多安全策略访问控制的关键技术研究

在网络环境中，计算机系统面临的安全威胁是复杂的、多样的和动态变化的，因而，计算机系统的安全需求具有复杂性、多样性和动态变化性等特点。研究表明，多安全策略访问控制是应对复杂、动态安全需求的有效手段。本文对多安全策略访问控制的关键技术进行了研究，并取得了以下研究成果： 第一，对操作系统的强制访问控制框架的正确性验证进行了研究，提出了正确性验证的三个目标，给出了路径敏感的基于静态分析的正确性验证方法，对TrustedBSD MAC框架进行了正确性验证，并成功发现了多处钩子函数放置错误。 第二，对RBAC模型的安全策略的动态调整进行了研究，指出了RBAC模型在安全策略动态调整，特别是角色授权动态调整方面存在的不足，给出了基于状态的安全策略动态调整模型，并给出了基于虚拟域的安全策略动态调整模型的实现方法。 第三，对RBAC模型和Clark-Wilson模型的融合进行了研究，指出了这两个模型在大型应用的完整性保护方面存在的不足，对Clark-Wilson模型的验证规则和实施规则进行了扩展，并给出了RBAC模型和Clark-Wilson模型基于层次方法的融合。 第四，对安全策略描述框架的评价进行了研究，分析了灵活表达安全策略所需的安全策略描述组件，总结了六类典型的安全策略描述框架，提出了基于描述性和实施性评价指标的安全策略描述框架的评价方法，并对六类典型的安全策略描述框架进行了评价。 本文的研究解决了多安全策略访问控制的一些关键问题，为进一步研究多安全策略的实施、多安全策略的动态调整以及多安全策略的融合等问题奠定了理论与实践基础。

操作系统强制访问控制关键技术研究

强制访问控制能有效地防止用户有意或无意地破坏系统的安全，能够有效地防止病毒和木马以用户的身份破坏系统的安全，是高安全需求操作系统的主要防护手段。业界对操作系统强制访问控制研究起步很早。然而，面对日新月异的应用场景，面对计算机系统及操作系统自身相关技术的迅猛发展，已有的针对操作系统强制访问控制的研究工作不足以兼顾安全性、可用性和灵活性。以上不足集中体现在：1) 当前广泛使用的强制访问控制机制从设计上难以同时满足实用系统对安全性和可用性的要求；2) 强制访问控制的设计缺乏对操作系统所处分布式、网络化环境的考虑；3) 操作系统强制访问控制研发保障技术需要进一步研究。 针对这些问题，本论文从强制访问控制的设计和保障出发，对操作系统强制访问控制关键技术展开研究，并取得了以下几个方面的成果： 第一：强制访问控制格策略模型机制简洁，安全性易验证，在安全操作系统和安全增强操作系统上应用广泛。然而严格地实施格策略会带来可用性的问题。本文针对机密性和完整性强制访问控制格策略模型，分别给出了可监控客体框架和Clark-Wilson可信主体特权状态跃迁监控框架。这些框架具有细的刻画粒度，好的扩展性和简洁性，我们对这些框架给出了数学描述，并对带Clark-Wilson可信主体特权状态跃迁监控框架的完整性格模型给出了理论证明； 第二：针对分布式应用环境，提出了基于可信计算技术和域型实施（Domain and Type Enforcement: DTE）策略的操作系统分布式强制访问控制方案。我们从理论上证明了策略的安全性。相比国内外同类工作，该方案具有细的访问控制粒度，在系统验证的简洁性和部署的灵活性方面是最好的； 第三：实施强制访问控制的中高等级安全操作系统的安全性需要利用形式化方法的严密性进行保证。本文按照TCSEC B2级别的要求，利用Z/EVES形式化工具对SECIMOS安全操作系统进行了形式化保障：给出了安全模型的形式化规范，给出了安全不变量和安全定理，证明了安全定理，描述了形式化安全模型与顶层设计的一致性； 第四：操作系统强制访问控制框架是强制访问控制机制在操作系统上实现的基础。本文提出了针对操作系统强制访问控制框架的自动测试用例生成方案。该方案利用编译器辅助审计代码插入，约束求解器辅助置乱参数生成，测试用例精简等技术为FreeBSD MAC框架生成了一套有效的回归测试用例套件。同时也为基于FreeBSD MAC框架的NFSARK系列安全操作系统提供了坚实的实施基础。 本文的研究成果向圆满解决当前国内操作系统强制访问控制的设计、实施和保障中遇到的问题的目标迈出了坚实的一步。

基于角色的管理模型隐式授权分析

基于角色的管理模型被用于管理大型RBAC(role-based access control)系统的授权关系,UARBAC具有可扩展、细粒度等优点.UARBAC的管理操作包含隐式授权.隐式授权分析说明UARBAC管理操作的两类缺陷,包括两个定义缺陷,即无法创建客体和虚悬引用,以及一个实施缺陷,即不支持最小授权.通过修改管理操作更正定义缺陷,提出实施缺陷的改进方案.定义实施最小授权的最小角色匹配问题,证明该问题是NP难,并给出基于贪心算法的可行方案,帮助管理员选择合适的管理操作将最小角色集合授予用户.

基于静态分析的强制访问控制框架的正确性验证

现阶段对操作系统的强制访问控制框架的正确性验证的研究主要集中于对授权钩子放置的验证.文中基于TrustedBSD MAC框架对强制访问控制框架的正确性验证问题进行了研究,在授权钩子放置验证的基础上,提出了安全标记的完全初始化验证和完全销毁验证.为了实现上述验证,文中提出了一个路径敏感的、基于用户自定义检查规则的静态分析方法.该方法通过对集成于编译器的静态分析工具mygcc进行扩展来验证强制访问控制框架的钩子放置的准确性和完备性.该方法具有完全的路径覆盖性,且具有低的误报率和时间开销.

P-RBAC:一种门户环境下的访问控制模型

门户能够有效地实现异构信息之间的集成与协作,并为用户提供可定制、统一且遵循规范的访问服务.然而,由于门户所具有的这些不同于普通Web应用的特性,也使得传统访问控制模型无法在门户中直接使用.提出了一种面向门户系统的访问控制模型p-RBAC.P-RBAC扩展了传统的基于角色访问控制模型,并根据行为状态进一步分为静态模型和动态模型.P-RBAC给出了静态模型和动态模型上的行为规则,提出了具体的动态权限指派和角色组织策略,从而有效地解决了门户的访问控制问题.实际的应用案例证明,P-RBAC模型能够适用于门户的访问控制,并较之传统访问控制模型更高效可行.

一种改进的基于角色的访问控制

研究了传统RBAC（基于角色的访问控制）的4个层次模型，分析了在企业规模不断扩大背景下传统RBAC的不足，并借鉴DTE模型域和型的思想，提出了通过引入主体和客体的属性（区域）参数以及虚拟权限的解决方法，极大地减少了角色的规模，降低了角色管理的复杂性，为进一步解决角色冲突等问题奠定了基础。

分布式环境下基于角色的访问控制

本文通过扩展权限的定义：给权限增加一个标示位来区别主体、访问的客体属于相同域和属于不同域时的权限，这样解决了采用对等角色时授予给非本域主体过大权限的问题。同时主体在访问非本域的客体时可以申请临时角色，这样避免了仅仅采用对等角色去访问非本域客体的简单化，更有利于最小权限的实现。通过这两点的改进。使基于角色的访问控制模型更加适合分布式访问控制的特点。[著者文摘]

基于访问控制空间的多策略安全体系结构

为解决LSM在策略重用和策略共存方面存在的问题，提出了一个新的安全体系结构ELSM，它引入一个模型组合器作为主模块实施模块堆栈管理和模块决策管理，其中模块决策的实施采用了访问控制空间的策略规范方法，可支持通用性，ELSM的设计及其在安胜OS安全操作系统中的实例分析表明其有效性。

基于Biba和Clark-Wilson策略的混合强制完整性模型

商业应用需要实施完整性策略保护.Biba模型提供了一种简洁的多级完整性控制方案,但是需要引入可信主体来保证实施的可用性.而Clark-Wilson模型通过可监控的状态转换提供了一种完备的完整性保护,但其复杂性影响了该模型的完整实现.提出的模型以Biba严格完整性策略为基础,同时根据可信主体在其生命周期所属的状态实施Biba低水标策略.对可信主体在其生命周期发生的状态转换及相应的低水标参数调整,采用Clark-Wilson模型来进行监控.在有效解决了Biba策略的可用性问题和Clark-Wilson模型监控量过大给系统带来的配置和运行负担问题的同时,继承它们的优点.证明了该策略融合方案是可行的、安全的.

一种基于访问控制的安全Web服务发现机制

当前的Web服务发现机制大多依赖集中式的统一描述、发现和集成注册中心,但组织机构出于安全和地域的考虑,倾向于构建私有的分布式注册中心,只有注册且可信的请求者才能浏览到他们有权限访问的服务信息。该文给出Web服务发现阶段基于角色的访问控制模型RBAC4WSD,发现代理依照服务提供者指定的安全策略对请求者实施访问控制,并以跨国公司内部的文档服务为例介绍原型系统的实现。

一种基于角色访问控制(RBAC)的新模型及其实现机制

文中对基于角色访问控制（ｒｏｌｅ－ｂａｓｅｄ ａｃｃｅｓｓ ｃｏｎｔｒｏｌ， ＲＢＡＣ）研究中的两大热点——模型的建立和实现进行了较深入的研究，提出了一种新的ＲＢＡＣ模型——ＮＲＢＡＣ模型．这一模型除具有全面性外，比之已有的ＲＢＡＣ９６ 模型还具有接近现实世界和形式统一的优点．针对ＮＲＢＡＣ模型的实现，文中又提出了一种新的ＲＢＡＣ实现机制——基于时间戳和素数因子分解的二进制双钥－锁对（ ＴＰＢ－２－ＫＬＰ）访问控制方案．它不仅能很好地克服已有ＲＢＡＣ实现机制存在的缺点，还兼备了对锁向量修改次数少和发生溢出可能性小的优点．

全程一致访问控制体系研究

针对系统中的访问控制体系由各种访问控制机制堆彻而成而带来的系统访问控制不一致问题,本文提出了全程一致访问控制的概念,随后给出了全程一致访问控制体系的结构、分工及准则,以指导全程一致访问控制体系的构建,然后采用了原型系统对全程一致的访问控制体系进行了验证.采用该体系,不但能有效发挥系统中各访问控制机制的优势,还能降低安全投入成本.

新型网络环境中访问控制模型的研究

随着网格、P2P、无线通信网等技术的普及和飞速发展，访问控制技术取得了长足的进步，同时也面临着巨大的挑战。如何构建安全、灵活、可扩展的访问控制模型是这种新型网络环境下访问控制技术迫切需要解决的问题。本文围绕该环境中的访问控制需求，从委托模型、基于位置的访问控制模型、P2P环境下的动态信任评估模型以及访问控制模型的形式分析四个方面，对访问控制模型研究领域出现的若干关键技术展开研究，取得了以下四个方面的主要成果：第一，在分析Bertino等人提出的一个基于周期时间的访问控制模型的基础之上，指出它虽然可以清晰地表达访问权限可适用的时间范围，但模型本身并没有对已经具有权限的用户如何使用和传播权限强加任何限制，难以实施权限委托这一安全策略。针对这一缺陷，我们讨论了用户到用户的委托访问权限的限制，对权限委托的临时性、时序依赖性和受限传播性这些约束特性进行形式化建模，给出了基于周期时间的自主委托模型PDACDM的形式化定义及其一致性证明。第二，在分析前人所做的各种上下文研究工作的基础上，借助数学的形式语言，给出了一种依赖于空间上下文的访问控制模型SC-RBAC。该模型采用层次式的位置模型给空间客体建模，采用逻辑位置表达不同粒度的位置，引入了空间角色和有效会话角色等概念，证明了层次化的空间角色集合在数学上可构建格模型以实施多级安全策略和中国墙策略，提出了3类空间限制，借鉴和改进了RBAC本身的安全属性，提出了一些新的安全不变量，证明了模型的基本安全定理，并给出了一个简单的应用实例。这一研究成果为解决无线移动网络中的访问控制问题奠定了理论基础。第三，指出了设计一个P2P环境下的信任评估模型需要考虑的主要因素，如时间因素、系统稳定性等。着重分析了P2P环境下的信任模型在识别不诚实反馈、防止恶意节点的策略性动态改变行为、计算节点间相似度、激励机制等方面的不足。给出了一个基于时间窗的动态信任评估模型TWTrust，统一考虑了信任、信誉与激励三者的关系。通过仿真试验结果证明，该模型在信任计算误差和事务失败率等性能指标上有较大提高，能较好处理恶意节点策略性动态改变行为、不诚实反馈对系统的攻击和相似度计算中的稀疏性问题。这一信任模型的提出有望简化P2P下访问控制的实施。第四，在深入分析和对比目前可用于规范和验证访问控制模型的形式化方法和证明工具的基础之上，选取了证明能力强的Isabelle证明系统对支持空间上下文的SC-RBAC模型进行了形式分析，总结了用Isabelle语言对SC-RBAC模型属性和规则进行形式规范的方法，并且研究了基于Isabelle系统证明模型规范内部一致性和正确性的实用方法。