安全操作系统中的权能管理模型.docVIP

安全操作系统中的权能管理模型 龚育昌 吴明桥 赵振西 李宏 中国科学技术大学计算机科学技术系，合肥，230027 Email: wu_bridge@ 摘要: 安全系统的一个基本需求是支持最小特权和责任分离,因此要求安全操作系统能够提供细粒度的访问控制,基于权能的安全操作系统可以较好的满足这种需求,但是目前基于权能的安全操作系统对于权能的管理尤其是撤销机制支持得不够完善.本文提出一种新的权能管理模型,用权能传播树管理权能的传播与撤销,较好的实现了权能的即时撤销和完全撤销,而且能够处理正在执行的操作. 关键字: 权能, 撤销, 基于权能的安全操作系统, 正执行操作 中图分类法：TP316 文献标识码：A Capability Management Model in Capability-Based Secure Operating Systems Gong Yu-Chang, Wu Ming-Qiao, Zhao Zhen-Xi, Li-Hong Department of Computer Science and Technology of USTC, Hefei, 230027 Abstract: An essential design requirement for secure systems is the principle of least privilege[1] and separation of duty. So the secure operating system must provide fine-grained access control which is suitable to capability-based secure operating system. But there are no perfect solutions to address capability revocation until now. We present a capability propagation tree approach to achieve complete revocation and the idea of separating revocation purpose from revocation action for rapid revocation. We also present a mechanism to process in-progress operations. Keywords: capability, revocation, capability-based secure operating system, in-progress operation 1 引言 安全系统的一个基本需求是支持最小特权(least privilege)[1]和责任分离(separation of duty),因此它必须提供细粒度的访问控制.访问控制是维护计算机系统安全的基本机制,直接关系到系统的保密性,完整性,是系统安全的核心.Hogan[3]指出,理想的安全控制是完全仲裁(complete mediation),即对每个对象的每种访问必须由授权(authority)确定.Wells[4]、Gong[5]提出Hogan的论述是一种理想的情况,难以用于实际系统,转而提出了用基于权能的系统解决访问控制问题. Lampson[16]提出了访问控制矩阵思想,将系统对象分为主体(subject)和客体(object)两大类,用行表示主体,用列表示客体.以此为基础分别形成了两类访问控制模型—访问控制列表ACL(Access Control List)方式和权能列表CL(Capability List)方式.ACL方式控制粒度较粗,但实现简单,易于撤销权限.CL方式能够实现细粒度的控制,但是实现复杂,权限易于传递,不易撤销[17].[18]表明,仅仅采用ACL的系统缺少很多安全属性,如动态主体的创建,权限的受控传播等,这些属性对于构造一个安全的系统是必须的,导致ACL系统不能支持最小特权和解决责任混淆(confused deputy)[19].随着复杂的外部环境对系统安全需求的增长,构建基于权能的安全操作系统越来越受到人们的重视. 安全操作系统的访问控制,归根结底是管理主体对客体的访问权限.权限管理包括权限的分配、使用、传播及撤销.为了解决限制(confinement)问题,需要严格控制主体的权限传播,安全操作系统应该遵循的一条原则是主体能够撤销先前传播给其他主体的权限.由于主体对客体的权限有多种,随着权限的传播使得权限到处存在,传播关系复杂,权限的撤销尤其是即时撤销和完全撤销一直没有得到很好的解决. 针对