SELinux策略的等級信息教材

SELinux策略的等級信息分析張謙2010.4.14Roadmap背景虛擬機系統(tǒng)策略分析針對SELinux策略的等級信息分析方法新想法討論：實時策略分析背景安全互操作與全局訪問控制L.GongandX.Qian.Computationalissuesinsecureinteroperation.IEEETransactionsSoftwareEngineering.Vol.22,No.1,pp.43-52(1996)背景（續(xù)）安全互操作與全局訪問控制實現(xiàn)安全協(xié)作關(guān)鍵是訪問控制策略的安全互操作，即融合各成員的本地策略而形成的全局訪問控制策略所支持的成員間數(shù)據(jù)訪問必須與相關(guān)單一成員中的訪問控制策略一致安全互操作的兩個原則：自治性原則：在單一成員中被允許的訪問必須被安全互操作所允許；安全性原則：某單一成員中不被允許的訪問必須被安全互操作所拒絕。虛擬機系統(tǒng)策略分析文獻(xiàn)SandraRueda,HayawardhVijayakumar,TrentJaeger.AnalysisofVirtualMachineSystemPolicies.InProceedingsofthe14thACMsymposiumonAccesscontrolmodelsandtechnologies,P227-236,2009目標(biāo)：VMpolicies&VMMpolicy→VM-systempolicy？→安全目標(biāo)困難：特權(quán)VM的存在，導(dǎo)致實際信息流不完全由VMMpolicy控制策略的復(fù)雜性，規(guī)則過多，難于確定是否符合安全目標(biāo)各部分策略是獨立開發(fā)的，缺乏整體規(guī)劃虛擬機系統(tǒng)策略分析（續(xù)）方法簡單的想法將VMMpolicy和VMpolicies構(gòu)建一個統(tǒng)一的信息流圖，可以解決第一個困難然而這種方法會受限于第二個困難VM-system的特點不同層次的策略：VMMpolicy控制VMM資源，VMpolicy控制OS資源方法概述只關(guān)心虛擬機間通信相關(guān)策略（VMM策略和VM中互操作策略）構(gòu)建基于信息流的模型和相應(yīng)的信息流圖使用信息流圖分析策略是否滿足安全目標(biāo)虛擬機系統(tǒng)策略分析（續(xù)）問題定義在VM-system中，VMM實施了多級安全策略，每個VM的MAC策略都可能包含一個安全級別范圍。建立一個基于信息流的分析方法來確定是否所有VM間信息流都符合安全需求虛擬機系統(tǒng)策略分析（續(xù)）VM-system策略模型基礎(chǔ)假設(shè)VM-system中的vmi具有(1)一個label和(2)一個局部的MAC策略這個label是一個完整性或機密性區(qū)間定義1VMs的完整性/機密性區(qū)間VM-system中的VMs都被分配了完整性/機密性區(qū)間integrity/confidentiality函數(shù)將VM映射到其完整性/機密性區(qū)間lint/hint函數(shù)分別返回區(qū)間的最低/最高完整性級別lconf/hconf函數(shù)分別返回區(qū)間的最低/最高機密性級別定義2第一類信息流（默認(rèn)信息流）默認(rèn)信息流表現(xiàn)為VM間的只有VMM策略標(biāo)記的通信信道虛擬機系統(tǒng)策略分析（續(xù)）VM-system策略模型（續(xù)）定義3VM可見標(biāo)記VM可見標(biāo)記是由兩個不同VM上的應(yīng)用程序分配給互相通信用的信道的標(biāo)記，表示為vmi.l和vmj.l定義4第二類信息流（VM可見信息流）VM可見信息流表現(xiàn)為不同虛擬機上的兩個應(yīng)用程序間使用相關(guān)VM可見標(biāo)記的通信信道定義5VM信息流圖G=(V,E)是VM信息流圖，其中V包含(1)VMM策略分配給VMs的標(biāo)記和(2)VM可見標(biāo)記E包含(1)VMM策略中允許的信息流和(2)VM可見標(biāo)記引起的信息流虛擬機系統(tǒng)策略分析（續(xù)）驗證VM-system策略符合安全目標(biāo)的算法示例：一個VM-system中包含特權(quán)VM(dom0_t)，服務(wù)VM(doms_t)以及兩個用戶VM(domu_t和domv_t)。dom0_t擁有對所有VMM資源的訪問權(quán)限，同時監(jiān)控所有VM對VMM資源的訪問；doms_t運行了一個服務(wù)，domu_t和domv_t使用這個服務(wù)，這個服務(wù)使用兩個信道進(jìn)行通信，其中domu_t使用c2_t的標(biāo)記，domv_t使用c1_t的標(biāo)記。虛擬機系統(tǒng)策策略分析（續(xù)續(xù)）驗證VM-system策略符合安全全目標(biāo)的算法法（步驟1）構(gòu)建信息流圖圖V：VMM策略標(biāo)記+VM可見標(biāo)記E：Type1信息流+Type2信息流虛擬機系統(tǒng)策策略分析（續(xù)續(xù)）驗證VM-system策略符合安全全目標(biāo)的算法法（步驟2）定義安全目標(biāo)標(biāo)定義安全目標(biāo)標(biāo)信息流圖定義安全目標(biāo)標(biāo)中的安全級級別和策略中中標(biāo)記的映射射虛擬機系統(tǒng)策策略分析（續(xù)續(xù)）驗證VM-system策略符合安全全目標(biāo)的算法法（步驟3）驗證VM信息流是否符符合規(guī)定SAFE、UNSAFE、AMBIGUOUS虛擬機系統(tǒng)策策略分析（續(xù)續(xù)）驗證VM-system策略符合安全全目標(biāo)的算法法（步驟4）找出信息流安安全的VM只作為SAFE信息流的源或或目的節(jié)點存存在的VM虛擬機系統(tǒng)策策略分析（續(xù)續(xù)）驗證VM-system策略符合安全全目標(biāo)的算法法（步驟5）消除歧義信息息流查看VM策略來確定歧歧義信息流的的實際等級示例中存在兩兩類歧義信息息流dom0_t→doms_t：由于dom0可信，相信dom0不會泄密，所所以這類信息息流是SAFE的doms_t→dom0_t：這類信息流流是用于申請請VMM資源的，dom0中資源管理的的進(jìn)程標(biāo)記為為priv，高于doms_t的標(biāo)記，所以以這類信息流流也是SAFE的虛擬機系統(tǒng)策策略分析（續(xù)續(xù)）驗證VM-system策略符合安全全目標(biāo)的算法法（步驟6）驗證每個VM本身策略是否否符合規(guī)定定理VM-system符合某個安全全需求，當(dāng)所有VM間信息流符合合安全需求所有VM內(nèi)信息流符合合安全需求示例中domu_t、domv_t都是單一等級級，無需驗證證dom0_t是可信的，假假設(shè)符合安全全需求doms_t可以使用信息息流分析工具具分析虛擬機系統(tǒng)策策略分析（續(xù)續(xù)）總結(jié)該方法首先將將VM策略的等級和和VMM策略的等級映映射到安全目目標(biāo)的等級上上，然后分析析這種映射是是否滿足安全全目標(biāo)問題基本假設(shè)VM-visible標(biāo)記VM策略可驗證針對環(huán)境單一物理平臺臺的虛擬機針對SELinux策略的等級信信息分析方法法針對環(huán)境虛擬域環(huán)境面對的威脅針對SELinux策略的等級信信息分析方法法（續(xù)）問題定位背景分析虛擬域環(huán)境中中實施整體的的多級安全策策略不同物理平臺臺的VMM無法直接獲得得其它VM的策略信息VM策略中不包含含明顯的等級級信息問題定位安全目標(biāo)？機機密性保護(hù)/MLS策略VMM策略等級？MLS策略VM策略等級？需要提取VM策略的等級信信息需要驗證等級級信息的可信信針對SELinux策略的等級信信息分析方法法（續(xù)）提取VM策略的等級信信息安全策略分類類基于格模型的的安全策略MLS/Biba/LOMAC易于提取等級級信息基于訪問控制制矩陣的安全全策略TE/RBAC難于提取等級級信息，使用用SELinux策略為例提出出等級信息分分析方法驗證等級信息息的可信使用可信agent提取等級信息息構(gòu)建遠(yuǎn)程證明明協(xié)議證明agent和等級信息的的完整性針對SELinux策略的等級信信息分析方法法（續(xù)）方法初步設(shè)計計提取的等級信信息符合BLP模型的簡單安安全屬性和*-安全屬性首先提取信息息流，分析信信息流符合要要求的主客體體方法步驟：針對SELinux策略的等級信信息分析方法法（續(xù)）存在的問題及及分析問題：實際提提取時無法提提取出多等級級原因：實際系系統(tǒng)中信息流流不能完全滿滿足BLP模型安全屬性性可信主體與可可信進(jìn)程BLP模型中*-屬性限制過嚴(yán)嚴(yán)，將導(dǎo)致無無法根據(jù)嚴(yán)格格的BLP模型來構(gòu)建可可用的安全系系統(tǒng)，所以提提出可信主體體來超越*-屬性可信進(jìn)程作為為可信主體的的一種實現(xiàn)方方式，具有以以下性質(zhì)：安全相關(guān)性可信性特權(quán)受控使用用完整性可用性正確性無干擾性針對SELinux策略的等級信信息分析方法法（續(xù)）改進(jìn)的方法設(shè)設(shè)計針對SELinux策略的等級信信息分析方法法（續(xù)）基于XSB的實現(xiàn)基本策略組件件如右圖基本規(guī)則定義義一致性consistent(T,R,U)授權(quán)關(guān)系auth(C,P,T1,R1,U1,T2,R2,U2)直接信息流flow_trans(T1,R1,U1,T2,R2,U2)信息流transitive_flow(T1,R1,U1,T2,R2,U2)針對SELinux策略的等級信信息分析方法法（續(xù)）基于XSB的實現(xiàn)（續(xù)））新增規(guī)則定義義不含可信進(jìn)程程的信息流infoflow_without_TP(T1,R1,U1,T2,R2,U2)是一個不流經(jīng)經(jīng)可信進(jìn)程的的信息流，若若(1)存在flow_trans(T1,R1,U1,_,_,T2,R2,U2)，且不存在tp(T1)和tp(T2)；或者(2)存在flow_trans(T3,R3,U3,_,_,T2,R2,U2)和infoflow_without_TP(T1,R1,U1,_,_,T3,R3,U3)，且不存在tp(T2)。針對SELinux策略的等級信信息分析方法法（續(xù)）基于XSB的實現(xiàn)（續(xù)））新增規(guī)則定義義（續(xù)）同等級標(biāo)記型T1和T2在同一個等級級上，表示為為equal(T1,T2)，若存在infoflow_without_TP(T1,_,_,T2,_,_)和infoflow_without_TP(T2,_,_,T1,_,_)。偏序等級型T1比型T2的等級高，表表示為higher(T1,T2)，若存在infoflow_without_TP(T2,_,_,T1,_,_)卻不存在infoflow_without_TP(T1,_,_,T2,_,_)。針對SELinux策略的等級信信息分析方法法（續(xù)）基于XSB的實現(xiàn)（續(xù)））新增增規(guī)規(guī)則則定定義義（（續(xù)續(xù)））同等等級級標(biāo)標(biāo)記記集集合合T2在等等級級m的集集合合內(nèi)內(nèi)，，若若存存在在equal(T1,T2)或equal(T2,T1)且T1在等等級級m的集集合合內(nèi)內(nèi)。。針對對SELinux策略略的的等等級級信信息息分分析析方方法法（（續(xù)續(xù)））基于于XSB的實實現(xiàn)現(xiàn)（（續(xù)續(xù)））新增增規(guī)規(guī)則則定定義義（（續(xù)續(xù)））提取取所所有有等等級級標(biāo)標(biāo)記記集集合合針對對SELinux策略略的的等等級級信信息息分分析析方方法法（（續(xù)續(xù)））基于于XSB的實實現(xiàn)現(xiàn)（（續(xù)續(xù)））新增增規(guī)規(guī)則則定定義義（（續(xù)續(xù)））將等等級級標(biāo)標(biāo)記記集集合合排排序序首先先定定義義level_finish(m,S)表示示S集合合是是level(m)等級級中中所所有有標(biāo)標(biāo)記記的的集集合合。。然然后后將將所所有有的的等等級級標(biāo)標(biāo)記記集集合合作作為為元元素素建建立立一一個個新新的的集集合合level_set()。最最后后按按照照前前面面改改進(jìn)進(jìn)算算法法的的第第4步將將等等級級標(biāo)標(biāo)記記集集合合排排序序。。針對對SELinux策略略的的等等級級信信息息分分析析方方法法（（續(xù)續(xù)））驗證證等等級級信信息息的的可可信信構(gòu)建建可可信信agent使用用改改寫寫過過的的SELinux策略略載載入入命命令令充充當(dāng)當(dāng)提提取取等等級級信信息息的的代代碼碼模模塊塊，，該該命命令令在在載載入入SELinux策略略的的過過程程中中同同時時進(jìn)進(jìn)行行等等級級信信息息的的提提取取。。構(gòu)建建舉舉證證信信息息針對對SELinux策略略的的等等級級信信息息分分析析方方法法（（續(xù)續(xù)））驗證證等等級級信信息息的的可可信信（（續(xù)續(xù)））遠(yuǎn)程程證證明明協(xié)協(xié)議議新想想法法討討論論：：實實時時策策略略分分析析觸發(fā)發(fā)動動機機之前前的的策策略略分分析析方方法法都都是是針針對對整整體體策策略略進(jìn)進(jìn)行行分分析析整體體策策略略包包含含內(nèi)內(nèi)容容過過多多難以以提提取取策策略略的的內(nèi)內(nèi)容容難以以符符合合某某個個安安全全目目標(biāo)標(biāo)類比比可可執(zhí)執(zhí)行行文文件件安安全全性性分分析析專用用操操作作系系統(tǒng)統(tǒng)保保證證系系統(tǒng)統(tǒng)中中全全部部的的可可執(zhí)執(zhí)行行程程序序都都是是可可信信的的，，不不通通用用，，難難于于實實現(xiàn)現(xiàn)。。可信信計計算算的的度度量量驗驗證證機機制制只只關(guān)關(guān)心心已已運運行行的的程程序序是是否否可可信信，，減減少少驗驗證證對對象象，，更更通通用用更更易易于于實實現(xiàn)現(xiàn)新想想法法討討論論：：實實時時策策略略分分析析（（續(xù)續(xù)））實時時策策略略分分析析想想法法只針針對對當(dāng)當(dāng)前前時時刻刻實實際際有有效效策策略略進(jìn)進(jìn)行行安安全全目目標(biāo)標(biāo)的的分分析析當(dāng)前前時時刻刻實實際際有有效效策策略略每個個應(yīng)應(yīng)用用程程序序?qū)?yīng)應(yīng)一一部部分分策策略略某一一時時刻刻只只有有部部分分的的應(yīng)應(yīng)用用程程序序在在運運行行所以以，，當(dāng)當(dāng)前前時時刻刻只只有有和和這這些些應(yīng)應(yīng)用用程程序序相相關(guān)關(guān)的的策策略略是是有有效效的的策略略提提取取每個個應(yīng)應(yīng)用用程程序序?qū)?yīng)應(yīng)直直接接策策略略為為一一張張信信息息流流圖圖所有有應(yīng)應(yīng)用用程程序序的的信信息息流流圖圖連連接接起起來來構(gòu)構(gòu)成成全全策策略略的的信信息息流流圖圖提取取當(dāng)當(dāng)前前運運行行程程序序的的信信息息流流圖圖鏈鏈接接起起來來構(gòu)構(gòu)成成當(dāng)當(dāng)前前有有效效策策略略信信息息流流圖圖策略略分分析析圖分分析析方方法法邏輯輯編編程程語語言言分分析析方方法法新想想法法討討論論：：實實時時策策略略分分析析（（續(xù)續(xù)））討論論方法法正正確確性性？？應(yīng)用用場場景景？？提取取的的信信息息流流圖圖是是否否要要包包含含已已關(guān)關(guān)閉閉程程序序的的信信息息流流圖圖？？That’’sall,thanks9、靜夜四無無鄰，荒居居舊業(yè)貧。。。1月-231月-23Wednesday,January4,202310、雨中黃葉樹樹，燈下白頭頭人。。22:57:2722:57:2722:571/4/202310:57:27PM11、以我我獨沈沈久，，愧君君相見見頻。。。1月-2322:57:2722:57Jan-2304-Jan-2312、故故人人江江海海別別，，幾幾度度隔隔山山川川。。。。22:57:2722:57:2722:57Wednesday,January4,202313、乍見見翻疑疑夢，，相悲悲各問問年。。。1月-231月-2322:57:2722:57:27January4,202314、他鄉(xiāng)生白白發(fā)，舊國國見青山。。。04一月月202310:57:27下下午22:57:271月-2315、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。。一月月2310:57下下午午1月月-2322:57January4,202316、行動出成果果，工作出財財富。。2023/1/422:57:2722:57:2704January202317、做前前，能能夠環(huán)環(huán)視四四周；；做時時，你你只能能或者者最好好沿著著以腳腳為起起點的的射線線向前前。。。10:57:27下下午午10:57下下午22:57:271月-239、沒有失敗敗，只有暫暫時停止成成功！。1月-231月-23Wednesday,January4,202310、很多事情情努力了未未必有結(jié)果果，但是不不努力卻什什么改變也也沒有。。。22:57:2722:57:2722:571/4/202310:57:27PM11、成功就是日日復(fù)一日那一一點點小小努努力的積累。。。1月-2322:57:2722:57Jan-2304-Jan-2312、世間成事，，不求其絕對對圓滿，留一一份不足，可可得無限完美美。。22:57:2722:57:2722:57Wednesday,January4,202313、不不知知香香積積寺寺，，數(shù)數(shù)里里入入云云峰峰。。。。1月月-231月月-2322:57:2722:57:27January4,202314、意志志堅強強的人人能把把世界界放在在手中中像泥泥塊一一樣任任意揉揉捏。。04一一月月202310:57:27下下午午22:57:271月-2315、楚塞塞三湘湘接，，荊門門九派派通。。。。。一月2310:57下下午1月-2322:57January4,202316、少年十十五二十十時，步步行奪得得胡馬騎騎。。2023/1/422:57:2722:57:2704January202317、空山新雨雨后，天氣氣晚來秋。。。10:57:27下下午10:57下午22:57:271月-239、楊楊柳柳散散和和風(fēng)