基于属性的操作系统动态强制访问控制机制

计算机工程与科学 ›› 2023, Vol. 45 ›› Issue (10): 1770-1778.

• 计算机网络与信息安全 • 上一篇下一篇

基于属性的操作系统动态强制访问控制机制

丁滟，王鹏，王闯，李志鹏,宋连涛,冯了了

（国防科技大学计算机学院，湖南长沙 410073）

收稿日期:2022-11-11 修回日期:2023-04-22 接受日期:2023-10-25 出版日期:2023-10-25 发布日期:2023-10-17
基金资助:
国家自然科学基金（U19A2060，62172431）

An attribute-based dynamic mandatory access control mechanism for operating system

DING Yan,WANG Peng,WANG Chuang,LI Zhi-peng,SONG Lian-tao,FENG Liao-liao

(College of Computer Science and Technology,National University of Defense Technology,Changsha 410073,China)

Received:2022-11-11 Revised:2023-04-22 Accepted:2023-10-25 Online:2023-10-25 Published:2023-10-17

摘要/Abstract

摘要： 操作系统强制访问控制技术因运行在高特权级，为系统带来较强的安全性保障。然而，由于经典操作系统强制访问控制仅支持静态安全策略，当应用场景安全需求发生变化时，必须重新配置与加载安全策略，难以满足高敏感应用状态转换、云原生动态调度以及BYOD等场景访问权限动态调控的需求。基于属性的访问控制具有强扩展性、高度灵活性和强大的表达能力，为提高安全策略的动态性和灵活性提供了解决思路。首先，提出了基于属性的操作系统动态强制访问控制理论模型与系统架构模型；然后，结合Linux经典强制访问控制机制设计实现了原型系统，验证了模型的可行性；最后，针对引入属性可能带来的性能影响，从时间和空间2个方面展开访问控制的优化研究。

关键词: 属性, 操作系统, 动态强制访问控制

Abstract: Mandatory access control (MAC) for operating system (OS) brings strong security guarantee for the system because it runs at high privilege level. However, the classical OS MAC only supports static security policies. When the security requirements change, the security policies must be reconfigured and reloaded. Therefore, it is difficult to meet the requirements of dynamic regulation of access permissions in scenarios such as high-sensitivity application state transition, cloud native dynamic scheduling, and BYOD. Attributes-based access control has strong extensibility, flexibility and expression ability, which provides a solution to improve the dynamic and flexibility of the security policy of MAC in OS. In this paper, the theoretical model and system architecture model of attributes-based dynamic mandatory access control for operating systems are proposed. Then, the prototype system is designed and implemented by combining with the classic MAC mechanism of Linux, and the feasibility of the model is verified. Finally, in view of the possible performance impact of the introduction of attribute factors, the optimization research of access control is carried out from two aspects of time and space.

Key words: attribute, operating system, dynamic mandatory access control ,

丁滟, 王鹏, 王闯, 李志鹏, 宋连涛, 冯了了. 基于属性的操作系统动态强制访问控制机制[J]. 计算机工程与科学, 2023, 45(10): 1770-1778.

DING Yan, WANG Peng, WANG Chuang, LI Zhi-peng, SONG Lian-tao, FENG Liao-liao. An attribute-based dynamic mandatory access control mechanism for operating system[J]. Computer Engineering & Science, 2023, 45(10): 1770-1778.

[1]	许城洲, 李陆, 张文涛. 支持复杂访问策略的属性基加密方案[J]. 计算机工程与科学, 2023, 45(10): 1779-1788.
[2]	陈灿, 杨兴达, 方菱. 基于决策表的AUTOSAR操作系统一致性测试研究[J]. 计算机工程与科学, 2023, 45(04): 622-629.
[3]	段亚红, 王峥, 赵涓涓, 王龙. 雾计算中支持解密外包的可验证属性加密方案[J]. 计算机工程与科学, 2023, 45(03): 443-452.
[4]	杨兴达, 陈灿, 方菱, . 基于行为监测的嵌入式操作系统堆栈溢出测试[J]. 计算机工程与科学, 2022, 44(11): 1918-1923.
[5]	唐广镇, 陈卓. 访问策略隐匿的可追责层次属性加密方案[J]. 计算机工程与科学, 2022, 44(10): 1788-1794.
[6]	崔振礼, 罗宇. 一种嵌入式双操作系统架构中外设资源动态迁移的研究与实现[J]. 计算机工程与科学, 2022, 44(01): 9-15.
[7]	马俊, 周凯, 任怡, 朱浩, 秦莹, 王静. 面向操作系统版本构建的软件包依赖关系分析[J]. 计算机工程与科学, 2021, 43(11): 1926-1933.
[8]	李姗姗,董威,罗宇,文艳军,廖湘科. 国产操作系统研发对系统能力培养的需求与实践[J]. 计算机工程与科学, 2018, 40(增刊S1): 32-36.
[9]	文艳军，罗宇. 一种以内核调试分析实验为线索的操作系统原理授课法[J]. 计算机工程与科学, 2018, 40(增刊S1): 37-41.
[10]	王雷，甄子琦，沃天宇，姜博，孙海龙，龙翔. 基于学习行为数据的操作系统教学效果量化分析[J]. 计算机工程与科学, 2018, 40(增刊S1): 63-71.
[11]	张沂超,王星焱,陈左宁,张羽丰. 基于国产平台的虚拟化操作系统架构研究及其实现[J]. 计算机工程与科学, 2018, 40(03): 394-404.
[12]	李姗姗，陈立前，曹源，文艳军，罗宇,王之元. 网络化操作系统课程设计及BOPPPS模型在课堂中的探索与应用[J]. 计算机工程与科学, 2016, 38(增刊): 1-6.
[13]	罗军，吕宏峰，王小强，孙宇. 基于SPEC 2000的桌面操作系统与处理器适配评测[J]. J4, 2016, 38(04): 693-698.
[14]	高升,陈月峰. 哲学家就餐问题的算法实现[J]. J4, 2016, 38(02): 269-276.
[15]	雷阳1，孔韦韦2，杨晓元1，苏旸1. 基于操作系统经典与前沿的“拿来主义”式新型教学方法[J]. J4, 2014, 36(A2): 68-72.

基于属性的操作系统动态强制访问控制机制

An attribute-based dynamic mandatory access control mechanism for operating system

PDF

可视化

摘要/Abstract

引用本文

使用本文

相关文章 15

编辑推荐

Metrics

本文评价