安全可信网络系统的标准与实现
摘要:本文对可洁计算机网络系统进行讨论,给出了在当前流行的Linux系统中对网络协议栈的修改方法,并提出一种主机确认协议保证了网络传输的高效,以完善整个网络的安全机制
关键词 安全网络 自主访问控制 强制访问控制 宙计安全策略
COMPUTER NETWORK SYSTEM\'S STANDARD AND IMPLEMENTATION
Ouyang Yi Zhou Lifeng Zhang Shaolian Huang Hao
rk,....n-u of Cwr purer S-s and Ted-loo, Na4uw u-uy, NwOW210093
Abstract This paper discusses the Tmsted Computer Network System\'s standard, proposes.二二thod to amend MP/ TP pmt-l staek of Lm-
kernel and gives a simple and efficient protocol of confirmation between hosts. The amendment makes the operating system mare secure to sati均the
standard and eomplement the security mechanism of whole network system.
Keywords Secvm network Discretionary二.,contrd Mandatory access control Audit Security policy
1引言
网 络系统是一些可以提供特定功能的硬件,固件和软件的集合.安全可信的网络安全系统负责执行安全策略,创建基本的保护环境,提供额外的用户服务并满足可信计 算机系统的要求.对于一个给定的网络系统的产品的定级,可以从三个方面来确定:所使用的安全策略;对于策略执行的记录;系统结构使安全策略得以正确实施的 保障.以下将对安全可信网络系统的标准进行详细的阐述并修改Unux操作系统以实现其要求,达到安全网络的标准.
2安全可信网络系统
B 级安全网络主要目标是强制性保护,必须保证敏感标签的完整性,并且使用它们来实现强制访问控制的规则集的最终实施.B级的网络系统必须在系统的主要数据结 构中保存敏感标签川.安全策略包含的两个最主要的组件:自主访问控制和强制访问控制.自主访问控制主要保护针对那些根据个体(包括用户,组等)的授权即可 访问的信息.该访问控制策略可以防止和检测非授权用户对敏感信息的读写和错误.强制访问控制则必须定义它所支持的不同的敏感级别.对于BI级及以上的安全 级别中的安全策略必须基于和敏感信息相联系的反映其敏感级别的安全标签或反映对一个用户可以访问敏感信息的授权.非授权的用户包括那些不允许使用网络的用 户和不被授权使用被保护信息的网络的合法使用者.
2.1自主访问控制
安全策略定义和控制用户和对象之间的访问.自主访间控制使用 户可以自己定义和控制对象被其它用户或用户组的共享,也必须提供限制访问权利的扩散的控制.自主访问控制必须以单个的用户为粒度.访同的权限赋予的原则不 再是该用户是否已经占有此权限,而是该用户是否是被授权的用户.自主访问控制机制可以分布在安全网络系统中各个部分.网络环境下的用户标识可以通过很多方 法获得,比如主机或网关的网络地址可以用来标识单个用户或一组用户.网络环境下的自主访问控制如:远程用户的一个代理进程在本地访问对象,系统必须保存远 程用户的标识,使用该用户的授权来约束这个代理进程对本地对象的访问如同该远程用户是一个本地用户一样.访问控制既可以在本地机中实现,也可以在网络上有 一个全局的访问控制处理机.系统还必须维护一个数据库存储关于用户的授权状态
2.2强制访问控制
B级以上的安全系统必须对所有的 主体和客体使用强制访问控制策略.主体和客体使用的敏感标签由两部分组成,有层次结构的分层级别和无层次结构的种类中,敏感级别是强制访问控制的决策的基 础.安全策略至少支持两种以上的敏感级别,主客体之间的访问必须满足以下条件:只有当主体的种类包含客体的种类并且主体的分层级别高于客体的分层级别主体 才可以读取客体.只有当主体的种类被客体的种类所包含并且主体的分层级别低于客体的分层级别,主体才可以写或修改客体.认证和授权的数据被安全策略机制用 来认证用户的级别,以确认在安全系统之外的由用户创建的代表用户的行为的主体的敏感级别和授权可以被用户支配授权或清除授权在网络环境下,两个构件之间的 通讯的概念诸如会话,连接,虚拟回环等,可以被认为是两个端点,每一个端点表现为一个本地的客体,通讯被看作一种从一个端点的客体通过一个通讯路径把信息 拷贝到另一个端点的客体的操作.安全策略机制可以只处理在它的构件范围之内的主客体之间的访问,如果一个主体需要访问在不同的组成部分的另一个客体,则该 主体可以创建自己的代理来进行访问.
2.3客体重用
对于在一个存储型的对象中的信息必须在再次初始化之前撤回及释放,才可以再次 被授权给另一个主体使用.不能出现有任何信息包括加密过的信息,由前一个主体使用过以后,归还给系统后再次分配给另一个主体,而另一个主体可以得到原来的 信息的情形.网络环境下,客体的表现形式一般为报文的缓冲区.
