SELinux策略的等级信息分析教材.pptx

SELinux策略的等级信息分析张谦2010.4.14Roadmap背景虚拟机系统策略分析针对SELinux策略的等级信息分析方法新想法讨论：实时策略分析背景安全互操作与全局访问控制L. Gong and X.Qian. Computational issues in secure interoperation. IEEE Transactions Software Engineering. Vol. 22, No. 1, pp. 43-52 (1996)背景（续）安全互操作与全局访问控制实现安全协作关键是访问控制策略的安全互操作，即融合各成员的本地策略而形成的全局访问控制策略所支持的成员间数据访问必须与相关单一成员中的访问控制策略一致安全互操作的两个原则：自治性原则：在单一成员中被允许的访问必须被安全互操作所允许；安全性原则：某单一成员中不被允许的访问必须被安全互操作所拒绝。虚拟机系统策略分析文献Sandra Rueda, Hayawardh Vijayakumar, Trent Jaeger. Analysis of Virtual Machine System Policies. In Proceedings of the 14th ACM symposium on Access control models and technologies, P227-236, 2009目标：VM policies VMM policy →VM-system policy ？→安全目标困难：特权VM的存在，导致实际信息流不完全由VMM policy控制策略的复杂性，规则过多，难于确定是否符合安全目标各部分策略是独立开发的，缺乏整体规划虚拟机系统策略分析（续）方法简单的想法将VMM policy和VM policies构建一个统一的信息流图，可以解决第一个困难然而这种方法会受限于第二个困难VM-system的特点不同层次的策略：VMM policy控制VMM资源，VM policy控制OS资源方法概述只关心虚拟机间通信相关策略（VMM策略和VM中互操作策略）构建基于信息流的模型和相应的信息流图使用信息流图分析策略是否满足安全目标虚拟机系统策略分析（续）问题定义在VM-system中，VMM实施了多级安全策略，每个VM的MAC策略都可能包含一个安全级别范围。建立一个基于信息流的分析方法来确定是否所有VM间信息流都符合安全需求虚拟机系统策略分析（续）VM-system策略模型基础假设VM-system中的vmi具有(1)一个label和(2)一个局部的MAC策略这个label是一个完整性或机密性区间定义1 VMs的完整性/机密性区间VM-system中的VMs都被分配了完整性/机密性区间integrity/confidentiality函数将VM映射到其完整性/机密性区间lint/hint函数分别返回区间的最低/最高完整性级别lconf/hconf函数分别返回区间的最低/最高机密性级别定义2 第一类信息流（默认信息流）默认信息流表现为VM间的只有VMM策略标记的通信信道虚拟机系统策略分析（续）VM-system策略模型（续）定义3 VM可见标记VM可见标记是由两个不同VM上的应用程序分配给互相通信用的信道的标记，表示为vmi.l和vmj.l定义4 第二类信息流（VM可见信息流）VM可见信息流表现为不同虚拟机上的两个应用程序间使用相关VM可见标记的通信信道定义5 VM信息流图G=(V,E)是VM信息流图，其中V包含(1)VMM策略分配给VMs的标记和(2)VM可见标记E包含(1)VMM策略中允许的信息流和(2)VM可见标记引起的信息流虚拟机系统策略分析（续）验证VM-system策略符合安全目标的算法示例：一个VM-system中包含特权VM(dom0_t)，服务VM(doms_t)以及两个用户VM(domu_t和domv_t)。dom0_t拥有对所有VMM资源的访问权限，同时监控所有VM对VMM资源的访问；doms_t运行了一个服务，domu_t和domv_t使用这个服务，这个服务使用两个信道进行通信，其中domu_t使用c2_t的标记，domv_t使用c1_t的标记。虚拟机系统策略分析（续）验证VM-system策略符合安全目标的算法（步骤1）构建信息流图V：VMM策略标记+VM可见标记E：Type 1信息流+Type 2信息流虚拟机系统策略分析（续）验证VM-system策略符合安全目标的算法（步骤2）定义安全目标定义安全目标信息流图定义安全目标中的安全级别和策略中标记的映射虚拟机系统策略分析（续）验证VM-system策略符合安全目标的算法（步骤3）验证VM信息流是否符合规定SAFE、UNSAFE、AMBIGUOUS虚拟机系统策略分