第九讲 可信计算与多级安全

• Access control list (ACL) User 1 read – Store column of matrix User 2 write with the resource User 3 • Capability – User holds a “ticket” for … each resource User m read – Two variations • store row of matrix with user, under OS control • unforgeable ticket in user space
BLP模型的形式化描述 模型的形式化描述
（主体，客体，访问方式） 三元组（s,o,a）表示主体s以访问方式a对客体o 进行当前访问。 访问矩阵M: 访问矩阵Mij记录主体Si被允许对客 体Oj的访问方式 级别函数f:fo(Oj)是客体Oj 的密级， fs(Si)是主体 si的安全许可，fc(si)是主体si的当前安全级别； 主体的安全许可是主体的最大安全级别，主体可 以运行于该级别或更低级别。
• 一个主体可以读一个客体,当且仅当 主体的许可 等级至少和所访问客体的敏感等级一样高,主体 需要具有客体所涉及的所有分隔项. • 定义数据的多个范畴或级别时—多级安全
Bell-La Padula 机密模型 保证机密性的多级安全的要求
• BLP模型的安全策略包括自主安全策略(DAC)和强制安全策 略(MAC)。 • 自主安全策略使用一个访问矩阵，元素Mij表示主体Si对客体 Oj的访问模式，主体只能按照访问矩阵中的访问权限对客体 进行相应的访问。 • 强制安全策略包括简单安全特性和附加的一些特性，系统对 所有的主体和客体都分配一个安全等级，包括主体和客体的 密级与范畴，系统通过比较主体与客体的安全等级控制主体 对客体的访问。
Multi-Level Security (MLS) Concepts 安全策略： 安全策略：是对一个系统应该具有的安全性的描述
• Military security policy • Classification involves sensitivity levels, compartments • Do not let classified information leak to unclassified files • Group individuals and resources – Use some form of hierarchy to organize policy
Subjects
File 2 write write -
File 3 write -
…
File n read read
User 3 … User m read
read
write
readwrite Nhomakorabearead
Two implementation concepts
File 1 File 2 write write read …
第九讲 可信计算与多级安全
操作系统的功能 • 资源分配：管理资源，处理冲突的请求 • 控制程序：控制程序的执行，防止错误和不 恰当的系统应用 凡是共享的对象就必须保护.包括:内存 I/O设备 (磁盘\打印机\磁盘驱动器) 程序或子程序 网 络 数据
基本的保护方法
• 分离控制 物理分离->时间分离->逻辑分离->密码分离 前 两 者 过 于 严 格 , 导 致 资 源 利 用 率 下 降 复杂度递增 • 多级保护策略 不保护->隔离->共享一切或不共享->访问限制保护-> 访问权共享->对象的限制使用 实现难度、保护强度递增 • 数据访问控制的粒度 粒度越大越容易实现
• 用{等级;分隔项}指定客体; 可. •Class = <rank, compartment> • 支配关系
也指定对主体的许
• D1 ≤ D2 iff rank1≤ rank2 • and compartment1 compartment2 • •Example: <Restricted, Israel> ≤ <Secret, Middle East>
Security issues
• Isolation – Separate processes execute in separate memory space – Process can only manipulate allocated pages • Access control – When can process create or access a file? – Create or read/write to socket? – Make a specific system call? • Protection problem – Ensure that each object is accessed correctly and only by those processes that are allowed to do so • Comparison between different operating systems – Compare protection models: which model supports least privilege most effectively? – Which system best enforces its protection model?
• ss-特性：当前访问集b中的(Si,Oj,读)的元 组都有性质fc(Si)≥fo(Oj) • *-特性：当前访问集b中的(Si,Oj,追加)的元 组都有性质fc(Si)≤fo(Oj)；当前访问集b中 的(Si,Oj,写)的元组都有性质fc(Si)=fo(Oj) • ds-特性：如果（Si,Oj,Ax）是当前访问， 那么访问方式Ax被记录在M的（Si,Oj）中
强制访问控制（MAC）中的机密性 • 不下写—主体只能写入相同或者更高安全级别的 客体（*-特性） • 不上读—主体只能读取相同或者更低安全级别的 客体 （简单安全性） 自主访问控制的机密性 一个个体可以基于文档属主的判断、在MAC规则约 束下授予另一个个体对一个文档的访问权。
*-特性的必要性 特性的必要性
write
write
Access control lists are widely used, often with groups Some aspects of capability concept are used in Kerberos, …
ACL vs Capabilities
• Access control list – Associate list with each object – Check user/group against list – Relies on authentication: need to know user • Capabilities – Capability is unforgeable ticket • Random bit sequence, or managed by OS • Can be passed from one process to another – Reference monitor checks ticket • Does not need to know identify of user/process
军事安全策略
• 基于保护机密信息的策略，敏感等级，不保 密、受限制、秘密、机密、绝密 • 限制访问原则：只有在工作中需要知道敏感 数据的主体才能访问相应敏感数据。 • 给每个安全级别增加一个范畴（category）或 分隔项(compartment)的集合。每个主体必须 被分配访问客体所需的正确级别和范畴
Access control
• Context – System knows who the user is • User has entered a name and password, or other info – Access requests pass through gatekeeper • OS must be designed so monitor cannot be bypassed
Roles (also called Groups)
• Role = set of users – Administrator, PowerUser, User, Guest – Assign permissions to roles; each user gets permission Administrator • Role hierarchy – Partial order of roles PowerUser – Each role gets User permissions of roles below Guest – List only new permissions given to each role
Reference monitor
User process
?
Resource
Decide whether user can apply operation to resource
Access control matrix
Objects
[Lampson]
File 1 User 1 read User 2 write
Groups for resources, rights
• Permission = 〈right, resource〉 • Permission hierarchies – If user has right r, and r>s, then user has right s – If user has read access to directory, user has read access to every file in directory • Big problem in access control – Complex mechanisms require complex input – Difficult to configure and maintain – Roles, other organizing ideas try to simplify problem