The KIPS Transactions:PartA (정보처리학회논문지A)

Korea Information Processing Society (한국정보처리학회)
권호 표지

E-BLP Security Model for Secure Linux System and Its Implementation

안전한 리눅스 시스템을 위한 E-BLP 보안 모델과 구현

  • 강정민 (광주과학기술원 대학원 정보통신공학과) ;
  • 신욱 (광주과학기술원 대학원 정보통신공학과) ;
  • 박춘구 (광주과학기술원 대학원 정보통신공학과) ;
  • 이동익 (광주과학기술원 정보통신공학과)
  • Published : 2001.12.01
Download PDF
⟨ Previous Next ⟩

Abstract

To design and develop secure operating systems, the BLP (Bell-La Padula) model that represents the MLP (Multi-Level Policy) has been widely adopted. However, user\`s security level in the most developed systems based on the BLP model is inherited to a process that is actual subject on behalf of the user, regardless whatever the process behavior is. So, there could be information disclosure threat or modification threat by malicious or unreliable processes even though the user is authorized in the system. These problems can be solved by defining the subject as (user, process) ordered pair and by defining the process reliability. Moreover, when the leveled programs which exist as objects in a disk are executed by a process and have different level from the process level, the security level decision problem occurs. This paper presents an extended BLP (E-BLP) model in which process reliability is considered and solves the security level decision problem. And this model is implemented into the Linux kernel 2.4.7.

대부분의 안전한 운영체제는 주체와 객체에 보안 등급을 부여하여 운영하는 다중등급 정책(MLP:Multi-Level Policy)을 수용하고 있으며, BLP(Bell and LaPadula) 모델은 이 정책을 표현하는 검증된 대표적인 모델이다. 하지만 BLP 모델을 적용한 안전한 운영체제들은 사용자의 보안 등급을 프로세스에 그대로 상속하고 있음을 알 수 있다. 이러한 접근방법의 문제점은 프로세스를 전적으로 신뢰할 수 없다는 것에서 기인한다. 즉, 사용자의 보안 등급과 권한허용 범위를 오류가 내재되어 있거나 의도적으로 수정된 악의적인(malicious) 프로세스에게 그대로 상속할 경우, 시스템 안전성이 파괴될 가능성이 있다. 이는 BLP 모델이 접근 주체를 정의함에 있어서 시스템 사용자와 실제 그 접근을 대행하는 프로세스를 동일시 하도록 단순하게 정의하고 있기 때문이며, 따라서 사용자와 프로세스간 신뢰관계를 모델에 도입함으로써 해결 가능하다. 또한 다중등급 보안 운영체제들은 접근 주체인 프로세스가 접근 객체로서 존재하는 등급화 된 프로그램 실행 시, 새로운 프로세스를 위한 보안 등급을 부여해야 하는데, 접근 주체와 접근 객체의 보안 등급이 다를 경우, 보안 등급 결정 문제가 발생하며 정보보호의 목적에 위배되는 결과가 발생한다. 이에 본 논문에서는 프로세스의 신뢰성을 고려하고, 보안 등급 결정 문제를 해결할 수 있는 확장된 BLP(E-BLP) 보안 모델을 제안하고 리눅스 커널(2.4.7)에 구현한다.

Keywords

References

  1. 한국정보보호진흥원, '2001년 상반기 해킹. 바이러스 분석 보고서,' 2001
  2. NIST, 'An Introduction to Computer Security : The NIST Handbook,' June 20, 1994
  3. Peter A. Loscocco, Stephen D. Smalley, Patrick A. Muckel-bauer, Ruth C. Taylor, S. Jeff Turner, John F. Farrell, 'The Inevitability of Failure : The Flawed Assumption of Security in Modern Computing Environments,' Technical report, United Stated National Security Agency (NSA), 1995
  4. Bill Neugent, 'Where We Stand in Multilevel Security (MLS) : Requirements, Approaches, Issues, and Lessons Learned,' Computer Security Applications Conference, 1994
  5. Len Lapadula, 'Secure Computer Systems : Mathematical Foundations,' MITRE Techical Report, Vol. I, 1996
  6. Len Lapadula, 'Secure Computer Systems : Mathematical Foundations,' MITRE Technical Report, Vol.II, 1996
  7. Carl E. Landwehr, 'Formal Models for Computer Security,' ACM Computing Surveys, Vol.13, No.3, 1981 https://doi.org/10.1145/356850.356852
  8. Carl E. Landwehr, Constance L. Heitmeyer, and John McLean, 'A Security Model for Military Message Systems,' ACM Trans., Aug. 1984 https://doi.org/10.1145/989.991
  9. Frank L. Mayer, 'An Interpretation of a Refined Bell-La Padula Model For the TMach Kernel,' Aerospace Computer Security Applications Conference, 1988 https://doi.org/10.1109/ACSAC.1988.113335
  10. John McLean, 'The Specification and Modeling of Computer Security,' Computer, Volume : 23, Issue : 1, 1990 https://doi.org/10.1109/2.48795
  11. DOD 5200.28-STD, 'Trusted Computer System Evaluation Criteria', December 1985
  12. 홍기융, 외, '안전한 운영체제를 위한 MAC메커니즘의 설계 및 구현,' 한국정보과학회 가을학술발표논문집, Vol.17, No.2, 1990
  13. Peter A. Loscocco, Stephen D. Smalley, Patrick A. Muckel-bauer, Ruth C. Taylor, S. Jeff Turner, John F. Farrell, 'Integrating Flexible Support for Security Policies into the Linux Operating System,' Technical repot, United Stated National Security Agency (NSA), 2000
  14. Warwick Ford, 'Computer Communications Security,' Prentice Hall, 1994
  15. Edward G. Amoroso, 'Fundamentals Of Computer Security Technology,' Prentice Hall, 1994
  16. Dieter Gollman, 'Computer Security,' Jone Wiley & Sons, 1999
  17. Michael V. Joyce, 'Access Control and Applications on Trusted Systems,' Computer Security Applications Conference, 1992 https://doi.org/10.1109/CSAC.1992.228223
  18. R.S. Sandhu, and P. Samarati, 'Access Control : Principles and Practices,' IEEE Communications, 1994
  19. R.S. Sandhu, and P. Samarati, 'Authentication, Access Control, and Audit,' ACM Computer Survey, 28, 1, 1996 https://doi.org/10.1145/234313.234412
  20. David Ferraiolo and Richard Kuhn, 'Role-Based Access Control,' Proceedings of 15th National Computer Security Conference, 1992
  21. D. Ferraiolo, J. Cugini, and K. Richard, 'Rold-Based Access Control (RBAC) : Features and Motivations,' In Proc. of the Annual computer Security Applications Conference, 1995
  22. R. Sandhu, E. Coyne, H. Feinstein, 'Role-Based Access Control Models,' Computer 29(2), 1996 https://doi.org/10.1109/2.485845
  23. Raymond M. Wong, 'A Comparison of Secure UNIX Operating Systems,' Computer Security Appplication Conference, 1990 https://doi.org/10.1109/CSAC.1990.143794
  24. http://www.rsbac.de
  25. http://www.nsa.gov/selinux/
  26. 강정민, 신 욱, 박춘구, 이동익, '프로세스 신뢰도에 기반한 확장된 BLP 보안 모델과 아키텍쳐 설계,' 한국정보과학회 춘계학술대회논문집, 2001
  27. Daniel F. Stern, and Glenn S. Benson, 'Redrawing the Security Perimeter of a Trusted System,' Computer Security Foundations Workshop VII, 1994 https://doi.org/10.1109/CSFW.1994.315938
  28. ITU-T, 'Security Frameworks For Open Systems : Access Control Framework,' ITU-T Recommendation X.812, 1996
  29. Grenier, G.-L. : Holt, R.C. ; Funkenhauser, M., 'Policy VS. Mechanism in the Secure TUNIS Operating System,' Proceedings. of IEEE Symposium on Securtiy and Privacy, 1989 https://doi.org/10.1109/SECPRI.1989.36280
  30. A. Rubini and J. Corbet, 'Linux Device Drivers,' O'REILLY, 2001
  31. D.P. Bovet and M. Cesati, 'Understanding Linux Kernel,' O'REILLY, 2001