（计算机科学与技术专业论文）基于显式授权方法的计算机体系结构的研究.pdf

国防科学技术大学研究生院学位论文 摘要 随着信息化程度的提高和计算机网络的普及，大至国家小至个人对计算机和网络的依 赖越来深。信息安全已经成为计算机领域个亟待解决的问题。虽然各国对信息安全技术 的研究都十分重视，也研究出很多技术，但是目前的信息安全的保障方法尚存在一些问题： 对病毒破坏的防范是事后性的；对信息窃取缺乏有效的防御手段；信息安全紧紧地依赖于 操作系统的安全性。信息的安全是与计算机体系结构密切相关的，为适应安全需求，必要 时可以更改计算机系统的体系结构。 基于显式授权的计算机体系结构是在显式授权方法的基础上提出的。它把外存储器从 主机中分离出来，和显式授权设备组成一个独立的外存储系统，这个外存储系统自主的实 现存储管理，提供给主机上运行的包括操作系统在内的应用程序以文件层次的访问接口 并阻止任何其它形式的访问；监控来自主机的文件访问操作，应用显式授权决定这个操作 是否可以执行。任何程序进行的对外存储系统的访问，必须经过显式授权，对趋势网站上 公布的在2 0 0 4 2 9 到2 0 0 4 4 2 2 发现的恶意程序的分析结果表明，全部的1 5 1 种恶意程序 都存在对外存储器的访问，可见基于显式授权的计算机系统在理论上对恶意程序具有显著 的防范作用。 为验证基于显式授权的计算机系统的信息保护能力，我进行了初步的模拟，并在模拟 的基础上进行了攻击测试。测试包括病毒和网络黑客工具。基于显式授权的计算机系统成 功的捕获了这些恶意程序。 理论和实践表明，基于显式授权的计算机体系结构可以有效的保护外存储器中的数 据。这种体系结构可以防范包括未知病毒在内的恶意程序对外存储器中的信息的攻击；这 种体系结构使得信息的安全不再依赖操作系统，用户真正的成为信息的主人。 关键词：信息安全，显式授权，体系结构，恶意程序 国防科学技术大学研究生院学位论文 a b s t r a c t w i t ht h ed e v e l o p m e n to fc o m p u t e ra n dt h ep r e v a l e n c eo fi n t e r n e t ，t h e ya r eb e c o m i n g i m p o r t a n tm o r e ；a n dm o r e t h es e c u r i t yo fi n f o r m a t i o ni sas e r i o u sp r o b l e m e v e l yc o u n t r y a t t a c h e si m p o r t a n c et ot h i sp r o b l e m ，a n dp l o u g h si n t om u c hf u n di n t oi t ，b u tt h e r ea r es t i l ls o m e s e i o u sl i m i n a t i o ni nt h ec u r r e n tt h e c o n o l o g y ：p r o t e c t i o na g a i n s tv i r u si sa f t e rt h ee v e n t ；t h e r el a c k o fe f f i c i e n tm e a n st op r e v e n ti n f o r m a t i o nf r o mb e i n gs t o l e n ；s e c u r i t yd e p e n d st i 曲t l yo n o p e r a t i n g s y s t e m s e c u r i t yo fi n f o r m a t i o ni st i 曲t l yi n t e r r e l a t e dw i t ht h ea r c h i t e c t u r e s e c u r i t yo f i n f o r m a t i o no f f g i n a t e sf r o mt h ea r c h i t e c t u r e ；t h ed e s i g nf o rs e c u r i t ya i m sa tt h ec u r r e n t a r c h i t e c t u r e ；t h em e t h o do fs e c u r i t yd e p e n d so nt h ea r c h i t e c t u r e ；t h ea r c h i t e c t u r ec a nb e c h a n g e di fn e c e s s a r y t h ea r c h i t e c t u eo fe ai sb a s e do nt h ee x p l i c i ta n t h o r i z a i t o nm e t h o d i nt h i sa r c h i t e c t u r e ，t h e s t o r a g ei ss e p a r a t ef r o mt h eh o s t t h es t o r a g ea n dd e v i c e so fe ac o n s t i t u t ea na b s o l u t es t o r a g e s y s t e m i ta c h i e v e ss t o r a g e m a n a g e m e n tb yi t s e l f , a n dt h eg r a n u l a r i t yo fi n f o r m a t i o n t r a n f r e s b e t w e e ns t o r a g ea n dh o s ti sf i l e ，a n yo t h e rf o n i lw i l lb er e f u s e d a tt h es a m et i m e t h es t o r a g e s y s t e mm o n i t o r sa n dc o n t r o l st h ef i l e o p e r a t i o nf r o mp r o g r a m sr u n n i n go nt h eh o s t i ft h e f i l e - o p e r a t i o nc a nb ee x e c l l t eo rn o t5 e so i lt h ee x p l i c i ta u t h o r i z a t i o no ft h ec u t , f e i n tu s e r i nt h e s y s t e mb a s e do ne aa n yf i l e o p e r a i o nm u s tb ea u t h o r i z e db yt h eu s e r w eh a v ea n a l y s e d m a l w a r e st h a tt r e n d m i c r op u b l i s h e df r o mf e b 92 0 0 4t oa p r 2 22 0 0 4 t h e0 1 , 1 t c o m ei st h a ta l l 1 5 1m a l w a r e sa c c e s ss t o r a g e i tj so b v i o u st h a tt h ea r c h i t e c t u r eb a s e do ne ai se f f i c i e n ti n p r o t e c t i n gi n f o r m a t i o nf r o mm a l w a r ei nt h e o r y i no r d e rt ot e s t i f yt h ea r c h i t e c t u r eb a s e do ne 九w es i m u l a t e da n dt e s ti ts i m p l y t h et e s t i n g i n e l u d e st h ev i r u sa n ds o m et o o l so fi n f o r m a t i o na t t a c t i n g t h ee x p l i c i ta u t h o r i z a t i o nm e t h o dh a s c a p t u r e dt h e i ra c c e s st os t o r a g es u c c e s s f u u y i ti si n d i c a t e db o t hi nt h e o r ya n di np a r t i c et h a t t h ea r c h i t e c t u r eb a s e do ne ai sa ne 伍e c i n t m e t h o do fi n f o r m a t i o np r o t e c t i o n t l l i sm e t h o dc a np r o t e c ti n f o r m a t i o nf r o mm a l w a r e ；a n dt h i s m e t h o dm a k e ss e c u r i t yo fi n f o r m a t i o nn o td e p e n do n0 sa n ym o r e ；t h eu s e rb e c o m e st h et r u e o w n e ro fi n f o r m a t i o n k e y w o r d s ：a e c u ri t yo fi n f o r m a t i o n ，e x p li c i ta u t h o r i z a t o n ，a r c h i t e c t u r e ，1 1 1 a l w a r e 国防科学技术大学研究生院学位论文 图目录 图1 1 历年报告的信息安全事件1 图2 1 通用安全体系结构视图1 3 图2 2c s d a 安全体系结构图：1 5 图2 3t c s e c 的构成与等级结构1 9 图3 1 传统的冯诺依曼计算机体系结构2 3 图3 2 基于显式授权的计算机体系结构2 4 图3 3 文件访问的流程2 8 图4 1 典型n g s c b 配置图3 4 图5 1w o r md a r b y d 的p o p u p 对话框4 3 图6 1 模拟流程图4 9 图6 2 监控后的系统调用执行顺序图一5 0 图6 3 系统逻辑流程图5 l 图7 1 运行中的显式授权程序5 5 图7 2 等待授权的终端命令5 5 图7 3 呈献给用户的访存操作信息5 5 图7 4 用户拒绝o p e n 操作结果5 6 图7 5r e a d 操作请求5 6 图7 6 用户拒绝r e a d 操作结果5 7 图7 7 用户允许r e a d 操作结果5 7 图7 8w r i t e 请求5 7 图7 9 用户拒绝w r i t e 请求5 8 图7 1 0 显式授权捕获的程序对文件的写访问5 8 图7 1 1 显式授权对f t p 操作的捕获5 9 图7 1 2t f n 2 k 的控制程序发出命令6 0 图7 1 3 显式授权拒绝执行6 0 图7 1 4 没有显式授权时病毒执行前后文件变化6 1 图7 1 5 允许带毒文件的对i n v a d e r 的读6 l 图7 一1 6 允许带毒文件的对i n v a d e r 的写6 2 图7 1 7 允许带毒文件的对o b j e c t 的读6 2 图7 1 8 不允许带毒文件的对o b j e c t 的写6 2 图7 1 9 显式授权保护的结果6 3 i i l 国防科学技术大学研究生院学位论文 表目录 表3 1 授权访问模式2 2 表3 2 基于显式授权的指令集2 5 表5 1 恶意程序分析4 5 表6 1l r n u x 的文件访问函数j 4 7 表7 2 显式授权对终端命令的捕获5 4 i v 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它 教育机构的学位或证书而使用过的材料与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 学位论文题目：基士垦惑援褪直洼鲍让簋扭签丕箜擅曲盟窥 学位论文作者签名：二堑# j 卑 日期：冲宰年卜月悟日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档，允许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文题目：基王垦式援拯直洼曲进簋扭篮歪结捡鲍盟蕉 学位论文作者签名：叠兰盔 作者指导教师签名：壶i 幺 日期：御弘年f2 ，月j z 日 日期：。如0 年，d 月，文日 国防科学技术大学研究生院学位论文 第一章绪论 1 1 课题背景 随着信息化程度的提高和计算机网络的普及，大至国家小至个人对计算机和网络的依 赖越来深。信息安全已经成为计算机领域一个亟待解决的问题。当r r 基础框架越来越复杂， 计算机的漏洞也随之增加，计算机病毒、木马和蠕虫( 统称为恶意程序) 随时随刻威胁着计 算机中信息的安全。它们会破坏计算机网络、消耗计算机资源、窃取和破坏计算机系统中 的信息，等等。其中最为常见的是进行信息窃取和信息破坏。这种恶意程序试图删除、修 改计算机中的信息，甚至格式化计算机系统的磁盘，严重威胁着计算机系统的信息安全。 而且，恶意程序的攻击手段、传播途径和破坏机理也随着计算机软、硬件技术的发展在不 断地发展进步，令人防不胜防，危害日益严重。最近几年中，信息安全事件几乎成指数的 方式增长，根据c e r t c c l 的统计，2 0 0 1 年报告的安全事件是5 2 ，6 5 8 件，2 0 0 2 年达到了8 2 ，0 9 4 件，而2 0 0 3 年报告的信息安全事件高达1 3 7 ，5 2 9 件，较2 0 0 2 年增长了6 7 f 。图1 - 1 显示 了1 9 9 8 年到2 0 0 3 年信息安全事件的增长趋势。 1 6 哪 ! 4 0 0 0 0 1 0 1 0 0 0 0 0 篮啪 6 哪 4 哪 0 0 d 0 i 9 略1 9 1 9 1 9 9 11 9 9 21 9 昭1 9 射1 9 9 51 9 1 9 9 71 9 游1 9 9 9 揶和l2 1 2 0 2 狮 图l 一1 历年报告的信息安全事件 恶意程序的危害已是众所周知的事实，据报道，自互联网问世以来，全球已经遭到约 6 3 ，0 0 0 种恶意程序的袭击，经济损失高达6 5 0 亿美元【2 1 ，更糟糕的是，恶意程序的问题在 继续恶化中【3 l 。同时，对信息安全敏感的用户也正在加大在信息安全方面的资金投入。据 i d c 2 研究报告，亚太地区的企业用户对企业信息安全的认知相当高，尽管i t 预算紧缩， 但用于安全性解决方案的比例仍有逐渐增长的趋势。我国信息安全市场，随着国家信息安 1 ( c ) o r n p u t e r ( e ) m e r g e n c ya n d ( r ) e s p o n s ef r ) e a m ：简称c e r r r ，紧急事件反应小组，主要从事i n t e m e i 安全攻击、处理计算 机安全事故并且发布安全事件和警报。 ：i 坠! ! ! 堡垒垫! 型f 堡鎏堡! 里! 垡! 塑! ! 堡竺墨全壁董墨盟立塑查塑塑堕坚垫塑： 第1 页 国防科学技术大学研究生院学位论文 全工业快速发展，政府与民间企业对信息安全也有了相当程度的认识，对信息安全的投入 逐渐加大，m i c l 最新研究报告预估，我国对信息安全的资金投入将由2 0 0 3 年的人民币 1 8 3 亿元增长到2 0 0 6 年的3 8 8 亿元，平均每年增长率达到2 6 2 1 4 1 。 尽管世界各国对信息安全技术的研究都很重视，不遗余力的投入大量资金和人力，取 得了很大成绩，也研究出很多先进的技术。但是目前的信息安全的保障方法尚存在以下重 要问题。 对病毒破坏的防范是事后性的。防病毒软件一般是通过查找病毒特征码来识别程 序是否感染病毒，但病毒的形态多种多样，且处在不断的变异和发展中，防病毒 软件无法准确识别新的或变异的病毒。必须在病毒发作后才能发现新的病毒，从 而研究出对应的查、杀方法，防范工作始终处于被动和滞后状态。事实上，未知 病毒的防范早已是国际学术界公认的挑战性难题。 对信息窃取缺乏有效防御手段。对于个人或者组织，重要信息被窃取所造成的后 果可能是灾难性的。随着信息化的发展，网络更是无处不在，但由于计算机系统 的缺陷或用户的疏忽，计算机系统中的信息很容易被他人从网络上窃取。一些常 见的案例是，用户不小心将存有机密信息的笔记本电脑联网，或者存有机密信息 的移动硬盘挂到联网的计算机上，导致机密信息泄漏，对国家和个人造成重大损 失。但由于缺乏有效的防御手段，专家们目前能够做的就是警告用户不要将计算 机联网。很多关键部门为了避免网络泄密不得不强制要求计算机不得联网，这在 一定程度上提高了安全性，但却降低了办公效率，是信息化建设的退步。而且这 个措施也不能解决那些必须联网的计算机所面临的问题。 紧紧地依赖于操作系统的安全性。自操作系统出现以来，操作系统就始终处于计 算机系统安全体系的核心、是计算机系统安全的基础。操作系统的诚实性、安全 性始终是用户尤其是安全敏感用户的关注焦点。为了确保安全，避免受制于人， 不少国家不惜投入巨资研制自己的安全操作系统。毫无疑问，不诚实的o s 以及 不诚实的应用程序的危害同样是致命的，这是比防范未知病毒更具挑战性的课题， 研究成果尚未见到正式报道。 可见，信息安全技术的研究仍然还有很长的一段路要走。为了避免“亡羊补牢”事后 性的切肤之痛，一种有效的信息安全保护方法已经成为计算机研究领域最具挑战性的前沿 课题，如果能够在技术和实际上的取得突破性进展，对国家、企业和个人都具有重大意义。 1 。2 信息安全的相关工作 目前，信息安全领域的技术和成果很多，本节将介绍一些主要研究工作的基本原理及 其研究现状，并讨论其中存在的一些问题。 ：i 塑) ! 生璺i ! ) ! 塑婴苎! ! 璺f 9 塑! ! ! ：鱼墨塑堕堕塑堂： 第2 页 国防科学技术大学研究生院学位论文 1 2 1 计算机病毒和反病毒软件 电脑病毒并非是最近才出现的新产物，事实上，早在1 9 4 9 年，距离第一部商用电脑 的出现仍有好几年时，电脑的先驱者约翰冯诺依曼( s o uv o nn e u m a n n ) 在他所撰写的一篇 论文复杂自动装置的理论及组织的进行，即已把病毒的蓝图勾勒出来一种“能够 实现复制自身的自动机”【5 】。当时，绝大部分的电脑专家都无法想象这种会自我繁殖的程 式是可能的，可是少数几个科学家默默的研究冯诺依曼所提出的概念。直到十年之后，在 美国电话电报公司( a t & 日的贝尔( b e l l ) 实验室中，这些概念在种很奇怪的电子游戏 “磁芯大战( c o r e w a r ) ”中成形了。 两方各写一套程序，输入同一部电脑中，这两套程式在电脑记忆系统内互相追杀，一 直到某一方的程式被另一方的程式完全吃掉为止。有人编写了一个叫爬行者( c r e e p e r ) 的程 序，每一次把它读出时，它便自己复制一个副本；此外，它也会从一部电脑“爬”到另一 部有连线的电脑，很快的电脑中原有的资料便被这些爬行者挤掉了，爬行者的唯一生存目 的是繁殖，这就是计算机病毒的最初模型。为了对付“爬行者”，有人写出了“收割者” ( r e a p e r ) 。它的唯一生存目的便是找到爬行者，把它们毁灭掉，这就是杀毒软件的祖先。 反病毒软件基于特定的操作系统，以应用软件的形式实现对病毒的查、杀、防，其关 键是病毒的识别。它是通过查找病毒特征码来识别程序是否感染病毒，但是对于新出现的 病毒，防病毒软件就无法准确识别。只有在病毒发作后，分析出病毒的特征，才能研究出 对应的查、杀方法，所以杀毒软件的工作始终处于一种被动的状态。同时，由于病毒的种 类愈来愈多，病毒的特征库也随之膨胀，自然就会大大的降低杀毒软件的工作效率，为了 在效率和效果之间达到一个比较好的平衡，防病毒软件会丢弃一些过时的病毒特征，那么 具有这些被丢弃特征的病毒对防病毒软件来说就是新的病毒了。事实上，对未知病毒的防 范一直没有找到有效的方法，早已是国际学术界公认的挑战性难题。 所以，尽管反病毒软件目前的地位和起到的巨大作用仍然无法替代，但由于它的先天 性的不足，确实需要有理论上更为可靠的手段防治病毒，以避免其事后性所带来的切肤之 痛。 1 2 2 防火墙 防火墙是一个位于计算机或路由器和它所连接的网络之间的软件。所有流入流出的网 络通信均要经过防火墙。 防火墙对流经它的网络通信进行扫描，能够过滤掉一些攻击，以免其在目标计算机上 被执行。防火墙还可以关闭不使用的端口，而且它还能禁止特定端口的流出通信，封锁部 分特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的通信。 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标 计算机。用户可以将防火墙配置成不同的保护级别。高级别的保护会禁止一些服务，如视 频流等，这些依据用户的选择。 第3 页 国防科学技术大学研究生院学位论文 防火墙有不同类型。一个防火墙可以是硬件自身的一部分，可以将因特网连接和计算 机都插入其中。也可以在一个独立的机器上运行，该机器作为它背后网络中所有计算机的 代理和防火墙。 防火墙是接入网络的计算机一种比较有效的安全手段。但是，它并不能完全的过滤所 有恶意攻击，而且安装了防火墙之后，计算机的网络信息传输会明显的降低。 1 2 3 软件安全认证 软件安全认证技术可以说是解决病毒问题的另一种思路，基本做法是：在计算机上安 装一个安全认证软件，当有软件要在机器上运行时，安全认证软件将进行检查，如果该软 件通过某个机构认证过，并且没有发现被修改，则允许运行。国内的“东方卫士”软件就 采用了此种思想，微软的p a l l a d i u m 计划里也准备这么做。 这种方法对未知病毒有一定的防范作用，但实际操作中至少还存在以下问题： 谁也不能保证经过安全认证的软件就是安全的。一旦系统崩溃，连谁是肇事软件 都可能查不出来，更不用说即使查出来了，造成的破坏也已经是既成事实了。 应用软件成千上万，并不是每一个软件均会选择通过安全认证的，没有经过安全 认证的软件就不能用，这是用户难以接受的。 这么多的认证机构，他们的可信度也是必须考虑的。 轻易相信某个未经严格检验的产品的安全性，后果将可能是灾难。据报道，美军曾计 划耗资1 5 亿美元开发“电脑病毒武器计划”，其中一个重要内容就是研究如何把“病毒源” 固化在出口的计算机或电器中，一旦发生经济、外交、军事冲突，就利用电子手段激活“病 毒源”，使敌方指挥系统失灵。而在海湾战争中，美军在战略空袭发起前，以遥控手段激 活病毒，造成伊拉克防空指挥中心主计算机系统程序发生错乱，致使防空体系中的预警系 统瘫痪，为美军顺利实施空袭创造了有利条件。也许大家还记忆犹新，微软、i n t e l 这些著 名的大公司曾经信誓旦旦地声称他们的操作系统、c p u 是没有恶意的，但几年前就有报道 揭露这些产品中设有安全后门。 1 2 4 一些基于硬件的解决方案 近年来，基于硬件的安全解决方案方兴未艾。国内外很多厂商、研究小组都开始了基 于硬件的安全系统的研究、设计与实现。美国科技公司在2 0 0 2 年计算机安全会议上发表 了数项声明，表示将采用将安全功能嵌入微处理器和其他硬件的方案。专家们认为，基于 硬件的安全系统比安全软件更不容易被破坏。 目前，国内外关于安全硬件的研究工作主要包括： 1 ，安全c p u 安全c p u 研究是一种硬件防病毒思想，其中一个很重要的方面是提供防止缓冲区溢出 第4 页 国防科学技术大学研究生院学位论文 ( b u f f e ro v e r f l o w ) 的硬件支持。在b u g t r a q l 的调查中，有2 3 的被调查者认为缓冲区溢出漏 洞是一个很严重的安全问题。据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的 8 0 以上。国内2 0 0 2 年研制的“龙芯”c p u ，就提供了防缓冲区溢出的硬件支持f 6 j 。 据报道，英特尔将在下一版台式处理器p r e s c o t t 中推出l ag r a n d e 安全技术。该技术可 减少黑客入侵电脑窃取用户的信用卡号码，或偷窥硬盘中的资料，可保护用户资料、用户 身份、以及交易资料等。它将与微软的安全计划p a l l a d i u m 以及其他软件相配合使用。如 果计划属实，那么目后的i d 身份验证将不再单由软件执行确定，而是由软件和硬件共同 执行。在软件认证时采用硬件配合的好处是启动p c 时基本的指令不会被恶意修改，而 这正是微软p a l l a d i u m 安全计划的初衷。 要想从c p u 角度提升对未知病毒的防范能力，还需要进一步加强研究。 2 安全物理协处理器 与安全协处理器相关的研究工作很多f 7 _ 1 1 1 ，其中使用安全物理协处理器的d y a d 7 8 l 系统 是c a r n e g i em e l l o n 大学的一个研究项目。它使用了物理安全的协处理器，通过新的协议和 系统，解决了很多复杂的安全问题。 这些协处理器可以被生产成主板或者集成电路芯片，因此可以直接插到工作站或者p c 上。安全协处理器硬件模型由c p u 、r o m 、n v m 三个部分组成。其中n v m 存放需要保 护的数据。c p u 进行相关的安全处理，运行安全协处理器软件和相关计算，而r o m 则是 进行运算必须的设备。 这个硬件模型和主机系统联合工作，启动前，先启动这个安全协处理器，然后由这个 协处理器控制整个主机系统的启动，决定是否运行主机c p u 。当需要使用被保护的数据的 时候，需要向安全协处理器发出请求，然后由安全协处理器的软件控制对n v m 数据的访 问。在整个使用过程中，访问的数据是经过加密保护的，使用协处理器是需要身份验证的， 这些都是需要一个实际可行的加密算法支持。 3 基于智能卡的安全系统 以商业智能卡的形式开发目前可用的、安全的、便宜的硬件产品，并将它们和现有普 遍标准集成，而且易于将它们装入现有的计算机系统。 为了实现有效实用、系统安全的智能卡，n a o m a m i t o i 等人进行了三项主要工作【1 2 - 1 3 o 扩展了k e r b e r o sv 5 认证协议，该协议使用一个智能卡来增强安全性。 对u n i x 文件系统进行了一个扩展，开发s c f s ( s m a r t c a r df i l es y s t e m ) ，既提供了 方便友好的用户界面来安全使用智能卡进行个人存储，又解决了在工作站和智能 卡之间的简单通讯框架问题。 1 b u g t r a q 是家叫s e c u r i t y f o r c e 的小安全公司建立的网络黑客社区，曾经抢先公布历史上最丑名昭著的病毒或软件漏 洞。 第5 页 国防科学技术大学研究生院学位论文 设计了智能卡上的1 p 协议的实现计划。 4 加密硬盘 四种主要方法包括： 修改硬盘分区表信息 对硬盘启动加口令 对硬盘实现用户加密管理 对某个逻辑盘实现写保护 目前的一些加密卡使用计算机网络技术领域安全协议中密钥管理协议，对计算机存储 在硬盘中的信息在进出硬盘时由硬件进行加密，确保存储在硬盘中的数据达到介质级安 全，使非法用户无法取得已加密的文件内容，从而实现对硬盘访问的加密保护。 5 基于硬件的身份认证技术 在r s a 安全公司主持召开的r s a 会议上，i b m 和t a r g u s 系统公司公布了一种根据生 物测定学原理研制的指纹阅读器，这种指纹阅读器内置于p c 卡中，可以平滑地插进m m t h i n k p a d 笔记本卡槽中，使用它可以让计算机用户使用指纹鉴定自己的身份和访问数据， 而不必再使用密码。 另外，v e f i s i g n 公司和“凤凰”技术有限公司研究使计算机用户的身份与特定的计算机 连接在一起，将把v e f i s i g n 开发的名为“根密匙( r o o tk e v l ”的软件集成到“凤凰”公司 f i r s t b i o s ( 输入输出系统) 中。大多数个人计算机制造商都使用“凤凰”公司的b i o s ，它 存储在微处理器中的软件程序，用来启动、配置和关闭计算机。 最终实现的安全目标：被窃取的用户名称和密码在其他任何机器上都毫无用处，根据 v e r i s i g n 公司b o bp r a t t 介绍，如果计算机被盗，除了授权用户可以有效使用这台计算机外， 其他任何人都对它无可奈何。 6 物理隔离技术 此类技术相关产品中，单硬盘隔离卡是目前国内最先进的客户端物理隔离产品，也是 国外普遍所采取的隔离技术( 包括美国军方) ，其实现原理是将原计算机的单个硬盘从物理 层上分割为公共和安全两个分区，安装两套操作系统，从而实现内外网的安全隔离。单硬 盘隔离卡有严密的硬盘数据保护功能，有方便的使用方式如使用热启动切换两个网络，并 有较强的可扩展功能，如可实现低端的双硬盘隔离卡不能实现的数据安全传输功能等。用 户可以根据自己的需要在不同的网络环境( 内网或外网冲自由切换，操作时感受不到任何 区别。 采用严格的物理隔离，用硬件手段使用一块硬盘来实现局域网、广域网、互联网“三 网”隔离，从而达到防“病毒”和“黑客”的目的1 4 5 l 。 第6 页 国防科学技术大学研究生院学位论文 1 2 5 其他技术 信息安全领域的研究工作从来就没有停止过。每隔一段时间就会有新的安全措施被提 出。例如，微软的p a l l a d i u m 计划就企图彻底修改现行的p c 架构，以真正解决安全、个人 隐私等问题【1 4 l ，这种技术我们将在第四章详细讨论。还有人提出了“自安全设备”概念【1 5 - 1 7 l ， 给计算机构成部件如网卡、路由器、交换机、存储设备等，增添内在的自主安全性。 还有诸如入侵检测、安全操作系统、灾难恢复等安全技术，它们都可以在一定的程度 上保护信息的安全。但是也都存在着自身的不足。 1 3 研究内容和主要贡献 硕士课题研究期间，在提出显式授权方法的基础上，对信息安全的保护方法进行进一 步的研究，主要的工作如下： 与课题组成员共同研究提出显式授权方法，并证明了其安全性质。 对信息安全威胁的主要来源恶意程序进行了大量的实例分析，发现几乎所有 的恶意程序在执行过程中需要对外存储系统进行访问。 探讨了安全和体系结构之间的关系，并研究了国际上的一些安全体系结构。 提出基于显式授权的计算机体系结构模型，并论证了该体系结构的可信性和可行 性以及对信息保护的性质。 将基于显式授权的计算机系统与微软的n g s c b 进行比较。 对基于显式授权的体系结构进行软件模拟。 在模拟的基础上，对基于显式授权的体系结构的安全性能进行测试，得到了良好 的结果。 1 4 论文组织 本文的结构如下： 第一章，绪论。介绍了目前信息安全保护迫切性和形式的严峻性，以及当前流行的信 息安全的保护方法，例如防毒软件、防火墙等。 第二章，信息安全体系结构。论述了信息安全和体系结构的关系；并介绍了两种与信 息安全相关的标准，“中国计算机信息系统安全保护等级划分准则”和“可信计算机系统 安全评价准n ( t c s z c ) ”。 第三章，基于显式授权的计算机体系结构。提出了基于显式授权方法的计算机体系结 构；论证其可靠性和可行性以及对信息保护的性质。 第四章，显式授权与n g s c b 的比较分析。将基于显式授权的计算机系统与微软 第7 页 国防科学技术大学研究生院学位论文 p a l l a d i u m 计划的核心思想n g s c b 进行比较分析。 第五章，显式授权方法对恶意程序的防范的实例分析。对2 0 0 4 年2 月9 日到2 0 0 4 年 4 月2 2 日t r e n d m i c r o 网站上公布的1 5 1 种的恶意程序进行分析，发现所有的1 5 1 种恶意程 序都存在对外存储系统的访问，显式授权方法在理论上可以捕获所有这些恶意程序。 第六章，系统模拟实现。给出总体方案，介绍已经实现的存储安全部分。 第七章，攻击测试。就已经实现的模拟，采用d d o s 工具，病毒等手段进行攻击测试。 给出测试结果。 第八章，总结。 第8 页 国防科学技术大学研究生院学位论文 第二章信息安全体系结构 2 1 安全体系结构 随着计算机的广泛应用，特别是在金融、政府及军事等重要部门的应用，人们越来越 关注计算机系统的安全问题。渗透测试( p c n e t r a t i o t e s t i n g ) 技术和老虎队分析( t i g e rt e a m a n a l y s i s ) 方法的不断深入，使潜藏在目前所使用系统中的大量安全问题逐渐暴露出来。这 其中有些问题可以在现有系统上通过打补丁的方式来排除，而有的是无法在原有系统上进 行补救的，只有重新改造系统，甚至重新设计系统才能有效的解决。 2 1 1 安全体系结构的含义及类型 建立一个计算机系统往往要满足许多要求，如安全性、性能、可扩展性、容量等，这 些要求通常是有冲突的。将它们协调地纳入系统并有效的实现、满足所有的要求是不可能 的，对系统满足要求的程度必须在各种要求之间折衷考虑，并通过恰当的实现方式表达， 实现时按各项要求有轻重之分，这就是体系结构要完成的主要任务。所谓个计算机系统 的安全体系结构，它包含如下几方面的内容 1 8 l ： 1 详细描述系统中安全相关的所有方面。这包括系统可能提供的所有安全服务及保 护系统自身安全的所有措旋，描述方式可以用自然语言，也可以用形式语言。 2 在一定的抽象层次上描述各个安全相关模块之间的关系。这可以用逻辑框图来表 示。这在抽象层次上按满足安全需求的方式描述了系统关键元素之间的关系。 3 提出指导设计的基本原理。根据系统设计的要求及工程设计的理论和方法，明确 系统设计各个方面的基本原则。 4 提出开发过程的基本框架及对应于该框架体系的层次结构。它描述确保系统忠实 于安全需求的整个开发过程的所有方面。为了达到此目的，安全体系总是按一定的层次结 构进行描述，一般包括：系统开发的概念化阶段，它是安全概念的最高抽象层次的处理， 如系统安全策略，要求的保障程度( 保障级别) ，系统安全要求对开发过程的影响，以及总 体指导原则等；系统开发的功能化阶段，当系统体系已经比较确定时，安全体系必须进一 步细化来反映系统的结构。 在美国国防部的“目标安全体系”( d o dg o a ls e c u r i t ya r c h i t e c t u r e ) r 争，把安全体系划分 为以下四种类型1 1 8 1 ： 1 抽象体系( a b s t r a c ta r c h i t e c t u r e ) 抽象体系从描述需求开始，定义执行这些需求的功能函数；之后，定义知道如何选用 这些功能函数及如何把这些功能有机组织成为一个整体的原理及相关的基本概念。在这个 层次的安全体系就是描述安全需求，定义安全功能及它们提供的安全服务，确定系统实现 第9 页 国防科学技术大学研究生院学位论文 安全的指导原则及基本概念。 2 通用体系( g e n e r i ca r c h i t e c t u r e l 通用体系的开发是基于抽象体系的决策来进行的：它定义了系统分量的通用类型 ( g e n e r i ct y p e ) ) 及使用相关行业标准的情况，它也明确规定系统应用中必要的指导原则。 3 逻辑体系( 1 0 9 i ca r c h i t e c t u r e ) 逻辑体系就是满足某个假设需求集合的一个设计，它显示了把一个通用体系应用于具 体环境时的基本情况；逻辑体系与下面将描述的特殊体系的仅有的差别是：特殊体系是使 用系统的实际体系，而逻辑体系是假想的体系，是为理解或者其它目的而提出的。因为逻 辑体系不是以实现为意图的，因此无需实施开销分析。在逻辑安全体系中，逻辑设计过程 往往伴随着对特殊体系中实现的安全分析的解释。 4 特殊体系( s p e c i f i ca r c h i t e c t u r e ) 特殊安全体系要表达系统分量、接口、标准、性能和开销；它表明如何把所有被选择 的信息安全分量和机制结合起来以满足正在考虑的特殊系统的安全需求；这里信息安全分 量和机制包括基本原则及支持安全管理的分量等。 2 1 2 计算机系统安全体系结构设计的基本原则 面对一个复杂的计算机系统设计，如何才能提出一个好的安全体系结构，使系统很好 的满足系统设计时提出的各种要求。人们经过大量的实践，在总结经验，分析原型系统开 发中失败原因的基础上，提出了在安全体系结构的设计中应该遵守的基本规律【1 8 1 。 1 从系统设计之初就考虑安全性 在不少系统的设计中，开发者使用的开发思想都是：先把系统建成，再考虑安全问题。 其结果是，安全的实现无法很好地集成到系统中，为了获得必须的安全性，不得不付出巨 大的代价。之所以会出现这样的情况，是因为设计一个系统时达到系统要求的方法是多种 多样的，有的对安全有利，有的则对安全不利，这样一来如果没有一个安全体系结构思想 来指导系统设计的早期决策，就完全有可能选择了有致命安全缺陷的设计思路，使得系统 设计完成后再添加安全功能时必须付出比选择其它方案要多很多倍的代价才能获得与该 方案相同的效果。经验丰富的系统设计专家g a s s e r 指出，开发大系统的实践经验表明，除 非系统设计的早期考虑了安全对系统的影响，否则最后设计出来的系统很少会获得有意义 的安全性。因此，在考虑系统体系结构的同时就应该考虑相应的安全体系结构。 2 应尽量考虑未来可能面临的安全需求 安全体系结构除了充分考虑当前的安全需求外还应着眼于未来。考虑一些没有计划要 直接使用的潜在的安全属性，由于设计时已经纳入了这些“预设的”安全问题，这样一束 当未来系统要实施安全增强时，其开销显然很小，而且开发时由于预留了接口会带来很大 第1 0 页 国防科学技术大学研究生院学位论文 方便；即使预留的安全特性在系统的后续开发中从来未用过，系统因预留接口而造成的损 失往往也是很小的。 3 隔离安全控制，并使其最小化 为了获得高可信的系统安全，设计者应该极小化系统内部设计中安全相关部分的复杂 性及规模尺度，也就是说，应尽量优化结构，使其复杂性尽可能极小化，同时还应该尽量 保障各相对独立功能模块在程序量上的极小化。体系结构设计中考虑安全控制的隔离性和 极小化，可以确保设计者在向系统添加新的、有用的安全属性时，系统的可靠性不发生改 变。 4 实施特权的最小化 与隔离安全机制紧密相关的概念就是最小特权原理，该原理的基本点是：无论在系统 的什么部分，只要是执行某个操作，执行该操作的进程除能获得执行该操作所需要的特权 之外不能获得其它的特权。通过实施最小特权原理，可以限制因错误软件或恶意软件造成 的危害。 5 结构化安全相关功能 系统体系应该便于确定系统安全相关的各个方面，以便可以快速对系统的大部分进行 检验，这对安全系统是非常重要的；一个好的安全体系必须：安全控制是隔离的、最小化 的；对安全相关的功能有一个清晰的、易于规范的接口。 6 使安全相关的界面友好 在设计安全机制时，遵循如下的原则使有帮助的： 1 ) 安全不应当对服从安全规则的用户造成影响； 2 ) 给予用户访问应该是容易的： 3 ) 限制用户访问应该是容易的； 4 ) 建立合理的缺省规则。 7 不要让安全依赖干一些隐藏的东西 系统安全体系的一个重要的目标就是让安