基于服务体模型的安全操作系统中的通信与安全控制.docVIP

基于服务体模型的安全操作系统中的通信与安全控制 摘要：本文在扼要介绍基于执行流/服务体的操作系统模型的基础上，重点讨论了基于该模型的安全操作系统中的通信机制及其安全控制。分析了通信可能受到的威胁，并给出了相应的对抗方法，从而简便有效的保证了操作系统的安全性。 关键词：安全操作系统 服务体模型 执行流 服务体间通信 中图分类法： TP316 文献标识码：A Inter Serverblock Communication and Its Security in Serverblock Based Secure Operating System Wu Mingqiao, Li Hong, Gong Yuchang Department of Computer Science and Technology of USTC, He Fei , 230027 Abstract: Based on introducing the novel serverblock model of operating system, the paper discusses the communication mechanism and the security control of a serverblock model based secure operating system in detail. Then the analysis of threats to communication and the countermeasures to ensure system security efficiently are presented as well. Key words: secure operating system, serverblock model, executive-stream, inter serverblock communication 1．引言 操作系统的安全性是保障信息安全的基本条件，日益受到人们的重视。日益复杂的外部环境要求安全操作系统必须具有灵活的体系结构，满足动态的、多样的安全策略。但是安全性和效率往往是矛盾的，增加安全控制必定会带来一些开销，甚至影响系统的易用性。因此，如何开发一个安全、灵活、高效的安全操作系统成了人们的追求目标。 传统的基于微内核结构的操作系统灵活性高，但是由于上下文切换频繁，效率较低。单内核结构的操作系统效率很高，但是不够灵活。我们在分析传统操作系统结构的基础上，提出了一种基于执行流/服务体的操作系统构造模型[3,4]。该模型引入了执行流和服务体等新的系统抽象，保持了微内核结构的灵活性，同时极大的增强了系统效率。其固有的灵活性可以方便有效的支持各种安全机制，如易于支持flask安全体系结构[1]。 在执行流/服务体模型中，传统的进程间通信被服务体间通信取代。服务体间通过一系列“端口”传送消息。本文在扼要介绍执行流/服务体模型结构的基础上，重点讨论了服务体间通信机制及其安全控制。分析了服务体间通信可能受到的威胁，并给出了相应的对抗方法。所提出的上述技术可以简便有效地支持操作系统的安全性。 2．服务体模型 执行流和服务体是服务体模型的两个基本抽象。执行流是CPU执行能力的抽象，服务体是代码和数据的集合体。执行流的流向由服务体的代码指引，服务体由执行流推动执行。操作系统中各功能模块如文件系统、内存管理器、驱动程序等都以服务体的形式存在。服务体模型的逻辑结构如图一所示： 2.1执行流 执行流是系统的动态部分，是CPU执行机器指令能力的最原始的抽象。每个CPU提供一个执行流，如果采用超线程技术则每个CPU可以提供多个执行流。执行流是比线程更加基本的抽象，它是一个连续的概念，从处理器上电复位到关机时结束，中途不会被阻塞、挂起和停止。执行流不与固定的地址空间绑定，其作用就是推动服务体完成消息处理，从而可使执行流能够直接跨越系统组件边界（往往是地址空间边界），而不必像微内核模型那样必须使用不同的线程。 2.2服务体 服务体是系统的基本组成单位，是具有通信功能，拥有地址空间、安全控制等资源和属性的能够完成某种功能的代码和数据集合。用户程序（包括驱动程序）的各种功能组件都以服务体的形式存在。服务体是一种静态的概念，其生命周期不依赖执行流，具有持久性。服务体拥有一系列端口，端口又包含一系列小端口，服务体间通过给端口或小端口发送消息进行通信, 在执行流的推动下进行消息处理。 服务体的地址空间分为基本空间和扩展空间两部分，每个服务体具有一个基本空间和一个或多个扩展空间。不同服务体的基本空间相互隔离，但在使用上作为整体统一分配，逻辑上在同一段空间中，彼此占用不同的地址区间，互不重叠。这个特点使得一个服务体的基本空