操作系统用户特权最小化的研究与实现

论文摘要

传统的操作系统实现基于用户的特权管理策略。超级用户拥有所有特权,从而可以执行任何特权操作,这是导致系统危害的一个主要根源。最小特权原则要求系统中每个用户或进程仅有执行其授权任务所必需的最小特权集合。通过实施最小特权,既能限制合法用户在其职责范围内使用系统,又能将恶意用户对系统的破坏降至最低。本文在深入分析最小特权原则和访问控制技术的基础上,提出用户特权最小化技术,用于控制和约束用户进程的特权操作,以提高操作系统的安全性。本文首先结合访问控制框架、角色模型和权能机制,提出了一个操作系统用户特权最小化模型。该模型通过角色授权控制,缺省不赋予登录用户任何权能:当用户操作或应用需要特权时,根据操作需要提升权限,并且一次有效,操作结束后,权能及时撤销。根据POSIX1003.1e标准定义的权能将系统特权细分归类,确定每个特权操作所需的权能。通过进程权能状态对进程的特权操作行为进行描述。当用户进程执行操作需要特权时,将触发特权状态改变事件使进程特权状态发生改变。模型首先进行权能匹配,通过用户验证判断后进行权限提升,允许进程的权能状态发生迁移。事件结束后进程将恢复为非特权状态。通过对该模型进行形式化描述和定义,消除非形式规范的二义性及主观性,有助于发现系统设计中的缺陷。模型为系统动态调节和灵活管理每个进程的最小特权提供有效方法。基于该模型,本文进一步设计了一个通用的用户特权最小化控制框架进行用户权限控制。框架通过内核线程接收来自权能检查点的特权提升请求,与用户后台进程协调完成用户认证交互和特权提升操作。在Kylin系统中实现该模型时,通过建立设备文件完成内核与用户态之间的通信响应;改进ACL检查算法以减少不必要的权限提升;基于TE策略,实现了对框架的安全防护。用户特权最小化模型能使用户以更加安全的方式控制系统,而且方便性大为提高,有效解决了用户特权最小化问题。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 研究背景

1.1.1 计算机系统面临的安全问题

1.1.2 操作系统的安全策略

1.1.3 授权控制问题

1.2 课题的提出

1.3 研究工作和主要创新点

1.4 论文的组织结构

第二章用户特权最小化相关研究

2.1 最小特权原则

2.1.1 最小特权原则简介

2.1.2 最小特权原则的应用

2.2 基于角色的访问控制模型

2.2.1 基于角色的访问控制的基本思想

2.2.2 RBAC的基本概念

2.2.3 RBAC96模型

2.2.4 RBAC模型的分析

2.3 权能机制

2.3.1 权能的定义

2.3.2 权能机制及其作用

2.4 主流操作系统最小特权的应用

2.4.1 Windows Vista的UAC机制

2.4.2 Linux的最小特权机制

2.4.3 Kylin的角色定权框架

2.5 小结

第三章支持POSIX权能机制的用户特权最小化形式模型

3.1 用户特权最小化模型相关概念和原理

3.1.1 模型的相关概念

3.1.2 模型原理

3.2 UPM的形式化模型

3.2.1 UPM模型的元素

3.2.2 模型的指派关系

3.2.3 模型的函数映射

3.2.4 模型的限制关系

3.2.5 模型的运算操作

3.2.6 模型的安全目标

3.3 小结

第四章用户特权最小化框架的设计

4.1 UPM通用访问控制框架

4.2 RBAC框架

4.3 权能机制检查点

4.4 UPM子系统

4.4.1 特权提升代理

4.4.2 可信会话Daemon

4.4.3 特权提升会话

4.4.4 权限提升流程

4.5 小结

第五章基于Kylin的UPM框架实现

5.1 支持UPM的RBA框架

5.1.1 RBA框架的改进

5.1.2 权能机制的结合

5.2 UPM子系统的设计实现

5.2.1 子系统的原型结构

5.2.2 子系统的原型实现

check'>5.2.3 权能检查点cap_check

5.2.4 特权提升代理线程

5.2.5 可信会话Daemon

5.2.6 改进访问仲裁算法

5.3 UPM子系统自身保护

5.3.1 KTE访问控制策略

5.3.2 UPM子系统自身保护方案

5.4 小结

第六章原型系统分析和改进

6.1 原型系统的安全分析

6.1.1 用户登录

6.1.2 用户进程与执行程序

6.1.3 特权提升与撤销

6.2 下一步工作展望

6.2.1 有待解决的问题

6.2.2 下一步工作

6.3 小结

第七章结束语

致谢

参考文献

作者攻读硕士期间发表的论文

操作系统用户特权最小化的研究与实现

论文摘要

论文目录

相关论文文献

猜你喜欢