操作系统的访问控制.doc
学号:19808038姓名:叶松操作系统的访问控制摘要:操作系统的访问控制是操作系统安全控制保护中重要的一环,在身份识别的基础上,根据身份对提出的资源访问请求加以控制。访问控制是现代操作系统常用的安全控制方式之一。本文介绍了常见的基于客体的控制保护机制(自主访问控制和强制访问控制)的原理和实现关键词:操作系统,安全,主体,客体,自主访问控制,强制访问控制,保护规则。访问控制是计算机保护中极其重要的一环。它是在身份识别的基础上,根据身份对提出的资源访问请求加以控制。在访问控制中,对其访问必须进行控制的资源称为客体,同理,必须控制它对客体的访问的活动资源,称为主体。主体即访问的发起者,通常为进程,程序或用户。客体包括各种资源,如文件,设备,信号量等。访问控制中第三个元素是保护规则,它定义了主体与客体可能的相互作用途径。访问控制机制这里引入保护域的概念。每一主体(进程)都在一特定的保护域下工作。保护域规定了进程可以访问的资源。每一域定义了一组客体及可以对客体采取的操作。 可对客体操作的能力称为访问权(Access Right),访问权定义为有序对的形式<客体名,权利集合>。 一个域是访问权的集合。如域X有访问权<文件A, 读,写>, 那在域X下运行的进程可对文件A执行读写,但不能执行任何其他的操作。保护域并不是彼此独立的。它们可以有交叉,即它们可以共享权限。如下图,域X和域 Y 对打印机都有写的权限,发生访问权交叉。保护域 X保护域 Y<文件A, 读,写><文件B,执行><打印机,写><文件C,读> 图1 有重叠的保护域主体(进程)在某一特定时刻可以访问的客体(软件,硬件)的集合称为客体。根据系统复杂度不同,客体可以是静态的,即在进程生命期中保持不变,或动态改变。为使进程对自身或他人可能造成的危害最小,最好在所有时间里进程都运行在最小客体下。一般客体的保护机制有两种。一种是自主访问控制(discretionary access control),一种是强制访问控制(mandatory access control)。所谓的自主访问控制是一种最为普遍的访问控制手段,用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以访问他们的文件,亦即一个用户可以有选择地与其它用户共享他的文件。用户有自主的决定权。所谓强制访问控制是指用户与文件都有一个固定的安全属性。系统用该安全属性来决定一个用户是否可以访问某个文件。安全属性是强制性的规定,它是由安全管理员,或者是操作系统根据限定的规则确定的,用户或用户的程序不能加以修改。如果系统认为具有某一个安全属性的用户不适于访问某个文件,那么任何人(包括文件的拥有者)都无法使该用户具有访问该文件的仅力。下面两节将分别介绍自主访问控制与强制访问控制。自主访问控制一个安全的操作系统需要具备访问控制机制。它基于对主体及主体所属的主体组的识别,来限制对客体的访问,还要校验主体对客体的访问请求是否符合存取控制规定来决定对客体访问的执行与否。这里所谓的自主访问控制是指主体可以自主地(也可能是单位方式)将访问权,或访问权的某个子集授予其它主体。为了实现完备的自主访问控制系统,由访问控制矩阵提供的信息必须以某种形式存放在系统中。访问矩阵中的每行表示一个主体,每一列则表示一个受保护的客体,而矩阵中的元素,则表示主体可以对客体的访问模式。目前,在系统中访问控制矩阵本身,都不是完整地存储起来,因为矩阵中的许多元素常常为空。空元素将会造成存储空间的浪费,而且查找某个元素会耗费很多时间。实际上常常是基于矩阵的行或列来表达访问控制信息。下面分别介绍:1) 基于行的自主访问控制所谓基于行的自主访问控制是在每个主体上都附加一个该主体可访问的客体的明细表。权限字权限字是一个提供给主体对客体具有特定权限的不可伪造标志。主体可以建立新的客体,并指定这些客体上允许的操作。它作为一张凭证,允许主体对某一客体完成特定类型的访问。仅在用户通过操作系统发出特定请求时才建立权限字,每个权限字也标识可允许的访问,例如,用户可以创建文件、数据段、子进程等新客体,并指定它可接受的操作种类(读、写或执行),也可以定义新的访问类型(如授权、传递等)。具有转移或传播权限的主体A可以将其权限字的副本传递给,也可将权限字传递给,但为了防止权限字的进一步扩散,在传递权限字副本给时可移去其中的转移权限,于是将不能继续传递权限字。权限字也是一种程序运行期间直接跟踪主体对客体的访问权限的方法。一个进程具有自己运行时的作用域,即访问的客体集,如程序、文件、数据、设备等,当运行进程调用子过程时,它可以将访问的某些客体作为参数传递给子过程,而子过程的作用域不一定与调用它的进程相同。即调用进程仅将其客体的一部分或全部访问传递给子过程,子过程也拥有自己能够访问的其他客体。由于每个权限字都标识了作用域中的单个客体,因此,权限字的集合就定义了作用域。进程调用子过程并传递特定客体或权限字时,操作系统形成一个当前进程的所有权限字组成的堆栈,并为子过程建立新的权限字。权限字也可以集成在系统的一张综合表中(如存储取控制表),每次进程请求都由操作系统检查该客体是否可访问,若可访问,则为其建立权限字。权限字必须存放在内存中不能被普通用户访问的地方,如系统保留区、专用区或者被保护区域内,在程序运行期间,只有被当前进程访问的客体的权限字能够很快得到,这种限制提高了对访问客体权限字检查的速度。由于权限字可以被收回,操作系统必须保证能够跟踪应当删除的权限字,彻底予以回收,并删除那些不再活跃的用户的权限字。作为例子,在现代UNIX中,包括Linux,使用的不再是一个简单的setuid系统,而而是构造权限字模式。所用的权限字类似于setuid,但是给予了非常仔细的细化。一个可执行文本可以被标记,从而获得一指定特权,而不是或者全是、或者全不是的setuid系统。在Linux中,为了支持这一模式,如下代码被作了修改:If (suser()/* Do some privileged operation. */被修改成:If (capable(CAP_DAC_OVERRIDE)/* Do directory access override */目前Linux有26种不同的权限类别。当采用权限字表时,只需动态地对进程的权限字做修改,不需要特权状态,减少了滥用权利的风险。必须注意的是,一个进程必须不能直接改动它的权限字表,如果可以,则它可能给自己增加没有权利访问的资源权限。前缀表(prefixes)前缀表包含受保护的文件名(客体名)及主体对它的访问权限。当系统中有某个主体欲访问某个客体时,访问控制机制将检查主体的前缀是否具有它所请求的访问权。但是这种方式有以下三个问题:前缀大小有限制;当生成一个新客体或者改变某个客体的访问权时,如何对主体分配访问权;如何决定可访问某客体的所有主体。由于客体名通常是杂乱无章的,很难进行分类,而且当一个主体可以访问很多客体时,它的前缀也将是非常大的,因而也很难于管理。还有受保护的客体必须具有唯一的名字,互相不能重名,故而造成客体名数目过大。另外,在一个客体生成、撤消或改变访问权时,可能会涉及许多主体前缀的更新,因此需要进行许多操作。当用户生成新客体并对自己及其它用户授予对此客体的访问权时,相应的前缀修改操作必须用安全的方式完成,不应由用户直接修改。有的系统由系统管理员来承担。还有的系统由安全管理员来控制主体前缀的更改。但是这种方法也很不便,特别是当一个频繁更迭对客体访问权的情况,更加不适用。访问权的撤消一般也很困难,除非对每种访问权系统都能自动校验主体的前缀。删除一个客体时,需要判断在哪些主体前缀中有该客体。2) 基于列的自主访问控制所谓基于列的访问控制是指按客体附加一份可访问它的主体的明细表。基于列的访问控制可以有两种方式:保护位保护位方式不能完备地表达访问控制矩阵。UNIX系统采用了此方法。保护位对所有的主体、主体组(用户、用户组)以及该客体(文件)的拥有者,规定了一个访问模式的集合。用户组是具有相似特点的用户集合。生成客体的主体称为该客体的拥有者。它对客体的所有权仅能通过超级用户特权来改变。拥有者(超级用户除外)是唯一能够改变客体保护位的主体。一个用户可能不只属于一个用户组,但是在某个时刻,一个用户只能属于一个活动的用户组。用户组及拥有者名都体现在保护位中。存取控制表存取控制表可以决定任何一个特定的主体是否可对某一个客体进行访问。它是利用在客体上附加一个主体明细表的方法来表示访问控制矩阵的。表中的每一项包括主体的身份以及对该客体的访问权。例如,对某文件的存取控制表,可以存放在该文件的文件说明中,通常包含有对此文件的用户的身份,文件主或是用户组,以及文件主或用户组成员对此文件的访问权限。如果采用用户组或通配符的概念,这一存取控制信息表不会很长。目前,存取控制表方式是自主访问控制实现中,比较好的一种方法。3)自主访问控制的访问许可在许多系统中,对访问许可与访问模式不加区分。但是,在自主访问控制机制中,应当对此加以区分,这种区分会使我们把客体的控制与对客体的访问区别开来。由于访问许可允许主体修改客体的存取控制表,因此,利用它可以实现对自主访问控制机制的控制。这种控制有三种类型:等级型可以将对客体存取控制表的修改能力划分成等级。例如,可以将控制关系组成一个树型结构。系统管理员的等级设为等级树的根,根一级具有修改所有客体存取控制表的能力,并且具有向任意一个主体分配这种修改权的能力。系统管理员可以按部门将工作人员分成多个子集,并对部门领导授与相应存取控制表的修改权和对修改权的分配权。部门领导又可将自己部门内的人员分成若干个组,并且对组级领导授与相应的对存取控制表的修改权。在树中的最低级的主体不再具有访问许可,也就是说他们对相应的客体的存取控制表不再具有修改权。有访问许可的主体(即有能力修改客体的存取控制表),可以对自己授与任何访问模式的访问权。这种结构的优点是,通过选择可信任的人担任各级领导,使得能够以可信方式对客体施加控制。并且这种控制和人员的组织体系相近似。缺点是,对于一个客体而言,可能会同时有多个主体有能力修改它的存取控制表。拥有型另一种控制方式是对每个客体设立一个拥有者(通常是该客体的生成者)。只有拥有者才是对客体有修改权的唯一主体。拥有者对其拥有的客体具有全部控制权。但是,拥有者无权将其对客体的控制权分配给其它主体。因此,客体拥有者在任何时候都可以改变其所属客体的存取控制表,并可以对其它主体授予或者撤消其对客体的任何一种访问模式。系统管理员应能够对系统进行某种设置,使得每个主体都有一个“主目录”(home directory)。对主目录下的子目录及文件的访问许可权应授予该主目录的主人。使他能够修改主目录下的客体的存取控制表,但不允许使拥有者具有分配这种访问许可权的权力。可以把拥有型控制看成是二级的树型控制。在UNIX系统中,利用超级用户来实施特权控制,就是这样的一个例子。自由型自由型方案的特点是:一个客体的生成者可以对任何一个主体分配对它拥有的客 体的访问控制权,即对客体的存取控制表有修改权,并且还可使其对它主体也具有分配这种权力的能力。在这种系统中,不存在“拥有者”概念。例如,一旦一个主体将修改其客体存取控制表的权力与分配这种权力的能力授予了主体,那么主体就可以将这种能力分配给其它主体,而不必征求客体生成者的同意。这样,一旦访问许可权分配出去,那么就很难控制客体了。虽然可以从客体的存取控制表中查出所有能修改者的名字,但是却没有任何主体能对该客体的安全负责。4). 访问模式在实现自主访问控制的各种各样系统中,访问模式的应用是很广泛的。这里只介绍最常用的模式。文件。对文件设置的访问模式有以下几种:读拷贝(read-copy)该模式允许主体对客体进行读与拷贝的访问操作。在大多数系统中,把read模式作为read-copy模式来设置。从概念上讲,作为仅允许显示客体的read模式是有价值的。然而,作为一种基本的访问模式类型,要实现仅允许显示客体的read访问模式是困难的,因为它只能允许显示介质上的文件,而不允许具有存储能力。而read-copy可以仅仅限制主体对客体进行读和拷贝操作,如果主体拷贝了一个客体,那么他可以对该拷贝设置任何模式的访问权。写删除(write-delete)该访问模式允许主体用任何,包括扩展 (expanding)收缩(shrinking)以及删除(deleting) 的方法修改一个客体。在不同的系统中有不同的写模式,实现主体对客体的修改。例如写附加(write-append),删除(delete),写修改(write-modify) 等。系统可以根据客体的特性,采用不同的模式。也可以将几种模式映射为一种模式,也可以映射为自主访问控制支持的最小的模式集合。也可以将所有的可能的写模式都作描述,而只将一个模式子集应用到一种特殊类型的客体。前一种方式可以简化自主访问控制与用户接口,而后者可以给出一种较为细致的访问控制方式。执行(execute)该模式允许主体将客体作为一种可执行文件而运行。在许多系统中,Execute模式需要Read模式。例如在有的系统中,要求在实现动态链接过程中引进连接段(linkage section),而在连接段中常涉及常数及寻找入口点的操作,这些操作被认为是对客体文件的read操作。因此,此时需要执行某个段时,还需要有read访问模式。Null(无效)这种模式表示,主体对客体不具有任何访问权。在存取控制表中用这种模式可以排斥某个特定的主体。假如一个客体是文件的话,对它的访问模式的最小集是应用于许多系统中常用的访问模式的集合,这包括read-copy,write-delete,execute,null。这些模式为文件的访问提供了一个最小但不是充分的组合。不少情况下,只用最小的模式集合是不够的。大部分操作系统是将自主访问控制应用于客体,而不单单只用于文件。文件是一种特殊的客体。许多时候,除文件以外的客体,也被构造成文件。因此,通常根据客体的特殊结构,对它们都有某种扩充的访问模式。一般都用类似数据抽象的方式来实现它们,也就是操作系统将“扩充的”访问模式映射为基本访问模式。目录。如果文件系统中的文件目录是树型结构,那么树中的目录也代表一类文件。因此,对它也可以设置访问模式。通常用以下三级方式来控制对目录及和目录相应的文件的访问操作:对目录而不对文件实施访问控制;对文件而不对目录实施访问控制;对目录及文件都实施访问控制。如果仅对目录设置控制,那么一旦授予某个主体对一个目录的访问权,它就可以访问该目录下的所有文件。当然,如果在该目录下的客体是另一个目录,那么,如果主体还想访问该子目录,它就必须获得该子目录的访问权。另外,仅对目录设置访问控制模式的方法,需要按访问类型对文件进行分组,这样要求会造成限制过多。在文件分类时还会带来新的问题。如果仅对文件设置访问模式,这种控制可能会更细致些。仅对某个文件设置的模式与同一目录下的其它文件没有任何关系。但是,这样也有一些问题。比如,如果不对目录设置限制,那么主体可以设法浏览存储结构而看到其它文件的名字。而且在这种情况下,文件的放置没有受任何控制,结果是,文件目录的树结构失去了意义。通常最好是对文件、目录都施以访问控制。但是,设计者要能够决定是否允许主体在访问文件时,对整个路径都可以访问。要考虑只允许访问文件本身是否是充分的。如果一个系统,允许主体访问客体,但又不允许有对该客体的父目录的访问权,那么实现起来会比较复杂。在UNIX系统中,对某目录不具备任何访问权意味着对该目录控制下的所有子客体(文件以及子目录)都无权访问。对目录的访问模式的最小集合是包括read与write-expand(写扩展)。Read该模式允许主体看到目录的实体,包括目录名、存取控制表,以及与该目录下的文件、子目录等相应的信息。read访问模式意味着有权访问该目录下的子客体(子目录与文件)。至于哪个主体能对它们进行访问还要视该主体自己的存取控制权限。Write-expand(写扩展)此种模式允许主体在该目录下增加一个新的客体,即,允许用户在该目录下生成与删除文件或者生成与删除子目录。由于目录访问模式是对文件访问控制的扩展,因此,它取决于目录的结构,取决于系统。例如,有的系统为目录设置了三种访问模式:读状态(status),修改(modify),附加(append)。status允许主体看到目录结构及其子客体的属性。modify允许主体修改(包括删除)这些属性,而append允许主体生成新的子客体。可以看出,操作系统在决定系统的自主访问控制中应该包括什么样的客体,以及应该为每种客体设置什么样的访问模式时,要在用户的友善性与自主访问控制机制的复杂性之间作适当的折衷。 强制访问控制自主访问控制是保护系统资源不被非法访问的一种有效手段。但是由于它的控制是自主的,也带来了问题。于是,人们又提出了一种更强有力的访问控制手段,这就是强制访问控制。在自主访问控制方式中,某一合法用户可以任意运行一程序来修改他拥有的文件存取控制信息,而操作系统无法区分这种修改是用户自己的操作,还是恶意攻击的特洛伊木马的非法操作。通过强加一些不可逾越的访问限制,系统可以防止某一些类型的特洛伊木马的攻击。在强制访问控制方式中,系统对主体和客体都分配一个特殊的安全属性,而且这一属性一般不能更改,系统通过比较主体和客体的安全属性来决定一个主体是否能够访问某个客体。用户的程序不能改变他自己及任何其它客体的安全属性。强制访问控制还可以阻止某个进程共享文件,并阻止通过一个共享文件向其它进程传递信息。强制访问控制施加给用户自己客体的严格的限制,但也使用户受到自己的限制。但是,系统为了防范特洛伊木马,必须要这么做。即便是不在存在特洛伊木马,强制访问控制也有用,它可以防止在用户无意或不负责任的操作时,泄露机密信息。强制访问控制对专用的或简单的系统是有效的,但对通用、大型系统并不那么有效。一般强制访问控制采用以下几种方法:1. 限制访问控制。由于自主控制方式允许用户程序来修改他拥有文件的存取控制表,因而为非法者带来可乘之机。因而,系统可以不提供这一方便,在这类系统中,用户要修改存取控制表的唯一途径是请求一个特权系统调用。该调用的功能是依据用户终端输入的信息,而不是靠另一个程序提供的信息来修改存取控制信息。2. 过程控制。在通常的计算机系统中,只要系统允许用户自己编程,就没办法杜绝特洛伊木马。但可以对其过程采取某些措施,这种方法称为过程控制。例如,警告用户不要运行系统目录以外的任何程序。提醒用户注意,如果偶然调用一个其它目录的文件时,不要做任何动作,等等。需要说明的一点是,这些限制取决于用户本身执行与否。因而,自愿的限制很容易变成实际上没有限制。3. 系统限制。显然,实施的限制最好是由系统自动完成。要对系统的功能实施一些限制。比如,限制共享文件,但共享文件是计算机系统的优点,所以是不可能加以完全限制的。再者,就是限制用户编程。事实上,有许多不需编程的系统都是这样做的。不过这种做法只适用于某些专用系统。在大型的,通用系统中,编程能力是不可能去除的。在网络中也不行,在网络中一个没有编程能力的系统。可能会接收另一个具有编程能力的系统发出的程序。有编程能力的网络系统可以对进入系统的所有路径进行分析,并采取一定措施。这样就可以增加特洛伊木马攻击的难度。