具有某个角色的主体往往可以实现多种不同 的功能，为了防止误用，这些功能通常不允许被同时实现，在这种情况下，必须 对不同功能的特权进行界定，从而实现功能隔离；底层，从微观上讲，对进程具 体完成一项任务时能有和不能有的特权进行界定，我们称其为执行层．顶层从管 理的角度限制了进程的活动范围，中层从功能实现的角度限制了进程的特权生 文献【4]中已经意识到管理层和功能控制层的不同，他们把面向管理层的特权控 制叫做面向用户的极小特权，把面向功能控制层的特权控制叫做为程序提供的 极小特权．在他们看来，为程序提供极小特权将成为系统现有许可权的补充，允 许在不关心程序的使用者的前提下安全地使用程序；而面向用户的极小特权适 合于通过创建角色来实