喻子豪

摘 要：從功能方面和性能方面來(lái)分析 Linux 安全增強(qiáng)身份認(rèn)證系統(tǒng)的需求，并針對(duì)系統(tǒng)的安全性，可靠性，不增加操作復(fù)雜度等特點(diǎn)，來(lái)設(shè)計(jì) Linux 安全增強(qiáng)身份認(rèn)證系統(tǒng)的總體結(jié)構(gòu)。

隨著Linux系統(tǒng)的應(yīng)用場(chǎng)景越來(lái)越多，也對(duì)Linux系統(tǒng)的安全方面的需求也有所增加，不難發(fā)現(xiàn)Linux系統(tǒng)的安全問(wèn)題已然成為眾多關(guān)注方向之一了。本論文只選取某安全保密機(jī)構(gòu)對(duì)系統(tǒng)安全需求中的一項(xiàng)，即身份認(rèn)證的安全增強(qiáng)。針對(duì)身份認(rèn)證的安全增強(qiáng)需求從功能需求和性能要求這兩個(gè)方面進(jìn)行說(shuō)明。

通過(guò)用戶對(duì)普通Linux操作系統(tǒng)的使用的調(diào)研，包括多種不同發(fā)行版本Linux操作系統(tǒng)的使用，對(duì)于身份認(rèn)證方向的安全增強(qiáng)功能，總結(jié)的需求如下：（1）把用戶相關(guān)的處理都在BIOS階段進(jìn)行處理，操作系統(tǒng)只是接受BIOS傳遞過(guò)來(lái)的用戶信息進(jìn)行系統(tǒng)中的同步，保證用戶信息的單方向傳遞。（2）從用戶角度來(lái)看，登陸系統(tǒng)時(shí)在BIOS階段輸入用戶名及密碼，直接登陸系統(tǒng)，這一過(guò)程為一個(gè)整體操作，即系統(tǒng)登陸身份認(rèn)證過(guò)程。用戶從此過(guò)程中看不到GRUB2的存在。（3）確保BIOS傳遞的用戶信息與系統(tǒng)中的用戶信息一致，且做好用戶操作的容錯(cuò)處理，要保證BIOS創(chuàng)建的用戶不能與系統(tǒng)中的賬戶沖突。（4）做好用戶信息傳遞失敗的容錯(cuò)處理，如果信息傳遞失敗則不能再有后續(xù)的操作運(yùn)行，功能必須中斷。（5）在登陸認(rèn)證并進(jìn)入系統(tǒng)的整個(gè)過(guò)程中，不能有與人交互的操作。

把系統(tǒng)登陸的時(shí)機(jī)從操作系統(tǒng)登陸服務(wù)啟動(dòng)的時(shí)候提前到BISO加電后，那么從輸入用戶名及密碼后，到進(jìn)入系統(tǒng)桌面這一過(guò)程，從時(shí)間上看肯定本方案的時(shí)間要長(zhǎng)些，但只要相對(duì)時(shí)長(zhǎng)不超過(guò)60秒，還是可以接受的。

本方案在設(shè)計(jì)最初，根據(jù)總結(jié)得出的需求分析，在系統(tǒng)設(shè)計(jì)上要遵循以下幾點(diǎn)原則：不增加操作復(fù)雜度、功能必須可擴(kuò)展、不引入其他非安全問(wèn)題和功能必須穩(wěn)定。上述設(shè)計(jì)原則具體描述如下：不增加操作復(fù)雜度;功能必須可擴(kuò)展;不引入其他非安全問(wèn)題;功能必須穩(wěn)定。

本系統(tǒng)從總體設(shè)計(jì)角度，分別從邏輯結(jié)構(gòu)和數(shù)據(jù)流程兩個(gè)方面對(duì)系統(tǒng)總體結(jié)構(gòu)進(jìn)行設(shè)計(jì)與闡述。

本系統(tǒng)的總體結(jié)構(gòu)從邏輯上可分為以下三個(gè)方面：用戶信息創(chuàng)建及保存;用戶信息傳遞;用戶信息處理與身份認(rèn)證。

（1）用戶信息創(chuàng)建、保存：這部分工作主要在機(jī)器上電后BISO階段進(jìn)行的處理。本方案的設(shè)計(jì)不僅把用戶的登陸的功能從系統(tǒng)登陸服務(wù)啟動(dòng)后開(kāi)始提前到BISO階段，而且把用戶的管理，從系統(tǒng)中進(jìn)行管理，到當(dāng)前提前到BISO階段。這樣做的目的是保證用戶信息來(lái)源的唯一性，而且保證用戶信息流的單項(xiàng)傳遞。如果進(jìn)入系統(tǒng)后再進(jìn)行用戶管理，不僅系統(tǒng)的特定應(yīng)用可以進(jìn)行用戶管理，一些應(yīng)用程序也可以進(jìn)行創(chuàng)建用戶，這樣一來(lái)用戶的來(lái)源就不唯一，增加不穩(wěn)定因素。這里的用戶信息保存，包括兩個(gè)方面，一個(gè)是創(chuàng)建新用戶的保存，另一個(gè)是在BIOS登陸時(shí)的用戶信息的保存。

（2）用戶信息傳遞：本系統(tǒng)的用戶信息傳遞，不是通常意義的把數(shù)據(jù)從一個(gè)功能模塊傳遞到另外一個(gè)功能模塊，也就是后一個(gè)功能模塊從前一個(gè)功能模塊處來(lái)獲取數(shù)據(jù)。而是把數(shù)據(jù)保存到內(nèi)存中，這部分內(nèi)存在整個(gè)從硬件加電到認(rèn)證結(jié)束進(jìn)入系統(tǒng)桌面這一個(gè)過(guò)程中不會(huì)被覆蓋，各部分功能是有運(yùn)行先后的，他們之間的交替是通過(guò)執(zhí)行權(quán)限的交替來(lái)保證連續(xù)運(yùn)行的，而沒(méi)有相互調(diào)用的關(guān)系。在整個(gè)過(guò)程中各部分在需要用戶數(shù)據(jù)時(shí)，通過(guò)對(duì)內(nèi)存的操作來(lái)獲取，通過(guò)這種方式變相實(shí)現(xiàn)了用戶信息的傳遞。用戶信息傳遞主要有GRUB2、應(yīng)用層用戶信息處理服務(wù)傳遞。

（3）用戶信息處理及身份認(rèn)證：當(dāng)文件系統(tǒng)啟動(dòng)后其系統(tǒng)所有程序的父進(jìn)程systemd進(jìn)行把系統(tǒng)服務(wù)啟動(dòng)后，用戶信息處理服務(wù)需要根據(jù)BIOS傳遞過(guò)來(lái)的用戶信息進(jìn)行處理，包括傳遞過(guò)來(lái)的用戶信息與系統(tǒng)的用戶信息同步;如BIOS創(chuàng)建的新用戶與系統(tǒng)中用戶沖突的解決和通過(guò)傳遞過(guò)來(lái)的用戶設(shè)置此次登陸用戶等。在身份認(rèn)證階段，每次認(rèn)證時(shí)都需要重新從BIOS傳遞過(guò)來(lái)的用戶信息解析出的用戶名及密碼來(lái)進(jìn)行對(duì)比校驗(yàn)，這樣可以保證信息源的一致性。如此處理身份認(rèn)證過(guò)程，不僅是上述原因，也統(tǒng)一了鎖屏后解鎖和注銷(xiāo)后登陸的身份認(rèn)證方式。

本系統(tǒng)的數(shù)據(jù)流程主要指的是用戶信息的傳遞的過(guò)程，這部分用到的主要技術(shù)就是內(nèi)存中的E820表。BIOS階段創(chuàng)建用戶或用已有用戶登陸，把用戶信息保存到內(nèi)存中的E820表中。BIOS執(zhí)行結(jié)束并把執(zhí)行權(quán)限移交給GRUB2時(shí)，GRUB2在加載內(nèi)核及Initrd之前獲取用戶信息，如果用戶信息獲取失敗則停止后續(xù)的操作返回BIOS階段，如果能夠獲取用戶信息則繼續(xù)加載內(nèi)核及Initrd，并把執(zhí)行權(quán)限交給內(nèi)核及Initrd繼續(xù)執(zhí)行。當(dāng)文件系統(tǒng)初始化完成Initrd中的腳本切換到文件系統(tǒng)中啟動(dòng)1號(hào)進(jìn)程systemd，并把執(zhí)行權(quán)限移交給systemd進(jìn)程，并啟動(dòng)用戶信息處理服務(wù)。用戶信息處理服務(wù)獲取E820表中的信息，與系統(tǒng)中用戶進(jìn)行同步并設(shè)置登陸用戶。如果用戶信息處理服務(wù)無(wú)法獲取到E820表中信息則停止后續(xù)身份認(rèn)證及系統(tǒng)登陸的操作，并返回到BIOS階段。

Linux安全增強(qiáng)身份認(rèn)證系統(tǒng)是由以下五部分組成：初始化模塊BIOS、引導(dǎo)模塊GRUB2、Linux內(nèi)核、應(yīng)用層用戶信息處理服務(wù)及認(rèn)證模塊PAM，其中除了應(yīng)用層用戶信息處理服務(wù)，其他幾部分均是在當(dāng)前各自功能基礎(chǔ)上進(jìn)行深度定制增加功能，來(lái)滿足身份認(rèn)證的安全增強(qiáng)的目的，也就是本論文選擇實(shí)現(xiàn)安全增強(qiáng)的方向即通過(guò)把功能相關(guān)的幾個(gè)部分聯(lián)通起來(lái)，起到安全增強(qiáng)的作用。

初始化模塊BIOS上電自檢主要由硬件部分完成，此時(shí)操作系統(tǒng)并沒(méi)有啟動(dòng)。當(dāng)電腦接通電源即開(kāi)始執(zhí)行BIOS（基本輸入輸出系統(tǒng)）的上電自檢（POST）過(guò)程。如果自檢過(guò)程失敗，則引導(dǎo)過(guò)程也將就此中斷。BIOS上電自檢確認(rèn)硬件的基本功能正常，包括對(duì)內(nèi)存的初始化。此時(shí)用戶在BIOS輸入用戶名及密碼或創(chuàng)建用戶后輸入用戶名及密碼后，BIOS進(jìn)行第一次身份驗(yàn)證，驗(yàn)證未通過(guò)則返回BIOS等待重新輸入，如驗(yàn)證通過(guò)則BIOS請(qǐng)求INT15H中斷獲取物理地址信息，把用戶信息保存在E820表內(nèi)存地址的一個(gè)段中。然后再產(chǎn)生一個(gè)BIOS中斷INT13H，該中斷指向某個(gè)可引導(dǎo)設(shè)備的引導(dǎo)扇區(qū)。它所找到的包含有效的引導(dǎo)記錄的第一個(gè)引導(dǎo)扇區(qū)將被裝載到內(nèi)存中，并且控制權(quán)也將從引導(dǎo)扇區(qū)轉(zhuǎn)移到此段代碼上，至此BIOS自檢工作結(jié)束，程序退出交給下一部分繼續(xù)執(zhí)行。引導(dǎo)扇區(qū)是引導(dǎo)加載程序真正的第一階段，本方案所使用的主引導(dǎo)加載程序是GRUB2

在對(duì)Linux安全增強(qiáng)身份認(rèn)證系統(tǒng)的需求分析進(jìn)行整理，對(duì)要實(shí)現(xiàn)的功能有了明確的目標(biāo)，對(duì)實(shí)現(xiàn)完成后的功能展示有了實(shí)質(zhì)的概念和了解。在進(jìn)行總體結(jié)構(gòu)的設(shè)計(jì)時(shí)一直遵循那幾點(diǎn)設(shè)計(jì)原則?？梢钥闯霰痉桨笇?duì)身份認(rèn)真的安全增強(qiáng)的功能的設(shè)計(jì)是可行的，完全滿足需求點(diǎn)，能夠?qū)崿F(xiàn)本方案要實(shí)現(xiàn)的安全增強(qiáng)的目標(biāo)。

參考文獻(xiàn)：

[1] 李洋. Linux 安全技術(shù)內(nèi)幕[M]. 清華大學(xué)出版社，2010 .

[2] 劉海燕，王子強(qiáng)，邵立嵩. Linux 系統(tǒng)的安全檢測(cè)與增強(qiáng)技術(shù)分析[J]，《計(jì)算機(jī)工程與設(shè)計(jì)》，2005，26（1）：100-102 .

[3] 龍亞星，王一川. Linux 操作系統(tǒng)多安全策略研究與設(shè)計(jì)[C]，陜西省通訊學(xué)會(huì)，陜西省通信學(xué)會(huì) 2011 年學(xué)術(shù)年會(huì)論文集，西安，2011 .

[4] 高朝勤. 信息系統(tǒng)等級(jí)保護(hù)中的多級(jí)安全技術(shù)研究[D]，北京：北京工業(yè)大學(xué)，2012 .