北理工-戴林-11操作系统安全.pptVIP

安全Xenix 系统的开发 访问控制方式 按照BLP 模型实现访问控制，主体是进程，客体是进程、文件、特别文件（设备）、目录、管道、信号量、共享内存段和消息。访问权限有read、write、execute 和null。 安全等级的确定 安全Xenix 的强制访问控制的安全判断以进程的当前安全等级、客体的安全等级和访问权限为依据。 进程的当前安全等级（CPL）在创建进程时确定，在进程的整个生存期内保持不变。 * 安全Xenix 系统的开发 安全注意键与可信路径 安全Xenix 的可信通路（trusted path）是以安全注意键（SAK：Secure Attention Key）为基础实现的。SAK 是由终端驱动程序检测到的键的一个特殊组合。每当系统识别到用户在一个终端上键入的SAK，便终止对应到该终端的所有用户进程，启动可信的会话过程。 特权用户 对系统的管理功能进行分割，设立可信系统程序员、系统安全管理员、系统帐户管理员和系统安全审计员等特权用户，通过不同的操作环境和操作界面限定各特权用户的特权。 * System V/MLS 系统的开发 1988 年，ATT Bell 实验室的C.W. Flink II 和J.D. Weiss 发表了System V/MLS 系统的设计与开发成果。System V/MLS 是以ATT 的Unix SystemV 为原型的多级安全操作系统，以TCSEC 标准的安全等级B 为设计目标。 系统按照BLP 模型提供多级安全性支持，主体是进程，客体包括文件、目录、i-节点、进程间通信（IPC）结构和进程。 * System V/MLS 系统的开发 安全标记机制设计 Unix System V 提供owner/group/others 方式的保护机制，支持用户组的概念，用户组由组标识（GID）表示。 多级安全性实现方法 通过在内核中加入多级安全性（MLS）模块实现对多级安全性的支持。MLS模块是内核中可删除、可替换的独立模块，负责解释安全等级标记的含义和多级安全性控制规则，实现强制访问控制判定。在原系统的与访问判定有关的内核函数中插入调用MLS 模块的命令，实现原有内核机制与MLS 机制的连接。 * 安全操作系统设计技术 1隔离技术 将系统中的一个用户(进程)与其他用户(进程)隔离开来是安全性的基本要求，有四种办法实现： 物理分离， 时间分离， 密码分离, 逻辑分离。 隔离机制的设计方法 (1)??? 多虚拟存储空间 (2)??? 多虚拟机系统 虚机器操作系统 物理计算机系统 CP 控制程序 I/O设备 文件 存储器 处理器 虚机器操作系统 虚拟计算机系统 虚机器操作系统 虚拟计算机系统 虚机器操作系统 虚拟计算机系统 2安全内核 核(kernel)、又称内核(nucleus)或核心(Core)，在传统或标准的操作系统中，它实现内层的低级功能，如进程通信、同步机制、中断处理及基本的内存管理。 安全内核(Security kernel)是通过控制对系统资源的访问来实现基本安全规程的操作系统内核中相对独立的一部分程序，它在硬件和操作系统功能模块之间提供安全接口，凡是与安全有关的功能和机制都必须被隔离在安全内核之中。 安全内核设计和实现基本原则 (1)完整性。 (2)隔离性。 (3)可验证性。 3 分层设计 最不可信代码 最可信代码 用户认证模块 用户接口子模块 用户ID查找子模块 认证数据修改子模块 认证数据比较子模块 图 7-18 不同层中实现的认证模块 4环结构 MULTICS操作系统用环结构（ring structure）实现安全保护，这是分层设计的进一步发展，指定各个进程所具有的访问权，共设计了8个环，4个用于操作系统，4个用于应用程序。 环界标 n · · · 2 1 0 只读 正常调用 (可信访问) 指定入口点访问(可信访问) b1 b2 b3 访问环界表 访问环界表/门扩展 对程序调用的环界标解释 n · · · 2 1 0 可被运行于p级 (b1≤p≤b2)的任何过程调用 在指定点，仅当主调用程序级别p(b2≤p≤b3)时可调用 b1 b2 b3 访问环界表 访问环界表/门扩展 pb3的过程无法访问 对数据访问的环界标的解释 n · · · 2 1 0 P级进程只读访问(0≤p≤b1) P级进程访问(b1≤p≤b2) 仅对P级进程的一个拷贝访问(b2≤p≤b3) b1 b2 b3 访问环界表 访问环界表/门扩展 安全操作系统安全机制的实现 P1 own read write P2 read P3 re