基于私有目录容器的用户数据文件保护方法

J4 ›› 2016, Vol. 38 ›› Issue (03): 460-464.

基于私有目录容器的用户数据文件保护方法

魏立峰,丁滟,陈松政,黄辰林

（国防科学技术大学计算机学院,湖南长沙 410073）

收稿日期:2015-02-20 修回日期:2015-09-11 出版日期:2016-03-25 发布日期:2016-03-25
基金资助:
信息保障技术重点实验室开放基金（KJ13105）；国防预研重点基金（9140A15070213KG01043）；国家自然科学基金（61502510）

A method for protecting user data
files based on private directory container

WEI Lifeng,DING Yan,CHEN Songzheng,HUANG Chenlin

（College of Computer,National University of Defense Technology,Changsha 410073,China）

Received:2015-02-20 Revised:2015-09-11 Online:2016-03-25 Published:2016-03-25

摘要/Abstract

摘要：

由于管理员等特权用户的存在，用户私有数据文件难以得到有效的保护。为真正做到用户的私有数据文件被用户自身所控，包括管理员在内的其他任何人均不能访问，建立包括用户令牌属性的私有目录容器，并在操作系统内核强制访问控制框架下设计实现基于用户令牌的私有目录容器访问控制机制，为用户自身私有数据文件的安全访问提供保护。只有私有目录容器属主才能访问该目录容器内的数据文件，任何其他用户均无权访问。进程的用户令牌只能通过身份认证获取，可有效防止通过用户身份仿冒获取容器属主身份，从而有效保护用户私有数据文件的安全。

关键词: 私有目录容器, 令牌, 强制访问控制, 特权

Abstract:

Because of the existence of privilege users such as the administrator, user data files are difficult to protect. In order to make sure that only the file owner can access these data files, we create a private directory container (PDC), which includes token attributes of user. The PDC access control mechanism can be realized under the OS kernel mandatory access control (MAC) framework, thus protecting user private data files. Only the owner of the PDC can access the files in the PDC, no exception, including administrators. User’s token can only be got by identity authentication, so the owner’s PDC identity cannot be got by others, and private files can be protected effectively.

Key words: private directory container (PDC);token;mandatory access control (MAC);privilege

魏立峰,丁滟,陈松政,黄辰林. 基于私有目录容器的用户数据文件保护方法[J]. J4, 2016, 38(03): 460-464.

WEI Lifeng,DING Yan,CHEN Songzheng,HUANG Chenlin. A method for protecting user data
files based on private directory container [J]. J4, 2016, 38(03): 460-464.

参考文献［12］

［1］	Wei Lifeng,Meng Kaikai,He lianyue.Finegranularity discretionary access control based on user’s role［J］.Journal of Computer Applications,2009,29（10）:28092811.(in Chinese)
［2］	LSM framework ［DB/OL］.(20081022)［20111008］. http://book.51cto.com/art/200810/94040.htm.(in Chinese)
［3］	Stephen S, Chris V, Wayne S. Implementing Selinux as a linux securiy module［R］.［S，L］:NAIlabs,2002:930.
［4］	Ferraiolo D F,Sandhu R,Gavrila S.Proposed NIST standard for rolebased access control［J］.ACM Transactions on Information and System Security,2001，4（3）:224274.
［5］	Bell D E,La Padula L J.Secure computer system:Unified exposition and multics interpretation:MTR2997 Rev.1［R］.Massachusetts Bedford:Mitre Corporation Bedford,1976.
［6］	Kang Jungmin, Wook Shin, ChunGu, et al.Extended BLP security model based on process reliability for secure Linux kernel［C］∥IEEE 2001 Pacific Rim International Symposium,2010:299303.
［7］	Zhang Xiangfeng,Sun Yufang.Dynamic enforcement of the strict integrity policy in Biba’s model［J］.Journal of Computer Research and Development,2005，42（5）:746754.(in Chinese)
［8］	Harrington A，Jensen C D. Cryptographic access control in a distributed file system［C］∥Proc of the 8th ACM Symposium on Access Control Models and Technologies，2003:158165.
［9］	Michael A H. eCryptfs:An enterprise class cryptographic filesystem for Linux［Z］.USA:IBM ，2005.
［10］	Tang Xiaodong,Fu Songling,He Lianyue.Design and implementation of multiuser encryption file system based on eCryptfs［J］.Journal of Computer Applications,2010,30 （5）:12361239.(in Chinese)
［11］	He Lianyue,Liao Xiangke,Fu Songling,et al.KSEFS:A severoriented encrypted file system supporting cypertext sharing［J］.Computer Engineering & Science,2011,33 （7）:15.(in Chinese)
［12］	Lai Yingxu,Hu Shaolong,Yang Zhen.Research of security technology based on virtualization［J］.Journal of University of Science and Technology of China,2011,41（10）:907914.(in Chinese)
	附中文参考文献：
［1］	魏立峰，孟凯凯，何连跃.面向用户角色的细粒度自主访问控制机制［J］.计算机应用,2009,29 （10）:28092811.
［2］	LSM框架［DB/OL］.(20081022)［20111008］.http://book.51cto.com/art/200810/94040.htm.
［7］	张相锋，孙玉芳.Biba模型中严格完整性政策的动态实施［J］.计算机研究与发展，2005，42（5）:746754.
［10］	唐晓东，付松龄，何连跃.eCryptfs的多用户加密文件系统设计和实现［J］.计算机应用, 2010,30(5):12361239.
［11］	何连跃，廖湘科，付松龄，等.KSEFS:支持加密共享的服务器加密文件系统［J］.计算机工程与科学,2011,33(7):15.
［12］	赖英旭，胡少龙，杨震.基于虚拟机的安全技术研究［J］.中国科学技术大学学报,2011,41（10）:907914.

[1]	白小龙. Android应用程序权限自动裁剪系统[J]. J4, 2014, 36(11): 2074-2086.
[2]	孙中豪,周兴社,张凯龙. 基于μC/OSII的Modbus/TCP消息的类令牌环实时响应算法[J]. J4, 2014, 36(09): 1662-1667.
[3]	曹宏嘉1,卢宇彤1,2. 并行计算机中基于令牌的许可证管理[J]. J4, 2014, 36(03): 388-392.
[4]	魏立峰，丁滟，陈松政，何连跃. 基于认证可信度的用户权限控制技术研究[J]. J4, 2011, 33(9): 24-28.
[5]	樊葆华，张鹤颖，窦文华. 基于双子代数理论的网络建模与分析[J]. J4, 2011, 33(2): 17-22.
[6]	武凌,马季. 基于状态信息的分散式工作流管理系统模型的研究[J]. J4, 2010, 32(6): 40-44.
[7]	朱虹罗荣. XML数据库强制访问控制策略研究[J]. J4, 2007, 29(9): 114-116.
[8]	洪帆张樟. 一种基于代理签发的PMI特权委托模型[J]. J4, 2007, 29(7): 30-33.
[9]	陈松政何连跃罗军. 在角色定权框架下实现能力机制[J]. J4, 2006, 28(2): 104-106.
[10]	袁培江[1] 张立臣[2] 等. 分布式系统中的实时通信方案[J]. J4, 2000, 22(6): 86-87.