嵌入式系统中的SMACK应用研究.docVIP

·安全技术·文章编号：1000—3428(2011)05—0161—03文献标识码： ·安全技术· 文章编号：1000—3428(2011)05—0161—03 文献标识码：A 中图分类号：TP309.2 嵌入式系统中的 SMACK 应用研究 越 1,2，郑 啸 1,2 阮 (1. 安徽工业大学计算机学院，安徽 马鞍山 243000；2. 东南大学计算机科学与工程学院，南京 210096) 摘 要：介绍强制访问控制(MAC)方法和在 Linux 主流内核版本中 MAC 主要的实现技术，包括 SELinux 和 SMACK。将 SMACK 应用到 典型的嵌入式设备——智能手机上，通过定义 SMACK 规则为第三方软件构造沙盒。测试结果表明，与 SELinux 相比，SMACK 具有较少 的内存消耗和较高的运行效率，更适用于嵌入式系统。 关键词：强制访问控制；简单强制访问控制内核；嵌入式系统；安全；沙盒 Application Research of SMACK in Embedded System RUAN Yue1,2, ZHENG Xiao1,2 (1. School of Computer Science, Anhui University of Technology, Maanshan 243000, China; 2. School of Computer Science and Engineering, Southeast University, Nanjing 210096, China) 【Abstract】This paper starts from an introduction of Mandatory Access Control(MAC) and presents some technologies which implement it in Linux mainline kernel, including SELinux and SMACK, and gives an example in detail of how to define SMACK rule set to address the requirements of constructing sandbox for third-party applications in Linux based mobile phone. Result of test indicates that running smack has fewer memory consumption and more efficient CPU performance comparing with SELinux, and SMACK is more suitable for embedded system. . 【Key words】Mandatory Access Control(MAC); Simplified Mandatory Access Control Kernel(SMACK); embedded system; security; sandbox DOI: 10.3969/j.issn.1000-3428.2011.05.054 1 概述 LSM(Linux Security Module) 是支 持多种安全策 略的 Linux 内核级的轻量级框架，它提供了一套标准接口，可使 多种安全策略以 Linux 内核模块形式插入内核运行[1]。尽管 LSM 在 Linux 发展历史上有过争论，但在 Linus Torvalds 本 人的支持下，LSM 已经成为 Linux2.6.x 内核的标准部分。 SELinux、SMACK、TOMOYO Linux 都已基于 LSM 框架成 为 Linux2.6.x 标准内核的一部分。 简 单强制 访问控 制内核 (Simplified Mandatory Access Control Kernel, SMACK)是第 2 个融入 Linux 标准内核的基于 LSM 架构的 Linux 安全模 块，与前任 SELinux(Security- enhanced Linux)不同，它对系统资源的需求极少，且配置简 单，更适用于嵌入式系统。 2 强制访问控制 Linux 的访问控制基于传统的 UNIX 访问控制方法，这 种访问控制称为自主访问控制(Discretionary Access Control, DAC)，它是由客体(比如文件)的拥有者主体(用户或进程)根 据用户或用户组的 ID 决定谁可以以何种方式访问客体。这种 方法具有缺陷，并不适合现代日益复杂的计算机环境。因为 超级用户可以违反访问控制策略，