操作系统安全体系结构.pptVIP

支持策略可变通性机制要求：能撤回以前授予的权限。作访问决策所需的输入类型影响决策的外部因素（如历史）。访问决策的可传递性支持策略改变：系统要保证策略改变与控制操作的交叉使用时必须保持原子性。策略撤消：系统要保证已在系统中移动的授权真正收回当一个正运行的操作已检查过许可权，撤消机制常用三种方法，终止、重启、不管Flask采用类似Fluke方法处理内核。01Fluke中将每个活动对应的内核对象与一块物理内存对应，每个内核对象的SID与内存段的SID是一致的。微内核提供了内存管理及SID之间的绑定。02思想：Flask微内核利用内存标签与内核对象标签之间的关系进行控制。即通过地址空间的SID与内存段的SID实现安全控制。内存段是客体，内核对象地址空间是主体。客体相对于主体具有权能作用03特殊微内核特征权能的概念权能是客体在系统范围内使用的名字,在系统中是唯一的权能必须包含以该权能命名的客体的访问权,决定了对该客体进行访问所必需的权力权能只能由系统特殊的底层部分来创建,且除约束访问权外,权能不允许修改权能的优点:权能为访问客体和保护客体提供了统一的,不可绕过的方法权能与层次设计方法是协调的,具有传递能力当权能被传递给另一个主体时，权能的访问权可以被限制客体创建时，权能也随之创建定义客体类型的域传递给另一个主体的权能访问权不能大于对该权能拷贝所获得的访问权客体的创建主体可拷贝该客体的权能给其他主体用于标识客体的标识符定义访问权的域权能的组成Flask体系结构的组成结构的基本目标是提供安全策略的可变通性，确保不管决策如何随时间变化，都提供一致的策略。为客体管理器提供3个要素。提供了一个从安全服务器重新访问、标记、多实例决策的接口。提供一个访问向量缓存（AVC）模块，减少性能损耗。提供客体管理器注册、接受安全策略的改变的能力。Flask体系结构客体标记每个客体由安全策略所带的安全属性标记，称安全上下文。Flask采用E—R方法，客体实体（SID）、上下文实体、客户实体（SID），及客体、上下文联系，客体、用户联系。SID称为安全标识符，Flask中它是固定的值，只能由安全服务器解释并影射到上下文客户（主体）创建新客体时，由微内核提供的客户SID、客体类型、相关客体SID为参数，由客体服务器向安全服务器请求一个SID，客体服务器将新客体与该SID绑定。用E—R方法看，客体由SID标记，两者联系由客体管理器管理。SID与上下文联系由安全服务器管理。SID的分配由安全服务器依客户请求参数及环境动态决定12345Flask的支持机制客体标记结构图客户和服务器鉴别01当客户发出请求SID时,客体管理器必须能鉴别这个SID.客户也能鉴别一个服务器SID以确保服务是从适当的服务器上发出的.02Flask由微内核提供这个服务,并将其直接作为IPC(进程通信)的一部分.客户可以发一个内核调用来鉴别服务器SID,客户请求由微内核提供到服务器.03第4章操作系统安全体系结构4.1概述安全问题的暴露解决问题的方法：1、在现有系统上打补丁来排除；2、无法在原有系统上进行补救，只有重新改造系统，甚至重新设计系统造成的原因：1、由于旧系统增加了新的应用（无法预测）2、系统设计时考虑不充分（缺乏有效的系统安全体系结构所致）安全体系结构的含义及内容使系统在实现时对各项要求，如安全性要求、性能要求、可扩展要求、容量要求、成本要求等折中考虑，是体系结构的主要任务详细描述系统中安全相关的所有方面01在一定的抽象层次上描述各个安全相关模块之间的关系02提出指导设计的基本原理03提出开发过程的基本框架及对应于该框架体系的层次结构。安全体系按层次结构进行描述，包括两个阶段：概念化阶段、功能化阶段04安全体系结构1系统开发的概念化阶段：安全概念的最高抽象层次的处理，如系统安全策略等2系统开发的功能化阶段：系统体系确定时，进一步细化安全体系以反映系统的结构3安全体系结构只能是一个概要描述,而不能是系统功能的描述4安全体系结构不应该限制不影响安全的设计方法5开发安全操作系统时应参考”可信计算机系统评估准则”(TCSEC)及”信息技术安全性通用评估准则”(CC)安全体系的描述抽象体系:描述安全需求,定义安全功能及它们提供的安全服务,确定指导原则和基本概念01通用体系:定义系统的通用类型及使用标准,规定系统的指导原则，在已有的安全功能和安全服务配制上，定义系统分量类型及相关安全机制。并应说明不兼容导致的安全强度的退化。02逻辑体系:是满足某个假设的需求集合的一个设计，显示把通用体系应用于具体环境时的基本情