SKPP与安全功能性需求实施策略.docVIP

PAGE PAGE 1 SKPP与安全功能性需求实施策略 　　摘要：SKPP（ProtectionProfileforSeparationKernels，分区内核保护框架）是一种适用于分区内核的高安全需求规范。本文作者在深入理解SKPP内涵的基础上概括的介绍了SKPP所包含的各个需求领域，并提出了能够涵盖SKPP大部分安全功能性需求的安全分区内核访问控制机制的实施策略。 　　关键词：高安全操作系统；分区内核；SKPP；安全功能性需求 　　中图分类号：TP393文献标识码：A文章编号：1007-9599（2012）20-0000-02 　　随着嵌入式操作系统的使用越来越广泛，它的安全性也越来越受关注。分区内核作为嵌入式系统的一个重要组成部分，对其安全性的要求也越来越高。SKPP（ProtectionProfileforSeparationKernels，分区内核保护框架）作为一种专门针对分区内核提出的安全需求标准，可满足分区内核对高安全性的需要。使用SKPP的分区内核给任务关键的嵌入式系统的系统服务和应用的创建提供了高健壮性保障以及给安全相关策略的执行提供高可靠性支持。目前，使用SKPP标准设计出来的分区内核产品只有美国绿山公司的INTEGRITY-178B多级安全实时操作系统和风河公司的VXWorksMILS2，而国内对SKPP的使用还在探索阶段。本文通过对SKPP的内容进行深入理解，提出了与SKPP安全功能性需求相对应的访问控制机制的实施策略。 　　1SKPP概述 　　2007年，美国NSA的信息可靠性理事会发布了一种用于描述高健壮性操作系统的安全需求规范——SKPP，它适用于经常处于安全威胁中的分区内核。SKPP要求产品的开发过程和形式化分析都十分严格，所以，开发者和用户通过SKPP评估而得到的可靠性在计算机信息安全领域达到了前所未有的高度，在历史上第一次使软件系统能够可信的保护财政记录，客户私人信息，国家秘密等重要信息[1]。因此，用它作为高安全机载操作系统的分区内核设计标准能极大提高系统的安全性和可靠性。 　　传统安全内核是在一个安全操作系统中执行所有可信功能，而分区内核与此不同，系统中的所有对象和资源都应由安全策略控制，分区内部或者分区间的信息流也需由安全策略控制。在SKPP中，系统给软件提供了高可靠性分区以及信息流控制策略，给多种结构系统提供了可配置的可信环境。例如，在一组安全系统结构中，软件在分区内核安全策略的约束之下执行应用层安全策略。这里所说的软件包括与多级安全相关的监视器，Guard，设备驱动，文件管理系统，传送信息服务以及传统操作系统，中间件，虚拟机等[1]。 　　SKPP为分区内核的架构和评估提供了安全功能性需求和安全保证性需求。安全功能性需求指的是由操作系统执行的安全策略。例如，一个使用SKPP标准的操作系统必须保证恶意程序不会对系统造成包括拒绝服务、窃取信息等在内的威胁。安全保证性需求反映了创建满足高健壮性的安全可信环境所需的功能[2]。图1说明了组成安全系统的各个部分。其中，配置功能，系统加载功能，初始化功能以及可信传输功能都应按照可靠性需求的要求来设计，它们建立了安全功能的初始安全状态。在初始化结束之后，由安全功能来执行安全策略[3]。安全功能性需求是本文讨论的重点。从在系统中的位置来看安全功能性需求主要包括配置数据的要求，软件运行时的要求以及硬件要求；从在安全分区内核中功能划分的角度来看，它分为安全审计、用户数据保护、识别和鉴定、安全管理、安全功能保护以及资源利用六个部分。 　　图1.安全系统组成 　　2安全功能性需求主要内容 　　SKPP中的功能性需求是针对分区内核中安全功能的需求，它规定了由分区内核执行的安全策略。安全功能性需求从审计、数据保护、身份的识别和鉴定、安全功能的管理、安全功能的保护以及资源的利用[1]等六个方面全面的规定了建立安全分区内核中所需的安全功能应遵循的要求。 　　SKPP的安全审计部分规定了进行安全审计的时机，安全审计事件的选择原则以及安全审计的审查方法。安全审计需求记录、存储和分析与安全相关活动的信息，通过检查审计记录结果可判断发生了哪些安全相关活动以及哪些用户需要对这些活动负责。 　　用户数据保护部分给与用户数据有关的系统安全功能和系统安全功能策略规定了要求。它定义了信息流控制策略，主要规定了策略控制下的主体，策略控制下的信息，引起受控信息流入、流出的主体操作，策略的控制范围以及某些特定功能的规则。用户数据保护部分还提出对残余信息进行保护的要求。 　　识别和鉴定部分叙述了建立和核实请求用户身份的功能需求，确保了用户与恰当的安全属性相联系。授权用户身份的正确识别，用户和主体之间安全属性的正确链接对既定安全策略的实施至关重要。识别和鉴定部分解决用户身份的确定和