高等级安全操作系统设计_卿斯汉.pdf

中国科学 E 辑:信息科学 2007 年 第37 卷 第2 期: 238~253 SCIENCE IN CHINA PRESS 高等级安全操作系统的设计 卿斯汉* (中国科学院软件研究所, 北京 100080; 北京大学软件与微电子学院, 北京 102600) 沈昌祥 (海军计算技术研究所, 北京 100841) 摘要 众多因特网安全事件的发生表明, 为了对抗现代计算环境中的安全威胁, 来自安全操作系统的支持是必不可少的. 基于国内外相关标准的要求, 结合安胜 高等级安全操作系统 v4.0 ( 以下简称为安胜 OS) 的设计与开发实践, 讨论高等级 安全操作系统设计中的 3 个关键问题: 安全体系结构、安全模型与隐蔽通道分析. 对安全体系结构与 3 种基本的安全策略模型: 机密性模型、完整性模型和特权控 制模型的设计原则分别进行了阐述, 提出了新的安全体系结构与 3 个新的安全模 型, 分别介绍它们的主要特色, 以及它们在安胜OS 中的实现. 隐蔽通道分析是高等级安全操作系统设计中众所周知的难题, 迄今缺乏坚实 的理论基础与系统的分析方法. 为了解决隐蔽通道分析中存在的基本问题, 文中 提出了隐蔽通道标识完备性的理论基础、一种通用的隐蔽通道标识框架, 以及高 效的回溯搜索方法. 这些新方法在安胜高等级安全操作系统中的成功实现表明, 它们可以简化并加快整个隐蔽通道的分析过程. 关键词 高等级安全操作系统 体系结构 安全模型 隐蔽通道分析 一般认为, 符合国标 GB17859 第 3 级(相当于橘皮书 TCSEC B1 级和 CC 标准 EAL4 级) 以上的操作系统是安全操作系统. 再高一级, 亦即符合国标GB17859 第4 级(相当于TCSEC B2 级和 CC EAL5 级) 以上的操作系统是高等级安全操作系统. 安胜 GB17859 第 4 级安全操作系 统 v4.0, 以下简称安胜 OS, 是中国科学院信息安全技术工程研究中心自主研制的, 其总体结 构如图 1 所示. 安胜 OS 基于 Linux 内核, 设计与开发时共分析了内核源程序 38 万行, 改造和开发了 4.5 收稿日期: 2006-07-14; 接受日期: 2006-09-29 北京市自然科学基金(批准号: 4052016)、国家自然科学基金(批准号:和国家重点基础研究发展规划(批准号: G1999035802)资助项目 * 联系人, E-mail: qsihan@ 第 2 期 卿斯汉等: 高等级安全操作系统的设计 239 万余行. 对系统原有的 221 个系统调用逐次进行了安全性分析, 其中, 未做任何修改的 49 个, 加入审计机制的 130 个, 加入存取控制机制的 95 个, 新开发系统调用 33 个. 新开发用户 shell 命令 69 个, 修改用户 shell 命令 16 个. 在隐蔽通道分析中, 分析了全部内核源代码与系统调用, 365 75 . 150 . 以及 个全局变量和 个可信进程 技术报告与文档资料超过