安全操作系统中的功能隔离机制.docVIP

第２５卷第４期 ２００８年７月中国科学院研究生院学报ＪｏｕｍａｌｏｆｔｌｌｅＧｍｄｕａｔｅｓｃｈｏｏｌｏｆｔ｝ＩｅＣｈｉｎｅ∞ＡｃａｄｅｍｙｏｆｓｃｉｅｎｃｅｓＶ０１．２５ＪｕｌｖＮｏ．４２００８文章编号：１００２．１１７５（２００８）０４．０５３８．１Ｉ 安全操作系统中的功能隔离机制＊ 龚育昌＋唐玲张晔贾永泉 （中国科学技术大学计算机科学技术系．合肥２３００２７） （２００７年８月２１日收稿；２００７年１１月２３日收修改稿） Ｇｏ呜ＹＣ，Ｔａ呜Ｌ，Ｚｈ呜Ｙ，“耐．ｎｅｆｕＩ删仰ｉｓｏｈ６伽ｍ∞－．ａＩｌｉｓＩｎ ＆＾加，矿￡ｋ硼伽嚣Ｐ 摘ｉＩＩ鲫叭ｏｐｅｒａｔｉｎｇ叫ｓｔｅｍ．如聊谢巧舭白砌础Ａ以如棚岁矿鼢缸船甜，枷８，２５（４）：５弼一ｓ镐要在分析现有操作系统安全机制的基础上，针对空间隔离技术的不足之处，提出了功能 隔离的新思想．功能隔离可以提供更细致的隔离粒度，并可使不同类别的功能请求在相互隔离 的执行域中执行，从而提高系统的可靠性与安全性．详细描述了功能隔离的定义，讨论了功能 划分的方法和ＰＦＩ、ＡｓＦＩ两种功能隔离机制及其关键实现技术．实验数据说明，采用功能隔离 不会明显影响系统的效率． 关键词安全关键操作系统，空间隔离，功能隔离，功能划分 中图分类号仍１６，ＴＰ３９３ １引言 操作系统的安全性是信息系统安全性的基石，自然成为研究的热点．安全特性包括两方面含义：即安全性和可靠性． 操作系统的安全控制主要由权限分配、防止越权使用和防止滥用权力３个方面来保障．基于这些目标，研究者们提出了各种安全模型（如ＢＬＰ、Ｂｉｂａ、ＲＢＡＣ、ＴＥ等）和安全体系结构（如权能系统、ｎａｓｋ安全体系结构、ＣＡＳＰ安全体系结构等）¨’２Ｊ．采用这些技术的操作系统如ＥＲＯＳ、ＤＴＯＳ、ｓＥｕｎｕ）【、Ｓ．Ｍｉｎｉｃｏｒｅ［２１等称其为安全操作系统． 突出强调可靠性的操作系统称为安全关键操作系统ＳＣＯｓ（ＳａｆｅｔｙＣｒｉｔｉｃａｌＯｐｅｍｔｉｎｇｓｙｓｔｅｍ）ｂ】，主要应用于一旦失效将造成灾难性损失的场合．隔离技术是ＳＣＯＳ保障可靠性的重要手段．隔离技术可分为２类：时间隔离和空间隔离．时间隔离主要从时间维上减少不同系统组件的冲突，典型的技术是分时调度，主要用以防止单一任务长期占用处理器资源Ｈ１；空间隔离则从空间维上防止系统组件的代码和数据相互干扰，进程地址空间是其典型实现．各种ｓｃＯＳ都对隔离提供了支持，例如著名的ＬｖｎｘＯＳ［５３提供了硬分区和层次调度机制，分别对应于空间隔离和时间隔离技术．ｃＲＴｏｓ则提供了２级调度结构哺］，以支持时间隔离机制． 目前采用的空间隔离技术仍然属于基本的形式．在硬件层采用分页／段、特权级机制等＂１都属于空间隔离，例如文献［８］在Ｌｉｎ弧中利用未使用的处理器特权级，实现了更细致的分层隔离保护．但通过硬件机制达到更好的隔离效果，会增加硬件设计的复杂程度．进程／线程模型（ＰＴ模型）为每个进程分配独立的地址空间和运行堆栈，同时将整个进程地址空间划分为用户空间和内核空间，即采用了空间隔离形?国家自然科学基金项目（６０２７３叫２）和安徽省自然科学基金项目资助ｔＥ—ｍ＿ｉｌ：ｙｃ伊唱＠Ｉ域ｃ．曲．ｃｎ 万方数据　 第４期龚育昌．等：安全操作系统中的功能隔离机制５３９式．在基于ｆｒｒ模型的单内核操作系统（如Ｌｉｎｕ】【）【９’中，进程的用户地址空间是隔离的；但是内核地址空间确是共享的，这导致了不安全的隐患．而在微内核操作系统的内核空间中尽量多的内容都挪动到用户空间中，以用户态服务进程的方式实现这些功能¨剖，从而提高了隔离性和安全性；但由于频繁采用低效的进程间通讯（ＩＰＣ），严重降低了系统效率．近年来，构件化操作系统模型…１成为新的发展趋势，该模型中各个操作系统的组成部分都以构件的形式来实现．基于服务体／执行流模型（ｓＥＦＭ）¨２１的操作系统Ｍｉｎｉｃｏｒｊｅ【ｌ引就是典型的构件化操作系统，它将各系统构件定义为服务体，并为它们分配独立的地址空间（称为服务体空间），实现了系统构件之间的相互隔离，相对于ｆｒｒ模型细化了隔离粒度，提高了安全性．表１给出了上述各系统模型的隔离性对比． 表１各个系统模型隔离性的比较 面临不断增强的安全性威胁，上述的各种隔离方式都不能提供充分的安全支持，而需要对模块中的功能进行划分和隔离，即实现功能隔离．不仅要对不同的用户执行的功能进行隔离，还需要使同一用户执行的功能之间隔离． 本文首先描述功能隔离的定义，然后提出功能划分的方法，接着提出了基于进程的功能隔离ＰＦＩ（Ｐ啪ｅｓｓ．ｂａｓｅｄＦｕｎｃｔｉｏｎＩｓｏｌａｔｉｏｎ）和基于地址空间的功能隔离ＡＳＦＩ（Ａｄｄｒｅｓｓｓｐａｃｅ－ｂａｓｅｄＦｕｎｃｔｉｏｎＩｓｏｌａｔｉｏｎ）２种隔离策略．最后给出了这２种机制的效果对比及分析，并说明实现