基于广义痛点传播模型的安全级范围动态调整方法.docxVIP

基于广义痛点传播模型的安全级范围动态调整方法 计算机安全模型的主要目标是防止非法阅读或修改信息。控制信息的传播和间接污染。通常的访问控制模型（如rc和rbac）比前者更好地支持后者。然而，对于后者的目标不太了解。例如，rc和rbac策略可以表示用户可以读取用户b的数据，但不能有效表示b在a中传播数据的意图。为了有效实现最后一个目标，我们可以防止通常使用不可靠或有脆弱性的程序传播导致的信息泄漏和破坏系统完整性。此外，信息流模型还可以防止在系统中实体之间的信息流动，防止不允许使用的信息流。这已经是现代操作系统中最重要的安全模型之一。然而，传统的信息流模型（如经典的blp和biba模型）非常严格，需要唯一的信息流。大多数不可能形成可用的系统。现在，提高可用性的主要途径是动态适应安全级别，包括两种方法：一种是安全级范围方法。 在安全级范围方法中,可信主体的当前安全级可在一个范围内动态变化,使得可信主体在不违背模型规则的情况下获得更多访问权限.这体现了弱静态原则.该方法的优点是实施简单,易于分析安全性.然而,主体的安全级函数是与系统状态无关的函数,在主体的生命周期内,主体的安全级范围不会发生变化,这意味着主体的权限保持不变.这并不符合最小权限原则 还有一类方法借鉴了软件测试中的用于跟踪和分析输入数据在程序内部流向的污点传播机制 基于以上分析,我们提出广义污点传播模型(generalized taint propagation model,简称GTPM).模型的目标是为存在不可信应用程序的操作系统提供保密性和完整性保护.模型的基本思想是:定义实体的安全标记是由非等级的输入型和输出型类型标签组成的集合,实施对实体的动态隔离保护;引入主体能力概念,区分提高和降低安全级为两种不同能力,以有效表达主体发送和接受能力;进一步拓展污点传播语义.模型的特点是关闭污点传播方法中已知隐蔽通道,并且可有效防止污点积累.另外,形式化构建和分析抽象GTPM系统也是本文的一个主要工作. 本文在分析相关工作的基础上,首先定义GTPM的相关概念,然后用CSP语言描述模型规格,最后,在定义可降密无干扰安全的基础上,分析抽象CTPM系统的无干扰性质. 1 广义规制问题的框架 污点传播模型由于在主体权限最小化方面的特点,一直是信息流模型研究中的主要方向之一.不少研究偏重于污点传播机制的设计和实现,较少涉及污点传播控制和污点积累问题,也没有考虑隐蔽通道问题.例如:用于保密性保护的高水标模型High-Water-Mark 一些研究通过分布式的降密和去污来缓解污点积累.IFEDAC模型 在以上的这些污点传播模型中,一个非污点进程在收到另一个污点进程的信息时,系统会自动地将这个非污点进程调整为污点进程,这种标记调整机制存在一类共性的隐蔽通道问题.文献[5]给出了一个相应的隐蔽通道构造方案.考虑一个污点进程A试图传递1位敏感信息给一个未被污染的进程C.攻击者构建了两个未被污染的进程B 随着计算机性能的提高,该隐蔽通道带宽会极大地增加.为了防止此类隐蔽通道,作为Asbestos系统的后继Hi Star系统 针对上述模型和系统的不足,本文提出广义污点传播模型.一方面仍然支持标记的隐式调整,保证模型的可用性;另一方面通过拓展污点传播语义来关闭上述提到的隐蔽通道,以保证模型的安全性.同时,通过主体删除标签来体现主体降密去污能力,防止污点积累.通过引入有约束的特定访问能力,以保证主体能力的有效性.本模型引入了类型标签和基于标签的主体能力等概念,早期的文献[15]给出类似的标签概念,但是它的每个标签表示系统内某个实体的标识,基于这些标签构建的标记难以表达实体的动态隔离,而且它的保护模型(如完整性保护)不支持污点传播.安全性上,我们的模型和先前污点传播模型的最主要的不同是,它不存在污点传播模型中已知的隐蔽通道. 2 基于gtp的操作系统信息流控制 2.1 特定访问能力s 系统中所有被保护实体分为主体和客体两类,其中主体集合 定义1(实体标记).集合Luf0cdDSuf0b4DI定义了系统中所有实体的所有可能标记.每个实体o的标记L 标记在偏序关系上可形成一个格.需要指出的是,最高完整级是uf066(记作uf095 定义2(能力).集合(37)uf0cdCuf0c8E定义了系统中所有可能的主体能力.其中: (1)Cuf0cd(DSuf0c8DI)uf0b4{+,-}定义了系统中的主体调整自身标记的所有可能的能力.对于主体s拥有的能力C (2) 对于主体s和保密性标签d,若d 我们用 主体的有约束的特定访问能力是主体调整自身标记能力的补充.信息流保密性保护要求一个使用了升密能力的主体如果没有降密能力,将会失去对所有公开文件写的能力,但是有的应用场景会允许该主体写指定的公开文件.这一特定行为被认为是安