毕业论文题目是“操作系统安全”。你觉得哪个方向比较好?你最好帮忙做个提纲!!

介绍了三种安全策略访问模型:BLP、DTE和RBAC,并将这三种安全策略模型结合起来,形成一个适用于各种安全产品的实用操作系统。本设计方案遵循GB17859-1999,是信息保密最典型的多级安全模型,包括强制访问控制和自主访问控制。强制访问控制中的安全特性要求具有给定安全级别的主体只允许“读取”具有相同安全级别和更低安全级别的对象,而具有给定安全级别的主体只允许“写入”具有相同安全级别或更高安全级别的对象。任意访问控制允许用户定义是允许个人还是组织访问数据。

2.2多域安全策略模型

多域策略的基本思想是给被保护对象一个抽象的数据类型,指明被保护对象要保护的完整性属性,然后规定只有授权的活动进程才能代替用户访问这个完整性属性,并限制活动进程的活动范围,使其达到超越目标的能力最小化。

DTE(域和类型强制)模型[6]是近年来广泛使用的一种实现信息完整性保护的模型。该模型定义了多个域和类型,将系统中的主体分配到不同的域,将不同的对象分配到不同的类型。通过定义不同域对不同类型的访问权限,以及不同域内主体转换的规则,达到保护信息完整性的目的。

2.3基于角色的访问控制模型

基于角色的访问控制模型的目的是通过域隔离确保对系统完整性的损害最小。

RBAC模型[6]是一个基于角色的访问控制模型。该模型主要用于管理权限,实现基于能力的访问控制中的职责分离和最小权限原则。其基本要素之间的关系如图1所示:

图1 RBAC基本要素关系

图1 RBAC基本要素关系

该系统将实现基于角色的授权和控制,支持角色互斥,不支持角色继承,不支持同一用户的多个角色。

3.安全系统设计

3.1安全模型的设计

本系统中的安全服务器将遵循改进的BLP模型、DTE模型和RBAC模型来实现系统的安全策略。其中,BLP模式保护信息的机密性;DTE模型保护信息的完整性;RBAC模型是一种授权模型。通过三个模型的相互作用和制约,保证了系统中的信息和系统本身的安全性。图2显示了该系统中三个模型和重要功能之间的关系。

图2模型之间的关系

图2模型之间的关系

如图2所示,授权策略RBAC是整个系统的基础。它通过为用户设置特定的角色来影响IA控制、权限控制、多域访问控制、强制访问控制等基本功能,从而达到控制用户/主体对系统中对象/对象的访问的目的。在这个系统中,每个用户有且只有一个角色。给用户一个角色相当于给用户一个最大权限集、一个安全令牌范围、一个DTE域范围和一个最小审计掩码。该用户的上述属性只能在给定角色的范围内指定。RBAC是通过最小特权、强制访问控制(包括MAC机密性保护和DTE完整性保护)和安全审计相结合来实现的。

另一方面,多域策略DTE和多级安全策略BLP在授权策略的基础上调用多域访问控制和强制访问控制功能,保护对象/对象信息的完整性和机密性。

这个系统在BLP模式的基础上做了一些改变:

1.限制了BLP模型“上写下读”的信息流规则,将“上写”改为:安全级别低的主体可以对安全级别高的客体创建或添加信息,但不能修改或删除安全级别高的客体中的原有信息。例如,安全级别低的主体可以在安全级别高的目录下(在通过DAC和DTE检查的情况下)新建文件(包括子目录和命名管道),但不能删除原文件(包括子目录和命名管道)或重写安全级别高的文件的内容;

2.引入可信主体的概念,即所谓可信主体是具有多个安全级别或一个安全级别范围的主体;

3.引入可信对象的概念,即所谓可信对象是具有多个安全级别或一个安全级别范围的对象。

在该系统中,DTE实现采用给主/客体分配域/类型标识的方法(统称为DTE标识)。DTE策略将通过给主体分配“域”和给客体分配“类型”来实现DTE完整性保护,并定义“域”和“类型”之间的访问权限,这将用DTEL(DTE语言)来描述。

核心将为每个主题维护一个“域”标签,为每个文件维护一个“类型”标签。当操作发生时,系统会根据主题“域”标签、文件“类型”标签和访问控制表来判断是否允许操作。

原则上,要构建一个安全系统,必须同时考虑用户应用系统、O/S服务系统、Linux内核和硬件四个子系统,这样才能对它们进行有效的保护。但这个系统主要关心用户应用系统和Linux内核系统,因为它们最直接关系到Linux系统的安全。构建安全Linux系统的最终目标是支持各种安全应用。如果系统在构建之初没有区别对待不同的应用,或者没有孤立地对待不同的应用,那么这样的系统是不实用的,因为不同的应用可能对系统安全造成不同的威胁。对于用户应用系统的控制,我们主要采用角色模型和DTE技术相结合的方式;通过能力访问控制、增强的BLP模型和DTE策略实现了对Linux内核的控制。

3.2安全系统的结构设计

图3 Linux结构化保护级别安全服务器系统结构图

图3 Linux结构保护安全服务器结构图

图3示出了该系统的架构。如图3所示,用户请求的系统操作进入内核后,首先经过安全策略执行点,调用相应的安全策略执行模块,安全策略执行模块读取相关的系统安全信息和主/客体安全属性,调用安全策略判断模块进行安全判断,决定是否允许用户请求的操作继续执行;当用户请求的系统操作被允许并完成时,设置相关的安全信息/属性,并通过安全策略执行点再次进行安全审计。

安全服务器中的功能模块相对独立于原系统运行,双方通过hook函数进行通信。您可以通过改变钩子函数的方向来启用不同的安全服务器。不同的安全服务器可以选择不同的安全策略来支持多种安全策略。

3.3安全系统的功能特性

该安全系统在原有Linux操作系统的基础上,增加了强制访问控制、最小权限管理、可信路径、隐蔽通道分析和加密卡支持等新功能。该系统的主要功能如下:

1.识别和鉴定

标识和认证功能用于确保只有合法用户才能访问系统资源。本系统的身份认证部分包括三个部分:角色管理、用户管理和用户身份认证:

角色管理是实现RBAC模式的重要组成部分。角色配置文件存储在/etc/security/role文件中,角色管理是对角色配置文件的维护。

用户管理是对用户属性文件的维护,在系统原有用户管理的基础上进行修改和扩展;该系统改变了原系统集中存储用户属性的方式,在/etc/security/ia目录下为每个用户创建了一个属性文件。

用户身份认证的过程是控制用户与系统建立会话的过程;本系统将修改原系统的pam模块和建立会话的程序,增加管理员用户的强身份认证(使用加密卡),增加为用户设置初始安全属性(权限集、安全标签、域、审计掩码)的功能。

2.自主访问控制(DAC)

用于根据用户意愿进行访问控制。使用DAC,用户可以解释他们的资源允许系统中的哪些用户享有* * *以及哪些权利。

该系统在自主访问控制中加入了ACL机制。使用ACL,用户可以有选择地授予其他用户某些访问权限,以保护信息,防止信息被非法提取。

3.强制访问控制(MAC)

提供了一种基于数据机密性的资源访问控制方法。MAC是多级安全和自主访问策略的具体应用。通过限制用户仅在低级别读取访问信息并且仅在他自己的级别写入访问信息,加强了对资源的控制能力,从而提供了比DAC更严格的访问约束。

4.安全审计

审计是模拟社会监督机制,引入计算机系统,对系统活动进行监控和记录的机制。审计机制的主要目标是检测和判断系统的渗透,识别操作和记录过程的安全活动。

该系统中的审计事件分为可信事件和系统调用。每个用户的审计内容不同,需要设置系统的审计事件掩码和用户的审计事件掩码。当形成审计记录时,核心将根据审计掩码进行选择。

5.对象重用

对象重用意味着TSF必须确保当资源被重用时,受保护资源中的任何信息都不会被泄漏。

当重要的对象媒体被重新分配给其他主体时,对象重用功能可以防止信息泄漏。在该系统中,出于系统效率和可靠性的考虑,只自动清除核心重要数据结构的残留信息,手动清除文件内容。

6.最低权限管理

根据TESCE B2层提出的最小特权原则,系统中的每个进程应该只拥有完成其任务和功能所需的最小特权。因此,本系统开发了灵活的权限管理机制,将超级用户的权限划分为一组细粒度的权限。通过控制系统中用户和进程权限的分配、继承和传递,将这些权限中的一部分赋予系统中的一个用户,使得系统中的普通用户也可以拥有一些权限来操作和管理系统。

7.可信路径

可信路径要求为用户提供与系统交互的可信通道。可信路径的实现方法是通过核心监控安全密钥,退出当前终端下的所有应用,启动新的可信登录程序。

根据B2 TESEC》对可信访问的要求,本系统开发了可信访问机制,以防止特洛伊木马等欺诈行为的发生。无论系统处于什么状态,用户都可以通过激活一个安全键(一般设置为Ctrl-Alt-A)进入安全登录界面。此外,系统还采用了管理员用户的强身份认证和加密通道的建立,也可以保证用户与系统交互的安全性。

8.隐藏通道分析

我国《计算机信息系统安全保护等级划分标准》[1]要求四级及四级以上的安全信息系统产品必须对隐蔽通道进行分析和处理。本系统的掩蔽通道分析将基于源代码,并将采用以下方法:

分析所有操作,列出操作和涉及的* * *享受资源(物体属性)。

列出运营和* * *资源的关系。

找出所有可能隐藏的储藏渠道

分析并识别每个存储隐蔽通道,并给出带宽。

9.加密卡支持

该系统基于国产密码硬件资源,实现的密码服务主要包括三个方面:

文件存储加密解密:在命令层为用户提供一组SHELL命令,实现文件的机密性和完整性保护,并提供一个windows sockets库函数供用户编程。

特权用户的强认证:结合RBAC和DTE策略,为特权(角色)用户实现强认证。

数据传输加密解密:在核心提供一套功能接口,实现数据的机密性和完整性。

4.结论

该方案通过研究Linux的核心结构和操作系统域外层安全体系的层次结构,将三种安全策略模型与现有的先进技术有机结合,增加了强制访问控制、最小特权、可信路径等安全功能。已在Linux操作系统上成功实现,基本达到GB17859-1999规定的结构保护级别。

作为信息安全的重要组成部分,操作系统安全增强技术受到了国内外的广泛关注。在安全领域,系统的安全永远是相对的。因此,安全模型的研究和建模以及信息安全体系架构和方案设计的研究需要进一步深化。该设计方案已经在Linux操作系统上实现,还需要在实际应用中进一步测试和完善。

参考

[1]GB 17859-1999,计算机信息系统安全保护分级标准[S]。

[2]国防部5200。28-STD,国防部可信计算机系统评估标准[S].DC华盛顿州国防部,1985。

石文昌,孙玉方。计算机安全标准的演变与安全产品的发展[J].广西理科,2001,8 (3): 168-171。

[4] BELL D E,LaPADULA L J .安全计算机系统:数学基础和模型[R].马萨诸塞州贝德福德:米特公司,1973。M74-244。

梁红亮孙玉方石文昌。经典BLP安全公理的自适应标记实现方法及其正确性[J].计算机研发,2001,11(38):1366 ~ 13765438。

[6]嵇,唐。安全操作系统的“结构化保护级别”安全策略模型[R].北京:中国科学院信息安全技术工程研究中心,中软网络技术有限公司,2002。

安全模型的研究与设计

、胡志-邢

(北京科技大学信息工程学院,北京100083)

摘要:通过对BLP模型、DTE模型和RBAC模型的研究,结合三种安全模型,提出了一种安全系统及其组成和功能的实现方案,实现了GB17859(作为TCSEC标准的B2级别)的结构保护。该方案已在Linux操作系统上成功实现。

关键词:安全技术;安全模型;Linux操作系统