北理工-戴林-11操作系統(tǒng)的安全

1、1第第1111章章操作系統(tǒng)的安全操作系統(tǒng)的安全主要內(nèi)容主要內(nèi)容n安全性概述n安全機(jī)制n安全操作系統(tǒng)的設(shè)計(jì)n主流操作系統(tǒng)的安全性安全性概述安全性概述 v操作系統(tǒng)是一組面向機(jī)器和用戶的程序，充當(dāng)著用戶程序與計(jì)算機(jī)硬件之間的接口，負(fù)責(zé)提供用戶與計(jì)算機(jī)系統(tǒng)的交互界面和環(huán)境，其目的是最大限度地、高效地、合理地使用計(jì)算機(jī)資源，同時(shí)對(duì)系統(tǒng)的所有資源（軟件和硬件資源）進(jìn)行管理。v計(jì)算機(jī)操作系統(tǒng)的安全主要是利用安全手段防止操作系統(tǒng)本身被破壞，防止非法用戶對(duì)計(jì)算機(jī)資源 (如軟件、硬件、時(shí)間、空間、數(shù)據(jù)、服務(wù)等資源) 的竊取。操作系統(tǒng)不安全主要是由操作系統(tǒng)的系統(tǒng)設(shè)計(jì)帶來(lái)的“破綻”引發(fā)的。操作系統(tǒng)的安全方法操作系統(tǒng)的

2、安全方法v操作系統(tǒng)的安全性可以建立如下的安全策略，這些策略按照其實(shí)現(xiàn)復(fù)雜度遞增和提供安全性遞減的次序排列為：物理分離：在物理設(shè)備或部件一級(jí)進(jìn)行隔離，使不同的進(jìn)程使用不同的物理對(duì)象。時(shí)間分離：對(duì)不同安全要求的進(jìn)程分配不同的運(yùn)行時(shí)間段，允許高級(jí)別的進(jìn)程獨(dú)占計(jì)算機(jī)進(jìn)行運(yùn)算。邏輯分離：多個(gè)用戶進(jìn)程可同時(shí)運(yùn)行，但限定程序存取范圍，使進(jìn)程彼此間不相互干擾。加密分離：進(jìn)程以一種其他進(jìn)程不了解的方式加密其數(shù)據(jù)和計(jì)算，使對(duì)其他進(jìn)程不可見(jiàn)。4操作系統(tǒng)的安全方法操作系統(tǒng)的安全方法v操作系統(tǒng)可以在任何層次上提供保護(hù)，一個(gè)特定的操作系統(tǒng)也可能為不同的實(shí)體、用戶或者環(huán)境提供不同層次的保護(hù)措施。無(wú)保護(hù)：它適合于敏感進(jìn)程運(yùn)行

3、于獨(dú)立的時(shí)間環(huán)境。隔離保護(hù)：并發(fā)運(yùn)行的進(jìn)程彼此不會(huì)感覺(jué)到對(duì)方的存在，也不會(huì)影響干擾對(duì)方，每一進(jìn)程具有自己的地址空間、數(shù)據(jù)、文件及其他實(shí)體。共享或非共享保護(hù)。在這種保護(hù)形式中，實(shí)體分為公有或私有實(shí)體兩類。任何進(jìn)程都可以訪問(wèn)公有實(shí)體，而只有實(shí)體的所有者能訪問(wèn)私有實(shí)體。5存取權(quán)限保護(hù)。操作系統(tǒng)借助于某種數(shù)據(jù)結(jié)構(gòu)，在特定用戶和特定實(shí)體上實(shí)施存取控制，檢查每次存取的有效性，保證只有授權(quán)的存取行為發(fā)生。權(quán)能共享保護(hù)。它是存取權(quán)限共享的擴(kuò)展，操作系統(tǒng)為實(shí)體動(dòng)態(tài)地建立共享權(quán)限，共享的程度依賴于用戶或主體、計(jì)算環(huán)境和實(shí)體本身。實(shí)體使用限制保護(hù)。它不僅限制對(duì)實(shí)體的存取，也限制存取后對(duì)實(shí)體的使用。6安全操作系統(tǒng)的發(fā)

4、展安全操作系統(tǒng)的發(fā)展v奠基時(shí)期v食譜時(shí)期v多政策時(shí)期v動(dòng)態(tài)政策時(shí)期7 操作系統(tǒng)安全機(jī)制操作系統(tǒng)安全機(jī)制v一、內(nèi)存保護(hù)機(jī)制1 界址、重定位與限界 這是最簡(jiǎn)單的內(nèi)存保護(hù)機(jī)制，它是將操作系統(tǒng)所用存儲(chǔ)空間與用戶空間分開(kāi)，并將每個(gè)用戶限制在他自己的地址范圍中。80n+1n+1 p內(nèi)存內(nèi)存內(nèi)存FROSmaxFencea) 固定界址b) 可變界址c) 界限寄存器對(duì)maxmax00BR1BR2OSOSnnnn+1n+1n+1用戶A用戶Bpp+1用戶程序用戶程序操作系統(tǒng)安全機(jī)制操作系統(tǒng)安全機(jī)制2 特征位 內(nèi)存的每個(gè)字中有一個(gè)或者多個(gè)附加位作為該字的存取權(quán)限，附加特征位只能由操作系統(tǒng)的特權(quán)指令設(shè)置，而指令存取時(shí)都

5、對(duì)這些位進(jìn)行測(cè)試。3 分段與分頁(yè)v分段存儲(chǔ)管理方式v分頁(yè)存儲(chǔ)管理方式v段頁(yè)式存儲(chǔ)管理方式9操作系統(tǒng)安全機(jī)制操作系統(tǒng)安全機(jī)制v二、文件保護(hù)機(jī)制一般性有無(wú)保護(hù)成組保護(hù)單獨(dú)許可保護(hù)v三、用戶鑒別機(jī)制用戶識(shí)別用戶識(shí)別是一對(duì)多的搜索和發(fā)現(xiàn)過(guò)程。識(shí)別的安全問(wèn)題一般是基于知識(shí)、財(cái)產(chǎn)、特征等識(shí)別項(xiàng)或者它們的組合來(lái)考慮的。用戶驗(yàn)證用戶驗(yàn)證是“一對(duì)一”的過(guò)程。通過(guò)一對(duì)一的聲明、提問(wèn)、應(yīng)答，能夠證實(shí)我們不曾相識(shí)的、自稱為某人的人是真實(shí)的。10操作系統(tǒng)安全機(jī)制操作系統(tǒng)安全機(jī)制身份鑒別機(jī)制必須基于計(jì)算機(jī)系統(tǒng)和人雙方都能夠認(rèn)可的鑒別媒體和知識(shí)。v口令v多重鑒別機(jī)制v登錄應(yīng)答機(jī)制v輔助身份鑒別11操作系統(tǒng)安全機(jī)制操作系統(tǒng)安

6、全機(jī)制v四、存取控制機(jī)制存取控制機(jī)制對(duì)保護(hù)實(shí)體實(shí)現(xiàn)如下目標(biāo)：v設(shè)置存取權(quán)限設(shè)置存取權(quán)限：為每一主體設(shè)定對(duì)某一實(shí)體的存取權(quán)限，具有授權(quán)和撤權(quán)功能。v檢查每次存取檢查每次存?。撼酱嫒?quán)限的行為被認(rèn)為是非法存取，予以拒絕、阻塞或告警，并防止撤權(quán)后對(duì)實(shí)體的再次存取。v允許最小權(quán)限允許最小權(quán)限：最小權(quán)限原則限定了主體為完成某些任務(wù)必須具有的最小數(shù)目的實(shí)體存取權(quán)限，除此之外，不能進(jìn)行額外的信息存取。v存取驗(yàn)證存取驗(yàn)證：除了檢查是否存取外，應(yīng)檢查在實(shí)體上所進(jìn)行的活動(dòng)是否是適當(dāng)?shù)模钦５拇嫒∵€是非正常的存取。12操作系統(tǒng)安全機(jī)制操作系統(tǒng)安全機(jī)制v一般實(shí)體的存取控制機(jī)制：目錄控制表存取控制表與控制矩陣權(quán)能面

7、向過(guò)程的存取控制13操作系統(tǒng)安全機(jī)制操作系統(tǒng)安全機(jī)制v五、惡意程序防御機(jī)制惡意程序是所有含有特殊目的、非法進(jìn)入計(jì)算機(jī)系統(tǒng)并待機(jī)運(yùn)行、能給系統(tǒng)或者網(wǎng)絡(luò)帶來(lái)嚴(yán)重干擾和破壞的程序。v獨(dú)立運(yùn)行類（細(xì)菌和蠕蟲(chóng)）v需要宿主類（病毒和特洛依木馬）惡意程序防御機(jī)制包含：v病毒防御機(jī)制v病毒檢測(cè)與消除檢測(cè)的正確是清除的基礎(chǔ)14安全操作系統(tǒng)設(shè)計(jì)安全操作系統(tǒng)設(shè)計(jì)v要開(kāi)發(fā)安全系統(tǒng)，必須建立系統(tǒng)的安全模型。v安全模型 (Security Model) 用來(lái)描述計(jì)算系統(tǒng)和用戶的安全特性，是對(duì)現(xiàn)實(shí)社會(huì)中一種系統(tǒng)安全需求的抽象描述。其過(guò)程是：用自然語(yǔ)言描述應(yīng)用環(huán)境的安全需求特性，再用數(shù)學(xué)工具進(jìn)行形式化描述。由于存取是計(jì)算系統(tǒng)

8、安全需求的核心，存取控制則是這些模型的基礎(chǔ)。通過(guò)對(duì)抽象模型的研究，了解保護(hù)系統(tǒng)的特性，如可判定性或不可判定性15安全操作系統(tǒng)模型分類安全操作系統(tǒng)模型分類v單層模型：?jiǎn)螌幽Ｐ褪亲詈?jiǎn)單的二元敏感安全模型，是體現(xiàn)有限型訪問(wèn)控制的模型。在單層模型中，用戶對(duì)實(shí)體的存取策略簡(jiǎn)單地設(shè)置為“允許”或者“禁止”（“是”與“非”）。實(shí)現(xiàn)這種存取控制的最簡(jiǎn)單模型是監(jiān)督程序，它是用戶和實(shí)體間的通道，監(jiān)督程序?qū)γ總€(gè)被監(jiān)督的存取進(jìn)行檢查，決定是否準(zhǔn)許存取。為彌補(bǔ)監(jiān)督程序方式的不足，提出了信息流模型，即信息的流向控制。16安全操作系統(tǒng)模型分類安全操作系統(tǒng)模型分類v多層“格”模型多層“格”模型把用戶（主體）和信息（客體）按密

9、級(jí)和類別劃分，以數(shù)學(xué)結(jié)構(gòu)“格”組織用戶和信息。、信息密級(jí)從低到高分為：公開(kāi)級(jí)、秘密級(jí)、機(jī)密級(jí)和絕密級(jí)。類別是根據(jù)工作范圍或工作項(xiàng)目劃分的范圍，描述了信息的主體對(duì)象，類別之間可互不相關(guān)，也可交錯(cuò)、重疊或包含。對(duì)敏感信息的存取通常采用許可證機(jī)制。它表示某個(gè)用戶可以存取特定敏感級(jí)別（密級(jí)）以上的信息，以及該信息所屬的特定類別。在操作系統(tǒng)中將許可證按照 的組合方式設(shè)定。17安全操作系統(tǒng)模型分類安全操作系統(tǒng)模型分類vBell-La Padula模型是最早和最常用的適用于軍事安全策略的操作系統(tǒng)多級(jí)安全模型，其目標(biāo)是詳細(xì)說(shuō)明計(jì)算機(jī)的多級(jí)安全操作規(guī)則。BLP模型中，將主體定義為能發(fā)起行為的實(shí)體，如進(jìn)程；將客體

10、定義為被動(dòng)的主體行為的承擔(dān)者，如文件、目錄、數(shù)據(jù)；將主體對(duì)客體的訪問(wèn)分為：只讀、讀寫(xiě)、只寫(xiě)、執(zhí)行、控制等訪問(wèn)模式，控制是指主體用來(lái)授予或撤銷另一主體對(duì)某客體的訪問(wèn)權(quán)限的能力。 18BLPBLP模型的安全策略模型的安全策略v包括：自主安全策略和強(qiáng)制安全策略，前者使用一個(gè)訪問(wèn)矩陣表示，其中，第i行第j列的元素Mij 表示主體Si對(duì)客體Oj的所有允許的訪問(wèn)模式，主體只能按在訪問(wèn)矩陣中被授予對(duì)客體的訪問(wèn)權(quán)限對(duì)客體進(jìn)行訪問(wèn)；v后者包括簡(jiǎn)單安全特性和安全性星特性，系統(tǒng)對(duì)所有主體和客體都分配一個(gè)訪問(wèn)類屬性，包括主體和客體的密級(jí)和范疇，系統(tǒng)通過(guò)比較主體和客體的訪問(wèn)類屬性控制主體對(duì)客體的訪問(wèn)。 BLPBLP模型

11、兩條基本規(guī)則模型兩條基本規(guī)則v1)簡(jiǎn)單安全特性規(guī)則 一個(gè)主體對(duì)客體進(jìn)行讀訪問(wèn)的必要條件是主體的安全級(jí)支配客體的安全級(jí)、即主體的安全級(jí)別不小于客體的保密級(jí)別，主體的范疇集包含客體的全部范疇，或者說(shuō)主體只能向下讀，不能向上讀。v2)安全性星特性規(guī)則 一個(gè)主體對(duì)客體進(jìn)行寫(xiě)訪問(wèn)的必要條件是客體的安全級(jí)支配主體的安全級(jí)、即客體的保密級(jí)別不小于主體的保密級(jí)別，客體的范疇集包含主體的全部范疇，或者說(shuō)主體只能向上寫(xiě)，不能向下寫(xiě)。多級(jí)安全規(guī)則多級(jí)安全規(guī)則v R違反規(guī)則1公開(kāi)進(jìn)程機(jī)密進(jìn)程機(jī)密文件公開(kāi)文件WWRRRWW違反規(guī)則2控制原理控制原理v信息流模型是存取控制模型的一種變形，它不檢查主體對(duì)客體的存取，而是試圖

12、控制從一個(gè)客體到另一個(gè)客體的信息傳輸過(guò)程，根據(jù)兩個(gè)客體的安全屬性來(lái)決定是否允許當(dāng)前操作的執(zhí)行。隱蔽信道的核心是低安全級(jí)主體對(duì)高安全級(jí)主體所產(chǎn)生的信息的間接存取，信息流分析能保證操作系統(tǒng)在對(duì)敏感信息存取時(shí)，不會(huì)把數(shù)據(jù)泄露給調(diào)用者。保護(hù)機(jī)制結(jié)構(gòu)和設(shè)計(jì)原則保護(hù)機(jī)制結(jié)構(gòu)和設(shè)計(jì)原則v(1) 機(jī)制經(jīng)濟(jì)性（economy）原則v(2) 失敗-保險(xiǎn)（fail-safe）默認(rèn)原則v(3) 完全仲裁原則：v(4) 開(kāi)放式設(shè)計(jì)原則v(5) 特權(quán)分離原則v(6) 最小特權(quán)原則v(7) 最少公共機(jī)制原則v(8) 心理可接受性原則安全操作系統(tǒng)的設(shè)計(jì)方法安全操作系統(tǒng)的設(shè)計(jì)方法v隔離設(shè)計(jì)：基于最少通用機(jī)制的方法；v內(nèi)核化設(shè)計(jì)

13、：基于最少權(quán)限及經(jīng)濟(jì)性原則的方法；v分層結(jié)構(gòu)設(shè)計(jì)：基于開(kāi)放式設(shè)計(jì)及完全檢查原則的方法。240123最可信進(jìn)程運(yùn)行區(qū)域最不可信進(jìn)程運(yùn)行區(qū)域硬件 安全操作系統(tǒng)的可信度驗(yàn)證安全操作系統(tǒng)的可信度驗(yàn)證v可信度驗(yàn)證方法1.1.形式化驗(yàn)證形式化驗(yàn)證2.2.非形式化確認(rèn)非形式化確認(rèn)3.3.系統(tǒng)入侵分析系統(tǒng)入侵分析驗(yàn)證提供了操作系統(tǒng)正確性方面最有說(shuō)服力的依據(jù)，不同的測(cè)試方法可以證明一個(gè)系統(tǒng)在一定程度上是可信的一個(gè)系統(tǒng)在一定程度上是可信的，但可信程度并非，但可信程度并非 100% 100%。25安全操作系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)安全操作系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)v美國(guó)可信計(jì)算機(jī)安全評(píng)估標(biāo)準(zhǔn)(TCSEC)TCSEC (Trusted Comp

14、uter System Evaluation Criteria)是第一個(gè)有關(guān)信息安全評(píng)估的標(biāo)準(zhǔn)，由美國(guó)國(guó)防部于1983年公布，該準(zhǔn)則最初只是軍用標(biāo)準(zhǔn)，后來(lái)擴(kuò)展至民用領(lǐng)域。TCSEC 提供D、C1、C2、B1、B2、B3 和A1 等七個(gè)等級(jí)的可信系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)，每個(gè)等級(jí)對(duì)應(yīng)有確定的安全特性需求和保障需求，高等級(jí)的需求建立在低等級(jí)的需求的基礎(chǔ)之上26TCSEC TCSEC 的構(gòu)成與等級(jí)結(jié)構(gòu)的構(gòu)成與等級(jí)結(jié)構(gòu)27安全操作系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)安全操作系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)v國(guó)內(nèi)的安全操作系統(tǒng)評(píng)估標(biāo)準(zhǔn)為了適應(yīng)信息安全發(fā)展的需要，我國(guó)也制定了計(jì)算機(jī)信息系統(tǒng)等級(jí)劃分準(zhǔn)則：信息技術(shù)安全性評(píng)估準(zhǔn)則GB/T 18336 2001。該準(zhǔn)

15、則將操作系統(tǒng)安全分為五個(gè)級(jí)別，分別是用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問(wèn)驗(yàn)證保護(hù)級(jí)。五個(gè)級(jí)別對(duì)操作系統(tǒng)具備的安全功能有不同的要求。28操作系統(tǒng)的五個(gè)級(jí)別操作系統(tǒng)的五個(gè)級(jí)別安全策略用戶自主保護(hù)級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)安全標(biāo)計(jì)保護(hù)級(jí)結(jié)構(gòu)化保護(hù)級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí)自主訪問(wèn)控制身份鑒別數(shù)據(jù)完整性*客體重用審計(jì)強(qiáng)制訪問(wèn)控制標(biāo)記隱蔽信道分析可信路徑可信恢復(fù)29安全安全Xenix Xenix 系統(tǒng)的開(kāi)發(fā)系統(tǒng)的開(kāi)發(fā)v1986 和1987 年，IBM 公司的V.D. Gligor 等發(fā)表了安全Xenix 系統(tǒng)的設(shè)計(jì)與開(kāi)發(fā)成果。安全Xenix 是以Xenix 為原型的實(shí)驗(yàn)型安全操作系統(tǒng)，屬于Un

16、ix類的安全操作系統(tǒng)，它要實(shí)現(xiàn)的是TCSEC 標(biāo)準(zhǔn)B2-A1級(jí)的安全要求。v系統(tǒng)開(kāi)發(fā)方法和保障目標(biāo)：開(kāi)發(fā)方法劃分為仿真法和改造/增強(qiáng)法兩種方式保障目標(biāo)：v(1) 系統(tǒng)設(shè)計(jì)與BLP 模型之間的一致性；v(2) 實(shí)現(xiàn)的安全功能的測(cè)試；v(3) 軟件配置管理工具的開(kāi)發(fā)。30安全安全Xenix Xenix 系統(tǒng)的開(kāi)發(fā)系統(tǒng)的開(kāi)發(fā)v訪問(wèn)控制方式按照BLP 模型實(shí)現(xiàn)訪問(wèn)控制，主體是進(jìn)程，客體是進(jìn)程、文件、特別文件（設(shè)備）、目錄、管道、信號(hào)量、共享內(nèi)存段和消息。訪問(wèn)權(quán)限有read、write、execute 和null。v安全等級(jí)的確定安全Xenix 的強(qiáng)制訪問(wèn)控制的安全判斷以進(jìn)程的當(dāng)前安全等級(jí)、客體的安全等

17、級(jí)和訪問(wèn)權(quán)限為依據(jù)。進(jìn)程的當(dāng)前安全等級(jí)（CPL）在創(chuàng)建進(jìn)程時(shí)確定，在進(jìn)程的整個(gè)生存期內(nèi)保持不變。31安全安全Xenix Xenix 系統(tǒng)的開(kāi)發(fā)系統(tǒng)的開(kāi)發(fā)v安全注意鍵與可信路徑安全Xenix 的可信通路（trusted path）是以安全注意鍵（SAK：Secure Attention Key）為基礎(chǔ)實(shí)現(xiàn)的。SAK 是由終端驅(qū)動(dòng)程序檢測(cè)到的鍵的一個(gè)特殊組合。每當(dāng)系統(tǒng)識(shí)別到用戶在一個(gè)終端上鍵入的SAK，便終止對(duì)應(yīng)到該終端的所有用戶進(jìn)程，啟動(dòng)可信的會(huì)話過(guò)程。v特權(quán)用戶對(duì)系統(tǒng)的管理功能進(jìn)行分割，設(shè)立可信系統(tǒng)程序員、系統(tǒng)安全管理員、系統(tǒng)帳戶管理員和系統(tǒng)安全審計(jì)員等特權(quán)用戶，通過(guò)不同的操作環(huán)境和操作界面限

18、定各特權(quán)用戶的特權(quán)。32System V/MLS System V/MLS 系統(tǒng)的開(kāi)發(fā)系統(tǒng)的開(kāi)發(fā)v1988 年，AT&T Bell 實(shí)驗(yàn)室的C.W. Flink II 和J.D. Weiss 發(fā)表了System V/MLS 系統(tǒng)的設(shè)計(jì)與開(kāi)發(fā)成果。System V/MLS 是以AT&T 的Unix SystemV 為原型的多級(jí)安全操作系統(tǒng)，以TCSEC 標(biāo)準(zhǔn)的安全等級(jí)B 為設(shè)計(jì)目標(biāo)。v系統(tǒng)按照BLP 模型提供多級(jí)安全性支持，主體是進(jìn)程，客體包括文件、目錄、i-節(jié)點(diǎn)、進(jìn)程間通信（IPC）結(jié)構(gòu)和進(jìn)程。33System V/MLS System V/MLS 系統(tǒng)的開(kāi)發(fā)系統(tǒng)的開(kāi)發(fā)v安全標(biāo)

19、記機(jī)制設(shè)計(jì)Unix System V 提供owner/group/others 方式的保護(hù)機(jī)制，支持用戶組的概念，用戶組由組標(biāo)識(shí)（GID）表示。v多級(jí)安全性實(shí)現(xiàn)方法通過(guò)在內(nèi)核中加入多級(jí)安全性（MLS）模塊實(shí)現(xiàn)對(duì)多級(jí)安全性的支持。MLS模塊是內(nèi)核中可刪除、可替換的獨(dú)立模塊，負(fù)責(zé)解釋安全等級(jí)標(biāo)記的含義和多級(jí)安全性控制規(guī)則，實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制判定。在原系統(tǒng)的與訪問(wèn)判定有關(guān)的內(nèi)核函數(shù)中插入調(diào)用MLS 模塊的命令，實(shí)現(xiàn)原有內(nèi)核機(jī)制與MLS 機(jī)制的連接。34安全操作系統(tǒng)設(shè)計(jì)技術(shù)安全操作系統(tǒng)設(shè)計(jì)技術(shù)v1隔離技術(shù)v將系統(tǒng)中的一個(gè)用戶(進(jìn)程)與其他用戶(進(jìn)程)隔離開(kāi)來(lái)是安全性的基本要求，有四種辦法實(shí)現(xiàn)：v物理分離

20、，v時(shí)間分離，v密碼分離,v邏輯分離。 隔離機(jī)制的設(shè)計(jì)方法隔離機(jī)制的設(shè)計(jì)方法v(1) 多虛擬存儲(chǔ)空間v(2) 多虛擬機(jī)系統(tǒng)虛機(jī)器操作系統(tǒng)虛機(jī)器操作系統(tǒng)v 物理計(jì)算機(jī)系統(tǒng) CP控制程序I/O設(shè)備 文件 存儲(chǔ)器 處理器虛機(jī)器操作系統(tǒng)虛擬計(jì)算機(jī)系統(tǒng)虛機(jī)器操作系統(tǒng)虛擬計(jì)算機(jī)系統(tǒng)虛機(jī)器操作系統(tǒng)虛擬計(jì)算機(jī)系統(tǒng)2 2安全內(nèi)核安全內(nèi)核v 核(kernel)、又稱內(nèi)核(nucleus)或核心(Core)，在傳統(tǒng)或標(biāo)準(zhǔn)的操作系統(tǒng)中，它實(shí)現(xiàn)內(nèi)層的低級(jí)功能，如進(jìn)程通信、同步機(jī)制、中斷處理及基本的內(nèi)存管理。v 安全內(nèi)核(Security kernel)是通過(guò)控制對(duì)系統(tǒng)資源的訪問(wèn)來(lái)實(shí)現(xiàn)基本安全規(guī)程的操作系統(tǒng)內(nèi)核中相對(duì)獨(dú)立

21、的一部分程序，它在硬件和操作系統(tǒng)功能模塊之間提供安全接口，凡是與安全有關(guān)的功能和機(jī)制都必須被隔離在安全內(nèi)核之中。安全內(nèi)核設(shè)計(jì)和實(shí)現(xiàn)基本原則安全內(nèi)核設(shè)計(jì)和實(shí)現(xiàn)基本原則v(1)完整性。v(2)隔離性。 v(3)可驗(yàn)證性。 3 3 分層設(shè)計(jì)分層設(shè)計(jì)v 最不可信代碼最可信代碼用戶認(rèn)證模塊用戶接口子模塊用戶ID查找子模塊認(rèn)證數(shù)據(jù)修改子模塊認(rèn)證數(shù)據(jù)比較子模塊圖 7-18 不同層中實(shí)現(xiàn)的認(rèn)證模塊4 4環(huán)結(jié)構(gòu)環(huán)結(jié)構(gòu)vMULTICS操作系統(tǒng)用環(huán)結(jié)構(gòu)（ring structure）實(shí)現(xiàn)安全保護(hù)，這是分層設(shè)計(jì)的進(jìn)一步發(fā)展，指定各個(gè)進(jìn)程所具有的訪問(wèn)權(quán)，共設(shè)計(jì)了8個(gè)環(huán)，4個(gè)用于操作系統(tǒng)，4個(gè)用于應(yīng)用程序。 環(huán)界標(biāo)環(huán)界標(biāo)

22、v n210只讀正常調(diào)用(可信訪問(wèn))指定入口點(diǎn)訪問(wèn)(可信訪問(wèn))b1b2b3訪問(wèn)環(huán)界表訪問(wèn)環(huán)界表/門擴(kuò)展對(duì)程序調(diào)用的環(huán)界標(biāo)解釋對(duì)程序調(diào)用的環(huán)界標(biāo)解釋v n210可被運(yùn)行于p級(jí)(b1pb2)的任何過(guò)程調(diào)用在指定點(diǎn)，僅當(dāng)主調(diào)用程序級(jí)別p(b2pb3)時(shí)可調(diào)用b1b2b3訪 問(wèn) 環(huán)界表訪問(wèn)環(huán)界表/門擴(kuò)展pb3的過(guò)程無(wú)法訪問(wèn) 對(duì)數(shù)據(jù)訪問(wèn)的環(huán)界標(biāo)的解釋對(duì)數(shù)據(jù)訪問(wèn)的環(huán)界標(biāo)的解釋v n210P級(jí)進(jìn)程只讀訪問(wèn)(0pb1)P 級(jí) 進(jìn) 程 訪 問(wèn)(b1pb2)僅對(duì)P級(jí)進(jìn)程的一個(gè)拷貝訪問(wèn)(b2pb3)b1b2b3訪問(wèn)環(huán)界表訪問(wèn)環(huán)界表/門擴(kuò)展安全操作系統(tǒng)安全機(jī)制的實(shí)現(xiàn)安全操作系統(tǒng)安全機(jī)制的實(shí)現(xiàn) v P1ownreadw

23、riteP2readP3readnullfile1客體file1的ACL主體主體P1P1的的CLCLv file1ownreadwritefile2readfile3writenullP12 2 強(qiáng)制訪問(wèn)控制的實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制的實(shí)現(xiàn)v(1)安全標(biāo)簽的實(shí)現(xiàn)v 基于多級(jí)安全策略，系統(tǒng)的訪問(wèn)控制機(jī)制的實(shí)現(xiàn)要基于以下內(nèi)容：v 1）對(duì)每個(gè)客體賦予一敏感性標(biāo)簽，此標(biāo)簽標(biāo)明系統(tǒng)用來(lái)保護(hù)此信息的安全程度（級(jí)別）。v 2）對(duì)每個(gè)用戶進(jìn)程（主體）賦予一許可標(biāo)簽，此標(biāo)簽用來(lái)指定此進(jìn)程的可信程度（基于用戶），系統(tǒng)通過(guò)基于進(jìn)程（主體）的許可標(biāo)簽和信息（客體）的敏感性標(biāo)簽來(lái)判定一進(jìn)程是否擁有對(duì)該信息相應(yīng)的訪問(wèn)權(quán)限。v 3）保證所有的輸入、輸出的信息系統(tǒng)都能夠正確地標(biāo)記反映其安全級(jí)別的敏感性標(biāo)簽?；诙嗉?jí)安全策略的安全標(biāo)簽基于多級(jí)安全策略的安全標(biāo)簽實(shí)現(xiàn)要點(diǎn)實(shí)現(xiàn)要點(diǎn)v類別部分：由于類別部分反映出來(lái)的是一種等級(jí)關(guān)系，故又稱之為安全等級(jí)（hierarchies）或密級(jí)，在安全類別中密級(jí)按線性順序排列，例如，公開(kāi)秘密機(jī)密絕密，在實(shí)現(xiàn)時(shí)以數(shù)字從小到大依次遞增表示其安全等級(jí)。v范疇部分：范疇部分是無(wú)等級(jí)概念的元素組成的，表示一清晰的信息領(lǐng)域。其無(wú)等級(jí)是指不存 在 一 范 疇 “ 大 于 ” 另 一 范 疇 ， 不 能 說(shuō)“engineerin