《安全需求與安全策略》由會員分享，可在線閱讀，更多相關(guān)《安全需求與安全策略（65頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、2020年9月5日星期六,安全操作系統(tǒng)原理與技術(shù),安徽理工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 信息安全系張柱 講師,2020年9月5日星期六,2,第4章 安全需求與安全策略,學(xué)習(xí)內(nèi)容: 了解操作系統(tǒng)設(shè)計(jì)時的安全需求 了解安全策略語言和分類 掌握訪問控制策略、訪問支持策略等 本章重點(diǎn)： 訪問控制策略、范圍支持策略,2020年9月5日星期六,3,第4章 安全需求與安全策略(6課時) 4.1 安全需求,1.定義 所謂安全需求，就是在設(shè)計(jì)安全系統(tǒng)時期望得到的安全保障。 2.用戶對信息系統(tǒng)的安全需求主要包括： 機(jī)密性需求； 完整性需求； 可記賬性需求； 可用性需求。,2020年9月5日星期六,4,第4章 安全需求

2、與安全策略(6課時) 4.2 安全策略,所謂安全策略，就是針對面臨的威脅決定采用何種對策的方法。安全策略為針對威脅而選擇和實(shí)行對策提供了框架。 4.2.1 定義 在計(jì)算機(jī)領(lǐng)域，安全系統(tǒng)的安全就是指該系統(tǒng)達(dá)到了當(dāng)初設(shè)計(jì)時所制定的安全策略的要求。 計(jì)算機(jī)系統(tǒng)可以用一系列可以改變狀態(tài)的轉(zhuǎn)換函數(shù)組成的有限狀態(tài)自動機(jī)表示，則安全策略可以定義為這樣一種狀態(tài)：它將系統(tǒng)狀態(tài)分為已授權(quán)/安全的狀態(tài)和未授權(quán)/非安全的狀態(tài)。 在有限自動機(jī)下，一個安全系統(tǒng)是指“一個如果起始狀態(tài)為授權(quán)狀態(tài)，其后也不會進(jìn)入未授權(quán)狀態(tài)的系統(tǒng)”。,2020年9月5日星期六,5,第4章 安全需求與安全策略(6課時) 4.2.1 定義,如圖所示

3、，是一個不安全的系統(tǒng)，因?yàn)榇嬖趶腟1到S3的轉(zhuǎn)換過程，系統(tǒng)就可以從一個授權(quán)狀態(tài)進(jìn)入一個未授權(quán)的狀態(tài)。 在機(jī)密性方面，應(yīng)當(dāng)標(biāo)識出所有將信息泄漏給未經(jīng)授權(quán)者的狀態(tài)； 在完整性方面，安全策略應(yīng)當(dāng)標(biāo)識出可用來更改信息的授權(quán)途徑，同時也要標(biāo)識出能夠更改信息的被授權(quán)的實(shí)體； 在可用性方面，安全策略必須描述應(yīng)提供什么樣的服務(wù)，安全策略應(yīng)描述如何通過系統(tǒng)提供的參數(shù)來獲得相應(yīng)的服務(wù)并保證服務(wù)達(dá)到預(yù)先設(shè)計(jì)的質(zhì)量。,2020年9月5日星期六,6,第4章 安全需求與安全策略(6課時) 4.2 安全策略,4.2.2 策略語言 策略語言是用來表達(dá)安全性或完整性策略的語言。高級策略語言使用抽象的方法表達(dá)策略對于實(shí)體的約束。

4、低級策略語言根據(jù)輸入或者調(diào)用選項(xiàng)來表達(dá)對系統(tǒng)中的程序約束。 1.高級策略語言 策略與實(shí)現(xiàn)無關(guān)，它描述對系統(tǒng)中實(shí)體或行為的約束。高級策略語言對策略的明確表達(dá)，這種精確度要求策略以數(shù)學(xué)的方法用公式來明確陳述。,2020年9月5日星期六,7,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,1)Pandey和Hashii開發(fā)了一種針對Java程序的高級策略約束語言，指定了對資源訪問的約束以及這些約束是如何繼承的。 該策略語言，將實(shí)體表達(dá)為類或方法。類是一些被實(shí)施特定的訪問約束的對象的集合；方法是調(diào)用操作的方法的集合。 當(dāng)主體s創(chuàng)建某個類c的一個實(shí)例，稱為實(shí)例化，記為“s-|c”。 當(dāng)主體s

5、1執(zhí)行了另一個主體s2，稱之為調(diào)用，記為“s1|s2”。 訪問約束形式如下： deny(s op x) when b op指“-|”或者“|”。s是一個主體，x另一個主體或類，b是一個布爾表達(dá)式。 約束表明：當(dāng)條件b為真時，主體s不能對x執(zhí)行操作。若省去表達(dá)式中的x，則說明禁止對所有實(shí)體進(jìn)行操作。,2020年9月5日星期六,8,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,“繼承”用了將各個訪問約束關(guān)聯(lián)起來。 如果類c1的父類c2定義了方法f，則c1就繼承了f。存在約束如下： deny(s-|c1.f) when b1 deny(s-|c2.f) when b2 由于子類會繼承父

6、類的約束，故b1和b2都約束了c1對f的調(diào)用。則隱含的約束是 deny(s-|c1.f) when b1b2 這種策略語言忽略了策略的具體實(shí)現(xiàn)。,2020年9月5日星期六,9,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,假設(shè)策略規(guī)定下載程序不能訪問Unix系統(tǒng)中的passwd文件。程序使用下面的類和方法訪問本地文件 class file public file(String name); public String getfilename(); public char read(); 則存在如下的約束 deny(|file.read) when (file.getfilenam

7、e()=“/etc/passwd”),2020年9月5日星期六,10,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,2)DTEL策略語言 DTEL語言是從Boebert和Kain的研究成果中發(fā)展出來的。它將類型限制為兩種：數(shù)據(jù)和指令。 DTEL語言根據(jù)語言的類型，將低級語言和高級語言的元素結(jié)合起來，在實(shí)現(xiàn)一級上進(jìn)行夠了來表達(dá)約束。 DTEL語言將每個客體與一個類型關(guān)聯(lián)，而每個主體以一個域相關(guān)聯(lián)，能夠限制域成員對某種類型的客體所能執(zhí)行的操作。,2020年9月5日星期六,11,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,DTEL將Unix系統(tǒng)分為四個相互隔離的主體域：

8、 user_d#普通用戶域 admin_d#管理員用戶域 login_d#兼容DTEL認(rèn)證過程的域 daemon_d#系統(tǒng)后臺守護(hù)進(jìn)程的域 login_d域中的登錄程序控制user_d和admin_d之間的訪問。系統(tǒng)從daemon_d域開始運(yùn)行。,2020年9月5日星期六,12,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,DTEL將Unix的客體分為五個客體型： sysbin_t#可執(zhí)行文件 readable_t#可讀文件 writable_t#可寫文件 dte_t#DTE數(shù)據(jù) generic_t#由用戶進(jìn)程產(chǎn)生的數(shù)據(jù) DTEL中定義客體型的語句如下： type readabl

9、e_t,writable_t,sysbin_t,dte_t,generic_t;,2020年9月5日星期六,13,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,以daemon_d域?yàn)槔?domain daemon_d=(/sbin/init),(crwd-writable_t), (rxd-readable_t), (rd-generic_t,dte_t,sysbin_t), (auto-login_d); 說明：當(dāng)init程序開始運(yùn)行時，首先在daemon_d域中啟動，它能夠創(chuàng)建(c)、讀取(r)、寫入(w)和搜索(d)writable_t型中的任何客體；也能夠讀取、搜索和執(zhí)

10、行(x)readable_t型中的任何客體；能夠讀取和搜索generic_t、sysbin_t和dte_t型中的任何客體。最后調(diào)用登錄程序，自動轉(zhuǎn)入login_d域中。,2020年9月5日星期六,14,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,策略要求只有管理員主體才可以寫系統(tǒng)中的可執(zhí)行文件。 domain admin_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh), (crwxd-generic_t), (rwxd-readable_t,writable_t,dte_t,sysbin_t), (sigtstp-daemon_d); 說明：

11、admin_d域中的主體只能創(chuàng)建在generic_t型中的客體，但可以讀、寫、執(zhí)行和搜索任何客體，另外admin_d域中的主體還能夠利用sigtstp信號將daemon_d域中執(zhí)行的進(jìn)程掛起。,2020年9月5日星期六,15,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,普通用戶域也必須受到類似的約束。 domain user_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh), (crwxd-generic_t), (rxd-sysbin_t), (rwd-writable_t) (rd-readable_t, dte_t); 說明：user_d

12、域中的主體(普通用戶)只能寫在writable_t型中的客體，只能運(yùn)行sysbin_t型中的客體，只能創(chuàng)建generic_t型中的客體，但能讀、搜索所有型的客體。,2020年9月5日星期六,16,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,登錄域(login_d)控制對用戶域(user_d)和管理域(admin_d)的訪問。這種控制是登錄域的唯一功能。對于登錄域的訪問嚴(yán)格地受到login程序的限制。 domain login_d=(/usr/bin/login), (crwd-writable_t), (rd-readable_t,generic_t,dte_t), setau

13、th, (exec-user_d,admin_d); 說明：login_d域中的主體不能執(zhí)行任何其他程序，登錄域同時也被授權(quán)更改用戶ID的權(quán)限。,2020年9月5日星期六,17,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,起初，系統(tǒng)在開始于daemon_d狀態(tài)，即 initial_domain=daemon_d; 系統(tǒng)使用一系列assign語句設(shè)置客體的初始型，如： assign -r generic_t /; assign -r writable_t /usr/var,/dev,/tmp; assign -r readable_t /etc; assign -r -s dte

14、_t /dte; assign -r -s sysbin_t /sbin,/bin,/usr/bin,/usr/sbin; 其中-r表示該型可以被遞歸應(yīng)用； -s表示該型與名稱綁定，如果客體被刪除，則新建的客體的型必須與刪除的客體相同。,2020年9月5日星期六,18,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,2.低級策略語言 低級策略語言是一系列命令的輸入或參數(shù)設(shè)置，用了設(shè)置或檢查系統(tǒng)中的約束。 例如，Linux窗口系統(tǒng)X11提供了一種對控制臺的訪問進(jìn)行控制的語言。該語言有命令xhosts和一種用了允許基于主機(jī)名的控衛(wèi)控制語法組成，如： xhosts+groucho -ch

15、ico,2020年9月5日星期六,19,第4章 安全需求與安全策略(6課時) 4.2 安全策略,4.2.3 安全策略的分類 基于信息應(yīng)用的場合，將安全策略分為兩大類：軍事安全策略和商用安全策略，前者側(cè)重信息的機(jī)密性要求，后者側(cè)重于信息的完整性。 1.基于應(yīng)用場合的分類 1)軍事安全策略 也稱為政府安全策略，是一種以提供信息機(jī)密性為主要目的的安全策略，但同時還涉及完整性、可記賬性以及可用性。 2)商業(yè)安全策略 以提供完整性為主要目的的安全策略，同時涉及機(jī)密性、可記賬性以及可用性。,2020年9月5日星期六,20,第4章 安全需求與安全策略(6課時) 4.2.3 安全策略的分類,Lipner指出商

16、業(yè)安全策略中需要注意五個方面： 用戶不能寫自己的程序，但能使用現(xiàn)有的產(chǎn)品程序和數(shù)據(jù)庫； 程序員可以在非產(chǎn)品的系統(tǒng)中開發(fā)和測試程序； 必須要有一個特殊處理，用了將程序從開發(fā)系統(tǒng)安裝到產(chǎn)品系統(tǒng)中； 方面3)中的特殊處理必須被控制和審計(jì)； 管理員和審計(jì)員能訪問系統(tǒng)狀態(tài)和系統(tǒng)日志。 這些要求體現(xiàn)出如下的操作原則： 職責(zé)分離原則； 功能分離原則； 審計(jì)原則。,2020年9月5日星期六,21,第4章 安全需求與安全策略(6課時) 4.2.3 安全策略的分類,2.基于安全策略內(nèi)涵的分類 訪問控制策略：基于安全策略內(nèi)涵中的機(jī)密性和完整性要求； 訪問支持策略：基于安全策略內(nèi)涵中的可記賬性和可用性要求。,2020

17、年9月5日星期六,22,第4章 安全需求與安全策略(6課時) 4.3 訪問控制策略,在信息系統(tǒng)中與訪問控制策略相關(guān)的因素有三大類：主體、客體以及相應(yīng)的可用作訪問控制的主客體屬性。 4.3.1 訪問控制屬性 1.主體 所謂主體，就是指系統(tǒng)內(nèi)行為的發(fā)起者，通常是指由用戶發(fā)起的進(jìn)程。對于系統(tǒng)中的用戶而言，可以分為如下幾類： 普通用戶(user)； 信息擁有者(owner)； 系統(tǒng)管理員(administrator),2020年9月5日星期六,23,第4章 安全需求與安全策略(6課時) 4.3.1 訪問控制屬性,2.客體 是指信息系統(tǒng)內(nèi)所有主體行為的直接承擔(dān)者?？煞譃槿缦聨最悾?一般客體； 設(shè)備客體；

18、 特殊客體 3.主、客體屬性 訪問控制策略還包括以下幾個因素： 主體的屬性； 客體的屬性； 系統(tǒng)的環(huán)境或上下文屬性。 每個系統(tǒng)必須選擇以上三類相關(guān)的屬性進(jìn)行訪問控制策略的決策。,2020年9月5日星期六,24,第4章 安全需求與安全策略(6課時) 4.3.1 訪問控制屬性,1)主體屬性(用戶特征) 是系統(tǒng)用來決定訪問控制的最常用因素。通常用戶的任何屬性都可以作為訪問控制的決策點(diǎn)，常用的用戶屬性有： 用戶ID/組ID； 用戶訪問許可級別； “需知”原則； 角色； 能力列表。,2020年9月5日星期六,25,第4章 安全需求與安全策略(6課時) 4.3.1 訪問控制屬性,2)客體屬性(客體特征)

19、客體特征屬性包括如下幾個方面： 敏感性標(biāo)簽； 訪問控制列表； 外部狀態(tài)； 數(shù)據(jù)內(nèi)容/上下文環(huán)境； 其他。,2020年9月5日星期六,26,第4章 安全需求與安全策略(6課時) 4.3 訪問控制策略,4.3.2 自主訪問控制策略 相對于強(qiáng)制訪問控制策略，自主訪問控制策略能夠提供一種更為精細(xì)的訪問控制粒度。 一般來說，自主訪問控制策略是基于系統(tǒng)內(nèi)用戶加上訪問授權(quán)(如能力列表CLs)或者客體的訪問屬性(如ACL)來決定該用戶是否具有相應(yīng)的權(quán)限訪問客體，也可以基于要訪問的信息內(nèi)容或是基于用戶在發(fā)出對信息訪問相應(yīng)請求時所充當(dāng)?shù)慕巧珌磉M(jìn)行訪問控制的。 在實(shí)際的計(jì)算機(jī)內(nèi)，自主訪問控制策略使用三元組(S,O,

20、A)表示。相對于強(qiáng)制訪問控制策略中的訪問模式只能是“讀”和“寫”，自主訪問控制策略的優(yōu)點(diǎn)還表現(xiàn)在其訪問模式設(shè)定非常靈活。 自主訪問控制策略的靈活性特征，使得它更適用于各種操作系統(tǒng)和應(yīng)用程序。,2020年9月5日星期六,27,第4章 安全需求與安全策略(6課時) 4.3.2 自主訪問控制策略,自主訪問控制策略的缺點(diǎn)：不能防范“特洛伊木馬”或某些形式的“惡意程序”。為此，在系統(tǒng)內(nèi)進(jìn)行自主訪問控制的同時，利用強(qiáng)制訪問控制策略加強(qiáng)系統(tǒng)的安全性就顯得非常重要。,2020年9月5日星期六,28,第4章 安全需求與安全策略(6課時) 4.3 訪問控制策略,4.3.3 強(qiáng)制訪問控制策略 強(qiáng)制訪問控制策略既可以

21、防止對信息的非授權(quán)篡改，也可以防止未授權(quán)的信息泄漏，在特定的強(qiáng)制訪問控制策略中，標(biāo)簽可以不同的形式來實(shí)現(xiàn)信息的完整性和機(jī)密性。 在強(qiáng)制訪問控制機(jī)制下，系統(tǒng)的每個用戶或主體被賦予一個訪問標(biāo)簽，以表示該主體對敏感客體的訪問許可級別；每個客體被賦予一個敏感性標(biāo)簽，用來表示該信息的敏感性級別；“引用監(jiān)視器”通過比較主、客體相應(yīng)的標(biāo)簽來決定是否授予主體對客體的訪問請求。 在強(qiáng)制訪問控制策略中，訪問三元組(S,O,A)與自主訪問控制相同，但訪問方式A只能取“讀”和“寫”。,2020年9月5日星期六,29,第4章 安全需求與安全策略(6課時) 4.3.3 強(qiáng)制訪問控制策略,強(qiáng)制訪問控制策略的顯著特征是“全局

22、性”和“永久性”，即在強(qiáng)制訪問控制策略中，無論何時何地，主、客體的標(biāo)簽是不會改變的。這一特征在多級安全體系中稱為“寧靜性原則”。 對于具體的訪問控制策略，如果同時具備“全局性”和“永久性”特征，其標(biāo)簽集合在數(shù)學(xué)上將形成“偏序關(guān)系”，即支持如下的三個基本特征： 反身性：xx； 反對稱性：xy且yx，則x=y； 傳遞性：xy且yz，則xz； 在訪問控制策略中,訪問標(biāo)簽集合中的元素之間的關(guān)系于上述三種特征中的任何一種不符合,強(qiáng)制訪問策略的兩大特征,即全局性和永久性必有一個要被破壞。,2020年9月5日星期六,30,第4章 安全需求與安全策略(6課時) 4.3.3 強(qiáng)制訪問控制策略,綜上所述，若一個訪

23、問控制策略使用的主客體訪問標(biāo)簽不滿足“偏序”關(guān)系，則此訪問控制策略不能稱為強(qiáng)制訪問控制策略，只能稱為自主訪問控制策略。 強(qiáng)制訪問控制策略和自主訪問控制策略在功能上的最大區(qū)別在于是否能夠防備“特洛伊木馬”或“惡意”程序的攻擊。 若一個系統(tǒng)內(nèi)存在兩種強(qiáng)制訪問控制策略，則該系統(tǒng)內(nèi)的主、客體必有兩類不同的訪問標(biāo)簽，每類標(biāo)簽于一個強(qiáng)制訪問控制策略對應(yīng)。,2020年9月5日星期六,31,第4章 安全需求與安全策略(6課時) 4.4 訪問支持策略,訪問支持策略用來保障訪問控制策略的正確實(shí)施提供可靠的“支持”，所有這些策略統(tǒng)稱為訪問支持策略。通常，這類安全策略是為了將系統(tǒng)中的用戶與訪問控制策略中的主體聯(lián)系起來

24、。 訪問支持策略包含多個方面，以TCSEC為例，它將系統(tǒng)的訪問支持策略分為六類： 標(biāo)識與鑒別； 可記賬性； 確切保證； 連續(xù)保護(hù)； 客體重用； 隱蔽信道處理。,2020年9月5日星期六,32,第4章 安全需求與安全策略(6課時) 4.4 訪問支持策略,4.4.1 標(biāo)識與鑒別 TCSEC的標(biāo)識與鑒別策略要求以一個身份來標(biāo)識用戶，并且此身份必須經(jīng)過系統(tǒng)的認(rèn)證與鑒別。 可以用作身份認(rèn)證的信息主要有： “用戶所知道的信息”-用戶名/口令機(jī)制； “用戶所擁有的信息”-智能卡機(jī)制等； “用戶是誰”-生物學(xué)特征。 1)基于第一類信息的最常見的實(shí)現(xiàn)形式是用戶口令機(jī)制。 基于口令形式的身份認(rèn)證機(jī)制，其有效性取決

25、于用戶口令的安全性。,2020年9月5日星期六,33,第4章 安全需求與安全策略(6課時) 4.4.1 標(biāo)識與鑒別,在美國國防部密碼管理指南中，提供了一套基于口令的用戶認(rèn)證機(jī)制，包括： 安全管理職責(zé)； 用戶職責(zé)； 技術(shù)因素。 2)基于第二類信息身份認(rèn)證，利用用戶所擁有的東西來作為對其身份的認(rèn)證。 3)基于第三類信息的身份認(rèn)證是依賴于用戶的生物學(xué)特征。,2020年9月5日星期六,34,第4章 安全需求與安全策略(6課時) 4.4 訪問支持策略,4.4.2 可記賬性 可記賬性，又稱為審計(jì)，它是現(xiàn)實(shí)生活中的復(fù)式簿記的數(shù)字化反映。對高度重視安全的地方極其重要。 TCSEC的可記賬性策略要求任何影響系統(tǒng)

26、安全性的行為都要被跟蹤并記錄下了，系統(tǒng)TCB必須擁有將用戶的ID與它被跟蹤、審計(jì)的行為聯(lián)系起來的能力。 TCSEC標(biāo)準(zhǔn)規(guī)定審計(jì)系統(tǒng)應(yīng)能夠記錄以下事件： 與標(biāo)識和鑒別機(jī)制相關(guān)的事件； 將客體導(dǎo)入用戶地址空間的操作； 對客體的刪除； 由系統(tǒng)管理員或安全管理員所執(zhí)行的所有操作，以及其他與安全相關(guān)的事件等。,2020年9月5日星期六,35,第4章 安全需求與安全策略(6課時) 4.4.2 可記賬性,對事件的審計(jì)記錄項(xiàng)至少應(yīng)包括事件發(fā)生的日期和時間、用戶ID、事件的類型、事件成功或失敗。對于B2級以上的系統(tǒng)，要求審計(jì)系統(tǒng)能夠記錄用來探測隱蔽存儲通道。 對于識別與鑒別機(jī)制相關(guān)事件的審計(jì)，審計(jì)記錄還應(yīng)包括請

27、求源； 對于將客體導(dǎo)入用戶地址空間的操作和刪除可以的操作，審計(jì)記錄應(yīng)包括客體的名稱以及客體的安全級別。 一個良好的審計(jì)系統(tǒng)能夠選擇需要記錄的審計(jì)事件是必備的功能。,2020年9月5日星期六,36,第4章 安全需求與安全策略(6課時) 4.4 訪問支持策略,4.4.3 確切保證 定義：是指系統(tǒng)事先制定的安全策略能夠得到正確的執(zhí)行，且系統(tǒng)保護(hù)相關(guān)的元素能夠真正精確可靠的實(shí)施安全策略的意圖。作為擴(kuò)展，“確切保證”必須確保系統(tǒng)的TCB嚴(yán)格按照事先設(shè)計(jì)的方式來運(yùn)行。 為了達(dá)到這些目標(biāo)，TCSEC規(guī)定了兩種類型的“確切保證”： 生命周期保證：安全系統(tǒng)開發(fā)企業(yè)從系統(tǒng)設(shè)計(jì)、開發(fā)和分發(fā)、安裝、維護(hù)各個環(huán)節(jié)所制定

28、的措施、目標(biāo)以及執(zhí)行的步驟。包括安全性測試、設(shè)計(jì)規(guī)范和驗(yàn)證等； 操作保證：主要針對用來保證系統(tǒng)在操作過程中安全策略不會被歪曲的功能特征和系統(tǒng)架構(gòu)。包括系統(tǒng)架構(gòu)、系統(tǒng)的完整性，隱蔽信道分析、可信實(shí)施管理以及可信恢復(fù)。,2020年9月5日星期六,37,第4章 安全需求與安全策略(6課時) 4.4 訪問支持策略,4.4.4 連續(xù)保護(hù) TCSEC的連續(xù)保護(hù)策略要求，可信機(jī)制的實(shí)施必須連續(xù)不斷地保護(hù)系統(tǒng)免遭篡改和非授權(quán)的改變。并且要求連續(xù)保護(hù)機(jī)制必須在計(jì)算機(jī)系統(tǒng)整個生命周期內(nèi)起作用。 4.4.5 客體重用 定義：重新分配給某些主體的介質(zhì)包含有一個或多個客體，為安全地重新分配這些資源的目的，這些資源在重新

29、分配給新主體時不能包含任何殘留信息。,2020年9月5日星期六,38,第4章 安全需求與安全策略(6課時) 4.4 訪問支持策略,4.4.6 隱蔽信道 TCSEC中定義為：可以被進(jìn)程利用，以違反系統(tǒng)安全策略的方式進(jìn)行非法傳輸信息的通信通道。包括兩類：存儲隱蔽信道和時間隱蔽信道。 存儲隱蔽信道，包括所有允許一個進(jìn)程直接或間接地寫存儲客體，而允許另一個客體對該客體進(jìn)行直接或間接的讀訪問的傳輸手段。 時間隱蔽信道，包括進(jìn)程通過調(diào)節(jié)自己對系統(tǒng)資源的使用向另一個進(jìn)程發(fā)送信號信息，后者通過觀察響應(yīng)時間的改變而進(jìn)行信息傳輸?shù)氖侄巍?2020年9月5日星期六,39,第4章 安全需求與安全策略(6課時) 4.5

30、 DTE策略,1991年Brien R.O.和Rogers C.提出了DTE訪問控制技術(shù)。它依據(jù)安全策略限制進(jìn)程進(jìn)行訪問，是TE策略的擴(kuò)展。 DTE使域和每個正在運(yùn)行的進(jìn)程相關(guān)聯(lián)，型和每個對象關(guān)聯(lián)。如果一個域不能以某種模式訪問某個型，則該域的進(jìn)程不能以該模式訪問那個型的對象。 當(dāng)進(jìn)程試圖訪問文件時，DTE Unix系統(tǒng)內(nèi)核在做標(biāo)準(zhǔn)Unix許可檢查之前，作DTE許可檢查。 一個域的進(jìn)程訪問一個型中的客體時，訪問模式包括：讀(r)、寫(w)、執(zhí)行(x)、目錄查找(d)、型創(chuàng)建(c)。 每個i節(jié)點(diǎn)包括三個指針，分別表示目錄或文件的型etype值、目錄下所有文件或子目錄的型，包括該目錄rtype值和目

31、錄下所有文件或子目錄的型，不包括該目錄utype值。,2020年9月5日星期六,40,第4章 安全需求與安全策略(6課時) 4.5 DTE策略,以下的規(guī)則決定一個文件的型： 設(shè)置文件的etype。如果存在一條規(guī)則將etype賦給一個文件，則就使用這條規(guī)則。如果不存在這樣一條規(guī)則，但存在一條規(guī)則將rtype賦給這個文件，則該文件的etype就與rtype一樣。如果也不存在，則該文件的型就由其父目錄的utype繼承得到。 設(shè)置文件的utype。如果存在規(guī)則將utype賦給一個文件，則就使用這條規(guī)則。如果不存在，但存在規(guī)則將rtype賦給該文件，則該文件的utype與rtype一樣。如果也不存在，則

32、文件的utype型由其父目錄的utype繼承得到。 設(shè)置文件的rtype。如果存在規(guī)則將rtype賦給一個文件，則就使用這條規(guī)則。如果不存在，則該文件的rtype為空。,2020年9月5日星期六,41,第4章 安全需求與安全策略(6課時) 4.5 DTE策略,當(dāng)一個域的入口點(diǎn)文件執(zhí)行時，有三類可能的域轉(zhuǎn)化： 自動轉(zhuǎn)化； 自愿轉(zhuǎn)換； 空的轉(zhuǎn)化。 DTE策略文件由四個部分組成： 列舉出所有的域和型； 給出所有域的詳細(xì)定義； 制定文件系統(tǒng)根及其缺省類型，還指定一個初始域。 列出型分配規(guī)則。 DTE使用友好的高級語言來指定策略。,2020年9月5日星期六,42,第4章 安全需求與安全策略(6課時) 4

33、.5 DTE策略,4.5.1 域的劃分 DTE把所有進(jìn)程劃分為7個域。 1.守護(hù)進(jìn)程域(daemon_d) 與系統(tǒng)守護(hù)進(jìn)程相關(guān)的域，包括init；初始域。 入口文件：/sbin/init 域daemon_d可以自動轉(zhuǎn)化到login_d和trusted_d。 域daemon_d中定義 (rxd-bin_t)，即允許域daemon_d中的進(jìn)程讀、執(zhí)行和搜索系統(tǒng)二進(jìn)制文件，但不能修改。 (rd-base_t,conf_t)，即允許守護(hù)進(jìn)程讀取，但不能修改基型文件和系統(tǒng)配置文件。其中conf_t型包括/etc下的所有文件；base_t包括系統(tǒng)根目錄下的所有未賦其它型的文件。,2020年9月5日星期六,

34、43,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,2.可信域(trusted_d) 與系統(tǒng)可信進(jìn)程(fsck,mount_mfs,syslogd)相關(guān)的域 入口文件：/sbin/fsck,mount_mfs;/usr/sbin/syslogd 當(dāng)daemon_d中的進(jìn)程調(diào)用域trusted_d的入口文件時，則域login_d自動轉(zhuǎn)化到域trusted_d。trusted_d域不再轉(zhuǎn)化到其他域。 trusted_d域中定義 (rwd-syslog_t,disk_t)，即域trusted_d可以讀、寫和查找型syslog_t和型disk_t。syslog_t型賦給系統(tǒng)審計(jì)日志文件(

35、/usr/var/log,/usr/var/run/syslog.pid,utmp)。型disk_t賦給了磁盤設(shè)備文件(/dev/rsd0a,rsd0b,rsd0g,rsd0h,sd0a,sd0b,sd0g,sd0h)。 (rd-base_t,conf_t)，即允許可信域中的守護(hù)進(jìn)程讀取但不能修改基型文件和系統(tǒng)配置文件。,2020年9月5日星期六,44,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,3.注冊域(login_d) 與DTE login相關(guān)的域 入口文件：/usr/bin/dtelogin 當(dāng)daemon_d中的進(jìn)程調(diào)用域login_d的入口文件時，域daemon_d

36、自動轉(zhuǎn)化到域login_d。 實(shí)際上，當(dāng)用戶域user_d、系統(tǒng)域system_d或管理域admin_d調(diào)用login_d域的入口文件時，都可自動轉(zhuǎn)化到login_d域，只有通過login_d域才能按要求轉(zhuǎn)化到user_d、system_d和admin_d，因此login_d是不可以繞過的。 只有一個二進(jìn)制文件可以允許在login_d域中，即dtelogin。,2020年9月5日星期六,45,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,login_d域中定義了： (rd-base_t,conf_t,secpolicy_t,syslog_t,secpolicy_log_t,cip

37、her_t)，即允許login程序讀取、搜索但不能修改基型文件、系統(tǒng)配置文件、安全策略文件、系統(tǒng)日志文件、密碼文件、安全策略日志文件。 secpolicy_t賦給/dte下的所有文件，cipher_t賦給目錄/etc下不包括本身的文件：master.passwd,spwd.db,pwd.db,passwd和其他與認(rèn)證相關(guān)的文件。 (w-usr_log_t)，即login程序可以寫訪問usr_log_t型文件。 usr_log_t型賦值給/usr/var/log下(不包括目錄本身)的兩個文件wtmp,lastlog,2020年9月5日星期六,46,第4章 安全需求與安全策略(6課時) 4.5.1

38、 域的劃分,對login程序的擴(kuò)展和增強(qiáng)可以通過如下方式： 注冊時，用戶提出角色和域要求。如果用戶被認(rèn)證通過所要求的角色，且域要求允許，login程序調(diào)用初始域中域角色、域相關(guān)的該用戶shell，從而按要求轉(zhuǎn)化到另一個域。 注意：普通用戶角色和進(jìn)入系統(tǒng)管理域admin_d的管理用戶角色都可以使用特權(quán)(調(diào)用/usr/bin/passwd)來修改自己的口令，而進(jìn)入管理域admin_d用戶角色則可以直接修改所有用戶口令。,2020年9月5日星期六,47,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,4.用戶域(user_d) 與普通用戶的會話相關(guān)的域。 入口文件：各種shell程序(/

39、bin/ash,bash,csh,sh,tcsh) 兩種方式可以進(jìn)入到域user_d： 注冊時，若用戶提出普通用戶角色要求并認(rèn)證通過，login程序?qū)⒄{(diào)用初始域中與普通用戶角色相關(guān)的用戶shell(域login_d特權(quán))，從而按所提出的要求轉(zhuǎn)化到域user_d； 若管理域admin_d中的管理員，提出轉(zhuǎn)化到用戶域user_d的請求，并調(diào)用域user_d的入口shell程序，則按要求從admin_d轉(zhuǎn)化到user_d。,2020年9月5日星期六,48,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,user_d域可以轉(zhuǎn)化到network_appli_d域和login_d域。user_

40、d中的某個進(jìn)程調(diào)用域network_appli_d的入口文件(ftp,telnet,http等網(wǎng)絡(luò)應(yīng)用相關(guān)的程序)，就自動轉(zhuǎn)化到network_appli_d域中；調(diào)用login_d域的入口文件，就可以自動轉(zhuǎn)化到login_d中。 user_d定義了： user_d域允許讀取和查找系統(tǒng)中的所有文件。不過，對這些文件的訪問還要受到普通Unix機(jī)制的額外限制。 (x-bin_t,base_t,user_t)，即user_d域可以執(zhí)行二進(jìn)制文件、基型文件和user_d域創(chuàng)建的文件。 user_t型賦值給/home的所有文件，包括目錄本身。 (crwxd-user_t)，其中“c”表示對于域user_

41、d中創(chuàng)建愛的對象，如果沒有被進(jìn)程指定型，則自動賦行user_t。,2020年9月5日星期六,49,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,域user_d里的進(jìn)程可以修改或創(chuàng)建型為writable_t(創(chuàng)建時明確指定型)的文件。 管理員用戶必須通過注冊域login_d注冊到管理域admin_d，才可以實(shí)現(xiàn)所有的管理功能，系統(tǒng)操作員也必須通過注冊域login_d注冊到系統(tǒng)操作域system_d才可實(shí)現(xiàn)所有特定的系統(tǒng)操作。,2020年9月5日星期六,50,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,5.系統(tǒng)操作用戶域(system_d) 與系統(tǒng)操作用戶的會話相關(guān)的

42、域。 入口文件：各種shell程序(/bin/ash,bash,csh,sh,tcsh) 若用戶提出管理用戶角色(系統(tǒng)管理員sysadmin、安全管理員secadmin、審計(jì)管理員audadmin或網(wǎng)絡(luò)管理員netadmin)要求并認(rèn)證通過，且要求進(jìn)入到系統(tǒng)域system_d，login程序?qū)⒄{(diào)用初始域中與該管理用戶角色，域system_d相關(guān)的用戶shell(域login_d特權(quán))，從而按所提出的要求轉(zhuǎn)化到域system_d。 可見，以上5個管理角色都進(jìn)入同一個域，即system_d中，但system_d域中每個系統(tǒng)用戶的訪問權(quán)限是該管理用戶角色特權(quán)和域system_d的權(quán)限交集。,2020

43、年9月5日星期六,51,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,system_d可轉(zhuǎn)化到域network_appli_d、login_d和daemon_d。當(dāng)system_d中某個進(jìn)程調(diào)用域network_appli_d的入口文件(ftp,telnet,http等網(wǎng)絡(luò)應(yīng)用相關(guān)的程序)，就自動轉(zhuǎn)化到network_appli_d域中；調(diào)用login_d域的入口文件，就可以自動轉(zhuǎn)化到login_d中；提出請求轉(zhuǎn)化到域daemon_d并執(zhí)行域daemon_d的入口程序/sbin/init，則進(jìn)入daemon_d。 system_d域允許讀取和查找系統(tǒng)中的所有型的文件。 syste

44、m_d域中的操作員不能做一些重要的系統(tǒng)修改，但能使修改生效。 system_d可以發(fā)送信號sigstp到域daemon_d，以重啟系統(tǒng)。,2020年9月5日星期六,52,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,6.管理域(admin_d) 與系統(tǒng)管理會話相關(guān)的域。 入口文件：各種shell程序(/bin/ash,bash,csh,sh,tcsh) 用戶注冊到系統(tǒng)時，若用戶提出管理用戶角色(系統(tǒng)管理員sysadmin、安全管理員secadmin、審計(jì)管理員audadmin或網(wǎng)絡(luò)管理員netadmin)要求并認(rèn)證通過，且要求進(jìn)入到管理域admin_d，login程序?qū)⒄{(diào)用初始域

45、中與該管理用戶角色相關(guān)的，該用戶shell(域login_d特權(quán))，從而按所提出的要求轉(zhuǎn)化到域admin_d。 可見，以上5個管理角色都進(jìn)入同一個域，即管理域admin_d中，但admin_d域中每個系統(tǒng)用戶的訪問權(quán)限是該管理用戶角色特權(quán)和域admin_d的權(quán)限交集。,2020年9月5日星期六,53,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,admin_d域可以轉(zhuǎn)化到network_appli_d域、login_d域和trusted_d域。當(dāng)admin_d的某個進(jìn)程調(diào)用域network_appli_d的入口文件(ftp,telnet,http等網(wǎng)絡(luò)應(yīng)用相關(guān)的程序)，就自動轉(zhuǎn)化

46、到network_appli_d域中；調(diào)用login_d域的入口文件，就可以自動轉(zhuǎn)化到login_d中；提出請求轉(zhuǎn)化到域trusted_d并執(zhí)行域trusted_d的入口程序(/sbin/fsck、/usr/sbin/syslogd等)，則進(jìn)入trusted_d。 域admin_d允許讀、寫和查找系統(tǒng)中的所有型的文件。 安全管理員可以創(chuàng)建和修改DTE策略文件、多級安全策略文件和密碼文件(cipher_t)。 審計(jì)管理員可以創(chuàng)建和修改系統(tǒng)日志文件syslog_t和usr_log_t型文件。 網(wǎng)絡(luò)管理員可以創(chuàng)建和修改網(wǎng)絡(luò)配置文件來管理網(wǎng)絡(luò)。,2020年9月5日星期六,54,第4章 安全需求與安全策

47、略(6課時) 4.5.1 域的劃分,7.網(wǎng)絡(luò)應(yīng)用域(network_appli_d) 域網(wǎng)絡(luò)應(yīng)用進(jìn)程相關(guān)的域。 入口文件：Mosaic、netscape、ftp、telnet、http等域網(wǎng)絡(luò)應(yīng)用相關(guān)的可執(zhí)行程序。 三種方式可以進(jìn)入到域network_appli_d： 當(dāng)user_d中的某個進(jìn)程調(diào)用network_appli_d域的入口文件，就自動轉(zhuǎn)到域network_appli_d中； 當(dāng)域system_d中的某個進(jìn)程調(diào)用域network_appli_d的入口文件，就自動轉(zhuǎn)入其中； 當(dāng)admin_d域中的某進(jìn)程調(diào)用域network_appli_d的入口文件，就自動轉(zhuǎn)入其中。 域network

48、_appli_d不再進(jìn)入到其他域。當(dāng)域network_appli_d的進(jìn)程終止后，域network_appli_d無效。,2020年9月5日星期六,55,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,network_appli_d域限制其中的進(jìn)程修改系統(tǒng)重要文件，即使獲得特權(quán)也不例外。 所有在域network_appli_d里創(chuàng)建文件，若沒有被指定型，則自動被賦予network_t，型network_d賦予如下文件： /usr/home/ken/.MCOM-HTTP-cookie-file,.MCOM-preferences,.MCOM-bookmarks.html,.MCOM-

49、cache; /usr/home/ken/.mosaic-global-history,. mosaic-hotlist-default,. mosaicpid, mosaic-personal-annotations 域network_appli_d可以執(zhí)行系統(tǒng)二進(jìn)制文件和型network_t的文件。除writable_t的文件外，只能寫型network_t的文件。型writable_t賦予目錄/user/var，/dev，/tmp下的所有文件。,2020年9月5日星期六,56,第4章 安全需求與安全策略(6課時) 4.5 DTE策略,4.5.2 型的劃分 DTE把所有文件和客體為15種型。

50、 1.base_t基型 文件系統(tǒng)根目錄下(包括根目錄)的所有為經(jīng)其他賦型語句賦型的目錄或文件，又稱缺省型。 2.bin_t 系統(tǒng)二進(jìn)制文件，包括 目錄/bin,/sbin,/usr/bin,sbin 目錄/usr/contrib./bin,/usr/libexec和其下的所有文件 目錄/usr/games,/usr/local/etc和其下的所有文件 文件/etc/uucp/daily,weekely,uuxqt_hook。,2020年9月5日星期六,57,第4章 安全需求與安全策略(6課時) 4.5.2 型的劃分,3.conf_t 系統(tǒng)配置文件。包括 文件/etc/uucp/daily,we

51、ekely,uuxqt_hook(型bin_t) 文件/etc/master.passwd,spwd.db,pwd.db,passwd(型cipher_t) 目錄/etc及其下的其他文件 4.writable_t 可能被多數(shù)進(jìn)程更新的系統(tǒng)信息文件，包括普通設(shè)備文件，包括 目錄/usr/var/log及其下的所有文件(型syslog_t) 文件/usr/var/run/syslog.pid,utmp(型syslog_t) 文件/usr/var/log/wtmp,lastlog(型user_log_t) 目錄/usr/var及其下的所有文件 除了文件/dev/kmem,mem,drun(型trus

52、ted_t) 文件/dev/rsd0a,rsd0b,rsd0g,rsd0h,sd0a,sd0b,sd0g,sd0h(trusted_t),2020年9月5日星期六,58,第4章 安全需求與安全策略(6課時) 4.5.2 型的劃分,目錄/dev及其下的其他文件 目錄/tmp及其下的其他文件 5.user_t 用戶文件，用戶宿主目錄及其下的所有文件 6.secpolicy_t 安全策略文件，包括 除了/dte/DTE策略日志文件外的/dte目錄及其下的所有文件 除了/(多級策略目錄名)/多級策略日志文件外的目錄/(多級策略目錄名)及其下的所有文件,2020年9月5日星期六,59,第4章 安全需求與

53、安全策略(6課時) 4.5.2 型的劃分,7.syslog_t 系統(tǒng)日志文件。包括 目錄/usr/var/log及其下的所有文件 文件/usr/var/run/syslog.pid,utmp 8.usr_log_t 用戶日志文件(只有l(wèi)ogin程序能寫該型文件)，包括/usr/var/log/wtmp,lastlog 9.secpolicy_log_t 安全策略日志文件，包括 /dte/DTE策略日志文件 /(多級策略目錄名)/多級策略日志文件,2020年9月5日星期六,60,第4章 安全需求與安全策略(6課時) 4.5.2 型的劃分,10.cipher_t 密碼文件，包括 文件/etc/ma

54、ster.passwd,spwd.db,pwd.db,passwd 與認(rèn)證和安全策略相關(guān)的數(shù)據(jù)庫和表 work_t 由網(wǎng)絡(luò)應(yīng)用寫的文件，包括 文件 /usr/home/ken/.MCOM-HTTP-cookie-file,.MCOM-preferences,.MCOM-bookmarks.html,.MCOM-cache; /usr/home/ken/.mosaic-global-history,. mosaic-hotlist-default,. mosaicpid, mosaic-personal-annotations 其他網(wǎng)絡(luò)應(yīng)用可寫訪問的文件，e.g.ftp，telnet,2020年

55、9月5日星期六,61,第4章 安全需求與安全策略(6課時) 4.5.2 型的劃分,12.trusted_t 可信進(jìn)程，包括 程序/usr/bin/dtelogin 程序/sbin/fsck,mount_mfs 程序/usr/bin/syslogd 程序/usr/bin/dtepasswd 13.mem_t 內(nèi)存設(shè)備特殊文件，包括 文件/dev/kmem,mem,drun /dev/rsd0a,rsd0b,rsd0g,rsd0h,sd0a,sd0b,sd0g,sd0h,2020年9月5日星期六,62,第4章 安全需求與安全策略(6課時) 4.5.2 型的劃分,14.disk_t 磁盤設(shè)備特殊文件

56、，包括 /dev/rsd0a,rsd0b,rsd0g,rsd0h,sd0a,sd0b,sd0g,sd0h 15.lp_t 打印設(shè)備文件，包括：/dev/lp0,lp1,lp2,2020年9月5日星期六,63,第4章 安全需求與安全策略(6課時) 4.5 DTE策略,4.5.3 賦型規(guī)則 采用assign語句進(jìn)行賦型，其中參數(shù) -r：表明將型賦值給后面的路徑下的所有文件。 -s：表明與文件相關(guān)的型在運(yùn)行時不能改變，即使該文件已經(jīng)被另一個不同的文件取代。 例如： assign -r base_t /; assign -r secpolicy_t /dte;,2020年9月5日星期六,64,第4章 安全需求與安全策略(6課時) 4.5.3 賦型規(guī)則,12.trusted_t 可信進(jìn)程，包括 程序/usr/bin/dtelogin 程序/sbin/fsck,mount_mfs 程序/usr/bin/syslogd 程序/usr/bin/dtepasswd 13.mem_t 內(nèi)存設(shè)備特殊文件，包括 文件/dev/kmem,mem,drun /dev/rsd0a,rsd0b,rsd0g,rsd0h,sd0a,sd0b,sd0g,sd0h,2020年9月5日星期六,安全操作系統(tǒng)原理與技術(shù),謝謝大家！,