第4章 操作系統(tǒng)安全體系結(jié)構(gòu).ppt

第4章操作系統(tǒng)安全體系結(jié)構(gòu) 4 1概述 安全問題的暴露解決問題的方法 1 在現(xiàn)有系統(tǒng)上打補(bǔ)丁來排除 2 無法在原有系統(tǒng)上進(jìn)行補(bǔ)救 只有重新改造系統(tǒng) 甚至重新設(shè)計(jì)系統(tǒng)造成的原因 1 由于舊系統(tǒng)增加了新的應(yīng)用 無法預(yù)測(cè) 2 系統(tǒng)設(shè)計(jì)時(shí)考慮不充分 缺乏有效的系統(tǒng)安全體系結(jié)構(gòu)所致 安全體系結(jié)構(gòu)的含義及內(nèi)容 使系統(tǒng)在實(shí)現(xiàn)時(shí)對(duì)各項(xiàng)要求 如安全性要求 性能要求 可擴(kuò)展要求 容量要求 成本要求等折中考慮 是體系結(jié)構(gòu)的主要任務(wù) 安全體系結(jié)構(gòu) 1 詳細(xì)描述系統(tǒng)中安全相關(guān)的所有方面2 在一定的抽象層次上描述各個(gè)安全相關(guān)模塊之間的關(guān)系3 提出指導(dǎo)設(shè)計(jì)的基本原理4 提出開發(fā)過程的基本框架及對(duì)應(yīng)于該框架體系的層次結(jié)構(gòu) 安全體系按層次結(jié)構(gòu)進(jìn)行描述 包括兩個(gè)階段 概念化階段 功能化階段 安全體系的描述 系統(tǒng)開發(fā)的概念化階段 安全概念的最高抽象層次的處理 如系統(tǒng)安全策略等系統(tǒng)開發(fā)的功能化階段 系統(tǒng)體系確定時(shí) 進(jìn)一步細(xì)化安全體系以反映系統(tǒng)的結(jié)構(gòu)安全體系結(jié)構(gòu)只能是一個(gè)概要描述 而不能是系統(tǒng)功能的描述安全體系結(jié)構(gòu)不應(yīng)該限制不影響安全的設(shè)計(jì)方法開發(fā)安全操作系統(tǒng)時(shí)應(yīng)參考 可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 TCSEC 及 信息技術(shù)安全性通用評(píng)估準(zhǔn)則 CC DGSA的安全體系 抽象體系 描述安全需求 定義安全功能及它們提供的安全服務(wù) 確定指導(dǎo)原則和基本概念通用體系 定義系統(tǒng)的通用類型及使用標(biāo)準(zhǔn) 規(guī)定系統(tǒng)的指導(dǎo)原則 在已有的安全功能和安全服務(wù)配制上 定義系統(tǒng)分量類型及相關(guān)安全機(jī)制 并應(yīng)說明不兼容導(dǎo)致的安全強(qiáng)度的退化 邏輯體系 是滿足某個(gè)假設(shè)的需求集合的一個(gè)設(shè)計(jì) 顯示把通用體系應(yīng)用于具體環(huán)境時(shí)的基本情況 是假想體系 不是實(shí)際體系特殊體系 表明如何把所有被選擇的信息安全分量和機(jī)制結(jié)合起來 針對(duì)一個(gè)特殊系統(tǒng)的安全需求 描述接口 分量 標(biāo)準(zhǔn) 性能 開銷及如何結(jié)合 安全體系結(jié)構(gòu)設(shè)計(jì)的基本原則 從系統(tǒng)設(shè)計(jì)之初就考慮安全性在設(shè)計(jì)系統(tǒng)體系結(jié)構(gòu)的同時(shí)就考慮安全體系結(jié)構(gòu)應(yīng)盡量考慮未來可能面臨的安全需求使未來系統(tǒng)實(shí)施安全增強(qiáng)時(shí) 開銷小 但應(yīng)注意 1 預(yù)想的 安全問題不能太具體 2 從問題類的角度理解安全問題 不是針對(duì)具體問題 3 特別關(guān)注安全策略的定義機(jī)制經(jīng)濟(jì)性原則應(yīng)極小化系統(tǒng)內(nèi)部與安全相關(guān)部分的復(fù)雜性及規(guī)模 安全系統(tǒng)必須限制規(guī)模 但應(yīng)注意 1 安全機(jī)制盡量簡(jiǎn)潔 2 數(shù)據(jù)隔離應(yīng)適當(dāng) 失敗 保險(xiǎn)默認(rèn)原則訪問判定應(yīng)建立在顯式授權(quán)而不是隱式授權(quán)的基礎(chǔ)上特權(quán)分離原則高度的分離可以帶來安全性的提高 但也導(dǎo)致效率下降最小特權(quán)原則硬件特權(quán)極小化與軟件特權(quán)極小化最少公共機(jī)制原則把由兩個(gè)以上用戶共用和被所有用戶依賴的機(jī)制數(shù)量減到最小完全仲裁原則只有得到授權(quán)的客體才被允許訪問開放式設(shè)計(jì)原則在公開環(huán)境中增強(qiáng)安全機(jī)制的防御能力心理可接受性原則用戶界面設(shè)計(jì)得要易于使用和充分友好 4 2Flask體系結(jié)構(gòu) Internet的異質(zhì)互連特征要求系統(tǒng)支持安全策略的可變通性可變通性要求系統(tǒng)支持底層客體的細(xì)粒度訪問控制 確保權(quán)限增長與動(dòng)態(tài)安全策略的一致性 提供能撤消以前授予的訪問權(quán)限的機(jī)制Flask系統(tǒng)來源于以前的DTOS系統(tǒng)原型 支持動(dòng)態(tài)安全策略 使策略可變通性的實(shí)現(xiàn)成為可能Flask結(jié)構(gòu)將機(jī)制與策略相分離 由一個(gè)安全策略服務(wù)器和一個(gè)微內(nèi)核及客體服務(wù)器框架組成 前者制定訪問控制策略 后者執(zhí)行訪問控制策略 該結(jié)構(gòu)基于微內(nèi)核但不依賴微內(nèi)核 策略可變通性 基本思想 將系統(tǒng)抽象成狀態(tài)機(jī) 執(zhí)行原子操作完成一個(gè)狀態(tài)到另一個(gè)狀態(tài)的轉(zhuǎn)換 安全策略被原子的插入到系統(tǒng)的操作執(zhí)行中 一個(gè)系統(tǒng)提供整個(gè)系統(tǒng)安全策略可變通性 該模型中 若當(dāng)前狀態(tài)包括系統(tǒng)歷史 則安全策略用全部當(dāng)前狀態(tài)作決定 判斷操作的執(zhí)行與否受限思想 實(shí)現(xiàn) 當(dāng)前狀態(tài)區(qū)分為與安全相關(guān)及不相干部分 系統(tǒng)的可變通性只與相關(guān)狀態(tài)完整性及它們的控制操作有關(guān) 這種思想允許存在一些安全控制外的操作及一些系統(tǒng)狀態(tài) 支持策略可變通性機(jī)制要求 1 能撤回以前授予的權(quán)限 2 作訪問決策所需的輸入類型3 影響決策的外部因素 如歷史 4 訪問決策的可傳遞性支持策略改變 系統(tǒng)要保證策略改變與控制操作的交叉使用時(shí)必須保持原子性 策略撤消 系統(tǒng)要保證已在系統(tǒng)中移動(dòng)的授權(quán)真正收回當(dāng)一個(gè)正運(yùn)行的操作已檢查過許可權(quán) 撤消機(jī)制常用三種方法 終止 重啟 不管 特殊微內(nèi)核特征 Flask采用類似Fluke方法處理內(nèi)核 Fluke中將每個(gè)活動(dòng)對(duì)應(yīng)的內(nèi)核對(duì)象與一塊物理內(nèi)存對(duì)應(yīng) 每個(gè)內(nèi)核對(duì)象的SID與內(nèi)存段的SID是一致的 微內(nèi)核提供了內(nèi)存管理及SID之間的綁定 思想 Flask微內(nèi)核利用內(nèi)存標(biāo)簽與內(nèi)核對(duì)象標(biāo)簽之間的關(guān)系進(jìn)行控制 即通過地址空間的SID與內(nèi)存段的SID實(shí)現(xiàn)安全控制 內(nèi)存段是客體 內(nèi)核對(duì)象地址空間是主體 客體相對(duì)于主體具有權(quán)能作用 權(quán)能的概念 權(quán)能是客體在系統(tǒng)范圍內(nèi)使用的名字 在系統(tǒng)中是唯一的權(quán)能必須包含以該權(quán)能命名的客體的訪問權(quán) 決定了對(duì)該客體進(jìn)行訪問所必需的權(quán)力權(quán)能只能由系統(tǒng)特殊的底層部分來創(chuàng)建 且除約束訪問權(quán)外 權(quán)能不允許修改權(quán)能的優(yōu)點(diǎn) 1 權(quán)能為訪問客體和保護(hù)客體提供了統(tǒng)一的 不可繞過的方法2 權(quán)能與層次設(shè)計(jì)方法是協(xié)調(diào)的 具有傳遞能力 權(quán)能的組成 用于標(biāo)識(shí)客體的標(biāo)識(shí)符定義客體類型的域定義訪問權(quán)的域客體創(chuàng)建時(shí) 權(quán)能也隨之創(chuàng)建客體的創(chuàng)建主體可拷貝該客體的權(quán)能給其他主體當(dāng)權(quán)能被傳遞給另一個(gè)主體時(shí) 權(quán)能的訪問權(quán)可以被限制傳遞給另一個(gè)主體的權(quán)能訪問權(quán)不能大于對(duì)該權(quán)能拷貝所獲得的訪問權(quán) Flask體系結(jié)構(gòu)的組成 Flask體系結(jié)構(gòu) 結(jié)構(gòu)的基本目標(biāo)是提供安全策略的可變通性 確保不管決策如何隨時(shí)間變化 都提供一致的策略 為客體管理器提供3個(gè)要素 1 提供了一個(gè)從安全服務(wù)器重新訪問 標(biāo)記 多實(shí)例決策的接口 2 提供一個(gè)訪問向量緩存 AVC 模塊 減少性能損耗 3 提供客體管理器注冊(cè) 接受安全策略的改變的能力 Flask的支持機(jī)制 客體標(biāo)記每個(gè)客體由安全策略所帶的安全屬性標(biāo)記 稱安全上下文 Flask采用E R方法 客體實(shí)體 SID 上下文實(shí)體 客戶實(shí)體 SID 及客體 上下文聯(lián)系 客體 用戶聯(lián)系 SID稱為安全標(biāo)識(shí)符 Flask中它是固定的值 只能由安全服務(wù)器解釋并影射到上下文客戶 主體 創(chuàng)建新客體時(shí) 由微內(nèi)核提供的客戶SID 客體類型 相關(guān)客體SID為參數(shù) 由客體服務(wù)器向安全服務(wù)器請(qǐng)求一個(gè)SID 客體服務(wù)器將新客體與該SID綁定 用E R方法看 客體由SID標(biāo)記 兩者聯(lián)系由客體管理器管理 SID與上下文聯(lián)系由安全服務(wù)器管理 SID的分配由安全服務(wù)器依客戶請(qǐng)求參數(shù)及環(huán)境動(dòng)態(tài)決定 客體標(biāo)記結(jié)構(gòu)圖 客戶和服務(wù)器鑒別當(dāng)客戶發(fā)出請(qǐng)求SID時(shí) 客體管理器必須能鑒別這個(gè)SID 客戶也能鑒別一個(gè)服務(wù)器SID以確保服務(wù)是從適當(dāng)?shù)姆?wù)器上發(fā)出的 Flask由微內(nèi)核提供這個(gè)服務(wù) 并將其直接作為IPC 進(jìn)程通信 的一部分 客戶可以發(fā)一個(gè)內(nèi)核調(diào)用來鑒別服務(wù)器SID 客戶請(qǐng)求由微內(nèi)核提供到服務(wù)器 請(qǐng)求和緩存安全決策AVC 緩存訪問向量 是為緩解服務(wù)器的工作壓力設(shè)置的 是可由對(duì)象管理器共享的一個(gè)公共資源庫 是對(duì)象管理器與安全服務(wù)器之間的協(xié)調(diào) 支持多實(shí)例化安全策略應(yīng)支持多實(shí)例化某資源并按群劃分終端 使群中的每個(gè)實(shí)體可共享該資源的相同實(shí)例化 成員 Flask體系中多實(shí)例化的機(jī)制 支持吊銷機(jī)制 問題 在對(duì)象管理器中要保留一些安全策略的局部拷貝 如AVC中 當(dāng)決策轉(zhuǎn)移后 系統(tǒng)如何保證在策略改變時(shí)安全服務(wù)器與對(duì)象服務(wù)器之間策略表達(dá)的一致性 思想 保持策略與操作的交叉使用滿足有效原子性 實(shí)施原則 在系統(tǒng)上強(qiáng)制實(shí)施兩個(gè)要求 1 策略變動(dòng)后 對(duì)象管理器的行為必須反映這個(gè)變化 2 對(duì)象管理器必須采用事實(shí)實(shí)時(shí)的方式完成策略變化 第一個(gè)要求可通過用一個(gè)協(xié)議把對(duì)象管理器與安全服務(wù)器聯(lián)系起來 首先 安全服務(wù)器通知所有對(duì)象管理器策略改變 其次 對(duì)象管理器更新內(nèi)部狀態(tài)反映該變化 最后 對(duì)象管理器通知安全服務(wù)器改變已完成 該協(xié)議讓安全服務(wù)器只管策略更改 將狀態(tài)管理的負(fù)擔(dān)交給對(duì)象管理器 第二個(gè)實(shí)時(shí)性要求涉及系統(tǒng)的另兩個(gè)組件 微內(nèi)核 保證對(duì)象管理器與安全服務(wù)器的實(shí)時(shí)通信 調(diào)度程序 給對(duì)象管理器提供CPU資源 實(shí)時(shí)性使吊銷請(qǐng)求的任意延遲是不可能的 避免隱蔽通道 Flask中實(shí)現(xiàn)方案 通過AVC模塊處理策略變更 并適當(dāng)進(jìn)化緩存 如下圖所示 安全服務(wù)器 功能 安全服務(wù)器需提供安全策略支持 SID與上下文的影射 提供新客體的SID 提供成員SID 控制客體管理器的向量緩存 Flask實(shí)現(xiàn) 安全服務(wù)器代