2020年9月5日星期六,安全操作系統(tǒng)原理與技術,安徽理工大學計算機科學與工程學院 信息安全系張柱 講師,2020年9月5日星期六,2,第4章 安全需求與安全策略,學習內容: 了解操作系統(tǒng)設計時的安全需求 了解安全策略語言和分類 掌握訪問控制策略、訪問支持策略等 本章重點： 訪問控制策略、范圍支持策略,2020年9月5日星期六,3,第4章 安全需求與安全策略(6課時) 4.1 安全需求,1.定義 所謂安全需求，就是在設計安全系統(tǒng)時期望得到的安全保障。 2.用戶對信息系統(tǒng)的安全需求主要包括： 機密性需求； 完整性需求； 可記賬性需求； 可用性需求。,2020年9月5日星期六,4,第4章 安全需求與安全策略(6課時) 4.2 安全策略,所謂安全策略，就是針對面臨的威脅決定采用何種對策的方法。安全策略為針對威脅而選擇和實行對策提供了框架。 4.2.1 定義 在計算機領域，安全系統(tǒng)的安全就是指該系統(tǒng)達到了當初設計時所制定的安全策略的要求。 計算機系統(tǒng)可以用一系列可以改變狀態(tài)的轉換函數(shù)組成的有限狀態(tài)自動機表示，則安全策略可以定義為這樣一種狀態(tài)：它將系統(tǒng)狀態(tài)分為已授權/安全的狀態(tài)和未授權/非安全的狀態(tài)。 在有限自動機下，一個安全系統(tǒng)是指“一個如果起始狀態(tài)為授權狀態(tài)，其后也不會進入未授權狀態(tài)的系統(tǒng)”。,2020年9月5日星期六,5,第4章 安全需求與安全策略(6課時) 4.2.1 定義,如圖所示，是一個不安全的系統(tǒng)，因為存在從S1到S3的轉換過程，系統(tǒng)就可以從一個授權狀態(tài)進入一個未授權的狀態(tài)。 在機密性方面，應當標識出所有將信息泄漏給未經(jīng)授權者的狀態(tài)； 在完整性方面，安全策略應當標識出可用來更改信息的授權途徑，同時也要標識出能夠更改信息的被授權的實體； 在可用性方面，安全策略必須描述應提供什么樣的服務，安全策略應描述如何通過系統(tǒng)提供的參數(shù)來獲得相應的服務并保證服務達到預先設計的質量。,2020年9月5日星期六,6,第4章 安全需求與安全策略(6課時) 4.2 安全策略,4.2.2 策略語言 策略語言是用來表達安全性或完整性策略的語言。高級策略語言使用抽象的方法表達策略對于實體的約束。低級策略語言根據(jù)輸入或者調用選項來表達對系統(tǒng)中的程序約束。 1.高級策略語言 策略與實現(xiàn)無關，它描述對系統(tǒng)中實體或行為的約束。高級策略語言對策略的明確表達，這種精確度要求策略以數(shù)學的方法用公式來明確陳述。,2020年9月5日星期六,7,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,1)Pandey和Hashii開發(fā)了一種針對Java程序的高級策略約束語言，指定了對資源訪問的約束以及這些約束是如何繼承的。 該策略語言，將實體表達為類或方法。類是一些被實施特定的訪問約束的對象的集合；方法是調用操作的方法的集合。 當主體s創(chuàng)建某個類c的一個實例，稱為實例化，記為“s-|c”。 當主體s1執(zhí)行了另一個主體s2，稱之為調用，記為“s1|s2”。 訪問約束形式如下： deny(s op x) when b op指“-|”或者“|”。s是一個主體，x另一個主體或類，b是一個布爾表達式。 約束表明：當條件b為真時，主體s不能對x執(zhí)行操作。若省去表達式中的x，則說明禁止對所有實體進行操作。,2020年9月5日星期六,8,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,“繼承”用了將各個訪問約束關聯(lián)起來。 如果類c1的父類c2定義了方法f，則c1就繼承了f。存在約束如下： deny(s-|c1.f) when b1 deny(s-|c2.f) when b2 由于子類會繼承父類的約束，故b1和b2都約束了c1對f的調用。則隱含的約束是 deny(s-|c1.f) when b1b2 這種策略語言忽略了策略的具體實現(xiàn)。,2020年9月5日星期六,9,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,假設策略規(guī)定下載程序不能訪問Unix系統(tǒng)中的passwd文件。程序使用下面的類和方法訪問本地文件 class file public file(String name); public String getfilename(); public char read(); 則存在如下的約束 deny(|file.read) when (file.getfilename()=“/etc/passwd”),2020年9月5日星期六,10,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,2)DTEL策略語言 DTEL語言是從Boebert和Kain的研究成果中發(fā)展出來的。它將類型限制為兩種：數(shù)據(jù)和指令。 DTEL語言根據(jù)語言的類型，將低級語言和高級語言的元素結合起來，在實現(xiàn)一級上進行夠了來表達約束。 DTEL語言將每個客體與一個類型關聯(lián)，而每個主體以一個域相關聯(lián)，能夠限制域成員對某種類型的客體所能執(zhí)行的操作。,2020年9月5日星期六,11,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,DTEL將Unix系統(tǒng)分為四個相互隔離的主體域： user_d#普通用戶域 admin_d#管理員用戶域 login_d#兼容DTEL認證過程的域 daemon_d#系統(tǒng)后臺守護進程的域 login_d域中的登錄程序控制user_d和admin_d之間的訪問。系統(tǒng)從daemon_d域開始運行。,2020年9月5日星期六,12,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,DTEL將Unix的客體分為五個客體型： sysbin_t#可執(zhí)行文件 readable_t#可讀文件 writable_t#可寫文件 dte_t#DTE數(shù)據(jù) generic_t#由用戶進程產(chǎn)生的數(shù)據(jù) DTEL中定義客體型的語句如下： type readable_t,writable_t,sysbin_t,dte_t,generic_t;,2020年9月5日星期六,13,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,以daemon_d域為例： domain daemon_d=(/sbin/init),(crwd-writable_t), (rxd-readable_t), (rd-generic_t,dte_t,sysbin_t), (auto-login_d); 說明：當init程序開始運行時，首先在daemon_d域中啟動，它能夠創(chuàng)建(c)、讀取(r)、寫入(w)和搜索(d)writable_t型中的任何客體；也能夠讀取、搜索和執(zhí)行(x)readable_t型中的任何客體；能夠讀取和搜索generic_t、sysbin_t和dte_t型中的任何客體。最后調用登錄程序，自動轉入login_d域中。,2020年9月5日星期六,14,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,策略要求只有管理員主體才可以寫系統(tǒng)中的可執(zhí)行文件。 domain admin_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh), (crwxd-generic_t), (rwxd-readable_t,writable_t,dte_t,sysbin_t), (sigtstp-daemon_d); 說明：admin_d域中的主體只能創(chuàng)建在generic_t型中的客體，但可以讀、寫、執(zhí)行和搜索任何客體，另外admin_d域中的主體還能夠利用sigtstp信號將daemon_d域中執(zhí)行的進程掛起。,2020年9月5日星期六,15,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,普通用戶域也必須受到類似的約束。 domain user_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh), (crwxd-generic_t), (rxd-sysbin_t), (rwd-writable_t) (rd-readable_t, dte_t); 說明：user_d域中的主體(普通用戶)只能寫在writable_t型中的客體，只能運行sysbin_t型中的客體，只能創(chuàng)建generic_t型中的客體，但能讀、搜索所有型的客體。,2020年9月5日星期六,16,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,登錄域(login_d)控制對用戶域(user_d)和管理域(admin_d)的訪問。這種控制是登錄域的唯一功能。對于登錄域的訪問嚴格地受到login程序的限制。 domain login_d=(/usr/bin/login), (crwd-writable_t), (rd-readable_t,generic_t,dte_t), setauth, (exec-user_d,admin_d); 說明：login_d域中的主體不能執(zhí)行任何其他程序，登錄域同時也被授權更改用戶ID的權限。,2020年9月5日星期六,17,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,起初，系統(tǒng)在開始于daemon_d狀態(tài)，即 initial_domain=daemon_d; 系統(tǒng)使用一系列assign語句設置客體的初始型，如： assign -r generic_t /; assign -r writable_t /usr/var,/dev,/tmp; assign -r readable_t /etc; assign -r -s dte_t /dte; assign -r -s sysbin_t /sbin,/bin,/usr/bin,/usr/sbin; 其中-r表示該型可以被遞歸應用； -s表示該型與名稱綁定，如果客體被刪除，則新建的客體的型必須與刪除的客體相同。,2020年9月5日星期六,18,第4章 安全需求與安全策略(6課時) 4.2.2 策略語言,2.低級策略語言 低級策略語言是一系列命令的輸入或參數(shù)設置，用了設置或檢查系統(tǒng)中的約束。 例如，Linux窗口系統(tǒng)X11提供了一種對控制臺的訪問進行控制的語言。該語言有命令xhosts和一種用了允許基于主機名的控衛(wèi)控制語法組成，如： xhosts+groucho -chico,2020年9月5日星期六,19,第4章 安全需求與安全策略(6課時) 4.2 安全策略,4.2.3 安全策略的分類 基于信息應用的場合，將安全策略分為兩大類：軍事安全策略和商用安全策略，前者側重信息的機密性要求，后者側重于信息的完整性。 1.基于應用場合的分類 1)軍事安全策略 也稱為政府安全策略，是一種以提供信息機密性為主要目的的安全策略，但同時還涉及完整性、可記賬性以及可用性。 2)商業(yè)安全策略 以提供完整性為主要目的的安全策略，同時涉及機密性、可記賬性以及可用性。,2020年9月5日星期六,20,第4章 安全需求與安全策略(6課時) 4.2.3 安全策略的分類,Lipner指出商業(yè)安全策略中需要注意五個方面： 用戶不能寫自己的程序，但能使用現(xiàn)有的產(chǎn)品程序和數(shù)據(jù)庫； 程序員可以在非產(chǎn)品的系統(tǒng)中開發(fā)和測試程序； 必須要有一個特殊處理，用了將程序從開發(fā)系統(tǒng)安裝到產(chǎn)品系統(tǒng)中； 方面3)中的特殊處理必須被控制和審計； 管理員和審計員能訪問系統(tǒng)狀態(tài)和系統(tǒng)日志。 這些要求體現(xiàn)出如下的操作原則： 職責分離原則； 功能分離原則； 審計原則。,2020年9月5日星期六,21,第4章 安全需求與安全策略(6課時) 4.2.3 安全策略的分類,2.基于安全策略內涵的分類 訪問控制策略：基于安全策略內涵中的機密性和完整性要求； 訪問支持策略：基于安全策略內涵中的可記賬性和可用性要求。,2020年9月5日星期六,22,第4章 安全需求與安全策略(6課時) 4.3 訪問控制策略,在信息系統(tǒng)中與訪問控制策略相關的因素有三大類：主體、客體以及相應的可用作訪問控制的主客體屬性。 4.3.1 訪問控制屬性 1.主體 所謂主體，就是指系統(tǒng)內行為的發(fā)起者，通常是指由用戶發(fā)起的進程。對于系統(tǒng)中的用戶而言，可以分為如下幾類： 普通用戶(user)； 信息擁有者(owner)； 系統(tǒng)管理員(administrator),2020年9月5日星期六,23,第4章 安全需求與安全策略(6課時) 4.3.1 訪問控制屬性,2.客體 是指信息系統(tǒng)內所有主體行為的直接承擔者?？煞譃槿缦聨最悾?一般客體； 設備客體； 特殊客體 3.主、客體屬性 訪問控制策略還包括以下幾個因素： 主體的屬性； 客體的屬性； 系統(tǒng)的環(huán)境或上下文屬性。 每個系統(tǒng)必須選擇以上三類相關的屬性進行訪問控制策略的決策。,2020年9月5日星期六,24,第4章 安全需求與安全策略(6課時) 4.3.1 訪問控制屬性,1)主體屬性(用戶特征) 是系統(tǒng)用來決定訪問控制的最常用因素。通常用戶的任何屬性都可以作為訪問控制的決策點，常用的用戶屬性有： 用戶ID/組ID； 用戶訪問許可級別； “需知”原則； 角色； 能力列表。,2020年9月5日星期六,25,第4章 安全需求與安全策略(6課時) 4.3.1 訪問控制屬性,2)客體屬性(客體特征) 客體特征屬性包括如下幾個方面： 敏感性標簽； 訪問控制列表； 外部狀態(tài)； 數(shù)據(jù)內容/上下文環(huán)境； 其他。,2020年9月5日星期六,26,第4章 安全需求與安全策略(6課時) 4.3 訪問控制策略,4.3.2 自主訪問控制策略 相對于強制訪問控制策略，自主訪問控制策略能夠提供一種更為精細的訪問控制粒度。 一般來說，自主訪問控制策略是基于系統(tǒng)內用戶加上訪問授權(如能力列表CLs)或者客體的訪問屬性(如ACL)來決定該用戶是否具有相應的權限訪問客體，也可以基于要訪問的信息內容或是基于用戶在發(fā)出對信息訪問相應請求時所充當?shù)慕巧珌磉M行訪問控制的。 在實際的計算機內，自主訪問控制策略使用三元組(S,O,A)表示。相對于強制訪問控制策略中的訪問模式只能是“讀”和“寫”，自主訪問控制策略的優(yōu)點還表現(xiàn)在其訪問模式設定非常靈活。 自主訪問控制策略的靈活性特征，使得它更適用于各種操作系統(tǒng)和應用程序。,2020年9月5日星期六,27,第4章 安全需求與安全策略(6課時) 4.3.2 自主訪問控制策略,自主訪問控制策略的缺點：不能防范“特洛伊木馬”或某些形式的“惡意程序”。為此，在系統(tǒng)內進行自主訪問控制的同時，利用強制訪問控制策略加強系統(tǒng)的安全性就顯得非常重要。,2020年9月5日星期六,28,第4章 安全需求與安全策略(6課時) 4.3 訪問控制策略,4.3.3 強制訪問控制策略 強制訪問控制策略既可以防止對信息的非授權篡改，也可以防止未授權的信息泄漏，在特定的強制訪問控制策略中，標簽可以不同的形式來實現(xiàn)信息的完整性和機密性。 在強制訪問控制機制下，系統(tǒng)的每個用戶或主體被賦予一個訪問標簽，以表示該主體對敏感客體的訪問許可級別；每個客體被賦予一個敏感性標簽，用來表示該信息的敏感性級別；“引用監(jiān)視器”通過比較主、客體相應的標簽來決定是否授予主體對客體的訪問請求。 在強制訪問控制策略中，訪問三元組(S,O,A)與自主訪問控制相同，但訪問方式A只能取“讀”和“寫”。,2020年9月5日星期六,29,第4章 安全需求與安全策略(6課時) 4.3.3 強制訪問控制策略,強制訪問控制策略的顯著特征是“全局性”和“永久性”，即在強制訪問控制策略中，無論何時何地，主、客體的標簽是不會改變的。這一特征在多級安全體系中稱為“寧靜性原則”。 對于具體的訪問控制策略，如果同時具備“全局性”和“永久性”特征，其標簽集合在數(shù)學上將形成“偏序關系”，即支持如下的三個基本特征： 反身性：xx； 反對稱性：xy且yx，則x=y； 傳遞性：xy且yz，則xz； 在訪問控制策略中,訪問標簽集合中的元素之間的關系于上述三種特征中的任何一種不符合,強制訪問策略的兩大特征,即全局性和永久性必有一個要被破壞。,2020年9月5日星期六,30,第4章 安全需求與安全策略(6課時) 4.3.3 強制訪問控制策略,綜上所述，若一個訪問控制策略使用的主客體訪問標簽不滿足“偏序”關系，則此訪問控制策略不能稱為強制訪問控制策略，只能稱為自主訪問控制策略。 強制訪問控制策略和自主訪問控制策略在功能上的最大區(qū)別在于是否能夠防備“特洛伊木馬”或“惡意”程序的攻擊。 若一個系統(tǒng)內存在兩種強制訪問控制策略，則該系統(tǒng)內的主、客體必有兩類不同的訪問標簽，每類標簽于一個強制訪問控制策略對應。,2020年9月5日星期六,31,第4章 安全需求與安全策略(6課時) 4.4 訪問支持策略,訪問支持策略用來保障訪問控制策略的正確實施提供可靠的“支持”，所有這些策略統(tǒng)稱為訪問支持策略。通常，這類安全策略是為了將系統(tǒng)中的用戶與訪問控制策略中的主體聯(lián)系起來。 訪問支持策略包含多個方面，以TCSEC為例，它將系統(tǒng)的訪問支持策略分為六類： 標識與鑒別； 可記賬性； 確切保證； 連續(xù)保護； 客體重用； 隱蔽信道處理。,2020年9月5日星期六,32,第4章 安全需求與安全策略(6課時) 4.4 訪問支持策略,4.4.1 標識與鑒別 TCSEC的標識與鑒別策略要求以一個身份來標識用戶，并且此身份必須經(jīng)過系統(tǒng)的認證與鑒別。 可以用作身份認證的信息主要有： “用戶所知道的信息”-用戶名/口令機制； “用戶所擁有的信息”-智能卡機制等； “用戶是誰”-生物學特征。 1)基于第一類信息的最常見的實現(xiàn)形式是用戶口令機制。 基于口令形式的身份認證機制，其有效性取決于用戶口令的安全性。,2020年9月5日星期六,33,第4章 安全需求與安全策略(6課時) 4.4.1 標識與鑒別,在美國國防部密碼管理指南中，提供了一套基于口令的用戶認證機制，包括： 安全管理職責； 用戶職責； 技術因素。 2)基于第二類信息身份認證，利用用戶所擁有的東西來作為對其身份的認證。 3)基于第三類信息的身份認證是依賴于用戶的生物學特征。,2020年9月5日星期六,34,第4章 安全需求與安全策略(6課時) 4.4 訪問支持策略,4.4.2 可記賬性 可記賬性，又稱為審計，它是現(xiàn)實生活中的復式簿記的數(shù)字化反映。對高度重視安全的地方極其重要。 TCSEC的可記賬性策略要求任何影響系統(tǒng)安全性的行為都要被跟蹤并記錄下了，系統(tǒng)TCB必須擁有將用戶的ID與它被跟蹤、審計的行為聯(lián)系起來的能力。 TCSEC標準規(guī)定審計系統(tǒng)應能夠記錄以下事件： 與標識和鑒別機制相關的事件； 將客體導入用戶地址空間的操作； 對客體的刪除； 由系統(tǒng)管理員或安全管理員所執(zhí)行的所有操作，以及其他與安全相關的事件等。,2020年9月5日星期六,35,第4章 安全需求與安全策略(6課時) 4.4.2 可記賬性,對事件的審計記錄項至少應包括事件發(fā)生的日期和時間、用戶ID、事件的類型、事件成功或失敗。對于B2級以上的系統(tǒng)，要求審計系統(tǒng)能夠記錄用來探測隱蔽存儲通道。 對于識別與鑒別機制相關事件的審計，審計記錄還應包括請求源； 對于將客體導入用戶地址空間的操作和刪除可以的操作，審計記錄應包括客體的名稱以及客體的安全級別。 一個良好的審計系統(tǒng)能夠選擇需要記錄的審計事件是必備的功能。,2020年9月5日星期六,36,第4章 安全需求與安全策略(6課時) 4.4 訪問支持策略,4.4.3 確切保證 定義：是指系統(tǒng)事先制定的安全策略能夠得到正確的執(zhí)行，且系統(tǒng)保護相關的元素能夠真正精確可靠的實施安全策略的意圖。作為擴展，“確切保證”必須確保系統(tǒng)的TCB嚴格按照事先設計的方式來運行。 為了達到這些目標，TCSEC規(guī)定了兩種類型的“確切保證”： 生命周期保證：安全系統(tǒng)開發(fā)企業(yè)從系統(tǒng)設計、開發(fā)和分發(fā)、安裝、維護各個環(huán)節(jié)所制定的措施、目標以及執(zhí)行的步驟。包括安全性測試、設計規(guī)范和驗證等； 操作保證：主要針對用來保證系統(tǒng)在操作過程中安全策略不會被歪曲的功能特征和系統(tǒng)架構。包括系統(tǒng)架構、系統(tǒng)的完整性，隱蔽信道分析、可信實施管理以及可信恢復。,2020年9月5日星期六,37,第4章 安全需求與安全策略(6課時) 4.4 訪問支持策略,4.4.4 連續(xù)保護 TCSEC的連續(xù)保護策略要求，可信機制的實施必須連續(xù)不斷地保護系統(tǒng)免遭篡改和非授權的改變。并且要求連續(xù)保護機制必須在計算機系統(tǒng)整個生命周期內起作用。 4.4.5 客體重用 定義：重新分配給某些主體的介質包含有一個或多個客體，為安全地重新分配這些資源的目的，這些資源在重新分配給新主體時不能包含任何殘留信息。,2020年9月5日星期六,38,第4章 安全需求與安全策略(6課時) 4.4 訪問支持策略,4.4.6 隱蔽信道 TCSEC中定義為：可以被進程利用，以違反系統(tǒng)安全策略的方式進行非法傳輸信息的通信通道。包括兩類：存儲隱蔽信道和時間隱蔽信道。 存儲隱蔽信道，包括所有允許一個進程直接或間接地寫存儲客體，而允許另一個客體對該客體進行直接或間接的讀訪問的傳輸手段。 時間隱蔽信道，包括進程通過調節(jié)自己對系統(tǒng)資源的使用向另一個進程發(fā)送信號信息，后者通過觀察響應時間的改變而進行信息傳輸?shù)氖侄巍?2020年9月5日星期六,39,第4章 安全需求與安全策略(6課時) 4.5 DTE策略,1991年Brien R.O.和Rogers C.提出了DTE訪問控制技術。它依據(jù)安全策略限制進程進行訪問，是TE策略的擴展。 DTE使域和每個正在運行的進程相關聯(lián)，型和每個對象關聯(lián)。如果一個域不能以某種模式訪問某個型，則該域的進程不能以該模式訪問那個型的對象。 當進程試圖訪問文件時，DTE Unix系統(tǒng)內核在做標準Unix許可檢查之前，作DTE許可檢查。 一個域的進程訪問一個型中的客體時，訪問模式包括：讀(r)、寫(w)、執(zhí)行(x)、目錄查找(d)、型創(chuàng)建(c)。 每個i節(jié)點包括三個指針，分別表示目錄或文件的型etype值、目錄下所有文件或子目錄的型，包括該目錄rtype值和目錄下所有文件或子目錄的型，不包括該目錄utype值。,2020年9月5日星期六,40,第4章 安全需求與安全策略(6課時) 4.5 DTE策略,以下的規(guī)則決定一個文件的型： 設置文件的etype。如果存在一條規(guī)則將etype賦給一個文件，則就使用這條規(guī)則。如果不存在這樣一條規(guī)則，但存在一條規(guī)則將rtype賦給這個文件，則該文件的etype就與rtype一樣。如果也不存在，則該文件的型就由其父目錄的utype繼承得到。 設置文件的utype。如果存在規(guī)則將utype賦給一個文件，則就使用這條規(guī)則。如果不存在，但存在規(guī)則將rtype賦給該文件，則該文件的utype與rtype一樣。如果也不存在，則文件的utype型由其父目錄的utype繼承得到。 設置文件的rtype。如果存在規(guī)則將rtype賦給一個文件，則就使用這條規(guī)則。如果不存在，則該文件的rtype為空。,2020年9月5日星期六,41,第4章 安全需求與安全策略(6課時) 4.5 DTE策略,當一個域的入口點文件執(zhí)行時，有三類可能的域轉化： 自動轉化； 自愿轉換； 空的轉化。 DTE策略文件由四個部分組成： 列舉出所有的域和型； 給出所有域的詳細定義； 制定文件系統(tǒng)根及其缺省類型，還指定一個初始域。 列出型分配規(guī)則。 DTE使用友好的高級語言來指定策略。,2020年9月5日星期六,42,第4章 安全需求與安全策略(6課時) 4.5 DTE策略,4.5.1 域的劃分 DTE把所有進程劃分為7個域。 1.守護進程域(daemon_d) 與系統(tǒng)守護進程相關的域，包括init；初始域。 入口文件：/sbin/init 域daemon_d可以自動轉化到login_d和trusted_d。 域daemon_d中定義 (rxd-bin_t)，即允許域daemon_d中的進程讀、執(zhí)行和搜索系統(tǒng)二進制文件，但不能修改。 (rd-base_t,conf_t)，即允許守護進程讀取，但不能修改基型文件和系統(tǒng)配置文件。其中conf_t型包括/etc下的所有文件；base_t包括系統(tǒng)根目錄下的所有未賦其它型的文件。,2020年9月5日星期六,43,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,2.可信域(trusted_d) 與系統(tǒng)可信進程(fsck,mount_mfs,syslogd)相關的域 入口文件：/sbin/fsck,mount_mfs;/usr/sbin/syslogd 當daemon_d中的進程調用域trusted_d的入口文件時，則域login_d自動轉化到域trusted_d。trusted_d域不再轉化到其他域。 trusted_d域中定義 (rwd-syslog_t,disk_t)，即域trusted_d可以讀、寫和查找型syslog_t和型disk_t。syslog_t型賦給系統(tǒng)審計日志文件(/usr/var/log,/usr/var/run/syslog.pid,utmp)。型disk_t賦給了磁盤設備文件(/dev/rsd0a,rsd0b,rsd0g,rsd0h,sd0a,sd0b,sd0g,sd0h)。 (rd-base_t,conf_t)，即允許可信域中的守護進程讀取但不能修改基型文件和系統(tǒng)配置文件。,2020年9月5日星期六,44,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,3.注冊域(login_d) 與DTE login相關的域 入口文件：/usr/bin/dtelogin 當daemon_d中的進程調用域login_d的入口文件時，域daemon_d自動轉化到域login_d。 實際上，當用戶域user_d、系統(tǒng)域system_d或管理域admin_d調用login_d域的入口文件時，都可自動轉化到login_d域，只有通過login_d域才能按要求轉化到user_d、system_d和admin_d，因此login_d是不可以繞過的。 只有一個二進制文件可以允許在login_d域中，即dtelogin。,2020年9月5日星期六,45,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,login_d域中定義了： (rd-base_t,conf_t,secpolicy_t,syslog_t,secpolicy_log_t,cipher_t)，即允許login程序讀取、搜索但不能修改基型文件、系統(tǒng)配置文件、安全策略文件、系統(tǒng)日志文件、密碼文件、安全策略日志文件。 secpolicy_t賦給/dte下的所有文件，cipher_t賦給目錄/etc下不包括本身的文件：master.passwd,spwd.db,pwd.db,passwd和其他與認證相關的文件。 (w-usr_log_t)，即login程序可以寫訪問usr_log_t型文件。 usr_log_t型賦值給/usr/var/log下(不包括目錄本身)的兩個文件wtmp,lastlog,2020年9月5日星期六,46,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,對login程序的擴展和增強可以通過如下方式： 注冊時，用戶提出角色和域要求。如果用戶被認證通過所要求的角色，且域要求允許，login程序調用初始域中域角色、域相關的該用戶shell，從而按要求轉化到另一個域。 注意：普通用戶角色和進入系統(tǒng)管理域admin_d的管理用戶角色都可以使用特權(調用/usr/bin/passwd)來修改自己的口令，而進入管理域admin_d用戶角色則可以直接修改所有用戶口令。,2020年9月5日星期六,47,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,4.用戶域(user_d) 與普通用戶的會話相關的域。 入口文件：各種shell程序(/bin/ash,bash,csh,sh,tcsh) 兩種方式可以進入到域user_d： 注冊時，若用戶提出普通用戶角色要求并認證通過，login程序將調用初始域中與普通用戶角色相關的用戶shell(域login_d特權)，從而按所提出的要求轉化到域user_d； 若管理域admin_d中的管理員，提出轉化到用戶域user_d的請求，并調用域user_d的入口shell程序，則按要求從admin_d轉化到user_d。,2020年9月5日星期六,48,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,user_d域可以轉化到network_appli_d域和login_d域。user_d中的某個進程調用域network_appli_d的入口文件(ftp,telnet,http等網(wǎng)絡應用相關的程序)，就自動轉化到network_appli_d域中；調用login_d域的入口文件，就可以自動轉化到login_d中。 user_d定義了： user_d域允許讀取和查找系統(tǒng)中的所有文件。不過，對這些文件的訪問還要受到普通Unix機制的額外限制。 (x-bin_t,base_t,user_t)，即user_d域可以執(zhí)行二進制文件、基型文件和user_d域創(chuàng)建的文件。 user_t型賦值給/home的所有文件，包括目錄本身。 (crwxd-user_t)，其中“c”表示對于域user_d中創(chuàng)建愛的對象，如果沒有被進程指定型，則自動賦行user_t。,2020年9月5日星期六,49,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,域user_d里的進程可以修改或創(chuàng)建型為writable_t(創(chuàng)建時明確指定型)的文件。 管理員用戶必須通過注冊域login_d注冊到管理域admin_d，才可以實現(xiàn)所有的管理功能，系統(tǒng)操作員也必須通過注冊域login_d注冊到系統(tǒng)操作域system_d才可實現(xiàn)所有特定的系統(tǒng)操作。,2020年9月5日星期六,50,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,5.系統(tǒng)操作用戶域(system_d) 與系統(tǒng)操作用戶的會話相關的域。 入口文件：各種shell程序(/bin/ash,bash,csh,sh,tcsh) 若用戶提出管理用戶角色(系統(tǒng)管理員sysadmin、安全管理員secadmin、審計管理員audadmin或網(wǎng)絡管理員netadmin)要求并認證通過，且要求進入到系統(tǒng)域system_d，login程序將調用初始域中與該管理用戶角色，域system_d相關的用戶shell(域login_d特權)，從而按所提出的要求轉化到域system_d。 可見，以上5個管理角色都進入同一個域，即system_d中，但system_d域中每個系統(tǒng)用戶的訪問權限是該管理用戶角色特權和域system_d的權限交集。,2020年9月5日星期六,51,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,system_d可轉化到域network_appli_d、login_d和daemon_d。當system_d中某個進程調用域network_appli_d的入口文件(ftp,telnet,http等網(wǎng)絡應用相關的程序)，就自動轉化到network_appli_d域中；調用login_d域的入口文件，就可以自動轉化到login_d中；提出請求轉化到域daemon_d并執(zhí)行域daemon_d的入口程序/sbin/init，則進入daemon_d。 system_d域允許讀取和查找系統(tǒng)中的所有型的文件。 system_d域中的操作員不能做一些重要的系統(tǒng)修改，但能使修改生效。 system_d可以發(fā)送信號sigstp到域daemon_d，以重啟系統(tǒng)。,2020年9月5日星期六,52,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,6.管理域(admin_d) 與系統(tǒng)管理會話相關的域。 入口文件：各種shell程序(/bin/ash,bash,csh,sh,tcsh) 用戶注冊到系統(tǒng)時，若用戶提出管理用戶角色(系統(tǒng)管理員sysadmin、安全管理員secadmin、審計管理員audadmin或網(wǎng)絡管理員netadmin)要求并認證通過，且要求進入到管理域admin_d，login程序將調用初始域中與該管理用戶角色相關的，該用戶shell(域login_d特權)，從而按所提出的要求轉化到域admin_d。 可見，以上5個管理角色都進入同一個域，即管理域admin_d中，但admin_d域中每個系統(tǒng)用戶的訪問權限是該管理用戶角色特權和域admin_d的權限交集。,2020年9月5日星期六,53,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,admin_d域可以轉化到network_appli_d域、login_d域和trusted_d域。當admin_d的某個進程調用域network_appli_d的入口文件(ftp,telnet,http等網(wǎng)絡應用相關的程序)，就自動轉化到network_appli_d域中；調用login_d域的入口文件，就可以自動轉化到login_d中；提出請求轉化到域trusted_d并執(zhí)行域trusted_d的入口程序(/sbin/fsck、/usr/sbin/syslogd等)，則進入trusted_d。 域admin_d允許讀、寫和查找系統(tǒng)中的所有型的文件。 安全管理員可以創(chuàng)建和修改DTE策略文件、多級安全策略文件和密碼文件(cipher_t)。 審計管理員可以創(chuàng)建和修改系統(tǒng)日志文件syslog_t和usr_log_t型文件。 網(wǎng)絡管理員可以創(chuàng)建和修改網(wǎng)絡配置文件來管理網(wǎng)絡。,2020年9月5日星期六,54,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,7.網(wǎng)絡應用域(network_appli_d) 域網(wǎng)絡應用進程相關的域。 入口文件：Mosaic、netscape、ftp、telnet、http等域網(wǎng)絡應用相關的可執(zhí)行程序。 三種方式可以進入到域network_appli_d： 當user_d中的某個進程調用network_appli_d域的入口文件，就自動轉到域network_appli_d中； 當域system_d中的某個進程調用域network_appli_d的入口文件，就自動轉入其中； 當admin_d域中的某進程調用域network_appli_d的入口文件，就自動轉入其中。 域network_appli_d不再進入到其他域。當域network_appli_d的進程終止后，域network_appli_d無效。,2020年9月5日星期六,55,第4章 安全需求與安全策略(6課時) 4.5.1 域的劃分,network_appli_d域限制其中的進程修改系統(tǒng)重要文件，即使獲得特權也不例外。 所有在域network_appli_d里創(chuàng)建文件，若沒有被指定型，則自動被賦予network_t，型network_d賦予如下文件： /usr/home/ken/.MCOM-HTTP-cookie-file,.MCOM-preferences,.MCOM-bookmarks.html,.MCOM-cache; /usr/home/ken/.mosaic-global-history,. mosaic-hotlist-default,. mosaicpid, mosaic-personal-annotations 域network_appli_d可以執(zhí)行系統(tǒng)二進制文件和型network_t的文件。除writable_t的文件外，只能寫型network_t的文件。型writable_t賦予目錄/user/var，/dev，/tmp下的所有文件。,2020年9月5日星期六,56,第4章 安全需求與安全策略(6課時) 4.5 DTE策略,4.5.2 型的劃分 DTE把所有文件和客體為15種型。 1.base_t基型 文件系統(tǒng)根目錄下(包括根目錄)的所有為經(jīng)其他賦型語句賦型的目錄或文件，又稱缺省型。 2.bin_t 系統(tǒng)二進制文件，包括 目錄/bin,/sbin,/usr/bin,sbin 目錄/usr/contrib./bin,/usr/libexec和其下的所有文件 目錄/usr/games,/usr/local/etc和其下的所有文件 文件/etc/uucp/daily,weekely,uuxqt_hook。,2020年9月5日星期六,57,第4章 安全需求與安全策略(6課時) 4.5.2 型的劃分,3.conf_t 系統(tǒng)配置文件。包括 文件/etc/uucp/daily,weekely,uuxqt_hook(型bin_t) 文件/etc/master.passwd,spwd.db,pwd.db,passwd(型cipher_t) 目錄/etc及其下的其他文件 4.writable_t 可能被多數(shù)進程更新的系統(tǒng)信息文件，包括普通設備文件，包括 目錄/usr/var/log及其下的所有文件(型syslog_t) 文件/usr/var/run/syslog.pid,utmp(型syslog_t) 文件/usr/var/log/wtmp,lastlog(型user_log_t) 目錄/usr/var及其下的所有文件 除了文件/dev/kmem,mem,drun(型trusted_t) 文件/dev/rsd0a,rsd0b,rsd0g,rsd0h,sd0a,sd0b,sd0g,sd0h(trusted_t),2020年9月5日星期六,58,第4章 安全需求與安全策略(6課時) 4.5.2 型的劃分,目錄/dev及其下的其他文件 目錄/tmp及其下的其他文件 5.user_t 用戶文件，用戶宿主目錄及其下的所有文件 6.secpolicy_t 安全策略文件，包括 除了/dte/DTE策略日志文件外的/dte目錄及其下的所有文件 除了/(多級策略目錄名)/多級策略日志文件外的目錄/(多級策略目錄名)及其下的所有文件,2020年9月5日星期六,59,第4章 安全需求與安全策略(6課時) 4.5.2 型的劃分,7.syslog_t 系統(tǒng)日志文件。包括 目錄/usr/var/log及其下的所有文件 文件/usr/var/run/syslog.pid,utmp 8.usr_log_t 用戶日志文件(只有l(wèi)ogin程序能寫該型文件)，包括/usr/var/log/wtmp,lastlog 9.secpolicy_log_t 安全策略日志文件，包括 /dte/DTE策略日志文件 /(多級策略目錄名)/多級策略日志文件,2020年9月5日星期六,60,第4章 安全需求與安全策略(6課時) 4.5.2 型的劃分,10.cipher_t 密碼文件，包括 文件/etc/master.passwd,spwd.db,pwd.db,passwd 與認證和安全策略相關的數(shù)據(jù)庫和表 work_t 由網(wǎng)絡應用寫的文件，包括 文件 /usr/home/ken/.MCOM-HTTP-cookie-file,.MCOM-preferences,.MCOM-bookmarks.html,.MCOM-cache; /usr/home/ken/.mosaic-global-history,. mosaic-hotlist-default,. mosaicpid, mosaic-personal-annotations 其他網(wǎng)絡應用可寫訪問的文件，e.g.ftp，telnet,2020年9月5日星期六,61,第4章 安全需求與安全策略(6課時) 4.5.2 型的劃分,12.trusted_t 可信進程，包括 程序/usr/bin/dtelogin 程序/sbin/fsck,mount_mfs 程序/usr/bin/syslogd 程序/usr/bin/dtepasswd 13.mem_t 內存設備特殊文件，包括 文件/dev/kmem,mem,drun /dev/rsd0a,rsd0b,rsd0g,rsd0h,sd0a,sd0b,sd0g,sd0h,2020年9月5日星期六,62,第4章 安全需求與安全策略(6課時) 4.5.2 型的劃分,14.disk_t 磁盤設備特殊文件，包括 /dev/rsd0a,rsd0b,rsd0g,rsd0h,sd0a,sd0b,sd0g,sd0h 15.lp_t 打印設備文件，包括：/dev/lp0,lp1,lp2,2020年9月5日星期六,63,第4章 安全需求與安全策略(6課時) 4.5 DTE策略,4.5.3 賦型規(guī)則 采用assign語句進行賦型，其中參數(shù) -r：表明將型賦值給后面的路徑下的所有文件。 -s：表明與文件相關的型在運行時不能改變，即使該文件已經(jīng)被另一個不同的文件取代。 例如： assign -r base_t /; assign -r secpolicy_t /dte;,2020年9月5日星期六,64,第4章 安全需求與安全策略(6課時) 4.5.3 賦型規(guī)則,12.trusted_t 可信進程，包括 程序/usr/bin/dtelogin 程序/sbin/fsck,mount_mfs 程序/usr/bin/syslogd 程序/usr/bin/dtepasswd 13.mem_t 內存設備特殊文件，包括 文件/dev/kmem,mem,drun /dev/rsd0a,rsd0b,rsd0g,rsd0h,sd0a,sd0b,sd0g,sd0h,2020年9月5日星期六,安全操作系統(tǒng)原理與技術,謝謝大家！,