第七章安全操作统的设计与实现.pptVIP

安全操作系统 中国科学技术大学计算机系 陈香兰（0512 xlanchen@ 助教：裴建国 Autumn 2008 第七章 安全操作系统的设计与实现 内容提要 安全操作系统的设计原理 安全操作系统的设计 安全操作系统的开发 安全操作系统关键技术的实现 内容提要 安全操作系统的设计原理 安全操作系统的设计 安全操作系统的开发 安全操作系统关键技术的实现 安全操作系统的设计原理 存储器保护 用户程序的运行空间 未经批准的用户不能访问！ 即便是对自己的程序空间，访问也要受限！ Linux中的线性区… 公平的服务 极端：饿死现象 资源： CPU：公平调度 内存：按需分配 IO设备 等等 IPC和同步 信号量 管道和FIFO 消息队列 Socket 共享内存 75，Saltzer和Schroeder Saltzer, J.H. and M.D. Schroeder, The protection of information in computer systems. Proceedings of the IEEE, 1975. 63(9): p. 1278-1308. 以保护机制的体系结构为中心 探讨了计算机系统的信息保护问题 重点考察了权能和访问控制表的实现结构 给出了信息保护机制的8条设计原则 并指出，如何证明硬件和软件保护机制的设计与实现的正确性，是一个挑战 信息保护机制的八条设计原则 机制经济性原则：要简单而且短小 Fail-safe默认原则：即失败是保险的。 显式授权 VS 隐式授权 完全仲裁原则 开放式设计原则：不要基于设计的保密性 特权分离原则 最小特权原则 最少公共机制原则 心理可接受性原则：易用性 操作系统安全的可信性 操作系统安全的可信性，依赖 安全功能在系统中实现的完整性 文档系统的清晰说明 系统测试 形式化程度 操作系统 一个大型软件：内核＋系统软件＋应用程序 验证困难 解决思路： 提供安全保证的部分：尽可能小便于验证（测试） 安全操作系统的一般结构 高安全级别OS的结构 VS. 低安全级别OS的结构 分离的安全内核? 前者：KSOS，UCLA Secure Linux 后者：LINVS IV，Secure XENIX，TMACH和Secure TUNIS 内容提要 安全操作系统的设计原理 安全操作系统的设计 隔离 安全内核 分层设计 环结构 安全操作系统的开发 安全操作系统关键技术的实现 操作系统设计的基本原则 通用OS 灵活性 性能 开发费用 方便性 安全内核 隔离性 完整性 可验证性 内容提要 安全操作系统的设计原理 安全操作系统的设计 隔离 安全内核 分层设计 环结构 安全操作系统的开发 安全操作系统关键技术的实现 隔离 有四种方法将一个进程与其他过程分离 物理分离：各进程使用不同的硬件设施 时间分离：各进程使用不同的时间段（宏观） 密码分离： 逻辑分离： 安全操作系统应该将每个用户与所有其他用户分离开，仔细地只允许受控制的用户间的交互 操作系统中隔离机制的实现方法 隔离机制的实现方法： 多个虚拟存储空间 虚拟机 多个虚拟存储空间 多个虚拟存储空间（举例：IBM MVS） 多个虚拟存储空间（举例：Linux 2.4.18） 虚拟存储器?虚拟机 虚拟机（举例：IBM VM） 虚拟机（举例：VMWare） 内容提要 安全操作系统的设计原理 安全操作系统的设计 隔离 安全内核 分层设计 环结构 安全操作系统的开发 安全操作系统关键技术的实现 安全内核 操作系统中“核”的概念 “核”是操作系统的一部分，用于完成低级功能 常规操作系统中，核的功能包括： 同步、进程间通信、中断处理等 安全内核负责实现整个操作系统的安全机制 一般，安全内核被包含在操作系统内核内 为什么要将安全功能隔离在安全内核中？ 为什么要隔离出一个安全内核 优点 分隔 统一 可修改性 紧凑性 可验证性 覆盖面 安全内核：有什么缺点？ 内容提要 安全操作系统的设计原理 安全操作系统的设计 隔离 安全内核 分层设计 环结构 安全操作系统的开发 安全操作系统关键技术的实现 分层设计 内容提要 安全操作系统的设计原理 安全操作系统的设计 隔离 安全内核 分层设计 环结构 安全操作系统的开发 安全操作系统关键技术的实现 环结构 ring structure MULTICS 参考ppt：/~fulp/CSC790/access2.pdf/~tjaeger/cse497b-s07/slides/cse497b-lecture-24-macsystems.pdf Multics中的段 两类：数据和程序 段相关的权限 读、写、执行和添加 保护环ri