《2022年计算机安全设计方案一个改进BLP模型及在安全文件系统上应用》由会员分享,可在线阅读,更多相关《2022年计算机安全设计方案一个改进BLP模型及在安全文件系统上应用(13页珍藏版)》请在金锄头文库上搜索。
1、个人资料整理仅限学习使用计算机安全论文:一个改进的BLP 模型及在安全文件系统上的应用摘要:BLP 作为经典安全模型 ,在安全系统的设计与实现方面得到了广泛应用 ,但是其严格的遵循平稳性原则,限制了系统的灵活性,实用价值有限。本文对BLP 模型进行了改进 ,设计了 IBLP 模型框架 ,并应用到多域安全虚拟个人计算机系统的设计实现中,极大的提高了文件系统的灵活性 ,同时提供了高安全保证。关键词 :BLP 模型。多域安全虚拟计算机。文件系统。降密引言随着网络化和计算机技术的飞速发展,对 PC 的安全性和易用性提出了越来越高的要求,传统的PC 系统结构以效率优先而不是以安全优先原则设计的 ,因此现
2、有的PC 系统越来越容易遭受黑客、间谍软件和病毒的攻击。针对传统PC 系统结构安全性方面的缺陷,结合当今可信计算技术和终端平台虚拟化技术,研究先进的多域安全虚拟个人计算机系统,以解决我国日益突出的个人计算机信息安全的该关键问题,为我国政府、军队等关键部门提供可信的个人计算机系统。而安全文件系统是多域安全虚拟个人计算机系统的核心组成部分,通过一般的树型结构平面文件系统不易于实现高安全标准的要求。通过充分借鉴银河麒麟操作系统层次式内核的成功经验,在 BLP模型的基础上提出了一种基于时间限制的多级安全模型,并将该模型应用到安全文件系统的设计中来,既充分利用了BLP 模型的安全策略 ,精选学习资料 -
3、 - - - - - - - - 名师归纳总结 - - - - - - -第 1 页,共 13 页个人资料整理仅限学习使用又极大的提高了安全文件系统的灵活性。1 BLP 模型简介BLP(Bell-LaPadula模型由 Bell 和 LaPadula于 1973年提出来 ,被认为是多级安全领域的经典模型,它为安全操作系统的研究奠定了良好的基础。它通过一系列的形式化定义描述了系统状态,并制定了系统状态的转换规则。1.1 BLP 模型属性BLP 模型主要通过三个属性来约束主体对客体的访问。并且一个系统只有当初始状态安全,且每次状态转换都满足以下三个属性时才是安全的。自主安全属性 :主体对客体的访问
4、权限必须包含于当前的访问控制矩阵。简单安全属性 :只有主体的安全级别高于客体的安全级别时,主体才拥有对客体的读 /写权限。*-属性:对非可信主体 ,主体的安全级别高于客体的安全级别,主体可以读客体。客体的安全级别高于主体的安全等级,主体可以写客体。主体的安全级别等于客体的安全级别,主体可以读 /写客体。而可信主体可以不受*-属性约束。1.2 BLP 模型分析随着对 BLP 模型的深入研究和工程应用,越来越多的问题暴露了出来。 BLP 模型已经不能满足各种各样的安全需求。(1BLP 模型的平稳性原则限制了系统的灵活性。客体的精选学习资料 - - - - - - - - - 名师归纳总结 - -
5、- - - - -第 2 页,共 13 页个人资料整理仅限学习使用安全等级有一定的时效性,超过保密期限应予以调整。高级别主体可能产生公开信息 ,而 BLP 模型禁止其向低级别流动。(2可信主体不符合最小特权原则。由于可信主体不受*-属性约束,导致了权限过大。(3隐通道问题。即使BLP 模型控制信息不能由高到低流动,不同安全级别的主体仍可以通过间接方式通信。在安全文件系统的设计过程中 ,很好的解决了以上问题。2 IBLP 模型设计在进行多域安全虚拟个人计算机系统设计时,对安全模型进行了设计 .多域安全虚拟个人计算机系统的安全文件系统是在BLP 模型分析的基础上 ,结合多域安全虚拟个人计算机系统的
6、文件访问控制安全策略 ,修改建立的 ,记为 IBLP(Improved BLP.2.1 IBLP 模型定义参照文献 ,定义模型元素如下 : 定义 1 S 为主体的集合 ,为可信主体集合 ,为非可信主体集合。O 为客体的集合。 C 为安全级别的集合 ,包含了主体的安全许可和客体的敏感级别。K 为安全类别的集合。 L 为安全等级的集合,其中,。为 L 上的偏序关系。 T 为时间集合。为访问方式的集合 ,其中为只读 ,为读写 ,为追加 ,为执行。定义 2 在模型中增加保密期限因素,以提高系统的灵活性,实现客体的密级调整 ,允许非密级信息的由高到低传递。系统状态 V 为五元组。其中 :为当前访问集合。
7、其中 ,为 X 的幂集。 M精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 3 页,共 13 页个人资料整理仅限学习使用为系统可能的访问控制矩阵的集合。f 为五元组。其中为主体的安全等级标记函数,为主体的当前安全等级标记函数,为客体的安全等级标记函数,为客体的当前安全等级标记函数,为客体的降密后的安全等级标记函数。,。的值取决于客体当前安全级检查函数的检查结果。H 为层次函数 ,的集合 ,这些函数有两个特征,设,那么:如果 ,则。不存在集合 ,使得对于每一个 ,有,且。TS为时间的集合 ,为保密期开始时间 ,为保密期终止时间 ,为系统当前时间。定义
8、 3 保密期限集合 DT,。定义 4 降级映射函数 :。其中。由与客体安全级别相同的可信主体指定客体降密后的安全级别。定义 5 保密期限检查函数。其中。与客体安全级别相同的可信主体对客体进行保密期限检查,检查的结果有两种,表示客体的保密期限是永久的 ,用于一些设备或者是需要长期保密的文件类客体 ,表示客体的保密期限。定义 6 当前客体安全级检查函数。定义 7 涉密检查函数。其中。与客体安全级别相同的可信主体对客体进行涉密检查,检查的结果有两种 ,Y 表示通过检查 ,即该客体的内容未涉及该保密级的秘密信息,表示未通过检查 ,即该客体的内容涉及该保密级的秘密信息。定义 8 R 表示访问请求的集合。
9、每个请求的可能结果有4个:表示允许 ,表示不允许 ,表示非法请求 ,表示错误。用D 表示结精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 4 页,共 13 页个人资料整理仅限学习使用果集合。集合是系统的行为集合。实体提交一个R 里的请求 ,就会产生 D 里的决策 ,使系统从V 里的一个状态转换到另一个状态。定义9 系统通过如下内容确定,当且仅当对于所有 ,。其中 ,表示系统初始状态。2.2 IBLP 模型属性定义 11为客体的集合 ,其中 S 对客体具有的访问权限 :。下面定义模型的三个安全属性,不同于 BLP 模型 ,在安全属性中考虑了时间因素
10、.客体的当前安全等级与时间有关,其值由客体当前安全等级标记函数确定.属性 1 状态满足简单安全属性,当且仅当对于每个 ,下面的式子成立 :属性 1 中主体的安全等级与客体的当前安全等级进行比较。客体的当前安全等级由当前客体安全级检查函数决定。属性 2 状态满足 *-安全属性 ,当且仅当对于每个 ,下面的式子成立: 属性 3 状态满足自主安全属性,当且仅当对于每个 ,。基于时间的多级安全模型的自主安全属性同BLP 模型的自主安全属性,未发生变化。2.3 IBLP 模型推论文献中的规则共有11 条,本模型主要影响了第8 条规则 ,其余规则只需要将替换为即可。客体创建规则:请求 R 为主体 Si请求
11、创建一个安全级为Lu 的客体 ,在层次结构中为的直接上级。若请求格式不正确,则响应为 ,状态不发生改变。否则,对以精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 5 页,共 13 页个人资料整理仅限学习使用下条件进行检查 :推论 1 如果在当前访问集合中 ,Si 对 Oj 有或权限且 Lu 支配客体 Oj 的安全等级 ,响应为。状态改变如下 :客体加入到层次结构中,直接位于之下。根据保密期限检查函数的结果,对新创建客体设安全级别和保密期限。如果,则,。如果 ,则,。推论 2 如果在当前访问集合中 ,Si 对 Oj 只有权限 ,Lu 支配客体 Oj
12、的安全等级且Lu 支配主体 Si 的安全等级 ,则:a.创建,使的安全等级与Si 的安全等级相同。 b.创建,使的安全等级与Si 的安全等级相同且在层次关系中位于下。c.如果,则响应为 ,状态不发生改变。否则 ,在 Oj 下创建 ,设置安全级别和保密期限,。d.调用文献中的规则 9,删除和。推论 3 否则响应为 ,状态不发生改变以下为文献中的规则9:删除客体组。请求的形式为,主体 Si 请求删除客体Oj。若成功将删除在层次结构中Oj 下属的所有客体。若请求格式不正确,则响应为 ,状态不发生改变。否则,对以下条件进行检查 :Si 在当前的访问列表中对客体Oj 的直接上级有写访问权限并且Oj 不是
13、根客体。如果上述条件满足,响应为 ,状态变化如下 :(1在当前访问列表中对 Oj 有访问权限的主体或Oj 的所有下属客体对Oj的访问被删除。 (2在访问控制矩阵中对Oj 有访问权限的主体或 Oj 的所下属客体对Oj 的访问被删除。 (3Oj 和所有 Oj 的下属对象从层次结构中被删除。否则,响应为 ,状态不发生变化。 3安全文件系统关键技术精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 6 页,共 13 页个人资料整理仅限学习使用3.1文件密级调整按照我国保密法的规定,文件密级分为三级:绝密 ,机密 ,秘密。而基于保密期限的IBLP 依赖于系统时间
14、的正确提取。那么如何正确的提取系统时间,成为安全文件系统的基本前提。多域安全虚拟个人计算机系统正是以可信计算技术和终端平台虚拟化技术为基础。而TPM 芯片作为主流可信设备 ,提供了系统从BIOS 启动引导到程序应用的可信度量保证。通过进行度量值的验证 ,排除掉了系统在启动过程中引入的安全威胁,同时保证了BIOS 系统时间不被篡改 ,为 IBLP 模型提供正确的时间。正确提取系统时间是安全文件系统运行的基础前提,而如何通过保密期限进行文件密级的灵活调整,才是重中之重。在安全文件系统中 ,文件或目录的安全级别和保密期限统一存放到I 节点结构中,而在内存索引结构inode 中增加字段i_level
15、和i_secTime,分别表示文件或目录的安全等级和保密期限,基于此的扩充并不会引起兼容性问题。在多域安全虚拟计算机系统中,引入了 hypervisor 层(超级监视器,对系统资源的访问调用必须经过hypervisor 层。即实现了前端驱动 (Front end driver与后端驱动 (Back end driver之间的通信 ,前端驱动负责系统调用的收集,后端驱动进行系统操作的合法性认证 ,而 hypervisor就成为它们之间的信道。在对系统内核的基本文件系统访问函数不改变的情况下,通精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 7 页,共
16、 13 页个人资料整理仅限学习使用过在 hypervisor 中引入 secTime_check( 和 export(两个函数 ,完成文件资源的保密期限检查及相应的密级调整。按照我国的文件密级,设计了多级安全目录。在根目录的zone 中分别设置了绝密 ,机密,秘密子目录 ,而无密级文件资源统一存放到根目录的usr(public中。严格按照 BLP 规则“不上读 ,不下 写 ” ,各安 全级 别 之 间的密 级文 件 资 源通信 只有 通 过hypervisor 的密级调整验证后 ,才会产生信息由高到低的流动。图 2 多级安全目录文件密级调整有以下原则:原则 1 在实际应用中 ,高密级不一定只产
17、生高密级信息,高密级可以向低密级进行无密级文件写入,i_secTime 设置为零 ,直接经 export(进入 usr(public。原则 2 对属于恒定密级的打印 ,扫描设备等 ,i_secTime 设置为无穷。原则 3 对永久保密的文件 ,i_secTime 设置为无穷。原则4为保证文件系统的效率 ,当文件或目录的i_secTime 已经为零 ,其相应密级不会自动调整。只有当文件资源被请求,才会在触发密级调整函数export(。这与保密法中的“解密不一定公开”是完全相符的 .3.2文件系统操作策略3.2.1策略合成安全文件系统的设计是基于改进的BLP 模型 ,那么对文件资源的访问必须遵循I
18、BLP 的策略。在安全文件系统中,设置了精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 8 页,共 13 页个人资料整理仅限学习使用全局策略库。在IBLP 安全文件系统框架中,通过密级调整函数,hypervisor 层的监听器 ,标记函数 ,结合访问决策判断,进行了相应的策略合成。生成的策略存放到全局策略库。在全局策略库形成之前 ,文件系统的资源访问效率会有一定的影响 ,当某一文件操作触发时,需要先进行操作策略的合成,然后执行。随着全局策略库逐渐扩展,文件资源的访问效率会有很大的提高。3.2.2文件操作策略在多域安全虚拟计算机系统中,每个登陆用户都
19、会生成一个对应的实例。由超级域Domain0 进行 DomainU 的初始化操作 ,在 Domain0 中生成一个 list,用来存储管理各个用户域DomainU.所有的用户与对系统资源的访问并不能直接进行,而是通过hypervisor 传输请求 ,进行相应的系统调用 ,经过策略库的过滤匹配才会被超级域的后端驱动收集,经 virt_to_phys(函数把虚拟地址转换到实际物理地址,即完成文件资源的操作。在全局策略库的过滤匹配过程中,首先进行i_secTime 和i_level 的字段检查 ,将 i_secTime和当前系统时间进行比较,如果i_secTime 为零,即转入export(函数进行
20、密级调整,否则直接转入图 2 中的多级安全目录中的相应目录。3.3内存监控文件系统的内存索引结构inode 需要可信保证 ,而这也成为文件系统的一个薄弱环节,如何防止逻辑攻击对inode 的结构进精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 9 页,共 13 页个人资料整理仅限学习使用行篡改也是我们要重点解决的问题。在多域安全虚拟计算机系统中,引入的 hypervisor 负责对物理设备的控制访问 ,所有内存更新都要经过hypervisor 层的确认 ,这就使它更容易地检测内存的变化,有效的防止系统内存被恶意篡改。 hypervisor 层位于机
21、器硬件和操作系统之间,这个特殊的位置可以帮助我们对原型系统做基于软件的修改,而不用对硬件进行改变。Domain0的后端驱动和 DomainU 的前端驱动之间构成了事件通道,而 hypervisor 通过管理事件通道传输的虚拟系统中断请求,实现内存的动态读写。内存监测流程为 : (1系统调用触发后对其进行完整性度量,然后通过Domains的前后端驱动和 Hypervisor 存入相应的 instance1中。(2在内核中加入virt_to_phys(函数执行虚拟地址到物理地址的转换。通过Hypervisor 的 report_ptes和 report_frames两个 hypercalls 在
22、hypervisor 中建立监测列表 ,当系统调用退出时 ,通过 report_exit移除相应的监测列表项。(3应用程序向 DomainU 内核发送 PTE更新请求 ,hypervisor 截获到这个PTE 更新请求 ,并与监测列表中的内存地址进行比较。(4加载 Domain0 的一个内核模块 ,在/proc 目录下生成文件check_Tamper, 文件中的值用来指示内存是否被篡改。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 10 页,共 13 页个人资料整理仅限学习使用(5一 旦 监 测 到 内 存 被 篡 改 ,立 即发 送 一 个 虚
23、 拟 中 断VIPQ_TAMPER,修改 check_Tamper的值。 DomainU 可以收到这个虚拟中断。VIRQ_TAMPER 是一个全局的虚拟中断请求(VIRQ,用来指示对可信内存的篡改。(6在 hypervisor层中一旦监测到可信内存的篡改,虚拟中断VIRQ_TAMPER 被发送,Domain0 的后端设备驱动收到这个中断,立即向用户空间发出警报。通过hypervisor 内存监测 ,极大的降低了内存索引结构inode 被逻辑攻击的恶意篡改。真正解决了安全文件系统的最后一个薄弱环节。4系统分析4.1 系统安全性经典BLP 模型中 ,可信主体不符合最小特权原则,导致了权限过大。而多
24、域安全虚拟计算机系统,通过可信技术的辅助 ,从系统加电启动 ,应用程序的运行 ,系统调用 ,内存更改,都做到了可信保证。使可信主体的操作做到真正的“可信”,从而使可信主体的权限过大问题做到最小化处理。设置了多级安全目录,按照不同密级进行了划分,文件资源的密级调整严格遵循时间限制和BLP 模型的操作策略。很好的解决了隐通道问题,高级别的信息做到了有原则的向低级别流动。这主要依靠IBLP 模型的改进。4.2系统效率在保证文件系统安全性的前提下,通过策略库的文件操作策略存储,提高了日常文件操作的过滤匹配操作。对文件的密级调精选学习资料 - - - - - - - - - 名师归纳总结 - - - -
25、 - - -第 11 页,共 13 页个人资料整理仅限学习使用整操作,按照“need to know”的原则 ,不会自动去对文件密级进行调整 ,而是有请求才会有调整,使安全性的开发对系统效率的影响降到最低。4.3系统兼容性由于 hypervisor 层的引入 ,避免了在实现安全文件系统时对系统内核做大的改动,系统的调用触发的功能实现都是基于hypervisor 层。因此 ,应用程序可以无改动的在安全文件系统上运行,实现了很好的向上兼容性。5结束语BLP 模型作为经典安全模型 ,在实际应用中存在诸多不足和限制。本文通过设计IBLP 模型,并应用到安全文件系统中来,极大的改进了多域安全虚拟计算机系
26、统的文件资源的访问灵活性,同时提供了极高的安全保证。参考文献1Bell D E,La Padula LJ.Secure computer systems:Mathematicalfoundations.ESD-TR-73-278,I(AD770 768,Electronic SystemsDivision,Air Force System Command,Hanscom AFB.Bedford,1973.2Bell D E,La Padula LJ.Secure computer systems:A Mathe matical model.ESD-TR-73-278,(AD771 543,El
27、ectronicSystems Division,Air Force System Command,Hanscom AFB.Bedford,1973.3Bell D E,La Padula LJ.Secure computer systems:A Refine精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 12 页,共 13 页个人资料整理仅限学习使用ment of the Mathematical model.ESD-TR-73-278, (AD780528,Electronic Systems Division,Air Force System Command,Hanscom AFB.Bedford,1974.4Bell D E.Secure computer system:A retrospective.In:Proc.ofthe 1983 IEEE Symp.On Security and Privacy.Oakland:IEEEComputer Society Press,1983.161-162.精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 13 页,共 13 页
