Linux安全访问控制模型应用及方案设计

　　在本模型中，替代用户的主体进程可能只激活用户角色的被授权的操作的一部分，而且操作也可能仅作用在被授权作用的操作对象集的一个子集合上。在本系统中，将实现基于角色的授权和控制，支持角色互斥，不支持角色的继承，不支持同一个用户的多个角色。

　　2. 安全系统的设计

　　2.1 安全模型的设计

　　参照GB 17859中结构化保护级的安全功能特性要求，本系统中的安全服务器将遵循改进的BLP模型、DTE模型以及RBAC模型来实现系统的安全策略。其中，BLP模型是多级安全模型，保护信息的机密性；DTE模型是多域模型，保护信息的完整性；RBAC模型是基于角色的访问控制模型，是授权模型。通过三种模型的相互作用和制约，保证系统中的信息以及系统自身的安全性。

　　授权策略RBAC是整个系统的基础，它通过为用户设置特定角色，影响IA控制、特权控制、多域访问控制和强制访问控制等基本功能，达到控制系统中用户/主体对客体/对象的访问的目的。在本系统中，每个用户都有且只有一个角色。为某个用户给定一个角色，相当于给定该用户的最大特权集、安全标记范围、DTE域范围和最小审计掩码。该用户的上述属性只能够在给定角色的范围内指定。RBAC是通过最小特权、强制访问控制（包括MAC机密性保护和DTE完整性保护）和安全审计等功能组合实现的。

　　而多域策略DTE和多级安全策略BLP则是在授权策略授权的基础上，调用多域访问控制和强制访问控制功能，实现对客体/对象信息的完整性和机密性保护。

　　本系统在BLP模型的基础上进行了一些改动：

　　1. 对BLP模型“上写下读”的信息流规则进行了限制，将其中的“上写”改为：低安全等级的主体可以创建高安全等级的客体或向高安全等级的客体中添加信息，但是不能修改或删除高安全等级客体中的原有信息。例如，低安全等级的主体可以在高安全等级目录下（在通过了DAC和DTE检查的情况下）创建新的文件（包括子目录、命名管道等），但是不能删除原有的文件（包括子目录、命名管道等），也不能改写高安全等级文件的内容；