|
|
|
|
本质安全型集中式控制安全操作系统研究 |
|
|
|
1 存取控制和安全模型
存取控制是系统安全的核心内容。存取控制按照一定的机制,在系统主体对客体进行访问时,判定访问请求和访问的方式是否合法,返回判定结果。一般情况下,有两种存取控制方式:自主存取控制DAC(Discretionary Access Control)和强制存取控制MAC(Mandatory Access Control)。
(1)自主存取控制
DAC是安全操作系统最早期的存取控制方式,客体的所有者可以将客体的访问权限或者访问权限的子集授予其它主体。在类Unix系统当中,系统提供owner/group/other的控制方式,就是一种典型的自主存取控制方式。
(2)强制存取控制
在自主存取控制当中,由于管理不当或者操作失误,可能会引起非法的访问,并且不能有效地防御特洛伊马病毒的攻击。在信息保密要求比较高的领域,人们提出了强制的存以控制方式,给系统提供一道不可逾越的访问控制限制。强制存取控制主要通过安全级的方式实现。安全级含“密级”和“部门集”两方面。密级又分为无密、秘密、机密、绝密四级。系统中主体和客体按照一定的规则被赋予最高安全级和当前安全级。系统主体的部门集表示主体可以涉及猎的信息范围,系统客体的部门集表示该信息涉及的信息范围。强制存取控制抽象出三条访问原理:①的主体的安全级高于客体,当且仅当主体的密级高于客体的密级,且主体的部门集包含客体的部门集;②主体对客体具有读权限,当且仅当主体的安全级高于客体的安全级;③主体对客体具有写权限,当全仅当主体的安全级低于或者等于客体的安全级。
安全模型是系统安全特性的描述,是对安全策略的一种数学形式化的表示方法。一般的安全操作系统的设计方法,通常是先设计安全模型,对安全模型进行分析,并且给出数学证明。安全模型的设计是研究安全操作系统的重要成果,可以对安全系统设计提供结构清晰、功能明确的指导。这里主要介绍BLP安全模型。
BLP模型是人们对安全策略的形式化描述。它通过系统安全级的划分来保证系统存取的合法性。BLP模型定义了一系列的安全状态和状态转换规则,如果保证系统启动时处于安全状态的话,即可按安全转换规则,在各个安全状态之间转换。下面介绍BLP模型的具体规则。
系统的主体和客体均被赋予一定的安全级和部门集。主体安全级包含最高安全级的当前安全级。主体对于客体的访问方式包括:只读、只写、执行、读写。BLP模型定义了两具安全特性,并且证明了只要系统遵循这两个模型,便可认为系统处于安全状态并可在状态之间进行转换,这两个特性是简单安全特性和*特性。
(1)简单安全特性(ss-property)
如果一个主体对一个客体具有读的权限,则客体的安全级不能比主体的最大安全级高。
(2)*特性(*-property)
主体对客体有“只写”的权限,则客体的安全级至少和主体的最高安全级一样高。
主体对客体有“读”权限,则客体的安全级不会比主体的当前安全级高。
主体对客体有“读写”权限,则客体安全级等于主体的当前安全级。
人们习惯上将简单安全特性看成限制“向上读”,将*特性看成限制“向下写”。
BLP在多年的研究当中被认为可以有效防止特洛伊马病毒的攻击,但是仍然存在两个问题:①系统具有动态的信息处理(例如主体的安全级的变化)都是有可信进程来实现的,但是BLP模型并没有对可信进程进行说明,可信进程也不受BLP模型的限制;②BLP模型不能防止隐通道。
2 系统实现原理
根据上面的分析,我们提出了一种本质安全型,以进程控制为中心,集中式管理方式的安全控制方法。下面结合Linux操作系统说明具体的实现原理,以wolf-Linux来指具有这种控制机制的安全操作系统。
本质安全是指一种建立在特殊的硬件设备上(Smart卡),具有特殊的体系结构,可对操作系统本身、进程合法性和运行权利进行验证的安全机制。
系统的安全控制分为六部分:进程管理器、安全服务器、文件系统伺服器、进程通信伺服务器、网络伺服器和审计模块。总体结构如图1所示:进程管理器、安全服务器wolf-Linux安全控制的核心部分,审计模块负责对系统的安全性事件进行记录,其它部分是安全控制的执行模块。
从图1中可以看出,SIM(Subscriber Identity Module)卡处于系统的安全模块中,保存系统的关键信息,集中式管理主要体现在进程控制器部分,安全判定和安全执行的分离使得任何存取操作都不可能绕过安全控制机制。系统中所有的安全事件都通过进程控制器来判定是否可行,安全执行模块负责在访问操作发生时抽象主体和客体,提交访问请求并执行访问结果。下面主要介绍各个模块的功能原理。
(1)安全服务器和SIM卡
系统的安全服务器负责提供系统支持的安全策略。在系统启动时,安全服务器初始化系统支持的安全策略。它的初始化过程中重要的一步是读智能卡中的信息,验证系统的身份。安全服务器提供的接口有三类:①与智能卡的接口。在智能卡中保 |
|
|
|
 相关技术论坛: |
|
| 相关技术论文: |
|
|
