KR20030077866A - Extended BLP Security System - Google Patents

Extended BLP Security System Download PDF

Info

Publication number
KR20030077866A
KR20030077866A KR1020020016824A KR20020016824A KR20030077866A KR 20030077866 A KR20030077866 A KR 20030077866A KR 1020020016824 A KR1020020016824 A KR 1020020016824A KR 20020016824 A KR20020016824 A KR 20020016824A KR 20030077866 A KR20030077866 A KR 20030077866A
Authority
KR
South Korea
Prior art keywords
access
subject
unit
security
level
Prior art date
Application number
KR1020020016824A
Other languages
Korean (ko)
Other versions
KR100454231B1 (en
Inventor
이동익
강정민
신욱
박춘구
Original Assignee
광주과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 광주과학기술원 filed Critical 광주과학기술원
Priority to KR10-2002-0016824A priority Critical patent/KR100454231B1/en
Publication of KR20030077866A publication Critical patent/KR20030077866A/en
Application granted granted Critical
Publication of KR100454231B1 publication Critical patent/KR100454231B1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

PURPOSE: A system for extended BLP(Bell and Lapadula Policy) security is provided to guarantee secrete and integrity, and improve availability by controlling an access activity of a malicious or unreliable process. CONSTITUTION: An access subject part(100) comprises an anonymous and a secrecy keeping subject. A process part(200) comprises a reliable process activated for the secrecy keeping subject and an unreliable process activated for the anonymous. A referring monitor part(300) is equipped with a tool judging a security level of the process. An access object part(400) comprises a secrecy keeping object permitting access to only the reliable process through the referring monitor part(300), and a shared object(420) permitting the access to any process.

Description

확장된 BLP보안시스템{Extended BLP Security System}Extended BLP Security System

본 발명은 확장된 BLP보안시스템에 관한 것으로, 보다 상세하게는 접근의 대상인 객체와, 이에 접근하고자 하는 주체 및 주체가 이용하는 프로그램의 등급을 각각 별도로 설정하고, 이를 바탕으로 주체가 프로그램을 통해 객체에 접근하는 과정을 통제함으로써 조직내의 중요 정보에 대한 비밀성, 무결성, 가용성을 증대시키는 확장된 BLP보안시스템에 관한 것이다.The present invention relates to an extended BLP security system, and more particularly, sets an object to be accessed, a subject to be accessed, and a class of a program used by the subject separately, and based on this, the subject can access the object through the program. It is an extended BLP security system that increases the confidentiality, integrity, and availability of sensitive information in an organization by controlling the access process.

일반적으로 안전한 운영체제라 함은, 기존의 운영체제에 내재된 보안상의 결함으로 인한 각종 침해로부터 시스템을 보호하기 위해 기존의 운영체제 내에, 보안기능을 통합시킨 보안 커널을 추가적으로 이식한 운영체제를 의미한다. 여기서 보안커널이란 참조모니터의 개념, 즉 시스템 자원에 대한 접근을 통제하기 위한 기본적인 보안 절차를 구현한 컴퓨터 시스템의 중심부를 말한다. 안전한 운영체제가 제공해야 하는 보안 기능에는 식별 및 인증, 접근 통제, 객체 재사용 방지, 완전한 조정, 안전한 경로, 감사 및 감사기록 추적, 침입 탐지 등이 있다.In general, a secure operating system refers to an operating system in which a security kernel incorporating a security function is additionally implanted in an existing operating system to protect a system from various infringements caused by a security defect inherent in the existing operating system. The security kernel here refers to the core of a computer system that implements the concept of a reference monitor, that is, a basic security procedure for controlling access to system resources. Security features that a secure operating system must provide include identification and authentication, access control, object reuse prevention, full coordination, secure paths, audit and audit trail tracking, and intrusion detection.

대부분의 안전한 운영체제는 주체와 객체에 보안등급을 부여하여 운영하는다중등급 정책(MLP : Multi-Level Policy)을 수용하고 있으며 BLP(Bell and Lapadula) 모델은 정부의 기밀 분류 환경에서 상위 등급의 정보가 하위 등급으로 흐르는 것을 제한하는 다중등급정책을 표현하는 검증된 대표적인 수학적인 모델이다. 하지만 BLP모델을 적용한 안전한 운영체제들은 사용자의 보안등급을 프로세스에 그대로 상속한다. 이러한 접근방법의 문제점은 프로세스를 전적으로 신뢰할 수 없다는 것에서 기인한다. 다시 말하면 사용자의 보안등급과 권한허용범위를 오류가 내재되어 있거나 의도적으로 수정된 악의적인(malicious)프로세스에게 그대로 상속할 경우, 시스템 안전성이 파괴될 가능성이 있다. 이는 BLP 모델이 접근 주체를 정의함에 있어서 시스템 사용자와 실제 그 접근을 대행하는 프로세스를 동일시하도록 단순하게 정의하고 있기 때문이다.Most secure operating systems have adopted a multi-level policy (MLP), which operates by assigning security levels to subjects and objects.Bell and Lapadula (BLP) models provide high-level information in a government classified classification environment. It is a proven representative mathematical model that expresses multi-level policies that restrict the flow down to lower levels. However, secure operating systems using the BLP model inherit the user's security level into the process. The problem with this approach is that the process is not entirely reliable. In other words, if the user's security level and privilege range are inherited by an error-prone or intentionally modified malicious process, system safety may be compromised. This is because the BLP model simply defines the identity of the system user and the process that actually handles the access.

이와 같은 문제점을, 제시된 도면(도1~도4)을 보고 보다 상세히 설명한다. 도1은 기존 BLP모델기반 다중등급 접근 통제시스템에서의 주체의 객체에 대한 접근 과정을 보여주고 있는 것으로, 등급화된 다중등급 시스템 MLS(Multi-Level System)사용자(1)가 ID/패스워드(Password)와 레벨(Level) /카테고리(Category)정보를 통해 식별과 인증과정을 거치면, 사용자의 권한을 상속받은 프로세스가 수행되며, 그 프로세스는 시스템내에서 접근객체(3)에 대한 실질적인 접근주체가 되어 참조모니터(2)를 통해 객체에 접근한다. 그러나 상기 프로세스는 내재된 논리 오류 및 공격자의 의도적 논리 수정에 의해 시스템에 악영향을 줄 수 있으며, 접근통제 시스템은 등급 정보에 기반하여 접근을 통제하므로, 합법적인 사용자의 권한 등급을 계승하여 행해지는 이러한 악성 접근을 제한하지 못한다. 따라서 이로 인한 정보의 비밀성, 무결성, 가용성 저해의 위협이 항시 존재한다.This problem will be described in more detail with reference to the presented drawings (FIGS. 1 to 4). FIG. 1 shows a process of accessing an object of a subject in an existing BLP model-based multi-level access control system. A multi-level system (MLS) user (1) of a graded multi-level system uses an ID / password. When the identification and authentication process is performed through the information and level / category information, a process that inherits the user's authority is executed, and the process becomes the actual subject of access to the access object (3) in the system. Access the object via the reference monitor (2). However, the process may adversely affect the system by inherent logic errors and intentional logic modification by the attacker, and the access control system controls access based on the rating information, and thus is performed by inheriting the authority level of the legitimate user. It does not restrict malicious access. As a result, there is always a threat of information confidentiality, integrity and availability.

또한, 다중 등급 접근 통제 시스템에서 프로세스가 새로운 프로그램을 실행하는 경우, 어떤 프로그램은 보조기억 장치(디스크)에서는 등급화된 접근객체로, 실행된 후에는 접근주체로 접근통제 과정에 참여하게 된다. 이때 접근 주체인 프로세스와 접근객체인 프로그램의 보안등급이 다를 경우, 실행될 프로그램에 적절한 보안등급을 부여해야 하는데 이를 보안 등급 결정 문제(SLDP : Security Level Decision Problem)라 한다. 도2는 2등급 프로세스가 3등급의 프로그램 파일을 실행하여 프로세스화 할 경우, 새로 생성되는 프로세스의 등급을 결정해야하는 상황을 예시한다. 이 때, 새로 생성되는 프로세스에게는 주체(11)의 등급을 따라 2등급을 부여할 수 있으며, 원래의 객체 등급(12)인 3등급을 부여할 수도 있다.In addition, when a process executes a new program in a multi-class access control system, a program participates in the access control process as a graded access object in the auxiliary storage device (disk) and, after execution, as an access subject. In this case, if the security level of the process that is the subject of access and the program of the access object is different, an appropriate security level should be assigned to the program to be executed. FIG. 2 illustrates a situation in which a second class process needs to determine a class of a newly created process when executing a third class program file to process the program. At this time, the newly created process may be given a second grade according to the grade of the subject 11, and may be given a third grade, which is the original object grade 12.

상기 보안등급 결정문제의 발생으로 인한 비밀성 저해 및 무결성 저해를 도3및 도4와 같은 일실시예를 통해 보다 상세히 설명한다.Inhibition of confidentiality and integrity due to the occurrence of the security level determination problem will be described in more detail through one embodiment as shown in FIGS. 3 and 4.

도3은 다음과 같은 상황을 예시한다. 정상적인 사용자 Alice는 자신의 등급인 2등급 프로세스를 수행중이며, 2등급의 내부 공격자 Oracle은 자신 등급의 개인파일을 생성해두고, 또한 3등급으로 로그인 한 후 Alice의 개인정보를 유출하기 위한 프로그램 T3(Trojan horse or Virus)를 생성해 두었다. 이때 만약 2등급인 Alice가 하위등급(3등급)인 O3을 read해서 O2에 쓰기(write)하기 위해 프로그램 T3을 실행시키고, 실행된 T3은 보안등급이 Alice의 등급인 2등급으로 실행된다고 하자. 원래 T3은 2등급의 Alice의 개인파일을 읽을수 없었으나, Alice의 등급인 2등급으로 실행이 되므로 Alice의 개인정보를 읽어서 Oracle이 생성해 둔 개인파일에씀으로서(write) Alice의 개인정보를 유출할 수 있게 되었을 뿐만 아니라, Alice의 개인정보를 네트웍상으로 전파할 수 있게 되었다. 이는 정보의 비밀성 저해 문제를 야기 시키는 결과이다.3 illustrates the following situation. A normal user, Alice, is running her own level 2 process, and a class 2 internal attacker, Oracle, creates a personal file of her own level, and also logs in to level 3 and uses the program T3 ( Trojan horse or Virus) has been created. In this case, suppose that Alice, who is Level 2, executes program T3 to read and write O3, which is lower level (Level 3), and writes to O2. Originally, T3 could not read Alice's personal file of 2nd grade, but since it runs as Alice's 2nd grade, Alice's personal information is leaked by reading Alice's personal information and writing to Oracle's personal file. In addition to being able to do so, we can also spread Alice's personal information over the network. This results in a problem of impairment of confidentiality of information.

또한 도4는 다음과 같은 상황을 예시한다. 2등급의 공격자는 3등급으로 정보를 유출하고자 한다. 그러나, 기존 강제 접근통제 원칙에 의하면 하위 등급으로의 정보 쓰기(write)는 불허된 연산이다. 만약 프로세스들이 객체일 때의 등급으로 실행된다면, 즉 2등급 공격자가 프로그램 T3을 실행함에 있어서 T3가 3등급 프로세스로 실행되는 경우라면, 공격자는 T3의 실행 매개변수(parameter)를 통해 중요 정보를 3등급 공모자의 파일로 유출할 수 있다. 이는 무결성을 저해하는 결과를 낳는다.4 also illustrates the following situation. A class 2 attacker wants to leak information to level 3. However, according to the existing mandatory access control principle, writing information to a lower level is not allowed. If the processes are executed at the level when they are objects, that is, if the level 2 attacker is running the program T3 and T3 is running as a level 3 process, then the attacker can retrieve critical information from the execution parameters of T3. It can be leaked to the file of a rating conspirator. This results in a loss of integrity.

상기와 같은 문제점을 해결하기 위한 본 발명은, 악의적이거나 신뢰할 수 없는 프로세스의 접근행위를 통제하여, 정보보호의 목적인 비밀성, 무결성을 보장하고 가용성을 개선하고자 한다. 또한, 확장된 BLP 보안 시스템을 통해 악의적인 프로세스의 행위에 대해 칩입탐지 시스템(IDS) 등의 해킹 탐지 모듈과 접근 통제 기술의 연동을 통해 접근 주체인 프로세스의 신뢰성을 확보하고 시스템 내에서 보호해야 할 객체의 비밀성, 무결성, 가용성을 보장하는데 그 목적이 있다.The present invention for solving the above problems, by controlling the access behavior of the malicious or untrusted process, to ensure the confidentiality, integrity for the purpose of information protection and improve the availability. In addition, through the expansion of the BLP security system, the hacking detection module, such as an intrusion detection system (IDS), and access control technology are linked to malicious process behavior to secure the reliability of the process that is the access subject and protect the system. The goal is to ensure the confidentiality, integrity, and availability of objects.

도1은 종래의 BLP모델기반 다중등급 접근 통제시스템에서의 주체의 객체에 대한 접근 과정을 보여주고 있는 도면이다.1 is a diagram illustrating a process of accessing an object of a subject in a conventional BLP model based multi-level access control system.

도2는 보안 등급 결정문제가 유발되는 것을 보여주는 도면2 is a diagram showing that a security level determination problem is caused

도3은 접근 주체 등급 실행에서 비밀성 저해를 보여주는 도면Figure 3 shows confidentiality inhibition in access subject execution.

도4는 접근 객체 등급 실행에서 무결성 저해를 보여주는 도면4 shows integrity compromise in access object class execution.

도5는 본 발명에 따른 주체의 객체에 대한 접근 흐름을 보여준 도면5 is a diagram illustrating an access flow to an object of a subject according to the present invention.

도6은 본 발명에 따른 일실시예로서, 확장된 BLP보안시스템을 나타낸 도면6 illustrates an extended BLP security system according to an embodiment of the present invention.

도7은 본 발명에 따른 ADF 알고리즘를 나타낸 도면7 illustrates an ADF algorithm according to the present invention.

****도면의 주요부분에 대한 부호의 설명******** Description of the symbols for the main parts of the drawings ****

100 : 접근주체부 200 : 프로세스부100: access subject 200: process

210 : 신뢰적인 프로세스 220 : 비신뢰적인 프로세스210: trusted process 220: unreliable process

300 : 참조모니터부 310 : 시스템 호출부300: reference monitor unit 310: system call unit

320 : 접근집행부 330 : 접근통제 정보부320: access enforcement unit 330: access control information unit

340 : 접근 결정부 341 : EMAC340: access decision unit 341: EMAC

400 : 접근객체부 410 : 기밀유지객체400: access object unit 410: confidential object

420 : 공유객체420: shared object

본 발명은 실질적인 접근 주체인 프로세스의 악의적인 행위는 반드시 통제되어야 하며, 접근주체 프로세스의 신뢰성을 보장함으로써 시스템의 비밀성, 무결성, 가용성을 제공한다는 것이다.In the present invention, malicious behavior of a process that is a real access subject must be controlled, and provide confidentiality, integrity, and availability of the system by ensuring the authenticity of the access process.

상기와 같은 목적을 이루기 위해 본 발명에서는 확장된 BLP보안시스템을 제공한다.In order to achieve the above object, the present invention provides an extended BLP security system.

본 발명은 익명의 주체와, 시스템에 로그인하며 기밀이 유지되어야 하는 기밀유지주체로 구성된 다중 등급인 접근주체부(100)와;The present invention provides a multi-class access subject unit (100) consisting of an anonymous subject and a confidential subject to log in to the system and maintain confidentiality;

기밀유지주체로 인증된 경우 활성화되는 신뢰적인 프로세스와, 익명의 주체의 접근시 활성화되는 비신뢰적인 프로세스로 구성되는 프로세스부(200)와;A process unit 200 comprising a trusted process that is activated when authenticated as a confidential subject, and an untrusted process that is activated when an anonymous subject is accessed;

상기 프로세스의 보안 수준을 판단하는 수단을 구비한 참조모니터부(300)와;A reference monitor unit 300 having means for determining a security level of the process;

상기 참조모니터부를 통해 신뢰적인 프로세스(210)만이 접근 가능한 기밀유지객체(410)와, 누구나 접근가능한 공유객체(420)로 구성되는 접근객체부(400)를 포함한다.The access object unit 400 includes a confidentiality object 410 accessible only to the process 210 trusted by the reference monitor unit, and a shared object 420 accessible to anyone.

상기 익명의 주체는 일반적으로 말하는 익명의 사용자(Anonymous)를 말하며, 시스템내의 등급화된 사용자가 아닌, 즉 외부의 사용자들을 위해 존재하며 공유객체(420)만을 접근하도록 제한된 주체를 말한다.The anonymous subject generally refers to an anonymous user, and refers to a subject that is not a rated user in the system, that is, exists for external users and is restricted to access only the shared object 420.

상기 기밀유지주체는 외부의 사용자에게 노출되어서는 안 되는 기밀을 요하는 주체를 의미하며, 접근주체부(100)에서 로그인 과정을 거친다.The confidentiality subject means a subject that requires confidentiality that should not be exposed to an external user, and undergoes a login process in the access subject unit 100.

상기 비신뢰적인 프로세스(220)는 보안성이 취약하다고 알려져 있어 시스템의 중요한 객체들에 대해 접근을 제한하며 공유객체(400)로의 접근만을 허용하는 프로세스이다.The unreliable process 220 is known to be vulnerable and restricts access to important objects of the system and allows only access to the shared object 400.

상기 신뢰적인 프로세스(210)는 상기 비신뢰적인 프로세스를 제외한, 즉 기밀의 유지를 필요로 하며 보호해야 하는 프로세스이다.The trusted process 210 is a process other than the untrusted process, i.e., it needs to be kept confidential and must be protected.

상기 참조모니터부(300)에서는 상기 프로세스들의 보안수준을 판단하는 것으로, 상기 프로세스의 등급과 접근객체의 등급을 비교하고, 접근객체에 대한 접근 주체의 악의적인 행위 및 예상치 못한 행위를 바람직하기로는, 동적신뢰검사(DRC : Dynamic Reliable Check)에 의해 차단시켜 프로세스의 무결성을 검사한다. 또한, 익명의 주체는 비신뢰적인 프로세스를 통해 공유객체로의 접근만 허용된다.The reference monitor unit 300 determines the security level of the processes, compares the process level with the class of the access object, and preferably the malicious and unexpected behavior of the access subject to the access object. Check the integrity of the process by blocking by Dynamic Reliable Check (DRC). In addition, anonymous subjects are only allowed access to shared objects through untrusted processes.

상기 동적신뢰검사는 사용자의 보안레이블을 상속받은 시스템 내에서의 실질적인 주체인 프로세스가 객체에 대한 접근 요구시 악의적인 행위여부를 판단하는 검사로서, 이 과정을 거침으로써 보다 프로세스의 신뢰도가 향상된다.The dynamic trust check is a test for determining whether a process, which is a substantial subject in the system that inherits the user's security label, has a malicious behavior when requesting access to an object. Through this process, the reliability of the process is improved.

상기 공유객체는 조직내에서 보호해야 할 중요한 접근 객체들이 아닌, 여러 사용자들이 접근할수 있는 전자 게시판 시스템(電子揭示板-, electronic bulletin board system, BBS), 파일 전송 규약(傳送規約, File Transfer Protocol, FTP)서비스들을 위한 정보들을 의미하는 것으로, 접근객체의 대상을 제한함으로써 등급화된 접근객체들의 비밀성, 무결성을 보장할수 있다.The shared object is not an important access object to be protected in the organization, but an electronic bulletin board system (BBS) accessible by various users, a file transfer protocol (BBS). FTP) means information for services. By limiting the object of access object, it can guarantee the confidentiality and integrity of the graded access objects.

이하, 상기 본 발명에 따른 시스템 중 참조모니터부(300)를 하나의 실시예로서 보다 구체적으로 설명한다. 도6은 X.812 접근 제어 구조에 기반한 시스템의 구조를 보여준다.Hereinafter, the reference monitor unit 300 of the system according to the present invention will be described in more detail as an embodiment. 6 shows the structure of a system based on the X.812 access control architecture.

참조모니터부(300)는 운영체제의 커널 내의 시스템호출부(310)와,The reference monitor unit 300 is a system call unit 310 in the kernel of the operating system,

주체의 접근이 접근통제 과정을 우회할 수 없도록 시스템 호출 내에 삽입되어 존재하며, 접근 발생시 시스템 호출부(310)의 의뢰에 따라 최종적으로 접근결정을 집행하는 접근집행부(AEF : Access Control Enforcement Function)(320)와, 상기 접근 집행부(320)로부터 접근 결정 부로 넘겨지는 접근통제정보부(ACI :Access Control Information)(330)와, 상기 접근집행부(320)로부터 주체의 객체에 대한 접근여부를 의뢰받아 상기 접근통제정보부(330)에서 오는 정보 및 시스템운영을 결정하는 정책, 예를 들면 EMAC(341), RBAC(342), 기타 등등의 알고리즘으로 접근여부를 허용/불허를 판단하여 다시 접근집행부(ADF : Access Control Decision Function)(320)에 알리는 접근결정부(340) 모듈로 이루어진다.Access control unit (AEF: Access Control Enforcement Function) (AEF) that is inserted into the system call so that the subject's access cannot bypass the access control process and finally executes the access decision upon request from the system call unit 310 (AEF). 320, the access control information (ACI: Access Control Information (ACI) 330 is passed from the access execution unit 320 to the access decision unit, and the access execution unit 320 is requested to access the object of the subject to the access) Access execution unit (ADF: Access) by determining whether to allow or disallow access by algorithms that determine information and system operation from the control information unit 330, for example, EMAC 341, RBAC 342, etc. Control Decision Function (320) is made of the access decision unit 340 module.

상기와 같이 구성된 참조모니터부(300)에서의 그 작용관계를 살펴보면 다음과 같다.Looking at the working relationship in the reference monitor unit 300 configured as described above are as follows.

접근 주체의 접근객체에 대한 접근시, 시스템 호출부(310)를 통해 커널에 의뢰하게 되며 커널내의 접근통제정보부(330)는 접근집행부(320)에 각종 정보매개변수를 주게 되며 접근집행부(320)는 우선 접근을 요구한 주체의 영역, 즉 신뢰적인 프로세스와 비신뢰적인 프로세스를 판단하고 각 프로세스에 해당하는 보안특성함수들이 있는 접근결정부(340)내의 EMAC(Extended MAC)(341)에 접근결정을 의뢰하게 된다. EMAC(341)에서는 도7의 알고리즘 및 접근통제정보부(330)에서 오는 정보등에의해 동적프로세스의 신뢰성검사(DRC)와 주·객체의 등급 비교를 수행하여 접근통제 허용/불허 여부를 접근집행부(320)로 전달해준다. 최종적으로 접근집행부(320)에서는 접근결정을 집행한다. 다시 말해 접근집행부(320)는 접근 통제 메커니즘을 구현하며, 접근 결정부(340)는 접근 통제 정책을 반영하게 된다. 그래서 여전히 신뢰성 있는 신뢰적인 프로세스(210)는 보안이 유지되는 기밀유지객체(410)뿐만 아니라 공유객체(420)에 접근이 가능하며 그렇지 못한 비신뢰적인 프로세스(220)는 모든 사람들이 공유 가능한 공유객체(Shared Object)로만 접근이 가능하다.When the access object accesses the access object, it is requested to the kernel through the system call unit 310 and the access control information unit 330 in the kernel gives various information parameters to the access execution unit 320 and the access execution unit 320. First determines the domain of the subject requesting access, i.e., trusted and untrusted processes, and makes an access decision to the extended MAC (EMAC) 341 in the access decision unit 340 having security characteristic functions corresponding to each process. You will be asked. In the EMAC 341, the access control unit 320 determines whether the access control is allowed or denied by performing a reliability check (DRC) of the dynamic process and a comparison of the class of the object based on the information from the algorithm and the access control information unit 330 of FIG. 7. ) Finally, the access execution unit 320 executes an access decision. In other words, the access execution unit 320 implements an access control mechanism, and the access determination unit 340 reflects the access control policy. Thus, a reliable and reliable process 210 can access the shared object 420 as well as the confidentiality object 410 where it is secured, and the untrusted process 220 which is not shared can be shared by everyone. Accessible only with (Shared Object).

도7은 상기 접근결정부(ADF)의 알고리즘으로서, 그중 DRC에 의해 상기 프로세스의 신뢰성검사를 하게 된다. <표1>에 나타난 취약점 정보를 기반으로 임의의 프로세스가 수행중 악의적인 행위를 한다면 비신뢰적, 그렇지 않다면 신뢰적이 된다. 예를 들면, sendmail이 setupid 취약점을 이용한 행위를 하고 있는 sendmail 프로세스는 비신뢰적이 된다. 상기 표는 침입탐지시스템(IDS : Intrusion Detection System) 등을 통해 프로그램의 취약점 발견 및 분석에 의해 계속적으로 추가 및 수정이 될 수 있다. 동적 신뢰성 검사를 통과한 프로세스들은 비로소 등급 정보 비교를 통한 접근통제를 하게 된다.7 is an algorithm of the access decision unit (ADF), of which the reliability check of the process is performed by the DRC. Based on the vulnerability information shown in Table 1, if any process performs malicious behavior during execution, it is unreliable, otherwise it is trusted. For example, the sendmail process, where sendmail is using the setupid vulnerability, becomes unreliable. The above table can be continuously added and modified by vulnerability detection and analysis of a program through an intrusion detection system (IDS). Processes that have passed the dynamic reliability check will then gain access control by comparing the rating information.

<표1> 프로세스 취약점 정보<Table 1> Process Vulnerability Information

프로세스취약점 정보Process Vulnerability Information SendmailSendmail Dos PGsDos PGs BackdoorBackdoor 비밀성 위혐Confidentiality setuid 취약점setuid vulnerability 버퍼 오버플로우Buffer overflow 정보유출Information leakage 무결성 위협Integrity threats 로그삭제Delete log 가용성 위협Availability threat 디스크 공격Disk attack

확장된 BLP 보안 시스템과 이에 기반 한 IDS와 접근 통제 연동 기술은 시스템 내의 실질적인 접근 주체인 프로세스의 신뢰성을 보장함으로써 시스템에 대한 비밀성, 무결성, 가용성에 대한 위협을 줄여 안전한 시스템 개발에 활용될 수 있다.The extended BLP security system and its IDS and access control interworking technology can be used to develop a secure system by reducing the threat to confidentiality, integrity, and availability of the system by ensuring the reliability of the process, which is the actual access agent in the system. .

Claims (2)

익명의 주체와, 시스템에 로그인하며 기밀이 유지되어야 하는 기밀유지주체로 구성된 여러 등급인 접근주체부와;An access subject unit which is composed of anonymous subjects and confidential subjects which log in to the system and must be kept confidential; 기밀유지주체로 인증된 경우 활성화되는 신뢰적인 프로세스와, 익명의 주체의 접근시 활성화되는 비신뢰적인 프로세스로 구성되는 프로세스부와;A process unit comprising a trusted process activated when authenticated as a confidential subject and an untrusted process activated when an anonymous subject is accessed; 상기 프로세스의 보안 수준을 판단하는 수단을 구비한 참조모니터부와;A reference monitor section having means for determining a security level of the process; 상기 참조모니터부를 통해 신뢰적인 프로세스만이 접근 가능한 기밀유지객체와, 누구나 접근가능한 공유객체로 구성되는 접근객체부를 포함함을 특징으로 하는 확장된 BLP 보안시스템.An extended BLP security system, characterized in that it comprises an access object unit consisting of a confidential object that can be accessed only by a trusted process through the reference monitor unit, and a shared object that anyone can access. 제 1 항에 있어서,The method of claim 1, 참조모니터부에서 보안수준을 판단하는 수단이 DRC임을 특징으로 하는 확장된 BLP 보안시스템Extended BLP security system, characterized in that the means for determining the security level in the reference monitor unit is DRC
KR10-2002-0016824A 2002-03-27 2002-03-27 Extended BLP Security System KR100454231B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0016824A KR100454231B1 (en) 2002-03-27 2002-03-27 Extended BLP Security System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0016824A KR100454231B1 (en) 2002-03-27 2002-03-27 Extended BLP Security System

Publications (2)

Publication Number Publication Date
KR20030077866A true KR20030077866A (en) 2003-10-04
KR100454231B1 KR100454231B1 (en) 2004-10-26

Family

ID=32376880

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0016824A KR100454231B1 (en) 2002-03-27 2002-03-27 Extended BLP Security System

Country Status (1)

Country Link
KR (1) KR100454231B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101040765B1 (en) * 2009-03-20 2011-06-10 티에스온넷(주) System for tracing process and file using extended security level
KR101414580B1 (en) * 2013-01-24 2014-07-16 한남대학교 산학협력단 A Secured Linux Operationg System Using Multi-level Security
KR101659440B1 (en) * 2016-04-01 2016-09-23 최인덕 Bubble removing device using twisting method and injection molding machine having the same

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR940005185B1 (en) * 1991-08-19 1994-06-13 서음종 Water proofing agent
FR2743235B1 (en) * 1995-12-27 1998-01-23 Alsthom Cge Alcatel METHOD FOR SECURING COLLABORATIONS BETWEEN OBJECTS OF AN OBJECT-ORIENTED PROGRAM
US6023765A (en) * 1996-12-06 2000-02-08 The United States Of America As Represented By The Secretary Of Commerce Implementation of role-based access control in multi-level secure systems
US6105132A (en) * 1997-02-20 2000-08-15 Novell, Inc. Computer network graded authentication system and method
KR100343069B1 (en) * 2000-08-26 2002-07-05 박태규 Mandatory Object Access Control Method Using Multi-Level Security, and Computer Readable Recording Medium Having thereon Programmed Mandatory Object Access Control Method Using Multi-Level Security

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101040765B1 (en) * 2009-03-20 2011-06-10 티에스온넷(주) System for tracing process and file using extended security level
KR101414580B1 (en) * 2013-01-24 2014-07-16 한남대학교 산학협력단 A Secured Linux Operationg System Using Multi-level Security
KR101659440B1 (en) * 2016-04-01 2016-09-23 최인덕 Bubble removing device using twisting method and injection molding machine having the same

Also Published As

Publication number Publication date
KR100454231B1 (en) 2004-10-26

Similar Documents

Publication Publication Date Title
US11528142B2 (en) Methods, systems and computer program products for data protection by policing processes accessing encrypted data
US9665708B2 (en) Secure system for allowing the execution of authorized computer program code
RU2390836C2 (en) Authenticity display from highly reliable medium to non-secure medium
Shabtai et al. Google android: A comprehensive security assessment
Gollmann Computer security
US10162975B2 (en) Secure computing system
US5361359A (en) System and method for controlling the use of a computer
US7904956B2 (en) Access authorization with anomaly detection
US7707620B2 (en) Method to control and secure setuid/gid executables and processes
US20060272021A1 (en) Scanning data in an access restricted file for malware
US20080022093A1 (en) Integrating security protection tools with computer device integrity and privacy policy
CA3138850A1 (en) Mitigation of ransomware in integrated, isolated applications
US20100095365A1 (en) Self-setting security system and method for guarding against unauthorized access to data and preventing malicious attacks
Pramanik et al. Security policies to mitigate insider threat in the document control domain
Zimmermann et al. An improved reference flow control model for policy-based intrusion detection
Sanfilippo et al. Stride-based threat modeling for mysql databases
Peisert et al. Dynamic, flexible, and optimistic access control
RU2405198C2 (en) Integrated access authorisation
Park et al. An Android Security Extension to Protect Personal Information against Illegal Accesses and Privilege Escalation Attacks.
KR100454231B1 (en) Extended BLP Security System
Seong et al. Security Improvement of File System Filter Driver in Windows Embedded OS.
Zimmermann et al. Introducing reference flow control for detecting intrusion symptoms at the os level
Kang et al. Extended BLP security model based on process reliability for secure Linux kernel
Ibor et al. System hardening architecture for safer access to critical business data
US20070016675A1 (en) Securing network services using network action control lists

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20111010

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20121005

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee