基于计算机属性加密的Linux_安全模块访问控制实现及系统测试

文章编号：2095-6835（2023）21-0140-02
基于计算机属性加密的Linux安全模块访问控制实现及系统测试
邹易奇
（西安铁路职业技术学院，陕西西安710026）
摘要：首先介绍了LSM（Linux Security Module，Linux内核安全模块）的组成结构，并设计了基于属性加密的LSM 访问控制方案，在此基础上通过编写程序验证了打开文件队列和安全钩子函数的实现方式。

最后在Ubuntu15.03测试环境下，验证LSM访问控制功能。

结果表明，该系统能自动验证用户的访问权限，并向具备权限的用户提供对应的文件资源；同时，使用最优解密树可以提高解密效率，增强LSM访问控制的时效性。

关键词：属性加密；LSM安全模块；访问控制；安全钩子函数
中图分类号：TP309.2文献标志码：A DOI：10.15913/ki.kjycx.2023.21.042
属性加密（ABE）是一种基于用户身份的模糊加密方式，它将密钥与属性关联起来，避免了对称加密的密钥在传输过程中被泄露的问题，同时还能使数据拥有者具有对数据的绝对控制权，在加强访问控制和保护数据安全方面发挥了重要作用。

在Linux系统中，探究基于属性加密的LSM安全模块访问控制功能实现路径，对复杂网络环境下保障用户信息与文件资源安全有积极帮助。

1Linux系统下LSM安全模块的构成要素为了在Linux系统中实现访问控制和系统调用的功能，本文在设计LSM框架时，添加了不同功能的代码、函数，构成了LSM的核心架构。

例如在内核中插入了特定的调用函数hook，可调用LSM安全域；添加了register_security函数，用于注册LSM等。

内核安全域是LSM框架的核心组成，用户在Linux客户端执行用户进程后，使用hook函数调用内核安全域，激活LSM。

然后执行一项错误检查，判断文件权限能否正常执行；在DAC（Digital Audio Compress，数字模拟转换器）控制下，调用file_permission钩子函数，此时安全决策模块启动，可以实现对潜在风险的筛选和已知隐患的处理[1]。

基于Linux环境的LSM安全域运行流程如图1所示。

2基于属性加密的LSM访问控制方案设计
2.1基于属性加密的访问控制决策模型
目前基于属性的访问控制决策模型主要有2种，即IETF模型和XACML模型。

但是2种模型在实际应用中均存在一定的弊端，例如IETF模型本质上是一种基于属性访问请求的被动决策模型，无法判断访问主体的属性，如果该主体不具备访问权限，容易带来一定的访问风险；而XACML模型采用的是分布式策略语言，虽然能够明确主体、客体的属性，并利用策略管理点（PAP）完成属性加密，但是XACML模型的语言转换较为烦琐，不利于体现出LSM访问控制的时效性。

基于此，本文结合LSM框架设计了一种新的访问控制决策模型，组成如图2所示。

用户
进程
客体
资源
系统调用
错误检查
DAC控制
LSM钩子
数据结构
安全
决策
模块
LSM
钩子实现
LSM调用
用户空间内核空间
图1基于Linux环境的LSM安全域运行流程
访问请求策略执行点
策略决策点上下文处理器
撤销管理点策略管理点环境决策点
客体环境
操作
主体
属性权威
策略信息点
图2基于属性加密的访问控制决策模型
在该决策模型中添加了撤销管理点，其作用是在
·140·
策略决策时判断主体属性、环境属性是否撤销；如果撤销，则同步更新该主体的密文、策略等相关信息；该决策模型还增加了属性权威（AA），除了负责主客体的属性创建与撤销外，还能用于权限决策或属性加解密。

由于该决策模型采用的是基于属性加密的访问控制策略，因此将模型中的策略决策点、策略信息点、环境决策点等全部整合到属性加密模块中，通过集成处理的方式缩短了上下文处理器的语言转换时间，从而提高了访问控制的时效性。

策略执行点在正常接收访问请求后，基于钩子函数完成语言转换，实现对整个系统的安全访问控制[2]。

2.2基于属性加密的LSM访问控制系统架构
在访问控制决策模型的基础上，本文基于Linux 系统设计了一种基于属性加密的LSM访问控制系统。

该系统由服务器（属性权威）、客户端2个部分构成。

在客户端上，用户可以通过人机交互界面下达各项访问控制指令；在服务器上，可完成用户管理、资源管理、属性管理等一系列任务。

假设用户想要从客户端上获取加密资源，那么该用户首先要进行身份认证，经验证安全登录该系统后，可以向属性权威（AA）发出获取加密资源的申请。

此时，AA收到申请，并根据用户的身份信息和权限等级自动生成一个用户私钥SK，发送给用户，然后用户就可以利用私钥访问加密资源。

在使用了属性加密的LSM访问控制系统中，用户的这一访问行为必定会被内核安全域所捕捉，LSM安全模块会根据特定的钩子函数，调用用户权限信息和用户所需的加密资源。

如果用户权限足够高，满足密文的访问策略，则同意访问请求，此时用户可以顺利获取资源。

2.3用户属性的设计与撤销
为了进一步提高对资源的安全控制水平，在用户基本属性（如部门信息、个人信息等）的基础上，额外增添了安全信息属性（安全控制、环境控制），并保存到数据库中。

如果属性权威需要生成密钥，首先要调用保存在数据库中的“安全属性表”“用户角色属性表”“用户部门表”等，获取该表中的安全属性、部门ID、角色ID、颁发密钥时间等相关信息，然后据此生成密钥。

这些属性在解密环节只起到了限制作用，本身并不参与解密工作。

以“安全属性表”中的“安全时间字段”（SecTime）为例，其作用是限制用户在某个特定时间段内访问资源，避免用户长时间占用系统资源。

当用户的某项属性或者权限发生变更后，就需要撤销对应的密文和用户的密钥。

本文提出了一种基于“密钥分割技术”的属性撤销方案，由属性权威执行第三方可行机构的权限，在用户属性被撤销后，由属性权威提供一个与属性撤销相关的算法（如文件重加密函数ReEnc、代理重密钥生成函数ReKenGen 等）来更新密文[3]。

2.4LSM模块的设计
Linux系统支持自定义hook函数，当系统需要调用安全域内核时，可利用hook函数完成相应的调用功能。

例如，当系统需要打开文件时，调用hook函数，并在系统中产生file_permission钩子，自动寻找并打开对应的文件。

在文件打开以后，LSM模块的内核安全域还会根据文件保存路径或文件名称，进一步判断该文件中包含的资源是否为加密资源。

如果属于加密资源，则LSM模块需要用户提供私钥，否则将拒绝用户操作，文件无法顺利打开，从而达到访问控制的目的。

3基于属性加密的LSM访问控制实现
3.1打开文件队列的实现
当具备访问权限的用户对某一项文件进行解密，并顺利获取文件资源后，LSM模块的内核安全域需要在系统关机，或者用户注销事件时，对已经解密的文件进行重新加密，这样才能保证当下一名用户访问文件时重新进行安全验证，达到访问控制的目的。

为了达到这一效果，就要求定义一个队列，确保已经被解密的文件，只能允许当前用户访问；其他用户需要排队等待，避免未经过验证的，或者是不具备访问权限的用户获取文件资源。

本文基于资源访问的互斥性要求，编写以下算法保证打开文件队列的实现：Static DEFINE_MUTEX(lsm_queue_mutex);//定义一个内核互斥变量
Mutex_lock(&lsm_queue_mutex);//上锁互斥量
Mutex_unlock(&lsm_queue_mutex);//解锁互斥量
另外还引入了一个模块初始化函数static int_initmylsm(void)，保证了当前用户访问进程结束后，能够对文件立即执行初始化程序，恢复加密状态，然后按照队列验证下一名用户是否具有访问权限。

3.2安全钩子函数的实现
在Linux系统中，可通过用户自定义的方式预设若干安全钩子，并采用分布式存储的方式，分布在security.h数据结构中。

在LSM模块的运行流程中，需要提前设定一个数据结构对象，然后在数据结构对象与对应函数的钩子之间建立起映射关系。

进入钩子函数后，调用static int lamabe_isdaemon函数判断是否为
（下转第146页）
·141·
·146·
数少、强度弱。

1月、2月及12月，万山凝冻天气过程属万山本站发生次数最多，共出现29次，次数最少的为谢桥新区（4次）。

从凝冻总日数来看，万山凝冻最严重，为180d ；其次是高楼坪，为168d ；超过100d 的还有茶店，为122d ；最少的为谢桥，为11d 。

凝冻日数具有中部、南部多，东、西、北部少的特征，如图3所示。

图3万山各乡镇2011—2020年凝冻总日数空间分布图
3结论
对万山本站近43年、区域站近10年发生凝冻天
气时的气象资料进行了统计与分析，结果表明：①万山本站凝冻天气过程多年呈波动变化，最多7次发生在1985年、1988年、2012年，最少1次发生在2011年和2020年。

②万山本站凝冻天气过程发生次数最多的为2月（72次），最少的为1月（32次）。

③万山本站凝冻天气过程强度中，轻级、中级、重级、特重级次数最多的均发生在2月，最少的均发生在1月。

④近10年，万山凝冻天气过程东部较西部次数少、强度弱；中部、东南部次数多、强度大，主要因
海拔较高；北部因海拔较低及城市温室效应影响，发生次数少、强度弱。

⑤凝冻总日数具有中部、南部多，东、西、北部少的特征。

参考文献：
[1]万山区（贵州省铜仁市市辖区）[EB/OL].[2023-09-06].
https:///item/%E4%B8%87%E5%B1%B1%E5%8C%BA/31583?fr=aladdin:.[2]杨立群.贵州暴雨洪涝、秋绵雨和凝冻的气候特征及灾情分析[J].贵州气象，1999，23（4）：3-8.
[3]
许丹，罗喜平.贵州凝冻的时空分布帖子和环流成因分析[J].高原气象，2003（4）：401-404.[4]
钟有萍，高红梅，孙贵江，等.近60a 铜仁市凝冻气候变化特征及灾害风险区划[J].高原山地气象研究，2013，33（2）：63-68.[5]
高红梅，陈波，夏阳，等.黔南州凝冻气候特征以及异常凝冻年环流特征[J].中低纬山地气象，2019，43（5）：42-47.[6]姚祖超，胡双屏.锦屏县凝冻天气特征分析[J].贵州气象，
2006（4）：25-26.[7]
李玉柱，许炳南.贵州短期气候预测技术[M].北京：气象出版社，2001：6-7.
[8]符宗斌，王强.气候突变的定义和检验方法[J].大气科学，
1992（16）：482-493.
————————
作者简介：邓苏（1992—），女，工程师，从事综合气象业务工作。

（编辑：丁琳）
————————————————————————————————————————————————（上接第141页）
守护进程，如果判断结果为“是”，则调用Iamabe_queue_add 函数打开文件信息，并根据返回值确定权限和文件[4]。

基于LSM 模块钩子函数的文件安全访问控制实现流程。

4基于属性加密的LSM 访问控制系统测试
4.1
测试环境
该系统的客户端和属性权威（服务器）均使用Intel core i5处理器，测试系统为Ubuntu15.03版本，2G DDR3内存，120G 硬盘容量。

在测试前，首先预设2个加密文件的访问结构，其中A 文件可满足用户1和2的访问需要；B 文件可满足用户3的访问需要。

然后用权威属性将sun_Afile.txt 文件和sun_Bfile.txt 进行加密。

同时在后台创建了3个密钥，用户模拟3个用户的登录验证。

4.2
测试结果
用户1登录该系统并获取加密资源时，可以顺利打开sun_Afile.txt 文件，获取文件内容；但是无法打开sun_Bfile.txt 文件，并且弹出“Could not open the file ”的访问禁止提示。

该测试结果与测试前设置的访问结构一致。

另外，本次试验中还测试了访问树叶节点与解密用时的关系。

在有多条路径均满足访问控制树门限值的情况下，随着节约叶子节点数的增加，该系统节约的时间也会更多。

这一结果表明了在加密资源解密环节选择最优解密树要比使用先序遍历树具有更高的解密效率；并且最优路径比先序遍历路径多出的叶子节点数量越多，其解密效率越高，并且整体上保持了良好的线性关系。

108.85°108.90°108.95°109.00°109.05°109.10°109.15°109.20°109.25°109.30°109.35°
经度
27.70°27.65°27.60°27.55°27.50°27.45°
大坪
敖寨
谢桥
茶店
鱼塘
高楼坪下溪
万山
黄道
·147·
（上接第143页）
（c ）对比试样形貌图4三点弯曲实验试样形貌
2.2实验数据分析
不同测试类型下对比和含膜层试样的平均强度如
图5所示。

由图5可知，含膜层试样的短梁剪切、拉伸、弯曲强度分别较对比试样提高了15.38%、22.10%和18.99%。

原因可能是石墨烯膜层阵列分布的微圆柱凹坑结构与复合材料形成层间机械互锁，在加载时分
层吸收能量，提高了复合材料结构的剪切强度。

图5不同测试类型下对比和含膜层试样的平均强度
3结论
对比试样和含膜层试样均出现断裂、形成损伤区
域、分层、萌生裂纹损伤破坏模式。

含膜层试样易出现膜层侧和复合材料间的层间分层，分层后膜层侧表
面残留有树脂，复合材料表面残留有石墨烯膜层。

石墨烯膜层能提高复合材料的力学性能。

含膜层试样较对比试样，短梁剪切、拉伸、弯曲强度分别提高了约15%、22%和19%，原因可能是石墨烯膜层阵列分布的微圆柱结构与复合材料形成层间机械互锁。

参考文献：
[1]
迪力穆拉提·阿卜力孜，段玉岗，李涤尘，等.树脂基复合材料原位固化制造技术概述[J].材料工程，2011（10）：84-90，96.[2]王彩霞，张鲁鲁，罗蕙敏，等.石墨烯吸波材料的研究进展与发展方向[J].染整技术，2020，42（4）：1-8.[3]
姜晓伟，汪海.复合材料双悬臂梁试验I 型分层扩展的三维近场动力学模拟[J].科学技术与工程，2019，19（21）：35-40.
[4]KARATA M A ，KARATA H G.A review on machinability of
carbon fiber reinforced polymer and glass fiber reinforced polymer composite materials[J].Defence technology ，2018，14（4）：318-326.
————————
作者简介：袁潇洒（1996—），男，工程师，研究方
向为树脂基复合材料成型。

（编辑：丁琳）
————————————————————————————————————————————————
5结束语
本文之所以选择Linux 系统设计LSM 模块，是因为在目前的几种主流操作系统中，只有Linux 系统将LSM 模块添加到操作系统的源码中。

这就意味着在LSM 模块设计中，内核安全域和对象（包括主体、客体与环境）的关联等，都可以通过源码自主映射的方式实现，从而极大地减轻了LSM 模块设计的工作量。

从试验结果来看，基于LSM 模块的访问控制可以利用内核安全域验证发出访问请求的用户是否具备获取加密资源的权限，然后决定是否允许该用户读取文件资源，达到了理想的访问控制效果。

参考文献：
[1]
高诗尧，陈燕俐，许玉岚.云环境下基于属性的多关键字
可搜索加密方案[J].计算机科学，2022，49（3）：313-321.[2]
张倩，李军茹.数据加密技术在计算机信息安全管理中的应用[J].电子测试，2022，36（8）：78-80.
[3]张晓东，陈韬伟，余益民，等.基于区块链和密文属性加密的访问控制方案[J].计算机应用研究，2022，39（4）：986-991.
[4]池水明，陈勤，党正芹.一种基于策略控制的可撤销属性基代理加密方案[J].计算机工程与科学，2013，35（9）：94-98.
————————
作者简介：邹易奇（1986—），男，本科，工程师，从事网络管理工作。

（编辑：王霞）。