第4章 操作系統(tǒng)安全體系結構.ppt

第4章操作系統(tǒng)安全體系結構 4 1概述 安全問題的暴露解決問題的方法 1 在現(xiàn)有系統(tǒng)上打補丁來排除 2 無法在原有系統(tǒng)上進行補救 只有重新改造系統(tǒng) 甚至重新設計系統(tǒng)造成的原因 1 由于舊系統(tǒng)增加了新的應用 無法預測 2 系統(tǒng)設計時考慮不充分 缺乏有效的系統(tǒng)安全體系結構所致 安全體系結構的含義及內容 使系統(tǒng)在實現(xiàn)時對各項要求 如安全性要求 性能要求 可擴展要求 容量要求 成本要求等折中考慮 是體系結構的主要任務 安全體系結構 1 詳細描述系統(tǒng)中安全相關的所有方面2 在一定的抽象層次上描述各個安全相關模塊之間的關系3 提出指導設計的基本原理4 提出開發(fā)過程的基本框架及對應于該框架體系的層次結構 安全體系按層次結構進行描述 包括兩個階段 概念化階段 功能化階段 安全體系的描述 系統(tǒng)開發(fā)的概念化階段 安全概念的最高抽象層次的處理 如系統(tǒng)安全策略等系統(tǒng)開發(fā)的功能化階段 系統(tǒng)體系確定時 進一步細化安全體系以反映系統(tǒng)的結構安全體系結構只能是一個概要描述 而不能是系統(tǒng)功能的描述安全體系結構不應該限制不影響安全的設計方法開發(fā)安全操作系統(tǒng)時應參考 可信計算機系統(tǒng)評估準則 TCSEC 及 信息技術安全性通用評估準則 CC DGSA的安全體系 抽象體系 描述安全需求 定義安全功能及它們提供的安全服務 確定指導原則和基本概念通用體系 定義系統(tǒng)的通用類型及使用標準 規(guī)定系統(tǒng)的指導原則 在已有的安全功能和安全服務配制上 定義系統(tǒng)分量類型及相關安全機制 并應說明不兼容導致的安全強度的退化 邏輯體系 是滿足某個假設的需求集合的一個設計 顯示把通用體系應用于具體環(huán)境時的基本情況 是假想體系 不是實際體系特殊體系 表明如何把所有被選擇的信息安全分量和機制結合起來 針對一個特殊系統(tǒng)的安全需求 描述接口 分量 標準 性能 開銷及如何結合 安全體系結構設計的基本原則 從系統(tǒng)設計之初就考慮安全性在設計系統(tǒng)體系結構的同時就考慮安全體系結構應盡量考慮未來可能面臨的安全需求使未來系統(tǒng)實施安全增強時 開銷小 但應注意 1 預想的 安全問題不能太具體 2 從問題類的角度理解安全問題 不是針對具體問題 3 特別關注安全策略的定義機制經濟性原則應極小化系統(tǒng)內部與安全相關部分的復雜性及規(guī)模 安全系統(tǒng)必須限制規(guī)模 但應注意 1 安全機制盡量簡潔 2 數(shù)據隔離應適當 失敗 保險默認原則訪問判定應建立在顯式授權而不是隱式授權的基礎上特權分離原則高度的分離可以帶來安全性的提高 但也導致效率下降最小特權原則硬件特權極小化與軟件特權極小化最少公共機制原則把由兩個以上用戶共用和被所有用戶依賴的機制數(shù)量減到最小完全仲裁原則只有得到授權的客體才被允許訪問開放式設計原則在公開環(huán)境中增強安全機制的防御能力心理可接受性原則用戶界面設計得要易于使用和充分友好 4 2Flask體系結構 Internet的異質互連特征要求系統(tǒng)支持安全策略的可變通性可變通性要求系統(tǒng)支持底層客體的細粒度訪問控制 確保權限增長與動態(tài)安全策略的一致性 提供能撤消以前授予的訪問權限的機制Flask系統(tǒng)來源于以前的DTOS系統(tǒng)原型 支持動態(tài)安全策略 使策略可變通性的實現(xiàn)成為可能Flask結構將機制與策略相分離 由一個安全策略服務器和一個微內核及客體服務器框架組成 前者制定訪問控制策略 后者執(zhí)行訪問控制策略 該結構基于微內核但不依賴微內核 策略可變通性 基本思想 將系統(tǒng)抽象成狀態(tài)機 執(zhí)行原子操作完成一個狀態(tài)到另一個狀態(tài)的轉換 安全策略被原子的插入到系統(tǒng)的操作執(zhí)行中 一個系統(tǒng)提供整個系統(tǒng)安全策略可變通性 該模型中 若當前狀態(tài)包括系統(tǒng)歷史 則安全策略用全部當前狀態(tài)作決定 判斷操作的執(zhí)行與否受限思想 實現(xiàn) 當前狀態(tài)區(qū)分為與安全相關及不相干部分 系統(tǒng)的可變通性只與相關狀態(tài)完整性及它們的控制操作有關 這種思想允許存在一些安全控制外的操作及一些系統(tǒng)狀態(tài) 支持策略可變通性機制要求 1 能撤回以前授予的權限 2 作訪問決策所需的輸入類型3 影響決策的外部因素 如歷史 4 訪問決策的可傳遞性支持策略改變 系統(tǒng)要保證策略改變與控制操作的交叉使用時必須保持原子性 策略撤消 系統(tǒng)要保證已在系統(tǒng)中移動的授權真正收回當一個正運行的操作已檢查過許可權 撤消機制常用三種方法 終止 重啟 不管 特殊微內核特征 Flask采用類似Fluke方法處理內核 Fluke中將每個活動對應的內核對象與一塊物理內存對應 每個內核對象的SID與內存段的SID是一致的 微內核提供了內存管理及SID之間的綁定 思想 Flask微內核利用內存標簽與內核對象標簽之間的關系進行控制 即通過地址空間的SID與內存段的SID實現(xiàn)安全控制 內存段是客體 內核對象地址空間是主體 客體相對于主體具有權能作用 權能的概念 權能是客體在系統(tǒng)范圍內使用的名字 在系統(tǒng)中是唯一的權能必須包含以該權能命名的客體的訪問權 決定了對該客體進行訪問所必需的權力權能只能由系統(tǒng)特殊的底層部分來創(chuàng)建 且除約束訪問權外 權能不允許修改權能的優(yōu)點 1 權能為訪問客體和保護客體提供了統(tǒng)一的 不可繞過的方法2 權能與層次設計方法是協(xié)調的 具有傳遞能力 權能的組成 用于標識客體的標識符定義客體類型的域定義訪問權的域客體創(chuàng)建時 權能也隨之創(chuàng)建客體的創(chuàng)建主體可拷貝該客體的權能給其他主體當權能被傳遞給另一個主體時 權能的訪問權可以被限制傳遞給另一個主體的權能訪問權不能大于對該權能拷貝所獲得的訪問權 Flask體系結構的組成 Flask體系結構 結構的基本目標是提供安全策略的可變通性 確保不管決策如何隨時間變化 都提供一致的策略 為客體管理器提供3個要素 1 提供了一個從安全服務器重新訪問 標記 多實例決策的接口 2 提供一個訪問向量緩存 AVC 模塊 減少性能損耗 3 提供客體管理器注冊 接受安全策略的改變的能力 Flask的支持機制 客體標記每個客體由安全策略所帶的安全屬性標記 稱安全上下文 Flask采用E R方法 客體實體 SID 上下文實體 客戶實體 SID 及客體 上下文聯(lián)系 客體 用戶聯(lián)系 SID稱為安全標識符 Flask中它是固定的值 只能由安全服務器解釋并影射到上下文客戶 主體 創(chuàng)建新客體時 由微內核提供的客戶SID 客體類型 相關客體SID為參數(shù) 由客體服務器向安全服務器請求一個SID 客體服務器將新客體與該SID綁定 用E R方法看 客體由SID標記 兩者聯(lián)系由客體管理器管理 SID與上下文聯(lián)系由安全服務器管理 SID的分配由安全服務器依客戶請求參數(shù)及環(huán)境動態(tài)決定 客體標記結構圖 客戶和服務器鑒別當客戶發(fā)出請求SID時 客體管理器必須能鑒別這個SID 客戶也能鑒別一個服務器SID以確保服務是從適當?shù)姆掌魃习l(fā)出的 Flask由微內核提供這個服務 并將其直接作為IPC 進程通信 的一部分 客戶可以發(fā)一個內核調用來鑒別服務器SID 客戶請求由微內核提供到服務器 請求和緩存安全決策AVC 緩存訪問向量 是為緩解服務器的工作壓力設置的 是可由對象管理器共享的一個公共資源庫 是對象管理器與安全服務器之間的協(xié)調 支持多實例化安全策略應支持多實例化某資源并按群劃分終端 使群中的每個實體可共享該資源的相同實例化 成員 Flask體系中多實例化的機制 支持吊銷機制 問題 在對象管理器中要保留一些安全策略的局部拷貝 如AVC中 當決策轉移后 系統(tǒng)如何保證在策略改變時安全服務器與對象服務器之間策略表達的一致性 思想 保持策略與操作的交叉使用滿足有效原子性 實施原則 在系統(tǒng)上強制實施兩個要求 1 策略變動后 對象管理器的行為必須反映這個變化 2 對象管理器必須采用事實實時的方式完成策略變化 第一個要求可通過用一個協(xié)議把對象管理器與安全服務器聯(lián)系起來 首先 安全服務器通知所有對象管理器策略改變 其次 對象管理器更新內部狀態(tài)反映該變化 最后 對象管理器通知安全服務器改變已完成 該協(xié)議讓安全服務器只管策略更改 將狀態(tài)管理的負擔交給對象管理器 第二個實時性要求涉及系統(tǒng)的另兩個組件 微內核 保證對象管理器與安全服務器的實時通信 調度程序 給對象管理器提供CPU資源 實時性使吊銷請求的任意延遲是不可能的 避免隱蔽通道 Flask中實現(xiàn)方案 通過AVC模塊處理策略變更 并適當進化緩存 如下圖所示 安全服務器 功能 安全服務器需提供安全策略支持 SID與上下文的影射 提供新客體的SID 提供成員SID 控制客體管理器的向量緩存 Flask實現(xiàn) 安全服務器代