操作系统1-2安全操作系统简介研究报告.pptVIP

?BLP模型提供了B安全级别的定义。 b 是当前访问的集合，当前访问由三元组: （主体，客体，访问方式）表示 ?访问方式有四种，分别是 只可读r、 只可写a、 可读写w 不可读写（可执行）e。 ? (1)若方式是a，则：level(客体) ≥ current_level(主体)， A是只可写 ，无法读出。所以认为被写对象的安全级别至少与写者一样，否则不满足写条件。 北航计算机学院 任爱华 安全操作系统的重要性 安全的操作系统依赖于安全的CPU芯片 安全可靠地运行用户软件, 依赖于操作系统的安全性 网络系统的安全性依赖于网络中各主机系统的安全性 主机系统的安全性决定于其操作系统的安全性 内容提纲 安全评价准则 常用操作系统与安全级别的对应举例 安全模型 B-LP 小结 可信计算机系统安全评价标准 第一个计算机安全评价标准 TCSEC (Trusted Computer System Evaluation Criteria)，即： “可信计算机系统安全评价标准”，又称橙皮书 人们以TCSEC 为蓝本研制安全操作系统 TCSEC 为安全系统指定的是一个统一的系统安全策略，这个统一的安全策略由诸如强制访问控制和自主访问控制的子策略构成，这些子策略紧密地结合在一起形成一个单一的系统安全策略 主要考虑军队的环境，对于机密性非常重视，对于完整性和可用性考虑不足。不同的安全环境有不同的安全需求，需要制定不同的安全策略，采用不同的安全模型，使用不同的安全功能 D： 最小保护 C1：自主安全保护 C2：受控访问保护 B1：标记安全保护 B2：结构化保护（可信路径） B3：安全域（引用监视器） A1：经过验证的保护 C：自主访问等级（C1/C2） B：强制访问控制（B1/B2/B3） 保障需求 安全特性需求 TCSEC 的构成与等级结构 操作系统安全级别举例 DOS D级 Linux C1级 Windows NT C2级 Solaris C2级 Unix B1级 自主访问控制功能（C1级） Linux的自主访问控制 普通Linux只支持简单形式的自主访问控制，由资源（文件等）的所有者根据三类群体,即：所有者、同组者、其他人等指定用户对资源的访问权。而超级用户root实际可以不受访问权的限制。 高度极权化的Linux （C1级） 普通Linux采用极权化的方式，设立一个root超级用户，root用户可以不受系统访问控制规则的任何制约，可对系统及其中的信息执行任何操作 攻击者只要破获root用户的口令，便可进入系统并完全控制系统 BellLaPadula模型（一） Bell LaPadula 模型，简称BLP 模型，由D.E. Bell 和L.J. LaPadula 在1973年提出，是第一个可证明的安全系统的数学模型 BLP 模型是根据军方的安全政策设计的，它要解决的本质问题是对具有密级划分的信息的访问进行控制。 BLP 模型是一个状态机模型，它定义的系统包含一个初始状态Z0 和由一些三元组（请求，判定，状态）组成的序列，三元组序列中相邻状态之间满足某种关系W。BLP={Z0,R,D,S} BellLaPadula模型（二） 如果一个系统的初始状态是安全的，并且三元组序列中的所有状态都是安全的，那么这样的系统就是一个安全系统 BLP 模型定义的状态是一个四元组S ? （b, M, f, H） 其中， b 是当前访问的集合，当前访问由三元组: （主体，客体，访问方式）表示，是当前状态下允许的访问 M 是访问控制矩阵； f 是安全级别函数，用于确定任意主体和客体的安全级别 H 是客体间的层次关系 BellLaPadula模型（三） 抽象出的访问方式有四种，分别是: 只可读r 只可写a 可读写w 不可读写（可执行）e 主体的安全级别包括 最大安全级别，通常简称为安全级别 当前安全级别 BellLaPadula模型（四） 以下特性和定理构成了BLP模型的核心内容。 简单安全特性（ss-特性）： 如果当前访问是b ? （主体，客体，可读），那么一定有： level(主体) ? level(客体) 其中，level 表示安全级别。 星号安全特性（*-特性）： 在任意状态，如果（主体，客体，方式）是当前访问，那么一定有： (1)若方式是a，则：current_level(主体) ? level(客体) (2)若方式是w，则：current_level(主体) ? level(客体) (3)若方式是r，则：current_level(主体) ? level(客体) 其中，current_level 表示当前安全级别。 BellLaPadula模型（五