一種靈活的強(qiáng)制完整性訪問(wèn)控制策略＊

徐 鋒，魏立峰，張國(guó)印

（1.哈爾濱工程大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，黑龍江哈爾濱150001；2.國(guó)防科學(xué)技術(shù)大學(xué)計(jì)算機(jī)學(xué)院，湖南長(zhǎng)沙410073）

1 引言

計(jì)算機(jī)信息安全除了要保護(hù)信息的機(jī)密性外，還要保護(hù)信息的完整性。文件的完整性是指文件完好無(wú)損，是完整的。一旦一個(gè)重要文件被替換或篡改，其危害甚至不亞于機(jī)密信息的丟失。

Tripwire是Linux下進(jìn)行事后完整性檢查的一種手段，但不能實(shí)時(shí)地對(duì)文件完整性進(jìn)行保護(hù)，僅在事后給出提示，顯然不能滿足完整性保護(hù)需求。為保護(hù)信息完整性，學(xué)者提出了很多完整性模型，包括Biba模型、Clark－Wilson模型、Chinese－Wall模型、LOMAC模型、Lipner完整矩陣模型等［1］，并進(jìn)行了一系列后續(xù)研究［2～7］，從完整性訪問(wèn)控制模型以及如何實(shí)施完整性訪問(wèn)控制等角度進(jìn)行了研究，但是都不能真正做到利用完整性控制機(jī)制保護(hù)系統(tǒng)平臺(tái)的完整性，防止外來(lái)程序的執(zhí)行。

完整性保護(hù)是高等級(jí)安全操作系統(tǒng)的一項(xiàng)重要要求［8，9］。各安全操作系統(tǒng)基于不同的完整性保護(hù)模型進(jìn)行適應(yīng)性實(shí)現(xiàn)。銀河麒麟提出了可信數(shù)據(jù)認(rèn)證技術(shù)，定義了兩個(gè)簡(jiǎn)單完整級(jí)，分別表示可信和不可信，通過(guò)定義外來(lái)數(shù)據(jù)不可信防止惡意程序?qū)ν暾缘钠茐?，同時(shí)起到抵御惡意攻擊的效果；紅旗安全操作系統(tǒng)則在Biba嚴(yán)格完整性保護(hù)策略的基礎(chǔ)上，實(shí)現(xiàn)了動(dòng)態(tài)的嚴(yán)格完整性保護(hù)策略［3］；FreeBSD在其強(qiáng)制訪問(wèn)控制MAC（Mandatory Access Control）框架下實(shí)現(xiàn)了保護(hù)完整性的mac＿lomac策略［10］。Windows 7和Vista的強(qiáng)制完整性控制MIC（Mandatory Integrity Control）策略［11］是Biba模型中Ring策略［1］的一種實(shí)現(xiàn)。利用MIC機(jī)制，Windows 7和Vista實(shí)現(xiàn)了IE保護(hù)模式，限制惡意代碼、程序和插件能夠通過(guò)瀏覽器獲得的權(quán)限操作。

雖然有很多的完整性模型及策略實(shí)現(xiàn)，但在實(shí)際使用中還是存在一些不足。無(wú)論信息完整性的保護(hù)需求有多高，總是有進(jìn)程或用戶可以有意或無(wú)意地進(jìn)行修改、刪除等操作，而在某些情況下，是不允許進(jìn)行任何修改的，比如操作系統(tǒng)內(nèi)核、重要配置文件以及系統(tǒng)重要命令或應(yīng)用等，一旦這些文件被破壞，甚至可以導(dǎo)致系統(tǒng)癱瘓；較低完整性的文件是可以執(zhí)行較高完整性程序的，因?yàn)椴⒉粫?huì)破壞完整性保護(hù)原則；新創(chuàng)建文件的完整性如何確定的問(wèn)題并不是任何時(shí)候都要和進(jìn)程完整性一致?；诖?，本文提出了一種滿足完整性保護(hù)需求并兼顧靈活和防止瀏覽器劫持等惡意攻擊的靈活完整性控制策略，稱之為FIC（Flexible Integrity Control）完整性控制策略，并給出了在LSM（Linux Security Module）［11］訪問(wèn)控制框架下的實(shí)現(xiàn)過(guò)程。FIC策略引入了輔助完整級(jí)，參與新創(chuàng)建文件客體的完整性標(biāo)記確定規(guī)則中，并定義進(jìn)程執(zhí)行完整性標(biāo)記規(guī)則，使得低完整性進(jìn)程不能通過(guò)執(zhí)行高完整性進(jìn)程提升權(quán)限，高完整性進(jìn)程執(zhí)行低完整性進(jìn)程必須降低權(quán)限，既增加了靈活性又不會(huì)對(duì)完整性造成破壞。分析表明，F(xiàn)IC策略即能滿足完整性保護(hù)目標(biāo)，也能有效防止系統(tǒng)重要文件遭到破壞，同時(shí)還有防止外來(lái)惡意軟件運(yùn)行和瀏覽器劫持等功能。

2 完整性策略模型分析

2.1 Biba模型

Biba模型是最經(jīng)典的完整性模型和正式的計(jì)算機(jī)安全策略狀態(tài)轉(zhuǎn)換系統(tǒng)，由Biba K于20世紀(jì)70年代提出。類似于BLP［1］保密性模型，Biba模型為系統(tǒng)中的主客體定義了完整性等級(jí)，并制定了一套確保數(shù)據(jù)不被損壞的訪問(wèn)控制規(guī)則，提供了分級(jí)別的完整性保證。

Biba模型針對(duì)完整性保護(hù)提出了三種策略：low－water－mark策略、Ring策略和嚴(yán)格完整性策略（Biba模型）。

low－water－mark策略定義了如下三種訪問(wèn)控制規(guī)則：

（1）主體s能夠?qū)懺L問(wèn)客體o，當(dāng)且僅當(dāng)客體o的完整級(jí)小于或等于主體s的完整級(jí)；

（2）如果主體s讀訪問(wèn)客體o，如果客體o的完整級(jí)低于主體s的完整級(jí)，那么主體s在讀訪問(wèn)客體o后，其完整級(jí)等于客體o的完整級(jí)；

（3）主體s1能夠執(zhí)行主體s2，當(dāng)且僅當(dāng)主體s2的完整級(jí)小于或等于主體s1的完整級(jí)。

Ring策略定義了如下三種訪問(wèn)控制規(guī)則：（1）允許任何主體讀任何客體；

（2）主體s允許寫訪問(wèn)客體o，當(dāng)且僅當(dāng)客體o的完整級(jí)小于或等于主體s的完整級(jí)；

（3）主體s1能夠執(zhí)行主體s2，當(dāng)且僅當(dāng)主體s2的完整級(jí)小于或等于主體s1的完整級(jí)。

嚴(yán)格完整性策略也稱之為Biba模型，定義了如下訪問(wèn)控制規(guī)則：

（1）主體s能夠讀訪問(wèn)客體o，當(dāng)且僅當(dāng)主體s的完整級(jí)小于或等于客體o的完整級(jí)；

（2）主體s能夠?qū)懺L問(wèn)客體o，當(dāng)且僅當(dāng)客體o的完整級(jí)小于或等于主體s的完整級(jí)；

（3）主體s1能夠執(zhí)行主體s2，當(dāng)且僅當(dāng)主體s2的完整級(jí)小于或等于主體s1的完整級(jí)。

2.2 Biba模型策略分析

Biba模型三種完整性策略的區(qū)別僅在于讀訪問(wèn)時(shí)的限制，其目標(biāo)就是對(duì)信息流進(jìn)行限制，在主體訪問(wèn)客體時(shí)，禁止低完整性等級(jí)的進(jìn)程對(duì)高完整性等級(jí)的客體進(jìn)行寫訪問(wèn)，保證信息只會(huì)從等級(jí)較高的實(shí)體傳輸?shù)降燃?jí)低的實(shí)體。在low－watermark策略中，當(dāng)高完整級(jí)的進(jìn)程讀訪問(wèn)了低完整級(jí)的文件時(shí)，進(jìn)程要降低其完整性等級(jí)。也可以描述為具有更高等級(jí)的清潔實(shí)體受到損壞后，就變成等級(jí)低的非清潔等級(jí)實(shí)體。Biba模型則不允許進(jìn)程讀更低完整級(jí)的客體。

Windows 7或者Vista的MIC機(jī)制實(shí)際上是Ring策略的一種實(shí)現(xiàn)。MIC只定義了簡(jiǎn)化的四個(gè)完整級(jí)，并通過(guò)瀏覽器進(jìn)程運(yùn)行在最低完整級(jí)來(lái)限制惡意木馬或病毒通過(guò)瀏覽器對(duì)系統(tǒng)的破壞。

在Biba模型的三種策略中，低完整級(jí)進(jìn)程不能執(zhí)行高完整級(jí)應(yīng)用，因?yàn)橹灰暾?jí)不被提高，允許執(zhí)行并不會(huì)對(duì)完整性造成破壞，因此靈活性不足。同時(shí)，高完整級(jí)進(jìn)程在執(zhí)行低完整級(jí)程序后沒(méi)有相應(yīng)的完整級(jí)變化規(guī)則，可能導(dǎo)致低完整性程序被高完整性進(jìn)程執(zhí)行后具有高完整性從而破壞完整性。由于缺乏新建客體的完整性標(biāo)記規(guī)則，通常繼承進(jìn)程的完整性標(biāo)記，但并不是任何時(shí)候高完整級(jí)進(jìn)程創(chuàng)建的文件一定是高完整級(jí)文件，比如創(chuàng)建的臨時(shí)文件，可能需要和其他進(jìn)程共享，因此其完整級(jí)并不需要和進(jìn)程的完整級(jí)一樣高。

對(duì)操作系統(tǒng)本身而言，完整性保護(hù)的目標(biāo)不只是信息的完整性，操作系統(tǒng)自身的完整性更加重要。如果操作系統(tǒng)內(nèi)核、系統(tǒng)命令等被修改或刪除，可能造成重要安全隱患甚至導(dǎo)致系統(tǒng)癱瘓。因此，對(duì)于某些在任何時(shí)候都不能被修改的文件，有必要采取特別措施保護(hù)其完整性。

3 FIC完整性策略

3.1 FIC完整級(jí)定義

為保護(hù)信息的完整性，并考慮實(shí)用性和靈活性，F(xiàn)IC完整性策略為系統(tǒng)中的主客體定義一個(gè)完整性標(biāo)記，包括主完整級(jí)IL（Integrity Level）和輔助完整級(jí)IAL（Integrity Auxiliary Level）。主完整級(jí)IL主要參與訪問(wèn)控制決策以及客體完整性標(biāo)記的確定；輔助完整級(jí)IAL則主要針對(duì)系統(tǒng)中的進(jìn)程主體和目錄客體，并參與到文件客體完整性標(biāo)記確定規(guī)則中，用以確定新生成的文件客體完整性標(biāo)記。

FIC完整性策略缺省定義七個(gè)完整級(jí)，從高到低分別是NOMOD、CORE、SYSTEM、USER、TMP、LOW以及UNDEF，其各自含義及適用主客體如表1所示。其中主完整級(jí)可以取值NOMOD、CORE、SYSTEM、USER、TMP以及LOW，輔助完整級(jí)取值范圍則包括全部七個(gè)完整級(jí)。

一個(gè)完整性標(biāo)記A的主完整級(jí)IL（A）和輔助完整級(jí)IAL（A）必須滿足如下關(guān)系之一：

3.2 FIC完整性策略規(guī)則

定義1 當(dāng)且僅當(dāng)完整性標(biāo)記A的主完整級(jí)IL（A）大于或等于完整性標(biāo)記B的主完整級(jí)IL（B）時(shí)，即IL（A）≥IL（B）時(shí)，稱完整性標(biāo)記A支配完整性標(biāo)記B。

Table 1 Definition of FIC default integraity level表1 FIC缺省完整級(jí)定義

FIC完整性策略與Ring策略相似，但考慮了靈活性，策略規(guī)則定義如下：

（1）讀訪問(wèn)規(guī)則：由于讀訪問(wèn)不破壞完整性，缺省允許；

（2）寫訪問(wèn)規(guī)則：當(dāng)且僅當(dāng)進(jìn)程主體的完整性標(biāo)記支配客體的完整性標(biāo)記時(shí)，才允許該進(jìn)程對(duì)該客體進(jìn)行寫訪問(wèn)；

（3）執(zhí)行訪問(wèn)規(guī)則：任何進(jìn)程不允許執(zhí)行主完整級(jí)為L(zhǎng)OW的客體，且進(jìn)程改變執(zhí)行映像時(shí)，即在exec操作時(shí)，產(chǎn)生新進(jìn)程的完整性標(biāo)記為其父進(jìn)程與被執(zhí)行文件中完整性標(biāo)記較小者。

通過(guò)上述完整性策略規(guī)則，F(xiàn)IC完整性策略既滿足Ring策略的要求，又保證了系統(tǒng)運(yùn)行的靈活性，可保證高完整性標(biāo)記的文件、進(jìn)程等不會(huì)被低完整性標(biāo)記進(jìn)程破壞。系統(tǒng)運(yùn)行時(shí)，高完整性的進(jìn)程在執(zhí)行低完整性的文件后會(huì)降低其完整性標(biāo)記，而低完整性的進(jìn)程不可能通過(guò)執(zhí)行高完整性的文件提升自己的權(quán)限。

3.3 FIC主客體完整性標(biāo)記決策規(guī)則

在系統(tǒng)執(zhí)行過(guò)程中，進(jìn)程主體的完整性標(biāo)記應(yīng)隨著其執(zhí)行流的進(jìn)行而改變，防止進(jìn)程通過(guò)改變執(zhí)行映像提高權(quán)限，并防止低完整性標(biāo)記程序被高完整性標(biāo)記進(jìn)程執(zhí)行時(shí)可能對(duì)系統(tǒng)完整性造成破壞。因此，進(jìn)程在改變執(zhí)行映像時(shí)需要根據(jù)進(jìn)程的原有完整性標(biāo)記和執(zhí)行映像的完整性標(biāo)記重新確定其完整性標(biāo)記。新生成的客體完整性標(biāo)記也是根據(jù)其父進(jìn)程以及父目錄的完整性標(biāo)記來(lái)確定。

當(dāng)進(jìn)程創(chuàng)建子進(jìn)程時(shí)，子進(jìn)程缺省繼承父進(jìn)程的完整性標(biāo)記。當(dāng)進(jìn)程p改變執(zhí)行映像時(shí)，進(jìn)程p的完整性標(biāo)記按照如下規(guī)則改變：

（1）如果進(jìn)程的當(dāng)前完整性標(biāo)記支配執(zhí)行映像的完整性標(biāo)記，則進(jìn)程的主完整級(jí)降低為執(zhí)行映像的主完整級(jí)；如果執(zhí)行映像的完整性標(biāo)記支配進(jìn)程的當(dāng)前完整性標(biāo)記，則進(jìn)程的完整性標(biāo)記保持不變。

（2）如果執(zhí)行映像具有輔助完整級(jí)，且輔助完整級(jí)不為NOMOD，則：

①如果進(jìn)程當(dāng)前沒(méi)有定義輔助完整級(jí)，即輔助完整級(jí)為UNDEF，則進(jìn)程的輔助完整級(jí)設(shè)置為執(zhí)行映像的輔助完整級(jí)；

②如果進(jìn)程當(dāng)前有輔助完整級(jí)，且映像的輔助完整級(jí)高于進(jìn)程的輔助完整級(jí)，則進(jìn)程的輔助完整級(jí)不變；

③如果進(jìn)程當(dāng)前有輔助完整級(jí)，且進(jìn)程的輔助完整級(jí)高于映像的輔助完整級(jí)，則進(jìn)程的輔助完整級(jí)設(shè)置為執(zhí)行映像的輔助完整級(jí)。

（3）經(jīng)步驟（1）、（2）后，如果進(jìn)程的輔助完整級(jí)IAL（p）高于進(jìn)程的主完整級(jí)IL（p），則進(jìn)程的輔助完整級(jí)IAL（p）設(shè)置得與進(jìn)程的完整級(jí)IL（p）相等。

當(dāng)進(jìn)程創(chuàng)建文件時(shí)，文件客體的完整性標(biāo)記通常要繼承進(jìn)程的完整性標(biāo)記，但并不是所有新建文件都要和進(jìn)程保持一致。輔助完整級(jí)主要用于文件或目錄客體創(chuàng)建時(shí)的完整性標(biāo)記限定。如果進(jìn)程的輔助完整級(jí)不為UNDEF，則輔助完整級(jí)表示進(jìn)程所能創(chuàng)建的文件的最高完整性標(biāo)記；如果目錄的輔助完整級(jí)不為UNDEF，則輔助完整級(jí)表示在該目錄下新創(chuàng)建的文件的最高完整性標(biāo)記。

新建客體標(biāo)記確定規(guī)則如下：

（1）如果進(jìn)程具有輔助完整級(jí)，則文件客體的主完整級(jí)繼承進(jìn)程的輔助完整級(jí)，否則文件客體的主完整級(jí)繼承進(jìn)程的主完整級(jí)。如果要?jiǎng)?chuàng)建的文件客體所在的父目錄有輔助完整級(jí)，則轉(zhuǎn)2）；否則，文件客體的輔助完整級(jí)取值為UNDEF，文件客體完整性標(biāo)記確定完畢。

（2）如果步驟（1）確定的文件客體主完整級(jí)高于父目錄的主完整級(jí)，則繼承父目錄的主完整級(jí)。如果創(chuàng)建的文件客體是目錄，則目錄的輔助完整級(jí)也繼承父目錄的輔助完整級(jí)；否則，輔助完整級(jí)取值為UNDEF。轉(zhuǎn)（3）

（3）如果步驟（2）確定的文件客體完整性標(biāo)記支配步驟（1）確定的完整性標(biāo)記，則文件客體的完整級(jí)即為步驟（1）確定的完整標(biāo)記；如果文件客體具有輔助完整級(jí)，且輔助完整級(jí)高于文件客體的主完整級(jí)，則輔助完整級(jí)設(shè)置得與文件客體的主完整級(jí)相同。

4 FIC完整性策略在LSM框架下的實(shí)現(xiàn)

4.1 LSM框架

LSM是一種輕量級(jí)、通用的訪問(wèn)控制框架，為各種增強(qiáng)的訪問(wèn)控制策略提供一種底層的通用支持，使得安全模塊開發(fā)者可以專注于安全策略內(nèi)部的細(xì)節(jié)實(shí)現(xiàn)，而不必關(guān)心整個(gè)操作系統(tǒng)的流程。目前，LSM已經(jīng)集成在Linux內(nèi)核中，Linux各主要發(fā)行版本均包括LSM框架。通過(guò)LSM框架，可以方便地實(shí)現(xiàn)各種安全策略，如SELinux就是掛接在LSM框架下實(shí)現(xiàn)對(duì)系統(tǒng)的保護(hù)。

LSM在內(nèi)核主要的數(shù)據(jù)結(jié)構(gòu)（如inode、task、file等）中均增加了相應(yīng)的安全域，以無(wú)類型指針void＊security表示，并在內(nèi)核相關(guān)函數(shù)內(nèi)部的關(guān)鍵點(diǎn)插入鉤子函數(shù)。根據(jù)控制對(duì)象的不同，LSM將hook函數(shù)進(jìn)行分類，并定義在一個(gè)security＿operations安全hook函數(shù)域結(jié)構(gòu)中，各安全策略模塊根據(jù)自身策略需求實(shí)現(xiàn)相應(yīng)的部分或全部hook函數(shù)實(shí)體。當(dāng)主體訪問(wèn)客體時(shí)，首先進(jìn)行一系列常規(guī)操作及內(nèi)核一般訪問(wèn)檢查后，通過(guò)鉤子函數(shù)進(jìn)入掛接在LSM下的各訪問(wèn)控制策略檢查函數(shù)，并根據(jù)各訪問(wèn)控制策略檢查結(jié)果，決定是否授予訪問(wèn)權(quán)限。

4.2 FIC策略實(shí)現(xiàn)

4.2.1 FIC安全標(biāo)記域

FIC完整性訪問(wèn)控制策略作為一個(gè)安全策略模塊在LSM框架下設(shè)計(jì)實(shí)現(xiàn)，為系統(tǒng)內(nèi)所有主客體定義如下一個(gè)fic＿label完整性標(biāo)記結(jié)構(gòu)，在該結(jié)構(gòu)中，fic＿grade表示主完整級(jí)，fic＿aux表示輔助完整級(jí)。

以該標(biāo)記結(jié)構(gòu)為基礎(chǔ)，為inode、file、task、bprm等定義相應(yīng)的完整性標(biāo)記結(jié)構(gòu)。

4.2.2 主體函數(shù)設(shè)計(jì)

FIC策略主要實(shí)現(xiàn)與訪問(wèn)控制相關(guān)的inode客體標(biāo)記、進(jìn)程再標(biāo)記等hook函數(shù)。

進(jìn)程訪問(wèn)文件的主體函數(shù)fic＿inode＿perm的邏輯結(jié)構(gòu)如圖1所示。

Figure 1 Logic structure of process access files圖1 進(jìn)程訪問(wèn)文件邏輯結(jié)構(gòu)

進(jìn)程p執(zhí)行b的時(shí)候，進(jìn)程完整性標(biāo)記需要根據(jù)b的完整性標(biāo)記重新確定進(jìn)程p的主完整級(jí)和輔助完整級(jí)。主體函數(shù)fic＿bprm＿apply＿creds的邏輯結(jié)構(gòu)如圖2所示。

Figure 2 Logic structure of process tags to determine圖2 進(jìn)程標(biāo)記再確定邏輯結(jié)構(gòu)

新建文件o的完整性標(biāo)記缺省根據(jù)進(jìn)程p的完整性標(biāo)記確定，但如果父目錄d下創(chuàng)建的文件完整性標(biāo)記有特殊要求，則新建文件o的完整性標(biāo)記根據(jù)進(jìn)程p和目錄d二者的完整性標(biāo)記綜合確定。主體函數(shù)fic＿inode＿init＿security的邏輯結(jié)構(gòu)如圖3所示。

4.3 實(shí)現(xiàn)效果分析

FIC策略引入主完整級(jí)和輔助完整級(jí)，并允許低完整性標(biāo)記的進(jìn)程可以執(zhí)行高完整性標(biāo)記的程序，高完整性標(biāo)記進(jìn)程在執(zhí)行低完整性程序后降低其完整性，實(shí)現(xiàn)了系統(tǒng)執(zhí)行控制的靈活性。輔助完整級(jí)主要文件客體創(chuàng)建時(shí)的標(biāo)記限定中，通常用于瀏覽器等進(jìn)程以及/tmp等臨時(shí)目錄。

igure 3 Logic structure of new file tags to determine圖3 新建文件標(biāo)記確定邏輯結(jié)構(gòu)

為保護(hù)操作系統(tǒng)內(nèi)核等重要文件，通過(guò)安全配置工具ficset為/boot目錄下所有文件設(shè)置完整性標(biāo)記為CORE［NOMOD］。測(cè)試表明，任何用戶對(duì)這些文件的修改操作都被拒絕，但不影響系統(tǒng)正常運(yùn)行。

為瀏覽器進(jìn)程定義TMP［LOW］完整性標(biāo)記，即主完整級(jí)為TMP，輔助完整級(jí)為L(zhǎng)OW，使得瀏覽器進(jìn)程不能對(duì)系統(tǒng)造成破壞，且通過(guò)瀏覽器下載的文件或插件主的完整級(jí)只能是LOW，因此通過(guò)瀏覽器下載的惡意程序或木馬不能運(yùn)行，進(jìn)一步保護(hù)了系統(tǒng)的安全。測(cè)試也驗(yàn)證了這一點(diǎn)。

5 結(jié)束語(yǔ)

本文研究了目前完整性保護(hù)機(jī)制的現(xiàn)狀，指出了其中存在的缺陷，提出了一種靈活的完整性保護(hù)策略FIC，并在LSM框架下設(shè)計(jì)實(shí)現(xiàn)。FIC策略定義了主完整級(jí)和輔助完整級(jí)的概念，并通過(guò)訪問(wèn)控制規(guī)則、主體再標(biāo)記規(guī)則和新建客體標(biāo)記規(guī)則，實(shí)現(xiàn)了靈活的完整性保護(hù)。利用FIC策略，可以做到具有最高完整性保護(hù)要求的文件不會(huì)被任何用戶或進(jìn)程修改，并可防止外來(lái)惡意程序或木馬的運(yùn)行。

但是，F(xiàn)IC策略在設(shè)計(jì)實(shí)現(xiàn)過(guò)程中只簡(jiǎn)單定義了有限的幾個(gè)完整級(jí)，在某些情況下，可能不能滿足實(shí)際需求。因此，還可以對(duì)FIC進(jìn)行可擴(kuò)展性研究，管理員根據(jù)需要?jiǎng)討B(tài)增加自定義完整級(jí)，系統(tǒng)根據(jù)完整級(jí)配置文件在內(nèi)核維護(hù)完整級(jí)鏈表，進(jìn)一步滿足擴(kuò)展需求。

［1］ Bishop M.Computer security：Art and science［M］.Boston：Addison Wesley，2002.

［2］ Zhang Jun，Zhou Zheng，Li Jian，et al.Confidentiality and integrity dynamic union model based on MLS policy［J］.Computer Engineering and Applications，2008，44（12）：19－21.（in Chinese）

［3］ Zhang Xiang－feng，Sun Yu－fang.Dynamic enforcement of the strict integrity policy in Biba’s model［J］.Journal of Computer Research and Development，2005，42（5）：746－754.（in Chinese）

［4］ Zhou Zhou－yi，He Ye－ping，Liang Hong－liang.Hybrid mandatory integrity model composed of Biba and clark－wilson policy［J］.Journal of Software，2010，21（1）：98－106.（in Chinese）

［5］ Luo Qin，Wang Xiao－ming，F(xiàn)u zheng－fang.An improvement of clark－wilson integrity model［J］.Microelectronics ＆Computer，2007，24（7）：128－131.（in Chinese）

［6］ Liu Zun，Wang Tao，Li Wei－h(huán)ua.Role based integrity control model for operating system［J］.Computer Science，2010，37（1）：87－90.（in Chinese）

［7］ Hu Ming，Pan Xue－zeng，Li Wen.Design and implementation of improved multiple－level security model［J］.Computer Engineering and Applications，2011，47（4）：77－80.（in Chinese）

［8］ Galagher P R.A guide to understanding audit in trusted systems［M］.US：National Computer Secuirty Center（NCSC），1987.

［9］ Common criteria for information technology security evaluation（Version2.3）［S］.Common Criteria Recognition Agreement（CCRA），2005.

［10］ Wu Xin－song，Zhou Zhou－yi，He Ye－ping，et al.Static analysis of a class of memory leaks in trusted BSD MAC framework［C］∥Proc of ISPEC’09，2009：83－92.

［12］ Riley S.Windows Vista system integrity technologies［R］.Microsoft，2006：1－62.

［11］ Wright C，Cowan C，Morris J，et al.Linux security modules：General security support for the Linux kernel［EB/OL］.［2003－05－20］.http：//lsm.immunix.org.

附中文參考文獻(xiàn)：

［2］ 張俊，周正，李建，等.基于MLS策略的機(jī)密性和完整性動(dòng)態(tài)統(tǒng)一模型［J］.計(jì)算機(jī)工程與應(yīng)用，2008，44（12）：19－21.

［3］ 張相鋒，孫玉芳.Biba模型中嚴(yán)格完整性政策的動(dòng)態(tài)實(shí)施［J］.計(jì)算機(jī)研究與發(fā)展，2005，42（5）：746－754.

［4］ 周洲儀，賀也平，梁洪亮.基于Biba和Clark－Wilson策略的混合強(qiáng)制完整性模型［J］.軟件學(xué)報(bào)，2010，21（1）：98－106.

［5］ 羅琴，王小明，付爭(zhēng)方.一種改進(jìn)的Clark＿Wilson完整性策略模型［J］.微電子學(xué)與計(jì)算機(jī)，2007，24（7）：128－131.

［6］ 劉尊，王濤，李偉華.基于角色的操作系統(tǒng)完整性控制模型［J］.計(jì)算機(jī)科學(xué)，2010，37（1）：87－90.

［7］ 胡明，潘雪增，李文.改進(jìn)的多級(jí)安全模型的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)工程與應(yīng)用，2011，47（4）：77－80.