收藏
下载资源

selinux策略的等级信息分析

上传人:F****n 文档编号:95480541 上传时间:2019-08-19 格式:PPT 页数:35 大小:1.16MB
返回 下载 相关 举报
selinux策略的等级信息分析_第1页
第1页 / 共35页
selinux策略的等级信息分析_第2页
第2页 / 共35页
selinux策略的等级信息分析_第3页
第3页 / 共35页
selinux策略的等级信息分析_第4页
第4页 / 共35页
selinux策略的等级信息分析_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《selinux策略的等级信息分析》由会员分享,可在线阅读,更多相关《selinux策略的等级信息分析(35页珍藏版)》请在金锄头文库上搜索。

1、SELinux策略的等级信息分析,张谦 2010.4.14,Roadmap,背景 虚拟机系统策略分析 针对SELinux策略的等级信息分析方法 新想法讨论:实时策略分析,背景,安全互操作与全局访问控制 L. Gong and X.Qian. Computational issues in secure interoperation. IEEE Transactions Software Engineering. Vol. 22, No. 1, pp. 43-52 (1996),背景(续),安全互操作与全局访问控制 实现安全协作关键是访问控制策略的安全互操作,即融合各成员的本地策略而形成的全局访

2、问控制策略所支持的成员间数据访问必须与相关单一成员中的访问控制策略一致 安全互操作的两个原则: 自治性原则:在单一成员中被允许的访问必须被安全互操作所允许; 安全性原则:某单一成员中不被允许的访问必须被安全互操作所拒绝。,虚拟机系统策略分析,文献 Sandra Rueda, Hayawardh Vijayakumar, Trent Jaeger. Analysis of Virtual Machine System Policies. In Proceedings of the 14th ACM symposium on Access control models and technologi

3、es, P227-236, 2009 目标: VM policies & VMM policy VM-system policy ?安全目标 困难: 特权VM的存在,导致实际信息流不完全由VMM policy控制 策略的复杂性,规则过多,难于确定是否符合安全目标 各部分策略是独立开发的,缺乏整体规划,虚拟机系统策略分析(续),方法 简单的想法 将VMM policy和VM policies构建一个统一的信息流图,可以解决第一个困难 然而这种方法会受限于第二个困难 VM-system的特点 不同层次的策略:VMM policy控制VMM资源,VM policy控制OS资源 方法概述 只关心虚拟机

4、间通信相关策略(VMM策略和VM中互操作策略) 构建基于信息流的模型和相应的信息流图 使用信息流图分析策略是否满足安全目标,虚拟机系统策略分析(续),问题定义 在VM-system中,VMM实施了多级安全策略,每个VM的MAC策略都可能包含一个安全级别范围。 建立一个基于信息流的分析方法来确定是否所有VM间信息流都符合安全需求,虚拟机系统策略分析(续),VM-system策略模型 基础假设 VM-system中的vmi具有(1)一个label和(2)一个局部的MAC策略 这个label是一个完整性或机密性区间 定义1 VMs的完整性/机密性区间 VM-system中的VMs都被分配了完整性/机

5、密性区间 integrity/confidentiality函数将VM映射到其完整性/机密性区间 lint/hint函数分别返回区间的最低/最高完整性级别 lconf/hconf函数分别返回区间的最低/最高机密性级别 定义2 第一类信息流(默认信息流) 默认信息流表现为VM间的只有VMM策略标记的通信信道,虚拟机系统策略分析(续),VM-system策略模型(续) 定义3 VM可见标记 VM可见标记是由两个不同VM上的应用程序分配给互相通信用的信道的标记,表示为vmi.l和vmj.l 定义4 第二类信息流(VM可见信息流) VM可见信息流表现为不同虚拟机上的两个应用程序间使用相关VM可见标记的

6、通信信道 定义5 VM信息流图 G=(V,E)是VM信息流图,其中 V包含(1)VMM策略分配给VMs的标记和(2)VM可见标记 E包含(1)VMM策略中允许的信息流和(2)VM可见标记引起的信息流,虚拟机系统策略分析(续),验证VM-system策略符合安全目标的算法 示例:一个VM-system中包含特权VM(dom0_t),服务VM(doms_t)以及两个用户VM(domu_t和domv_t)。dom0_t拥有对所有VMM资源的访问权限,同时监控所有VM对VMM资源的访问;doms_t运行了一个服务,domu_t和domv_t使用这个服务,这个服务使用两个信道进行通信,其中domu_t使

7、用c2_t的标记,domv_t使用c1_t的标记。,虚拟机系统策略分析(续),验证VM-system策略符合安全目标的算法(步骤1) 构建信息流图 V:VMM策略标记+VM可见标记 E:Type 1信息流+Type 2信息流,虚拟机系统策略分析(续),验证VM-system策略符合安全目标的算法(步骤2) 定义安全目标 定义安全目标信息流图 定义安全目标中的安全级别和策略中标记的映射,虚拟机系统策略分析(续),验证VM-system策略符合安全目标的算法(步骤3) 验证VM信息流是否符合规定 SAFE、UNSAFE、AMBIGUOUS,虚拟机系统策略分析(续),验证VM-system策略符合安

8、全目标的算法(步骤4) 找出信息流安全的VM 只作为SAFE信息流的源或目的节点存在的VM,虚拟机系统策略分析(续),验证VM-system策略符合安全目标的算法(步骤5) 消除歧义信息流 查看VM策略来确定歧义信息流的实际等级 示例中存在两类歧义信息流 dom0_t doms_t:由于dom0可信,相信dom0不会泄密,所以这类信息流是SAFE的 doms_t dom0_t:这类信息流是用于申请VMM资源的,dom0中资源管理的进程标记为priv,高于doms_t的标记,所以这类信息流也是SAFE的,虚拟机系统策略分析(续),验证VM-system策略符合安全目标的算法(步骤6) 验证每个V

9、M本身策略是否符合规定 定理 VM-system符合某个安全需求,当 所有VM间信息流符合安全需求 所有VM内信息流符合安全需求 示例中 domu_t、domv_t都是单一等级,无需验证 dom0_t是可信的,假设符合安全需求 doms_t可以使用信息流分析工具分析,虚拟机系统策略分析(续),总结 该方法首先将VM策略的等级和VMM策略的等级映射到安全目标的等级上,然后分析这种映射是否满足安全目标 问题 基本假设 VM-visible标记 VM策略可验证 针对环境 单一物理平台的虚拟机,针对SELinux策略的等级信息分析方法,针对环境 虚拟域环境 面对的威胁,针对SELinux策略的等级信息

10、分析方法(续),问题定位 背景分析 虚拟域环境中实施整体的多级安全策略 不同物理平台的VMM无法直接获得其它VM的策略信息 VM策略中不包含明显的等级信息 问题定位 安全目标?机密性保护/MLS策略 VMM策略等级?MLS策略 VM策略等级? 需要提取VM策略的等级信息 需要验证等级信息的可信,针对SELinux策略的等级信息分析方法(续),提取VM策略的等级信息 安全策略分类 基于格模型的安全策略 MLS/Biba/LOMAC 易于提取等级信息 基于访问控制矩阵的安全策略 TE/RBAC 难于提取等级信息,使用SELinux策略为例提出等级信息分析方法 验证等级信息的可信 使用可信agent

11、提取等级信息 构建远程证明协议证明agent和等级信息的完整性,针对SELinux策略的等级信息分析方法(续),方法初步设计 提取的等级信息符合BLP模型的简单安全属性和*-安全属性 首先提取信息流,分析信息流符合要求的主客体 方法步骤:,针对SELinux策略的等级信息分析方法(续),存在的问题及分析 问题:实际提取时无法提取出多等级 原因:实际系统中信息流不能完全满足BLP模型安全属性 可信主体与可信进程 BLP模型中*-属性限制过严,将导致无法根据严格的BLP模型来构建可用的安全系统,所以提出可信主体来超越*-属性 可信进程作为可信主体的一种实现方式,具有以下性质: 安全相关性 可信性

12、特权受控使用 完整性 可用性 正确性 无干扰性,针对SELinux策略的等级信息分析方法(续),改进的方法设计,针对SELinux策略的等级信息分析方法(续),基于XSB的实现 基本策略组件如右图 基本规则定义 一致性 consistent(T,R,U) 授权关系 auth(C,P,T1,R1,U1,T2,R2,U2) 直接信息流 flow_trans(T1,R1,U1,T2,R2,U2) 信息流 transitive_flow(T1,R1,U1,T2,R2,U2),针对SELinux策略的等级信息分析方法(续),基于XSB的实现(续) 新增规则定义 不含可信进程的信息流 infoflow_w

13、ithout_TP(T1,R1,U1,T2,R2,U2)是一个不流经可信进程的信息流,若(1)存在flow_trans(T1,R1,U1,_,_,T2,R2,U2),且不存在tp(T1)和tp(T2);或者(2)存在flow_trans(T3,R3,U3,_,_,T2,R2,U2)和infoflow_without_TP(T1,R1,U1,_,_,T3,R3,U3),且不存在tp(T2)。,针对SELinux策略的等级信息分析方法(续),基于XSB的实现(续) 新增规则定义(续) 同等级标记 型T1和T2在同一个等级上,表示为equal(T1,T2),若存在infoflow_without_T

14、P(T1,_,_,T2,_,_)和infoflow_without_TP(T2,_,_,T1,_,_)。 偏序等级 型T1比型T2的等级高,表示为higher(T1,T2),若存在infoflow_without_TP(T2,_,_,T1,_,_)却不存在infoflow_without_TP(T1,_,_,T2,_,_)。,针对SELinux策略的等级信息分析方法(续),基于XSB的实现(续) 新增规则定义(续) 同等级标记集合 T2在等级m的集合内,若存在equal(T1,T2)或equal(T2,T1)且T1在等级m的集合内。,针对SELinux策略的等级信息分析方法(续),基于XSB的

15、实现(续) 新增规则定义(续) 提取所有等级标记集合,针对SELinux策略的等级信息分析方法(续),基于XSB的实现(续) 新增规则定义(续) 将等级标记集合排序 首先定义level_finish(m,S)表示S集合是level(m)等级中所有标记的集合。然后将所有的等级标记集合作为元素建立一个新的集合level_set()。最后按照前面改进算法的第4步将等级标记集合排序。,针对SELinux策略的等级信息分析方法(续),验证等级信息的可信 构建可信agent 使用改写过的SELinux策略载入命令充当提取等级信息的代码模块,该命令在载入SELinux策略的过程中同时进行等级信息的提取。 构

16、建举证信息,针对SELinux策略的等级信息分析方法(续),验证等级信息的可信(续) 远程证明协议,新想法讨论:实时策略分析,触发动机 之前的策略分析方法都是针对整体策略进行分析 整体策略包含内容过多 难以提取策略的内容 难以符合某个安全目标 类比可执行文件安全性分析 专用操作系统保证系统中全部的可执行程序都是可信的,不通用,难于实现。 可信计算的度量验证机制只关心已运行的程序是否可信,减少验证对象,更通用更易于实现,新想法讨论:实时策略分析(续),实时策略分析想法 只针对当前时刻实际有效策略进行安全目标的分析 当前时刻实际有效策略 每个应用程序对应一部分策略 某一时刻只有部分的应用程序在运行 所以,当前时刻只有和这些应用程序相关的策略是有效的 策略提取 每个应用程序对应直接策略为一张信息流图 所有应用程序的信息流图连接起来构成全策略的信息流图 提取当前运行程序的信息流图链接起来构成当前有效策略信息流图 策略分析 图分析方法 逻辑编程语言分析方法,新想法讨论:实时策略分析(续),讨论 方法正确性? 应用场景? 提取的信息流图是否要包含已关闭程序的

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号