安全操作系统中的功能隔离机制【荐】.pdfVIP

V01．25 第25卷第4期 中国科学院研究生院学报 No．4 oftlle schooloft}Ie ofsciences 2008年7月 Joumal Gmduate Chine∞Academy Julv2008 文章编号：1002．1175(2008)04．0538．1I 安全操作系统中的功能隔离机制* 龚育昌+ 唐 玲 张 晔 贾永泉 (中国科学技术大学计算机科学技术系．合肥230027) (2007年8月21日收稿；2007年11月23日收修改稿) fuI删仰isoh6伽m∞-．aIlisIn Go呜YC，Ta呜L，Zh呜Y，“耐．ne ＆^加，矿￡k硼伽嚣PA以如棚岁矿鼢缸船甜，枷8，25(4)：5弼一s镐 摘 要 在分析现有操作系统安全机制的基础上，针对空间隔离技术的不足之处，提出了功能 隔离的新思想．功能隔离可以提供更细致的隔离粒度，并可使不同类别的功能请求在相互隔离 的执行域中执行，从而提高系统的可靠性与安全性．详细描述了功能隔离的定义，讨论了功能 划分的方法和PFI、AsFI两种功能隔离机制及其关键实现技术．实验数据说明，采用功能隔离 不会明显影响系统的效率． 关键词 安全关键操作系统，空间隔离，功能隔离，功能划分 中图分类号 仍16，TP393 1 引言 操作系统的安全性是信息系统安全性的基石，自然成为研究的热点．安全特性包括两方面含义：即 安全性和可靠性． 操作系统的安全控制主要由权限分配、防止越权使用和防止滥用权力3个方面来保障．基于这些目 称其为安全操作系统． Critical 突出强调可靠性的操作系统称为安全关键操作系统SCOs(SafetyOpemtingsystem)b】，主要应 用于一旦失效将造成灾难性损失的场合．隔离技术是SCOS保障可靠性的重要手段．隔离技术可分为2 类：时间隔离和空间隔离．时间隔离主要从时间维上减少不同系统组件的冲突，典型的技术是分时调度， 主要用以防止单一任务长期占用处理器资源H1；空间隔离则从空间维上防止系统组件的代码和数据相 互干扰，进程地址空间是其典型实现．各种scOS都对隔离提供了支持，例如著名的LvnxOS[53提供了硬 分区和层次调度机制，分别对应于空间隔离和时间隔离技术．cRTos则提供了2级调度结构哺]，以支持 时间隔离机制． 目前采用的空间隔离技术仍然属于基本的形式．在硬件层采用分页／段、特权级机制等1都属于空 间隔离，例如文献[8]在Lin弧中利用未使用的处理器特权级，实现了更细致的分层隔离保护．但通过硬 件机制达到更好的隔离效果，会增加硬件设计的复杂程度．进程／线程模型(PT模型)为每个进程分配独 立的地址空间和运行堆栈，同时将整个进程地址空间划分为用户空间和内核空间，即采用了空间隔离形 ·国家自然科学基金项目(60273叫2)和安徽省自然科学基金项目资助 tE—m_il：yc伊唱@I域c．曲．cn 万方数据 第4期 龚育昌．等：安全操作系统中的功能隔离机制 539 式．在基于frr模型的单内核操作系统(如Linu】【)【9’中，进程的用户地址空间是隔离的；但是内核地址空 间确是共享的，这导致了不安全的隐患．而在微内核操作系统的内核空间中尽量多的内容都挪动到用户 空间中，以用户态服务进程的方式实现这些功能¨剖，从而提高了隔离性和安全性；但由于频繁采用低效 的进程间通讯(IPC)，严重降低了系统效率．近年来，构件化操作系统模型…1成为新的发展趋势，该模型 中各个操作系统的组成部分都以构件的形式来实现．基于服务体／执行流模型(sEFM)¨21的操作系统 Minicorje【l引就是典型的构件化操作系统，它将各系统