2.2 Modelo de política de seguridad multidominio
La idea básica de la política multidominio es darle al objeto protegido un tipo de datos abstracto, indicar los atributos de integridad a proteger el objeto protegido y luego especifique que Solo los procesos activos autorizados pueden acceder a este atributo de integridad en nombre del usuario y limite el alcance de la actividad del proceso activo para minimizar su capacidad de lograr más allá de sus objetivos.
El modelo DTE (Domain and Type Enforcement) [6] es un modelo muy utilizado en los últimos años para conseguir la protección de la integridad de la información. El modelo define múltiples dominios y tipos, asigna sujetos en el sistema a diferentes dominios y asigna diferentes objetos a diferentes tipos. Al definir diferentes tipos de derechos de acceso para diferentes dominios y reglas para la conversión de sujetos en diferentes dominios, se logra el propósito de proteger la integridad de la información.
2.3 Modelo de control de acceso basado en roles
El propósito del modelo de control de acceso basado en roles es garantizar un daño mínimo a la integridad del sistema mediante el aislamiento del dominio.
El modelo RBAC [6] es un modelo de control de acceso basado en roles. Este modelo se utiliza principalmente para gestionar permisos e implementar la separación de funciones y el principio de privilegio mínimo en el control de acceso basado en capacidades. La relación entre sus elementos básicos se muestra en la Figura 1:
Figura 1 La relación entre los elementos básicos de RBAC
Figura 1 La relación entre los elementos básicos de RBAC
El sistema implementará autorización y control basados en roles que admiten la exclusión mutua de roles, no admiten la herencia de roles y no admiten múltiples roles para el mismo usuario.
3. Diseño del sistema de seguridad
3.1 Diseño del modelo de seguridad
El servidor de seguridad en este sistema seguirá el modelo BLP mejorado, el modelo DTE y el modelo RBAC. la política de seguridad del sistema. Entre ellos, el modelo BLP protege la confidencialidad de la información; el modelo DTE protege la integridad de la información y el modelo RBAC es un modelo de autorización; Mediante la interacción y restricción de los tres modelos se garantiza la seguridad de la información del sistema y del sistema mismo. La Figura 2 muestra la relación entre los tres modelos y funciones importantes en este sistema.
Relación entre modelos en la Figura 2
Relación entre modelos en la Figura 2
Como se muestra en la Figura 2, la política de autorización RBAC es la base de todo el sistema . Afecta funciones básicas como el control de IA, el control de permisos, el control de acceso multidominio y el control de acceso obligatorio al establecer roles específicos para los usuarios, logrando así el propósito de controlar el acceso de los usuarios/sujetos a los objetos/objetos en el sistema. En este sistema, cada usuario tiene un solo rol. Darle un rol a un usuario equivale a darle al usuario un conjunto de permisos máximo, un alcance de token de seguridad, un alcance de dominio DTE y una máscara de auditoría mínima. Los atributos anteriores para este usuario solo se pueden especificar dentro del alcance de una función determinada. RBAC se implementa mediante una combinación de privilegios mínimos, control de acceso obligatorio (incluida la protección de la confidencialidad de MAC y la protección de la integridad de DTE) y auditoría de seguridad.
Por otro lado, la política multidominio DTE y la política de seguridad multinivel BLP invocan control de acceso multidominio y funciones de control de acceso obligatorias basadas en políticas de autorización para proteger la integridad y confidencialidad de los objetos/información del objeto. .
Este sistema ha realizado algunos cambios basados en el modelo BLP:
1. Limita las reglas de flujo de información del modelo BLP "up, write, read" y cambia "write up". " a Para: Un sujeto con un nivel de seguridad bajo puede crear o agregar información a un objeto con un nivel de seguridad alto, pero no puede modificar ni eliminar la información original en un objeto con un nivel de seguridad alto. Por ejemplo, un sujeto con un nivel de seguridad bajo puede crear un nuevo archivo (incluidos subdirectorios y canalizaciones con nombre) en un directorio con un nivel de seguridad alto (después de pasar las comprobaciones DAC y DTE), pero no puede eliminar el archivo original (incluidos los subdirectorios y las canalizaciones con nombre). pipes) O reescribir el contenido de archivos con altos niveles de seguridad;
2. Introducir el concepto de sujetos confiables, es decir, los llamados sujetos confiables son sujetos con múltiples niveles de seguridad o un rango de seguridad. niveles;
3. Introduzca el concepto de objetos confiables, es decir, los llamados objetos confiables son objetos con múltiples niveles de seguridad o un rango de niveles de seguridad.
En este sistema, la implementación DTE adopta el método de asignar identificación de dominio/tipo al sujeto/objeto (denominado colectivamente identificación DTE). La política DTE implementará la protección de la integridad del DTE asignando "dominios" a sujetos y "tipos" a objetos, y definirá derechos de acceso entre "dominios" y "tipos", que se describirán en DTEL (lenguaje DTE).
El núcleo mantendrá una etiqueta de "dominio" para cada tema y una etiqueta de "tipo" para cada archivo. Cuando ocurre una operación, el sistema determinará si permite la operación basándose en la etiqueta de "dominio" del asunto, la etiqueta de "tipo" de archivo y la lista de control de acceso.
En principio, para construir un sistema de seguridad, se deben considerar al mismo tiempo los cuatro subsistemas: el sistema de aplicaciones del usuario, el sistema de servicio O/S, el kernel de Linux y el hardware, para que puedan protegerse de manera efectiva. Pero este sistema se preocupa principalmente por los sistemas de aplicaciones del usuario y los sistemas del kernel de Linux, porque están más directamente relacionados con la seguridad del sistema Linux. El objetivo final de construir un sistema Linux seguro es admitir varias aplicaciones de seguridad. Si el sistema no trata diferentes aplicaciones de manera diferente al comienzo de su construcción, o no trata diferentes aplicaciones de forma aislada, entonces dicho sistema no es práctico, porque diferentes aplicaciones pueden plantear diferentes amenazas a la seguridad del sistema. Para el control de los sistemas de aplicaciones de usuario, utilizamos principalmente una combinación de modelos de rol y tecnología DTE; logramos el control del kernel de Linux a través del control de acceso a capacidades, modelos BLP mejorados y políticas DTE.
3.2 Diseño estructural del sistema de seguridad
Figura 3 Diagrama de estructura del sistema de servidor de seguridad de nivel de protección estructurado de Linux
Figura 3 Diagrama de estructura del servidor de seguridad de nivel de protección estructurado de Linux
p>
La Figura 3 muestra la arquitectura del sistema. Como se muestra en la Figura 3, después de que la operación del sistema solicitada por el usuario ingresa al kernel, primero pasa por el punto de ejecución de la política de seguridad y llama al módulo de ejecución de la política de seguridad correspondiente. El módulo de ejecución de la política de seguridad lee la información de seguridad del sistema relevante y el asunto/. atributos de seguridad del objeto y llama a la seguridad El módulo de juicio de políticas realiza un juicio de seguridad y decide si permitir que la operación solicitada por el usuario continúe ejecutándose cuando la operación del sistema solicitada por el usuario esté permitida y completada, información de seguridad relevante /; Se establecen los atributos y se vuelve a realizar la auditoría de seguridad a través del punto de ejecución de la política de seguridad.
Los módulos funcionales en el servidor de seguridad se ejecutan de manera relativamente independiente del sistema original y las dos partes se comunican a través de funciones de enlace. Puede habilitar diferentes servidores de seguridad cambiando la dirección de la función de enlace. Diferentes servidores de seguridad pueden elegir diferentes políticas de seguridad para admitir múltiples políticas de seguridad.
3.3 Características funcionales del sistema de seguridad
Basado en el sistema operativo Linux original, este sistema de seguridad añade control de acceso obligatorio, gestión de privilegios mínimos, ruta confiable, análisis de canales encubiertos y nuevas características. como soporte de tarjeta de cifrado. Las funciones principales del sistema son las siguientes:
1. Identificación y autenticación
Las funciones de identificación y autenticación se utilizan para garantizar que solo los usuarios legítimos puedan acceder a los recursos del sistema. La parte de autenticación de identidad de este sistema incluye tres partes: gestión de roles, gestión de usuarios y autenticación de identidad de usuarios:
La gestión de roles es una parte importante de la implementación del modelo RBAC.
Los archivos de configuración de funciones se almacenan en el archivo /etc/security/role. La gestión de funciones es el mantenimiento de los archivos de configuración de funciones.
La administración de usuarios es el mantenimiento de archivos de atributos de usuario, que se modifica y expande en función de la administración de usuarios original del sistema; este sistema cambia la forma en que el sistema original almacena centralmente los atributos de usuario, en /etc/security; / Se crea un archivo de propiedades para cada usuario en el directorio ia.
El proceso de autenticación de identidad del usuario es controlar el proceso de establecimiento de una sesión entre el usuario y el sistema; este sistema modificará el módulo pam del sistema original y el programa de establecimiento de sesión, y agregará una identidad segura. autenticación para usuarios administradores (mediante tarjetas de cifrado), agregue la función de configurar atributos de seguridad iniciales (conjuntos de permisos, etiquetas de seguridad, dominios, máscaras de auditoría) para los usuarios.
2. Control de Acceso Discrecional (DAC)
Se utiliza para controlar el acceso según los deseos del usuario. Usando DAC, los usuarios pueden explicar qué usuarios en el sistema permiten sus recursos * * * y qué derechos.
El sistema añade un mecanismo ACL al control de acceso autónomo. Al utilizar ACL, los usuarios pueden otorgar selectivamente ciertos derechos de acceso a otros usuarios para proteger la información y evitar que se extraiga ilegalmente.
3. Control de acceso obligatorio (MAC)
Proporciona un método de control de acceso a recursos basado en la confidencialidad de los datos. MAC es la aplicación específica de políticas de seguridad multinivel y acceso discrecional. Al restringir al usuario a que solo lea información de acceso en niveles bajos y solo escriba información de acceso a su propio nivel, se fortalece la capacidad de controlar los recursos, proporcionando así restricciones de acceso más estrictas que DAC.
4. Auditoría de seguridad
La auditoría es un mecanismo que simula el mecanismo de supervisión social e introduce sistemas informáticos para monitorear y registrar las actividades del sistema. Los principales objetivos del mecanismo de auditoría son detectar y determinar la penetración del sistema, identificar operaciones y registrar actividades de seguridad en el proceso.
Los eventos de auditoría en este sistema se dividen en eventos confiables y llamadas al sistema. El contenido de auditoría de cada usuario es diferente y es necesario configurar la máscara de evento de auditoría del sistema y la máscara de evento de auditoría del usuario. Al formar registros de auditoría, el núcleo hará una selección basada en la máscara de auditoría.
5. Reutilización de objetos
La reutilización de objetos significa que TSF debe garantizar que cuando se reutilice el recurso, no se filtre ninguna información en el recurso protegido.
La función de reutilización de objetos evita la fuga de información cuando los medios de objetos importantes se reasignan a otros sujetos. En este sistema, por razones de eficiencia y confiabilidad del sistema, solo se borra automáticamente la información residual de las estructuras de datos importantes y el contenido del archivo se borra manualmente.
6. Gestión de privilegios mínimos
Según el principio de privilegios mínimos propuesto por la capa TESCE B2, cada proceso en el sistema solo debe tener los privilegios mínimos necesarios para completar sus tareas y funciones. Por lo tanto, este sistema ha desarrollado un mecanismo de gestión de permisos flexible para dividir los permisos del superusuario en un conjunto de permisos detallados. Al controlar la distribución, herencia y transferencia de permisos de usuario y proceso en el sistema, algunos de estos permisos se otorgan a un usuario en el sistema, de modo que los usuarios comunes en el sistema también pueden tener algunos permisos para operar y administrar el sistema.
7. Ruta confiable
La ruta confiable requiere proporcionar un canal confiable para que los usuarios interactúen con el sistema. La ruta confiable se implementa monitoreando la clave de seguridad a través del núcleo, saliendo de todas las aplicaciones en el terminal actual e iniciando un nuevo programa de inicio de sesión confiable.
Basado en los requisitos de acceso confiable de B2 TESEC, este sistema ha desarrollado un mecanismo de acceso confiable para evitar que ocurran caballos de Troya y otras actividades fraudulentas. No importa en qué estado se encuentre el sistema, los usuarios pueden ingresar a la interfaz de inicio de sesión segura activando una clave de seguridad (generalmente configurada en Ctrl-Alt-A). Además, el sistema también adopta una autenticación de identidad sólida para los usuarios administradores y el establecimiento de canales cifrados, que también pueden garantizar la seguridad de la interacción del usuario con el sistema.
8.Análisis de canales ocultos
El "Estándar de clasificación de niveles de protección de seguridad de sistemas de información informática" de mi país [1] requiere que los productos de sistemas de información de seguridad de nivel 4 y superiores deben realizar análisis de canales ocultos. Análisis y procesamiento.
El análisis de canales enmascarados de este sistema se basará en el código fuente y utilizará los siguientes métodos:
Analizar todas las operaciones, enumerar las operaciones y * * * recursos de disfrute involucrados (atributos del objeto).
Enumera la relación entre operaciones y ** recursos.
Descubre todos los posibles canales de almacenamiento ocultos
Analiza e identifica cada canal de almacenamiento oculto y proporciona el ancho de banda.
9. Soporte de tarjeta de cifrado
Este sistema se basa en recursos de hardware criptográfico nacionales y los servicios criptográficos implementados incluyen principalmente tres aspectos:
Cifrado de almacenamiento de archivos y descifrado: la capa de comando proporciona a los usuarios un conjunto de comandos SHELL para lograr la confidencialidad y protección de la integridad de los archivos, y proporciona una función de biblioteca de sockets de Windows para la programación del usuario.
Autenticación sólida para usuarios privilegiados: combine políticas RBAC y DTE para implementar una autenticación sólida para usuarios privilegiados (rol).
Cifrado y descifrado de transmisión de datos: proporciona un conjunto de interfaces funcionales en el núcleo para lograr la confidencialidad e integridad de los datos.
4. Conclusión
Este plan combina orgánicamente tres modelos de políticas de seguridad con tecnologías avanzadas existentes mediante el estudio de la estructura central de Linux y la estructura jerárquica del sistema de seguridad externo del dominio del sistema operativo. agregando características de seguridad como control de acceso obligatorio, privilegios mínimos y rutas confiables. Se implementó con éxito en el sistema operativo Linux y básicamente alcanza el nivel de protección estructural especificado en GB17859-1999.
Como parte importante de la seguridad de la información, la tecnología de mejora de la seguridad del sistema operativo ha recibido amplia atención en el país y en el extranjero. En el ámbito de la seguridad, la seguridad del sistema es siempre relativa. Por lo tanto, es necesario profundizar aún más la investigación y el modelado de modelos de seguridad y la investigación sobre arquitectura de seguridad de la información y diseño de soluciones. Este esquema de diseño se ha implementado en el sistema operativo Linux y necesita más pruebas y mejoras en aplicaciones prácticas.
Referencia
[1]GB 17859-1999, Estándar de clasificación de protección de seguridad de sistemas de información informática [S].
[2] Departamento de Defensa 5200. 28-STD, Estándares de evaluación de sistemas informáticos confiables del Departamento de Defensa [S DC, Departamento de Defensa del Estado de Washington, 1985.
Shi Wenchang, Sun Yufang. La evolución de los estándares de seguridad informática y el desarrollo de productos de seguridad [J Guangxi Science, 2001, 8 (3): 168-171.
[4] BELL D E, LaPADULA L J. Sistemas informáticos seguros: fundamentos y modelos matemáticos [R]. Bedford, MA: Mitte Corporation, 1973. M74-244.
Liang Hongliang, Sun Yufangshi Wenchang. Método de implementación de marcado adaptativo y corrección de los axiomas de seguridad BLP clásicos [J]. Investigación y desarrollo informático, 2001, 11 (38): 1366 ~ 13765438.
[6]Ji, dinastía Tang. Modelo de política de seguridad de "nivel de protección estructurado" para sistemas operativos seguros [R Beijing: Centro de Investigación de Ingeniería de Tecnología de Seguridad de la Información de la Academia de Ciencias de China, ChinaSoft Network Technology Co., Ltd., 2002.
Investigación y diseño de modelo de seguridad
, Hu Zhi-Xing
(Escuela de Ingeniería de la Información, Universidad de Ciencia y Tecnología de Beijing, Beijing 100083)
Resumen: A través de la investigación sobre el modelo BLP, el modelo DTE y el modelo RBAC, combinados con los tres modelos de seguridad, se propone un sistema de seguridad y su composición y esquema de implementación de funciones para lograr la protección estructural de GB17859 (como el B2 nivel de la norma TCSEC). Esta solución se ha implementado con éxito en el sistema operativo Linux.
Palabras clave: tecnología de seguridad; modelo de seguridad; sistema operativo Linux