访问控制框架及其在Linux中的应用研究

简要介绍了ISO通用访问控制框架,比较详细地阐述和分析了当前几种主要的访问控制框架理论及其在Linux中的实现,对这几种访问控制框架的相同点和不同点进行了比较,最后指出了这些访问控制框架存在的一些问题及今后的发展趋势。

Linux通用访问控制框架的设计

访问控制是用来处理主体和客体之间交互的限制,是安全操作系统最重要的功能之一。Linux系统中所采用的访问控制是传统UNIX的基于访问模式位的单一的自主访问控制,在实现这一功能时,系统的访问控制代码散列在核心中,没有形成统一的访问控制模块和相应的接口,不支持策略与机制的分离,缺乏相应的灵活性、扩充性以及易维护性,无法定制化系统的访问控制策略。而在当前以分布式计算作为主导计算模式的背景之下,Linux系统中原有的访问控制是无法满足信息处理系统的日益多样化安全需求。针对上述Linux系统中访问控制机制的缺陷,该文引入了一种通用的访问控制框架称之为Linux通用访问控制框架。该框架是一种与具体的访问控制策略无关的体系结构,支持系统的访问控制策略和机制的分离,与传统的Linux访问控制相比,它借助于在Linux核心系统中得到广泛应用的框架式抽象数据类型,提供了一个一致的、抽象的访问控制接口从而对多种访问控制策略如强制访问控制、基于角色的访问控制等加以支持。在该框架之下,用户甚至可以提供自己的访问控制策略模块,以获得具有更高的灵活性、扩充性和易维护性的系统访问控制机制。同时,由于该框架的引入,系统的访问控制策略模块可以与系统其它部分相分离,从而有利于系统访问控制的结构化?

安全群通信系统中通用访问控制框架的研究

为了适应群应用对安全性要求的多样性,提出了一种通用访问控制框架。该框架支持分布式成员加入和授权控制以及动态安全策略,本文通过原型系统验证了其可行性。

基于增强访问控制的安全Linux研究

安全操作系统是信息安全技术的基础。以Flask安全模型的Linux移植实现为基础 ,详细阐述了增强访问控制技术在安全Linux中的应用 。

Linux安全操作系统构建方法与技术（第三讲）——自主访问控制与强制访问控制

第二讲介绍了标识与鉴别的基本概念和实现机制，并阐述了可信通路的重要性及构建原理与方法。本讲将介绍存取访问控制的基本任务及相关概念，并就Linux系统下自主访问控制与强制访问控制的实现方法和技术分别展开重点讲解。

通用访问控制框架扩展研究

通用访问控制框架 (generalizedframeworkforaccesscontrol,GFAC)是经典的多安全政策支持结构 ,但是在实际实施多个安全政策模块之后暴露了它潜在的效率缺陷 通过引入访问决策缓冲器得到扩展的通用访问控制框架 ,并且在RS Linux安全操作系统中完成实现 ,性能测算结果表明 。

带二级缓冲机制的通用访问控制框架研究及实现

通用访问控制框架 (GeneralizedFrameworkforAccessControl,GFAC)是经典的多安全政策支持结构 ,但是在实施多个安全政策模块之后暴露了它潜在的效率缺陷 .该文在建立访问的三层模型基础上 ,引入二级访问决策结果缓冲器到GFAC中 ,并且在红旗安全操作系统 (RFSOS)中实现 .性能测算结果表明二级缓冲机制可以有效地弥补GFAC的效率缺陷 .

基于角色的轻量级多粒度访问控制框架研究

以基于角色的访问控制为理论依据,提出了一种轻量级的通用访问控制框架,应用.Net平台的代码访问安全及对象关系映射技术实现了Web页面及Web服务资源的访问控制,以及不同层次的访问控制粒度,并将该框架应用于某市软件信息网的开发.

基于Linux的强制访问控制研究

本文围绕安全操作系统中强制访问控制部分的理论和研究,自行构建了Linux系统的强制访问控制机制。该机制支持BLP修改模型的多级安全策略,其构建参考了GFAC和LSM等访问控制模型。内容包括总体设计思路、安全策略和安全信息的形式化、关键函数的实现等。

AACF：基于逻辑的非单调授权与访问控制框架

针对不完全语义条件下的非单调授权和权限判决问题进行形式化研究，提出了一种新的基于逻辑的非单调授权与访问控制框架——AACF。该框架通过扩展型分层逻辑程序表达授权与访问控制策略，支持不完全语义条件下的非单调授权、权限传播及冲突检测与消解等高级特性，此外，AACF的语义查询／权限判决算法的计算复杂度证明是多项式级的。因而，AACF比现有的访问控制框架具有更好的表达能力和计算特性，且具有更好的实用性。

安全操作系统基于ACL的自主访问控制机制的设计与实现

自主访问控制机制是安全操作系统必不可少的安全机制之一,而传统的文件权限保护模式不能提供更细粒度的自主访问控制,无法满足越来越高的系统安全的要求。本文探讨了基于访问控制表的自主访问控制机制的设计与实现的主要思想,并提出了利用文件系统的扩展属性机制存储访问控制表以及将自主访问控制机制实现为一个基于LSM安全框架的可加载模块的方法。

利用LSM框架实现基于角色的访问控制

传统的L inux操作系统只提供有限的访问控制机制,缺乏对现有访问控制模型的有效支持,为了克服L inux在安全访问控制方面的不足,增强安全管理的灵活性和易用性,本文深入研究了LSM(L inux SecurityModu le)安全访问框架和基于角色的访问控制(RBAC-Role-Based Access Control)技术,提出了一种利用LSM框架实现RBAC的方法,并详细讨论了在L inux环境中有关实现问题。

平台无关的访问控制框架研究与实现

为了使开发的访问控制模块可以在不同的平台上实施,通过总结不同平台异同点以及现有安全系统中访问控制实现方法,抽象出访问控制机制对平台的依赖,设计了一个平台无关灵活的访问控制框架PIFAC,且已经被实施在Windows、Linux以及Rtems系统上。

通用访问控制框架LSM的研究

由于用户安全需求的多样性与复杂性,如何构建一个支持多安全策略的访问控制框架成为操作系统安全的焦点。Linux安全模块是一种新的通用访问控制框架,它为用户定制自己的安全模块提供了一个通用接口。文中通过研究通用访问控制框架的发展历程,详细论述了LSM访问控制框架的原理,及如何在LSM下编写自己的安全模块。

访问控制框架中的策略加权

本文针对访问控制框架中的策略给出加权因子以体现其在策略框架中的重要性及对访问决定的影响程度。在模糊逻辑中加权模型真值计算思想上,提出访问控制框架加权策略下访问请求判定模型。该模型结合计算机逻辑中表示析取和合取的不同操作符,给出加权策略下访问判定的计算公式,访问判定值再与系统访问判定门陷值进行比较,以决定该访问请求是否授权。模型通过计算访问请求的授权许可值而给出判定,这比传统的访问请求授权方法更细粒度、易于理解,更能满足实际系统的需要,并增强系统的安全性。

Linux访问控制机制的优化设计

从操作系统的访问控制机制角度出发,探讨Linux系统的安全性。以Linux的通用访问控制框架为基础,增加一层访问控制,实现一个具有可扩展性的访问控制体系结构,并定义和实现相应的功能模块,达到增强Linux系统安全访问的目的。

免疫机制在通用访问控制框架中的应用研究

经典的多安全策略支持结构——通用访问控制框架(Generalized Framework for Access Control,GFAC)在加入多个安全策略后效率会出现明显下降,本文借鉴人工免疫系统(Artificial Immune System,AIS)中免疫细胞的学习、记忆、动态演化等特性,将其应用到GFAC中。仿真实验表明,应用免疫机制后GFAC在时间效率方面具有较大的优势,同时具备一定的自适应性和多样性等特点。

基于框架的Linux安全增强开发技术

基于框架开发软件有助于复用代码 ,提高开发效率和质量。对 LSM( Linux Security Module)和 RS-BAC( Rule Set Based Access Control)实现的 GFAC( Generalized Framework of Access Control)框架进行了分析 ,修改并扩充了 RSBAC的 GFAC框架并将其应用于 Linux安全增强操作系统的开发 。

访问控制打造高安全服务

通过访问控制可以明显地提高服务的安全性，本文就介绍Linux下如何通过访问控制增强常用服务的安全性，如Web服务、FTP服务及SSH服务等。

组合Web服务访问控制技术研究综述

访问控制技术是保证Web服务组合增值应用安全性和可靠性的关键技术。主要论述了组合Web服务访问控制技术的研究现状及其问题。首先论述了组合Web服务安全面临的挑战;接着基于层的视角对组合Web服务安全问题进行了分析;然后从组合Web服务访问控制体系构架、原子安全策略的一致性协同和业务流程访问控制3个方面分析了组合Web服务访问控制核心技术研究的进展;最后,结合已有的研究成果,指出了目前研究的不足以及未来的发展趋势。