安全操作系統(tǒng)簡介任愛華版課件

1、安全操作系統(tǒng)簡介任愛華版1 安全操作系統(tǒng)安全操作系統(tǒng) v 操作系統(tǒng)是用來管理計(jì)算機(jī)資源的操作系統(tǒng)是用來管理計(jì)算機(jī)資源的, ,它直接利用計(jì)算機(jī)它直接利用計(jì)算機(jī) 硬件并為用戶提供交互使用和編程接口。若想獲得上層硬件并為用戶提供交互使用和編程接口。若想獲得上層 用戶軟件運(yùn)行的高可靠性和信息的完整性、保密性用戶軟件運(yùn)行的高可靠性和信息的完整性、保密性, ,必必 須依賴于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ)須依賴于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ) v 在網(wǎng)絡(luò)環(huán)境中在網(wǎng)絡(luò)環(huán)境中, ,網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各主機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各主機(jī) 系統(tǒng)的安全性、主機(jī)系統(tǒng)的安全性正是由其操作系統(tǒng)的系統(tǒng)的安全性、主機(jī)系統(tǒng)

2、的安全性正是由其操作系統(tǒng)的 安全性所決定的。安全性所決定的。 v 若從根本上保證計(jì)算機(jī)系統(tǒng)的安全性，首先要有安全的若從根本上保證計(jì)算機(jī)系統(tǒng)的安全性，首先要有安全的 CPUCPU芯片、然后是安全的操作系統(tǒng)，從而為安全的計(jì)算芯片、然后是安全的操作系統(tǒng)，從而為安全的計(jì)算 機(jī)系統(tǒng)和安全的網(wǎng)絡(luò)系統(tǒng)提供了安全基礎(chǔ)。機(jī)系統(tǒng)和安全的網(wǎng)絡(luò)系統(tǒng)提供了安全基礎(chǔ)。 安全操作系統(tǒng)簡介任愛華版2 可信計(jì)算機(jī)系統(tǒng)安全評價(jià)標(biāo)準(zhǔn)可信計(jì)算機(jī)系統(tǒng)安全評價(jià)標(biāo)準(zhǔn) l 第一個(gè)計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn)第一個(gè)計(jì)算機(jī)安全評價(jià)標(biāo)準(zhǔn) TCSEC(Trusted Computer System Evaluation Criteria)，即：即： “可可

3、信計(jì)算機(jī)系統(tǒng)安全評價(jià)標(biāo)準(zhǔn)信計(jì)算機(jī)系統(tǒng)安全評價(jià)標(biāo)準(zhǔn)”，又稱橙皮書。，又稱橙皮書。 l 人們以人們以TCSEC TCSEC 為藍(lán)本研制安全操作系統(tǒng)。為藍(lán)本研制安全操作系統(tǒng)。 l TCSEC TCSEC 為安全系統(tǒng)指定的是一個(gè)統(tǒng)一的系統(tǒng)安全為安全系統(tǒng)指定的是一個(gè)統(tǒng)一的系統(tǒng)安全 策略，這個(gè)統(tǒng)一的安全策略由諸如強(qiáng)制訪問控制策略，這個(gè)統(tǒng)一的安全策略由諸如強(qiáng)制訪問控制 和自主訪問控制的子策略構(gòu)成，這些子策略緊密和自主訪問控制的子策略構(gòu)成，這些子策略緊密 地結(jié)合在一起形成一個(gè)單一的系統(tǒng)安全策略。地結(jié)合在一起形成一個(gè)單一的系統(tǒng)安全策略。 安全操作系統(tǒng)簡介任愛華版3 保障需求安全特性需求 圖1-15 TCSEC

4、的構(gòu)成與等級結(jié)構(gòu) D：最小保護(hù) C1：自主安全保護(hù) C2：受控訪問保護(hù) B1：標(biāo)記安全保護(hù) B2：結(jié)構(gòu)化保護(hù) B3：安全域 A1：經(jīng)過驗(yàn)證的保護(hù) 安全操作系統(tǒng)簡介任愛華版4 高度極權(quán)化的高度極權(quán)化的LinuxLinux （C1C1級）級） 普通普通LinuxLinux采用采用極權(quán)化的極權(quán)化的方式，設(shè)立一個(gè)方式，設(shè)立一個(gè)rootroot超級用戶，超級用戶， rootroot用戶具有至高無上的權(quán)力，可以不受系統(tǒng)訪問控制用戶具有至高無上的權(quán)力，可以不受系統(tǒng)訪問控制 規(guī)則的任何制約，可對系統(tǒng)及其中的信息執(zhí)行任何操規(guī)則的任何制約，可對系統(tǒng)及其中的信息執(zhí)行任何操 作，這種做法不符合安全系統(tǒng)的作，這種做法不

5、符合安全系統(tǒng)的“最小特權(quán)最小特權(quán)”原則。原則。 攻擊者只要破獲攻擊者只要破獲rootroot用戶的口令，進(jìn)入系統(tǒng)，便得到了用戶的口令，進(jìn)入系統(tǒng)，便得到了 對系統(tǒng)的完全控制，其后果是不言而喻的。對系統(tǒng)的完全控制，其后果是不言而喻的。 安全操作系統(tǒng)簡介任愛華版5 系統(tǒng)特權(quán)分化（系統(tǒng)特權(quán)分化（C2C2級）級） 根據(jù)根據(jù)“最小特權(quán)最小特權(quán)”原則對系統(tǒng)管理員的特權(quán)進(jìn)行分化原則對系統(tǒng)管理員的特權(quán)進(jìn)行分化 ，根據(jù)系統(tǒng)管理任務(wù)設(shè)立角色，依據(jù)角色劃分特權(quán)。，根據(jù)系統(tǒng)管理任務(wù)設(shè)立角色，依據(jù)角色劃分特權(quán)。 典型的系統(tǒng)管理角色有：典型的系統(tǒng)管理角色有： + 系統(tǒng)管理員系統(tǒng)管理員 + 安全管理員安全管理員 + 審計(jì)管理

6、員等審計(jì)管理員等 系統(tǒng)管理員負(fù)責(zé)系統(tǒng)的安裝、管理和日常維護(hù)，如安系統(tǒng)管理員負(fù)責(zé)系統(tǒng)的安裝、管理和日常維護(hù)，如安 裝軟件、增添用戶賬號、數(shù)據(jù)備份等。安全管理員負(fù)裝軟件、增添用戶賬號、數(shù)據(jù)備份等。安全管理員負(fù) 責(zé)安全屬性的設(shè)定與管理。審計(jì)管理員負(fù)責(zé)配置系統(tǒng)責(zé)安全屬性的設(shè)定與管理。審計(jì)管理員負(fù)責(zé)配置系統(tǒng) 的審計(jì)行為和管理系統(tǒng)的審計(jì)信息。一個(gè)管理角色不的審計(jì)行為和管理系統(tǒng)的審計(jì)信息。一個(gè)管理角色不 擁有另一個(gè)管理角色的特權(quán)。攻擊者破獲某個(gè)管理角擁有另一個(gè)管理角色的特權(quán)。攻擊者破獲某個(gè)管理角 色的口令時(shí)不會得到對系統(tǒng)的完全控制。色的口令時(shí)不會得到對系統(tǒng)的完全控制。 安全操作系統(tǒng)簡介任愛華版6 自主訪問控

7、制功能（自主訪問控制功能（C1C1級）級） l LinuxLinux的自主訪問控制的自主訪問控制 普通普通LinuxLinux只支持簡單形式的自主訪問控制，由資源只支持簡單形式的自主訪問控制，由資源 （文件等）的所有者根據(jù)所有者、同組者、其他人（文件等）的所有者根據(jù)所有者、同組者、其他人 等三類群體指定用戶對資源的訪問權(quán)。而超級用戶等三類群體指定用戶對資源的訪問權(quán)。而超級用戶 rootroot實(shí)際可以不受訪問權(quán)的限制。這對資源的保護(hù)很實(shí)際可以不受訪問權(quán)的限制。這對資源的保護(hù)很 不利。不利。 安全操作系統(tǒng)簡介任愛華版7 強(qiáng)制訪問控制功能（強(qiáng)制訪問控制功能（B B級）級） 提供強(qiáng)制訪問控制支持，采

8、用提供強(qiáng)制訪問控制支持，采用Bell&LaPadulaBell&LaPadula強(qiáng)制訪問控制強(qiáng)制訪問控制 模型，為主體模型，為主體( (用戶、進(jìn)程等用戶、進(jìn)程等) )和客體和客體( (文件、目錄、文件、目錄、 設(shè)備、設(shè)備、IPCIPC機(jī)制等機(jī)制等) )提供標(biāo)簽支持。提供標(biāo)簽支持。 主體主體: : 用戶、進(jìn)程等用戶、進(jìn)程等 客體客體: : 文件、目錄、設(shè)備、文件、目錄、設(shè)備、IPCIPC機(jī)制等機(jī)制等 主體和客體都有標(biāo)簽設(shè)置主體和客體都有標(biāo)簽設(shè)置，系統(tǒng)根據(jù)主體和客體間標(biāo)系統(tǒng)根據(jù)主體和客體間標(biāo) 簽的匹配關(guān)系強(qiáng)制實(shí)行訪問控制，符合匹配規(guī)則的準(zhǔn)簽的匹配關(guān)系強(qiáng)制實(shí)行訪問控制，符合匹配規(guī)則的準(zhǔn) 許訪問，否則

9、拒絕訪問，不管主體是普通用戶還是特許訪問，否則拒絕訪問，不管主體是普通用戶還是特 權(quán)用戶。權(quán)用戶。 安全操作系統(tǒng)簡介任愛華版8 Bell&LaPadulaBell&LaPadula模型模型-1 -1 l Bell&LaPadula Bell&LaPadula 模型，簡稱模型，簡稱BLP BLP 模型，由模型，由D.E. Bell D.E. Bell 和和L.J. LaPadula L.J. LaPadula 在在19731973年提出，是第一個(gè)可證明年提出，是第一個(gè)可證明 的安全系統(tǒng)的數(shù)學(xué)模型的安全系統(tǒng)的數(shù)學(xué)模型 l BLP BLP 模型是根據(jù)軍方的安全政策設(shè)計(jì)的，它要解決模型是根據(jù)軍方的安全

10、政策設(shè)計(jì)的，它要解決 的本質(zhì)問題是對具有密級劃分的信息的訪問進(jìn)行控的本質(zhì)問題是對具有密級劃分的信息的訪問進(jìn)行控 制。制。 BLP BLP 模型是一個(gè)狀態(tài)機(jī)模型，它定義的系統(tǒng)包含一個(gè)模型是一個(gè)狀態(tài)機(jī)模型，它定義的系統(tǒng)包含一個(gè) 初始狀態(tài)初始狀態(tài)Z Z0 0 和由一些三元組（請求，判定，狀態(tài)）和由一些三元組（請求，判定，狀態(tài)） 組成的序列，三元組序列中相鄰狀態(tài)之間滿足某種組成的序列，三元組序列中相鄰狀態(tài)之間滿足某種 關(guān)系關(guān)系W W。BLP=ZBLP=Z0 0,R,D,S,R,D,S 安全操作系統(tǒng)簡介任愛華版9 Bell&LaPadulaBell&LaPadula模型模型-2 -2 l 如果一個(gè)系統(tǒng)的

11、初始狀態(tài)是安全的，并且三元組序列中的所有如果一個(gè)系統(tǒng)的初始狀態(tài)是安全的，并且三元組序列中的所有 狀態(tài)都是安全的，那么這樣的系統(tǒng)就是一個(gè)安全系統(tǒng)。狀態(tài)都是安全的，那么這樣的系統(tǒng)就是一個(gè)安全系統(tǒng)。 l BLP BLP 模型定義的狀態(tài)是一個(gè)四元組模型定義的狀態(tài)是一個(gè)四元組S=S=（b, M, f, Hb, M, f, H），）， 其中，其中， b b 是當(dāng)前訪問的集合，當(dāng)前訪問由三元組（主體，客體，訪問是當(dāng)前訪問的集合，當(dāng)前訪問由三元組（主體，客體，訪問 方式）表示，是當(dāng)前狀態(tài)下允許的訪問；方式）表示，是當(dāng)前狀態(tài)下允許的訪問； M M 是訪問控制矩陣；是訪問控制矩陣； f f 是安全級別函數(shù)，用于確

12、定任意主體和客體的安全級別；是安全級別函數(shù)，用于確定任意主體和客體的安全級別； H H 是客體間的層次關(guān)系。是客體間的層次關(guān)系。 安全操作系統(tǒng)簡介任愛華版10 Bell&LaPadulaBell&LaPadula模型模型-3 -3 l 抽象出的訪問方式有四種，分別是抽象出的訪問方式有四種，分別是 + 只可讀只可讀r r、 + 只可寫只可寫a a、 + 可讀寫可讀寫w w + 不可讀寫（可執(zhí)行）不可讀寫（可執(zhí)行）e e。 l 主體的安全級別包括主體的安全級別包括 + 最大安全級別，通常簡稱為安全級別。最大安全級別，通常簡稱為安全級別。 + 當(dāng)前安全級別當(dāng)前安全級別 安全操作系統(tǒng)簡介任愛華版11

13、Bell&LaPadulaBell&LaPadula模型模型-4 -4 l 以下特性和定理構(gòu)成了以下特性和定理構(gòu)成了BLP BLP 模型的核心內(nèi)容。模型的核心內(nèi)容。 + 簡單安全特性（簡單安全特性（ss-ss-特性）：特性）： 如果當(dāng)前訪問是如果當(dāng)前訪問是b=b=（主體，客體，可讀），那么一定有：主體，客體，可讀），那么一定有： levellevel( (主體主體) ) levellevel( (客體客體) ) 其中，其中，level level 表示安全級別。表示安全級別。 + 星號安全特性（星號安全特性（* *- -特性）：特性）： 在任意狀態(tài)，如果（主體，客體，方式）是當(dāng)前訪問，那在任意

14、狀態(tài)，如果（主體，客體，方式）是當(dāng)前訪問，那 么一定有：么一定有： (1)(1)若方式是若方式是a a，則：則：levellevel( (客體客體) ) current-levelcurrent-level( (主體主體) ) (2)(2)若方式是若方式是w w，則：則：levellevel( (客體客體) = ) = current-levelcurrent-level( (主體主體) ) (3)(3)若方式是若方式是r r，則：則：current-levelcurrent-level( (主體主體) ) levellevel( (客體客體) ) 其中，其中，current-level cu

15、rrent-level 表示當(dāng)前安全級別。表示當(dāng)前安全級別。 安全操作系統(tǒng)簡介任愛華版12 Bell&LaPadulaBell&LaPadula模型模型-5 -5 + 自主安全特性（自主安全特性（ds-ds-特性）：特性）： 如果（主體如果（主體- -i i，客體客體- -j j，方式方式- -x x）是當(dāng)前訪問，是當(dāng)前訪問， 那么，方式那么，方式- -x x 一定在訪問控制矩陣一定在訪問控制矩陣M M 的元素的元素Mij Mij 中。中。 vds-ds-特性處理自主訪問控制，自主訪問控制的權(quán)限由客體特性處理自主訪問控制，自主訪問控制的權(quán)限由客體 的屬主自主確定的屬主自主確定 vss-ss-特

16、性和特性和* *- -特性處理的是強(qiáng)制訪問控制。強(qiáng)制訪問控制特性處理的是強(qiáng)制訪問控制。強(qiáng)制訪問控制 的權(quán)限由特定的安全管理員確定，由系統(tǒng)強(qiáng)制實(shí)施。的權(quán)限由特定的安全管理員確定，由系統(tǒng)強(qiáng)制實(shí)施。 + 基本安全定理：如果系統(tǒng)狀態(tài)的每一次變化都能滿足基本安全定理：如果系統(tǒng)狀態(tài)的每一次變化都能滿足 ss-ss-特性、特性、* *- -特性和特性和ds-ds-特性的要求，那么，在系統(tǒng)的整特性的要求，那么，在系統(tǒng)的整 個(gè)狀態(tài)變化過程中，系統(tǒng)的安全性是不會被破壞的。個(gè)狀態(tài)變化過程中，系統(tǒng)的安全性是不會被破壞的。 l BLP BLP 模型支持的是信息的保密性。模型支持的是信息的保密性。 安全操作系統(tǒng)簡介任愛華

17、版13 標(biāo)簽標(biāo)簽 l標(biāo)簽有等級分類和非等級類別：標(biāo)簽有等級分類和非等級類別： + 等級分類與整數(shù)相當(dāng)，可以比較大小；等級分類與整數(shù)相當(dāng)，可以比較大小； 可設(shè)置為：非密、秘密、機(jī)密、絕密等，可設(shè)置為：非密、秘密、機(jī)密、絕密等， + 非等級類別與集合相當(dāng)，不能比較大小，但存在包含非等級類別與集合相當(dāng)，不能比較大小，但存在包含 與非包含關(guān)系。與非包含關(guān)系。 可設(shè)置為：國防部、外交部、財(cái)政部等級可設(shè)置為：國防部、外交部、財(cái)政部等級 當(dāng)一個(gè)用戶的標(biāo)簽為當(dāng)一個(gè)用戶的標(biāo)簽為 時(shí)，他可以查看時(shí)，他可以查看 “國防部國防部”的不超過的不超過“秘密秘密”級的信息。任何用戶（級的信息。任何用戶（ 包括特權(quán)用戶），只

18、要標(biāo)簽不符合要求，不管他原來包括特權(quán)用戶），只要標(biāo)簽不符合要求，不管他原來 的權(quán)利有多大（比如系統(tǒng)管理員），都不能對指定信的權(quán)利有多大（比如系統(tǒng)管理員），都不能對指定信 息進(jìn)行訪問。這為信息的保護(hù)提供了強(qiáng)有力的措施，息進(jìn)行訪問。這為信息的保護(hù)提供了強(qiáng)有力的措施， 普通普通LinuxLinux無法做到這一點(diǎn)。無法做到這一點(diǎn)。 安全操作系統(tǒng)簡介任愛華版14 小結(jié)小結(jié)-1-1 l 安全操作系統(tǒng)是安全計(jì)算機(jī)系統(tǒng)的根基安全操作系統(tǒng)是安全計(jì)算機(jī)系統(tǒng)的根基 l 評價(jià)安全操作系統(tǒng)的標(biāo)準(zhǔn)評價(jià)安全操作系統(tǒng)的標(biāo)準(zhǔn)TCSECTCSEC l 安全模型安全模型BLPBLP l 參考文獻(xiàn)：參考文獻(xiàn)： “安全操作系統(tǒng)研究的發(fā)

19、展” 石文昌，中國科學(xué)院軟件研究所 計(jì)算機(jī)科學(xué)Vol.29 No.6和Vol.29 No.7 安全操作系統(tǒng)簡介任愛華版15 標(biāo)準(zhǔn)化機(jī)構(gòu)在信息安全方面的標(biāo)準(zhǔn)化機(jī)構(gòu)在信息安全方面的工作工作-1 -1 l19851985年，年，DoD5200DoD52002828STDSTD，即可信計(jì)算機(jī)系統(tǒng)評測即可信計(jì)算機(jī)系統(tǒng)評測 標(biāo)準(zhǔn)（標(biāo)準(zhǔn)（TCSECTCSEC）（）（美國國防部桔皮書，以下簡稱美國國防部桔皮書，以下簡稱DOD85DOD85 評測標(biāo)準(zhǔn)）評測標(biāo)準(zhǔn)） l19871987年，美國國家計(jì)算機(jī)安全中心（年，美國國家計(jì)算機(jī)安全中心（NCSCNCSC）為為TCSECTCSEC 桔皮書提出可依賴網(wǎng)絡(luò)解釋（桔皮書提出可依賴網(wǎng)絡(luò)解釋（TNITNI），），通常被稱作紅通常被稱作紅 皮書。皮書。 l19911991年，美國國家計(jì)算機(jī)安全中心（年，美國國家計(jì)算機(jī)安全中心（NCSCNCSC）為為TCSECTCSEC 桔皮書提出可依賴數(shù)據(jù)庫管理系統(tǒng)解釋（桔皮書提出可依賴數(shù)據(jù)庫管理系統(tǒng)解釋（TDITDI）。）。 l19961996年在上述標(biāo)準(zhǔn)的基礎(chǔ)上，美國、加拿大和歐洲聯(lián)年在上述標(biāo)準(zhǔn)的基礎(chǔ)上，美國、加拿大和歐