《计算机安全设计方案一个改进模型及在安全文件系统上应用 .docx》由会员分享,可在线阅读,更多相关《计算机安全设计方案一个改进模型及在安全文件系统上应用 .docx(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精品名师归纳总结运算机安全论文:一个改进的BLP 模型及在安全文件系统上的应用摘要:BLP 作为经典安全模型 ,在安全系统的设计与实现方面得到了广泛应用 ,但是其严格的遵循平稳性原就,限制了系统的敏捷性 ,有用价值有限。本文对 BLP 模型进行了改进 ,设计了 IBLP 模型框架 ,并应用到多域安全虚拟个人运算机系统的设计实现中,极大的提高了文件系统的敏捷性 ,同时供应了高安全保证。关键词:BLP 模型。多域安全虚拟运算机。文件系统。降密引言随着网络化和运算机技术的飞速进展,对 PC 的安全性和易用性提出了越来越高的要求 ,传统的 PC 系统结构以效率优先而不是以安全优先原就设计的 ,因此现有
2、的PC 系统越来越简洁遭受黑客、间谍软件和病毒的攻击。针对传统 PC 系统结构安全性方面的缺陷,结合当今可信运算技术和终端平台虚拟化技术 ,讨论先进的多域安全虚拟个人运算机系统, 以解决我国日益突出的个人运算机信息安全的该关键问题,为我国政府、军队等关键部门供应可信的个人运算机系统。而安全文件系统是多域安全虚拟个人运算机系统的核心组成部分,通过一般的树型结构平面文件系统不易于实现高安全标准的要求。通过充分借鉴银河麒麟操作系统层次式内核的胜利体会,在 BLP模型的基础上提出了一种基于时间限制的多级安全模型,并将该模型应用到安全文件系统的设计中来 ,既充分利用了 BLP 模型的安全策略 ,可编辑资
3、料 - - - 欢迎下载精品名师归纳总结又极大的提高了安全文件系统的敏捷性。1 BLP 模型简介BLPBell-LaPadula模型由 Bell 和 LaPadula于 1973 年提出来 ,被认为是多级安全领域的经典模型 ,它为安全操作系统的讨论奠定了良好的基础。它通过一系列的形式化定义描述了系统状态,并制定了系统状态的转换规章。1.1 BLP 模型属性BLP 模型主要通过三个属性来约束主体对客体的拜访。并且一个系统只有起初始状态安全 ,且每次状态转换都满意以下三个属性时才是安全的。自主安全属性 :主体对客体的拜访权限必需包含于当前的访问掌握矩阵。简洁安全属性 :只有主体的安全级别高于客体的
4、安全级别时,主体才拥有对客体的读 /写权限。*- 属性:对非可信主体 ,主体的安全级别高于客体的安全级别 , 主体可以读客体。客体的安全级别高于主体的安全等级,主体可以写客体。主体的安全级别等于客体的安全级别,主体可以读 / 写客体。而可信主体可以不受 *- 属性约束。1.2 BLP 模型分析随着对 BLP 模型的深化讨论和工程应用 ,越来越多的问题暴露了出来。 BLP 模型已经不能满意各种各样的安全需求。1BLP 模型的平稳性原就限制了系统的敏捷性。客体的可编辑资料 - - - 欢迎下载精品名师归纳总结安全等级有肯定的时效性 ,超过保密期限应予以调整。高级别主体可能产生公开信息 ,而 BLP
5、 模型禁止其向低级别流淌。2可信主体不符合最小特权原就。由于可信主体不受*- 属性约束,导致了权限过大。3隐通道问题。即使 BLP 模型掌握信息不能由高到低流淌,不同安全级别的主体仍可以通过间接方式通信。在安全文件系统的设计过程中 ,很好的解决了以上问题。2 IBLP 模型设计在进行多域安全虚拟个人运算机系统设计时,对安全模型进行了设计 . 多域安全虚拟个人运算机系统的安全文件系统是在BLP 模型分析的基础上 ,结合多域安全虚拟个人运算机系统的文件拜访掌握安全策略 ,修改建立的 ,记为 IBLPImproved BLP.2.1 IBLP 模型定义参照文献 ,定义模型元素如下 :定义 1 S 为
6、主体的集合 ,为可信主体集合 ,为非可信主体集合。O 为客体的集合。 C 为安全级别的集合 ,包含了主体的安全许可和客体的敏锐级别。 K 为安全类别的集合。 L 为安全等级的集合,其中,。为 L 上的偏序关系。 T 为时间集合。为拜访方式的集合 ,其中为只读 ,为读写,为追加,为执行。定义 2 在模型中增加保密期限因素 ,以提高系统的敏捷性 ,实现客体的密级调整 ,答应非密级信息的由高到低传递。系统状态 V 为五元组。其中 :为当前拜访集合。其中 ,为 X 的幂集。 M可编辑资料 - - - 欢迎下载精品名师归纳总结为系统可能的拜访掌握矩阵的集合。f 为五元组。其中为主体的安全等级标记函数 ,
7、为主体的当前安全等级标记函数,为客体的安全等级标记函数 ,为客体的当前安全等级标记函数,为客体的降密后的安全等级标记函数。 ,。的值取决于客体当前安全级检查函数的检查结果。H 为层次函数 ,的集合 ,这些函数有两个特点 ,设,那么:假如,就。不存在集合 ,使得对于每一个 ,有,且。TS 为时间的集合 ,为保密期开头时间 ,为保密期终止时间 ,为系统当前时间。定义 3 保密期限集合 DT,。定义 4 降级映射函数 :。其中。由与客体安全级别相同的可信主体指定客体降密后的安全级别。定义 5 保密期限检查函数。其中。与客体安全级别相同的可信主体对客体进行保密期限检查,检查的结果有两种 ,表示客体的保
8、密期限是永久的 ,用于一些设备或者是需要长期保密的文 件类客体 ,表示客体的保密期限。定义 6 当前客体安全级检查函数。定义 7 涉密检查函数。其中。与客体安全级别相同的可信主体对客体进行涉密检查,检查的结果有两种 ,Y 表示通过检查 , 即该客体的内容未涉及该保密级的隐秘信息,表示未通过检查 , 即该客体的内容涉及该保密级的隐秘信息。定义 8 R 表示拜访恳求的集合。每个恳求的可能结果有4个:表示答应 ,表示不答应 ,表示非法恳求 ,表示错误。用 D 表示结可编辑资料 - - - 欢迎下载精品名师归纳总结果集合。集合是系统的行为集合。实体提交一个R 里的恳求 ,就会产生 D 里的决策,使系统
9、从 V 里的一个状态转换到另一个状态。定义 9 系统通过如下内容确定 ,当且仅当对于全部 ,。其中, 表示系统初始状态。2.2 IBLP 模型属性定义 11 为客体的集合 ,其中 S 对客体具有的拜访权限 :。下面定义模型的三个安全属性 ,不同于 BLP 模型,在安全属性中考虑了时间因素 .客体的当前安全等级与时间有关,其值由客体当前安全等级标记函数确定 .属性 1 状态满意简洁安全属性 ,当且仅当对于每个 ,下面的式子成立 :属性 1 中主体的安全等级与客体的当前安全等级进行比较。客体的当前安全等级由当前客体安全级检查函数打算。属性 2 状态满意 *- 安全属性 ,当且仅当对于每个 ,下面的
10、式子成立:属性 3 状态满意自主安全属性 ,当且仅当对于每个 ,。基于时间的多级安全模型的自主安全属性同BLP 模型的自主安全属性,未发生变化。2.3 IBLP 模型推论文献中的规章共有11 条,本模型主要影响了第 8 条规章 ,其余规章只需要将替换为即可。客体创建规章:恳求 R 为主体 Si 恳求创建一个安全级为Lu 的客体 ,在层次结构中为的直接上级。如恳求格式不正确 ,就响应为 ,状态不发生转变。否就 ,对以可编辑资料 - - - 欢迎下载精品名师归纳总结下条件进行检查 :推论 1 假如在当前拜访集合中 ,Si 对 Oj 有或权限且 Lu 支配客体 Oj 的安全等级 ,响应为。状态转变如
11、下 :客体加入到层次结构中,直接位于之下。依据保密期限检查函数的结果,对新创建客体设安全级别和保密期限。假如 ,就,。假如 ,就,。推论 2 假如在当前拜访集合中 ,Si 对 Oj 只有权限 ,Lu 支配客体 Oj 的安全等级且 Lu 支配主体 Si 的安全等级 ,就:a.创建,使的安全等级与 Si 的安全等级相同。 b.创建,使的安全等级与 Si 的安全等级相同且在层次关系中位于下。 c.假如,就响应为 ,状态不发生转变。否就 ,在 Oj 下创建,设置安全级别和保密期限 ,。d.调用文献中的规章 9,删除和。推论 3 否就响应为 ,状态不发生转变以下为文献中的规章9: 删除客体组。恳求的形式
12、为 ,主体 Si 恳求删除客体 Oj。如胜利将删除在层次结构中 Oj 下属的全部客体。如恳求格式不正确, 就响应为 ,状态不发生转变。否就 ,对以下条件进行检查 :Si 在当前的拜访列表中对客体 Oj 的直接上级有写拜访权限并且Oj 不是根客体。假如上述条件满意 ,响应为 ,状态变化如下 :1在当前拜访列表中对 Oj 有拜访权限的主体或Oj 的全部下属客体对 Oj 的拜访被删除。 2在拜访掌握矩阵中对 Oj 有拜访权限的主体或 Oj 的所下属客体对 Oj 的拜访被删除。 3Oj 和全部 Oj 的下属对象从层次结构中被删除。否就,响应为,状态不发生变化。 3 安全文件系统关键技术可编辑资料 -
13、- - 欢迎下载精品名师归纳总结3.1 文件密级调整依据我国保密法的规定,文件密级分为三级 : 绝密,隐秘 ,隐秘。而基于保密期限的IBLP 依靠于系统时间的正确提取。那么如何正确的提取系统时间 ,成为安全文件系统的基本前提。多域安全虚拟个人运算机系统正是以可信运算技术和终端平台虚拟化技术为基础。而TPM 芯片作为主流可信设备 ,供应了系统从 BIOS 启动引导到程序应用的可信度量保证。通过进行度量值的验证 ,排除掉了系统在启动过程中引入的安全威逼, 同时保证了 BIOS 系统时间不被篡改 ,为 IBLP 模型供应正确的时间。正确提取系统时间是安全文件系统运行的基础前提,而如何通过保密期限进行
14、文件密级的敏捷调整,才是重中之重。在安全文件系统中 ,文件或目录的安全级别和保密期限统一存放到I 节点结构中 , 而在内存索引结构inode 中增加字段i_level 和i_secTime,分别表示文件或目录的安全等级和保密期限,基于此的扩充并不会引起兼容性问题。在多域安全虚拟运算机系统中 ,引入了 hypervisor 层超级监视器,对系统资源的拜访调用必需经过hypervisor 层。即实现了前端驱动 Front end driver与后端驱动 Back end driver 之间的通信 ,前端驱动负责系统调用的收集,后端驱动进行系统操作的合法性认证 ,而 hypervisor 就成为它们
15、之间的信道。在对系统内核的基本文件系统拜访函数不转变的情形下,通可编辑资料 - - - 欢迎下载精品名师归纳总结过在 hypervisor 中引入 secTime_check和 export两个函数 ,完成文件资源的保密期限检查及相应的密级调整。依据我国的文件密级 , 设计了多级安全目录。在根目录的zone 中分别设置了绝密 ,隐秘,隐秘子目录 ,而无密级文件资源统一存放到根目录的 usrpublic中。严格依据 BLP 规章“不上读 , 不下写” , 各安全级 别之间的密级文 件资源通信只有 通过hypervisor 的密级调整验证后 ,才会产生信息由高到低的流淌。图 2 多级安全目录文件密
16、级调整有以下原就 :原就 1 在实际应用中 ,高密级不肯定只产生高密级信息 ,高密级可以向低密级进行无密级文件写入 ,i_secTime 设置为零 ,直接经 export进入 usrpublic。原就 2 对属于恒定密级的打印 ,扫描设备等 ,i_secTime 设置为无穷。原就 3 对永久保密的文件 ,i_secTime 设置为无穷。原就 4 为保证文件系统的效率 ,当文件或目录的i_secTime 已经为零 ,其相应密级不会自动调整。只有当文件资源被恳求,才会在触发密级调整函数 export。这与保密法中的“解密不肯定公开”是完全相符的 .3.2 文件系统操作策略3.2.1 策略合成安全文
17、件系统的设计是基于改进的BLP 模型,那么对文件资源的拜访必需遵循 IBLP 的策略。在安全文件系统中 ,设置了可编辑资料 - - - 欢迎下载精品名师归纳总结全局策略库。在IBLP 安全文件系统框架中 ,通过密级调整函数,hypervisor 层的监听器 ,标记函数 ,结合拜访决策判定 ,进行了相应的策略合成。生成的策略存放到全局策略库。在全局策略库形成之前 ,文件系统的资源拜访效率会有肯定的影响,当某一文件操作触发时,需要先进行操作策略的合成 ,然后执行。随着全局策略库逐步扩展 ,文件资源的拜访效率会有很大的提高。3.2.2 文件操作策略在多域安全虚拟运算机系统中,每个登陆用户都会生成一个
18、对应的实例。由超级域 Domain0 进行 DomainU 的初始化操作 , 在 Domain0 中生成一个 list, 用来储备治理各个用户域 DomainU. 全部的用户与对系统资源的拜访并不能直接进行,而是通过hypervisor 传输恳求 ,进行相应的系统调用 ,经过策略库的过滤匹配才会被超级域的后端驱动收集,经 virt_to_phys函数把虚拟的址转换到实际物理的址 ,即完成文件资源的操作。在全局策略库的过滤匹配过程中,第一进行 i_secTime 和i_level 的字段检查 ,将 i_secTime 和当前系统时间进行比较 ,假如i_secTime 为零,即转入 export函
19、数进行密级调整 ,否就直接转入图 2 中的多级安全目录中的相应目录。3.3 内存监控文件系统的内存索引结构inode 需要可信保证 ,而这也成为文件系统的一个薄弱环节 ,如何防止规律攻击对 inode 的结构进可编辑资料 - - - 欢迎下载精品名师归纳总结行篡改也是我们要重点解决的问题。在多域安全虚拟运算机系统中 ,引入的 hypervisor 负责对物理设备的掌握拜访 ,全部内存更新都要经过 hypervisor 层的确认 , 这就使它更简洁的检测内存的变化 ,有效的防止系统内存被恶意篡改。 hypervisor 层位于机器硬件和操作系统之间 ,这个特别的位置可以帮忙我们对原型系统做基于软
20、件的修改,而不用对硬件进行转变。Domain0 的后端驱动和 DomainU 的前端驱动之间构成了大事通道,而 hypervisor 通过治理大事通道传输的虚拟系统中断恳求,实现内存的动态读写。内存监测流程为 :1系统调用触发后对其进行完整性度量,然后通过Do mains 的前后端驱动和 Hypervisor 存入相应的 instance1中。2在内核中加入 virt_to_phys函数执行虚拟的址到物理的址的转换。通过 Hypervisor 的 report_ptes和 report_frames两个 hypercalls 在 hypervisor 中建立监测列表 ,当系统调用退出时 , 通
21、过 report_exit 移除相应的监测列表项。3应用程序向 DomainU 内核发送 PTE 更新恳求 ,hypervi sor 截获到这个 PTE 更新恳求 ,并与监测列表中的内存的址进行比较。4加载 Domain0 的一个内核模块 ,在/proc 目录下生成文件check_Tamper文, 件中的值用来指示内存是否被篡改。可编辑资料 - - - 欢迎下载精品名师归纳总结5 一旦 监 测到内 存 被篡改 , 立 即发 送 一 个虚 拟中断VIPQ_TAMPER, 修改 check_Tamper的值。 DomainU 可以收到这个虚拟中断。 VIRQ_TAMPER是一个全局的虚拟中断恳求V
22、IRQ, 用来指示对可信内存的篡改。6在 hypervisor 层中一旦监测到可信内存的篡改,虚拟中断VIRQ_TAMPER 被发送,Domain0 的后端设备驱动收到这个中断 , 立刻向用户空间发出警报。通过hypervisor 内存监测 ,极大的降低了内存索引结构 in ode 被规律攻击的恶意篡改。真正解决了安全文件系统的最终一个薄弱环节。4 系统分析4.1 系统安全性经典BLP 模型中 ,可信主体不符合最小特权原就,导致了权限过大。而多域安全虚拟运算机系统,通过可信技术的帮助 ,从系统加电启动 ,应用程序的运行 ,系统调用 ,内存更换,都做到了可信保证。使可信主体的操作做到真正的“可信
23、”, 从而使可信主体的权限过大问题做到最小化处理。设置了多级安全目录 ,依据不同密级进行了划分 ,文件资源的密级调整严格遵循时间限制和BLP 模型的操作策略。很好的解决了隐通道问题 ,高级别的信息做到了有原就的向低级别流淌。这主要依靠 IBLP 模型的改进。4.2 系统效率在保证文件系统安全性的前提下 ,通过策略库的文件操作策略储备,提高了日常文件操作的过滤匹配操作。对文件的密级调可编辑资料 - - - 欢迎下载精品名师归纳总结整操作,依据“ need to know”的原就 ,不会自动去对文件密级进行调整 ,而是有恳求才会有调整 ,使安全性的开发对系统效率的影响降到最低。4.3 系统兼容性由
24、于 hypervisor 层的引入 ,防止了在实现安全文件系统时对系统内核做大的改动 ,系统的调用触发的功能实现都是基于hypervisor 层。因此 ,应用程序可以无改动的在安全文件系统上运行,实现了很好的向上兼容性。5 终止语BLP 模型作为经典安全模型 ,在实际应用中存在诸多不足和限制。本文通过设计 IBLP 模型,并应用到安全文件系统中来 ,极大的改进了多域安全虚拟运算机系统的文件资源的拜访敏捷性, 同时供应了极高的安全保证。参考文献1 BellDE,LaPadulaLJ.Securecomputer systems:Mathematicalfoundations.ESD-TR-73-
25、278,IAD770 768,ElectronicSystemsDivision,AirForceSystem Command,Hanscom AFB.Bedford,1973.2 Bell D E,La Padula LJ.Secure computer systems:A Mathe matical model.ESD-TR-73-278,AD771 543,ElectronicSystems Division,Air Force System Command,Hanscom AFB.Bedford,1973.3 Bell D E,La Padula LJ.Secure computer
26、systems:A Refine可编辑资料 - - - 欢迎下载精品名师归纳总结 ment of the Mathematical model.ESD-TR-73-278, AD780528,Electronic Systems Division,Air Force System Command,Hanscom AFB.Bedford,1974.4 BellDE.Secure computer system:A retrospective.In:Proc.ofthe 1983 IEEE Symp.On Security and Privacy.Oakland:IEEEComputer Society Press,1983.161-162.可编辑资料 - - - 欢迎下载