安全需求与安全策略课件

1、安全操作系统原理与技术安徽理工大学计算机科学与工程学院信息安全系张柱 讲师第1页，共65页。7/29/20221第4章 安全需求与安全策略学习内容:了解操作系统设计时的安全需求了解安全策略语言和分类掌握访问控制策略、访问支持策略等本章重点：访问控制策略、范围支持策略第2页，共65页。7/29/20222第4章 安全需求与安全策略(6课时) 4.1 安全需求1.定义所谓安全需求，就是在设计安全系统时期望得到的安全保障。2.用户对信息系统的安全需求主要包括：机密性需求；完整性需求；可记账性需求；可用性需求。第3页，共65页。7/29/20223第4章 安全需求与安全策略(6课时) 4.2 安全策略

2、所谓安全策略，就是针对面临的威胁决定采用何种对策的方法。安全策略为针对威胁而选择和实行对策提供了框架。4.2.1 定义在计算机领域，安全系统的安全就是指该系统达到了当初设计时所制定的安全策略的要求。计算机系统可以用一系列可以改变状态的转换函数组成的有限状态自动机表示，则安全策略可以定义为这样一种状态：它将系统状态分为已授权/安全的状态和未授权/非安全的状态。在有限自动机下，一个安全系统是指“一个如果起始状态为授权状态，其后也不会进入未授权状态的系统”。第4页，共65页。7/29/20224第4章 安全需求与安全策略(6课时) 4.2.1 定义如图所示，是一个不安全的系统，因为存在从S1到S3的

3、转换过程，系统就可以从一个授权状态进入一个未授权的状态。在机密性方面，应当标识出所有将信息泄漏给未经授权者的状态；在完整性方面，安全策略应当标识出可用来更改信息的授权途径，同时也要标识出能够更改信息的被授权的实体；在可用性方面，安全策略必须描述应提供什么样的服务，安全策略应描述如何通过系统提供的参数来获得相应的服务并保证服务达到预先设计的质量。第5页，共65页。7/29/20225第4章 安全需求与安全策略(6课时) 4.2 安全策略4.2.2 策略语言策略语言是用来表达安全性或完整性策略的语言。高级策略语言使用抽象的方法表达策略对于实体的约束。低级策略语言根据输入或者调用选项来表达对系统中的

4、程序约束。1.高级策略语言策略与实现无关，它描述对系统中实体或行为的约束。高级策略语言对策略的明确表达，这种精确度要求策略以数学的方法用公式来明确陈述。第6页，共65页。7/29/20226第4章 安全需求与安全策略(6课时) 4.2.2 策略语言1)Pandey和Hashii开发了一种针对Java程序的高级策略约束语言，指定了对资源访问的约束以及这些约束是如何继承的。该策略语言，将实体表达为类或方法。类是一些被实施特定的访问约束的对象的集合；方法是调用操作的方法的集合。当主体s创建某个类c的一个实例，称为实例化，记为“s-|c”。当主体s1执行了另一个主体s2，称之为调用，记为“s1|s2”

5、。访问约束形式如下：deny(s op x) when bop指“-|”或者“|”。s是一个主体，x另一个主体或类，b是一个布尔表达式。约束表明：当条件b为真时，主体s不能对x执行操作。若省去表达式中的x，则说明禁止对所有实体进行操作。第7页，共65页。7/29/20227第4章 安全需求与安全策略(6课时) 4.2.2 策略语言“继承”用了将各个访问约束关联起来。如果类c1的父类c2定义了方法f，则c1就继承了f。存在约束如下：deny(s-|c1.f) when b1deny(s-|c2.f) when b2由于子类会继承父类的约束，故b1和b2都约束了c1对f的调用。则隐含的约束是den

6、y(s-|c1.f) when b1b2这种策略语言忽略了策略的具体实现。第8页，共65页。7/29/20228第4章 安全需求与安全策略(6课时) 4.2.2 策略语言假设策略规定下载程序不能访问Unix系统中的passwd文件。程序使用下面的类和方法访问本地文件class filepublic file(String name); public String getfilename();public char read();则存在如下的约束deny(|file.read) when (file.getfilename()=“/etc/passwd”)第9页，共65页。7/29/20229第

7、4章 安全需求与安全策略(6课时) 4.2.2 策略语言2)DTEL策略语言DTEL语言是从Boebert和Kain的研究成果中发展出来的。它将类型限制为两种：数据和指令。DTEL语言根据语言的类型，将低级语言和高级语言的元素结合起来，在实现一级上进行够了来表达约束。DTEL语言将每个客体与一个类型关联，而每个主体以一个域相关联，能够限制域成员对某种类型的客体所能执行的操作。第10页，共65页。7/29/202210第4章 安全需求与安全策略(6课时) 4.2.2 策略语言DTEL将Unix系统分为四个相互隔离的主体域：user_d#普通用户域admin_d#管理员用户域login_d#兼容D

8、TEL认证过程的域daemon_d#系统后台守护进程的域login_d域中的登录程序控制user_d和admin_d之间的访问。系统从daemon_d域开始运行。第11页，共65页。7/29/202211第4章 安全需求与安全策略(6课时) 4.2.2 策略语言DTEL将Unix的客体分为五个客体型：sysbin_t#可执行文件readable_t#可读文件writable_t#可写文件dte_t#DTE数据generic_t#由用户进程产生的数据DTEL中定义客体型的语句如下：type readable_t,writable_t,sysbin_t,dte_t,generic_t;第12页，共

9、65页。7/29/202212第4章 安全需求与安全策略(6课时) 4.2.2 策略语言以daemon_d域为例：domain daemon_d=(/sbin/init),(crwd-writable_t), (rxd-readable_t), (rd-generic_t,dte_t,sysbin_t), (auto-login_d);说明：当init程序开始运行时，首先在daemon_d域中启动，它能够创建(c)、读取(r)、写入(w)和搜索(d)writable_t型中的任何客体；也能够读取、搜索和执行(x)readable_t型中的任何客体；能够读取和搜索generic_t、sysbin

10、_t和dte_t型中的任何客体。最后调用登录程序，自动转入login_d域中。第13页，共65页。7/29/202213第4章 安全需求与安全策略(6课时) 4.2.2 策略语言策略要求只有管理员主体才可以写系统中的可执行文件。domain admin_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh), (crwxd-generic_t), (rwxd-readable_t,writable_t,dte_t,sysbin_t), (sigtstp-daemon_d);说明：admin_d域中的主体只能创建在generic_t型中的客体，但可以读、写、执行和搜索

11、任何客体，另外admin_d域中的主体还能够利用sigtstp信号将daemon_d域中执行的进程挂起。第14页，共65页。7/29/202214第4章 安全需求与安全策略(6课时) 4.2.2 策略语言普通用户域也必须受到类似的约束。domain user_d=(/usr/bin/sh,/usr/bin/csh,/usr/bin/ksh), (crwxd-generic_t), (rxd-sysbin_t), (rwd-writable_t) (rd-readable_t, dte_t);说明：user_d域中的主体(普通用户)只能写在writable_t型中的客体，只能运行sysbin_t

12、型中的客体，只能创建generic_t型中的客体，但能读、搜索所有型的客体。第15页，共65页。7/29/202215第4章 安全需求与安全策略(6课时) 4.2.2 策略语言登录域(login_d)控制对用户域(user_d)和管理域(admin_d)的访问。这种控制是登录域的唯一功能。对于登录域的访问严格地受到login程序的限制。domain login_d=(/usr/bin/login), (crwd-writable_t), (rd-readable_t,generic_t,dte_t), setauth, (exec-user_d,admin_d);说明：login_d域中的主体

13、不能执行任何其他程序，登录域同时也被授权更改用户ID的权限。第16页，共65页。7/29/202216第4章 安全需求与安全策略(6课时) 4.2.2 策略语言起初，系统在开始于daemon_d状态，即initial_domain=daemon_d;系统使用一系列assign语句设置客体的初始型，如：assign -r generic_t /;assign -r writable_t /usr/var,/dev,/tmp;assign -r readable_t /etc;assign -r -s dte_t /dte;assign -r -s sysbin_t /sbin,/bin,/usr

14、/bin,/usr/sbin;其中-r表示该型可以被递归应用； -s表示该型与名称绑定，如果客体被删除，则新建的客体的型必须与删除的客体相同。第17页，共65页。7/29/202217第4章 安全需求与安全策略(6课时) 4.2.2 策略语言2.低级策略语言低级策略语言是一系列命令的输入或参数设置，用了设置或检查系统中的约束。例如，Linux窗口系统X11提供了一种对控制台的访问进行控制的语言。该语言有命令xhosts和一种用了允许基于主机名的控卫控制语法组成，如：xhosts+groucho -chico第18页，共65页。7/29/202218第4章 安全需求与安全策略(6课时) 4.2

15、安全策略4.2.3 安全策略的分类基于信息应用的场合，将安全策略分为两大类：军事安全策略和商用安全策略，前者侧重信息的机密性要求，后者侧重于信息的完整性。1.基于应用场合的分类1)军事安全策略也称为政府安全策略，是一种以提供信息机密性为主要目的的安全策略，但同时还涉及完整性、可记账性以及可用性。2)商业安全策略以提供完整性为主要目的的安全策略，同时涉及机密性、可记账性以及可用性。第19页，共65页。7/29/202219第4章 安全需求与安全策略(6课时) 4.2.3 安全策略的分类Lipner指出商业安全策略中需要注意五个方面：用户不能写自己的程序，但能使用现有的产品程序和数据库；程序员可以

16、在非产品的系统中开发和测试程序；必须要有一个特殊处理，用了将程序从开发系统安装到产品系统中；方面3)中的特殊处理必须被控制和审计；管理员和审计员能访问系统状态和系统日志。这些要求体现出如下的操作原则：职责分离原则；功能分离原则；审计原则。第20页，共65页。7/29/202220第4章 安全需求与安全策略(6课时) 4.2.3 安全策略的分类2.基于安全策略内涵的分类访问控制策略：基于安全策略内涵中的机密性和完整性要求；访问支持策略：基于安全策略内涵中的可记账性和可用性要求。第21页，共65页。7/29/202221第4章 安全需求与安全策略(6课时) 4.3 访问控制策略在信息系统中与访问控

17、制策略相关的因素有三大类：主体、客体以及相应的可用作访问控制的主客体属性。4.3.1 访问控制属性1.主体所谓主体，就是指系统内行为的发起者，通常是指由用户发起的进程。对于系统中的用户而言，可以分为如下几类：普通用户(user)；信息拥有者(owner)；系统管理员(administrator)第22页，共65页。7/29/202222第4章 安全需求与安全策略(6课时) 4.3.1 访问控制属性2.客体是指信息系统内所有主体行为的直接承担者。可分为如下几类：一般客体；设备客体；特殊客体3.主、客体属性访问控制策略还包括以下几个因素：主体的属性；客体的属性；系统的环境或上下文属性。每个系统必须

18、选择以上三类相关的属性进行访问控制策略的决策。第23页，共65页。7/29/202223第4章 安全需求与安全策略(6课时) 4.3.1 访问控制属性1)主体属性(用户特征)是系统用来决定访问控制的最常用因素。通常用户的任何属性都可以作为访问控制的决策点，常用的用户属性有：用户ID/组ID；用户访问许可级别；“需知”原则；角色；能力列表。第24页，共65页。7/29/202224第4章 安全需求与安全策略(6课时) 4.3.1 访问控制属性2)客体属性(客体特征)客体特征属性包括如下几个方面：敏感性标签；访问控制列表；外部状态；数据内容/上下文环境；其他。 第25页，共65页。7/29/202

19、225第4章 安全需求与安全策略(6课时) 4.3 访问控制策略4.3.2 自主访问控制策略相对于强制访问控制策略，自主访问控制策略能够提供一种更为精细的访问控制粒度。一般来说，自主访问控制策略是基于系统内用户加上访问授权(如能力列表CLs)或者客体的访问属性(如ACL)来决定该用户是否具有相应的权限访问客体，也可以基于要访问的信息内容或是基于用户在发出对信息访问相应请求时所充当的角色来进行访问控制的。在实际的计算机内，自主访问控制策略使用三元组(S,O,A)表示。相对于强制访问控制策略中的访问模式只能是“读”和“写”，自主访问控制策略的优点还表现在其访问模式设定非常灵活。自主访问控制策略的灵

20、活性特征，使得它更适用于各种操作系统和应用程序。第26页，共65页。7/29/202226第4章 安全需求与安全策略(6课时) 4.3.2 自主访问控制策略自主访问控制策略的缺点：不能防范“特洛伊木马”或某些形式的“恶意程序”。为此，在系统内进行自主访问控制的同时，利用强制访问控制策略加强系统的安全性就显得非常重要。第27页，共65页。7/29/202227第4章 安全需求与安全策略(6课时) 4.3 访问控制策略4.3.3 强制访问控制策略强制访问控制策略既可以防止对信息的非授权篡改，也可以防止未授权的信息泄漏，在特定的强制访问控制策略中，标签可以不同的形式来实现信息的完整性和机密性。在强制

21、访问控制机制下，系统的每个用户或主体被赋予一个访问标签，以表示该主体对敏感客体的访问许可级别；每个客体被赋予一个敏感性标签，用来表示该信息的敏感性级别；“引用监视器”通过比较主、客体相应的标签来决定是否授予主体对客体的访问请求。在强制访问控制策略中，访问三元组(S,O,A)与自主访问控制相同，但访问方式A只能取“读”和“写”。第28页，共65页。7/29/202228第4章 安全需求与安全策略(6课时) 4.3.3 强制访问控制策略强制访问控制策略的显著特征是“全局性”和“永久性”，即在强制访问控制策略中，无论何时何地，主、客体的标签是不会改变的。这一特征在多级安全体系中称为“宁静性原则”。对

22、于具体的访问控制策略，如果同时具备“全局性”和“永久性”特征，其标签集合在数学上将形成“偏序关系”，即支持如下的三个基本特征：反身性：xx；反对称性：xy且yx，则x=y；传递性：xy且yz，则xz；在访问控制策略中,访问标签集合中的元素之间的关系于上述三种特征中的任何一种不符合,强制访问策略的两大特征,即全局性和永久性必有一个要被破坏。第29页，共65页。7/29/202229第4章 安全需求与安全策略(6课时) 4.3.3 强制访问控制策略综上所述，若一个访问控制策略使用的主客体访问标签不满足“偏序”关系，则此访问控制策略不能称为强制访问控制策略，只能称为自主访问控制策略。强制访问控制策略

23、和自主访问控制策略在功能上的最大区别在于是否能够防备“特洛伊木马”或“恶意”程序的攻击。若一个系统内存在两种强制访问控制策略，则该系统内的主、客体必有两类不同的访问标签，每类标签于一个强制访问控制策略对应。第30页，共65页。7/29/202230第4章 安全需求与安全策略(6课时) 4.4 访问支持策略访问支持策略用来保障访问控制策略的正确实施提供可靠的“支持”，所有这些策略统称为访问支持策略。通常，这类安全策略是为了将系统中的用户与访问控制策略中的主体联系起来。访问支持策略包含多个方面，以TCSEC为例，它将系统的访问支持策略分为六类：标识与鉴别；可记账性；确切保证；连续保护；客体重用；隐

24、蔽信道处理。第31页，共65页。7/29/202231第4章 安全需求与安全策略(6课时) 4.4 访问支持策略4.4.1 标识与鉴别TCSEC的标识与鉴别策略要求以一个身份来标识用户，并且此身份必须经过系统的认证与鉴别。可以用作身份认证的信息主要有：“用户所知道的信息”-用户名/口令机制；“用户所拥有的信息”-智能卡机制等；“用户是谁”-生物学特征。1)基于第一类信息的最常见的实现形式是用户口令机制。基于口令形式的身份认证机制，其有效性取决于用户口令的安全性。第32页，共65页。7/29/202232第4章 安全需求与安全策略(6课时) 4.4.1 标识与鉴别在美国国防部密码管理指南中，提供

25、了一套基于口令的用户认证机制，包括：安全管理职责；用户职责；技术因素。2)基于第二类信息身份认证，利用用户所拥有的东西来作为对其身份的认证。3)基于第三类信息的身份认证是依赖于用户的生物学特征。第33页，共65页。7/29/202233第4章 安全需求与安全策略(6课时) 4.4 访问支持策略4.4.2 可记账性可记账性，又称为审计，它是现实生活中的复式簿记的数字化反映。对高度重视安全的地方极其重要。TCSEC的可记账性策略要求任何影响系统安全性的行为都要被跟踪并记录下了，系统TCB必须拥有将用户的ID与它被跟踪、审计的行为联系起来的能力。TCSEC标准规定审计系统应能够记录以下事件：与标识和

26、鉴别机制相关的事件；将客体导入用户地址空间的操作；对客体的删除；由系统管理员或安全管理员所执行的所有操作，以及其他与安全相关的事件等。第34页，共65页。7/29/202234第4章 安全需求与安全策略(6课时) 4.4.2 可记账性对事件的审计记录项至少应包括事件发生的日期和时间、用户ID、事件的类型、事件成功或失败。对于B2级以上的系统，要求审计系统能够记录用来探测隐蔽存储通道。对于识别与鉴别机制相关事件的审计，审计记录还应包括请求源；对于将客体导入用户地址空间的操作和删除可以的操作，审计记录应包括客体的名称以及客体的安全级别。一个良好的审计系统能够选择需要记录的审计事件是必备的功能。第3

27、5页，共65页。7/29/202235第4章 安全需求与安全策略(6课时) 4.4 访问支持策略4.4.3 确切保证定义：是指系统事先制定的安全策略能够得到正确的执行，且系统保护相关的元素能够真正精确可靠的实施安全策略的意图。作为扩展，“确切保证”必须确保系统的TCB严格按照事先设计的方式来运行。为了达到这些目标，TCSEC规定了两种类型的“确切保证”：生命周期保证：安全系统开发企业从系统设计、开发和分发、安装、维护各个环节所制定的措施、目标以及执行的步骤。包括安全性测试、设计规范和验证等；操作保证：主要针对用来保证系统在操作过程中安全策略不会被歪曲的功能特征和系统架构。包括系统架构、系统的完

28、整性，隐蔽信道分析、可信实施管理以及可信恢复。第36页，共65页。7/29/202236第4章 安全需求与安全策略(6课时) 4.4 访问支持策略4.4.4 连续保护TCSEC的连续保护策略要求，可信机制的实施必须连续不断地保护系统免遭篡改和非授权的改变。并且要求连续保护机制必须在计算机系统整个生命周期内起作用。4.4.5 客体重用定义：重新分配给某些主体的介质包含有一个或多个客体，为安全地重新分配这些资源的目的，这些资源在重新分配给新主体时不能包含任何残留信息。第37页，共65页。7/29/202237第4章 安全需求与安全策略(6课时) 4.4 访问支持策略4.4.6 隐蔽信道TCSEC中

29、定义为：可以被进程利用，以违反系统安全策略的方式进行非法传输信息的通信通道。包括两类：存储隐蔽信道和时间隐蔽信道。存储隐蔽信道，包括所有允许一个进程直接或间接地写存储客体，而允许另一个客体对该客体进行直接或间接的读访问的传输手段。时间隐蔽信道，包括进程通过调节自己对系统资源的使用向另一个进程发送信号信息，后者通过观察响应时间的改变而进行信息传输的手段。第38页，共65页。7/29/202238第4章 安全需求与安全策略(6课时) 4.5 DTE策略1991年Brien R.O.和Rogers C.提出了DTE访问控制技术。它依据安全策略限制进程进行访问，是TE策略的扩展。DTE使域和每个正在运

30、行的进程相关联，型和每个对象关联。如果一个域不能以某种模式访问某个型，则该域的进程不能以该模式访问那个型的对象。当进程试图访问文件时，DTE Unix系统内核在做标准Unix许可检查之前，作DTE许可检查。一个域的进程访问一个型中的客体时，访问模式包括：读(r)、写(w)、执行(x)、目录查找(d)、型创建(c)。每个i节点包括三个指针，分别表示目录或文件的型etype值、目录下所有文件或子目录的型，包括该目录rtype值和目录下所有文件或子目录的型，不包括该目录utype值。第39页，共65页。7/29/202239第4章 安全需求与安全策略(6课时) 4.5 DTE策略以下的规则决定一个文

31、件的型：设置文件的etype。如果存在一条规则将etype赋给一个文件，则就使用这条规则。如果不存在这样一条规则，但存在一条规则将rtype赋给这个文件，则该文件的etype就与rtype一样。如果也不存在，则该文件的型就由其父目录的utype继承得到。设置文件的utype。如果存在规则将utype赋给一个文件，则就使用这条规则。如果不存在，但存在规则将rtype赋给该文件，则该文件的utype与rtype一样。如果也不存在，则文件的utype型由其父目录的utype继承得到。设置文件的rtype。如果存在规则将rtype赋给一个文件，则就使用这条规则。如果不存在，则该文件的rtype为空。第

32、40页，共65页。7/29/202240第4章 安全需求与安全策略(6课时) 4.5 DTE策略当一个域的入口点文件执行时，有三类可能的域转化：自动转化；自愿转换；空的转化。DTE策略文件由四个部分组成：列举出所有的域和型；给出所有域的详细定义；制定文件系统根及其缺省类型，还指定一个初始域。列出型分配规则。DTE使用友好的高级语言来指定策略。第41页，共65页。7/29/202241第4章 安全需求与安全策略(6课时) 4.5 DTE策略4.5.1 域的划分DTE把所有进程划分为7个域。1.守护进程域(daemon_d)与系统守护进程相关的域，包括init；初始域。入口文件：/sbin/ini

33、t域daemon_d可以自动转化到login_d和trusted_d。域daemon_d中定义(rxd-bin_t)，即允许域daemon_d中的进程读、执行和搜索系统二进制文件，但不能修改。(rd-base_t,conf_t)，即允许守护进程读取，但不能修改基型文件和系统配置文件。其中conf_t型包括/etc下的所有文件；base_t包括系统根目录下的所有未赋其它型的文件。第42页，共65页。7/29/202242第4章 安全需求与安全策略(6课时) 4.5.1 域的划分2.可信域(trusted_d)与系统可信进程(fsck,mount_mfs,syslogd)相关的域入口文件：/sbi

34、n/fsck,mount_mfs;/usr/sbin/syslogd当daemon_d中的进程调用域trusted_d的入口文件时，则域login_d自动转化到域trusted_d。trusted_d域不再转化到其他域。trusted_d域中定义(rwd-syslog_t,disk_t)，即域trusted_d可以读、写和查找型syslog_t和型disk_t。syslog_t型赋给系统审计日志文件(/usr/var/log,/usr/var/run/syslog.pid,utmp)。型disk_t赋给了磁盘设备文件(/dev/rsd0a,rsd0b,rsd0g,rsd0h,sd0a,sd0b

35、,sd0g,sd0h)。(rd-base_t,conf_t)，即允许可信域中的守护进程读取但不能修改基型文件和系统配置文件。第43页，共65页。7/29/202243第4章 安全需求与安全策略(6课时) 4.5.1 域的划分3.注册域(login_d)与DTE login相关的域入口文件：/usr/bin/dtelogin当daemon_d中的进程调用域login_d的入口文件时，域daemon_d自动转化到域login_d。实际上，当用户域user_d、系统域system_d或管理域admin_d调用login_d域的入口文件时，都可自动转化到login_d域，只有通过login_d域才能按

36、要求转化到user_d、system_d和admin_d，因此login_d是不可以绕过的。只有一个二进制文件可以允许在login_d域中，即dtelogin。第44页，共65页。7/29/202244第4章 安全需求与安全策略(6课时) 4.5.1 域的划分login_d域中定义了：(rd-base_t,conf_t,secpolicy_t,syslog_t,secpolicy_log_t,cipher_t)，即允许login程序读取、搜索但不能修改基型文件、系统配置文件、安全策略文件、系统日志文件、密码文件、安全策略日志文件。secpolicy_t赋给/dte下的所有文件，cipher_t

37、赋给目录/etc下不包括本身的文件：master.passwd,spwd.db,pwd.db,passwd和其他与认证相关的文件。(w-usr_log_t)，即login程序可以写访问usr_log_t型文件。usr_log_t型赋值给/usr/var/log下(不包括目录本身)的两个文件wtmp,lastlog第45页，共65页。7/29/202245第4章 安全需求与安全策略(6课时) 4.5.1 域的划分对login程序的扩展和增强可以通过如下方式：注册时，用户提出角色和域要求。如果用户被认证通过所要求的角色，且域要求允许，login程序调用初始域中域角色、域相关的该用户shell，从而

38、按要求转化到另一个域。注意：普通用户角色和进入系统管理域admin_d的管理用户角色都可以使用特权(调用/usr/bin/passwd)来修改自己的口令，而进入管理域admin_d用户角色则可以直接修改所有用户口令。第46页，共65页。7/29/202246第4章 安全需求与安全策略(6课时) 4.5.1 域的划分4.用户域(user_d)与普通用户的会话相关的域。入口文件：各种shell程序(/bin/ash,bash,csh,sh,tcsh)两种方式可以进入到域user_d：注册时，若用户提出普通用户角色要求并认证通过，login程序将调用初始域中与普通用户角色相关的用户shell(域lo

39、gin_d特权)，从而按所提出的要求转化到域user_d；若管理域admin_d中的管理员，提出转化到用户域user_d的请求，并调用域user_d的入口shell程序，则按要求从admin_d转化到user_d。第47页，共65页。7/29/202247第4章 安全需求与安全策略(6课时) 4.5.1 域的划分user_d域可以转化到network_appli_d域和login_d域。user_d中的某个进程调用域network_appli_d的入口文件(ftp,telnet,http等网络应用相关的程序)，就自动转化到network_appli_d域中；调用login_d域的入口文件，就可

40、以自动转化到login_d中。user_d定义了：user_d域允许读取和查找系统中的所有文件。不过，对这些文件的访问还要受到普通Unix机制的额外限制。(x-bin_t,base_t,user_t)，即user_d域可以执行二进制文件、基型文件和user_d域创建的文件。user_t型赋值给/home的所有文件，包括目录本身。(crwxd-user_t)，其中“c”表示对于域user_d中创建爱的对象，如果没有被进程指定型，则自动赋行user_t。第48页，共65页。7/29/202248第4章 安全需求与安全策略(6课时) 4.5.1 域的划分域user_d里的进程可以修改或创建型为wri

41、table_t(创建时明确指定型)的文件。管理员用户必须通过注册域login_d注册到管理域admin_d，才可以实现所有的管理功能，系统操作员也必须通过注册域login_d注册到系统操作域system_d才可实现所有特定的系统操作。第49页，共65页。7/29/202249第4章 安全需求与安全策略(6课时) 4.5.1 域的划分5.系统操作用户域(system_d)与系统操作用户的会话相关的域。入口文件：各种shell程序(/bin/ash,bash,csh,sh,tcsh)若用户提出管理用户角色(系统管理员sysadmin、安全管理员secadmin、审计管理员audadmin或网络管理

42、员netadmin)要求并认证通过，且要求进入到系统域system_d，login程序将调用初始域中与该管理用户角色，域system_d相关的用户shell(域login_d特权)，从而按所提出的要求转化到域system_d。可见，以上5个管理角色都进入同一个域，即system_d中，但system_d域中每个系统用户的访问权限是该管理用户角色特权和域system_d的权限交集。第50页，共65页。7/29/202250第4章 安全需求与安全策略(6课时) 4.5.1 域的划分system_d可转化到域network_appli_d、login_d和daemon_d。当system_d中某个进

43、程调用域network_appli_d的入口文件(ftp,telnet,http等网络应用相关的程序)，就自动转化到network_appli_d域中；调用login_d域的入口文件，就可以自动转化到login_d中；提出请求转化到域daemon_d并执行域daemon_d的入口程序/sbin/init，则进入daemon_d。system_d域允许读取和查找系统中的所有型的文件。system_d域中的操作员不能做一些重要的系统修改，但能使修改生效。system_d可以发送信号sigstp到域daemon_d，以重启系统。第51页，共65页。7/29/202251第4章 安全需求与安全策略(6

44、课时) 4.5.1 域的划分6.管理域(admin_d)与系统管理会话相关的域。入口文件：各种shell程序(/bin/ash,bash,csh,sh,tcsh)用户注册到系统时，若用户提出管理用户角色(系统管理员sysadmin、安全管理员secadmin、审计管理员audadmin或网络管理员netadmin)要求并认证通过，且要求进入到管理域admin_d，login程序将调用初始域中与该管理用户角色相关的，该用户shell(域login_d特权)，从而按所提出的要求转化到域admin_d。可见，以上5个管理角色都进入同一个域，即管理域admin_d中，但admin_d域中每个系统用户的

45、访问权限是该管理用户角色特权和域admin_d的权限交集。第52页，共65页。7/29/202252第4章 安全需求与安全策略(6课时) 4.5.1 域的划分admin_d域可以转化到network_appli_d域、login_d域和trusted_d域。当admin_d的某个进程调用域network_appli_d的入口文件(ftp,telnet,http等网络应用相关的程序)，就自动转化到network_appli_d域中；调用login_d域的入口文件，就可以自动转化到login_d中；提出请求转化到域trusted_d并执行域trusted_d的入口程序(/sbin/fsck、/us

46、r/sbin/syslogd等)，则进入trusted_d。域admin_d允许读、写和查找系统中的所有型的文件。安全管理员可以创建和修改DTE策略文件、多级安全策略文件和密码文件(cipher_t)。审计管理员可以创建和修改系统日志文件syslog_t和usr_log_t型文件。网络管理员可以创建和修改网络配置文件来管理网络。第53页，共65页。7/29/202253第4章 安全需求与安全策略(6课时) 4.5.1 域的划分7.网络应用域(network_appli_d)域网络应用进程相关的域。入口文件：Mosaic、netscape、ftp、telnet、http等域网络应用相关的可执行程

47、序。三种方式可以进入到域network_appli_d：当user_d中的某个进程调用network_appli_d域的入口文件，就自动转到域network_appli_d中；当域system_d中的某个进程调用域network_appli_d的入口文件，就自动转入其中；当admin_d域中的某进程调用域network_appli_d的入口文件，就自动转入其中。域network_appli_d不再进入到其他域。当域network_appli_d的进程终止后，域network_appli_d无效。第54页，共65页。7/29/202254第4章 安全需求与安全策略(6课时) 4.5.1 域的划分

48、network_appli_d域限制其中的进程修改系统重要文件，即使获得特权也不例外。所有在域network_appli_d里创建文件，若没有被指定型，则自动被赋予network_t，型network_d赋予如下文件：/usr/home/ken/.MCOM-HTTP-cookie-file,.MCOM-preferences,.MCOM-bookmarks.html,.MCOM-cache;/usr/home/ken/.mosaic-global-history,. mosaic-hotlist-default,. mosaicpid, mosaic-personal-annotations域

49、network_appli_d可以执行系统二进制文件和型network_t的文件。除writable_t的文件外，只能写型network_t的文件。型writable_t赋予目录/user/var，/dev，/tmp下的所有文件。第55页，共65页。7/29/202255第4章 安全需求与安全策略(6课时) 4.5 DTE策略4.5.2 型的划分DTE把所有文件和客体为15种型。1.base_t基型文件系统根目录下(包括根目录)的所有为经其他赋型语句赋型的目录或文件，又称缺省型。2.bin_t系统二进制文件，包括目录/bin,/sbin,/usr/bin,sbin目录/usr/contrib.

50、/bin,/usr/libexec和其下的所有文件目录/usr/games,/usr/local/etc和其下的所有文件文件/etc/uucp/daily,weekely,uuxqt_hook。第56页，共65页。7/29/202256第4章 安全需求与安全策略(6课时) 4.5.2 型的划分3.conf_t系统配置文件。包括文件/etc/uucp/daily,weekely,uuxqt_hook(型bin_t)文件/etc/master.passwd,spwd.db,pwd.db,passwd(型cipher_t)目录/etc及其下的其他文件4.writable_t可能被多数进程更新的系统信息文件，包括普通设备文件，包括目录/usr/var/log及其下的所有文件(型syslog_t)文件/usr/var/run/syslog.pid,utmp(型syslog_t)文件/usr/var/log/wtmp,lastlog(型user_log_t)目录/usr/var及其下的所有文件除了文件/dev/kmem,mem,drun(型trusted_t)文件/dev/rsd0a,rsd0b,rsd0g,rsd0h,sd0a,sd0b,sd0g,sd0