操作系統(tǒng)安全(第三部分 實踐篇)

1、第三部分 實踐篇天津理工大學(xué)信息安全2022-7-32第8章 安全操作系統(tǒng)設(shè)計w 設(shè)計原則w 一般開發(fā)過程w 開發(fā)方法w 安勝操作系統(tǒng)簡介2022-7-338.1 安全操作系統(tǒng)設(shè)計原則w 8條設(shè)計原則n最小特權(quán)原則：最小特權(quán)原則：每個用戶和程序必須安全需求原則，盡可能使用最小的特權(quán)；n機制的經(jīng)濟性機制的經(jīng)濟性：系統(tǒng)的設(shè)計必須小型化、簡單、明確；n開放系統(tǒng)設(shè)計開放系統(tǒng)設(shè)計：保護機制應(yīng)該公開、安全性不依賴于保密；n完整的存取控制機制：完整的存取控制機制：對每個存取訪問系統(tǒng)必須進行檢查；n基于允許的基于允許的“設(shè)計設(shè)計”原則原則：應(yīng)當(dāng)標識什么資源可存取、而不標識什么資源不可存??；即要基于否定背景的；

2、n權(quán)限分離：權(quán)限分離：在理想情況下對實體的存取應(yīng)該受到多個安全條件的約束；n避免信息流的潛在通道：避免信息流的潛在通道：系統(tǒng)應(yīng)采用物理或邏輯分離的方法；n方便方便使用：使用：2022-7-348.1安全操作系統(tǒng)設(shè)計原則w 安全操作系統(tǒng)一般結(jié)構(gòu)n安全內(nèi)核：控制整個操作系統(tǒng)的安全操作n可信應(yīng)用軟件：系統(tǒng)管理員和操作員進行安全管理所需的應(yīng)用程序，以及運行具有特權(quán)操作的、保障系統(tǒng)正常工作所需的應(yīng)用程序n安全內(nèi)核和可信應(yīng)用軟件組成可信計算基的一部分用戶軟件可信應(yīng)用軟件安全內(nèi)核硬件2022-7-35安全操作系統(tǒng)設(shè)計原則w 可信計算基的組成n操作系統(tǒng)的安全內(nèi)核n具有特權(quán)的程序和命令n處理敏感信息的程序，如系

3、統(tǒng)管理命令n與TCB實施安全策略有關(guān)的文件n其他有關(guān)的固件、硬件和設(shè)備n負責(zé)系統(tǒng)管理的人員n保障固件和硬件正確的程序和診斷軟件w 高安全級別的操作系統(tǒng)VS安全級別的操作系統(tǒng)nKSOS、UCLA Secure UNIXnLINVS IV、Secure Xenix、TMach、Secure TUNIS等2022-7-368.2 安全操作系統(tǒng)的一般開發(fā)過程w 操作系統(tǒng)的開發(fā)過程一般包含：w 需求分析w 功能描述w 系統(tǒng)實現(xiàn)2022-7-378.2 一般開發(fā)過程w 階段一n系統(tǒng)需求分析：描述各種不同需求n抽象、歸納出安全策略n建立安全模型及安全模型與系統(tǒng)的對應(yīng)性說明；w 階段二n安全機制設(shè)計與實現(xiàn)n安

4、全功能測試；n重復(fù)該兩部分工作；w 階段三：安全操作系統(tǒng)可信度認證2022-7-388. 2 一般開發(fā)過程w 從兩個方面進行n安全功能n安全保證w 十項安全功能：n標識與鑒別、自主訪問控制、標記、強制訪問控制、客體重用、審計、數(shù)據(jù)完整性、可信路徑、隱通道分析、可信恢復(fù)w 三個方面的安全保證nTCB自身安全保護：TSF保護、資源利用、TCB訪問nTCB設(shè)計和實現(xiàn)：配置管理、分發(fā)和操作、開發(fā)指導(dǎo)性文檔、生命周期支持、測試、脆弱性評定nTCB安全管理2022-7-398.3安全操作系統(tǒng)的常用開發(fā)方法w 虛擬機法l在現(xiàn)有操作系統(tǒng)和硬件之間增加一層新的軟件作為內(nèi)核，操作系統(tǒng)作為虛擬機來運行l(wèi)要求原系統(tǒng)的

5、硬件和結(jié)構(gòu)都能支持虛擬機，因此，局限性很大應(yīng)用程序ISOS安全內(nèi)核硬件應(yīng)用程序安全內(nèi)核硬件應(yīng)用程序ISOS仿真器安全內(nèi)核硬件2022-7-3108.3安全操作系統(tǒng)的常用開發(fā)方法w 改進/增強法n在現(xiàn)有操作系統(tǒng)基礎(chǔ)上對內(nèi)核和應(yīng)用程序進行面向安全策略的分析，再加入安全機制n優(yōu)點：代價小；用戶接口不變；效率變化不大n很難達到B2級以上的安全級別w 仿真法n對現(xiàn)有操作系統(tǒng)的內(nèi)核進行面向安全策略的分析和修改以形成安全內(nèi)核，然后在安全內(nèi)核與原ISOS用戶接口界面中間再編寫一層仿真程序n不足：l要同時設(shè)計仿真程序和安全內(nèi)核，受頂層ISOS接口限制l有些ISOS接口功能不安全，不能仿真l有些ISOS仿真實現(xiàn)特

6、別困難改進/增強法舉例Shell層實用程序?qū)酉到y(tǒng)調(diào)用層核心程序?qū)覵hell程序一般應(yīng)用程序硬件接口程序可信程序修改擴充來的與安全無關(guān)的與安全有關(guān)的（加入小部分安全檢查）新增加的核心程序與安全無關(guān)的與安全有關(guān)的（加入大部分安全檢查）新增加的（與安全檢查機制有關(guān)）新增加的用戶層安全內(nèi)核層硬件層安全性改進/增加設(shè)計方法舉例w 對UNIX實用程序進行面向安全策略的分析后，將它們分成可信程序和一般應(yīng)用程序?？尚懦绦蛑饕ㄗ猿绦?、用戶管理程序、特權(quán)用戶程序等，它們一部分是對原有程序進行安全性擴充來的，另一部分是新編寫開發(fā)的。它們與核心的安全機制有關(guān)。w 面向安全策略逐個分析UNIX系統(tǒng)調(diào)用的安全性。對

7、所有涉及安全事件的系統(tǒng)調(diào)用進一步給出相應(yīng)的安全檢查策略，然后加入相應(yīng)的安全檢查機制。新增加一些系統(tǒng)調(diào)用 ，它們包括對審計機制相應(yīng)的操作、主體安全級的設(shè)置和讀取、客體安全級的設(shè)置和讀取以及特權(quán)操作等。w 將核心程序分解為與安全相關(guān)的和與安全無關(guān)的兩部分。與安全相關(guān)部分指涉及安全事件的系統(tǒng)調(diào)用與執(zhí)行實體。可把在系統(tǒng)調(diào)用層不易實現(xiàn) 少部分安全檢查放在這些核心的程序中完成 。另外新增加一部分核心程序，作為安全檢查的執(zhí)行體和新增加系統(tǒng)調(diào)用的執(zhí)行體。8.4安全操作設(shè)計和實現(xiàn)案例w 安全目標安全目標w 第一階段：安勝OSv3.0（1）為系統(tǒng)中的主體客體標識安全級別，實現(xiàn)MAC；（2）采用ACL技術(shù)，將DAC

8、粒度細化到單個用戶/組；（3）建立高效的審計機制（4）建立一套全面規(guī)范的文檔。最小特權(quán)管理+可信通路w 第二階段：安勝OSv4.0（1）建立一個明確定義的形式化安全策略模型（2）對所有主體客體實施MAC（3）實施強制完整性策略（4）實現(xiàn)標識/鑒別與強身份認證，（5）客體重用控制（6）實現(xiàn)隱蔽存儲通道分析（7）建立完備的審計機制（8）建立完整的可信通路（9）最小特權(quán)管理（10）可靠的密碼服務(wù)（11）建立一套全面規(guī)范的文檔8.4安全操作設(shè)計和實現(xiàn)案例總體結(jié)構(gòu)總體結(jié)構(gòu)8.4安全操作設(shè)計和實現(xiàn)案例w （1）標識與鑒別：檢查用戶登錄名和口令，賦予用戶唯一的標識uid,gid，檢查用戶的安全級和角色，域標

9、識以及計算特權(quán)集，賦予用戶進程安全級和特權(quán)集標識。w （2）自主訪問控制：每個文件、目錄、IPC客體對應(yīng)一個ACL，使安勝OS的的9位保護和ACL保護表示共存于系統(tǒng)中，達到 了單用戶DAC。w （3）強制機密性訪問控制：為每個進程、文件、設(shè)備、IPC都賦予了相應(yīng)的安全級。依據(jù)MAC，比較進程的安全級和文件的安全級，從而確定是否通過進程對文件的訪問。另外通過安全級設(shè)置將系統(tǒng)的信息劃分為三個區(qū)：系統(tǒng)管理區(qū)、用戶空間區(qū)和病毒保護區(qū)8.4安全操作設(shè)計和實現(xiàn)案例該圖可視為一組系統(tǒng)安全標簽與用戶安全標簽, 它們通過模型的控制機制分隔. 其中, “箭頭”表示安全級支配關(guān)系. 對于系統(tǒng)管理區(qū)對于系統(tǒng)管理區(qū),

10、用戶沒有讀寫任何數(shù)據(jù)的權(quán)限, 如TCB數(shù)據(jù)、審計數(shù)據(jù)等. 在用戶空間區(qū)在用戶空間區(qū), 一般用戶具有讀與寫的權(quán)限. 對對于病毒保護區(qū)中的數(shù)據(jù)與文件于病毒保護區(qū)中的數(shù)據(jù)與文件, 用戶進程具有讀權(quán)限, 但沒有寫權(quán)限. 這種訪問隔離機制將進入系統(tǒng)的用戶分為兩類: 不具有特權(quán)的普通用戶與系統(tǒng)管理用戶. 前者在用戶工作區(qū)中登錄, 如USER_LOGIN, USER_PUBLIC等: 后者則在系統(tǒng)管理區(qū)中登錄, 如SYS_AUDIT, SYS_OPERATOR1, SYS_OPERATOR2, SYS_PRIVATE等. 8.4安全操作設(shè)計和實現(xiàn)案例w （4）強制完整性訪問控制：使系統(tǒng)中的域和每一個正在運行

11、的進程相關(guān)聯(lián)，型和每一個對象相關(guān)聯(lián)。如果一個域不能以某種訪問模式訪問某個型 ，則這個域 進程不能以該種訪問模式去訪問該型的對象。當(dāng)一個進程試圖去訪問一個文件時，系統(tǒng)內(nèi)核在做標準的許可檢查之前，先做相關(guān)完整性許可檢查。w （5）最小特權(quán)管理：安勝3.0，將linux超級用戶 特權(quán)劃分為細粒度的特權(quán)（32），分別授給不同的系統(tǒng)操作員/管理員，使其只具有完成其任務(wù)所需要的特權(quán)。定義了四個角色：系統(tǒng)安全管理員，審計員、安全操作員、網(wǎng)絡(luò)管理員；安勝4.0，將linux超級用戶 特權(quán)劃分為更細粒度的特權(quán)（57），分別授予不淸中的管理員角色、域、和程序文件，使各種管理員角以用戶創(chuàng)建或調(diào)用的進程只具有完成其任

12、務(wù)所必需的特權(quán)。8.4安全操作設(shè)計和實現(xiàn)案例w （6）隱蔽通道處理：通過“回溯搜索方法”對系統(tǒng)頂層描述規(guī)范和源代碼進行全面分析，標識出18條隱蔽存儲通道，并構(gòu)造了每條通道的使用場景，工程估算和實測出每條隱蔽通道的最大可達帶寬，采用修改系統(tǒng)調(diào)用返回值、加入隨機化噪聲、加入延遲和審計等措施分析處理每個已標識的隱蔽通道w （7）密碼服務(wù)：實現(xiàn)對文件和目錄的加密，并提供標準 API接口供用戶使用。實現(xiàn) 基于IC卡的強身份驗證，實現(xiàn) 加密文件機制，可以對指定文件系統(tǒng)實施透明的加解密操作。8.4安全操作設(shè)計和實現(xiàn)案例w （8）安全審計：審計事件有86種，主要包括：登錄情況將客體引用、刪除用戶對指定客體的訪

13、問；特權(quán)操作。w （9）可信通路：提供了可信通路機制安全注意鍵（SAK）一旦可信通路機制識別出SAK，便 立即殺死與該終端相關(guān)的進程，并對終端啟動一個真實的登錄序列。w （10）客體重用：實現(xiàn)對存儲單元地址的保護，非法用戶不能訪問那些受到保護的存儲單元。采用邏輯隔離方法，實現(xiàn)用戶空間和系統(tǒng)空間的保護。實現(xiàn)用戶進程和系統(tǒng)進程的隔離，隔離了在同一環(huán)內(nèi)運行的各個進程8.4 安全操作設(shè)計和實現(xiàn)案例（11）網(wǎng)絡(luò)安全：網(wǎng)絡(luò)連接的程序可根據(jù)網(wǎng)絡(luò)會話安全屬性來決定其行為：n當(dāng)客戶端與服務(wù)器連接時，客戶端的安全級要在服務(wù)器允許連接的安全級范圍之內(nèi)。會話連接后，創(chuàng)建的服務(wù)器子進程安全級等于客戶端的安全級或該客戶端

14、默認安全級n當(dāng)客戶端與服務(wù)器連接時，客戶端的安全級要在所用物理設(shè)備允許連接的安全級范圍之內(nèi)。如果客戶端網(wǎng)絡(luò)連接請求的安全級超出了該網(wǎng)絡(luò)接口設(shè)備的安全級，連接將被拒絕。n當(dāng)客戶端與服務(wù)器連接時，要由該服務(wù)器訪問控制矩陣相應(yīng)項的允許n當(dāng)客戶端在IP包中設(shè)置了安全級，而服務(wù)器運行 一個公開的系統(tǒng) ，剛忽略傳來IP包中的安全級。8.4 安全操作設(shè)計和實現(xiàn)案例w 8.4.3安全內(nèi)核的開發(fā)安全內(nèi)核的開發(fā)1.安全內(nèi)核的開發(fā)方法：改進增強發(fā)，即以系統(tǒng)調(diào)用為基元，引入TCB機制，分別在系統(tǒng)調(diào)用中實施MAC和DAC機制，新開發(fā)審計機制、最小特權(quán)管理機制、可信通路機制、并進行隱蔽通道處理等。另外，新增一部分實現(xiàn)安全

15、機制本身的系統(tǒng)調(diào)用。8.4 安全操作設(shè)計和實現(xiàn)案例w 8.4.3安全內(nèi)核的開發(fā)安全內(nèi)核的開發(fā)2.開發(fā)過程：（1）建立安全體系結(jié)構(gòu)和安全模型：提出新型的支持多策略的由策略等價、策略沖突和策略協(xié)作組成的形式化安全體系結(jié)構(gòu)。該架構(gòu)基于元策略，可以實現(xiàn)分量安全模型的有機整合。（2）安全機制的設(shè)計與實現(xiàn)（3）安全操作系統(tǒng)的可信度認證：形式化驗證、非形式化確認、和入侵分析8.4 安全操作設(shè)計和實現(xiàn)案例w 8.4.3安全內(nèi)核的開發(fā)安全內(nèi)核的開發(fā)3.安全體系結(jié)構(gòu)n安全內(nèi)核總體上由策略引擎和策略實施兩部分組成，策略引擎封裝在安全服務(wù)器中，策略實施由對象管理器具體負責(zé)。n對象管理器包括安全文件管理器、安全網(wǎng)絡(luò)管理

16、器、安全進程管理器審計管理器等。各個對象管理器管理功能不同的hook調(diào)用，這些hook調(diào)用 截獲客戶端發(fā)起的對核心客體的訪問控制請求，并將它們轉(zhuǎn)交給安全服務(wù)器。n系統(tǒng)中的hook函數(shù)大體分為兩種，即請求與判定兩種情況 ：l安全信息管理：如確定一個新創(chuàng)建的主體或客體采用什么安全標簽l確定主體是否能對客體進行某項操作。8.4 安全操作設(shè)計和實現(xiàn)案例w 8.4.3安全安全內(nèi)核內(nèi)核的開發(fā)的開發(fā)3.安全體系結(jié)構(gòu)n安全服務(wù)器是安全內(nèi)核子系統(tǒng)，實現(xiàn)地安全策略 封裝并提供調(diào)用接口。實現(xiàn)安勝OS V4需要的多級安全及機密性策略和最小特權(quán)管理策略。每個hook函數(shù)在安全服務(wù)器中具體實現(xiàn)，通過封裝的安全策略規(guī)則進行

17、判斷或計算，然后針判定的結(jié)果返回給對象管理器。n客體管理器中的AVC提供了從安全服務(wù)器得到的存取判斷結(jié)果的緩沖，用來最小化系統(tǒng)安全機制帶來的的效率影響。安全服務(wù)器中的固定標簽映像提供了一個維護安全上下文與固定客體之間的對應(yīng)機制8.4 安全操作設(shè)計和實現(xiàn)案例8.4.4安勝OS V3.0采用MBLP模型w 典型的機密性模型 BLP 對多級安全系統(tǒng)中的每個主體和客體都賦予一個安全級. 主體的安全級規(guī)范了主體允許訪問的數(shù)據(jù)的最高安全級, 而客體的安全級表示在客體中存儲的數(shù)據(jù)的最高安全級. 此外, 在BLP模型中可以定義可信主體, 即相信可信主體可以稱職地對任何數(shù)據(jù)建立適當(dāng)?shù)陌踩壊⑦M行適當(dāng)?shù)奶幚?。其?/p>

18、要缺點在于, n可信主體具有無限的特權(quán);n模型的靈活性不夠, 并且過于依賴平穩(wěn)性原則, 主體與客體的安全級在其生命周期內(nèi)不變8.4 安全操作設(shè)計和實現(xiàn)案例安勝OS V3.0采用多MBLP模型w MBLP為主體分配了3 個安全標簽最大安全級標簽 、最小可寫安全標簽和最大可讀安全標簽。為客體分配了一個最大安全級標簽和一個最小安全級。w 模型中定義了單級客體與多級客體. 多級客體只能由可信主體訪問。 新模型的頂層安全策略是: (1) 只有可信主體才能對客體進行具有多級屬性的訪問， 一般主體只能對客體進行具有單級屬性的訪問。(2) 可信主體對客體進行具有單級屬性的訪問時, 只能在安全標簽范圍內(nèi)是可信的

19、。(3) 每個客體都分離為兩部分: 與內(nèi)容相關(guān)和與內(nèi)容無關(guān)的部分, 這兩部分作為不同的客體具有相同的安全標簽范圍。(4) 對可信客體的創(chuàng)建及刪除是具有多級屬性的訪問, 而對它們的應(yīng)用性訪問是具有單級屬性的訪問。8.4 安全操作設(shè)計和實現(xiàn)案例安勝OS V3.0采用多MBLP模型MBLP實現(xiàn)包括兩個主要方面：w 安全安全標簽賦值的標簽賦值的實現(xiàn)：實現(xiàn)：對任意主體, 每個進程被賦予一個當(dāng)前安全標簽。 用戶安全標簽由系統(tǒng)管理員創(chuàng)建用戶時通過 useradd 命令設(shè)置，標明用戶的安全標簽范圍及缺省安全標簽。 進程安全標簽在創(chuàng)建進程時確定, 在它所代 表的用戶安全標簽范圍之內(nèi)。對于客體，每個客體被賦予安全

20、標簽范圍與當(dāng)前安全標簽。w 文件、設(shè)備驅(qū)動程序、管道的安全標簽為創(chuàng)建該客體進程時的安全標簽, 且客體的安全標簽等于其父目錄的安全標簽. 目錄與普通文件一樣, 在它們的生存周期內(nèi)具有安全標簽. 目錄的安全標簽就是它的創(chuàng)建進程的安全標簽, 且目錄的安全標簽不小于其父目錄的安全標簽. 進程、消息隊列、信號量集合和共享存儲區(qū)是特殊類型的客體, 當(dāng)fork(), msgget(), semget(), shmget()系統(tǒng)調(diào)用創(chuàng)建這類客體時, 客體的安全標簽就是它的創(chuàng)建進程的安全標簽. 8.4 安全操作設(shè)計和實現(xiàn)案例安勝OS V3.0采用多MBLP模型MBLP實現(xiàn)包括兩個主要方面：w 系統(tǒng)安全級設(shè)置系統(tǒng)

21、安全級設(shè)置: 通過安全級將系統(tǒng)劃分為系統(tǒng)管理區(qū)、用戶空間區(qū)和病毒保護區(qū)。對于系統(tǒng)管理區(qū), 用戶沒有讀寫任何數(shù)據(jù)的權(quán)限, 如 TCB 數(shù)據(jù)、審計數(shù)據(jù)等。 在用戶空間區(qū), 一般用戶具有讀與寫的權(quán)限. 對于病毒保護區(qū)中的數(shù)據(jù)與文件, 用戶進程具有讀權(quán)限, 但沒有寫權(quán)限. 因此, 這種訪問隔離機制 將進入系統(tǒng)的用戶分為兩類: 不具有特權(quán)的普通用戶與系統(tǒng)管理用戶. 前者在用戶工作區(qū)中登錄, 如 USER_LOGIN, USER_PUBLIC 等； 后者則在系統(tǒng)管理區(qū)中登錄, 如 SYS_AUDIT, SYS_OPERATOR1, SYS_OPERATOR2, SYS_PRIVATE 等。8.4 安全操作

22、設(shè)計和實現(xiàn)案例安勝OS V3.0采用多MBLP模型MBLP的特點：(1)支持安全級范圍的動態(tài)變更。新模型提出了具有單級與多級屬性的操作, 對可信主體進行了形式化規(guī)范, 使可信主體是真正部分可信的. (2) 可信主體定義為可信操作有限、常規(guī)操作之后主體寫范圍rans 不變的主體, 可信主體 不僅可以執(zhí)行一般主體的單級訪問, 也可以執(zhí)行為它們專門設(shè)計的多級訪問. 特別, 可信主體的寫范圍rans 可以由安全策略進行管理.(3) 新模型首次通過信息流控制的安全策略, 形式化地規(guī)范可信主體的行為如果滿足新模型的不變量與約束 條件, 不會發(fā)生信息由高安全級到低安全級 的非法流動。(4)引入的兼容屬性可以

23、有效地配合最小可寫安全標簽和 最大可讀安全標簽的動態(tài)變化(5)新模型能有效地處理網(wǎng)絡(luò)安全對象(6)新模型實現(xiàn)主動進程與 IPC 對象一體化, 同時解決了多級應(yīng)用與隱蔽通道的問題。8.4 安全操作設(shè)計和實現(xiàn)案例完整性保護模型w 完整性模型Biba可以視為一種基于安全級的完整性模型。缺點主要是: (1) 完整性標簽很難確定 (2) 沒有提供保證數(shù)據(jù)一致性的機制. (3) 難以在實際系統(tǒng)中實現(xiàn). Clark-Wilson 模型模型是一種基于封裝的完整性模型. 該模型具有里程牌的意義, 涉及計算機系統(tǒng)完整性的所有目標: 用戶完整性、數(shù)據(jù)完整性和過程完整性. 并且, 引入了良構(gòu)事務(wù)的重要概念. 局限性在

24、于:(1) 沒有形式化, 作為通用模型也難以形式化. (2) 轉(zhuǎn)換過程之間的順序執(zhí)行關(guān)系不利于從數(shù)據(jù)項中分離對數(shù)據(jù)的控制策略(3) 在實際系統(tǒng)中難以高效與靈活地實現(xiàn)8.4 安全操作設(shè)計和實現(xiàn)案例完整性保護模型w 域與型實施模型 DTE提供一種訪問控制機制, 其中一個稱之為“域”的訪問控制屬性與主體綁定, 另一個稱之為“型(type)”的安全屬性與客體綁定. 當(dāng)系統(tǒng)運行時, 可以動態(tài)地調(diào)節(jié)訪問請求, 并拒絕未經(jīng)授權(quán)的訪問. 此外, DTE 是一種靈活的、可配置的、內(nèi)核級的訪問控制機制, 支持最小特權(quán)原則, 并且適于進行安全策略的配置. 但是 迄今未見在安全系統(tǒng)中實現(xiàn)基于 DTE 的形式化完整性模

25、型. 總之, 與機密性模型相比, 迄今完整性模型在成熟度、形式化與應(yīng)用等方面還相距甚遠. 8.4 安全操作設(shè)計和實現(xiàn)案例完整性保護模型w 安勝的完整性模型基于 DTE, 它應(yīng)用到以下 4 個概念:w 域: 可以視為從邏輯上界定的進程的受限執(zhí)行環(huán)境. 進程進入一個域之后, 其活動就限定在這個域內(nèi). 域包含 3 個組成部分. n入口守護進程, 構(gòu)成進入域的惟一通道; n域的管理空間與權(quán)限n域的關(guān)系域列表及其相關(guān)的關(guān)系. w 型: 可以視為受完整性策略保護的數(shù)據(jù)的一種特殊類型名.w 完整性校驗過程 IVP: 在主體操作受保護數(shù)據(jù)之前, 校驗該主體的身份與訪問權(quán)限的過程. w 良構(gòu)事務(wù) WFT8.4

26、安全操作設(shè)計和實現(xiàn)案例完整性保護模型w 完整性頂層安全策略是: (1) 定義與應(yīng)用 管理用戶域和非管理用戶域. (2) 根據(jù)完整性控制粒度, 定義數(shù)據(jù)類型. (3) 域間必要的信息流動必須通過 WFT 實現(xiàn), 保證域間信息流動的完整性. (4) 將 WFT 標識為特殊的數(shù)據(jù)類型, 防止非法的使用與篡改. 對 WFT 的應(yīng)用進行審計, 防止授權(quán)用戶的不恰當(dāng)修改. (5) 將 IVP 標識為特殊的數(shù)據(jù)模型, 對創(chuàng)建和操作完整性保護數(shù)據(jù)的行為實現(xiàn) IVP. (6) 仔細設(shè)計對域-域關(guān)系表 DDT 和域-型關(guān)系表 DTT 的維護, 保證配置的正確性. 8.4 安全操作設(shè)計和實現(xiàn)案例完整性保護模型w 兩

27、個主要的組成部分: 保障規(guī)則與狀態(tài)遷移模型. n保障規(guī)則的目的是指出如何設(shè)置域與型才能實現(xiàn)安全不變量, 采用什么保證措施才能實現(xiàn)完整性保護目標. n狀態(tài)遷移模型是一種特殊的狀態(tài)機模型, 負責(zé)定義系統(tǒng)狀態(tài)、狀態(tài)遷移規(guī)則和安全不變量。n設(shè)置了10個不變量，13個具有原子性的遷移規(guī)則n提出并證明了一個基本安全定理8.4 安全操作設(shè)計和實現(xiàn)案例完整性保護模型w 系統(tǒng)的每個 inode 節(jié)點包含 3 個指針,：netype 表示一 個目錄或文件的型.nrtype 表示一個目錄下(遞歸地)所有文件或子目錄的型(包括這個目錄本身).n utype 表示一個目錄下(遞歸地)所有文件或子目錄的型, 但不包括這個

28、目錄. w 當(dāng)執(zhí)行域的入口點文件時, 共有 3 種可能的域轉(zhuǎn)化: 自動域轉(zhuǎn)化、自愿域轉(zhuǎn)化和空的域轉(zhuǎn) 化, 亦即域保持不變。8.4 安全操作設(shè)計和實現(xiàn)案例完整性保護模型w 安勝完整性保護模型特點:(1) 結(jié)合 DTE 模型與良構(gòu)事務(wù)的概念, 實現(xiàn)域與域之間的受限信息交換. (2) 僅將良構(gòu)事務(wù)分配給角色, 與相關(guān)的主體無關(guān), 比Clark-Wilson模型的解決方案更為 有效. (3) 通過增加策略執(zhí)行的保障規(guī)則實現(xiàn)多域策略, 確保受保護數(shù)據(jù)的內(nèi)在一致性, 從而 改進了 Biba 模型. 8.4 安全操作設(shè)計和實現(xiàn)案例特權(quán)控制模型w 最小特權(quán)設(shè)計原則要求對系統(tǒng)中的每一個進程只賦予完成任務(wù) 所需的

29、最小特權(quán). 基于角色的訪問控制模型RBAC是實施最小特權(quán)的主流模型, 但是RBAC 的策略具有較高的抽象層次, 它的控制粒度較粗且靈活性不夠, 難以在安全操作系統(tǒng)中實現(xiàn) 基于內(nèi)w 安勝操作系統(tǒng)采用結(jié)合RBAC, DTE和POSIX權(quán)能機制的形式化特權(quán)控制模型, 具有實現(xiàn)最小特權(quán)原理所需的由 3 個層次組成的結(jié)構(gòu)n頂層稱為管理層, 用于控制主體所能擁有的最大特權(quán), 從管理角度限制進程的活動范圍. n中層稱為功能控制層, 用于控制實現(xiàn)某些特定功能所需的功能特權(quán), 從功能實現(xiàn)的角度實現(xiàn)功能隔離. n底層稱為執(zhí)行層, 用于控制進程完成一 項任務(wù)時所需的進程特權(quán), 從完成任務(wù)的角度限制進程的活動能力.

30、8.4 安全操作設(shè)計和實現(xiàn)案例特權(quán)控制模型w 實現(xiàn)了下述目標:n靜態(tài)靜態(tài)角色職責(zé)隔離角色職責(zé)隔離(SRSD): 如果用戶被指派角色 r, 且角色 r與角色 r 為授權(quán)互斥關(guān)系, 則不能將角色r指派給該用戶n動態(tài)動態(tài)角色職責(zé)隔離角色職責(zé)隔離(DRSD): 如果主體進程以用戶允許的角色 r 運行, 角色r與 r 為運行互斥關(guān)系, 則不能存在以同一用戶 且角色為r 運行的主體進程n動態(tài)動態(tài)域職責(zé)隔離域職責(zé)隔離(DDSD): 如果用戶通過一個角色創(chuàng)建的主 體進程運行于域 d 中, 且域d與 d 為運行互斥關(guān)系, 則不能存在具有相同用戶與角色, 但運行 于域d的主體進程. 8.4 安全操作設(shè)計和實現(xiàn)案例

31、特權(quán)控制模型w 考慮到下述兩個因素: (1) DTE 域可以限制進程的執(zhí)行范圍, 因此擴展它可以限制權(quán)能的生效范圍. (2) 單純依靠主體標識符標識主體的權(quán)能集難以實現(xiàn)職責(zé)隔離. 因此, 新模型中引 入了兩個新的權(quán)能集n域權(quán)能集, 記為 Bd, 由域標識符惟一地確定; n角色權(quán)能集, 記為 Br, 由角色標識符惟一地確定, 與主體標識符無關(guān)8.4 安全操作設(shè)計和實現(xiàn)案例特權(quán)控制模型w 在新模型的安勝 OS 實現(xiàn)中, 初始的授權(quán)實體為: 3 個管理用戶、4 個可信角色和 2 個可信域. 超級用戶的權(quán)限分解為 57 個特權(quán). n安全管理用戶 sec_u 負責(zé)安全策略數(shù)據(jù)庫的配置與管 理, 被賦予安

32、全員角色 sec_r. n系統(tǒng)管理用戶 sys_u 負責(zé)系統(tǒng)與網(wǎng)絡(luò)的配置與管理, 被賦予系統(tǒng)員角色sys_r和網(wǎng)絡(luò)員角色net_r. n審計管理用戶adt_u負責(zé)審計事件與審計記錄的配置與管理, 被賦予審計員角色 adt_r. w 代表用戶的不同角色進入不同的 DTE 域就具有不同的特權(quán), 因此, 事實上在初始設(shè)置時定義了 8 個執(zhí)行不同任務(wù)的角色. 8.4 安全操作設(shè)計和實現(xiàn)案例特權(quán)控制模型w 安勝特權(quán)控制模型特點: (1) 首次有效地結(jié)合 RBAC 和 DTE 與 POSIX 權(quán)能機制, 支持用戶、角色、域與權(quán)能之間的層次映 射關(guān)系. 通過角色與域的結(jié)合簡化授權(quán)管理: 通過細化的域定義實現(xiàn)

33、角色職責(zé)中可信功能與非可信功能的隔離: 通過 POSIX 權(quán)能機制與 DTE 支持的域轉(zhuǎn)換, 進程的特權(quán)狀態(tài)可以動態(tài)調(diào)節(jié). (2) 提出實施最小特權(quán)的 3 層實現(xiàn)機制: 管理層、功能控制層與執(zhí)行層. 新機制推廣了子域 控制機制, 實現(xiàn)了子域控制機制的動態(tài)化 (3) 提出了新穎的“功能隔離原理”概念, 并進行形式化規(guī)范. (4) 實現(xiàn)了角色的職責(zé)隔離與域的功能隔離.(5) 提出了新的權(quán)能機制、兩個新的權(quán) 能集: 域權(quán)能集 Bd 與角色權(quán)能集 Br , 以及新的權(quán)能遺傳公式。8.4 安全操作設(shè)計和實現(xiàn)案例8.4.5多級分層文件系統(tǒng)多級分層文件系統(tǒng)一般的樹型結(jié)構(gòu)文件不易實現(xiàn)多級安全強制訪問控制，也不

34、易限制隱蔽存儲通道，安勝OSV3.0和V4.0均采用了一種多級分層文件系統(tǒng)的設(shè)計。在該文件系統(tǒng)中建立一個文件時，其安全級必須與所在目錄相等；越往葉子方向安全級就越高或者不變。TCB按照嚴格的規(guī)則給用戶和文件設(shè)置安全級，用戶安全級不能被用戶或他們的進程修改，系統(tǒng)使用這些安全屬性判定某個用戶是否可以存取一個文件，如果用戶安全屬性不能存取該文件，那么即使文件的擁有者也不能存取該文件。8.4 安全操作設(shè)計和實現(xiàn)案例8.4.5多級分層文件系統(tǒng)多級分層文件系統(tǒng)多級目錄：根據(jù)訪問控制策略R7，多級分層文件系統(tǒng)不允許具有不同安全級的用戶，在同一目錄下創(chuàng)建不同安全級的文件。因此，多級分層文件系統(tǒng)引入了多級目錄的

35、概念8.4 安全操作設(shè)計和實現(xiàn)案例8.4.5多級分層文件系統(tǒng)多級分層文件系統(tǒng)多級分層文件系統(tǒng)的訪問控制策略：多級分層文件系統(tǒng)的訪問控制策略：（1）在文件系統(tǒng)的每個系統(tǒng)調(diào)用中實現(xiàn)，即在open() creat() read() write() mkdir() rmdir() unlink() stat() rename() 等系統(tǒng)調(diào)用中分別加入相應(yīng)的訪問控制策略。（表8-2）（2）系統(tǒng)調(diào)用是用戶程序進入內(nèi)核、存取系統(tǒng)資源的唯一入口，對文件系統(tǒng)的每個系統(tǒng)調(diào)用都進行訪問控制檢查，就等于控制了用戶對文件的存取。該檢查處于核心態(tài)，完全與用戶隔離。（3）用戶發(fā)出的文件訪問請求必將涉及一個或多個系統(tǒng)調(diào)用，在

36、每個系統(tǒng)調(diào)用中，安全內(nèi)核將根據(jù)設(shè)定的訪問控制策略進行安全檢查。例：對于系統(tǒng)調(diào)用open( )，函數(shù)通過路徑名取得文件inode，同時也取出該inode對應(yīng)的安全級信息，以及用戶的uid gid等，然后根據(jù)R12 R9 R7 R1進行訪問控制策略判斷。8.4 安全操作設(shè)計和實現(xiàn)案例8.4.5多級分層文件系統(tǒng)多級分層文件系統(tǒng)多級目錄含有一些特殊的子目錄，稱為有效目錄。有效目錄是當(dāng)某個進程第一次訪問多級目錄時由安全內(nèi)核自動創(chuàng)建的，對用戶來講是透明的。有效目錄名即是與該進程有相關(guān)的安全級標識（level）。與每個進程 關(guān)的是進程的多級目錄狀態(tài)，它決定對多級目錄的訪問方式。該狀態(tài)有兩種不同的形式：w 虛

37、狀態(tài)：在該狀態(tài)的話，內(nèi)核將把對多級目錄的訪問自動改變?yōu)閷Χ嗉壞夸浵孪鄳?yīng)有效目錄的訪問。這個有效目錄 名字 安全級與進程安全級相對應(yīng)。如果當(dāng)前多級目錄下沒有一個有效目錄 安全級等于進程的安全級，那么安全內(nèi)核將自動創(chuàng)建一個進程安全級有效目錄，且名字與對應(yīng)于進展的安全級。默認狀態(tài)w 實狀態(tài)：在該狀態(tài)時，多級目錄的訪問與一般目錄相同。如果應(yīng)用程序在實狀態(tài)下訪問一個多級目錄，它可能不能創(chuàng)建一個文件，并有可能引起應(yīng)用 程序執(zhí)行混亂。故vi、cc只能 在虛狀態(tài)下進行，實狀態(tài)主要用于系統(tǒng)管理員對多級目錄的維護和整整。8.4 安全操作設(shè)計和實現(xiàn)案例8.4.5多級分層文件系統(tǒng)多級分層文件系統(tǒng)多層文件系統(tǒng)中，文件名

38、的安全級與文件內(nèi)容的安全級是相同的。一個目錄中的信息可能具有不同的安全級，因為一個目錄的內(nèi)容就是文件名和子目錄的集合，它們可以具有不同的安全級。安全內(nèi)核對該目錄的所有內(nèi)容都實施 訪問控制，不允許用戶進程通過讀該目錄內(nèi)容而查訪該目錄下的文件名，否則會產(chǎn)生 個隱蔽存儲通道。僅當(dāng)用戶 安全級支配文件的安全級時，系統(tǒng)才允許用戶讀取其文件名，所以對某個用戶為講有些文件名、目錄名是不可見的。，即對不同安全級的用戶列表同事目錄下文件時，顯示的結(jié)果有可能不一樣的。具體通過 修改readdir()系統(tǒng)調(diào)用，加入訪問控制策略R13完成的。8.4 安全操作設(shè)計和實現(xiàn)案例8.4.6隱蔽存儲通道分析w 隱蔽通道對操作系

39、統(tǒng)的安全構(gòu)成嚴重威脅，對于高等級安全操作系統(tǒng)，所有的評測標準都要求進行隱蔽通道的分析與處理。然而， 隱蔽通道分析是眾所周知的難題, 迄今缺乏堅實的 理論基礎(chǔ)與系統(tǒng)的分析方法。 w 解決隱蔽通道的兩個關(guān)鍵問題：(1) 如何保證隱蔽通道標識的完備性， 即徹底搜索隱蔽通道的問題； (2) 如何提高隱蔽通道標識的效率。w 安勝操作系統(tǒng)在基于本書作者的研究成果：(1) 新的隱蔽通道標識完備性的理論基礎(chǔ); (2) 新的通用隱蔽通道標識架構(gòu); (3) 新的隱蔽通道標識方法-回溯搜索法。并在安勝 OS 中的實現(xiàn)。 8.4 安全操作設(shè)計和實現(xiàn)案例8.4.6隱蔽存儲通道分析回溯搜索法是其將隱蔽通道視為兩個主體（發(fā)

40、送進程與接收進程）之間的信息流。信息流形成 隱蔽通道時，一定產(chǎn)生由發(fā)送進程到接收進程的信息流，與經(jīng)過哪些變量無關(guān)，因此，應(yīng)當(dāng)檢查具有某些特征的主體之間的、違反安全策略的信息流。 通過信息流主體的安全級檢測，以及主體與客體的約束條件， 可以校驗信息流的合法性。 新提出的通用隱蔽通道標識架構(gòu)共分 3 個階段: (1)分析 TCB 原語, 標識由每一個原語產(chǎn)生的直接流; (2)根據(jù)特定的規(guī)則, 由直接流構(gòu)造間接流; (3)分析可疑信息流, 標識潛在的隱蔽通道. (4)對安勝OS隱蔽通道進行分析，標識出18條隱蔽存儲通道，并構(gòu)造每條隱蔽通道的使用場景、工程估算和實測出每條隱蔽通道的最大帶寬。8.4 安

41、全操作設(shè)計和實現(xiàn)案例8.4.6隱蔽存儲通道分析SRM 等類似的方法均僅為表示和組合信息流的技術(shù), 僅包含階段(2)； Tsai 等人的方法是搜索直接流和標識直接通道的技術(shù), 僅包含階段(1)和(3)。 因此, 新方法是一種完備的通用架構(gòu)。 在應(yīng)用 SRM 方法時， 信息流通過傳遞閉包任意地組合。僅當(dāng)所有可能的組合都完成之后，才開始進行分析。 相反在新的架構(gòu)下, 在隱蔽通道標識的全過程中都進行信息流分析。更具體地說，初始分析階段尋找直接流；中間分析階段組合信息流；最后分析階段標識潛在的隱蔽通 。8.4 安全操作設(shè)計和實現(xiàn)案例8.4.6隱蔽存儲通道分析w 新提出的隱蔽通道回溯搜索法隱蔽通道回溯搜索

42、法, 對 SRM 方法和語義信息流分析方法都進行了重大的 改進. 在原始的 SRM 方法中, 信息流由起點開始向前遷移, 且在遷移過程中確定共享變量之間的間接引用關(guān)系. 新的基于SRM方法的回溯搜索法可以視為一種“反向”的 SRM方法: 信息 流由終點開始回溯到起點, 并發(fā)現(xiàn)間接的修改關(guān)系。w 如果某個原語opi修改了引用變量vsx的變 量 vsy, 產(chǎn)生信息流: vsxvsy, 且另一個原語 opj修改了變量 vsx, 則我們稱原語 opj可以間接地修改變量 vsy. 反向的傳遞閉包操作從可見變量開始它的第1個遷移輪. 所有生成的信息流都是進程流, 防止了無效的內(nèi)部遷移. 為使 SRM 矩陣

43、能夠記錄全部信息流路徑, 在傳遞閉包的 操作過程中, 當(dāng)信息流遷移到一個新的變量時, 不僅標記相應(yīng)的矩陣項, 而且記錄先前的原語和變量序列. 此外, 我們通過“輪(round)”執(zhí)行傳遞閉包操作. 信息流有序地擴展, 且每一 輪中每個信息流只前進 1 步, 與下一個直接流相連接. 其次, 對每一個矩陣列都增加主體對原語的限制, 由此判斷信息流遷移的有效性. 提出了一系列遷移約束規(guī)則, 信息流的遷移必須滿足特定的遷移條件. 最后, 在每一個遷移輪之后, 分析新擴展的信息流, 并排除偽信息流 與無效信息流8.4 安全操作設(shè)計和實現(xiàn)案例8.4.6隱蔽存儲通道分析安勝OS V4.0的隱蔽存儲通道處理方

44、法（1）加入噪音：通過引入隨機分配算法，使系統(tǒng)調(diào)用返回的共享變量狀態(tài)值不再具有線性規(guī)律，破壞隱蔽存儲通道的通信機制。（2）引入延時：即將延時植入系統(tǒng)調(diào)用的出錯返回路徑上，降低隱蔽存儲通道的帶寬。（3）擴充審計功能：通過提出隱蔽存儲通道的特征，并將這些特征列入審計事件。8.4 安全操作設(shè)計和實現(xiàn)案例8.4.7安全加密文件系統(tǒng)安全加密文件系統(tǒng)1.傳統(tǒng)加密文件系統(tǒng)的不足n數(shù)據(jù)保護不完全n性能低下n控制粒度粗2.安全加密文件系統(tǒng)的設(shè)計目標n提供標識與鑒別功能n提供自主訪問控制機制n硬件加密n完全的數(shù)據(jù)保護n系統(tǒng)交換分區(qū)保護n良好的性能n良好的可用性8.4 安全操作設(shè)計和實現(xiàn)案例8.4.7安全加密文件系

45、統(tǒng)安全加密文件系統(tǒng)3.SEFS的工作原理與總體結(jié)構(gòu)LOOP設(shè)備技術(shù)：將一個連續(xù)的文件塊映射成為一個虛擬磁盤，在該虛擬磁盤上創(chuàng)建文件系統(tǒng)、存取數(shù)據(jù)。SEFS利用loop設(shè)備的工作原理，實現(xiàn) 一個虛擬設(shè)備，將要保護的用戶數(shù)據(jù)放入該虛擬，并在虛擬磁盤的設(shè)備驅(qū)動中增加了加密引擎，以實現(xiàn)對數(shù)據(jù)的加密保護。8.4 安全操作設(shè)計和實現(xiàn)案例8.4.7安全加密文件系統(tǒng)安全加密文件系統(tǒng)3.SEFS的工作原理與總體結(jié)構(gòu)加密卡加密卡：提供硬件加密功能。能夠?qū)νㄟ^它的數(shù)據(jù)自動進行加密解密操作。設(shè)備驅(qū)動設(shè)備驅(qū)動：向上層提供與磁盤相關(guān)的各種系統(tǒng)調(diào)用，并對存入虛擬磁盤的數(shù)據(jù)進行加密操作。為增加系統(tǒng)的靈活性，該設(shè)備驅(qū)動實現(xiàn)為一

46、個可動態(tài)加載模塊，可以在需要的時候，載入到系統(tǒng)內(nèi)核中。加密引擎：加密引擎：被設(shè)備驅(qū)動調(diào)用，實現(xiàn)對數(shù)據(jù)的加密解密。支持軟硬件加密密鑰管理：密鑰管理：涉及文件密鑰、主密鑰、用戶口令。文件密鑰用來對虛擬磁盤進行加密，每個文件密鑰對應(yīng)一個虛擬磁盤，由主密鑰加密后存儲，為了系統(tǒng)的安全性，用戶的主密鑰不在磁盤上存儲，而是根據(jù)用戶口令由一個單向函數(shù)變換生成。用戶接口：用戶接口：該部分用來向用戶提供使用SEFS的訪問接口，提供了對虛擬設(shè)備進行創(chuàng)建、格式化、掛載等操作的一系列命令。8.4 安全操作設(shè)計和實現(xiàn)案例8.4.7安全加密文件系統(tǒng)安全加密文件系統(tǒng)4.SEFS關(guān)鍵技術(shù)的實現(xiàn)（1）虛擬磁盤的加密：）虛擬磁盤的

47、加密：操作系統(tǒng)對磁盤的訪問是一種隨機訪問，一般以磁盤扇區(qū)為單位進行，每個扇區(qū)的大小一般為512B。鑒于這個原因，SEFS對虛擬磁盤的加密采取以扇區(qū)為單位的方式，每個扇區(qū)被加密后作為塊文件數(shù)據(jù)區(qū)內(nèi)的一個數(shù)據(jù)塊存放在特定位置。當(dāng)讀某個文件時，只需要將該文件所占用的苦干磁盤扇區(qū)解密即可，不用解密整個磁盤，提高了系統(tǒng)的性能和安全性。為進一步增強系統(tǒng)的安全性，采用CBC（Cipher Block Chaining）加密模式，以達到隱藏扇區(qū)數(shù)據(jù)結(jié)構(gòu)的目的。（2）加密引擎模塊化：）加密引擎模塊化：提供四種加密算法，設(shè)計成一種動態(tài)可擴展的實現(xiàn)方式。由算法管理模塊和加密算法兩部分組成。算法管理模塊用來對已注冊的

48、加密算法進行調(diào)度、管理；加密算法模塊用來實現(xiàn)對數(shù)據(jù)的加密操作，每個算法被 封裝成一個具體的統(tǒng)一接口的動態(tài)加載模塊，在需要時由算法管理模塊動態(tài)載入到內(nèi)核中。8.4 安全操作設(shè)計和實現(xiàn)案例8.4.7安全加密文件系統(tǒng)安全加密文件系統(tǒng)4.SEFS關(guān)鍵技術(shù)的實現(xiàn)（3）交換分區(qū)的加密：）交換分區(qū)的加密：交換分區(qū)是操作系統(tǒng)用來暫時存放內(nèi)存中數(shù)據(jù)的一塊磁盤空間，將其存放到一個被加密的虛擬磁盤上，使可實現(xiàn)地交換分區(qū)的加密保密保護。首先創(chuàng)建一個指定大小的塊文件；然后將塊文件映射成一個加密的虛擬磁盤，并在虛擬磁盤上創(chuàng)建交換分區(qū)jb后用新創(chuàng)建的交換分區(qū)替換掉原來的交換分區(qū)即可。（4）DAC的實施：的實施：ACL和其他

49、關(guān)鍵信息如密鑰長度、加密密鑰、算法類型等放在塊文件的頭部，對每個虛擬磁盤最多可以設(shè)置20個ACL條目，每個條目對應(yīng)一個用戶地該磁盤的訪問權(quán)限，ACL的第一個條目對應(yīng)的是屬主用戶，只有屬主用戶可以修改其他用戶的訪問權(quán)限。8.4 安全操作設(shè)計和實現(xiàn)案例8.4.8.客體重用客體重用機制機制在安勝V4.0系統(tǒng)中，涉及管體重用的動態(tài)分配與管理的資源包括：n硬盤、軟盤、可擦寫光盤的物理盤塊空間n內(nèi)存頁面n高速緩存數(shù)據(jù)結(jié)構(gòu)8.4 安全操作設(shè)計和實現(xiàn)案例8.4.8.客體重用客體重用機制機制硬盤、軟盤、可擦寫光盤的物理盤塊空間：n刪除文件時，不是簡單地在inode上標識文件已刪除，而是要進一步將原來相應(yīng)磁盤塊上

50、的內(nèi)容清除，比如全寫成0或亂碼。n刪除文件時或目錄時，文件或目錄 在Inode內(nèi)容也不是簡單地ino項清0，而要將目錄面的文件名、Inode結(jié)構(gòu)中的訪問授權(quán)項以及其它重要信息，包括擴充的敏感信息項比如安全級、完整級、權(quán)能等也要清0或?qū)懭雭y碼n用專門的命令wipe來完成n擴充rm的一個功能選項 ：rs-s file將調(diào)用wipe命令完成安全刪除文件n文件Inode結(jié)構(gòu)中訪問授權(quán)項以及其它重要屬性信息的清除則在核心層透明實現(xiàn)n在有圖形界面的系統(tǒng)上，將設(shè)置明顯標志，將安全刪除文件進一步提成為碎紙機的概念8.4 安全操作設(shè)計和實現(xiàn)案例8.4.8.客體重用客體重用機制機制物理內(nèi)存頁面的管體重用實現(xiàn)：n內(nèi)

51、存物理頁面：僅當(dāng)一個物理頁面不再被映射使用，即釋放時才清除其上現(xiàn)有信息n盤上物理頁面：對于交換設(shè)備的每個物理頁面，在內(nèi)存中有一個相應(yīng)的數(shù)據(jù)結(jié)構(gòu)，實際上只是一個計數(shù)，表示該頁面是否已被分配使用，以及有幾個用戶在共享這個頁面。在釋放該交換分區(qū)之前，將區(qū)間的內(nèi)容“重寫一遍0”，清除其殘留信息。n外設(shè)物理頁面：不易進行客體重用安全策略處理8.4 安全操作設(shè)計和實現(xiàn)案例8.4.8.客體重用客體重用機制機制高速緩存數(shù)據(jù)結(jié)構(gòu)客體重用的實現(xiàn)：n安勝需要對以下客體所對應(yīng)的高速緩存數(shù)據(jù)結(jié)構(gòu)中的內(nèi)容，在分配或釋放時清除其現(xiàn)有信息：l文件內(nèi)存Inode結(jié)點lTASK結(jié)構(gòu)、PROC結(jié)構(gòu)lIPClSOCK|ETl主體客體

52、安全屬性緩存8.5 注意的問題w 8.5.1 TCB的設(shè)計與實現(xiàn)的設(shè)計與實現(xiàn)n配置管理配置管理n分發(fā)和操作分發(fā)和操作n開發(fā)開發(fā)n指導(dǎo)性文檔指導(dǎo)性文檔n生命周期支持生命周期支持n測試測試 n脆弱性評定脆弱性評定8.5 注意的問題w 8.5.2 安全機制的友好性安全機制的友好性n安全不應(yīng)影響遵守規(guī)則的用戶安全不應(yīng)影響遵守規(guī)則的用戶n便于用戶的授權(quán)存取便于用戶的授權(quán)存取n便于用戶控制存取便于用戶控制存取對于大多數(shù)用戶及他們所做的工作一說，安全性應(yīng)該是透明的8.5 注意的問題w 8.5.3 效率和兼容性考慮效率和兼容性考慮在保證安全性的前提下，考慮兼容性，最后考慮效率。在不違備該原則的前提下，將在三者

53、之間做出平衡2022-7-364習(xí)題w 安全操作系統(tǒng)的設(shè)計原則是什么？w 開發(fā)安全操作系統(tǒng)的方法有哪些？各自優(yōu)缺點及適用的場合？w Linux安全模塊LSM是什么？w SELlinux體系結(jié)構(gòu)？第9章 安全操作系統(tǒng)應(yīng)用 第一部分 教學(xué)組織w 一、目的要求一、目的要求w 1.了解目前安全操作系統(tǒng)以及WWW安全服務(wù)。w 2.掌握防火墻系統(tǒng)的安全技術(shù)及保護機制。w 二、工具器材二、工具器材w 1.具有WWW服務(wù)的服務(wù)器。w 2.防火墻系統(tǒng)。第二部分 教學(xué)內(nèi)容w 迄今為止，整個國際上安全操作系統(tǒng)的實際應(yīng)用并不成功。在實際應(yīng)用中發(fā)揮作用的操作系統(tǒng)絕大部分不是安全操作系統(tǒng)。有專家認為，安全操作系統(tǒng)在商業(yè)和

54、民用領(lǐng)域的不成功，主要是因為安全操作系統(tǒng)缺少靈活性和兼容性，降低了系統(tǒng)性能和效率，應(yīng)發(fā)展專用安全操作系統(tǒng)。w 當(dāng)前安全操作系統(tǒng)不成功的本質(zhì)原因是安全操作系統(tǒng)存在諸多不完善的地方，如對多安全政策的支持；對動態(tài)多安全政策的支持，包括政策切換、權(quán)限撤銷等方面；對環(huán)境適應(yīng)性的支持等。本章主要介紹安全操作系統(tǒng)的兩個應(yīng)用,即WWW安全和防火墻系統(tǒng)安全。9.1 操作系統(tǒng)安全與www安全9.1.1 WWW概述概述p WWW(World Wide Web)是建立在Internet上的一種網(wǎng)絡(luò)服務(wù)。它遵循HTTP協(xié)議，缺省端口是80。WWW所依存的超文本（Hyper-text）數(shù)據(jù)結(jié)構(gòu)，采用超文本和多媒體技術(shù)，將

55、不同的文件通過關(guān)鍵字進行鏈接。 p HTTP是一個屬于應(yīng)用層面向?qū)ο蟮膮f(xié)議，由于其簡捷、快速的方式，適用于分布式超媒體信息系統(tǒng)。一個完整的HTTP協(xié)議會話過程包括四個步驟：連接；請求；應(yīng)答；關(guān)閉連接。9.1.1 WWW概述概述w 1HTTP協(xié)議的命令n（1）GET命令n請求獲取Request-URI所標識的資源，使用GET命令檢索服務(wù)器上的資源時需要指定URL，協(xié)議版本號等信息。此命令相對簡單。n 例如:GET /form.html HTTP/1.1w （2）POST 命令 w 在Request-URI所標識的資源后附加新的數(shù)據(jù)。POST方法要求被請求服務(wù)器接受附在請求后面的數(shù)據(jù)，常用于提交表

56、單。w eg：POST /reg.jsp HTTP/ w Accept:image/gif,image/x-xbit,. w .w HOST: w Content-Length:22 w Connection:Keep-Alive w Cache-Control:no-cache w (CRLF) /該CRLF表示消息報頭已經(jīng)結(jié)束，在此之前為消息報頭w user=jeffrey&pwd=1234 /此行以下為提交的數(shù)據(jù)w （3）HEAD命令w 如果我們只對關(guān)于網(wǎng)頁或資源的信息感興趣，而不想檢索資源本身的全部內(nèi)容，可以使用HEAD命令。HEAD的使用方法與GET正好相同，只是它不返回We

57、b頁的正文內(nèi)容。當(dāng)一個Web頁的內(nèi)容被更新時，可以使用這個命令通知你。它也可以使瀏覽器作出有關(guān)是否根據(jù)其大小下載網(wǎng)頁的決定。 w HEAD方法與GET方法幾乎是一樣的，對于HEAD請求的回應(yīng)部分來說，它的HTTP頭部中包含的信息與通過GET請求所得到的信息是相同的。利用這個方法，不必傳輸整個資源內(nèi)容，就可以得到Request-URI所標識的資源的信息。該方法常用于測試超鏈接的有效性，是否可以訪問，以及最近是否更新。 w （4）PUT命令w PUT是另一個常用的HTTP命令，HTTP協(xié)議文件上傳的標準方法是使用PUT命令。它允許從客戶端到服務(wù)器的簡單文件傳輸，常用于HTML編譯器，如Netsca

58、pe的Composer和HotDog實用程序。PUT命令和POST命令的區(qū)別在于兩個命令的使用方式不同，PUT命令帶有一個參數(shù)，這個參數(shù)作為目的URI，類似于POST命令的參數(shù)。但是，PUT命令請求服務(wù)器將數(shù)據(jù)放在URI，而POST命令請求服務(wù)器將數(shù)據(jù)發(fā)給URI。w （5）DELETE命令w Delete方法就是通過http請求刪除指定的URL上的資源，Delete請求一般會返回3種狀態(tài)碼：200 (OK) - 刪除成功，同時返回已經(jīng)刪除的資源 ；202 (Accepted) - 刪除請求已經(jīng)接受，但沒有被立即執(zhí)行（資源也許已經(jīng)被轉(zhuǎn)移到了待刪除區(qū)域）；204 (No Content) - 刪除

59、請求已經(jīng)被執(zhí)行，但是沒有返回資源（也許是請求刪除不存在的資源造成的）。Web站點管理應(yīng)用程序常常使用DELETE命令和PUT命令管理服務(wù)器上的文件。w （6）OPTIONS命令w OPTIONS命令請求服務(wù)器描述“命令-URI”指定資源的特點。OPTIONS命令格式類似于其他HTTP命令。eg:OPTIONS / HTTP/1.1 (CRLF)w （7）TRACE命令w TRACE命令類似于PING命令，提供路由器到目的地址的每一跳的信息。它通過控制IP報文的生存期(TTL)字段來實現(xiàn)。TTL等于1的ICMP回應(yīng)請求報文將被首先發(fā)送。路徑上的第一個路由器將會丟棄該報文并且發(fā)送回標識錯誤消息的報

60、文。錯誤消息通常是ICMP超時消息，表明報文順利到達路徑的下一跳，或者端口不可達消息，表明報文已經(jīng)被目的地址接收但是不能向上傳送到IP協(xié)議棧。w 2. 目前流行的WWW服務(wù)器w 目前流行WWW服務(wù)器的三大主流為Apache Group公司的Apache Web Server服務(wù)器（阿帕奇），簡稱為Apache；基于Windows NT系統(tǒng)的微軟公司的Internet Information Server服務(wù)器，簡稱為IIS；Netscape公司的Netscape Enterprise Server服務(wù)器，簡稱Netscape。 w （1）Apache服務(wù)器w Apache服務(wù)器，是一個開放源碼的Web