2020年3月29日星期日 安全操作系統(tǒng)原理與技術(shù) 安徽理工大學(xué)計算機(jī)科學(xué)與工程學(xué)院信息安全系張柱講師 2020年3月29日星期日 2 第4章安全需求與安全策略 學(xué)習(xí)內(nèi)容 了解操作系統(tǒng)設(shè)計時的安全需求 了解安全策略語言和分類 掌握訪問控制策略 訪問支持策略等本章重點(diǎn) 訪問控制策略 范圍支持策略 2020年3月29日星期日 3 第4章安全需求與安全策略 6課時 4 1安全需求 1 定義所謂安全需求 就是在設(shè)計安全系統(tǒng)時期望得到的安全保障 2 用戶對信息系統(tǒng)的安全需求主要包括 機(jī)密性需求 完整性需求 可記賬性需求 可用性需求 2020年3月29日星期日 4 第4章安全需求與安全策略 6課時 4 2安全策略 所謂安全策略 就是針對面臨的威脅決定采用何種對策的方法 安全策略為針對威脅而選擇和實行對策提供了框架 4 2 1定義在計算機(jī)領(lǐng)域 安全系統(tǒng)的安全就是指該系統(tǒng)達(dá)到了當(dāng)初設(shè)計時所制定的安全策略的要求 計算機(jī)系統(tǒng)可以用一系列可以改變狀態(tài)的轉(zhuǎn)換函數(shù)組成的有限狀態(tài)自動機(jī)表示 則安全策略可以定義為這樣一種狀態(tài) 它將系統(tǒng)狀態(tài)分為已授權(quán) 安全的狀態(tài)和未授權(quán) 非安全的狀態(tài) 在有限自動機(jī)下 一個安全系統(tǒng)是指 一個如果起始狀態(tài)為授權(quán)狀態(tài) 其后也不會進(jìn)入未授權(quán)狀態(tài)的系統(tǒng) 2020年3月29日星期日 5 第4章安全需求與安全策略 6課時 4 2 1定義 如圖所示 是一個不安全的系統(tǒng) 因為存在從S1到S3的轉(zhuǎn)換過程 系統(tǒng)就可以從一個授權(quán)狀態(tài)進(jìn)入一個未授權(quán)的狀態(tài) 在機(jī)密性方面 應(yīng)當(dāng)標(biāo)識出所有將信息泄漏給未經(jīng)授權(quán)者的狀態(tài) 在完整性方面 安全策略應(yīng)當(dāng)標(biāo)識出可用來更改信息的授權(quán)途徑 同時也要標(biāo)識出能夠更改信息的被授權(quán)的實體 在可用性方面 安全策略必須描述應(yīng)提供什么樣的服務(wù) 安全策略應(yīng)描述如何通過系統(tǒng)提供的參數(shù)來獲得相應(yīng)的服務(wù)并保證服務(wù)達(dá)到預(yù)先設(shè)計的質(zhì)量 2020年3月29日星期日 6 第4章安全需求與安全策略 6課時 4 2安全策略 4 2 2策略語言策略語言是用來表達(dá)安全性或完整性策略的語言 高級策略語言使用抽象的方法表達(dá)策略對于實體的約束 低級策略語言根據(jù)輸入或者調(diào)用選項來表達(dá)對系統(tǒng)中的程序約束 1 高級策略語言策略與實現(xiàn)無關(guān) 它描述對系統(tǒng)中實體或行為的約束 高級策略語言對策略的明確表達(dá) 這種精確度要求策略以數(shù)學(xué)的方法用公式來明確陳述 2020年3月29日星期日 7 第4章安全需求與安全策略 6課時 4 2 2策略語言 1 Pandey和Hashii開發(fā)了一種針對Java程序的高級策略約束語言 指定了對資源訪問的約束以及這些約束是如何繼承的 該策略語言 將實體表達(dá)為類或方法 類是一些被實施特定的訪問約束的對象的集合 方法是調(diào)用操作的方法的集合 當(dāng)主體s創(chuàng)建某個類c的一個實例 稱為實例化 記為 s c 當(dāng)主體s1執(zhí)行了另一個主體s2 稱之為調(diào)用 記為 s1 s2 訪問約束形式如下 deny sopx whenbop指 或者 s是一個主體 x另一個主體或類 b是一個布爾表達(dá)式 約束表明 當(dāng)條件b為真時 主體s不能對x執(zhí)行操作 若省去表達(dá)式中的x 則說明禁止對所有實體進(jìn)行操作 2020年3月29日星期日 8 第4章安全需求與安全策略 6課時 4 2 2策略語言 繼承 用了將各個訪問約束關(guān)聯(lián)起來 如果類c1的父類c2定義了方法f 則c1就繼承了f 存在約束如下 deny s c1 f whenb1deny s c2 f whenb2由于子類會繼承父類的約束 故b1和b2都約束了c1對f的調(diào)用 則隱含的約束是deny s c1 f whenb1 b2這種策略語言忽略了策略的具體實現(xiàn) 2020年3月29日星期日 9 第4章安全需求與安全策略 6課時 4 2 2策略語言 假設(shè)策略規(guī)定下載程序不能訪問Unix系統(tǒng)中的passwd文件 程序使用下面的類和方法訪問本地文件classfile publicfile Stringname publicStringgetfilename publiccharread 則存在如下的約束deny file read when file getfilename etc passwd 2020年3月29日星期日 10 第4章安全需求與安全策略 6課時 4 2 2策略語言 2 DTEL策略語言DTEL語言是從Boebert和Kain的研究成果中發(fā)展出來的 它將類型限制為兩種 數(shù)據(jù)和指令 DTEL語言根據(jù)語言的類型 將低級語言和高級語言的元素結(jié)合起來 在實現(xiàn)一級上進(jìn)行夠了來表達(dá)約束 DTEL語言將每個客體與一個類型關(guān)聯(lián) 而每個主體以一個域相關(guān)聯(lián) 能夠限制域成員對某種類型的客體所能執(zhí)行的操作 2020年3月29日星期日 11 第4章安全需求與安全策略 6課時 4 2 2策略語言 DTEL將Unix系統(tǒng)分為四個相互隔離的主體域 user d 普通用戶域admin d 管理員用戶域login d 兼容DTEL認(rèn)證過程的域daemon d 系統(tǒng)后臺守護(hù)進(jìn)程的域login d域中的登錄程序控制user d和admin d之間的訪問 系統(tǒng)從daemon d域開始運(yùn)行 2020年3月29日星期日 12 第4章安全需求與安全策略 6課時 4 2 2策略語言 DTEL將Unix的客體分為五個客體型 sysbin t 可執(zhí)行文件readable t 可讀文件writable t 可寫文件dte t DTE數(shù)據(jù)generic t 由用戶進(jìn)程產(chǎn)生的數(shù)據(jù)DTEL中定義客體型的語句如下 typereadable t writable t sysbin t dte t generic t 2020年3月29日星期日 13 第4章安全需求與安全策略 6課時 4 2 2策略語言 以daemon d域為例 domaindaemon d sbin init crwd writable t rxd readable t rd generic t dte t sysbin t auto login d 說明 當(dāng)init程序開始運(yùn)行時 首先在daemon d域中啟動 它能夠創(chuàng)建 c 讀取 r 寫入 w 和搜索 d writable t型中的任何客體 也能夠讀取 搜索和執(zhí)行 x readable t型中的任何客體 能夠讀取和搜索generic t sysbin t和dte t型中的任何客體 最后調(diào)用登錄程序 自動轉(zhuǎn)入login d域中 2020年3月29日星期日 14 第4章安全需求與安全策略 6課時 4 2 2策略語言 策略要求只有管理員主體才可以寫系統(tǒng)中的可執(zhí)行文件 domainadmin d usr bin sh usr bin csh usr bin ksh crwxd generic t rwxd readable t writable t dte t sysbin t sigtstp daemon d 說明 admin d域中的主體只能創(chuàng)建在generic t型中的客體 但可以讀 寫 執(zhí)行和搜索任何客體 另外admin d域中的主體還能夠利用sigtstp信號將daemon d域中執(zhí)行的進(jìn)程掛起 2020年3月29日星期日 15 第4章安全需求與安全策略 6課時 4 2 2策略語言 普通用戶域也必須受到類似的約束 domainuser d usr bin sh usr bin csh usr bin ksh crwxd generic t rxd sysbin t rwd writable t rd readable t dte t 說明 user d域中的主體 普通用戶 只能寫在writable t型中的客體 只能運(yùn)行sysbin t型中的客體 只能創(chuàng)建generic t型中的客體 但能讀 搜索所有型的客體 2020年3月29日星期日 16 第4章安全需求與安全策略 6課時 4 2 2策略語言 登錄域 login d 控制對用戶域 user d 和管理域 admin d 的訪問 這種控制是登錄域的唯一功能 對于登錄域的訪問嚴(yán)格地受到login程序的限制 domainlogin d usr bin login crwd writable t rd readable t generic t dte t setauth exec user d admin d 說明 login d域中的主體不能執(zhí)行任何其他程序 登錄域同時也被授權(quán)更改用戶ID的權(quán)限 2020年3月29日星期日 17 第4章安全需求與安全策略 6課時 4 2 2策略語言 起初 系統(tǒng)在開始于daemon d狀態(tài) 即initial domain daemon d 系統(tǒng)使用一系列assign語句設(shè)置客體的初始型 如 assign rgeneric t assign rwritable t usr var dev tmp assign rreadable t etc assign r sdte t dte assign r ssysbin t sbin bin usr bin usr sbin 其中 r表示該型可以被遞歸應(yīng)用 s表示該型與名稱綁定 如果客體被刪除 則新建的客體的型必須與刪除的客體相同 2020年3月29日星期日 18 第4章安全需求與安全策略 6課時 4 2 2策略語言 2 低級策略語言低級策略語言是一系列命令的輸入或參數(shù)設(shè)置 用了設(shè)置或檢查系統(tǒng)中的約束 例如 Linux窗口系統(tǒng)X11提供了一種對控制臺的訪問進(jìn)行控制的語言 該語言有命令xhosts和一種用了允許基于主機(jī)名的控衛(wèi)控制語法組成 如 xhosts groucho chico 2020年3月29日星期日 19 第4章安全需求與安全策略 6課時 4 2安全策略 4 2 3安全策略的分類基于信息應(yīng)用的場合 將安全策略分為兩大類 軍事安全策略和商用安全策略 前者側(cè)重信息的機(jī)密性要求 后者側(cè)重于信息的完整性 1 基于應(yīng)用場合的分類1 軍事安全策略也稱為政府安全策略 是一種以提供信息機(jī)密性為主要目的的安全策略 但同時還涉及完整性 可記賬性以及可用性 2 商業(yè)安全策略以提供完整性為主要目的的安全策略 同時涉及機(jī)密性 可記賬性以及可用性 2020年3月29日星期日 20 第4章安全需求與安全策略 6課時 4 2 3安全策略的分類 Lipner指出商業(yè)安全策略中需要注意五個方面 用戶不能寫自己的程序 但能使用現(xiàn)有的產(chǎn)品程序和數(shù)據(jù)庫 程序員可以在非產(chǎn)品的系統(tǒng)中開發(fā)和測試程序 必須要有一個特殊處理 用了將程序從開發(fā)系統(tǒng)安裝到產(chǎn)品系統(tǒng)中 方面3 中的特殊處理必須被控制和審計 管理員和審計員能訪問系統(tǒng)狀態(tài)和系統(tǒng)日志 這些要求體現(xiàn)出如下的操作原則 職責(zé)分離原則 功能分離原則 審計原則 2020年3月29日星期日 21 第4章安全需求與安全策略 6課時 4 2 3安全策略的分類 2 基于安全策略內(nèi)涵的分類訪問控制策略 基于安全策略內(nèi)涵中的機(jī)密性和完整性要求 訪問支持策略 基于安全策略內(nèi)涵中的可記賬性和可用性要求 2020年3月29日星期日 22 第4章安全需求與安全策略 6課時 4 3訪問控制策略 在信息系統(tǒng)中與訪問控制策略相關(guān)的因素有三大類 主體 客體以及相應(yīng)的可用作訪問控制的主客體屬性 4 3 1訪問控制屬性1 主體所謂主體 就是指系統(tǒng)內(nèi)行為的發(fā)起者 通常是指由用戶發(fā)起的進(jìn)程 對于系統(tǒng)中的用戶而言 可以分為如下幾類 普通用戶 user 信息擁有者 owner 系統(tǒng)管理員 administrator 2020年3月29日星期日 23 第4章安全需求與安全策略 6課時 4 3 1訪問控制屬性 2 客體是指信息系統(tǒng)內(nèi)所有主體行為的直接承擔(dān)者 可分為如下幾類 一般客體 設(shè)備客體 特殊客體3 主 客體屬性訪問控制策略還包括以下幾個因素 主體的屬性 客體的屬性 系統(tǒng)的環(huán)境或上下文屬性 每個系統(tǒng)必須選擇以上三類相關(guān)的屬性進(jìn)行訪問控制策略的決策 2020年3月29日星期日 24 第4章安全需求與安全策略 6課時 4 3 1訪問控制屬性 1 主體屬性 用戶特征 是系統(tǒng)用來決定訪問控制的最常用因素 通常用戶的任何屬性都可以作為訪問控制的決策點(diǎn) 常用的用戶屬性有 用戶ID 組ID 用戶訪問許可級別 需知 原則 角色 能力列表 2020年3月29日星期日 25 第4章安全需求與安全策略 6課時 4 3 1訪問控制屬性 2 客體屬性 客體特征 客體特征屬性包括如下幾個方面 敏感性標(biāo)簽 訪問控制列表 外部狀態(tài) 數(shù)據(jù)內(nèi)容 上下文環(huán)境 其他 2020年3月29日星期日 26 第4章安全需求與安全策略 6課時 4 3訪問控制策略 4 3 2自主訪問控制策略相對于強(qiáng)制訪問控制策略 自主訪問控制策略能夠提供一種更為精細(xì)的訪問控制粒度 一般來說 自主訪問控制策略是基于系統(tǒng)內(nèi)用戶加上訪問授權(quán) 如能力列表CLs 或者客體的訪問屬性 如ACL 來決定該用戶是否具有相應(yīng)的權(quán)限訪問客體 也可以基于要訪問的信息內(nèi)容或是基于用戶在發(fā)出對信息訪問相應(yīng)請求時所充當(dāng)?shù)慕巧珌磉M(jìn)行訪問控制的 在實際的計算機(jī)內(nèi) 自主訪問控制策略使用三元組 S O A 表示 相對于強(qiáng)制訪問控制策略中的訪問模式只能是 讀 和 寫 自主訪問控制策略的優(yōu)點(diǎn)還表現(xiàn)在其訪問模式設(shè)定非常靈活 自主訪問控制策略的靈活性特征 使得它更適用于各種操作系統(tǒng)和應(yīng)用程序 2020年3月29日星期日 27 第4章安全需求與安全策略 6課時 4 3 2自主訪問控制策略 自主訪問控制策略的缺點(diǎn) 不能防范 特洛伊木馬 或某些形式的 惡意程序 為此 在系統(tǒng)內(nèi)進(jìn)行自主訪問控制的同時 利用強(qiáng)制訪問控制策略加強(qiáng)系統(tǒng)的安全性就顯得非常重要 2020年3月29日星期日 28 第4章安全需求與安全策略 6課時 4 3訪問控制策略 4 3 3強(qiáng)制訪問控制策略強(qiáng)制訪問控制策略既可以防止對信息的非授權(quán)篡改 也可以防止未授權(quán)的信息泄漏 在特定的強(qiáng)制訪問控制策略中 標(biāo)簽可以不同的形式來實現(xiàn)信息的完整性和機(jī)密性 在強(qiáng)制訪問控制機(jī)制下 系統(tǒng)的每個用戶或主體被賦予一個訪問標(biāo)簽 以表示該主體對敏感客體的訪問許可級別 每個客體被賦予一個敏感性標(biāo)簽 用來表示該信息的敏感性級別 引用監(jiān)視器 通過比較主 客體相應(yīng)的標(biāo)簽來決定是否授予主體對客體的訪問請求 在強(qiáng)制訪問控制策略中 訪問三元組 S O A 與自主訪問控制相同 但訪問方式A只能取 讀 和 寫 2020年3月29日星期日 29 第4章安全需求與安全策略 6課時 4 3 3強(qiáng)制訪問控制策略 強(qiáng)制訪問控制策略的顯著特征是 全局性 和 永久性 即在強(qiáng)制訪問控制策略中 無論何時何地 主 客體的標(biāo)簽是不會改變的 這一特征在多級安全體系中稱為 寧靜性原則 對于具體的訪問控制策略 如果同時具備 全局性 和 永久性 特征 其標(biāo)簽集合在數(shù)學(xué)上將形成 偏序關(guān)系 即支持如下的三個基本特征 反身性 x x 反對稱性 x y且y x 則x y 傳遞性 x y且y z 則x z 在訪問控制策略中 訪問標(biāo)簽集合中的元素之間的關(guān)系于上述三種特征中的任何一種不符合 強(qiáng)制訪問策略的兩大特征 即全局性和永久性必有一個要被破壞 2020年3月29日星期日 30 第4章安全需求與安全策略 6課時 4 3 3強(qiáng)制訪問控制策略 綜上所述 若一個訪問控制策略使用的主客體訪問標(biāo)簽不滿足 偏序 關(guān)系 則此訪問控制策略不能稱為強(qiáng)制訪問控制策略 只能稱為自主訪問控制策略 強(qiáng)制訪問控制策略和自主訪問控制策略在功能上的最大區(qū)別在于是否能夠防備 特洛伊木馬 或 惡意 程序的攻擊 若一個系統(tǒng)內(nèi)存在兩種強(qiáng)制訪問控制策略 則該系統(tǒng)內(nèi)的主 客體必有兩類不同的訪問標(biāo)簽 每類標(biāo)簽于一個強(qiáng)制訪問控制策略對應(yīng) 2020年3月29日星期日 31 第4章安全需求與安全策略 6課時 4 4訪問支持策略 訪問支持策略用來保障訪問控制策略的正確實施提供可靠的 支持 所有這些策略統(tǒng)稱為訪問支持策略 通常 這類安全策略是為了將系統(tǒng)中的用戶與訪問控制策略中的主體聯(lián)系起來 訪問支持策略包含多個方面 以TCSEC為例 它將系統(tǒng)的訪問支持策略分為六類 標(biāo)識與鑒別 可記賬性 確切保證 連續(xù)保護(hù) 客體重用 隱蔽信道處理 2020年3月29日星期日 32 第4章安全需求與安全策略 6課時 4 4訪問支持策略 4 4 1標(biāo)識與鑒別TCSEC的標(biāo)識與鑒別策略要求以一個身份來標(biāo)識用戶 并且此身份必須經(jīng)過系統(tǒng)的認(rèn)證與鑒別 可以用作身份認(rèn)證的信息主要有 用戶所知道的信息 用戶名 口令機(jī)制 用戶所擁有的信息 智能卡機(jī)制等 用戶是誰 生物學(xué)特征 1 基于第一類信息的最常見的實現(xiàn)形式是用戶口令機(jī)制 基于口令形式的身份認(rèn)證機(jī)制 其有效性取決于用戶口令的安全性 2020年3月29日星期日 33 第4章安全需求與安全策略 6課時 4 4 1標(biāo)識與鑒別 在美國國防部密碼管理指南中 提供了一套基于口令的用戶認(rèn)證機(jī)制 包括 安全管理職責(zé) 用戶職責(zé) 技術(shù)因素 2 基于第二類信息身份認(rèn)證 利用用戶所擁有的東西來作為對其身份的認(rèn)證 3 基于第三類信息的身份認(rèn)證是依賴于用戶的生物學(xué)特征 2020年3月29日星期日 34 第4章安全需求與安全策略 6課時 4 4訪問支持策略 4 4 2可記賬性可記賬性 又稱為審計 它是現(xiàn)實生活中的復(fù)式簿記的數(shù)字化反映 對高度重視安全的地方極其重要 TCSEC的可記賬性策略要求任何影響系統(tǒng)安全性的行為都要被跟蹤并記錄下了 系統(tǒng)TCB必須擁有將用戶的ID與它被跟蹤 審計的行為聯(lián)系起來的能力 TCSEC標(biāo)準(zhǔn)規(guī)定審計系統(tǒng)應(yīng)能夠記錄以下事件 與標(biāo)識和鑒別機(jī)制相關(guān)的事件 將客體導(dǎo)入用戶地址空間的操作 對客體的刪除 由系統(tǒng)管理員或安全管理員所執(zhí)行的所有操作 以及其他與安全相關(guān)的事件等 2020年3月29日星期日 35 第4章安全需求與安全策略 6課時 4 4 2可記賬性 對事件的審計記錄項至少應(yīng)包括事件發(fā)生的日期和時間 用戶ID 事件的類型 事件成功或失敗 對于B2級以上的系統(tǒng) 要求審計系統(tǒng)能夠記錄用來探測隱蔽存儲通道 對于識別與鑒別機(jī)制相關(guān)事件的審計 審計記錄還應(yīng)包括請求源 對于將客體導(dǎo)入用戶地址空間的操作和刪除可以的操作 審計記錄應(yīng)包括客體的名稱以及客體的安全級別 一個良好的審計系統(tǒng)能夠選擇需要記錄的審計事件是必備的功能 2020年3月29日星期日 36 第4章安全需求與安全策略 6課時 4 4訪問支持策略 4 4 3確切保證定義 是指系統(tǒng)事先制定的安全策略能夠得到正確的執(zhí)行 且系統(tǒng)保護(hù)相關(guān)的元素能夠真正精確可靠的實施安全策略的意圖 作為擴(kuò)展 確切保證 必須確保系統(tǒng)的TCB嚴(yán)格按照事先設(shè)計的方式來運(yùn)行 為了達(dá)到這些目標(biāo) TCSEC規(guī)定了兩種類型的 確切保證 生命周期保證 安全系統(tǒng)開發(fā)企業(yè)從系統(tǒng)設(shè)計 開發(fā)和分發(fā) 安裝 維護(hù)各個環(huán)節(jié)所制定的措施 目標(biāo)以及執(zhí)行的步驟 包括安全性測試 設(shè)計規(guī)范和驗證等 操作保證 主要針對用來保證系統(tǒng)在操作過程中安全策略不會被歪曲的功能特征和系統(tǒng)架構(gòu) 包括系統(tǒng)架構(gòu) 系統(tǒng)的完整性 隱蔽信道分析 可信實施管理以及可信恢復(fù) 2020年3月29日星期日 37 第4章安全需求與安全策略 6課時 4 4訪問支持策略 4 4 4連續(xù)保護(hù)TCSEC的連續(xù)保護(hù)策略要求 可信機(jī)制的實施必須連續(xù)不斷地保護(hù)系統(tǒng)免遭篡改和非授權(quán)的改變 并且要求連續(xù)保護(hù)機(jī)制必須在計算機(jī)系統(tǒng)整個生命周期內(nèi)起作用 4 4 5客體重用定義 重新分配給某些主體的介質(zhì)包含有一個或多個客體 為安全地重新分配這些資源的目的 這些資源在重新分配給新主體時不能包含任何殘留信息 2020年3月29日星期日 38 第4章安全需求與安全策略 6課時 4 4訪問支持策略 4 4 6隱蔽信道TCSEC中定義為 可以被進(jìn)程利用 以違反系統(tǒng)安全策略的方式進(jìn)行非法傳輸信息的通信通道 包括兩類 存儲隱蔽信道和時間隱蔽信道 存儲隱蔽信道 包括所有允許一個進(jìn)程直接或間接地寫存儲客體 而允許另一個客體對該客體進(jìn)行直接或間接的讀訪問的傳輸手段 時間隱蔽信道 包括進(jìn)程通過調(diào)節(jié)自己對系統(tǒng)資源的使用向另一個進(jìn)程發(fā)送信號信息 后者通過觀察響應(yīng)時間的改變而進(jìn)行信息傳輸?shù)氖侄?2020年3月29日星期日 39 第4章安全需求與安全策略 6課時 4 5DTE策略 1991年BrienR O 和RogersC 提出了DTE訪問控制技術(shù) 它依據(jù)安全策略限制進(jìn)程進(jìn)行訪問 是TE策略的擴(kuò)展 DTE使域和每個正在運(yùn)行的進(jìn)程相關(guān)聯(lián) 型和每個對象關(guān)聯(lián) 如果一個域不能以某種模式訪問某個型 則該域的進(jìn)程不能以該模式訪問那個型的對象 當(dāng)進(jìn)程試圖訪問文件時 DTEUnix系統(tǒng)內(nèi)核在做標(biāo)準(zhǔn)Unix許可檢查之前 作DTE許可檢查 一個域的進(jìn)程訪問一個型中的客體時 訪問模式包括 讀 r 寫 w 執(zhí)行 x 目錄查找 d 型創(chuàng)建 c 每個i節(jié)點(diǎn)包括三個指針 分別表示目錄或文件的型etype值 目錄下所有文件或子目錄的型 包括該目錄rtype值和目錄下所有文件或子目錄的型 不包括該目錄utype值 2020年3月29日星期日 40 第4章安全需求與安全策略 6課時 4 5DTE策略 以下的規(guī)則決定一個文件的型 設(shè)置文件的etype 如果存在一條規(guī)則將etype賦給一個文件 則就使用這條規(guī)則 如果不存在這樣一條規(guī)則 但存在一條規(guī)則將rtype賦給這個文件 則該文件的etype就與rtype一樣 如果也不存在 則該文件的型就由其父目錄的utype繼承得到 設(shè)置文件的utype 如果存在規(guī)則將utype賦給一個文件 則就使用這條規(guī)則 如果不存在 但存在規(guī)則將rtype賦給該文件 則該文件的utype與rtype一樣 如果也不存在 則文件的utype型由其父目錄的utype繼承得到 設(shè)置文件的rtype 如果存在規(guī)則將rtype賦給一個文件 則就使用這條規(guī)則 如果不存在 則該文件的rtype為空 2020年3月29日星期日 41 第4章安全需求與安全策略 6課時 4 5DTE策略 當(dāng)一個域的入口點(diǎn)文件執(zhí)行時 有三類可能的域轉(zhuǎn)化 自動轉(zhuǎn)化 自愿轉(zhuǎn)換 空的轉(zhuǎn)化 DTE策略文件由四個部分組成 列舉出所有的域和型 給出所有域的詳細(xì)定義 制定文件系統(tǒng)根及其缺省類型 還指定一個初始域 列出型分配規(guī)則 DTE使用友好的高級語言來指定策略 2020年3月29日星期日 42 第4章安全需求與安全策略 6課時 4 5DTE策略 4 5 1域的劃分DTE把所有進(jìn)程劃分為7個域 1 守護(hù)進(jìn)程域 daemon d 與系統(tǒng)守護(hù)進(jìn)程相關(guān)的域 包括init 初始域 入口文件 sbin init域daemon d可以自動轉(zhuǎn)化到login d和trusted d 域daemon d中定義 rxd bin t 即允許域daemon d中的進(jìn)程讀 執(zhí)行和搜索系統(tǒng)二進(jìn)制文件 但不能修改 rd base t conf t 即允許守護(hù)進(jìn)程讀取 但不能修改基型文件和系統(tǒng)配置文件 其中conf t型包括 etc下的所有文件 base t包括系統(tǒng)根目錄下的所有未賦其它型的文件 2020年3月29日星期日 43 第4章安全需求與安全策略 6課時 4 5 1域的劃分 2 可信域 trusted d 與系統(tǒng)可信進(jìn)程 fsck mount mfs syslogd 相關(guān)的域入口文件 sbin fsck mount mfs usr sbin syslogd當(dāng)daemon d中的進(jìn)程調(diào)用域trusted d的入口文件時 則域login d自動轉(zhuǎn)化到域trusted d trusted d域不再轉(zhuǎn)化到其他域 trusted d域中定義 rwd syslog t disk t 即域trusted d可以讀 寫和查找型syslog t和型disk t syslog t型賦給系統(tǒng)審計日志文件 usr var log usr var run syslog pid utmp 型disk t賦給了磁盤設(shè)備文件 dev rsd0a rsd0b rsd0g rsd0h sd0a sd0b sd0g sd0h rd base t conf t 即允許可信域中的守護(hù)進(jìn)程讀取但不能修改基型文件和系統(tǒng)配置文件 2020年3月29日星期日 44 第4章安全需求與安全策略 6課時 4 5 1域的劃分 3 注冊域 login d 與DTElogin相關(guān)的域入口文件 usr bin dtelogin當(dāng)daemon d中的進(jìn)程調(diào)用域login d的入口文件時 域daemon d自動轉(zhuǎn)化到域login d 實際上 當(dāng)用戶域user d 系統(tǒng)域system d或管理域admin d調(diào)用login d域的入口文件時 都可自動轉(zhuǎn)化到login d域 只有通過login d域才能按要求轉(zhuǎn)化到user d system d和admin d 因此login d是不可以繞過的 只有一個二進(jìn)制文件可以允許在login d域中 即dtelogin 2020年3月29日星期日 45 第4章安全需求與安全策略 6課時 4 5 1域的劃分 login d域中定義了 rd base t conf t secpolicy t syslog t secpolicy log t cipher t 即允許login程序讀取 搜索但不能修改基型文件 系統(tǒng)配置文件 安全策略文件 系統(tǒng)日志文件 密碼文件 安全策略日志文件 secpolicy t賦給 dte下的所有文件 cipher t賦給目錄 etc下不包括本身的文件 master passwd spwd db pwd db passwd和其他與認(rèn)證相關(guān)的文件 w usr log t 即login程序可以寫訪問usr log t型文件 usr log t型賦值給 usr var log下 不包括目錄本身 的兩個文件wtmp lastlog 2020年3月29日星期日 46 第4章安全需求與安全策略 6課時 4 5 1域的劃分 對login程序的擴(kuò)展和增強(qiáng)可以通過如下方式 注冊時 用戶提出角色和域要求 如果用戶被認(rèn)證通過所要求的角色 且域要求允許 login程序調(diào)用初始域中域角色 域相關(guān)的該用戶shell 從而按要求轉(zhuǎn)化到另一個域 注意 普通用戶角色和進(jìn)入系統(tǒng)管理域admin d的管理用戶角色都可以使用特權(quán) 調(diào)用 usr bin passwd 來修改自己的口令 而進(jìn)入管理域admin d用戶角色則可以直接修改所有用戶口令 2020年3月29日星期日 47 第4章安全需求與安全策略 6課時 4 5 1域的劃分 4 用戶域 user d 與普通用戶的會話相關(guān)的域 入口文件 各種shell程序 bin ash bash csh sh tcsh 兩種方式可以進(jìn)入到域user d 注冊時 若用戶提出普通用戶角色要求并認(rèn)證通過 login程序?qū)⒄{(diào)用初始域中與普通用戶角色相關(guān)的用戶shell 域login d特權(quán) 從而按所提出的要求轉(zhuǎn)化到域user d 若管理域admin d中的管理員 提出轉(zhuǎn)化到用戶域user d的請求 并調(diào)用域user d的入口shell程序 則按要求從admin d轉(zhuǎn)化到user d 2020年3月29日星期日 48 第4章安全需求與安全策略 6課時 4 5 1域的劃分 user d域可以轉(zhuǎn)化到network appli d域和login d域 user d中的某個進(jìn)程調(diào)用域network appli d的入口文件 ftp telnet http等網(wǎng)絡(luò)應(yīng)用相關(guān)的程序 就自動轉(zhuǎn)化到network appli d域中 調(diào)用login d域的入口文件 就可以自動轉(zhuǎn)化到login d中 user d定義了 user d域允許讀取和查找系統(tǒng)中的所有文件 不過 對這些文件的訪問還要受到普通Unix機(jī)制的額外限制 x bin t base t user t 即user d域可以執(zhí)行二進(jìn)制文件 基型文件和user d域創(chuàng)建的文件 user t型賦值給 home的所有文件 包括目錄本身 crwxd user t 其中 c 表示對于域user d中創(chuàng)建愛的對象 如果沒有被進(jìn)程指定型 則自動賦行user t 2020年3月29日星期日 49 第4章安全需求與安全策略 6課時 4 5 1域的劃分 域user d里的進(jìn)程可以修改或創(chuàng)建型為writable t 創(chuàng)建時明確指定型 的文件 管理員用戶必須通過注冊域login d注冊到管理域admin d 才可以實現(xiàn)所有的管理功能 系統(tǒng)操作員也必須通過注冊域login d注冊到系統(tǒng)操作域system d才可實現(xiàn)所有特定的系統(tǒng)操作 2020年3月29日星期日 50 第4章安全需求與安全策略 6課時 4 5 1域的劃分 5 系統(tǒng)操作用戶域 system d 與系統(tǒng)操作用戶的會話相關(guān)的域 入口文件 各種shell程序 bin ash bash csh sh tcsh 若用戶提出管理用戶角色 系統(tǒng)管理員sysadmin 安全管理員secadmin 審計管理員audadmin或網(wǎng)絡(luò)管理員netadmin 要求并認(rèn)證通過 且要求進(jìn)入到系統(tǒng)域system d login程序?qū)⒄{(diào)用初始域中與該管理用戶角色 域system d相關(guān)的用戶shell 域login d特權(quán) 從而按所提出的要求轉(zhuǎn)化到域system d 可見 以上5個管理角色都進(jìn)入同一個域 即system d中 但system d域中每個系統(tǒng)用戶的訪問權(quán)限是該管理用戶角色特權(quán)和域system d的權(quán)限交集 2020年3月29日星期日 51 第4章安全需求與安全策略 6課時 4 5 1域的劃分 system d可轉(zhuǎn)化到域network appli d login d和daemon d 當(dāng)system d中某個進(jìn)程調(diào)用域network appli d的入口文件 ftp telnet http等網(wǎng)絡(luò)應(yīng)用相關(guān)的程序 就自動轉(zhuǎn)化到network appli d域中 調(diào)用login d域的入口文件 就可以自動轉(zhuǎn)化到login d中 提出請求轉(zhuǎn)化到域daemon d并執(zhí)行域daemon d的入口程序 sbin init 則進(jìn)入daemon d system d域允許讀取和查找系統(tǒng)中的所有型的文件 system d域中的操作員不能做一些重要的系統(tǒng)修改 但能使修改生效 system d可以發(fā)送信號sigstp到域daemon d 以重啟系統(tǒng) 2020年3月29日星期日 52 第4章安全需求與安全策略 6課時 4 5 1域的劃分 6 管理域 admin d 與系統(tǒng)管理會話相關(guān)的域 入口文件 各種shell程序 bin ash bash csh sh tcsh 用戶注冊到系統(tǒng)時 若用戶提出管理用戶角色 系統(tǒng)管理員sysadmin 安全管理員secadmin 審計管理員audadmin或網(wǎng)絡(luò)管理員netadmin 要求并認(rèn)證通過 且要求進(jìn)入到管理域admin d login程序?qū)⒄{(diào)用初始域中與該管理用戶角色相關(guān)的 該用戶shell 域login d特權(quán) 從而按所提出的要求轉(zhuǎn)化到域admin d 可見 以上5個管理角色都進(jìn)入同一個域 即管理域admin d中 但admin d域中每個系統(tǒng)用戶的訪問權(quán)限是該管理用戶角色特權(quán)和域admin d的權(quán)限交集 2020年3月29日星期日 53 第4章安全需求與安全策略 6課時 4 5 1域的劃分 admin d域可以轉(zhuǎn)化到network appli d域 login d域和trusted d域 當(dāng)admin d的某個進(jìn)程調(diào)用域network appli d的入口文件 ftp telnet http等網(wǎng)絡(luò)應(yīng)用相關(guān)的程序 就自動轉(zhuǎn)化到network appli d域中 調(diào)用login d域的入口文件 就可以自動轉(zhuǎn)化到login d中 提出請求轉(zhuǎn)化到域trusted d并執(zhí)行域trusted d的入口程序 sbin fsck usr sbin syslogd等 則進(jìn)入trusted d 域admin d允許讀 寫和查找系統(tǒng)中的所有型的文件 安全管理員可以創(chuàng)建和修改DTE策略文件 多級安全策略文件和密碼文件 cipher t 審計管理員可以創(chuàng)建和修改系統(tǒng)日志文件syslog t和usr log t型文件 網(wǎng)絡(luò)管理員可以創(chuàng)建和修改網(wǎng)絡(luò)配置文件來管理網(wǎng)絡(luò) 2020年3月29日星期日 54 第4章安全需求與安全策略 6課時 4 5 1域的劃分 7 網(wǎng)絡(luò)應(yīng)用域 network appli d 域網(wǎng)絡(luò)應(yīng)用進(jìn)程相關(guān)的域 入口文件 Mosaic netscape ftp telnet http等域網(wǎng)絡(luò)應(yīng)用相關(guān)的可執(zhí)行程序 三種方式可以進(jìn)入到域network appli d 當(dāng)user d中的某個進(jìn)程調(diào)用network appli d域的入口文件 就自動轉(zhuǎn)到域network appli d中 當(dāng)域system d中的某個進(jìn)程調(diào)用域network appli d的入口文件 就自動轉(zhuǎn)入其中 當(dāng)admin d域中的某進(jìn)程調(diào)用域network appli d的入口文件 就自動轉(zhuǎn)入其中 域network appli d不再進(jìn)入到其他域 當(dāng)域network appli d的進(jìn)程終止后 域network appli d無效 2020年3月29日星期日 55 第4章安全需求與安全策略 6課時 4 5 1域的劃分 network appli d域限制其中的進(jìn)程修改系統(tǒng)重要文件 即使獲得特權(quán)也不例外 所有在域network appli d里創(chuàng)建文件 若沒有被指定型 則自動被賦予network t 型network d賦予如下文件 usr home ken MCOM HTTP cookie file MCOM preferences MCOM bookmarks html MCOM cache usr home ken mosaic global history mosaic hotlist default mosaicpid mosaic personal annotations 域network appli d可以執(zhí)行系統(tǒng)二進(jìn)制文件和型network t的文件 除writable t的文件外 只能寫型network t的文件 型writable t賦予目錄 user var dev tmp下的所有文件 2020年3月29日星期日 56 第4章安全需求與安全策略 6課時 4 5DTE策略 4 5 2型的劃分DTE把所有文件和客體為15種型 1 base t 基型文件系統(tǒng)根目錄下 包括根目錄 的所有為經(jīng)其他賦型語句賦型的目錄或文件 又稱缺省型 2 bin t系統(tǒng)二進(jìn)制文件 包括 目錄 bin sbin usr bin sbin 目錄 usr contrib bin usr libexec和其下的所有文件 目錄 usr games usr local etc和其下的所有文件 文件 etc uucp daily weekely uuxqt hook 2020年3月29日星期日 57 第4章安全需求與安全策略 6課時 4 5 2型的劃分 3 conf t系統(tǒng)配置文件 包括 文件 etc uucp daily weekely uuxqt hook 型bin t 文件 etc master passwd spwd db pwd db passwd 型cipher t 目錄 etc及其下的其他文件4 writable t可能被多數(shù)進(jìn)程更新的系統(tǒng)信息文件 包括普通設(shè)備文件 包括 目錄 usr var log及其下的所有文件 型syslog t 文件 usr var run syslog pid utmp 型syslog t 文件 usr var log wtmp lastlog 型user log t 目錄 usr var及其下的所有文件 除了文件 dev kmem mem drun 型trusted t 文件 dev rsd0a rsd0b rsd0g rsd0h sd0a sd0b sd0g sd0h trusted t 2020年3月29日星期日 58 第4章安全需求與安全策略 6課時 4 5 2型的劃分 目錄 dev及其下的其他文件 目錄 tmp及其下的其他文件5 user t用戶文件 用戶宿主目錄及其下的所有文件6 secpolicy t安全策略文件 包括 除了 dte DTE策略日志文件外的 dte目錄及其下的所有文件 除了 多級策略目錄名 多級策略日志文件外的目錄 多級策略目錄名 及其下的所有文件 2020年3月29日星期日 59 第4章安全需求與安全策略 6課時 4 5 2型的劃分 7 syslog t系統(tǒng)日志文件 包括 目錄 usr var log及其下的所有文件 文件 usr var run syslog pid utmp 8 usr log t用戶日志文件 只有l(wèi)ogin程序能寫該型文件 包括 usr var log wtmp lastlog 9 secpolicy log t安全策略日志文件 包括 dte DTE策略日志文件 多級策略目錄名 多級策略日志文件 2020年3月29日星期日 60 第4章安全需求與安全策略 6課時 4 5 2型的劃分 10 cipher t密碼文件 包括 文件 etc master passwd spwd db pwd db passwd 與認(rèn)證和安全策略相關(guān)的數(shù)據(jù)庫和表work t由網(wǎng)絡(luò)應(yīng)用寫的文件 包括 文件 usr home ken MCOM HTTP cookie file MCOM preferences MCOM bookmarks html MCOM cache usr home ken mosaic global history mosaic hotlist default mosaicpid mosaic personal annotations 其他網(wǎng)絡(luò)應(yīng)用可寫訪問的文件 e g ftp telnet 2020年3月29日星期日 61 第4章安全需求與安全策略 6課時 4 5 2型的劃分 12 trusted t可信進(jìn)程 包括 程序 usr bin dtelogin 程序 sbin fsck mount mfs 程序 usr bin syslogd 程序 usr bin dtepasswd13 mem t內(nèi)存設(shè)備特殊文件 包括 文件 dev kmem mem drun dev rsd0a rsd0b rsd0g rsd0h sd0a sd0b sd0g sd0h 2020年3月29日星期日 62 第4章安全需求與安全策略 6課時 4 5 2型的劃分 14 disk t磁盤設(shè)備特殊文件 包括 dev rsd0a rsd0b rsd0g rsd0h sd0a sd0b sd0g sd0h 15 lp t打印設(shè)備文件 包括 dev lp0 lp1 lp2 2020年3月29日星期日 63 第4章安全需求與安全策略 6課時 4 5DTE策略 4 5 3賦型規(guī)則采用assign語句進(jìn)行賦型 其中參數(shù) r 表明將型賦值給后面的路徑下的所有文件 s 表明與文件相關(guān)的型在運(yùn)行時不能改變 即使該文件已經(jīng)被另一個不同的文件取代 例如 assign rbase t assign rsecpolicy t dte 2020年3月29日星期日 64 第4章安全需求與安全策略 6課時 4 5 3賦型規(guī)則 12 trusted t可信進(jìn)程 包括 程序 usr bin dtelogin 程序 sbin fsck mount mfs 程序 usr bin syslogd 程序 usr bin dtepasswd13 mem t內(nèi)存設(shè)備特殊文件 包括 文件 dev kmem mem drun dev rsd0a rsd0b rsd0g rsd0h sd0a sd0b sd0g sd0h 2020年3月29日星期日 安全操作系統(tǒng)原理與技術(shù) 謝謝大家