SELinux策略的等級(jí)信息

SELinux策略的等級(jí)信息分析張謙2010.4.14Roadmap背景虛擬機(jī)系統(tǒng)策略分析針對(duì)SELinux策略的等級(jí)信息分析方法新想法討論：實(shí)時(shí)策略分析背景安全互操作與全局訪問(wèn)控制L.GongandX.Qian.Computationalissuesinsecureinteroperation.IEEETransactionsSoftwareEngineering.Vol.22,No.1,pp.43-52(1996)背景（續(xù)）安全互操作與全局訪問(wèn)控制實(shí)現(xiàn)安全協(xié)作關(guān)鍵是訪問(wèn)控制策略的安全互操作，即融合各成員的本地策略而形成的全局訪問(wèn)控制策略所支持的成員間數(shù)據(jù)訪問(wèn)必須與相關(guān)單一成員中的訪問(wèn)控制策略一致安全互操作的兩個(gè)原則：自治性原則：在單一成員中被允許的訪問(wèn)必須被安全互操作所允許；安全性原則：某單一成員中不被允許的訪問(wèn)必須被安全互操作所拒絕。虛擬機(jī)系統(tǒng)策略分析文獻(xiàn)SandraRueda,HayawardhVijayakumar,TrentJaeger.AnalysisofVirtualMachineSystemPolicies.InProceedingsofthe14thACMsymposiumonAccesscontrolmodelsandtechnologies,P227-236,2009目標(biāo)：VMpolicies&VMMpolicy→VM-systempolicy？→安全目標(biāo)困難：特權(quán)VM的存在，導(dǎo)致實(shí)際信息流不完全由VMMpolicy控制策略的復(fù)雜性，規(guī)則過(guò)多，難于確定是否符合安全目標(biāo)各部分策略是獨(dú)立開(kāi)發(fā)的，缺乏整體規(guī)劃虛擬機(jī)系統(tǒng)策略分析（續(xù)）方法簡(jiǎn)單的想法將VMMpolicy和VMpolicies構(gòu)建一個(gè)統(tǒng)一的信息流圖，可以解決第一個(gè)困難然而這種方法會(huì)受限于第二個(gè)困難VM-system的特點(diǎn)不同層次的策略：VMMpolicy控制VMM資源，VMpolicy控制OS資源方法概述只關(guān)心虛擬機(jī)間通信相關(guān)策略（VMM策略和VM中互操作策略）構(gòu)建基于信息流的模型和相應(yīng)的信息流圖使用信息流圖分析策略是否滿足安全目標(biāo)虛擬機(jī)系統(tǒng)策略分析（續(xù)）問(wèn)題定義在VM-system中，VMM實(shí)施了多級(jí)安全策略，每個(gè)VM的MAC策略都可能包含一個(gè)安全級(jí)別范圍。建立一個(gè)基于信息流的分析方法來(lái)確定是否所有VM間信息流都符合安全需求虛擬機(jī)系統(tǒng)策略分析（續(xù)）VM-system策略模型基礎(chǔ)假設(shè)VM-system中的vmi具有(1)一個(gè)label和(2)一個(gè)局部的MAC策略這個(gè)label是一個(gè)完整性或機(jī)密性區(qū)間定義1VMs的完整性/機(jī)密性區(qū)間VM-system中的VMs都被分配了完整性/機(jī)密性區(qū)間integrity/confidentiality函數(shù)將VM映射到其完整性/機(jī)密性區(qū)間lint/hint函數(shù)分別返回區(qū)間的最低/最高完整性級(jí)別lconf/hconf函數(shù)分別返回區(qū)間的最低/最高機(jī)密性級(jí)別定義2第一類(lèi)信息流（默認(rèn)信息流）默認(rèn)信息流表現(xiàn)為VM間的只有VMM策略標(biāo)記的通信信道虛擬機(jī)系統(tǒng)策略分析（續(xù)）VM-system策略模型（續(xù)）定義3VM可見(jiàn)標(biāo)記VM可見(jiàn)標(biāo)記是由兩個(gè)不同VM上的應(yīng)用程序分配給互相通信用的信道的標(biāo)記，表示為vmi.l和vmj.l定義4第二類(lèi)信息流（VM可見(jiàn)信息流）VM可見(jiàn)信息流表現(xiàn)為不同虛擬機(jī)上的兩個(gè)應(yīng)用程序間使用相關(guān)VM可見(jiàn)標(biāo)記的通信信道定義5VM信息流圖G=(V,E)是VM信息流圖，其中V包含(1)VMM策略分配給VMs的標(biāo)記和(2)VM可見(jiàn)標(biāo)記E包含(1)VMM策略中允許的信息流和(2)VM可見(jiàn)標(biāo)記引起的信息流虛擬機(jī)系統(tǒng)策略分析（續(xù)）驗(yàn)證VM-system策略符合安全目標(biāo)的算法示例：一個(gè)VM-system中包含特權(quán)VM(dom0_t)，服務(wù)VM(doms_t)以及兩個(gè)用戶VM(domu_t和domv_t)。dom0_t擁有對(duì)所有VMM資源的訪問(wèn)權(quán)限，同時(shí)監(jiān)控所有VM對(duì)VMM資源的訪問(wèn)；doms_t運(yùn)行了一個(gè)服務(wù)，domu_t和domv_t使用這個(gè)服務(wù)，這個(gè)服務(wù)使用兩個(gè)信道進(jìn)行通信，其中domu_t使用c2_t的標(biāo)記，domv_t使用c1_t的標(biāo)記。虛擬機(jī)系統(tǒng)統(tǒng)策略分析析（續(xù)）驗(yàn)證VM-system策略符合安安全目標(biāo)的的算法（步步驟1）構(gòu)建信息流流圖V：VMM策略標(biāo)記+VM可見(jiàn)標(biāo)記E：Type1信息流+Type2信息流虛擬機(jī)系統(tǒng)統(tǒng)策略分析析（續(xù)）驗(yàn)證VM-system策略符合安安全目標(biāo)的的算法（步步驟2）定義安全目目標(biāo)定義安全目目標(biāo)信息流流圖定義安全目目標(biāo)中的安安全級(jí)別和和策略中標(biāo)標(biāo)記的映射射虛擬機(jī)系統(tǒng)統(tǒng)策略分析析（續(xù)）驗(yàn)證VM-system策略符合安安全目標(biāo)的的算法（步步驟3）驗(yàn)證VM信息流是否否符合規(guī)定定SAFE、UNSAFE、AMBIGUOUS虛擬機(jī)系統(tǒng)統(tǒng)策略分析析（續(xù)）驗(yàn)證VM-system策略符合安安全目標(biāo)的的算法（步步驟4）找出信息流流安全的VM只作為SAFE信息流的源源或目的節(jié)節(jié)點(diǎn)存在的的VM虛擬機(jī)系統(tǒng)統(tǒng)策略分析析（續(xù)）驗(yàn)證VM-system策略符合安安全目標(biāo)的的算法（步步驟5）消除歧義信信息流查看VM策略來(lái)確定定歧義信息息流的實(shí)際際等級(jí)示例中存在在兩類(lèi)歧義義信息流dom0_t→doms_t：由于dom0可信，相信信dom0不會(huì)泄密，，所以這類(lèi)類(lèi)信息流是是SAFE的doms_t→dom0_t：這類(lèi)信息息流是用于于申請(qǐng)VMM資源的，dom0中資源管理理的進(jìn)程標(biāo)標(biāo)記為priv，高于doms_t的標(biāo)記，所所以這類(lèi)信信息流也是是SAFE的虛擬機(jī)系統(tǒng)統(tǒng)策略分析析（續(xù)）驗(yàn)證VM-system策略符合安安全目標(biāo)的的算法（步步驟6）驗(yàn)證每個(gè)VM本身策略是是否符合規(guī)規(guī)定定理VM-system符合某個(gè)安安全需求，，當(dāng)所有VM間信息流符符合安全需需求所有VM內(nèi)信息流符符合安全需需求示例中domu_t、domv_t都是單一等等級(jí)，無(wú)需需驗(yàn)證dom0_t是可信的，，假設(shè)符合合安全需求求doms_t可以使用信信息流分析析工具分析析虛擬機(jī)系統(tǒng)統(tǒng)策略分析析（續(xù)）總結(jié)該方法首先先將VM策略的等級(jí)級(jí)和VMM策略的等級(jí)級(jí)映射到安安全目標(biāo)的的等級(jí)上，，然后分析析這種映射射是否滿足足安全目標(biāo)標(biāo)問(wèn)題基本假設(shè)VM-visible標(biāo)記VM策略可驗(yàn)證證針對(duì)環(huán)境單一物理平平臺(tái)的虛擬擬機(jī)針對(duì)SELinux策略的等等級(jí)信息分分析方法針對(duì)環(huán)境虛擬域環(huán)境境面對(duì)的威脅脅針對(duì)SELinux策略的等等級(jí)信息分分析方法（（續(xù)）問(wèn)題定位背景分析虛擬域環(huán)境境中實(shí)施整整體的多級(jí)級(jí)安全策略略不同物理平平臺(tái)的VMM無(wú)法直接獲獲得其它VM的策略信息息VM策略中不包包含明顯的的等級(jí)信息息問(wèn)題定位安全目標(biāo)？？機(jī)密性保保護(hù)/MLS策略VMM策略等級(jí)？？MLS策略VM策略等級(jí)？？需要提取VM策略的等級(jí)級(jí)信息需要驗(yàn)證等等級(jí)信息的的可信針對(duì)SELinux策略的等等級(jí)信息分分析方法（（續(xù)）提取VM策略的等級(jí)級(jí)信息安全策略分分類(lèi)基于格模型型的安全策策略MLS/Biba/LOMAC易于提取等等級(jí)信息基于訪問(wèn)控控制矩陣的的安全策略略TE/RBAC難于提取等等級(jí)信息，，使用SELinux策略為例提提出等級(jí)信信息分析方方法驗(yàn)證等級(jí)信信息的可信信使用可信agent提取等級(jí)信信息構(gòu)建遠(yuǎn)程證證明協(xié)議證證明agent和等級(jí)信息息的完整性性針對(duì)SELinux策略的等等級(jí)信息分分析方法（（續(xù)）方法初步設(shè)設(shè)計(jì)提取的等級(jí)級(jí)信息符合合BLP模型的簡(jiǎn)單單安全屬性性和*-安全屬性首先提取信信息流，分分析信息流流符合要求求的主客體體方法步驟：：針對(duì)SELinux策略的等等級(jí)信息分分析方法（（續(xù)）存在的問(wèn)題題及分析問(wèn)題：實(shí)際際提取時(shí)無(wú)無(wú)法提取出出多等級(jí)原因：實(shí)際際系統(tǒng)中信信息流不能能完全滿足足BLP模型安全屬屬性可信主體與與可信進(jìn)程程BLP模型中*-屬性限制過(guò)過(guò)嚴(yán)，將導(dǎo)導(dǎo)致無(wú)法根根據(jù)嚴(yán)格的的BLP模型來(lái)構(gòu)建建可用的安安全系統(tǒng)，，所以提出出可信主體體來(lái)超越*-屬性可信進(jìn)程作作為可信主主體的一種種實(shí)現(xiàn)方式式，具有以以下性質(zhì)：：安全相關(guān)性性可信性特權(quán)受控使使用完整性可用性正確性無(wú)干擾性針對(duì)SELinux策略的等等級(jí)信息分分析方法（（續(xù)）改進(jìn)的方法法設(shè)計(jì)針對(duì)SELinux策略的等等級(jí)信息分分析方法（（續(xù)）基于XSB的實(shí)現(xiàn)基本策略組組件如右圖圖基本規(guī)則定定義一致性consistent(T,R,U)授權(quán)關(guān)系auth(C,P,T1,R1,U1,T2,R2,U2)直接信息流流flow_trans(T1,R1,U1,T2,R2,U2)信息流transitive_flow(T1,R1,U1,T2,R2,U2)針對(duì)SELinux策略的等等級(jí)信息分分析方法（（續(xù)）基于XSB的實(shí)現(xiàn)（續(xù)續(xù)）新增規(guī)則定定義不含可信進(jìn)進(jìn)程的信息息流infoflow_without_TP(T1,R1,U1,T2,R2,U2)是一個(gè)不流流經(jīng)可信進(jìn)進(jìn)程的信息息流，若(1)存在flow_trans(T1,R1,U1,_,_,T2,R2,U2)，且不存在在tp(T1)和tp(T2)；或者(2)存在flow_trans(T3,R3,U3,_,_,T2,R2,U2)和infoflow_without_TP(T1,R1,U1,_,_,T3,R3,U3)，且不存在在tp(T2)。針對(duì)SELinux策略的等等級(jí)信息分分析方法（（續(xù)）基于XSB的實(shí)現(xiàn)（續(xù)續(xù)）新增規(guī)則定定義（續(xù)））同等級(jí)標(biāo)記記型T1和T2在同一個(gè)等等級(jí)上，表表示為equal(T1,T2)，若存在infoflow_without_TP(T1,_,_,T2,_,_)和infoflow_without_TP(T2,_,_,T1,_,_)。偏序等級(jí)型T1比型T2的等級(jí)高，，表示為higher(T1,T2)，若存在infoflow_without_TP(T2,_,_,T1,_,_)卻不存在infoflow_without_TP(T1,_,_,T2,_,_)。針對(duì)SELinux策略的等等級(jí)信息分分析方法（（續(xù)）基于XSB的實(shí)現(xiàn)（續(xù)續(xù)）新增規(guī)則定定義（續(xù)））同等級(jí)標(biāo)記記集合T2在等級(jí)m的集合內(nèi)，，若存在equal(T1,T2)或equal(T2,T1)且T1在等級(jí)m的集合內(nèi)。。針對(duì)SELinux策略的等等級(jí)信息分分析方法（（續(xù)）基于XSB的實(shí)現(xiàn)（續(xù)續(xù)）新增規(guī)則定定義（續(xù)））提取所有等等級(jí)標(biāo)記集集合針對(duì)SELinux策略的等等級(jí)信息分分析方法（（續(xù)）基于XSB的實(shí)現(xiàn)（續(xù)續(xù)）新增規(guī)則定定義（續(xù)））將等級(jí)標(biāo)記記集合排序序首先定義level_finish(m,S)表示S集合是level(m)等級(jí)中所有有標(biāo)記的集集合。然后后將所有的的等級(jí)標(biāo)記記集合作為為元素建立立一個(gè)新的的集合level_set()。最后按照照前面改進(jìn)進(jìn)算法的第第4步將等級(jí)標(biāo)標(biāo)記集合排排序。針對(duì)SELinux策略的等等級(jí)信息分分析方法（（續(xù)）驗(yàn)證等級(jí)信信息的可信信構(gòu)建可信agent使用改寫(xiě)過(guò)過(guò)的SELinux策略載入命命令充當(dāng)提提取等級(jí)信信息的代碼碼模塊，該該命令在載載入SELinux策略的過(guò)程程中同時(shí)進(jìn)進(jìn)行等級(jí)信信息的提取取。構(gòu)建舉證信信息針對(duì)SELinux策略的等等級(jí)信息分分析方法（（續(xù)）驗(yàn)證等級(jí)信信息的可信信（續(xù)）遠(yuǎn)程證明協(xié)協(xié)議新想法討論論：實(shí)時(shí)策策略分析觸發(fā)動(dòng)機(jī)之前的策略略分析方法法都是針對(duì)對(duì)整體策略略進(jìn)行分析析整體策略包包含內(nèi)容過(guò)過(guò)多難以提取策策略的內(nèi)容容難以符合某某個(gè)安全目目標(biāo)類(lèi)比可執(zhí)行行文件安全全性分析專(zhuān)用操作系系統(tǒng)保證系系統(tǒng)中全部部的可執(zhí)行行程序都是是可信的，，不通用，，難于實(shí)現(xiàn)現(xiàn)。可信計(jì)算的的度量驗(yàn)證證機(jī)制只關(guān)關(guān)心已運(yùn)行行的程序是是否可信，，減少驗(yàn)證證對(duì)象，更更通用更易易于實(shí)現(xiàn)新想法討論論：實(shí)時(shí)策策略分析（（續(xù)）實(shí)時(shí)策略分分析想法只針對(duì)當(dāng)前前時(shí)刻實(shí)際際有效策略略進(jìn)行安全全目標(biāo)的分分析當(dāng)前時(shí)刻實(shí)實(shí)際有效策策略每個(gè)應(yīng)用程程序?qū)?yīng)一一部分策略略某一時(shí)刻只只有部分的的應(yīng)用程序序在運(yùn)行所以，當(dāng)前前時(shí)刻只有有和這些應(yīng)應(yīng)用程序相相關(guān)的策略略是有效的的策略提取每個(gè)應(yīng)用程程序?qū)?yīng)直直接策略為為一張信息息流圖所有應(yīng)用程程序的信息息流圖連接接起來(lái)構(gòu)成成全策略的的信息流圖圖提取當(dāng)前運(yùn)運(yùn)行程序的的信息流圖圖鏈接起來(lái)來(lái)構(gòu)成當(dāng)前前有效策略略信息流圖圖策略分析圖分析方法法邏輯編程語(yǔ)語(yǔ)言分析方方法新想法討論論：實(shí)時(shí)策策略分析（（續(xù)）討論方法正確性性？應(yīng)用場(chǎng)景？？提取的信息息流圖是否否要包含已已關(guān)閉程序序的信息流流圖？That’’sall,thanks9、靜靜夜夜四四無(wú)無(wú)鄰鄰，，荒荒居居舊舊業(yè)業(yè)貧貧。。。。1月月-231月月-23Wednesday,January4,202310、雨雨中中黃黃葉葉樹(shù)樹(shù)，，燈燈下下白白頭頭人人。。。。22:57:2422:57:2422:571/4/202310:57:24PM11、以我我獨(dú)沈沈久，，愧君君相見(jiàn)見(jiàn)頻。。。1月-2322:57:2422:57Jan-2304-Jan-2312、故人江江海別，，幾度隔隔山川。。。22:57:2422:57:2422:57Wednesday,January4,202313、乍見(jiàn)翻翻疑夢(mèng)，，相悲各各問(wèn)年。。。1月-231月-2322:57:2422:57:24January4,202314、他鄉(xiāng)鄉(xiāng)生白白發(fā)，，舊國(guó)國(guó)見(jiàn)青青山。。。04一一月月202310:57:24下下午午22:57:241月-2315、比不了了得就不不比，得得不到的的就不要要。。。。一月2310:57下下午1月-2322:57January4,202316、行動(dòng)出成成果，工作作出財(cái)富。。。2023/1/422:57:2422:57:2404January202317、做做前前，，能能夠夠環(huán)環(huán)視視四四周周；；做做時(shí)時(shí)，，你你只只能能或或者者最最好好沿沿著著以以腳腳為為起起點(diǎn)點(diǎn)的的射射線線向向前前。。。。10:57:24下下午午10:57下下午午22:57:241月月-239、沒(méi)有有失敗敗，只只有暫暫時(shí)停停止成成功！！。1月-231月-23Wednesday,January4,202310、很多事情情努力了未未必有結(jié)果果，但是不不努力卻什什么改變也也沒(méi)有。。。22:57:2522:57:2522:571/4/202310:57:25PM11、成功就是日日復(fù)一日那一一點(diǎn)點(diǎn)小小努努力的積累。。。1月-2322:57:2522:57Jan-2304-Jan-2312、世間成事，，不求其絕對(duì)對(duì)圓滿，留一一份不足，可可得無(wú)限完美美。。22:57:2522:57:2522:57Wednesday,January4,202313、不不知知香香積積寺寺，，數(shù)數(shù)里里入入云云峰峰。。。。1月月-231月月-2322:57:2522:57:25January4,202314、意志堅(jiān)堅(jiān)強(qiáng)的人人能把世世界放在在手中像像泥塊一一樣任意意揉捏。。04一一月202310:57:25下下午22:57:251月-2315、楚塞三湘湘接，荊門(mén)門(mén)九派通。。。。一月2310:57下午1月-2322:57January4,202316、少少年年十十五五二二十十時(shí)時(shí)，，步步行行奪奪得得胡胡馬馬騎騎。。。。2023/1/422:57:2522:57:2504January202317、空山新雨后后，天氣晚來(lái)來(lái)秋。。10:57:25下午午10:57下下午22:57:251月-239、楊柳柳散和和風(fēng)，，青山山澹吾吾慮。。。1月-23