计算机安全设计方案一个改进BLP模型及在安全文件系统上应用.docx
《计算机安全设计方案一个改进BLP模型及在安全文件系统上应用.docx》由会员分享,可在线阅读,更多相关《计算机安全设计方案一个改进BLP模型及在安全文件系统上应用.docx(9页珍藏版)》请在冰豆网上搜索。
计算机安全设计方案一个改进BLP模型及在安全文件系统上应用
计算机安全论文:
一个改进的BLP模型及在安全文件系统上的应用
摘要:
BLP作为经典安全模型,在安全系统的设计与实现方面得到了广泛应用,但是其严格的遵循平稳性原则,限制了系统的灵活性,实用价值有限。
本文对BLP模型进行了改进,设计了IBLP模型框架,并应用到多域安全虚拟个人计算机系统的设计实现中,极大的提高了文件系统的灵活性,同时提供了高安全保证。
关键词:
BLP模型。
多域安全虚拟计算机。
文件系统。
降密
引言
随着网络化和计算机技术的飞速发展,对PC的安全性和易用性提出了越来越高的要求,传统的PC系统结构以效率优先而不是以安全优先原则设计的,因此现有的PC系统越来越容易遭受黑客、间谍软件和病毒的攻击。
针对传统PC系统结构安全性方面的缺陷,结合当今可信计算技术和终端平台虚拟化技术,研究先进的多域安全虚拟个人计算机系统,以解决我国日益突出的个人计算机信息安全的该关键问题,为我国政府、军队等关键部门提供可信的个人计算机系统。
而安全文件系统是多域安全虚拟个人计算机系统的核心组成部分,通过一般的树型结构平面文件系统不易于实现高安全标准的要求。
通过充分借鉴银河麒麟操作系统层次式内核的成功经验,在BLP模型的基础上提出了一种基于时间限制的多级安全模型,并将该模型应用到安全文件系统的设计中来,既充分利用了BLP模型的安全策略,又极大的提高了安全文件系统的灵活性。
1BLP模型简介
BLP(Bell-LaPadula>模型由Bell和LaPadula于1973年提出来,被认为是多级安全领域的经典模型,它为安全操作系统的研究奠定了良好的基础。
它通过一系列的形式化定义描述了系统状态,并制定了系统状态的转换规则。
1.1BLP模型属性
BLP模型主要通过三个属性来约束主体对客体的访问。
并且一个系统只有当初始状态安全,且每次状态转换都满足以下三个属性时才是安全的。
自主安全属性:
主体对客体的访问权限必须包含于当前的访问控制矩阵。
简单安全属性:
只有主体的安全级别高于客体的安全级别时,主体才拥有对客体的读/写权限。
*-属性:
对非可信主体,主体的安全级别高于客体的安全级别,主体可以读客体。
客体的安全级别高于主体的安全等级,主体可以写客体。
主体的安全级别等于客体的安全级别,主体可以读/写客体。
而可信主体可以不受*-属性约束。
1.2BLP模型分析
随着对BLP模型的深入研究和工程应用,越来越多的问题暴露了出来。
BLP模型已经不能满足各种各样的安全需求。
(1>BLP模型的平稳性原则限制了系统的灵活性。
客体的安全等级有一定的时效性,超过保密期限应予以调整。
高级别主体可能产生公开信息,而BLP模型禁止其向低级别流动。
(2>可信主体不符合最小特权原则。
由于可信主体不受*-属性约束,导致了权限过大。
(3>隐通道问题。
即使BLP模型控制信息不能由高到低流动,不同安全级别的主体仍可以通过间接方式通信。
在安全文件系统的设计过程中,很好的解决了以上问题。
2IBLP模型设计
在进行多域安全虚拟个人计算机系统设计时,对安全模型进行了设计.多域安全虚拟个人计算机系统的安全文件系统是在BLP模型分析的基础上,结合多域安全虚拟个人计算机系统的文件访问控制安全策略,修改建立的,记为IBLP(ImprovedBLP>.2.1IBLP模型定义
参照文献,定义模型元素如下:
定义1S为主体的集合,为可信主体集合,为非可信主体集合。
O为客体的集合。
C为安全级别的集合,包含了主体的安全许可和客体的敏感级别。
K为安全类别的集合。
L为安全等级的集合,,,其中,。
为L上的偏序关系。
T为时间集合。
为访问方式的集合,其中为只读,为读写,为追加,为执行。
定义2在模型中增加保密期限因素,以提高系统的灵活性,实现客体的密级调整,允许非密级信息的由高到低传递。
系统状态V为五元组。
其中:
为当前访问集合。
其中,为X的幂集。
M为系统可能的访问控制矩阵的集合。
f为五元组。
其中为主体的安全等级标记函数,为主体的当前安全等级标记函数,为客体的安全等级标记函数,为客体的当前安全等级标记函数,为客体的降密后的安全等级标记函数。
。
的值取决于客体当前安全级检查函数的检查结果。
H为层次函数,的集合,这些函数有两个特征,设,那么:
如果,则。
不存在集合,使得对于每一个,有,且。
TS为时间的集合,为保密期开始时间,为保密期终止时间,为系统当前时间。
定义3保密期限集合DT,。
定义4降级映射函数:
。
其中。
由与客体安全级别相同的可信主体指定客体降密后的安全级别。
定义5保密期限检查函数。
其中。
与客体安全级别相同的可信主体对客体进行保密期限检查,检查的结果有两种,表示客体的保密期限是永久的,用于一些设备或者是需要长期保密的文件类客体,表示客体的保密期限。
定义6当前客体安全级检查函数。
定义7涉密检查函数。
其中。
与客体安全级别相同的可信主体对客体进行涉密检查,检查的结果有两种,Y表示通过检查,即该客体的内容未涉及该保密级的秘密信息,表示未通过检查,即该客体的内容涉及该保密级的秘密信息。
定义8R表示访问请求的集合。
每个请求的可能结果有4个:
表示允许,表示不允许,表示非法请求,表示错误。
用D表示结果集合。
集合是系统的行为集合。
实体提交一个R里的请求,就会产生D里的决策,使系统从V里的一个状态转换到另一个状态。
定义9系统通过如下内容确定,当且仅当对于所有,。
其中,表示系统初始状态。
2.2IBLP模型属性
定义11为客体的集合,其中S对客体具有的访问权限:
。
下面定义模型的三个安全属性,不同于BLP模型,在安全属性中考虑了时间因素.客体的当前安全等级与时间有关,其值由客体当前安全等级标记函数确定.
属性1状态满足简单安全属性,当且仅当对于每个,下面的式子成立:
属性1中主体的安全等级与客体的当前安全等级进行比较。
客体的当前安全等级由当前客体安全级检查函数决定。
属性2状态满足*-安全属性,当且仅当对于每个,下面的式子成立:
属性3状态满足自主安全属性,当且仅当对于每个,。
基于时间的多级安全模型的自主安全属性同BLP模型的自主安全属性,未发生变化。
2.3IBLP模型推论
文献中的规则共有11条,本模型主要影响了第8条规则,其余规则只需要将替换为即可。
客体创建规则:
请求R为主体Si请求创建一个安全级为Lu的客体,在层次结构中为的直接上级。
若请求格式不正确,则响应为,状态不发生改变。
否则,对以下条件进行检查:
推论1如果在当前访问集合中,Si对Oj有或权限且Lu支配客体Oj的安全等级,响应为。
状态改变如下:
客体加入到层次结构中,直接位于之下。
根据保密期限检查函数的结果,对新创建客体设安全级别和保密期限。
如果,则,,。
如果,,则,,,。
推论2如果在当前访问集合中,Si对Oj只有权限,Lu支配客体Oj的安全等级且Lu支配主体Si的安全等级,则:
a.创建,使的安全等级与Si的安全等级相同。
b.创建,使的安全等级与Si的安全等级相同且在层次关系中位于下。
c.如果,则响应为,状态不发生改变。
否则,在Oj下创建,设置安全级别和保密期限,。
d.调用文献中的规则9,删除和。
推论3否则响应为,状态不发生改变以下为文献中的规则9:
删除客体组。
请求的形式为,主体Si请求删除客体Oj。
若成功将删除在层次结构中Oj下属的所有客体。
若请求格式不正确,则响应为,状态不发生改变。
否则,对以下条件进行检查:
Si在当前的访问列表中对客体Oj的直接上级有写访问权限并且Oj不是根客体。
如果上述条件满足,响应为,状态变化如下:
(1>在当前访问列表中对Oj有访问权限的主体或Oj的所有下属客体对Oj的访问被删除。
(2>在访问控制矩阵中对Oj有访问权限的主体或Oj的所下属客体对Oj的访问被删除。
(3>Oj和所有Oj的下属对象从层次结构中被删除。
否则,响应为,状态不发生变化。
3安全文件系统关键技术
3.1文件密级调整
按照我国保密法的规定,文件密级分为三级:
绝密,机密,秘密。
而基于保密期限的IBLP依赖于系统时间的正确提取。
那么如何正确的提取系统时间,成为安全文件系统的基本前提。
多域安全虚拟个人计算机系统正是以可信计算技术和终端平台虚拟化技术为基础。
而TPM芯片作为主流可信设备,提供了系统从BIOS启动引导到程序应用的可信度量保证。
通过进行度量值的验证,排除掉了系统在启动过程中引入的安全威胁,同时保证了BIOS系统时间不被篡改,为IBLP模型提供正确的时间。
正确提取系统时间是安全文件系统运行的基础前提,而如何通过保密期限进行文件密级的灵活调整,才是重中之重。
在安全文件系统中,文件或目录的安全级别和保密期限统一存放到I节点结构中,而在内存索引结构inode中增加字段i_level和i_secTime,分别表示文件或目录的安全等级和保密期限,基于此的扩充并不会引起兼容性问题。
在多域安全虚拟计算机系统中,引入了hypervisor层(超级监视器>,对系统资源的访问调用必须经过hypervisor层。
即实现了前端驱动(Frontenddriver>与后端驱动(Backenddriver>之间的通信,前端驱动负责系统调用的收集,后端驱动进行系统操作的合法性认证,而hypervisor就成为它们之间的信道。
在对系统内核的基本文件系统访问函数不改变的情况下,通过在hypervisor中引入secTime_check(>和export(>两个函数,完成文件资源的保密期限检查及相应的密级调整。
按照我国的文件密级,设计了多级安全目录。
在根目录的zone中分别设置了绝密,机密,秘密子目录,而无密级文件资源统一存放到根目录的usr(public>中。
严格按照BLP规则“不上读,不下写”,各安全级别之间的密级文件资源通信只有通过hypervisor的密级调整验证后,才会产生信息由高到低的流动。
图2多级安全目录文件密级调整有以下原则:
原则1在实际应用中,高密级不一定只产生高密级信息,高密级可以向低密级进行无密级文件写入,i_secTime设置为零,直接经export(>进入usr(public>。
原则2对属于恒定密级的打印,扫描设备等,i_secTime设置为无穷。
原则3对永久保密的文件,i_secTime设置为无穷。
原则4为保证文件系统的效率,当文件或目录的i_secTime已经为零,其相应密级不会自动调整。
只有当文件资源被请求,才会在触发密级调整函数export(>。
这与保密法中的“解密不一定公开”是完全相符的.
3.2文件系统操作策略
3.2.1策略合成
安全文件系统的设计是基于改进的BLP模型,那么对文件资源的访问必须遵循IBLP的策略。
在安全文件系统中,设置了全局策略库。
在IBLP安全文件系统框架中,通过密级调整函数,hypervisor层的监听器,标记函数,结合访问决策判断,进行了相应的策略合成。
生成的策略存放到全局策略库。
在全局策略库形成之前,文件系统的资源访问效率会有一定的影响,当某一文件操作触发时,需要先进行操作策略的合成,然后执行。
随着全局策略库逐渐扩展,文件资源的访问效率会有很大的提高。
3.2.2文件操作策略
在多域安全虚拟计算机系统中,每个登陆用户都会生成一个对应的实例。
由超级域Domain0进行DomainU的初始化操作,在Domain0中生成一个list,用来存储管理各个用户域DomainU.所有的用户与对系统资源的访问并不能直接进行,而是通过hypervisor传输请求,进行相应的系统调用,经过策略库的过滤匹配才会被超级域的后端驱动收集,经virt_to_phys(>函数把虚拟地址转换到实际物理地址,即完成文件资源的操作。
在全局策略库的过滤匹配过程中,首先进行i_secTime和i_level的字段检查,将i_secTime和当前系统时间进行比较,如果i_secTime为零,即转入export(>函数进行密级调整,否则直接转入图2中的多级安全目录中的相应目录。
3.3内存监控
文件系统的内存索引结构inode需要可信保证,而这也成为文件系统的一个薄弱环节,如何防止逻辑攻击对inode的结构进行篡改也是我们要重点解决的问题。
在多域安全虚拟计算机系统中,引入的hypervisor负责对物理设备的控制访问,所有内存更新都要经过hypervisor层的确认,这就使它更容易地检测内存的变化,有效的防止系统内存被恶意篡改。
hypervisor层位于机器硬件和操作系统之间,这个特殊的位置可以帮助我们对原型系统做基于软件的修改,而不用对硬件进行改变。
Domain0的后端驱动和DomainU的前端驱动之间构成了事件通道,而hypervisor通过管理事件通道传输的虚拟系统中断请求,实现内存的动态读写。
内存监测流程为:
(1>系统调用触发后对其进行完整性度量,然后通过Do-mains的前后端驱动和Hypervisor存入相应的instance1中。
(2>在内核中加入virt_to_phys(>函数执行虚拟地址到物理地址的转换。
通过Hypervisor的report_ptes和report_frames两个hypercalls在hypervisor中建立监测列表,当系统调用退出时,通过report_exit移除相应的监测列表项。
(3>应用程序向DomainU内核发送PTE更新请求,hypervi-sor截获到这个PTE更新请求,并与监测列表中的内存地址进行比较。
(4>加载Domain0的一个内核模块,在/proc目录下生成文件check_Tamper,文件中的值用来指示内存是否被篡改。
(5>一旦监测到内存被篡改,立即发送一个虚拟中断VIPQ_TAMPER,修改check_Tamper的值。
DomainU可以收到这个虚拟中断。
VIRQ_TAMPER是一个全局的虚拟中断请求(VIRQ>,用来指示对可信内存的篡改。
(6>在hypervisor层中一旦监测到可信内存的篡改,虚拟中断VIRQ_TAMPER被发送,Domain0的后端设备驱动收到这个中断,立即向用户空间发出警报。
通过hypervisor内存监测,极大的降低了内存索引结构in-ode被逻辑攻击的恶意篡改。
真正解决了安全文件系统的最后一个薄弱环节。
4系统分析
4.1系统安全性经典BLP模型中,可信主体不符合最小特权原则,导致了权限过大。
而多域安全虚拟计算机系统,通过可信技术的辅助,从系统加电启动,应用程序的运行,系统调用,内存更改,都做到了可信保证。
使可信主体的操作做到真正的“可信”,从而使可信主体的权限过大问题做到最小化处理。
设置了多级安全目录,按照不同密级进行了划分,文件资源的密级调整严格遵循时间限制和BLP模型的操作策略。
很好的解决了隐通道问题,高级别的信息做到了有原则的向低级别流动。
这主要依靠IBLP模型的改进。
4.2系统效率
在保证文件系统安全性的前提下,通过策略库的文件操作策略存储,提高了日常文件操作的过滤匹配操作。
对文件的密级调整操作,按照“needtoknow”的原则,不会自动去对文件密级进行调整,而是有请求才会有调整,使安全性的开发对系统效率的影响降到最低。
4.3系统兼容性
由于hypervisor层的引入,避免了在实现安全文件系统时对系统内核做大的改动,系统的调用触发的功能实现都是基于hy-pervisor层。
因此,应用程序可以无改动的在安全文件系统上运行,实现了很好的向上兼容性。
5结束语
BLP模型作为经典安全模型,在实际应用中存在诸多不足和限制。
本文通过设计IBLP模型,并应用到安全文件系统中来,极大的改进了多域安全虚拟计算机系统的文件资源的访问灵活性,同时提供了极高的安全保证。
参考文献
[1]BellDE,LaPadulaLJ.Securecomputersystems:
Mathematicalfoundations.ESD-TR-73-278,I(AD>770768,ElectronicSystemsDivision,AirForceSystemCommand,HanscomAFB.Bedford,1973.
[2]BellDE,LaPadulaLJ.Securecomputersystems:
AMathe-maticalmodel.ESD-TR-73-278,Ⅱ(AD>771543,ElectronicSystemsDivision,AirForceSystemCommand,HanscomAFB.Bedford,1973.
[3]BellDE,LaPadulaLJ.Securecomputersystems:
ARefine-mentoftheMathematicalmodel.ESD-TR-73-278,Ⅲ(AD>780528,ElectronicSystemsDivision,AirForceSystemCommand,HanscomAFB.Bedford,1974.
[4]BellDE.Securecomputersystem:
Aretrospective.In:
Proc.ofthe1983IEEESymp.OnSecurityandPrivacy.Oakland:
IEEEComputerSocietyPress,1983.161-162.
升级会员 