可信操作系统的设计培训课件.pptVIP

5.4.7 分层设计 分层信任 正如前面所说明的，一个内核化的操作系统至少由四层组成：硬件、内核、操作系统和用户，其中每一层都可以包含一些子层。当然，也可以将一个分层的可信操作系统描述成堆栈，其中安全功能离硬件最近。如果所有这些操作在安全内核执行出现一个情况是，则不需要高安全性的操作，也具有了高安全性。分层设计对一些与保护功能相关的活动都是安排在安全内核之外执行的。 5.4.7 分层设计(续) 图 5.20 分层的操作系统 5.4.2 普通操作系统的安全特性(续) (4) 对一般对象的分配和访问控制：用户访问一般对象产生的问题，如允许并行和同步的机制。 (5) 共享的实施：资源应该恰当地被用户获取，保证完整性和一致性。 (6) 保证公平服务：所有用户都按期望使用CPU和其他服务，这样用户就不会产生“饥饿”现象。 (7) 进程间通信和同步：正在运行的进程有时需要和其他进程进行通信，或者需要对共享资源的访问进行同步。 (8) 对操作系统保护数据的保护：操作系统必须维护那些用于实施安全的数据。 5.4.3 可信操作系统的安全特性 可信操作系统集成了一些技术实现可信特征(feature)和保证(assurance)。可信操作系统的设计是精细的，涉及选择一个合适且一致的特性集合以及一个合适等级的保证程度使得特性被正确组合与实现。相对于传统的操作系统，该机制提供了更多的保护和分离。此外，内存也按用户划分，且数据和程序库有可控的共享和分离。 可信操作系统的主要特性包括：用户识别和鉴别、强制访问控制、自主访问控制、对象重用保护、完全检查 、可信路径、审计、审计日志精简、入侵检测。 5.4.3 可信操作系统的安全特性(续) 图5.11 可信操作系统的安全功能 5.4.3 可信操作系统的安全特性(续) 识别和鉴别 可信操作系统需要安全的个体识别机制，并且所有个体必须是独一无二的。 强制和自主访问控制 强制访问控制(MAC，mandatory access control)是指访问控制策略的判决不受一个对象的单个拥有者的控制。例子有军事安全中的文件。自主访问控制(DAC，discretionary access control)，顾名思义，留下一些访问控制让对象的拥有者来自主决定，或者给那些已被授权控制对象访问的人。例子有商业应用。 MAC和DAC可同时应用于同一个对象。MAC的优先权要高于DAC，即在所有具有MAC访问许可的人中，只有通过DAC的人才能真正被允许访问这个对象。 5.4.3 可信操作系统的安全特性(续) 对象重用保护 必须小心控制可重用的对象，以免它们产生严重的缺陷。新文件占用的磁盘空间通常是先前用过、但现在已经释放的空间。这些被释放的空间是“脏”的，也就是说，它仍然包含先前用户的数据。恶意用户会申请大量磁盘空间，然后检查获取其中的敏感数据，这种攻击被称为对象重用(object reuse)。 非常精密和昂贵的仪器有时候能够将最近的数据与其先前记录的数据分开，然后再将后者与后者之前的数据分开，以此类推。这种威胁称为磁记忆(magnetic remanence)。因此，在任何情况下，操作系统在允许对资源访问之前必须负责清除资源上的信息。 5.4.3 可信操作系统的安全特性(续) 完全检查 完全检查(complete mediation)，意思就是所有访问都必须经过检查，而不仅仅限于文件访问控制检查。这样可信操作系统的设计和实现难度就大大增加了。 可信路径 对于关键的操作，如设置密码或者更改访问许可，用户希望能进行无误的通信，称为可信路径(trusted path)。一些操作系统，用户通过输入唯一的键序列请求可信路径，而其他操作系统，通过与安全相关的改变只能在系统启动时进行来保护。 5.4.3 可信操作系统的安全特性(续) 可审计性和审计 可审计性通常涉及到维护与安全相关的、已发生的事件日志，即列出每一个事件和所有执行过添加、删除或改变操作的用户。 审计日志精简 (1) 审计日志的观念是吸引人的，但在实际应用中，由于其容量很大且还需要进行分析，所以对审计日志的处理是非常困难的。如果要为每个读入字符的访问和每条执行指令作审计记录，则审计日志就会非常庞大(事实上，审计每条指令是不可能的，因为审计命令自身也会被审计，这样就会永无休止)。 5.4.3 可信操作系统的安全特性(续) (2) 在大多数操作系统中，只需要在打开或者关闭文件(或类似对象)的时候进行审计，就可以大大简化工作量。但针对文件打开和关闭的审计，在一些情况下可能会造成审计数据太多，而在其他情况下，