PPT《第5章 可信操作系统的设计》

第5章 可信操作系统的设计 本章要点 什么使得一个操作系统 安全 或者 值得信赖 如何设计可信系统,及在这些设计原则中,有哪些设计准则可以应用于其他程序开发任务中 我们如何促进对可信操作系统的正确性的保障 如果一个操作系统能够稳定而有效地提供内存保护、文件保护、一般对象的访问控制、用户鉴别 4种服务,那么我们就说它是可信的(trusted).

本章将从设计者的角度来观察一个可信操作系统的设计以及提供安全服务的组件功能. 本章将讨论可信系统的4个主要方面: 策略:操作系统的安全需求是一个被良好定义的、一致且可实现的规则集,而且这些规则能被非常清楚并且无二义性地表达出来.为了保证需求是清楚、一致和有效的,操作系统通常会遵循一个预先规定好的安全策略――一个规则集,它展示了将要保护什么,以及为什么要保护. 模型:设计者通常先为需要保护的环境构建一个模型,这个模型实际上体现了系统将要实施的策略.设计者将模型和系统需求进行比较,以保证整个系统功能不会因为安全需求的引入而失效或降低. 设计:在确定了一个安全模型之后,设计者开始选择实现模型的方法.因此,设计包含两方面的内容:什么是可信操作系统(可信操作系统要实现的功能),以及怎样去构造(即实现)它. 信任:我们对一个系统的信任基于两个方面:特征(操作系统包含了实施安全策略所必需的全部功能)和保障(操作系统的实现方式使我们确信它能够正确有效实施安全策略). # 一些安全系统最初就是针对安全需求而设计的,另一些安全系统则是将安全特性加入到现有的操作系统中.两种方法建立可信操作系统都是可行的. 5.1 什么是可信系统 如果代码被严格地开发和分析,使我们有理由相信代码只做其被要求做的,那么我们就说这个软件是可信软件(trusted software).一般来说,可信代码能够作为其他不可信代码的运行基础.也就是说,不可信系统的质量部分地依赖可信代码;

可信代码是构建整个系统安全的基础.特殊的,当我们确信操作系统能够对运行在它上的组件或系统的访问进行正确控制,就可以认为它是可信的. 5.1 什么是可信系统 (续) 要相信一个软件,必须对其进行严格测试分析,找到某些关键特性: 功能的正确性:程序按预期正确执行. 保持完整性:即使出现错误也能维持与其交互的数据正确. 有限的特权:允许访问安全数据,但这种访问是最小化的. 适合的可信级别:根据使用的数据和环境,对程序进行检查并给出适当的信任评级. 5.1 什么是可信系统 (续) 安全专家喜欢说 可信操作系统 而不是 安全操作系统 .可信操作系统是指这个系统不但达到了设计时的安全要求,质量很高,而且能证明用户对系统质量的信任是正确的.也就是信任是由系统的接收者或使用者来体会的,作为用户,你或许不能够直接评价一个系统是否值得信任.你可能会相信设计方案,可能会相信专家的评估,也可能相信同事的意见.但最终,还得由你自己来确定所需要的信任度. 5.1 什么是可信系统 (续) 信任度非常重要.与安全不同,信任不是一个互斥的概念.信任通常随着时间的推移而增加,其程度与证据和经历有关. 表5.1 安全和可信的性质比较 5.1 什么是可信系统 (续) 可信操作系统还涉及以下几个概念: 可信进程(trusted process):能够影响系统安全的进程,或者说这个进程的不正确执行或恶意执行会破坏系统安全策略. 可信产品(trusted product):经过评估和认可的产品. 可信软件(trusted software):系统赖以实施安全策略的软件部分. 5.1 什么是可信系统 (续) 可信计算基(trusted computing base):计算机系统内所有保护机制的集合,包括硬件、固件和软件,它们一起对产品或系统实施了统一的安全策略. 可信系统(trusted system):该系统使用了充分的硬件和软件完整性措施,能够处理敏感信息. # 与这些概念相关的概念是: 安全策略实施、足够的措施和机制、评估. 5.2 安全策略 5.2.1 军事安全策略 军事安全策略是很多可信操作系统的基础,而且很容易对其进行精确描述.军事安全策略(military security policy)是基于保护机密信息的策略.每条信息被标识为一个特定敏感等级,如不保密的、受限制的、秘密的、机密的、绝密的.这些等级构成了一个层次结构.我们用符号rankO表示对象O的敏感度. 5.2.1 军事安全策略(续) 图5.1 敏感度的层次结构 5.2.1 军事安全策略(续) 我们使用须知(need-to-know)原则来限制访问:只有那些在工作中需要知道敏感数据的主体才允许访问相应的敏感数据.每条机密信息都与一个或更多的项目相关,这些项目称做分隔项(compartments).分隔项使人们只能访问那些与他们工作相关的信息,一个分隔项可以属于一个敏感级也可以属于多个敏感级. 5.2.1 军事安全策略(续) 图5.2 分隔项和敏感等级 # 可以通过指定名字来区分分隔项.单独一条信息可以不赋予分隔项名,也可以被赋予一个、两个或多个,这取决与信息的属性. 5.2.1 军事安全策略(续) 图5.3 信息与分隔项的联合 5.2.1 军事安全策略(续) 的组合被称为信息片断的类(class)或分类(classification).通过以这种方式指定信息,我们就能够用安全等级和主题来实施须知原则.用户必须得到许可(clearance)才能够访问敏感信息.许可表明可以信赖某人访问某个级别以下的敏感信息,以及此人需要知道某些类的敏感信息.我们用组合来表示对主体的许可. 5.2.1 军事安全策略(续) 由此,我们可以建立在敏感对象和主体集合上,称为支配(dominance)的关系 ≤ .对于一个主体s和一个对象o: 一个主体可以读一个对象,如果: (1) 主体的许可等级至少和访问信息的敏感等级一样高;