一种安全操作系统中实现最小特权控制的策略和方法技术方案

本发明专利技术涉及数字计算机的安全信息系统技术领域，是一种安全操作系统中实现最小特权控制的策略和方法。为系统提供用户、角色、ＤＴＥ域和权能之间的层次映射关系；在操作系统核心修改和添加特权相关的核心功能和系统接口，包括进程、角色、域和程序文件权能的管理、权能判定和权能运算功能；提供应用层权能管理命令，修改系统初始会话程序。其优点在于：符合可移植操作系统接口标准，能在操作系统核心层实现，配置管理简单灵活、支持域隔离和特权的动态调节、能有效防止系统用户／进程拥有过大特权而引起系统危害，在网络和系统应用环境中实现最小特权控制。

【技术实现步骤摘要】

本专利技术涉及数字计算机的安全信息系统
，更确切地说，是。
技术介绍
最小特权是信息系统安全的重要设计原则，也是保证安全系统达到美国《可信计算机系统评估标准》(DoD5200.28-STD-1985)的B2以上等级、国际标准《IT安全评估标准》(ISO/IEC15408-1999)的EAL5以上等级、中国国家标准《计算机信息系统安全保护等级划分准则》(GB17859-1999)第四级以上等级、中国国家标准《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2001)EAL5以上等级所必须解决的一个关键问题。由于传统的原因，在目前的主流操作系统(比如UNIX/LINUX)中存在一个超级用户和一些特权程序，超级用户/特权进程(执行特权程序产生的进程)具有所有特权，普通用户/进程不具有任何特权，这种特权管理方式便于系统维护和配置，却不利于系统的安全性。事实上，由于权力过于集中它们已经成为网络攻击者的主要攻击目标，使系统不断遭受安全风险。因此，高安全等级系统实现最小特权控制的目的就是要确保系统用户/进程仅具有执行其任务所必需的最小特权集(而不是所有特权)，一旦特权用户口令丢失、软件错误、恶意软件、误操作或特权滥用，使它们对系统造成的危害最小化。在目前国内外对安全操作系统的研究和应用中，主要存在基于用户/组标识、基于角色和基于程序，这三种特权控制和管理的策略和技术方法。基于用户/用户组标识的方法，是创建特定的用户/用户组和使特定的程序以某特定用户/用户组的身份和权限运行，比如LINUX系统中的setuid机制，它的优点是实现技术非常简单，缺点是容易导致超级用户(具有所有权限的特定用户)做任何事情，目前的大多数安全系统已经不再将其作为主要技术，仅保留提供兼容性或维护系统用。基于角色的访问控制(RBAC)模型，是目前安全操作系统实现特权管理的常用策略和方法。它的主要方式是将原来超级用户拥有的特权分配给不同的角色，再为用户指派恰当的角色。这样，取消用户的指派关系非常容易，授予或撤消角色的权限也不会影响用户的指派关系。虽然这种方法简化了授权管理、确保了职责的隔离和用户特权的最小化，但是存在两个不足(1)它仅属于一种静态的、用户级粒度的控制。通过角色只能为用户创建的主体进程建立一个固定的、进程链生命周期内一直生效的特权集，却不能使主体进程的特权随其安全上下文的变化而动态变化；(2)同一主体在执行可信和不可信程序时应该域隔离，基于角色的方法不能解决这个问题。比如允许同一用户以管理员角色(可信进程)和普通用户角色(不可信进程)同时运行于一个系统，致使可同时被它们访问的受保护资源的完整性得不到保证。基于程序的方法，是对系统中每一个程序指派一个恰当的特权状态，确保每个进程只具有完成其任务所需的恰当特权。比如，TrustedXENIX系统为每一个程序赋予一个GPM(通用特权机制)向量，GPM中的一个特权位标识一个特权操作的允许或不允许。这种特权管理方式能实现一种程序级粒度的特权控制，最小化每个进程的当前特权。缺点是(1)对每个程序必须实施最小特权控制使特权管理复杂化；(2)对每个程序必须进行恰当的特权指派，否则系统的风险会随之增长。这三种方法或方法的组合，虽然可在一定程度上弥补传统特权控制方法的一些不足，比如可以实现职责的隔离和细化控制的粒度，却不能解决特权控制的域隔离和动态性要求。因此，提供一种细粒度、可支持域隔离和动态调节的基于角色的最小特权控制的策略和技术方法，对于实现高安全等级系统特权管理是非常有利的。
技术实现思路
本专利技术的目的是针对目前主流操作系统在最小特权控制策略和技术方法上存在的以上问题，提供一种符合POSIX标准要求，能在操作系统核心层实现，配置管理简单灵活、支持域隔离和特权的动态调节、能有效防止系统用户/进程拥有过大特权引起系统危害，在网络和系统应用环境中实现基于角色、DTE域和程序的最小特权控制策略和技术方法。本专利技术提供一种能有效限制滥用、误用和网络攻击给操作系统造成危害的最小特权控制的技术和方法。技术方案这是一种通过扩展基于角色的访问控制模型来对系统的特权进行管理的技术方法，为系统提供用户、角色、DTE(域型强制实施)域和权能(一个权能标识一种执行受限操作或超越访问的特权能力)之间的层次映射关系；在操作系统核心修改和添加特权相关的核心功能和系统接口，包括进程、角色、域和程序文件的权能管理、权能判定和权能运算功能；提供应用层权能管理命令，修改系统的会话程序。为系统提供用户、角色、DTE域和权能之间的层次映射关系，包括对用户、角色、域及其权能相关属性的配置、管理和维护；对于用户，是配置和管理用户允许承担的角色集合属性；对于角色，是配置和管理角色标识、角色权能值、角色允许进入的域集合和互斥关系的角色集合属性；对于DTE域，是配置和管理域标识、域权能值、可自动(auto)转换的域集合、可执行(exec)转换的域集合和互斥关系的域集合属性。为系统提供用户、角色、DTE域和权能之间的层次映射关系，包括角色和DTE域之间的映射关系对于一个角色，是定义其允许进入的域集合属性；对于一个DTE域，是定义允许其自动转换或执行域转换进入的域集合属性；通过以上二者的结合，使系统支持同一角色主体因执行域转换进入不同的域而具有不同的特权，达到特权的动态调节和域隔离效果。在操作系统核心修改和添加特权相关的核心功能和系统接口，包括进程、角色、域和程序文件权能的管理；对于进程，是为系统进程结构增加一个当前角色标识和当前执行域标识，以及相应的管理功能和接口；对于角色、域和程序文件，是在系统核心建立相应的安全属性存储表示，包括角色权能表、域权能表和程序文件权能表的表示，以及相应的管理功能和接口；对于程序文件，为防止恶意用户通过同名程序替换原有程序来获取特权，由配置文件中的时间属性与程序文件的时间属性比较，如果不一致，则判定一个程序文件被替换，于是将其权能属性自动清零。在操作系统核心修改和添加特权相关的核心功能和系统接口，包括进程的权能判定和权能运算功能；对权能判定，根据当前进程的有效权能集决定其是否具有所要执行功能的特权(一个权能或一组权能)，有则允许，否则拒绝；对权能运算，是在主体进程执行程序时调用，是一种符合POSIX标准权能机制要求，基于主体的当前角色、域和所执行程序的权能状态产生当前进程新的权能状态新的可继承权能集是程序文件的可继承权能集与执行它的主体进程的可继承权能集的交集；新的许可权能集是程序最大许可权能集和当前进程的可继承权能集的并集，又同时是主体角色和主体域的权能的子集；新的有效权能集是程序文件的有效权能集和当前进程最大许可权能集的交集。提供应用层权能管理命令，修改应用层的初始会话程序；对于权能管理命令，包括通过调用原有的安全接口来设置进程权能的功能，和通过新增的相关系统接口来设置进程的角色和DTE域属性的管理命令；对于会话程序，在程序中增加和修改有关系统初始进程权能设置的系统功能调用。上述特权管理的技术方法，首先根据系统的安全需求和POSIX(可移植操作系统接口)标准要求，定义一组恰当的权能，并实现权能的核心表示、应用层表示以及二者之间的转换功能和接口。提供与本方法一致的标识与鉴别机制，包括用户、角色本文档来自技高网...

【技术保护点】
一种基于安全性的主流操作系统中实现最小特权控制的策略和技术方法，其特征在于：为系统提供用户、角色、ＤＴＥ域和权能之间的层次映射关系；在操作系统核心修改和添加特权相关的核心功能和系统接口，包括进程、角色、域和程序文件权能的管理、权能判定和权能运算功能；提供应用层权能管理命令，修改应用层初始会话程序。

【技术特征摘要】
1.一种基于安全性的主流操作系统中实现最小特权控制的策略和技术方法，其特征在于为系统提供用户、角色、DTE域和权能之间的层次映射关系；在操作系统核心修改和添加特权相关的核心功能和系统接口，包括进程、角色、域和程序文件权能的管理、权能判定和权能运算功能；提供应用层权能管理命令，修改应用层初始会话程序。2.按照权利要求1所述的基于安全性的主流操作系统中实现最小特权控制的策略和技术方法，其特征在于为系统提供用户、角色、DTE域和权能之间的层次映射关系，包括对用户、角色、域及其权能相关属性的配置、管理和维护；对于用户，是配置和管理用户允许承担的角色集合属性；对于角色，是配置和管理角色标识、角色权能值、角色允许进入的域集合和互斥关系的角色集合属性；对于DTE域，是配置和管理域标识、域权能值、可自动转换的域集合、可执行转换的域集合和互斥关系的域集合属性。3.按照权利要求1所述的基于安全性的主流操作系统中实现最小特权控制的策略和技术方法，其特征在于为系统提供用户、角色、DTE域和权能之间的层次映射关系，包括角色和DTE域之间的映射关系对于一个角色，是定义其允许进入的域集合属性；对于一个DTE域，是定义允许其自动转换或执行域转换进入的域集合属性；通过以上二者的结合，使系统支持同一角色主体因执行域转换进入不同的域而具有不同的特权，达到特权的动态调节和域隔离效果。4.按照权利要求1所述的基于安全性的主流操作系统中实现最小特权控制的策略和技术方法，其特征在于在操作系统核心修改和添加特权相关的核心功能和系统接口，包括进程、角色、域和程序文件权能的管理；对于进程，是为系统进程结构增加一个当前角色标识和当前执行域标识，以及相应的管理功能和接口；对于角色、域和程序文件，是在系统核心建立相应的安全属性存储表示，包括角色权能表、域权能表和程序文件权能表的表示，以及相应的管理功能和接口；对于程序文件，为防止恶意用户通过同名程序替换原有程序来获取特权，由配置文件中的时间属性与程序文件的时间属性比较，如果不一致，则判定一个程序文件被替换，于是将其权能属性自动清零。5.按照权利要求1所述的基于安全性的主流操作系统中实现最小特权控制的策略和技术方法，其特征在于在操作系统核心修改和添加特权相关的核心功能和系统接口，包括进程的权能判定和权能运算功能；对权能判定，根据当前进程的有效权能集决定其是否具有所要执行功能的特权，有则允许，否则拒绝；对权能运算，是在主体进程执行程序时调用，是一种符合POSIX标准权能机制要求，基于主体的当前角色、域和所执行程序的权能状态产生当前进程新的权能状态新的可继承权能集是程序文件的可继承权能集与执行它的主体进程的可继承权能集的交集；新的许可权能集是程序最大许可权能集和当前进程的可继承权能集的并集，又同时是主体角色和主体域的权能的子集；新的有效权能集是程序文件的有效权能集和当前进程最大许可权能集的交集。6.按照权利要求1所述的基于安全性的主流操作系统中实现最小特权控制的策略和技术方法，其特征在于提供应用层权能管理命令，修改应用层的初始会话程序；对于权能管理命令，包括通过调用原有的安全接口来设置进程权能的功能，和通过新增的相关系统接口来设置进程的角色和DTE域属性的管理命令；对于会话程序，在程序中增加和修改有关系统初始进程权能设置的系统功能调用。7.按照权利要求1所述的基于安全性的主流操作系统中实现最小特权控制的策略和技术方法，其步骤如下步骤S1对照系统的安全需求将超级用户特权划分成细粒度的权能集合，其特征在于支持的权能集合定义与POSIX标准要求一致；步骤S2搜索和确定安全相关的系统调用及其执行所必须检查...

【专利技术属性】
技术研发人员：卿斯汉，沈晴霓，李丽萍，唐柳英，季庆光，
申请(专利权)人：中国科学院软件研究所，
类型：发明
国别省市：11[中国|北京]