《安全操作系统中MAC机制的分析与设计.pdf》由会员分享,可在线阅读,更多相关《安全操作系统中MAC机制的分析与设计.pdf(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、鬻黍蘩鬻戮豢黍黎攀纂粪黍懑鬻鬻瓣赣_ 纛蘩1 引言摘要本文根据操作系统在信息系统安全中的重要性,对强制型安全模型进行了分析j 并任此基础卜提出了增加操作系统强制存取控制机制的设计方案。关键词操作系统,安全模型,强制存取摔制操作系统是应用软件与系统硬件的接口,其目标是高效地、最大限度地、合理地使用计算机资源。若没有安全操作系统的支持,数据库就不可能具有存取控制的安全可信性,就不可能有网络系统的安全性,也不可能有应用软件信息处理的安全性。因此,安全操作系统是整个信息系统安全的基础。但是,目前大多数操作系统的安全性都比较弱。为了使操作系统达到国际标准I S O I E C15 4 0 8 信息技术安
2、全评估准则的E A L 4 级,必须为操作系统增加强制存取控制(M a n d a t o r yA c c e s sC o n t r o l M A C)机制。强制存取控制提供了基于信息机密性的存取控制方法,用于将系统中的用户和信息进行分级别、分类别管理,强制限制信息的共享和流动,使不同级别和类别的用户只能访问到与其有关的、指定范围的信息,从根本上防止信息的失泄密和访问混乱现象。2 强制型安全模型安全模型用来描述系统和用户的安全特性,是对安全策略所表达的安全需求简单、抽象、无歧义的描述。安全模型用于精确地定义系统的安全需求,为设计开发安全操作系统提供指导方针。强制存取控制是用户不可逾越的
3、由系统实施的存取控制,它将系统中的进程以及蕴含或接收信息的实体抽象为主体和客体。系统中的主体和客体根据其性质的不同而具有不同的安全级。强制存取控制机制根据主体和客体的安全级,依据强制存取控制策略,对主体和客体进行分级分类管理,构成层次结构。强制型安全模型在安全操作系统中采用最为普遍、经典的代表是B e l l L a P a d u l a 模型,简称BL P 模型。该模型是D E B e l l 和J L aP a d u l a 于1 9 7 3 年模拟军事安全策略创建的,后已于1 9 7 4 年改进和1 9 7 6 年应用于M u l t i c s。B L P 模型的目标是精确地描述符
4、合多级安全策略的系统及其中的操作,它形式化地定义了模型中的概念,证明了其中的定理和结论并表明系统是可通过数学推导证明其自身的安全性。其主要着眼点,就是维护系统的保密性,有效地防止泄密,并由此描述了不同访问级别的主体和客体之间的关系。B L P 模型考虑如下主体对客体可执行的存取方式:作者简介:蔡谊,女,1 9 7 2 年生,博士研究生,主要研究方向为信息安全。2 0 0 1 6糖鳓搠憋灏鲻躐耪露暌j 鳓蘸壤恻女熊鳜2 5 万方数据攀麓泰鸶馥蠢鬻蘩黍霎攀鬻鬻饕蒸黍攀攀萋鋈蒸鬻蒸纛鎏蒸漤瓣i 鬻鬻鬻鬻瓣纛黍|只读(R e a d O n l y)常又称为“读”。读包含在客体中的信息,通仅当主体的安
5、全级支配或等于客体的安全级时添加(A p p e n d):向客体中添加信息,且不读客体中信息。执行(E x e c u t e):执行一个客体(程序)。读写(R e a d W r i t e):向客体中写信息,且允许读客体中信息,通常又称为“写”。模型针对M A C 机制定义了如下规则:简单安全规则(s s 规则):仅当一个主体的安全级别支配另一个客体的安全级别时,主体才能具有对此客体“读”或“写”的存取权限。星(4)规则:一个不可信主体可以对一个客体具有“添加”(a p p e n d)权限,仅当此客体的安全级别支配主体的当前安全级别;一个不可信主体可以对一个客体具有“写”(w r i
6、t e)权限,仅当此客体的安全级别等于主体的当前安全级别;一个不可信主体可以对一个客体具有“读”(r e a d)权限,仅当此客体的安全级别受主体的当前安全级别的支配。3 数据结构和安全策略的制定M A C 是借助于与系统中主客体相关的标识实现的。这个标识表示一种敏感级 J q(1 e v e l),即客体的数据敏感级别和主体所具有的权利级别,称之为安全级。根据B L P 模型的要求,实现M AC 机制,需要对系统中的每个进程,每个文件,每个I P C 客体(消息队列、信号量集合和共享存储区)赋予相应的安全级,当一个进程访问一个客体(如文件)时,调用M A C 机构,根据进程的安全表示(安全级
7、),比较进程的安全级和文件的安全级,从而确定是否允许进程对文件的访问。安全级由两部分组成,一部分表示一种层次性的概念,即级别(c l a s s i f i c a t i o n),另一部分没有层次性,它由部门(c a t e g o r y)组成。密级如绝密、机密、秘密等,是线性有序的,可进行二进制编码;类别为集合,由若干个元素(部门)组成,是偏序的,它由若干个b y t e内部表示。安全环境可支持2 5 6 个级别和1 0 2 4 个部门。任意两个安全级间可以是支配、相等、被支配和无关的关系。安全级S 1 支配安全级S 2,需满足:S 1 的级另U S 2 的级另q;S 1 的类别三S
8、2 的类别。安全级S 1 与安全级s 2 相等,需满足:S 1 的级另q=S 2 的级另;S 1 的类别=s 2 的类别。不满足上述关系的S 1 和s 2 即为无关。在实际的操作系统中,可以定义不同的强制性安全策略,下面考察以下三种策略:(1)强制性安全策略12 6t 獬瀚嘞灞燃麟缓鳓确麟麟骥缫 i2 0 01 6该主体才能读或执行该客体。仅当主体的安全级被客体的安全级支配或等于客体的安全级时,该主体才能写或添加该客体。该策略与B L P 模型的简单安全规则以及星规则要求完全一致,遵循了实际社会中的保密条例,防止了用户有意或无意把高安全级信息写入低安全级文件中,从而造成机密的泄露。但是在实际的
9、系统中,该策略缺乏相应的安全措施来防范非授权用户恶意地读写那些他们没有读写权限的数据。(2)强制性安全策略2仅当主体的安全级支配或等于客体的安全级时,该主体才能读或执行该客体。仅当主体的安全级等于客体的安全级时,该主体才能写该客体。仅当主体的安全级被客体的安全级支配或等于客体的安全级时,该主体才能添加该客体。该策略留下了隐通道,例如高安全级用户可以开启或关闭某一高安全级文件的写许可权,而低安全级进程可通过多次添加尝试获得关于该文件写访问权的信息。虽然可以采用“盲目添加”(总是返回成功)方法,但这是不合理的,因而也是不必要的。(3)强制性安全策略3仅当主体的安全级支配或等于客体的安全级时,该主体
10、才能读或执行该客体。仅当主体的安全级等于客体的安全级时,该主体才能写或添加该客体。该策略I:L B L P 模型的要求严格,它是较为合理的策略,也是在实际的安全操作系统中采用的MA C 策略。除了根据B L P 模型简单安全规则和星规则制定了上述安全策略之外,在实际的安全操作系统中还制定了符合B L P 模型其他一些安全规则的安全策略。用户进程的初始安全级为登录时指定的安全级;客体的初始安全级等于创建其的主体安全级(激活规则)。安全级相等的用户之间可以进行信号(s i g n a l)操作(星规则)。在使用进程间通信(I P C)机制时,主体安全级必须等于I P C 客体的安全级(星规则)。子
11、目录的安全级必须支配父目录的安全级(兼容规则)。文件的安全级必须与本目录的安全级相等(兼容规则)。客体安全级非特权用户不可改变(稳定规则)。4 安全级定义l存实际的安全操作系统中,安全级有内部和外部 万方数据爨_ 黼_ 麓麟缫霪熬鬻霪震麟瀚震翳黼黼纛两种表示。安全级外部表示是用户可见的,以字符串形式给出,如用户登录时选择的安全级、输出数据的安全级等,分别名(a l i a s)和全名两种。安全级的别名是一个短字符串,类似于文件名。全名是一个长字符串,由密级名和部门名组成。安全级内部表示是供系统内部标识主体和客体安全级之用的,用二进制形式表示,分为索引和结构两种。安全级索引(L I D)是系统用
12、来标识安全级的一个数字。对于两个安全级进行支配关系比较时,无论它们是别名、全名还是索引形式表示,都须转换成结构,才能进行比较。系统使用访问隔离的方法进行自我保护。用于访问隔离的M A C 机构可将普通用户和系统管理员分隔,从而保持系统的安全性。访问隔离机构将进入系统的用户分为两类:一类是不具有特权的普通用户,他们在安全级别名U S E R L O G I N 下登录;另一类是系统管理员,他们在安全级别名S Y S P R I V A T E 或S Y S A U D I T 下进行登录。由此可见,系统中的M A C 机构提供了简单的方法来进行存取控制和保护T C B 不被非法改变和暴露。M A
13、 C 机构与特权机构相结合的这种访问隔离方法构成了一个良好的T C B 系统结构。它不仅能区别普通用户和系统管理员,还允许用户访问操作系统的共享命令,以便能够进行日常工作j5 多级目录由于系统中采用的安全策略是“向下读,相等写”,这就使得非特权用户不能在同一目录下创建不同安全级的文件,但是,有许多现存程序都需要一种在标准目录如t m p 下创建临时文件的能力,具有不同安全级的用户要运行这些程序就需要在这个标准目录下创建不同安全级的文件。如果这样用法,就会破坏M A C 的限制或者要求这些程序都是可信的。由于这两种选择都是不可接受的,因此引入多级目录的概念,多级目录允许不可信进程能在其下创建具有
14、不同安全级的文件,不可信进程能够存取多级目录下同进程安全级相等的文件。多级目录的操作对用户是透明的。也就是说,对于普通用户,一个多级目录象一般目录一样,它下面的文件的安全级都是使用者的安全级。对于另外一个具有不同安全级的用户,这个多级目录又象只含有这个用户安全级的文件。之所以这样,是因为每个用户只能看到“有效目录”下的与用户安全级相等的文件。(1)多级目录的结构多级目录含有一些特殊的子目录,称为有效目录。有效目录是当某个进程第一次访问多级目录时由系统逐个创建的。有效目录的创建对用户来讲是自动图是多级目录t m p 的结构的和透明的。有效目录名是与它相关的安全级标识(L I D)。与每个进程有关
15、的是多级目录的状态,它决定了对多级目录的访问方式,这个状态可以是“虚”也可以是“实”。继承于调用进程,内核根据多级目录状态决定如何访问多级目录。(2)虚状态(V i r t u a lm o d e)和实状态(R e a lm o d e)目录访问如果进程的多级目录状态为虚状态(对所有用户,虚状态为缺省状态),那么内核将把对多级目录的访问改变为对多级目录下有效目录的访问。这个有效目录的安全级与进程安全级相同。如果没有一个有效目录的安全级等于进程安全级,那么内核将自动地创建一个具有进程安全级的有效目录。当进程的多级目录状态为实方式时,对多级目录的访问与一般目录相同。6 结束语M A C 机制是安
16、全操作系统的关键部分之一,是提高系统安全必不可少的一种机制,也是衡量和评价系统是否达到高安全等级的重要指标之一。通过在实际的安全操作系统中,对上述安全策略和安全功能的分析与设计,增加M A C 安全模块,大大提高了系统的安全性,并且对系统效率影响不大。(收稿E t 期:2 0 0 1 4 1 8)2 0 0 1 6 嘲一c 黪睡鞲壤嗲灏鞠鞠嚣国酶誉霉嘲麴紫粒酬。冉2 7 万方数据安全操作系统中MAC机制的分析与设计安全操作系统中MAC机制的分析与设计作者:蔡谊作者单位:海军计算技术研究所刊名:网络安全技术与应用英文刊名:NET SECURITY TECHNOLOGIES&APPLICATION年,卷(期):2001(6)本文链接:http:/