[发明专利]一种松散耦合角色授权的类型实施访问控制方法及其系统

说明书

技术领域

本发明主要涉及到操作系统安全访问控制领域，特指一种结合角色授权与类型实施的操作系统安全访问控制策略及控制系统。

背景技术

当前，随着信息技术的不断发展和大规模应用，信息安全成为越来越突出的问题。其中，操作系统安全为信息系统安全提供强有力的保障。访问控制通过控制操作系统内主体对客体的访问权限，从而有效控制主体的行为，保护信息安全。

类型实施（Type Enforcement）安全策略将操作系统中具有相同安全属性的对象划分为一个类型，通过规定类型之间的访问权限来达到访问控制目的，具有访问控制粒度细、访问控制规则配置灵活度高等特点，有利于实现基于应用的操作系统安全域隔离。TE模型为每个进程绑定称为“域”的安全属性，而给每个客体绑定称为“类型”的属性，对具有相同域的进程同等对待，对具有相同类型的客体也同等对待。在此基础上，模型定义了访问矩阵，用于指定域如何访问类型以及域之间如何互操作。TE模型定义的规则主要有访问决策规则和标记决策规则。访问控制规则基于一对给定的主客体安全类型对以及访问操作类型来确定访问是否许可，用于在系统中进行细粒度的访问控制；标记决策规则则主要为一个新对象确定安全属性，为执行流程控制和安全隔离提供了基础。

为了在多安全策略下，实现操作系统安全策略控制的灵活性，目前安全操作系统大多使用内核访问控制框架技术进行多安全策略的集成。内核访问控制框架将安全实施与安全决策分离，从而支持多安全策略以及灵活的策略改变。访问控制框架由客体管理系统、安全服务器与访问控制信息组成。客体管理系统分散在内核各模块中，负责管理进程、文件等主客体。该系统嵌入安全实施代码，负责向安全服务器提交安全决策请求，接收决策结果并做出相应处理；安全服务器则接收客体管理系统的安全请求，在安全策略模块中根据请求包含的主客体标记计算访问决策，返回访问决策结果。访问控制信息则用于存储主客体的安全属性，用于在不同策略下计算访问决策。当前类型实施安全策略实现基本均作为一个安全策略模块，挂载在安全访问控制框架之下，从而专注于类型实施系统本身的开发与配置，而无需过多涉及操作系统的内部访问细节。

随着操作系统的用户多样性发展，不同的用户使用操作系统的权限可能也不同，为解决这一问题，需要在TE策略的基础上，引入用户角色的概念，不同角色的用户在操作系统中对应的安全类型也可能不同。因此，有从业者研究带角色授权的类型实施控制方法，将用户角色与类型实施相结合，更好的体现最小特权和职责分离是操作系统中两个重要的安全原则。

在目前主流安全操作系统中，主要采取基于角色访问控制（Role Based Access Control，RBAC)与类型实施策略层次性紧耦合的结合方式，利用类型实施策略来实现RBAC中的角色——权限分配关系。

经典的RBAC模型包括用户、角色、权限3个主要概念，以及用户-角色分配（UA）和角色-权限分配（PA）两种关系。用户只有以特定的角色才能访问特定的对象。RBAC与TE层次性紧耦合的结合方式保留了传统RBAC中的UA，但是用TE模型来实现PA，即把一个域集合作为角色的权限集。一个角色拥有一个域也称为该角色能进入（enter）这个域。同时该方式提供了角色间的层次关系定义，用于实现角色的继承。使用独立于传统Unix用户标识符的用户身份标识，系统中用户标识在策略文件中定义，与角色、类型共同构成了一个(id,role,type)三元组标识的主客体安全上下文。一个用户可以有多个角色，但是在任何特定时间内只能激活其中的一个。这种组合方式的优点在于具有很好的层次关系，RBAC位于中间层，负责将TE规则与系统实际用户联系起来；TE模型是面向单个应用的，并不关心那些角色可以进入该应用的域；角色则负责统筹TE模型在每个应用中的权限分配，使之与系统用户相联系。

然而，RBAC与TE的这种结合方式同时也导致策略分析必须在TE和RBAC两个不同层次上进行，既要保证TE策略的正确性，又要在此基础上分析角色的授权策略，大大增加在策略分析上的复杂性。并且，这种做法导致类型实施策略与用户角色紧密耦合，系统添加新的角色时，需要同时检查系统中已有的TE安全配置；策略规则数目庞大，策略描述语言的语法和语义都较为复杂，规则的制定和管理都需要对策略语言非常熟悉，否则很容易出错。因此，此类安全策略的配置工作多为系统研究人员进行，配置语言语法及规则都很复杂，不能灵活变更，用户无法根据角色变化情况对安全策略配置进行灵活调整。此外，随着控制系统规则配置数量的增加，对系统运行性能影响大。