SELinux策略的等级信息分析.ppt

针对SELinux策略的等级信息分析方法（续） 基于XSB的实现（续） 新增规则定义 不含可信进程的信息流 infoflow_without_TP(T1,R1,U1,T2,R2,U2)是一个不流经可信进程的信息流，若(1)存在flow_trans(T1,R1,U1,_,_,T2,R2,U2)，且不存在tp(T1)和tp(T2)；或者(2)存在flow_trans(T3,R3,U3,_,_,T2,R2,U2)和infoflow_without_TP(T1,R1,U1,_,_,T3,R3,U3)，且不存在tp(T2)。 针对SELinux策略的等级信息分析方法（续） 基于XSB的实现（续） 新增规则定义（续） 同等级标记 型T1和T2在同一个等级上，表示为equal(T1,T2)，若存在infoflow_without_TP(T1,_,_,T2,_,_)和infoflow_without_TP(T2,_,_,T1,_,_)。 偏序等级 型T1比型T2的等级高，表示为higher(T1,T2)，若存在infoflow_without_TP(T2,_,_,T1,_,_)却不存在infoflow_without_TP(T1,_,_,T2,_,_)。 针对SELinux策略的等级信息分析方法（续） 基于XSB的实现（续） 新增规则定义（续） 同等级标记集合 T2在等级m的集合内，若存在equal(T1,T2)或equal(T2,T1)且T1在等级m的集合内。 针对SELinux策略的等级信息分析方法（续） 基于XSB的实现（续） 新增规则定义（续） 提取所有等级标记集合 针对SELinux策略的等级信息分析方法（续） 基于XSB的实现（续） 新增规则定义（续） 将等级标记集合排序 首先定义level_finish(m,S)表示S集合是level(m)等级中所有标记的集合。然后将所有的等级标记集合作为元素建立一个新的集合level_set()。最后按照前面改进算法的第4步将等级标记集合排序。 针对SELinux策略的等级信息分析方法（续） 验证等级信息的可信 构建可信agent 使用改写过的SELinux策略载入命令充当提取等级信息的代码模块，该命令在载入SELinux策略的过程中同时进行等级信息的提取。 构建举证信息 针对SELinux策略的等级信息分析方法（续） 验证等级信息的可信（续） 远程证明协议 新想法讨论：实时策略分析 触发动机 之前的策略分析方法都是针对整体策略进行分析 整体策略包含内容过多 难以提取策略的内容 难以符合某个安全目标 类比可执行文件安全性分析 专用操作系统保证系统中全部的可执行程序都是可信的，不通用，难于实现。 可信计算的度量验证机制只关心已运行的程序是否可信，减少验证对象，更通用更易于实现 新想法讨论：实时策略分析（续） 实时策略分析想法 只针对当前时刻实际有效策略进行安全目标的分析 当前时刻实际有效策略 每个应用程序对应一部分策略 某一时刻只有部分的应用程序在运行 所以，当前时刻只有和这些应用程序相关的策略是有效的 策略提取 每个应用程序对应直接策略为一张信息流图 所有应用程序的信息流图连接起来构成全策略的信息流图 提取当前运行程序的信息流图链接起来构成当前有效策略信息流图 策略分析 图分析方法 逻辑编程语言分析方法 新想法讨论：实时策略分析（续） 讨论 方法正确性？ 应用场景？ 提取的信息流图是否要包含已关闭程序的信息流图？ That’s all, thanks tset是所有非可信进程标记的type集合减去usr_t的子集。该语言的含义是从usr_t开始填充命名为level(1)的集合，寻找所有和usr_t在同一等级的标记填入level(1)的标记集合，同时每在level1标记集合中添加一个type，则在Tset中减掉这个type，Tset就是剩余没有分等级的标记集合。若没有新的标记可以填入标记集合level(m)，就在剩余的type集合Tset中取出一个标记建立一个新的标记集合level(m+1)，然后再继续上述填入type的过程，直到Tset集合为空，即所有非可信进程标记的type都被分配到和其等级相同的集合中。 * 通过以上这些步骤，最终在level_set_sort(S)中的S就包含了经过排序的所有等级标记集合，这些集合中的标记满足多级安全策略的安全属性。 * 通过以上这些步骤，最终在level_set_sort(S)中的S就包含了经过排序的所有等级标记集合，这些集合中的标记满足多级安全策略的安全属性。 * 通过以上这些步骤，最终在level_set_sort(S)中的S就包含了经过排序的所有等级标记集合，这些集合中的标记满足多级安全策略的安全属性。 * SELinux策略的等级信息分