一种可信增强的访问控制框架的设计与实现

2.2 可信增强的Flask访问控制框架设计
    尽管Flask安全框架在一定程度上解决了系统的安全问题，但其解决的是不让非法主体对系统资源进行恶意的访问控制，而无法解决合法主体的可信性问题，即前言中描述的“内部威胁”问题。另一方面，Flask也无法保证系统中客体内容的完整性和真实性问题。结合可信计算，本文提出了一种可信增强的Flask 访问控制框架，它在普通Flask框架的基础上加入了身份认证和可信监控机制，如图2所示。

    访问控制中，用户身份认证是非常重要的。在用户对系统资源进行访问控制之前，首先要经过身份认证模块识别用户的身份，访问控制模块才能根据用户的身份和安全策略库决定用户是否能够访问某个资源。
    可信监控机制用于保障安全策略的正确实施，它在安全服务器内实现。其主要工作有：(1)对主体行为进行监控，即在进行访问控制之前，确保主体的行为是可信的，不会给系统造成破坏；(2)对客体进行验证，即根据客体的当前状态验证主体的身份和客体自身的完整性，确保客体内容的真实性；(3)监控访问行为，即监控所有与安全相关的访问企图，确保访问企图不被篡改，访问机制不被绕过。图3是可信监控机制的示意图。

    可信监控机制可分为可信验证、可信存储和可信报告三部分，其中可信验证必须存在，可信存储和可信报告可选。为了实施可信验证，首先要对进行可信验证的实体进行可信度量，可信度量由度量实体（或者是度量事件）启动，通过对度量实体进行SHA1运算得到一个杂凑值，度量实体会将这个杂凑值存储在内核里的一个有序度量列表中，同时将可信度量值报告给存储在可信硬件里的平台配置寄存器（PCR），以扩展度量列表。可信验证结合度量列表中存储的度量值，对主客体进行一致性验证，检查其是否被篡改或破坏，以确保主客体的可信性和完整性。验证过程依赖于度量列表中存储的基准度量值与当前状态的可信度量值的比较。若当前状态的可信度量值符合基准度量值，则认为该实体（或事件）是可信的[4]。
    在加入了身份认证和可信监控之后，访问控制的工作流程如下：
    (1) 在身份鉴别的控制下，用户登录，启动访问控制模块；
    (2) 主体向对象管理器发送访问请求，要求对相应的客体进行请求操作；
    (3) 对象管理器将访问请求发送给安全服务器。请求包括主客体标识以及请求类型等；
    (4) 安全服务器接收到访问请求之后，启动可信监控机制；
    (5) 可信监控机制根据主体的当前访问行为，判断主体的可信性及主体的这次访问行为是否为不良行为。如果主体可信并且这次访问行为完全合法，可信监控机制则会转向对客体的验证，否则，拒绝这次访问；
    (6) 可信监控机制根据访问请求，验证客体的真实性和完整性，如果验证出客体的真实性和完整性未遭到破坏，可信监控机制则会将访问控制权转向安全服务器的安全决策逻辑的制定，否则，拒绝这次访问；
    (7) 安全服务器根据当前的访问控制策略库进行访问决策的判定，如果这次访问行为满足访问控制策略，则允许主体的这次访问行为，否则，拒绝本次访问；
    (8) 安全服务器将判定结果返回给对象管理器，对象管理器依据决策结果实施主体对客体的访问控制；
    (9) 可信监控机制实施主体对客体操作的监控，如果出现违规行为，则撤销此次访问。
2.3可信增强的Flask访问控制框架分析
    本文通过对普通Flask访问控制框架加入身份认证和可信监控机制，实现了一个可信增强的访问控制框架，通过实施这个可信增强的访问控制框架，可以实现对操作系统终端平台的机密性、一致性保障，并且具有较好的可用性。下面就这几个方面做简要说明。
    (1) 一致性：通过在框架中实施可信监控机制对相应主体和客体(包括文件、目录、进程、套接字等)进行一致性验证。对主、客体的验证首先要检查主、客体是否存在预期摘要值，如果不存在，则为其生成预期摘要值（首次执行）；否则计算主、客体的当前摘要值，并且与保存的预期摘要值进行比较；如果不一致，则拒绝本次访问请求[5]。这样做可以保证系统资源的一致性，进而保证整个系统的一致性。
    (2) 机密性：通过在框架中实施强制访问控制对登录用户、系统主体以及敏感信息进行处理，有权限的合法可信用户以及合法可信主体才可访问相应级别的敏感信息，从而解决了前言中阐述的“内部威胁”问题。对于某些由于意外情况而赋予的访问许可，通过实施强制访问控制，其实施范围也会限定在有限的区域，并且当再次执行访问控制决策时，也会由于一致性验证不成功而拒绝访问，从而保证了整个系统的机密性。
    (3) 可用性：身份认证是保证用户身份合法性及唯一性的方法，而访问控制的有效性也需要建立在合法主体的基础之上。该框架在普通Flask框架的基础上增加了身份认证和可信监控，既解决了用户身份的合法性又解决了访问控制实施的可信性，它在保证机密性、一致性的基础上，对用户透明，不需用户干预，具有良好的可用性，并且能与操作系统良好兼容。