安全访问的轻量级完整性模型研究及实施摘要：对传统的完整性模型进行了分析，并对其完整性给予形式化描述。在此基础上，提出了轻量级的Clark??Wilson模型，并给出了其在安全增强操作系统SELinux中的实施。??关键词：机密性；完整性；SELinux；轻量级模型：TP316;TP309文献标志码：A：1001－3695(2007)08－0173－03机密性（confidentiality）与完整性（integrity）是计算机安全领域中所需要解决的两个根本问题。??在目前的系统中，主要套用BLP（保密）模型和Biba（完整）模型等理论来指导实际系统的安全。BLP（Bell??LaPadula）模型是D.Bell和L.LaPadula提出的第一个计算机保密模型。BLP基于两条基本规则来保障数据的保密性，即不上读和不下写。上级保密的东西不让下级读，上级保密的东西不准写给下级。Biba模型是KenBiba提出的，该模型对数据提供了完整性保障。它基于两条基本规则来保证数据的完整性，即不下读和不上写。??BLP着眼于保密性，而不是防止窜改，而Biba模型是着眼于完整性，这两个性质是互相独立的，一个文件或进程是可以同时拥有这两个性质的。如系统中可以存在虽是低完整性的，但是高保密性质的进程，即允许某些进程出错但绝对不允许泄密，如应用在军事方面。也有高完整性低保密性进程，如公用进程，因为这样的进程必须保证系统正常运行。又如高完整性低保密性文件，如Windows系统的注册表等。??完整性是比机密性更加重要的需求，因为在完整性被破坏的情况下，可能会影响到整个系统的运转和最终结果。??1完整性模型分析??尽管操作系统为每个进程提供了独立的内存空间，但是进程依然可以通过文件、管道、网络连接，共享内存以及其他机制进行通信。如果进程A对进程B使用的某些资源（如文件或管道）进行写，那么就说进程A与进程B之间有信息流（informationflow）。信息流完整性验证问题说明高安全性（或高完整性）的进程不能依赖出自不可信（或低完整性）进程的信息流。??例如，如果不可信用户可以对可信的OPenSSH配置文件sshdconfig进行写，这就违背了信息流完整性。对传递的信息流也要进行检查：如果不可信的用户可以写cron（定期执行指定的任务），而cron写了sshdconfig，那么这明显违背了完整性。仅仅设置文件权限还不足以防范攻击，因为攻击还可以来自管道或共享内存，也即必须严加防范各种输入。一般来说，如果可信程序依赖不可信输入，那么攻击者就可能获取逐步升高的权力或者入侵系统。为了维护信息流的完整性，必须对系统进行适当配置，即权限的集合必须确保不存在从不可信进程到可信进程的非法信息流。采用Biba[2]模型可以趋于达到这样的目的，可信进程仅依赖只可读取的资源，即不允许不可信输入流向可信进程。??信息流完整性需要两个条件的组合：a)合适的配置。这就要确保程序信任的输入（如config文件）不能被不可信用户修改。b)过滤代码，这就要确保对程序不信任的输入（如网络输入）进行形式化和针对具体应用限制的检查。??Clark??Wilson完整性模型覆盖了以上两个方面，适合于当前可信进程，但需要所有进程的输入均进行过滤。但是，Clark??Wilson模型与Biba类似，是比较重量级的，需要对程序进行形式化验证。当要对程序进行深入、完整的安全分析时，对其一一进行形式化验证不仅不可能，也不现实，而且大多数正在使用的系统根本没有任何类型的信息流验证，这种问题虽然已早被认识，但在实践中根本没有得到解决。??1．1基本信息流的完整性??在基本信息流完整模型中，依赖于低完整性的数据是根据信息流定义的。这样的模型需要非低完整性信息流可以输入到高完整性主体。定义信息流的两种标准操作，即修改（modify）和查看（observe）。这里mod(s,o)是修改操作符，表示标签为s的主体（如进程或用户）写标签为o的客体（如文件或套接字）；obs(s,o)是查看操作符，表示标签为s的主体从标签为o的客体中读。用??S??表示所有主体的集合。??Clark??Wilson应用的程序员预先并不知道系统的信息流，因此必须确保所有的接口均是过滤的接口。在实际中，通常只有少数接口真正需要在实际系统的上下文中能够进行过滤。在应用的开发中通过使用系统知识（因为开发者可以转移应用...