操作系統(tǒng)安全(第三部分 實(shí)踐篇)

1、第三部分 實(shí)踐篇天津理工大學(xué)信息安全2021-10-142第8章 安全操作系統(tǒng)設(shè)計(jì)w 設(shè)計(jì)原則w 一般開發(fā)過程w 開發(fā)方法w 安勝操作系統(tǒng)簡(jiǎn)介2021-10-1438.1 安全操作系統(tǒng)設(shè)計(jì)原則w 8條設(shè)計(jì)原則n最小特權(quán)原則：最小特權(quán)原則：每個(gè)用戶和程序必須安全需求原則，盡可能使用最小的特權(quán)；n機(jī)制的經(jīng)濟(jì)性機(jī)制的經(jīng)濟(jì)性：系統(tǒng)的設(shè)計(jì)必須小型化、簡(jiǎn)單、明確；n開放系統(tǒng)設(shè)計(jì)開放系統(tǒng)設(shè)計(jì)：保護(hù)機(jī)制應(yīng)該公開、安全性不依賴于保密；n完整的存取控制機(jī)制：完整的存取控制機(jī)制：對(duì)每個(gè)存取訪問系統(tǒng)必須進(jìn)行檢查；n基于允許的基于允許的“設(shè)計(jì)設(shè)計(jì)”原則原則：應(yīng)當(dāng)標(biāo)識(shí)什么資源可存取、而不標(biāo)識(shí)什么資源不可存取；即要基于否定

2、背景的；n權(quán)限分離：權(quán)限分離：在理想情況下對(duì)實(shí)體的存取應(yīng)該受到多個(gè)安全條件的約束；n避免信息流的潛在通道：避免信息流的潛在通道：系統(tǒng)應(yīng)采用物理或邏輯分離的方法；n方便方便使用：使用：2021-10-1448.1安全操作系統(tǒng)設(shè)計(jì)原則w 安全操作系統(tǒng)一般結(jié)構(gòu)n安全內(nèi)核：控制整個(gè)操作系統(tǒng)的安全操作n可信應(yīng)用軟件：系統(tǒng)管理員和操作員進(jìn)行安全管理所需的應(yīng)用程序，以及運(yùn)行具有特權(quán)操作的、保障系統(tǒng)正常工作所需的應(yīng)用程序n安全內(nèi)核和可信應(yīng)用軟件組成可信計(jì)算基的一部分用戶軟件可信應(yīng)用軟件安全內(nèi)核硬件2021-10-145安全操作系統(tǒng)設(shè)計(jì)原則w 可信計(jì)算基的組成n操作系統(tǒng)的安全內(nèi)核n具有特權(quán)的程序和命令n處理敏感

3、信息的程序，如系統(tǒng)管理命令n與TCB實(shí)施安全策略有關(guān)的文件n其他有關(guān)的固件、硬件和設(shè)備n負(fù)責(zé)系統(tǒng)管理的人員n保障固件和硬件正確的程序和診斷軟件w 高安全級(jí)別的操作系統(tǒng)VS安全級(jí)別的操作系統(tǒng)nKSOS、UCLA Secure UNIXnLINVS IV、Secure Xenix、TMach、Secure TUNIS等2021-10-1468.2 安全操作系統(tǒng)的一般開發(fā)過程w 操作系統(tǒng)的開發(fā)過程一般包含：w 需求分析w 功能描述w 系統(tǒng)實(shí)現(xiàn)2021-10-1478.2 一般開發(fā)過程w 階段一n系統(tǒng)需求分析：描述各種不同需求n抽象、歸納出安全策略n建立安全模型及安全模型與系統(tǒng)的對(duì)應(yīng)性說明；w 階段二

4、n安全機(jī)制設(shè)計(jì)與實(shí)現(xiàn)n安全功能測(cè)試；n重復(fù)該兩部分工作；w 階段三：安全操作系統(tǒng)可信度認(rèn)證2021-10-1488. 2 一般開發(fā)過程w 從兩個(gè)方面進(jìn)行n安全功能n安全保證w 十項(xiàng)安全功能：n標(biāo)識(shí)與鑒別、自主訪問控制、標(biāo)記、強(qiáng)制訪問控制、客體重用、審計(jì)、數(shù)據(jù)完整性、可信路徑、隱通道分析、可信恢復(fù)w 三個(gè)方面的安全保證nTCB自身安全保護(hù)：TSF保護(hù)、資源利用、TCB訪問nTCB設(shè)計(jì)和實(shí)現(xiàn)：配置管理、分發(fā)和操作、開發(fā)指導(dǎo)性文檔、生命周期支持、測(cè)試、脆弱性評(píng)定nTCB安全管理2021-10-1498.3安全操作系統(tǒng)的常用開發(fā)方法w 虛擬機(jī)法l在現(xiàn)有操作系統(tǒng)和硬件之間增加一層新的軟件作為內(nèi)核，操作系

5、統(tǒng)作為虛擬機(jī)來運(yùn)行l(wèi)要求原系統(tǒng)的硬件和結(jié)構(gòu)都能支持虛擬機(jī)，因此，局限性很大應(yīng)用程序ISOS安全內(nèi)核硬件應(yīng)用程序安全內(nèi)核硬件應(yīng)用程序ISOS仿真器安全內(nèi)核硬件2021-10-14108.3安全操作系統(tǒng)的常用開發(fā)方法w 改進(jìn)/增強(qiáng)法n在現(xiàn)有操作系統(tǒng)基礎(chǔ)上對(duì)內(nèi)核和應(yīng)用程序進(jìn)行面向安全策略的分析，再加入安全機(jī)制n優(yōu)點(diǎn)：代價(jià)?。挥脩艚涌诓蛔?；效率變化不大n很難達(dá)到B2級(jí)以上的安全級(jí)別w 仿真法n對(duì)現(xiàn)有操作系統(tǒng)的內(nèi)核進(jìn)行面向安全策略的分析和修改以形成安全內(nèi)核，然后在安全內(nèi)核與原ISOS用戶接口界面中間再編寫一層仿真程序n不足：l要同時(shí)設(shè)計(jì)仿真程序和安全內(nèi)核，受頂層ISOS接口限制l有些ISOS接口功能不安

6、全，不能仿真l有些ISOS仿真實(shí)現(xiàn)特別困難改進(jìn)/增強(qiáng)法舉例Shell層實(shí)用程序?qū)酉到y(tǒng)調(diào)用層核心程序?qū)覵hell程序一般應(yīng)用程序硬件接口程序可信程序修改擴(kuò)充來的與安全無關(guān)的與安全有關(guān)的（加入小部分安全檢查）新增加的核心程序與安全無關(guān)的與安全有關(guān)的（加入大部分安全檢查）新增加的（與安全檢查機(jī)制有關(guān)）新增加的用戶層安全內(nèi)核層硬件層安全性改進(jìn)/增加設(shè)計(jì)方法舉例w 對(duì)UNIX實(shí)用程序進(jìn)行面向安全策略的分析后，將它們分成可信程序和一般應(yīng)用程序?？尚懦绦蛑饕ㄗ?cè)程序、用戶管理程序、特權(quán)用戶程序等，它們一部分是對(duì)原有程序進(jìn)行安全性擴(kuò)充來的，另一部分是新編寫開發(fā)的。它們與核心的安全機(jī)制有關(guān)。w 面向安全策略

7、逐個(gè)分析UNIX系統(tǒng)調(diào)用的安全性。對(duì)所有涉及安全事件的系統(tǒng)調(diào)用進(jìn)一步給出相應(yīng)的安全檢查策略，然后加入相應(yīng)的安全檢查機(jī)制。新增加一些系統(tǒng)調(diào)用 ，它們包括對(duì)審計(jì)機(jī)制相應(yīng)的操作、主體安全級(jí)的設(shè)置和讀取、客體安全級(jí)的設(shè)置和讀取以及特權(quán)操作等。w 將核心程序分解為與安全相關(guān)的和與安全無關(guān)的兩部分。與安全相關(guān)部分指涉及安全事件的系統(tǒng)調(diào)用與執(zhí)行實(shí)體?？砂言谙到y(tǒng)調(diào)用層不易實(shí)現(xiàn) 少部分安全檢查放在這些核心的程序中完成 。另外新增加一部分核心程序，作為安全檢查的執(zhí)行體和新增加系統(tǒng)調(diào)用的執(zhí)行體。8.4安全操作設(shè)計(jì)和實(shí)現(xiàn)案例w 安全目標(biāo)安全目標(biāo)w 第一階段：安勝OSv3.0（1）為系統(tǒng)中的主體客體標(biāo)識(shí)安全級(jí)別，實(shí)現(xiàn)M

8、AC；（2）采用ACL技術(shù)，將DAC粒度細(xì)化到單個(gè)用戶/組；（3）建立高效的審計(jì)機(jī)制（4）建立一套全面規(guī)范的文檔。最小特權(quán)管理+可信通路w 第二階段：安勝OSv4.0（1）建立一個(gè)明確定義的形式化安全策略模型（2）對(duì)所有主體客體實(shí)施MAC（3）實(shí)施強(qiáng)制完整性策略（4）實(shí)現(xiàn)標(biāo)識(shí)/鑒別與強(qiáng)身份認(rèn)證，（5）客體重用控制（6）實(shí)現(xiàn)隱蔽存儲(chǔ)通道分析（7）建立完備的審計(jì)機(jī)制（8）建立完整的可信通路（9）最小特權(quán)管理（10）可靠的密碼服務(wù)（11）建立一套全面規(guī)范的文檔8.4安全操作設(shè)計(jì)和實(shí)現(xiàn)案例總體結(jié)構(gòu)總體結(jié)構(gòu)8.4安全操作設(shè)計(jì)和實(shí)現(xiàn)案例w （1）標(biāo)識(shí)與鑒別：檢查用戶登錄名和口令，賦予用戶唯一的標(biāo)識(shí)uid,

9、gid，檢查用戶的安全級(jí)和角色，域標(biāo)識(shí)以及計(jì)算特權(quán)集，賦予用戶進(jìn)程安全級(jí)和特權(quán)集標(biāo)識(shí)。w （2）自主訪問控制：每個(gè)文件、目錄、IPC客體對(duì)應(yīng)一個(gè)ACL，使安勝OS的的9位保護(hù)和ACL保護(hù)表示共存于系統(tǒng)中，達(dá)到 了單用戶DAC。w （3）強(qiáng)制機(jī)密性訪問控制：為每個(gè)進(jìn)程、文件、設(shè)備、IPC都賦予了相應(yīng)的安全級(jí)。依據(jù)MAC，比較進(jìn)程的安全級(jí)和文件的安全級(jí)，從而確定是否通過進(jìn)程對(duì)文件的訪問。另外通過安全級(jí)設(shè)置將系統(tǒng)的信息劃分為三個(gè)區(qū)：系統(tǒng)管理區(qū)、用戶空間區(qū)和病毒保護(hù)區(qū)8.4安全操作設(shè)計(jì)和實(shí)現(xiàn)案例該圖可視為一組系統(tǒng)安全標(biāo)簽與用戶安全標(biāo)簽, 它們通過模型的控制機(jī)制分隔. 其中, “箭頭”表示安全級(jí)支配關(guān)系

10、. 對(duì)于系統(tǒng)管理區(qū)對(duì)于系統(tǒng)管理區(qū), 用戶沒有讀寫任何數(shù)據(jù)的權(quán)限, 如TCB數(shù)據(jù)、審計(jì)數(shù)據(jù)等. 在用戶空間區(qū)在用戶空間區(qū), 一般用戶具有讀與寫的權(quán)限. 對(duì)對(duì)于病毒保護(hù)區(qū)中的數(shù)據(jù)與文件于病毒保護(hù)區(qū)中的數(shù)據(jù)與文件, 用戶進(jìn)程具有讀權(quán)限, 但沒有寫權(quán)限. 這種訪問隔離機(jī)制將進(jìn)入系統(tǒng)的用戶分為兩類: 不具有特權(quán)的普通用戶與系統(tǒng)管理用戶. 前者在用戶工作區(qū)中登錄, 如USER_LOGIN, USER_PUBLIC等: 后者則在系統(tǒng)管理區(qū)中登錄, 如SYS_AUDIT, SYS_OPERATOR1, SYS_OPERATOR2, SYS_PRIVATE等. 8.4安全操作設(shè)計(jì)和實(shí)現(xiàn)案例w （4）強(qiáng)制完整性訪

11、問控制：使系統(tǒng)中的域和每一個(gè)正在運(yùn)行的進(jìn)程相關(guān)聯(lián)，型和每一個(gè)對(duì)象相關(guān)聯(lián)。如果一個(gè)域不能以某種訪問模式訪問某個(gè)型 ，則這個(gè)域 進(jìn)程不能以該種訪問模式去訪問該型的對(duì)象。當(dāng)一個(gè)進(jìn)程試圖去訪問一個(gè)文件時(shí)，系統(tǒng)內(nèi)核在做標(biāo)準(zhǔn)的許可檢查之前，先做相關(guān)完整性許可檢查。w （5）最小特權(quán)管理：安勝3.0，將linux超級(jí)用戶 特權(quán)劃分為細(xì)粒度的特權(quán)（32），分別授給不同的系統(tǒng)操作員/管理員，使其只具有完成其任務(wù)所需要的特權(quán)。定義了四個(gè)角色：系統(tǒng)安全管理員，審計(jì)員、安全操作員、網(wǎng)絡(luò)管理員；安勝4.0，將linux超級(jí)用戶 特權(quán)劃分為更細(xì)粒度的特權(quán)（57），分別授予不淸中的管理員角色、域、和程序文件，使各種管理員角

12、以用戶創(chuàng)建或調(diào)用的進(jìn)程只具有完成其任務(wù)所必需的特權(quán)。8.4安全操作設(shè)計(jì)和實(shí)現(xiàn)案例w （6）隱蔽通道處理：通過“回溯搜索方法”對(duì)系統(tǒng)頂層描述規(guī)范和源代碼進(jìn)行全面分析，標(biāo)識(shí)出18條隱蔽存儲(chǔ)通道，并構(gòu)造了每條通道的使用場(chǎng)景，工程估算和實(shí)測(cè)出每條隱蔽通道的最大可達(dá)帶寬，采用修改系統(tǒng)調(diào)用返回值、加入隨機(jī)化噪聲、加入延遲和審計(jì)等措施分析處理每個(gè)已標(biāo)識(shí)的隱蔽通道w （7）密碼服務(wù)：實(shí)現(xiàn)對(duì)文件和目錄的加密，并提供標(biāo)準(zhǔn) API接口供用戶使用。實(shí)現(xiàn) 基于IC卡的強(qiáng)身份驗(yàn)證，實(shí)現(xiàn) 加密文件機(jī)制，可以對(duì)指定文件系統(tǒng)實(shí)施透明的加解密操作。8.4安全操作設(shè)計(jì)和實(shí)現(xiàn)案例w （8）安全審計(jì)：審計(jì)事件有86種，主要包括：登錄情

13、況將客體引用、刪除用戶對(duì)指定客體的訪問；特權(quán)操作。w （9）可信通路：提供了可信通路機(jī)制安全注意鍵（SAK）一旦可信通路機(jī)制識(shí)別出SAK，便 立即殺死與該終端相關(guān)的進(jìn)程，并對(duì)終端啟動(dòng)一個(gè)真實(shí)的登錄序列。w （10）客體重用：實(shí)現(xiàn)對(duì)存儲(chǔ)單元地址的保護(hù)，非法用戶不能訪問那些受到保護(hù)的存儲(chǔ)單元。采用邏輯隔離方法，實(shí)現(xiàn)用戶空間和系統(tǒng)空間的保護(hù)。實(shí)現(xiàn)用戶進(jìn)程和系統(tǒng)進(jìn)程的隔離，隔離了在同一環(huán)內(nèi)運(yùn)行的各個(gè)進(jìn)程8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例（11）網(wǎng)絡(luò)安全：網(wǎng)絡(luò)連接的程序可根據(jù)網(wǎng)絡(luò)會(huì)話安全屬性來決定其行為：n當(dāng)客戶端與服務(wù)器連接時(shí)，客戶端的安全級(jí)要在服務(wù)器允許連接的安全級(jí)范圍之內(nèi)。會(huì)話連接后，創(chuàng)建的服務(wù)器子進(jìn)

14、程安全級(jí)等于客戶端的安全級(jí)或該客戶端默認(rèn)安全級(jí)n當(dāng)客戶端與服務(wù)器連接時(shí)，客戶端的安全級(jí)要在所用物理設(shè)備允許連接的安全級(jí)范圍之內(nèi)。如果客戶端網(wǎng)絡(luò)連接請(qǐng)求的安全級(jí)超出了該網(wǎng)絡(luò)接口設(shè)備的安全級(jí)，連接將被拒絕。n當(dāng)客戶端與服務(wù)器連接時(shí)，要由該服務(wù)器訪問控制矩陣相應(yīng)項(xiàng)的允許n當(dāng)客戶端在IP包中設(shè)置了安全級(jí)，而服務(wù)器運(yùn)行 一個(gè)公開的系統(tǒng) ，剛忽略傳來IP包中的安全級(jí)。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例w 8.4.3安全內(nèi)核的開發(fā)安全內(nèi)核的開發(fā)1.安全內(nèi)核的開發(fā)方法：改進(jìn)增強(qiáng)發(fā)，即以系統(tǒng)調(diào)用為基元，引入TCB機(jī)制，分別在系統(tǒng)調(diào)用中實(shí)施MAC和DAC機(jī)制，新開發(fā)審計(jì)機(jī)制、最小特權(quán)管理機(jī)制、可信通路機(jī)制、并進(jìn)行隱蔽

15、通道處理等。另外，新增一部分實(shí)現(xiàn)安全機(jī)制本身的系統(tǒng)調(diào)用。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例w 8.4.3安全內(nèi)核的開發(fā)安全內(nèi)核的開發(fā)2.開發(fā)過程：（1）建立安全體系結(jié)構(gòu)和安全模型：提出新型的支持多策略的由策略等價(jià)、策略沖突和策略協(xié)作組成的形式化安全體系結(jié)構(gòu)。該架構(gòu)基于元策略，可以實(shí)現(xiàn)分量安全模型的有機(jī)整合。（2）安全機(jī)制的設(shè)計(jì)與實(shí)現(xiàn)（3）安全操作系統(tǒng)的可信度認(rèn)證：形式化驗(yàn)證、非形式化確認(rèn)、和入侵分析8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例w 8.4.3安全內(nèi)核的開發(fā)安全內(nèi)核的開發(fā)3.安全體系結(jié)構(gòu)n安全內(nèi)核總體上由策略引擎和策略實(shí)施兩部分組成，策略引擎封裝在安全服務(wù)器中，策略實(shí)施由對(duì)象管理器具體負(fù)責(zé)。n對(duì)象管

16、理器包括安全文件管理器、安全網(wǎng)絡(luò)管理器、安全進(jìn)程管理器審計(jì)管理器等。各個(gè)對(duì)象管理器管理功能不同的hook調(diào)用，這些hook調(diào)用 截獲客戶端發(fā)起的對(duì)核心客體的訪問控制請(qǐng)求，并將它們轉(zhuǎn)交給安全服務(wù)器。n系統(tǒng)中的hook函數(shù)大體分為兩種，即請(qǐng)求與判定兩種情況 ：l安全信息管理：如確定一個(gè)新創(chuàng)建的主體或客體采用什么安全標(biāo)簽l確定主體是否能對(duì)客體進(jìn)行某項(xiàng)操作。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例w 8.4.3安全安全內(nèi)核內(nèi)核的開發(fā)的開發(fā)3.安全體系結(jié)構(gòu)n安全服務(wù)器是安全內(nèi)核子系統(tǒng)，實(shí)現(xiàn)地安全策略 封裝并提供調(diào)用接口。實(shí)現(xiàn)安勝OS V4需要的多級(jí)安全及機(jī)密性策略和最小特權(quán)管理策略。每個(gè)hook函數(shù)在安全服務(wù)器中

17、具體實(shí)現(xiàn)，通過封裝的安全策略規(guī)則進(jìn)行判斷或計(jì)算，然后針判定的結(jié)果返回給對(duì)象管理器。n客體管理器中的AVC提供了從安全服務(wù)器得到的存取判斷結(jié)果的緩沖，用來最小化系統(tǒng)安全機(jī)制帶來的的效率影響。安全服務(wù)器中的固定標(biāo)簽映像提供了一個(gè)維護(hù)安全上下文與固定客體之間的對(duì)應(yīng)機(jī)制8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.4安勝OS V3.0采用MBLP模型w 典型的機(jī)密性模型 BLP 對(duì)多級(jí)安全系統(tǒng)中的每個(gè)主體和客體都賦予一個(gè)安全級(jí). 主體的安全級(jí)規(guī)范了主體允許訪問的數(shù)據(jù)的最高安全級(jí), 而客體的安全級(jí)表示在客體中存儲(chǔ)的數(shù)據(jù)的最高安全級(jí). 此外, 在BLP模型中可以定義可信主體, 即相信可信主體可以稱職地對(duì)任何數(shù)據(jù)建

18、立適當(dāng)?shù)陌踩?jí)并進(jìn)行適當(dāng)?shù)奶幚?。其主要缺點(diǎn)在于, n可信主體具有無限的特權(quán);n模型的靈活性不夠, 并且過于依賴平穩(wěn)性原則, 主體與客體的安全級(jí)在其生命周期內(nèi)不變8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例安勝OS V3.0采用多MBLP模型w MBLP為主體分配了3 個(gè)安全標(biāo)簽最大安全級(jí)標(biāo)簽 、最小可寫安全標(biāo)簽和最大可讀安全標(biāo)簽。為客體分配了一個(gè)最大安全級(jí)標(biāo)簽和一個(gè)最小安全級(jí)。w 模型中定義了單級(jí)客體與多級(jí)客體. 多級(jí)客體只能由可信主體訪問。 新模型的頂層安全策略是: (1) 只有可信主體才能對(duì)客體進(jìn)行具有多級(jí)屬性的訪問， 一般主體只能對(duì)客體進(jìn)行具有單級(jí)屬性的訪問。(2) 可信主體對(duì)客體進(jìn)行具有單級(jí)屬性的訪

19、問時(shí), 只能在安全標(biāo)簽范圍內(nèi)是可信的。(3) 每個(gè)客體都分離為兩部分: 與內(nèi)容相關(guān)和與內(nèi)容無關(guān)的部分, 這兩部分作為不同的客體具有相同的安全標(biāo)簽范圍。(4) 對(duì)可信客體的創(chuàng)建及刪除是具有多級(jí)屬性的訪問, 而對(duì)它們的應(yīng)用性訪問是具有單級(jí)屬性的訪問。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例安勝OS V3.0采用多MBLP模型MBLP實(shí)現(xiàn)包括兩個(gè)主要方面：w 安全安全標(biāo)簽賦值的標(biāo)簽賦值的實(shí)現(xiàn)：實(shí)現(xiàn)：對(duì)任意主體, 每個(gè)進(jìn)程被賦予一個(gè)當(dāng)前安全標(biāo)簽。 用戶安全標(biāo)簽由系統(tǒng)管理員創(chuàng)建用戶時(shí)通過 useradd 命令設(shè)置，標(biāo)明用戶的安全標(biāo)簽范圍及缺省安全標(biāo)簽。 進(jìn)程安全標(biāo)簽在創(chuàng)建進(jìn)程時(shí)確定, 在它所代 表的用戶安全標(biāo)簽范

20、圍之內(nèi)。對(duì)于客體，每個(gè)客體被賦予安全標(biāo)簽范圍與當(dāng)前安全標(biāo)簽。w 文件、設(shè)備驅(qū)動(dòng)程序、管道的安全標(biāo)簽為創(chuàng)建該客體進(jìn)程時(shí)的安全標(biāo)簽, 且客體的安全標(biāo)簽等于其父目錄的安全標(biāo)簽. 目錄與普通文件一樣, 在它們的生存周期內(nèi)具有安全標(biāo)簽. 目錄的安全標(biāo)簽就是它的創(chuàng)建進(jìn)程的安全標(biāo)簽, 且目錄的安全標(biāo)簽不小于其父目錄的安全標(biāo)簽. 進(jìn)程、消息隊(duì)列、信號(hào)量集合和共享存儲(chǔ)區(qū)是特殊類型的客體, 當(dāng)fork(), msgget(), semget(), shmget()系統(tǒng)調(diào)用創(chuàng)建這類客體時(shí), 客體的安全標(biāo)簽就是它的創(chuàng)建進(jìn)程的安全標(biāo)簽. 8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例安勝OS V3.0采用多MBLP模型MBLP實(shí)現(xiàn)包括

21、兩個(gè)主要方面：w 系統(tǒng)安全級(jí)設(shè)置系統(tǒng)安全級(jí)設(shè)置: 通過安全級(jí)將系統(tǒng)劃分為系統(tǒng)管理區(qū)、用戶空間區(qū)和病毒保護(hù)區(qū)。對(duì)于系統(tǒng)管理區(qū), 用戶沒有讀寫任何數(shù)據(jù)的權(quán)限, 如 TCB 數(shù)據(jù)、審計(jì)數(shù)據(jù)等。 在用戶空間區(qū), 一般用戶具有讀與寫的權(quán)限. 對(duì)于病毒保護(hù)區(qū)中的數(shù)據(jù)與文件, 用戶進(jìn)程具有讀權(quán)限, 但沒有寫權(quán)限. 因此, 這種訪問隔離機(jī)制 將進(jìn)入系統(tǒng)的用戶分為兩類: 不具有特權(quán)的普通用戶與系統(tǒng)管理用戶. 前者在用戶工作區(qū)中登錄, 如 USER_LOGIN, USER_PUBLIC 等； 后者則在系統(tǒng)管理區(qū)中登錄, 如 SYS_AUDIT, SYS_OPERATOR1, SYS_OPERATOR2, SYS_

22、PRIVATE 等。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例安勝OS V3.0采用多MBLP模型MBLP的特點(diǎn)：(1)支持安全級(jí)范圍的動(dòng)態(tài)變更。新模型提出了具有單級(jí)與多級(jí)屬性的操作, 對(duì)可信主體進(jìn)行了形式化規(guī)范, 使可信主體是真正部分可信的. (2) 可信主體定義為可信操作有限、常規(guī)操作之后主體寫范圍rans 不變的主體, 可信主體 不僅可以執(zhí)行一般主體的單級(jí)訪問, 也可以執(zhí)行為它們專門設(shè)計(jì)的多級(jí)訪問. 特別, 可信主體的寫范圍rans 可以由安全策略進(jìn)行管理.(3) 新模型首次通過信息流控制的安全策略, 形式化地規(guī)范可信主體的行為如果滿足新模型的不變量與約束 條件, 不會(huì)發(fā)生信息由高安全級(jí)到低安全級(jí)

23、的非法流動(dòng)。(4)引入的兼容屬性可以有效地配合最小可寫安全標(biāo)簽和 最大可讀安全標(biāo)簽的動(dòng)態(tài)變化(5)新模型能有效地處理網(wǎng)絡(luò)安全對(duì)象(6)新模型實(shí)現(xiàn)主動(dòng)進(jìn)程與 IPC 對(duì)象一體化, 同時(shí)解決了多級(jí)應(yīng)用與隱蔽通道的問題。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例完整性保護(hù)模型w 完整性模型Biba可以視為一種基于安全級(jí)的完整性模型。缺點(diǎn)主要是: (1) 完整性標(biāo)簽很難確定 (2) 沒有提供保證數(shù)據(jù)一致性的機(jī)制. (3) 難以在實(shí)際系統(tǒng)中實(shí)現(xiàn). Clark-Wilson 模型模型是一種基于封裝的完整性模型. 該模型具有里程牌的意義, 涉及計(jì)算機(jī)系統(tǒng)完整性的所有目標(biāo): 用戶完整性、數(shù)據(jù)完整性和過程完整性. 并且,

24、引入了良構(gòu)事務(wù)的重要概念. 局限性在于:(1) 沒有形式化, 作為通用模型也難以形式化. (2) 轉(zhuǎn)換過程之間的順序執(zhí)行關(guān)系不利于從數(shù)據(jù)項(xiàng)中分離對(duì)數(shù)據(jù)的控制策略(3) 在實(shí)際系統(tǒng)中難以高效與靈活地實(shí)現(xiàn)8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例完整性保護(hù)模型w 域與型實(shí)施模型 DTE提供一種訪問控制機(jī)制, 其中一個(gè)稱之為“域”的訪問控制屬性與主體綁定, 另一個(gè)稱之為“型(type)”的安全屬性與客體綁定. 當(dāng)系統(tǒng)運(yùn)行時(shí), 可以動(dòng)態(tài)地調(diào)節(jié)訪問請(qǐng)求, 并拒絕未經(jīng)授權(quán)的訪問. 此外, DTE 是一種靈活的、可配置的、內(nèi)核級(jí)的訪問控制機(jī)制, 支持最小特權(quán)原則, 并且適于進(jìn)行安全策略的配置. 但是 迄今未見在安全系統(tǒng)

25、中實(shí)現(xiàn)基于 DTE 的形式化完整性模型. 總之, 與機(jī)密性模型相比, 迄今完整性模型在成熟度、形式化與應(yīng)用等方面還相距甚遠(yuǎn). 8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例完整性保護(hù)模型w 安勝的完整性模型基于 DTE, 它應(yīng)用到以下 4 個(gè)概念:w 域: 可以視為從邏輯上界定的進(jìn)程的受限執(zhí)行環(huán)境. 進(jìn)程進(jìn)入一個(gè)域之后, 其活動(dòng)就限定在這個(gè)域內(nèi). 域包含 3 個(gè)組成部分. n入口守護(hù)進(jìn)程, 構(gòu)成進(jìn)入域的惟一通道; n域的管理空間與權(quán)限n域的關(guān)系域列表及其相關(guān)的關(guān)系. w 型: 可以視為受完整性策略保護(hù)的數(shù)據(jù)的一種特殊類型名.w 完整性校驗(yàn)過程 IVP: 在主體操作受保護(hù)數(shù)據(jù)之前, 校驗(yàn)該主體的身份與訪問權(quán)限的

26、過程. w 良構(gòu)事務(wù) WFT8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例完整性保護(hù)模型w 完整性頂層安全策略是: (1) 定義與應(yīng)用 管理用戶域和非管理用戶域. (2) 根據(jù)完整性控制粒度, 定義數(shù)據(jù)類型. (3) 域間必要的信息流動(dòng)必須通過 WFT 實(shí)現(xiàn), 保證域間信息流動(dòng)的完整性. (4) 將 WFT 標(biāo)識(shí)為特殊的數(shù)據(jù)類型, 防止非法的使用與篡改. 對(duì) WFT 的應(yīng)用進(jìn)行審計(jì), 防止授權(quán)用戶的不恰當(dāng)修改. (5) 將 IVP 標(biāo)識(shí)為特殊的數(shù)據(jù)模型, 對(duì)創(chuàng)建和操作完整性保護(hù)數(shù)據(jù)的行為實(shí)現(xiàn) IVP. (6) 仔細(xì)設(shè)計(jì)對(duì)域-域關(guān)系表 DDT 和域-型關(guān)系表 DTT 的維護(hù), 保證配置的正確性. 8.4 安全操

27、作設(shè)計(jì)和實(shí)現(xiàn)案例完整性保護(hù)模型w 兩個(gè)主要的組成部分: 保障規(guī)則與狀態(tài)遷移模型. n保障規(guī)則的目的是指出如何設(shè)置域與型才能實(shí)現(xiàn)安全不變量, 采用什么保證措施才能實(shí)現(xiàn)完整性保護(hù)目標(biāo). n狀態(tài)遷移模型是一種特殊的狀態(tài)機(jī)模型, 負(fù)責(zé)定義系統(tǒng)狀態(tài)、狀態(tài)遷移規(guī)則和安全不變量。n設(shè)置了10個(gè)不變量，13個(gè)具有原子性的遷移規(guī)則n提出并證明了一個(gè)基本安全定理8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例完整性保護(hù)模型w 系統(tǒng)的每個(gè) inode 節(jié)點(diǎn)包含 3 個(gè)指針,：netype 表示一 個(gè)目錄或文件的型.nrtype 表示一個(gè)目錄下(遞歸地)所有文件或子目錄的型(包括這個(gè)目錄本身).n utype 表示一個(gè)目錄下(遞歸地)

28、所有文件或子目錄的型, 但不包括這個(gè)目錄. w 當(dāng)執(zhí)行域的入口點(diǎn)文件時(shí), 共有 3 種可能的域轉(zhuǎn)化: 自動(dòng)域轉(zhuǎn)化、自愿域轉(zhuǎn)化和空的域轉(zhuǎn) 化, 亦即域保持不變。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例完整性保護(hù)模型w 安勝完整性保護(hù)模型特點(diǎn):(1) 結(jié)合 DTE 模型與良構(gòu)事務(wù)的概念, 實(shí)現(xiàn)域與域之間的受限信息交換. (2) 僅將良構(gòu)事務(wù)分配給角色, 與相關(guān)的主體無關(guān), 比Clark-Wilson模型的解決方案更為 有效. (3) 通過增加策略執(zhí)行的保障規(guī)則實(shí)現(xiàn)多域策略, 確保受保護(hù)數(shù)據(jù)的內(nèi)在一致性, 從而 改進(jìn)了 Biba 模型. 8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例特權(quán)控制模型w 最小特權(quán)設(shè)計(jì)原則要求對(duì)系統(tǒng)

29、中的每一個(gè)進(jìn)程只賦予完成任務(wù) 所需的最小特權(quán). 基于角色的訪問控制模型RBAC是實(shí)施最小特權(quán)的主流模型, 但是RBAC 的策略具有較高的抽象層次, 它的控制粒度較粗且靈活性不夠, 難以在安全操作系統(tǒng)中實(shí)現(xiàn) 基于內(nèi)w 安勝操作系統(tǒng)采用結(jié)合RBAC, DTE和POSIX權(quán)能機(jī)制的形式化特權(quán)控制模型, 具有實(shí)現(xiàn)最小特權(quán)原理所需的由 3 個(gè)層次組成的結(jié)構(gòu)n頂層稱為管理層, 用于控制主體所能擁有的最大特權(quán), 從管理角度限制進(jìn)程的活動(dòng)范圍. n中層稱為功能控制層, 用于控制實(shí)現(xiàn)某些特定功能所需的功能特權(quán), 從功能實(shí)現(xiàn)的角度實(shí)現(xiàn)功能隔離. n底層稱為執(zhí)行層, 用于控制進(jìn)程完成一 項(xiàng)任務(wù)時(shí)所需的進(jìn)程特權(quán), 從

30、完成任務(wù)的角度限制進(jìn)程的活動(dòng)能力. 8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例特權(quán)控制模型w 實(shí)現(xiàn)了下述目標(biāo):n靜態(tài)靜態(tài)角色職責(zé)隔離角色職責(zé)隔離(SRSD): 如果用戶被指派角色 r, 且角色 r與角色 r 為授權(quán)互斥關(guān)系, 則不能將角色r指派給該用戶n動(dòng)態(tài)動(dòng)態(tài)角色職責(zé)隔離角色職責(zé)隔離(DRSD): 如果主體進(jìn)程以用戶允許的角色 r 運(yùn)行, 角色r與 r 為運(yùn)行互斥關(guān)系, 則不能存在以同一用戶 且角色為r 運(yùn)行的主體進(jìn)程n動(dòng)態(tài)動(dòng)態(tài)域職責(zé)隔離域職責(zé)隔離(DDSD): 如果用戶通過一個(gè)角色創(chuàng)建的主 體進(jìn)程運(yùn)行于域 d 中, 且域d與 d 為運(yùn)行互斥關(guān)系, 則不能存在具有相同用戶與角色, 但運(yùn)行 于域d的主體進(jìn)

31、程. 8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例特權(quán)控制模型w 考慮到下述兩個(gè)因素: (1) DTE 域可以限制進(jìn)程的執(zhí)行范圍, 因此擴(kuò)展它可以限制權(quán)能的生效范圍. (2) 單純依靠主體標(biāo)識(shí)符標(biāo)識(shí)主體的權(quán)能集難以實(shí)現(xiàn)職責(zé)隔離. 因此, 新模型中引 入了兩個(gè)新的權(quán)能集n域權(quán)能集, 記為 Bd, 由域標(biāo)識(shí)符惟一地確定; n角色權(quán)能集, 記為 Br, 由角色標(biāo)識(shí)符惟一地確定, 與主體標(biāo)識(shí)符無關(guān)8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例特權(quán)控制模型w 在新模型的安勝 OS 實(shí)現(xiàn)中, 初始的授權(quán)實(shí)體為: 3 個(gè)管理用戶、4 個(gè)可信角色和 2 個(gè)可信域. 超級(jí)用戶的權(quán)限分解為 57 個(gè)特權(quán). n安全管理用戶 sec_u 負(fù)責(zé)安全

32、策略數(shù)據(jù)庫(kù)的配置與管 理, 被賦予安全員角色 sec_r. n系統(tǒng)管理用戶 sys_u 負(fù)責(zé)系統(tǒng)與網(wǎng)絡(luò)的配置與管理, 被賦予系統(tǒng)員角色sys_r和網(wǎng)絡(luò)員角色net_r. n審計(jì)管理用戶adt_u負(fù)責(zé)審計(jì)事件與審計(jì)記錄的配置與管理, 被賦予審計(jì)員角色 adt_r. w 代表用戶的不同角色進(jìn)入不同的 DTE 域就具有不同的特權(quán), 因此, 事實(shí)上在初始設(shè)置時(shí)定義了 8 個(gè)執(zhí)行不同任務(wù)的角色. 8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例特權(quán)控制模型w 安勝特權(quán)控制模型特點(diǎn): (1) 首次有效地結(jié)合 RBAC 和 DTE 與 POSIX 權(quán)能機(jī)制, 支持用戶、角色、域與權(quán)能之間的層次映 射關(guān)系. 通過角色與域的結(jié)合

33、簡(jiǎn)化授權(quán)管理: 通過細(xì)化的域定義實(shí)現(xiàn)角色職責(zé)中可信功能與非可信功能的隔離: 通過 POSIX 權(quán)能機(jī)制與 DTE 支持的域轉(zhuǎn)換, 進(jìn)程的特權(quán)狀態(tài)可以動(dòng)態(tài)調(diào)節(jié). (2) 提出實(shí)施最小特權(quán)的 3 層實(shí)現(xiàn)機(jī)制: 管理層、功能控制層與執(zhí)行層. 新機(jī)制推廣了子域 控制機(jī)制, 實(shí)現(xiàn)了子域控制機(jī)制的動(dòng)態(tài)化 (3) 提出了新穎的“功能隔離原理”概念, 并進(jìn)行形式化規(guī)范. (4) 實(shí)現(xiàn)了角色的職責(zé)隔離與域的功能隔離.(5) 提出了新的權(quán)能機(jī)制、兩個(gè)新的權(quán) 能集: 域權(quán)能集 Bd 與角色權(quán)能集 Br , 以及新的權(quán)能遺傳公式。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.5多級(jí)分層文件系統(tǒng)多級(jí)分層文件系統(tǒng)一般的樹型結(jié)構(gòu)文

34、件不易實(shí)現(xiàn)多級(jí)安全強(qiáng)制訪問控制，也不易限制隱蔽存儲(chǔ)通道，安勝OSV3.0和V4.0均采用了一種多級(jí)分層文件系統(tǒng)的設(shè)計(jì)。在該文件系統(tǒng)中建立一個(gè)文件時(shí)，其安全級(jí)必須與所在目錄相等；越往葉子方向安全級(jí)就越高或者不變。TCB按照嚴(yán)格的規(guī)則給用戶和文件設(shè)置安全級(jí)，用戶安全級(jí)不能被用戶或他們的進(jìn)程修改，系統(tǒng)使用這些安全屬性判定某個(gè)用戶是否可以存取一個(gè)文件，如果用戶安全屬性不能存取該文件，那么即使文件的擁有者也不能存取該文件。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.5多級(jí)分層文件系統(tǒng)多級(jí)分層文件系統(tǒng)多級(jí)目錄：根據(jù)訪問控制策略R7，多級(jí)分層文件系統(tǒng)不允許具有不同安全級(jí)的用戶，在同一目錄下創(chuàng)建不同安全級(jí)的文件。因

35、此，多級(jí)分層文件系統(tǒng)引入了多級(jí)目錄的概念8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.5多級(jí)分層文件系統(tǒng)多級(jí)分層文件系統(tǒng)多級(jí)分層文件系統(tǒng)的訪問控制策略：多級(jí)分層文件系統(tǒng)的訪問控制策略：（1）在文件系統(tǒng)的每個(gè)系統(tǒng)調(diào)用中實(shí)現(xiàn)，即在open() creat() read() write() mkdir() rmdir() unlink() stat() rename() 等系統(tǒng)調(diào)用中分別加入相應(yīng)的訪問控制策略。（表8-2）（2）系統(tǒng)調(diào)用是用戶程序進(jìn)入內(nèi)核、存取系統(tǒng)資源的唯一入口，對(duì)文件系統(tǒng)的每個(gè)系統(tǒng)調(diào)用都進(jìn)行訪問控制檢查，就等于控制了用戶對(duì)文件的存取。該檢查處于核心態(tài)，完全與用戶隔離。（3）用戶發(fā)出的文件訪

36、問請(qǐng)求必將涉及一個(gè)或多個(gè)系統(tǒng)調(diào)用，在每個(gè)系統(tǒng)調(diào)用中，安全內(nèi)核將根據(jù)設(shè)定的訪問控制策略進(jìn)行安全檢查。例：對(duì)于系統(tǒng)調(diào)用open( )，函數(shù)通過路徑名取得文件inode，同時(shí)也取出該inode對(duì)應(yīng)的安全級(jí)信息，以及用戶的uid gid等，然后根據(jù)R12 R9 R7 R1進(jìn)行訪問控制策略判斷。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.5多級(jí)分層文件系統(tǒng)多級(jí)分層文件系統(tǒng)多級(jí)目錄含有一些特殊的子目錄，稱為有效目錄。有效目錄是當(dāng)某個(gè)進(jìn)程第一次訪問多級(jí)目錄時(shí)由安全內(nèi)核自動(dòng)創(chuàng)建的，對(duì)用戶來講是透明的。有效目錄名即是與該進(jìn)程有相關(guān)的安全級(jí)標(biāo)識(shí)（level）。與每個(gè)進(jìn)程 關(guān)的是進(jìn)程的多級(jí)目錄狀態(tài)，它決定對(duì)多級(jí)目錄的訪問

37、方式。該狀態(tài)有兩種不同的形式：w 虛狀態(tài)：在該狀態(tài)的話，內(nèi)核將把對(duì)多級(jí)目錄的訪問自動(dòng)改變?yōu)閷?duì)多級(jí)目錄下相應(yīng)有效目錄的訪問。這個(gè)有效目錄 名字 安全級(jí)與進(jìn)程安全級(jí)相對(duì)應(yīng)。如果當(dāng)前多級(jí)目錄下沒有一個(gè)有效目錄 安全級(jí)等于進(jìn)程的安全級(jí)，那么安全內(nèi)核將自動(dòng)創(chuàng)建一個(gè)進(jìn)程安全級(jí)有效目錄，且名字與對(duì)應(yīng)于進(jìn)展的安全級(jí)。默認(rèn)狀態(tài)w 實(shí)狀態(tài)：在該狀態(tài)時(shí)，多級(jí)目錄的訪問與一般目錄相同。如果應(yīng)用程序在實(shí)狀態(tài)下訪問一個(gè)多級(jí)目錄，它可能不能創(chuàng)建一個(gè)文件，并有可能引起應(yīng)用 程序執(zhí)行混亂。故vi、cc只能 在虛狀態(tài)下進(jìn)行，實(shí)狀態(tài)主要用于系統(tǒng)管理員對(duì)多級(jí)目錄的維護(hù)和整整。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.5多級(jí)分層文件系統(tǒng)多

38、級(jí)分層文件系統(tǒng)多層文件系統(tǒng)中，文件名的安全級(jí)與文件內(nèi)容的安全級(jí)是相同的。一個(gè)目錄中的信息可能具有不同的安全級(jí)，因?yàn)橐粋€(gè)目錄的內(nèi)容就是文件名和子目錄的集合，它們可以具有不同的安全級(jí)。安全內(nèi)核對(duì)該目錄的所有內(nèi)容都實(shí)施 訪問控制，不允許用戶進(jìn)程通過讀該目錄內(nèi)容而查訪該目錄下的文件名，否則會(huì)產(chǎn)生 個(gè)隱蔽存儲(chǔ)通道。僅當(dāng)用戶 安全級(jí)支配文件的安全級(jí)時(shí)，系統(tǒng)才允許用戶讀取其文件名，所以對(duì)某個(gè)用戶為講有些文件名、目錄名是不可見的。，即對(duì)不同安全級(jí)的用戶列表同事目錄下文件時(shí)，顯示的結(jié)果有可能不一樣的。具體通過 修改readdir()系統(tǒng)調(diào)用，加入訪問控制策略R13完成的。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.6

39、隱蔽存儲(chǔ)通道分析w 隱蔽通道對(duì)操作系統(tǒng)的安全構(gòu)成嚴(yán)重威脅，對(duì)于高等級(jí)安全操作系統(tǒng)，所有的評(píng)測(cè)標(biāo)準(zhǔn)都要求進(jìn)行隱蔽通道的分析與處理。然而， 隱蔽通道分析是眾所周知的難題, 迄今缺乏堅(jiān)實(shí)的 理論基礎(chǔ)與系統(tǒng)的分析方法。 w 解決隱蔽通道的兩個(gè)關(guān)鍵問題：(1) 如何保證隱蔽通道標(biāo)識(shí)的完備性， 即徹底搜索隱蔽通道的問題； (2) 如何提高隱蔽通道標(biāo)識(shí)的效率。w 安勝操作系統(tǒng)在基于本書作者的研究成果：(1) 新的隱蔽通道標(biāo)識(shí)完備性的理論基礎(chǔ); (2) 新的通用隱蔽通道標(biāo)識(shí)架構(gòu); (3) 新的隱蔽通道標(biāo)識(shí)方法-回溯搜索法。并在安勝 OS 中的實(shí)現(xiàn)。 8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.6隱蔽存儲(chǔ)通道分析回溯

40、搜索法是其將隱蔽通道視為兩個(gè)主體（發(fā)送進(jìn)程與接收進(jìn)程）之間的信息流。信息流形成 隱蔽通道時(shí)，一定產(chǎn)生由發(fā)送進(jìn)程到接收進(jìn)程的信息流，與經(jīng)過哪些變量無關(guān)，因此，應(yīng)當(dāng)檢查具有某些特征的主體之間的、違反安全策略的信息流。 通過信息流主體的安全級(jí)檢測(cè)，以及主體與客體的約束條件， 可以校驗(yàn)信息流的合法性。 新提出的通用隱蔽通道標(biāo)識(shí)架構(gòu)共分 3 個(gè)階段: (1)分析 TCB 原語, 標(biāo)識(shí)由每一個(gè)原語產(chǎn)生的直接流; (2)根據(jù)特定的規(guī)則, 由直接流構(gòu)造間接流; (3)分析可疑信息流, 標(biāo)識(shí)潛在的隱蔽通道. (4)對(duì)安勝OS隱蔽通道進(jìn)行分析，標(biāo)識(shí)出18條隱蔽存儲(chǔ)通道，并構(gòu)造每條隱蔽通道的使用場(chǎng)景、工程估算和實(shí)測(cè)

41、出每條隱蔽通道的最大帶寬。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.6隱蔽存儲(chǔ)通道分析SRM 等類似的方法均僅為表示和組合信息流的技術(shù), 僅包含階段(2)； Tsai 等人的方法是搜索直接流和標(biāo)識(shí)直接通道的技術(shù), 僅包含階段(1)和(3)。 因此, 新方法是一種完備的通用架構(gòu)。 在應(yīng)用 SRM 方法時(shí)， 信息流通過傳遞閉包任意地組合。僅當(dāng)所有可能的組合都完成之后，才開始進(jìn)行分析。 相反在新的架構(gòu)下, 在隱蔽通道標(biāo)識(shí)的全過程中都進(jìn)行信息流分析。更具體地說，初始分析階段尋找直接流；中間分析階段組合信息流；最后分析階段標(biāo)識(shí)潛在的隱蔽通 。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.6隱蔽存儲(chǔ)通道分析w 新提出

42、的隱蔽通道回溯搜索法隱蔽通道回溯搜索法, 對(duì) SRM 方法和語義信息流分析方法都進(jìn)行了重大的 改進(jìn). 在原始的 SRM 方法中, 信息流由起點(diǎn)開始向前遷移, 且在遷移過程中確定共享變量之間的間接引用關(guān)系. 新的基于SRM方法的回溯搜索法可以視為一種“反向”的 SRM方法: 信息 流由終點(diǎn)開始回溯到起點(diǎn), 并發(fā)現(xiàn)間接的修改關(guān)系。w 如果某個(gè)原語opi修改了引用變量vsx的變 量 vsy, 產(chǎn)生信息流: vsxvsy, 且另一個(gè)原語 opj修改了變量 vsx, 則我們稱原語 opj可以間接地修改變量 vsy. 反向的傳遞閉包操作從可見變量開始它的第1個(gè)遷移輪. 所有生成的信息流都是進(jìn)程流, 防止了

43、無效的內(nèi)部遷移. 為使 SRM 矩陣能夠記錄全部信息流路徑, 在傳遞閉包的 操作過程中, 當(dāng)信息流遷移到一個(gè)新的變量時(shí), 不僅標(biāo)記相應(yīng)的矩陣項(xiàng), 而且記錄先前的原語和變量序列. 此外, 我們通過“輪(round)”執(zhí)行傳遞閉包操作. 信息流有序地?cái)U(kuò)展, 且每一 輪中每個(gè)信息流只前進(jìn) 1 步, 與下一個(gè)直接流相連接. 其次, 對(duì)每一個(gè)矩陣列都增加主體對(duì)原語的限制, 由此判斷信息流遷移的有效性. 提出了一系列遷移約束規(guī)則, 信息流的遷移必須滿足特定的遷移條件. 最后, 在每一個(gè)遷移輪之后, 分析新擴(kuò)展的信息流, 并排除偽信息流 與無效信息流8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.6隱蔽存儲(chǔ)通道分析安

44、勝OS V4.0的隱蔽存儲(chǔ)通道處理方法（1）加入噪音：通過引入隨機(jī)分配算法，使系統(tǒng)調(diào)用返回的共享變量狀態(tài)值不再具有線性規(guī)律，破壞隱蔽存儲(chǔ)通道的通信機(jī)制。（2）引入延時(shí)：即將延時(shí)植入系統(tǒng)調(diào)用的出錯(cuò)返回路徑上，降低隱蔽存儲(chǔ)通道的帶寬。（3）擴(kuò)充審計(jì)功能：通過提出隱蔽存儲(chǔ)通道的特征，并將這些特征列入審計(jì)事件。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.7安全加密文件系統(tǒng)安全加密文件系統(tǒng)1.傳統(tǒng)加密文件系統(tǒng)的不足n數(shù)據(jù)保護(hù)不完全n性能低下n控制粒度粗2.安全加密文件系統(tǒng)的設(shè)計(jì)目標(biāo)n提供標(biāo)識(shí)與鑒別功能n提供自主訪問控制機(jī)制n硬件加密n完全的數(shù)據(jù)保護(hù)n系統(tǒng)交換分區(qū)保護(hù)n良好的性能n良好的可用性8.4 安全操作設(shè)

45、計(jì)和實(shí)現(xiàn)案例8.4.7安全加密文件系統(tǒng)安全加密文件系統(tǒng)3.SEFS的工作原理與總體結(jié)構(gòu)LOOP設(shè)備技術(shù)：將一個(gè)連續(xù)的文件塊映射成為一個(gè)虛擬磁盤，在該虛擬磁盤上創(chuàng)建文件系統(tǒng)、存取數(shù)據(jù)。SEFS利用loop設(shè)備的工作原理，實(shí)現(xiàn) 一個(gè)虛擬設(shè)備，將要保護(hù)的用戶數(shù)據(jù)放入該虛擬，并在虛擬磁盤的設(shè)備驅(qū)動(dòng)中增加了加密引擎，以實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密保護(hù)。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.7安全加密文件系統(tǒng)安全加密文件系統(tǒng)3.SEFS的工作原理與總體結(jié)構(gòu)加密卡加密卡：提供硬件加密功能。能夠?qū)νㄟ^它的數(shù)據(jù)自動(dòng)進(jìn)行加密解密操作。設(shè)備驅(qū)動(dòng)設(shè)備驅(qū)動(dòng)：向上層提供與磁盤相關(guān)的各種系統(tǒng)調(diào)用，并對(duì)存入虛擬磁盤的數(shù)據(jù)進(jìn)行加密操作。為

46、增加系統(tǒng)的靈活性，該設(shè)備驅(qū)動(dòng)實(shí)現(xiàn)為一個(gè)可動(dòng)態(tài)加載模塊，可以在需要的時(shí)候，載入到系統(tǒng)內(nèi)核中。加密引擎：加密引擎：被設(shè)備驅(qū)動(dòng)調(diào)用，實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密解密。支持軟硬件加密密鑰管理：密鑰管理：涉及文件密鑰、主密鑰、用戶口令。文件密鑰用來對(duì)虛擬磁盤進(jìn)行加密，每個(gè)文件密鑰對(duì)應(yīng)一個(gè)虛擬磁盤，由主密鑰加密后存儲(chǔ)，為了系統(tǒng)的安全性，用戶的主密鑰不在磁盤上存儲(chǔ)，而是根據(jù)用戶口令由一個(gè)單向函數(shù)變換生成。用戶接口：用戶接口：該部分用來向用戶提供使用SEFS的訪問接口，提供了對(duì)虛擬設(shè)備進(jìn)行創(chuàng)建、格式化、掛載等操作的一系列命令。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.7安全加密文件系統(tǒng)安全加密文件系統(tǒng)4.SEFS關(guān)鍵技術(shù)的實(shí)

47、現(xiàn)（1）虛擬磁盤的加密：）虛擬磁盤的加密：操作系統(tǒng)對(duì)磁盤的訪問是一種隨機(jī)訪問，一般以磁盤扇區(qū)為單位進(jìn)行，每個(gè)扇區(qū)的大小一般為512B。鑒于這個(gè)原因，SEFS對(duì)虛擬磁盤的加密采取以扇區(qū)為單位的方式，每個(gè)扇區(qū)被加密后作為塊文件數(shù)據(jù)區(qū)內(nèi)的一個(gè)數(shù)據(jù)塊存放在特定位置。當(dāng)讀某個(gè)文件時(shí)，只需要將該文件所占用的苦干磁盤扇區(qū)解密即可，不用解密整個(gè)磁盤，提高了系統(tǒng)的性能和安全性。為進(jìn)一步增強(qiáng)系統(tǒng)的安全性，采用CBC（Cipher Block Chaining）加密模式，以達(dá)到隱藏扇區(qū)數(shù)據(jù)結(jié)構(gòu)的目的。（2）加密引擎模塊化：）加密引擎模塊化：提供四種加密算法，設(shè)計(jì)成一種動(dòng)態(tài)可擴(kuò)展的實(shí)現(xiàn)方式。由算法管理模塊和加密算法兩

48、部分組成。算法管理模塊用來對(duì)已注冊(cè)的加密算法進(jìn)行調(diào)度、管理；加密算法模塊用來實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密操作，每個(gè)算法被 封裝成一個(gè)具體的統(tǒng)一接口的動(dòng)態(tài)加載模塊，在需要時(shí)由算法管理模塊動(dòng)態(tài)載入到內(nèi)核中。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.7安全加密文件系統(tǒng)安全加密文件系統(tǒng)4.SEFS關(guān)鍵技術(shù)的實(shí)現(xiàn)（3）交換分區(qū)的加密：）交換分區(qū)的加密：交換分區(qū)是操作系統(tǒng)用來暫時(shí)存放內(nèi)存中數(shù)據(jù)的一塊磁盤空間，將其存放到一個(gè)被加密的虛擬磁盤上，使可實(shí)現(xiàn)地交換分區(qū)的加密保密保護(hù)。首先創(chuàng)建一個(gè)指定大小的塊文件；然后將塊文件映射成一個(gè)加密的虛擬磁盤，并在虛擬磁盤上創(chuàng)建交換分區(qū)jb后用新創(chuàng)建的交換分區(qū)替換掉原來的交換分區(qū)即可。（4

49、）DAC的實(shí)施：的實(shí)施：ACL和其他關(guān)鍵信息如密鑰長(zhǎng)度、加密密鑰、算法類型等放在塊文件的頭部，對(duì)每個(gè)虛擬磁盤最多可以設(shè)置20個(gè)ACL條目，每個(gè)條目對(duì)應(yīng)一個(gè)用戶地該磁盤的訪問權(quán)限，ACL的第一個(gè)條目對(duì)應(yīng)的是屬主用戶，只有屬主用戶可以修改其他用戶的訪問權(quán)限。8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.8.客體重用客體重用機(jī)制機(jī)制在安勝V4.0系統(tǒng)中，涉及管體重用的動(dòng)態(tài)分配與管理的資源包括：n硬盤、軟盤、可擦寫光盤的物理盤塊空間n內(nèi)存頁面n高速緩存數(shù)據(jù)結(jié)構(gòu)8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.8.客體重用客體重用機(jī)制機(jī)制硬盤、軟盤、可擦寫光盤的物理盤塊空間：n刪除文件時(shí)，不是簡(jiǎn)單地在inode上標(biāo)識(shí)文件已

50、刪除，而是要進(jìn)一步將原來相應(yīng)磁盤塊上的內(nèi)容清除，比如全寫成0或亂碼。n刪除文件時(shí)或目錄時(shí)，文件或目錄 在Inode內(nèi)容也不是簡(jiǎn)單地ino項(xiàng)清0，而要將目錄面的文件名、Inode結(jié)構(gòu)中的訪問授權(quán)項(xiàng)以及其它重要信息，包括擴(kuò)充的敏感信息項(xiàng)比如安全級(jí)、完整級(jí)、權(quán)能等也要清0或?qū)懭雭y碼n用專門的命令wipe來完成n擴(kuò)充rm的一個(gè)功能選項(xiàng) ：rs-s file將調(diào)用wipe命令完成安全刪除文件n文件Inode結(jié)構(gòu)中訪問授權(quán)項(xiàng)以及其它重要屬性信息的清除則在核心層透明實(shí)現(xiàn)n在有圖形界面的系統(tǒng)上，將設(shè)置明顯標(biāo)志，將安全刪除文件進(jìn)一步提成為碎紙機(jī)的概念8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.8.客體重用客體重用機(jī)制

51、機(jī)制物理內(nèi)存頁面的管體重用實(shí)現(xiàn)：n內(nèi)存物理頁面：僅當(dāng)一個(gè)物理頁面不再被映射使用，即釋放時(shí)才清除其上現(xiàn)有信息n盤上物理頁面：對(duì)于交換設(shè)備的每個(gè)物理頁面，在內(nèi)存中有一個(gè)相應(yīng)的數(shù)據(jù)結(jié)構(gòu)，實(shí)際上只是一個(gè)計(jì)數(shù)，表示該頁面是否已被分配使用，以及有幾個(gè)用戶在共享這個(gè)頁面。在釋放該交換分區(qū)之前，將區(qū)間的內(nèi)容“重寫一遍0”，清除其殘留信息。n外設(shè)物理頁面：不易進(jìn)行客體重用安全策略處理8.4 安全操作設(shè)計(jì)和實(shí)現(xiàn)案例8.4.8.客體重用客體重用機(jī)制機(jī)制高速緩存數(shù)據(jù)結(jié)構(gòu)客體重用的實(shí)現(xiàn)：n安勝需要對(duì)以下客體所對(duì)應(yīng)的高速緩存數(shù)據(jù)結(jié)構(gòu)中的內(nèi)容，在分配或釋放時(shí)清除其現(xiàn)有信息：l文件內(nèi)存Inode結(jié)點(diǎn)lTASK結(jié)構(gòu)、PROC結(jié)

52、構(gòu)lIPClSOCK|ETl主體客體安全屬性緩存8.5 注意的問題w 8.5.1 TCB的設(shè)計(jì)與實(shí)現(xiàn)的設(shè)計(jì)與實(shí)現(xiàn)n配置管理配置管理n分發(fā)和操作分發(fā)和操作n開發(fā)開發(fā)n指導(dǎo)性文檔指導(dǎo)性文檔n生命周期支持生命周期支持n測(cè)試測(cè)試 n脆弱性評(píng)定脆弱性評(píng)定8.5 注意的問題w 8.5.2 安全機(jī)制的友好性安全機(jī)制的友好性n安全不應(yīng)影響遵守規(guī)則的用戶安全不應(yīng)影響遵守規(guī)則的用戶n便于用戶的授權(quán)存取便于用戶的授權(quán)存取n便于用戶控制存取便于用戶控制存取對(duì)于大多數(shù)用戶及他們所做的工作一說，安全性應(yīng)該是透明的8.5 注意的問題w 8.5.3 效率和兼容性考慮效率和兼容性考慮在保證安全性的前提下，考慮兼容性，最后考慮效

53、率。在不違備該原則的前提下，將在三者之間做出平衡2021-10-1464習(xí)題w 安全操作系統(tǒng)的設(shè)計(jì)原則是什么？w 開發(fā)安全操作系統(tǒng)的方法有哪些？各自優(yōu)缺點(diǎn)及適用的場(chǎng)合？w Linux安全模塊LSM是什么？w SELlinux體系結(jié)構(gòu)？第9章 安全操作系統(tǒng)應(yīng)用 第一部分 教學(xué)組織w 一、目的要求一、目的要求w 1.了解目前安全操作系統(tǒng)以及WWW安全服務(wù)。w 2.掌握防火墻系統(tǒng)的安全技術(shù)及保護(hù)機(jī)制。w 二、工具器材二、工具器材w 1.具有WWW服務(wù)的服務(wù)器。w 2.防火墻系統(tǒng)。第二部分 教學(xué)內(nèi)容w 迄今為止，整個(gè)國(guó)際上安全操作系統(tǒng)的實(shí)際應(yīng)用并不成功。在實(shí)際應(yīng)用中發(fā)揮作用的操作系統(tǒng)絕大部分不是安全操

54、作系統(tǒng)。有專家認(rèn)為，安全操作系統(tǒng)在商業(yè)和民用領(lǐng)域的不成功，主要是因?yàn)榘踩僮飨到y(tǒng)缺少靈活性和兼容性，降低了系統(tǒng)性能和效率，應(yīng)發(fā)展專用安全操作系統(tǒng)。w 當(dāng)前安全操作系統(tǒng)不成功的本質(zhì)原因是安全操作系統(tǒng)存在諸多不完善的地方，如對(duì)多安全政策的支持；對(duì)動(dòng)態(tài)多安全政策的支持，包括政策切換、權(quán)限撤銷等方面；對(duì)環(huán)境適應(yīng)性的支持等。本章主要介紹安全操作系統(tǒng)的兩個(gè)應(yīng)用,即WWW安全和防火墻系統(tǒng)安全。9.1 操作系統(tǒng)安全與www安全9.1.1 WWW概述概述p WWW(World Wide Web)是建立在Internet上的一種網(wǎng)絡(luò)服務(wù)。它遵循HTTP協(xié)議，缺省端口是80。WWW所依存的超文本（Hyper-tex

55、t）數(shù)據(jù)結(jié)構(gòu)，采用超文本和多媒體技術(shù)，將不同的文件通過關(guān)鍵字進(jìn)行鏈接。 p HTTP是一個(gè)屬于應(yīng)用層面向?qū)ο蟮膮f(xié)議，由于其簡(jiǎn)捷、快速的方式，適用于分布式超媒體信息系統(tǒng)。一個(gè)完整的HTTP協(xié)議會(huì)話過程包括四個(gè)步驟：連接；請(qǐng)求；應(yīng)答；關(guān)閉連接。9.1.1 WWW概述概述w 1HTTP協(xié)議的命令n（1）GET命令n請(qǐng)求獲取Request-URI所標(biāo)識(shí)的資源，使用GET命令檢索服務(wù)器上的資源時(shí)需要指定URL，協(xié)議版本號(hào)等信息。此命令相對(duì)簡(jiǎn)單。n 例如:GET /form.html HTTP/1.1w （2）POST 命令 w 在Request-URI所標(biāo)識(shí)的資源后附加新的數(shù)據(jù)。POST方法要求被請(qǐng)求服

56、務(wù)器接受附在請(qǐng)求后面的數(shù)據(jù)，常用于提交表單。w eg：POST /reg.jsp HTTP/ w Accept:image/gif,image/x-xbit,. w .w HOST: w Content-Length:22 w Connection:Keep-Alive w Cache-Control:no-cache w (CRLF) /該CRLF表示消息報(bào)頭已經(jīng)結(jié)束，在此之前為消息報(bào)頭w user=jeffrey&pwd=1234 /此行以下為提交的數(shù)據(jù)w （3）HEAD命令w 如果我們只對(duì)關(guān)于網(wǎng)頁或資源的信息感興趣，而不想檢索資源本身的全部?jī)?nèi)容，可以使用HEAD命令。HEAD的使用方法與

57、GET正好相同，只是它不返回Web頁的正文內(nèi)容。當(dāng)一個(gè)Web頁的內(nèi)容被更新時(shí)，可以使用這個(gè)命令通知你。它也可以使瀏覽器作出有關(guān)是否根據(jù)其大小下載網(wǎng)頁的決定。 w HEAD方法與GET方法幾乎是一樣的，對(duì)于HEAD請(qǐng)求的回應(yīng)部分來說，它的HTTP頭部中包含的信息與通過GET請(qǐng)求所得到的信息是相同的。利用這個(gè)方法，不必傳輸整個(gè)資源內(nèi)容，就可以得到Request-URI所標(biāo)識(shí)的資源的信息。該方法常用于測(cè)試超鏈接的有效性，是否可以訪問，以及最近是否更新。 w （4）PUT命令w PUT是另一個(gè)常用的HTTP命令，HTTP協(xié)議文件上傳的標(biāo)準(zhǔn)方法是使用PUT命令。它允許從客戶端到服務(wù)器的簡(jiǎn)單文件傳輸，常用

58、于HTML編譯器，如Netscape的Composer和HotDog實(shí)用程序。PUT命令和POST命令的區(qū)別在于兩個(gè)命令的使用方式不同，PUT命令帶有一個(gè)參數(shù)，這個(gè)參數(shù)作為目的URI，類似于POST命令的參數(shù)。但是，PUT命令請(qǐng)求服務(wù)器將數(shù)據(jù)放在URI，而POST命令請(qǐng)求服務(wù)器將數(shù)據(jù)發(fā)給URI。w （5）DELETE命令w Delete方法就是通過http請(qǐng)求刪除指定的URL上的資源，Delete請(qǐng)求一般會(huì)返回3種狀態(tài)碼：200 (OK) - 刪除成功，同時(shí)返回已經(jīng)刪除的資源 ；202 (Accepted) - 刪除請(qǐng)求已經(jīng)接受，但沒有被立即執(zhí)行（資源也許已經(jīng)被轉(zhuǎn)移到了待刪除區(qū)域）；204 (

59、No Content) - 刪除請(qǐng)求已經(jīng)被執(zhí)行，但是沒有返回資源（也許是請(qǐng)求刪除不存在的資源造成的）。Web站點(diǎn)管理應(yīng)用程序常常使用DELETE命令和PUT命令管理服務(wù)器上的文件。w （6）OPTIONS命令w OPTIONS命令請(qǐng)求服務(wù)器描述“命令-URI”指定資源的特點(diǎn)。OPTIONS命令格式類似于其他HTTP命令。eg:OPTIONS / HTTP/1.1 (CRLF)w （7）TRACE命令w TRACE命令類似于PING命令，提供路由器到目的地址的每一跳的信息。它通過控制IP報(bào)文的生存期(TTL)字段來實(shí)現(xiàn)。TTL等于1的ICMP回應(yīng)請(qǐng)求報(bào)文將被首先發(fā)送。路徑上的第一個(gè)路由器將會(huì)丟棄

60、該報(bào)文并且發(fā)送回標(biāo)識(shí)錯(cuò)誤消息的報(bào)文。錯(cuò)誤消息通常是ICMP超時(shí)消息，表明報(bào)文順利到達(dá)路徑的下一跳，或者端口不可達(dá)消息，表明報(bào)文已經(jīng)被目的地址接收但是不能向上傳送到IP協(xié)議棧。w 2. 目前流行的WWW服務(wù)器w 目前流行WWW服務(wù)器的三大主流為Apache Group公司的Apache Web Server服務(wù)器（阿帕奇），簡(jiǎn)稱為Apache；基于Windows NT系統(tǒng)的微軟公司的Internet Information Server服務(wù)器，簡(jiǎn)稱為IIS；Netscape公司的Netscape Enterprise Server服務(wù)器，簡(jiǎn)稱Netscape。 w （1）Apache服務(wù)器w A