SELinux策略的等级信息

SELinux策略的等级信息分析张谦2010.4.14Roadmap背景虚拟机系统策略分析针对SELinux策略的等级信息分析方法新想法讨论：实时策略分析背景安全互操作与全局访问控制L.GongandX.Qian.Computationalissuesinsecureinteroperation.IEEETransactionsSoftwareEngineering.Vol.22,No.1,pp.43-52(1996)背景（续）安全互操作与全局访问控制实现安全协作关键是访问控制策略的安全互操作，即融合各成员的本地策略而形成的全局访问控制策略所支持的成员间数据访问必须与相关单一成员中的访问控制策略一致安全互操作的两个原则：自治性原则：在单一成员中被允许的访问必须被安全互操作所允许；安全性原则：某单一成员中不被允许的访问必须被安全互操作所拒绝。虚拟机系统策略分析文献SandraRueda,HayawardhVijayakumar,TrentJaeger.AnalysisofVirtualMachineSystemPolicies.InProceedingsofthe14thACMsymposiumonAccesscontrolmodelsandtechnologies,P227-236,2009目标：VMpolicies&VMMpolicy→VM-systempolicy？→安全目标困难：特权VM的存在，导致实际信息流不完全由VMMpolicy控制策略的复杂性，规则过多，难于确定是否符合安全目标各部分策略是独立开发的，缺乏整体规划虚拟机系统策略分析（续）方法简单的想法将VMMpolicy和VMpolicies构建一个统一的信息流图，可以解决第一个困难然而这种方法会受限于第二个困难VM-system的特点不同层次的策略：VMMpolicy控制VMM资源，VMpolicy控制OS资源方法概述只关心虚拟机间通信相关策略（VMM策略和VM中互操作策略）构建基于信息流的模型和相应的信息流图使用信息流图分析策略是否满足安全目标虚拟机系统策略分析（续）问题定义在VM-system中，VMM实施了多级安全策略，每个VM的MAC策略都可能包含一个安全级别范围。建立一个基于信息流的分析方法来确定是否所有VM间信息流都符合安全需求虚拟机系统策略分析（续）VM-system策略模型基础假设VM-system中的vmi具有(1)一个label和(2)一个局部的MAC策略这个label是一个完整性或机密性区间定义1VMs的完整性/机密性区间VM-system中的VMs都被分配了完整性/机密性区间integrity/confidentiality函数将VM映射到其完整性/机密性区间lint/hint函数分别返回区间的最低/最高完整性级别lconf/hconf函数分别返回区间的最低/最高机密性级别定义2第一类信息流（默认信息流）默认信息流表现为VM间的只有VMM策略标记的通信信道虚拟机系统策略分析（续）VM-system策略模型（续）定义3VM可见标记VM可见标记是由两个不同VM上的应用程序分配给互相通信用的信道的标记，表示为vmi.l和vmj.l定义4第二类信息流（VM可见信息流）VM可见信息流表现为不同虚拟机上的两个应用程序间使用相关VM可见标记的通信信道定义5VM信息流图G=(V,E)是VM信息流图，其中V包含(1)VMM策略分配给VMs的标记和(2)VM可见标记E包含(1)VMM策略中允许的信息流和(2)VM可见标记引起的信息流虚拟机系统策略分析（续）验证VM-system策略符合安全目标的算法示例：一个VM-system中包含特权VM(dom0_t)，服务VM(doms_t)以及两个用户VM(domu_t和domv_t)。dom0_t拥有对所有VMM资源的访问权限，同时监控所有VM对VMM资源的访问；doms_t运行了一个服务，domu_t和domv_t使用这个服务，这个服务使用两个信道进行通信，其中domu_t使用c2_t的标记，domv_t使用c1_t的标记。虚拟机系统统策略分析析（续）验证VM-system策略符合安安全目标的的算法（步步骤1）构建信息流流图V：VMM策略标记+VM可见标记E：Type1信息流+Type2信息流虚拟机系统统策略分析析（续）验证VM-system策略符合安安全目标的的算法（步步骤2）定义安全目目标定义安全目目标信息流流图定义安全目目标中的安安全级别和和策略中标标记的映射射虚拟机系统统策略分析析（续）验证VM-system策略符合安安全目标的的算法（步步骤3）验证VM信息流是否否符合规定定SAFE、UNSAFE、AMBIGUOUS虚拟机系统统策略分析析（续）验证VM-system策略符合安安全目标的的算法（步步骤4）找出信息流流安全的VM只作为SAFE信息流的源源或目的节节点存在的的VM虚拟机系统统策略分析析（续）验证VM-system策略符合安安全目标的的算法（步步骤5）消除歧义信信息流查看VM策略来确定定歧义信息息流的实际际等级示例中存在在两类歧义义信息流dom0_t→doms_t：由于dom0可信，相信信dom0不会泄密，，所以这类类信息流是是SAFE的doms_t→dom0_t：这类信息息流是用于于申请VMM资源的，dom0中资源管理理的进程标标记为priv，高于doms_t的标记，所所以这类信信息流也是是SAFE的虚拟机系统统策略分析析（续）验证VM-system策略符合安安全目标的的算法（步步骤6）验证每个VM本身策略是是否符合规规定定理VM-system符合某个安安全需求，，当所有VM间信息流符符合安全需需求所有VM内信息流符符合安全需需求示例中domu_t、domv_t都是单一等等级，无需需验证dom0_t是可信的，，假设符合合安全需求求doms_t可以使用信信息流分析析工具分析析虚拟机系统统策略分析析（续）总结该方法首先先将VM策略的等级级和VMM策略的等级级映射到安安全目标的的等级上，，然后分析析这种映射射是否满足足安全目标标问题基本假设VM-visible标记VM策略可验证证针对环境单一物理平平台的虚拟拟机针对SELinux策略的等等级信息分分析方法针对环境虚拟域环境境面对的威胁胁针对SELinux策略的等等级信息分分析方法（（续）问题定位背景分析虚拟域环境境中实施整整体的多级级安全策略略不同物理平平台的VMM无法直接获获得其它VM的策略信息息VM策略中不包包含明显的的等级信息息问题定位安全目标？？机密性保保护/MLS策略VMM策略等级？？MLS策略VM策略等级？？需要提取VM策略的等级级信息需要验证等等级信息的的可信针对SELinux策略的等等级信息分分析方法（（续）提取VM策略的等级级信息安全策略分分类基于格模型型的安全策策略MLS/Biba/LOMAC易于提取等等级信息基于访问控控制矩阵的的安全策略略TE/RBAC难于提取等等级信息，，使用SELinux策略为例提提出等级信信息分析方方法验证等级信信息的可信信使用可信agent提取等级信信息构建远程证证明协议证证明agent和等级信息息的完整性性针对SELinux策略的等等级信息分分析方法（（续）方法初步设设计提取的等级级信息符合合BLP模型的简单单安全属性性和*-安全属性首先提取信信息流，分分析信息流流符合要求求的主客体体方法步骤：：针对SELinux策略的等等级信息分分析方法（（续）存在的问题题及分析问题：实际际提取时无无法提取出出多等级原因：实际际系统中信信息流不能能完全满足足BLP模型安全属属性可信主体与与可信进程程BLP模型中*-属性限制过过严，将导导致无法根根据严格的的BLP模型来构建建可用的安安全系统，，所以提出出可信主体体来超越*-属性可信进程作作为可信主主体的一种种实现方式式，具有以以下性质：：安全相关性性可信性特权受控使使用完整性可用性正确性无干扰性针对SELinux策略的等等级信息分分析方法（（续）改进的方法法设计针对SELinux策略的等等级信息分分析方法（（续）基于XSB的实现基本策略组组件如右图图基本规则定定义一致性consistent(T,R,U)授权关系auth(C,P,T1,R1,U1,T2,R2,U2)直接信息流流flow_trans(T1,R1,U1,T2,R2,U2)信息流transitive_flow(T1,R1,U1,T2,R2,U2)针对SELinux策略的等等级信息分分析方法（（续）基于XSB的实现（续续）新增规则定定义不含可信进进程的信息息流infoflow_without_TP(T1,R1,U1,T2,R2,U2)是一个不流流经可信进进程的信息息流，若(1)存在flow_trans(T1,R1,U1,_,_,T2,R2,U2)，且不存在在tp(T1)和tp(T2)；或者(2)存在flow_trans(T3,R3,U3,_,_,T2,R2,U2)和infoflow_without_TP(T1,R1,U1,_,_,T3,R3,U3)，且不存在在tp(T2)。针对SELinux策略的等等级信息分分析方法（（续）基于XSB的实现（续续）新增规则定定义（续））同等级标记记型T1和T2在同一个等等级上，表表示为equal(T1,T2)，若存在infoflow_without_TP(T1,_,_,T2,_,_)和infoflow_without_TP(T2,_,_,T1,_,_)。偏序等级型T1比型T2的等级高，，表示为higher(T1,T2)，若存在infoflow_without_TP(T2,_,_,T1,_,_)却不存在infoflow_without_TP(T1,_,_,T2,_,_)。针对SELinux策略的等等级信息分分析方法（（续）基于XSB的实现（续续）新增规则定定义（续））同等级标记记集合T2在等级m的集合内，，若存在equal(T1,T2)或equal(T2,T1)且T1在等级m的集合内。。针对SELinux策略的等等级信息分分析方法（（续）基于XSB的实现（续续）新增规则定定义（续））提取所有等等级标记集集合针对SELinux策略的等等级信息分分析方法（（续）基于XSB的实现（续续）新增规则定定义（续））将等级标记记集合排序序首先定义level_finish(m,S)表示S集合是level(m)等级中所有有标记的集集合。然后后将所有的的等级标记记集合作为为元素建立立一个新的的集合level_set()。最后按照照前面改进进算法的第第4步将等级标标记集合排排序。针对SELinux策略的等等级信息分分析方法（（续）验证等级信信息的可信信构建可信agent使用改写过过的SELinux策略载入命命令充当提提取等级信信息的代码码模块，该该命令在载载入SELinux策略的过程程中同时进进行等级信信息的提取取。构建举证信信息针对SELinux策略的等等级信息分分析方法（（续）验证等级信信息的可信信（续）远程证明协协议新想法讨论论：实时策策略分析触发动机之前的策略略分析方法法都是针对对整体策略略进行分析析整体策略包包含内容过过多难以提取策策略的内容容难以符合某某个安全目目标类比可执行行文件安全全性分析专用操作系系统保证系系统中全部部的可执行行程序都是是可信的，，不通用，，难于实现现。可信计算的的度量验证证机制只关关心已运行行的程序是是否可信，，减少验证证对象，更更通用更易易于实现新想法讨论论：实时策策略分析（（续）实时策略分分析想法只针对当前前时刻实际际有效策略略进行安全全目标的分分析当前时刻实实际有效策策略每个应用程程序对应一一部分策略略某一时刻只只有部分的的应用程序序在运行所以，当前前时刻只有有和这些应应用程序相相关的策略略是有效的的策略提取每个应用程程序对应直直接策略为为一张信息息流图所有应用程程序的信息息流图连接接起来构成成全策略的的信息流图图提取当前运运行程序的的信息流图图链接起来来构成当前前有效策略略信息流图图策略分析图分析方法法逻辑编程语语言分析方方法新想法讨论论：实时策策略分析（（续）讨论方法正确性性？应用场景？？提取的信息息流图是否否要包含已已关闭程序序的信息流流图？That’’sall,thanks9、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。1月月-231月月-23Wednesday,January4,202310、雨雨中中黄黄叶叶树树，，灯灯下下白白头头人人。。。。22:57:2422:57:2422:571/4/202310:57:24PM11、以我我独沈沈久，，愧君君相见见频。。。1月-2322:57:2422:57Jan-2304-Jan-2312、故人江江海别，，几度隔隔山川。。。22:57:2422:57:2422:57Wednesday,January4,202313、乍见翻翻疑梦，，相悲各各问年。。。1月-231月-2322:57:2422:57:24January4,202314、他乡乡生白白发，，旧国国见青青山。。。04一一月月202310:57:24下下午午22:57:241月-2315、比不了了得就不不比，得得不到的的就不要要。。。。一月2310:57下下午1月-2322:57January4,202316、行动出成成果，工作作出财富。。。2023/1/422:57:2422:57:2404January202317、做做前前，，能能够够环环视视四四周周；；做做时时，，你你只只能能或或者者最最好好沿沿着着以以脚脚为为起起点点的的射射线线向向前前。。。。10:57:24下下午午10:57下下午午22:57:241月月-239、没有有失败败，只只有暂暂时停停止成成功！！。1月-231月-23Wednesday,January4,202310、很多事情情努力了未未必有结果果，但是不不努力却什什么改变也也没有。。。22:57:2522:57:2522:571/4/202310:57:25PM11、成功就是日日复一日那一一点点小小努努力的积累。。。1月-2322:57:2522:57Jan-2304-Jan-2312、世间成事，，不求其绝对对圆满，留一一份不足，可可得无限完美美。。22:57:2522:57:2522:57Wednesday,January4,202313、不不知知香香积积寺寺，，数数里里入入云云峰峰。。。。1月月-231月月-2322:57:2522:57:25January4,202314、意志坚坚强的人人能把世世界放在在手中像像泥块一一样任意意揉捏。。04一一月202310:57:25下下午22:57:251月-2315、楚塞三湘湘接，荆门门九派通。。。。一月2310:57下午1月-2322:57January4,202316、少少年年十十五五二二十十时时，，步步行行夺夺得得胡胡马马骑骑。。。。2023/1/422:57:2522:57:2504January202317、空山新雨后后，天气晚来来秋。。10:57:25下午午10:57下下午22:57:251月-239、杨柳柳散和和风，，青山山澹吾吾虑。。。1月-23