SELinux策略的等级信息教材

SELinux策略的等级信息分析张谦2010.4.14Roadmap背景虚拟机系统策略分析针对SELinux策略的等级信息分析方法新想法讨论：实时策略分析背景安全互操作与全局访问控制L.GongandX.Qian.Computationalissuesinsecureinteroperation.IEEETransactionsSoftwareEngineering.Vol.22,No.1,pp.43-52(1996)背景（续）安全互操作与全局访问控制实现安全协作关键是访问控制策略的安全互操作，即融合各成员的本地策略而形成的全局访问控制策略所支持的成员间数据访问必须与相关单一成员中的访问控制策略一致安全互操作的两个原则：自治性原则：在单一成员中被允许的访问必须被安全互操作所允许；安全性原则：某单一成员中不被允许的访问必须被安全互操作所拒绝。虚拟机系统策略分析文献SandraRueda,HayawardhVijayakumar,TrentJaeger.AnalysisofVirtualMachineSystemPolicies.InProceedingsofthe14thACMsymposiumonAccesscontrolmodelsandtechnologies,P227-236,2009目标：VMpolicies&VMMpolicy→VM-systempolicy？→安全目标困难：特权VM的存在，导致实际信息流不完全由VMMpolicy控制策略的复杂性，规则过多，难于确定是否符合安全目标各部分策略是独立开发的，缺乏整体规划虚拟机系统策略分析（续）方法简单的想法将VMMpolicy和VMpolicies构建一个统一的信息流图，可以解决第一个困难然而这种方法会受限于第二个困难VM-system的特点不同层次的策略：VMMpolicy控制VMM资源，VMpolicy控制OS资源方法概述只关心虚拟机间通信相关策略（VMM策略和VM中互操作策略）构建基于信息流的模型和相应的信息流图使用信息流图分析策略是否满足安全目标虚拟机系统策略分析（续）问题定义在VM-system中，VMM实施了多级安全策略，每个VM的MAC策略都可能包含一个安全级别范围。建立一个基于信息流的分析方法来确定是否所有VM间信息流都符合安全需求虚拟机系统策略分析（续）VM-system策略模型基础假设VM-system中的vmi具有(1)一个label和(2)一个局部的MAC策略这个label是一个完整性或机密性区间定义1VMs的完整性/机密性区间VM-system中的VMs都被分配了完整性/机密性区间integrity/confidentiality函数将VM映射到其完整性/机密性区间lint/hint函数分别返回区间的最低/最高完整性级别lconf/hconf函数分别返回区间的最低/最高机密性级别定义2第一类信息流（默认信息流）默认信息流表现为VM间的只有VMM策略标记的通信信道虚拟机系统策略分析（续）VM-system策略模型（续）定义3VM可见标记VM可见标记是由两个不同VM上的应用程序分配给互相通信用的信道的标记，表示为vmi.l和vmj.l定义4第二类信息流（VM可见信息流）VM可见信息流表现为不同虚拟机上的两个应用程序间使用相关VM可见标记的通信信道定义5VM信息流图G=(V,E)是VM信息流图，其中V包含(1)VMM策略分配给VMs的标记和(2)VM可见标记E包含(1)VMM策略中允许的信息流和(2)VM可见标记引起的信息流虚拟机系统策略分析（续）验证VM-system策略符合安全目标的算法示例：一个VM-system中包含特权VM(dom0_t)，服务VM(doms_t)以及两个用户VM(domu_t和domv_t)。dom0_t拥有对所有VMM资源的访问权限，同时监控所有VM对VMM资源的访问；doms_t运行了一个服务，domu_t和domv_t使用这个服务，这个服务使用两个信道进行通信，其中domu_t使用c2_t的标记，domv_t使用c1_t的标记。虚拟机系统策策略分析（续续）验证VM-system策略符合安全全目标的算法法（步骤1）构建信息流图图V：VMM策略标记+VM可见标记E：Type1信息流+Type2信息流虚拟机系统策策略分析（续续）验证VM-system策略符合安全全目标的算法法（步骤2）定义安全目标标定义安全目标标信息流图定义安全目标标中的安全级级别和策略中中标记的映射射虚拟机系统策策略分析（续续）验证VM-system策略符合安全全目标的算法法（步骤3）验证VM信息流是否符符合规定SAFE、UNSAFE、AMBIGUOUS虚拟机系统策策略分析（续续）验证VM-system策略符合安全全目标的算法法（步骤4）找出信息流安安全的VM只作为SAFE信息流的源或或目的节点存存在的VM虚拟机系统策策略分析（续续）验证VM-system策略符合安全全目标的算法法（步骤5）消除歧义信息息流查看VM策略来确定歧歧义信息流的的实际等级示例中存在两两类歧义信息息流dom0_t→doms_t：由于dom0可信，相信dom0不会泄密，所所以这类信息息流是SAFE的doms_t→dom0_t：这类信息流流是用于申请请VMM资源的，dom0中资源管理的的进程标记为为priv，高于doms_t的标记，所以以这类信息流流也是SAFE的虚拟机系统策策略分析（续续）验证VM-system策略符合安全全目标的算法法（步骤6）验证每个VM本身策略是否否符合规定定理VM-system符合某个安全全需求，当所有VM间信息流符合合安全需求所有VM内信息流符合合安全需求示例中domu_t、domv_t都是单一等级级，无需验证证dom0_t是可信的，假假设符合安全全需求doms_t可以使用信息息流分析工具具分析虚拟机系统策策略分析（续续）总结该方法首先将将VM策略的等级和和VMM策略的等级映映射到安全目目标的等级上上，然后分析析这种映射是是否满足安全全目标问题基本假设VM-visible标记VM策略可验证针对环境单一物理平台台的虚拟机针对SELinux策略的等级信信息分析方法法针对环境虚拟域环境面对的威胁针对SELinux策略的等级信信息分析方法法（续）问题定位背景分析虚拟域环境中中实施整体的的多级安全策策略不同物理平台台的VMM无法直接获得得其它VM的策略信息VM策略中不包含含明显的等级级信息问题定位安全目标？机机密性保护/MLS策略VMM策略等级？MLS策略VM策略等级？需要提取VM策略的等级信信息需要验证等级级信息的可信信针对SELinux策略的等级信信息分析方法法（续）提取VM策略的等级信信息安全策略分类类基于格模型的的安全策略MLS/Biba/LOMAC易于提取等级级信息基于访问控制制矩阵的安全全策略TE/RBAC难于提取等级级信息，使用用SELinux策略为例提出出等级信息分分析方法验证等级信息息的可信使用可信agent提取等级信息息构建远程证明明协议证明agent和等级信息的的完整性针对SELinux策略的等级信信息分析方法法（续）方法初步设计计提取的等级信信息符合BLP模型的简单安安全属性和*-安全属性首先提取信息息流，分析信信息流符合要要求的主客体体方法步骤：针对SELinux策略的等级信信息分析方法法（续）存在的问题及及分析问题：实际提提取时无法提提取出多等级级原因：实际系系统中信息流流不能完全满满足BLP模型安全属性性可信主体与可可信进程BLP模型中*-属性限制过严严，将导致无无法根据严格格的BLP模型来构建可可用的安全系系统，所以提提出可信主体体来超越*-属性可信进程作为为可信主体的的一种实现方方式，具有以以下性质：安全相关性可信性特权受控使用用完整性可用性正确性无干扰性针对SELinux策略的等级信信息分析方法法（续）改进的方法设设计针对SELinux策略的等级信信息分析方法法（续）基于XSB的实现基本策略组件件如右图基本规则定义义一致性consistent(T,R,U)授权关系auth(C,P,T1,R1,U1,T2,R2,U2)直接信息流flow_trans(T1,R1,U1,T2,R2,U2)信息流transitive_flow(T1,R1,U1,T2,R2,U2)针对SELinux策略的等级信信息分析方法法（续）基于XSB的实现（续））新增规则定义义不含可信进程程的信息流infoflow_without_TP(T1,R1,U1,T2,R2,U2)是一个不流经经可信进程的的信息流，若若(1)存在flow_trans(T1,R1,U1,_,_,T2,R2,U2)，且不存在tp(T1)和tp(T2)；或者(2)存在flow_trans(T3,R3,U3,_,_,T2,R2,U2)和infoflow_without_TP(T1,R1,U1,_,_,T3,R3,U3)，且不存在tp(T2)。针对SELinux策略的等级信信息分析方法法（续）基于XSB的实现（续））新增规则定义义（续）同等级标记型T1和T2在同一个等级级上，表示为为equal(T1,T2)，若存在infoflow_without_TP(T1,_,_,T2,_,_)和infoflow_without_TP(T2,_,_,T1,_,_)。偏序等级型T1比型T2的等级高，表表示为higher(T1,T2)，若存在infoflow_without_TP(T2,_,_,T1,_,_)却不存在infoflow_without_TP(T1,_,_,T2,_,_)。针对SELinux策略的等级信信息分析方法法（续）基于XSB的实现（续））新增增规规则则定定义义（（续续））同等等级级标标记记集集合合T2在等等级级m的集集合合内内，，若若存存在在equal(T1,T2)或equal(T2,T1)且T1在等等级级m的集集合合内内。。针对对SELinux策略略的的等等级级信信息息分分析析方方法法（（续续））基于于XSB的实实现现（（续续））新增增规规则则定定义义（（续续））提取取所所有有等等级级标标记记集集合合针对对SELinux策略略的的等等级级信信息息分分析析方方法法（（续续））基于于XSB的实实现现（（续续））新增增规规则则定定义义（（续续））将等等级级标标记记集集合合排排序序首先先定定义义level_finish(m,S)表示示S集合合是是level(m)等级级中中所所有有标标记记的的集集合合。。然然后后将将所所有有的的等等级级标标记记集集合合作作为为元元素素建建立立一一个个新新的的集集合合level_set()。最最后后按按照照前前面面改改进进算算法法的的第第4步将将等等级级标标记记集集合合排排序序。。针对对SELinux策略略的的等等级级信信息息分分析析方方法法（（续续））验证证等等级级信信息息的的可可信信构建建可可信信agent使用用改改写写过过的的SELinux策略略载载入入命命令令充充当当提提取取等等级级信信息息的的代代码码模模块块，，该该命命令令在在载载入入SELinux策略略的的过过程程中中同同时时进进行行等等级级信信息息的的提提取取。。构建建举举证证信信息息针对对SELinux策略略的的等等级级信信息息分分析析方方法法（（续续））验证证等等级级信信息息的的可可信信（（续续））远程程证证明明协协议议新想想法法讨讨论论：：实实时时策策略略分分析析触发发动动机机之前前的的策策略略分分析析方方法法都都是是针针对对整整体体策策略略进进行行分分析析整体体策策略略包包含含内内容容过过多多难以以提提取取策策略略的的内内容容难以以符符合合某某个个安安全全目目标标类比比可可执执行行文文件件安安全全性性分分析析专用用操操作作系系统统保保证证系系统统中中全全部部的的可可执执行行程程序序都都是是可可信信的的，，不不通通用用，，难难于于实实现现。。可信信计计算算的的度度量量验验证证机机制制只只关关心心已已运运行行的的程程序序是是否否可可信信，，减减少少验验证证对对象象，，更更通通用用更更易易于于实实现现新想想法法讨讨论论：：实实时时策策略略分分析析（（续续））实时时策策略略分分析析想想法法只针针对对当当前前时时刻刻实实际际有有效效策策略略进进行行安安全全目目标标的的分分析析当前前时时刻刻实实际际有有效效策策略略每个个应应用用程程序序对对应应一一部部分分策策略略某一一时时刻刻只只有有部部分分的的应应用用程程序序在在运运行行所以以，，当当前前时时刻刻只只有有和和这这些些应应用用程程序序相相关关的的策策略略是是有有效效的的策略略提提取取每个个应应用用程程序序对对应应直直接接策策略略为为一一张张信信息息流流图图所有有应应用用程程序序的的信信息息流流图图连连接接起起来来构构成成全全策策略略的的信信息息流流图图提取取当当前前运运行行程程序序的的信信息息流流图图链链接接起起来来构构成成当当前前有有效效策策略略信信息息流流图图策略略分分析析图分分析析方方法法逻辑辑编编程程语语言言分分析析方方法法新想想法法讨讨论论：：实实时时策策略略分分析析（（续续））讨论论方法法正正确确性性？？应用用场场景景？？提取取的的信信息息流流图图是是否否要要包包含含已已关关闭闭程程序序的的信信息息流流图图？？That’’sall,thanks9、静夜四无无邻，荒居居旧业贫。。。1月-231月-23Wednesday,January4,202310、雨中黄叶树树，灯下白头头人。。22:57:2722:57:2722:571/4/202310:57:27PM11、以我我独沈沈久，，愧君君相见见频。。。1月-2322:57:2722:57Jan-2304-Jan-2312、故故人人江江海海别别，，几几度度隔隔山山川川。。。。22:57:2722:57:2722:57Wednesday,January4,202313、乍见见翻疑疑梦，，相悲悲各问问年。。。1月-231月-2322:57:2722:57:27January4,202314、他乡生白白发，旧国国见青山。。。04一月月202310:57:27下下午22:57:271月-2315、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。。一月月2310:57下下午午1月月-2322:57January4,202316、行动出成果果，工作出财财富。。2023/1/422:57:2722:57:2704January202317、做前前，能能够环环视四四周；；做时时，你你只能能或者者最好好沿着着以脚脚为起起点的的射线线向前前。。。10:57:27下下午午10:57下下午22:57:271月-239、没有失败败，只有暂暂时停止成成功！。1月-231月-23Wednesday,January4,202310、很多事情情努力了未未必有结果果，但是不不努力却什什么改变也也没有。。。22:57:2722:57:2722:571/4/202310:57:27PM11、成功就是日日复一日那一一点点小小努努力的积累。。。1月-2322:57:2722:57Jan-2304-Jan-2312、世间成事，，不求其绝对对圆满，留一一份不足，可可得无限完美美。。22:57:2722:57:2722:57Wednesday,January4,202313、不不知知香香积积寺寺，，数数里里入入云云峰峰。。。。1月月-231月月-2322:57:2722:57:27January4,202314、意志志坚强强的人人能把把世界界放在在手中中像泥泥块一一样任任意揉揉捏。。04一一月月202310:57:27下下午午22:57:271月-2315、楚塞塞三湘湘接，，荆门门九派派通。。。。。一月2310:57下下午1月-2322:57January4,202316、少年十十五二十十时，步步行夺得得胡马骑骑。。2023/1/422:57:2722:57:2704January202317、空山新雨雨后，天气气晚来秋。。。10:57:27下下午10:57下午22:57:271月-239、杨杨柳柳散散和和风