第5章可信操作系统的设计.pptVIP

5.5.4 评估(续) 通用准则 通用准则和美国的联邦准则非常相似。其中保留了安全目标以及保护轮廓的概念。将保护需求打包可以确保对于特定类型的应用是完善和一致的。示例包在通用准则中受到特别的关注。通用准则定义了安全有关的类。以这些类为基础，定义了功能或保证需求的族，基于族定义了独立组件，将独立组件组合成组件包，以满足综合要求或某个信任等级。包成为特定应用和产品需求的断言。 5.5.4 评估(续) 表5.6 通用准则中的类 功能 保证 识别和鉴别 开发 可信路径 测试 安全审计 脆弱性评估 安全功能调用 配置管理 用户数据保护 生命周期支持 资源利用 文档向导 可信安全功能保护 发布和操作 隐私 通信 5.5.4 评估(续) 图5.22 通用准则中的保护轮廓和安全目标 5.5.4 评估(续) 评估准则总结 准则的目的是提供一个值得信赖的、独立的安全评估方法。 评估过程 可以运用一些客观准则集合来考核评估过程本身。在评估中有几种我们都期待的良好性质，包括： (1) 可扩展性： 随着产品功能的增强，评估能否扩展？ (2) 粒度。 (3) 速度。 (4) 全面。 (5) 客观性与一致性。 (6) 可移植性：能够对运行在任何平台上的产品进行评估吗？ (7) 兼容性：不同准则对同一产品的评估过程是否相似？ (8) 可输出性：评估证实了一个方案时，对另一个方案的这种评估是否能被接受以满足当前全部或部分安全需求? 5.5.4 评估(续) 准则开发活动 图 5.23 准则开发成果 5.5.4 评估(续) 有关评估准则的经验 准则一直受到军方的关注，但是在商业领域并没有得到太多的认可。一些大厂商欣然接受低保证评估的产品。现实要求每个人都认识到市场(并非某个准则文档)最终决定需要什么，不需要什么。一般认为市场最终会选择优质产品。经验表明按照上述准则，厂商能够生产出高质量、值得信赖的产品。虽然大声宣布产品质量比提供清晰可信依据更容易和廉价，但是一些厂商已经宣布共同致力于评估，认为独立的评估是质量的标志。 5.6 本章总结 安全操作系统开发包括几个步骤：第一，通过策略描述和模型，可以确定系统中的各基本组成部分，然后研究各组成部分之间的交互。第二，在了解了环境之后，必须设计一个系统提供所期望的保护，我们较为详细地学习了特定的安全设计原则，包括隔离或分离、分层设计以及安全内核的概念。第三，仅有一个好的操作系统设计还不够，还需要确保设计和实现是正确的，因此，本章提供了形式化验证、证实以及测试来论证正确性。除此之外，还简单讨论了几种评估准则。 谢谢！ 5.4.7 分层设计 分层信任 正如前面所说明的，一个内核化的操作系统至少由四层组成：硬件、内核、操作系统和用户，其中每一层都可以包含一些子层。当然，也可以将一个分层的可信操作系统描述成堆栈，其中安全功能离硬件最近。如果所有这些操作在安全内核执行出现一个情况是，则不需要高安全性的操作，也具有了高安全性。分层设计对一些与保护功能相关的活动都是安排在安全内核之外执行的。 5.4.7 分层设计(续) 图 5.20 分层的操作系统 5.4.7 分层设计(续) 换一种方法，可在几个不同的模块中实现一个单一的逻辑功能，我们称此为分层设计(layered design)。可以通过操作不同层的一组模块来执行一个单一功能。每层的模块执行一个某种敏感等级的操作。 5.4.7 分层设计 (续) 图 5.21 操作在不同层中的模块 5.4.7 分层设计(续) Neumann描述了可证明安全操作系统(Provably Secure Operating System，PSOS)的层次结构。一些等级较低的层向等级较高的层提供部分或者全部的功能。但每一层适当地封装一些仅属于自己的内容。 5.4.7 分层设计(续) 表 5.4 PSOS设计层次 层 功能 通过哪一层隐藏 用户是否可见 16 用户请求解释程序 可见 15 用户环境和名字空间 可见 14 用户I/O 可见 13 程序记录 可见 12 用户进程和可见I/O 可见 11 创建和删除用户对象 可见 10 目录 11 部分可见 9 扩展类型 11 部分可见 8 段 11 部分可见 7 分页 8 不可见 6 系统程序和I/O 12 不可见 5 原语I/O 6 不可见 4 算术和其他基本操作 可见 3 时钟 6 不可见 2 中断 6 不可见 1 寄存器和可寻址存储器 7 部分可见 0 性能 可见 5.4.7 分层设计(续) 分层方法的优点在于： (1) 分层方法是实现封装的一个重要途径。每一层调用内层的服务，同时也向外层提供一定