基于管道的TCB扩展模型.pdfVIP

第36卷第5期 北京工业大学学报 Vol-36No．5 OF UNIVERSITYOFTECHNOLOGY 2010 2010年5月 JOURNALBEIJING May 基于管道的TCB扩展模型 廖建华1’3，赵 勇2，沈昌祥2 软件研究所信息安全国家重点实验室，北京100049) 摘要：为解决当前系统环境中应用安全与系统安全互相独立而存在的问题，提出了安全管道和TCB扩展的概 念，给出了安全管道的形式化描述，并抽象出一种基于安全管道的TCB扩展模型，说明如何利用TCB扩展构建 安全机制问的信息交互机制。以实现不同安全机制之间的统一．通过对TCB扩展模型的安全性分析。进一步说 明了模型的科学性和现实可行性． 关键词：TCB扩展；安全管道；应用安全机制；系统安全机制 中图分类号：TP309 文献标志码：A 文章编号：0254—0037(2010)05—0592—05 当前，信息系统安全主要由应用安全和操作系统安全[1训组成．从概念上讲，这些安全机制都属于 TCB的一部分，但是如果没有从系统整体安全的出发点考虑，各安全机制之间缺乏协调一致性，则容易导 致如下问题：其一，操作系统安全机制运行于系统层，具有安全性强、不易被旁路的优点，而应用系统安全 机制面向应用，具有应用的语义，能实施细粒度的访问控制．但是如果两者互相独立，则不仅不能充分发 挥各自的优势，还有存在安全威胁的可能．应用安全做的再完善，如果没有操作系统安全的支撑，也存在 被“抄底”的危险；其二，应用安全和操作系统安全都拥有各自独立的安全策略，多种安全机制共存且缺乏 协调机制的结果必然导致其问的相互干扰和冲突，甚至影响信息系统的正常运行．应用系统安全与操作 系统安全相互独立，用户对资源的访问请求在安全机制之间传递过程中存在应用语义缺失的问题． 为了解决上述问题，本文提出一种基于安全管道的TCB扩展模型．采用积极防御全面防护的思 想H1，以应用系统的安全防护为目标，构建与应用安全需求一致的系统TCB，TCB由底层往上逐层扩展． 通过安全管道将各层安全机制连接成一个有机的整体，避免TCB内部安全机制的重叠以及减少其问的相 互冲突，最终形成满足安全需求的系统TCB． 1 相关工作 应用层安全机制与操作系统安全机制一致性问题的相关研究可以从考察当前广泛使用的Windows系 列操作系统人手，安全子系统是Windows系列操作系统安全的基础剖，除了包括操作系统基本的安全机 制之外，也为应用系统提供一些安全服务接口，如Windows 7中，可 Filtering 以通过这套WFPAPI集将Windows防火墙功能嵌入到所开发的应用系统中．但是这并没有很好解决应用 和系统安全的一致性问题，因为没有对应用进程的认证，也没有为应用提供操作系统级的访问控制支撑， 所以应用和系统安全机制还是相对独立，其问的冲突依然存在． SecurityContext(安全上下文)，也就是对象的安全标签，上面记录着这个对象所具有的安全权限，并可以 收稿日期：2009．12．10． 重点实验室开放课题． 作者简介：廖建华(1978一)，男，江西宁都人，博士研究生． 第5期 廖建华，等：基于管道的TCB扩展模型 593 通过制定安全策略来定义这些对象所具有的权限．SELinux运行在操作系统层，通过配置安全策略可以实 现对应用系统的控制和保护，在一定程度上实现对应用安全的支撑．但是由于没有相应的机制将应用相 关的语义传递给SElinux，因此无法实现细粒度的安全支撑． 文章在此提出一种基于管道的TCB扩展模型，以实现安全机制间的协调． 2基于管道的TCB扩展模型 2．1模型设计思路 分析当前大多数霞要应用系统，其安全机制即系 广———————]广———————1广———————