本质安全型集中式控制安全操作系统研究

本质安全型集中式控制安全操作系本质安全型集中式控制安全操作系 统研究统研究 本文以嵌入式系统为背景 结合智能卡技术和现有一般的 安全操作系统研究方法 提出一种全新的安全控制策略 针对 嵌入式系统应用环境中面临的问题给出有效解决方法 最后 结合 linux 操作系统 给出一种本质安全型集中式控制安全操作 系统模型 描述它所具有的安全特性 关键词 安全操作系统 安全模型 集中式控制 本质安全型 强制存取控制引言操作系统 作为底层系统软件 负责为应用程序提供运行环境和访问硬件 的接口 它的安全性是信息安全的基础 现在操作系统面临的 威胁与攻击多种多样 安全操作系统已经不再局限于仅提供安 全的存取控制机制 还要提供安全的网络平台 安全的信息处 理平台和安全的进程通信支持 在嵌入式系统中 由于系统软 件和硬件设计的特点 很容易从硬件和软件直接进行拷贝 操 作系统的安全性应有更特殊的考虑 操作系统不但要对保存的 数据提供安全保证 而且还要考虑自己运行的硬件平台和系统 本身的安全性 在现有操作系统中 有关系统安全控制的代码 是分散到系统中的 这对系统性能的影响降到了最低 但是 如果要添加新的控制机制 必须会引起大量的修改 由此将带 来潜在的不稳定性和不一致性 随着系统硬件性能的成倍增长 人们逐渐将目光转移到集中式控制上来 在操作系统设计初期 安全模块应该被独立地提出来 成为操作系统设计需要考虑的 一部分 智能卡技术是一种软硬件结合的安全保护技术 经常 用于身份验证和存储加密信息 由于自身的硬件特性 它可以 防止非法读取和篡改 同时 智能卡本身具有加密的文件系统 可以对信息进行安全的保护 在我们研究操作系统安全问题时 首次将智能卡技术引用到安全控制当中 作为整个安全体系结 构的保证 智能卡用于对操作系统本身和运行的平台进行标识 可以对用户身份 进程的合法性进行严格的控制 1 存取控制和安全模型存取控制是系统安全的核心内容 存取控制按照一定的机制 在系统主体对客体进行访问时 判 定访问请求和访问的方式是否合法 返回判定结果 一般情况 下 有两种存取控制方式 自主存取控制 dac discretionary access control 和强制存取控制 mac mandatory access control 1 自主存取控制 dac 是安全操作系统最早期的存 取控制方式 客体的所有者可以将客体的访问权限或者访问权 限的子集授予其它主体 在类 unix 系统当中 系统提供 owner group other 的控制方式 就是一种典型的自主存取控制 方式 2 强制存取控制在自主存取控制当中 由于管理不当 或者操作失误 可能会引起非法的访问 并且不能有效地防御 特洛伊马病毒的攻击 在信息保密要求比较高的领域 人们提 出了强制的存以控制方式 给系统提供一道不可逾越的访问控 制限制 强制存取控制主要通过安全级的方式实现 安全级含 密级和部门集两方面 密级又分为无密 秘密 机密 绝密四 级 系统中主体和客体按照一定的规则被赋予最高安全级和当 前安全级 系统主体的部门集表示主体可以涉及猎的信息范围 系统客体的部门集表示该信息涉及的信息范围 强制存取控制 抽象出三条访问原理 的主体的安全级高于客体 当且仅当 主体的密级高于客体的密级 且主体的部门集包含客体的部门 集 主体对客体具有读权限 当且仅当主体的安全级高于客 体的安全级 主体对客体具有写权限 当全仅当主体的安全 级低于或者等于客体的安全级 安全模型是系统安全特性的描 述 是对安全策略的一种数学形式化的表示方法 一般的安全 操作系统的设计方法 通常是先设计安全模型 对安全模型进 行分析 并且给出数学证明 安全模型的设计是研究安全操作 系统的重要成果 可以对安全系统设计提供结构清晰 功能明 确的指导 这里主要介绍 blp 安全模型 blp 模型是人们对安全 策略的形式化描述 它通过系统安全级的划分来保证系统存取 的合法性 blp 模型定义了一系列的安全状态和状态转换规则 如果保证系统启动时处于安全状态的话 即可按安全转换规则 在各个安全状态之间转换 下面介绍 blp 模型的具体规则 系 统的主体和客体均被赋予一定的安全级和部门集 主体安全级 包含最高安全级的当前安全级 主体对于客体的访问方式包括 只读 只写 执行 读写 blp 模型定义了两具安全特性 并且 证明了只要系统遵循这两个模型 便可认为系统处于安全状态 并可在状态之间进行转换 这两个特性是简单安全特性和 特性 1 简单安全特性 ss property 如果一个主体对一个客体具 有读的权限 则客体的安全级不能比主体的最大安全级高 2 特性 property 主体对客体有只写的权限 则客体的 安全级至少和主体的最高安全级一样高 主体对客体有读权限 则客体的安全级不会比主体的当前安全级高 主体对客体有读 写权限 则客体安全级等于主体的当前安全级 人们习惯上将 简单安全特性看成限制向上读 将 特性看成限制向下写 blp 在多年的研究当中被认为可以有效防止特洛伊马病毒的攻击 但是仍然存在两个问题 系统具有动态的信息处理 例如主 体的安全级的变化 都是有可信进程来实现的 但是 blp 模型 并没有对可信进程进行说明 可信进程也不受 blp 模型的限制 blp 模型不能防止隐通道 2 系统实现原理根据上面的分析 我们提出了一种本质安全型 以进程控制为中心 集中式管理 方式的安全控制方法 下面结合 linux 操作系统说明具体的实现 原理 以 wolf linux 来指具有这种控制机制的安全操作系统 本 质安全是指一种建立在特殊的硬件设备上 smart 卡 具有特 殊的体系结构 可对操作系统本身 进程合法性和运行权利进 行验证的安全机制 系统的安全控制分为六部分 进程管理器 安全服务器 文件系统伺服器 进程通信伺服务器 网络伺服 器和审计模块 总体结构如图 1 所示 进程管理器 安全服务 器 wolf linux 安全控制的核心部分 审计模块负责对系统的安全 性事件进行记录 其它部分是安全控制的执行模块 从图 1 中 可以看出 sim subscriber identity module 卡处于系统的安全 模块中 保存系统的关键信息 集中式管理主要体现在进程控 制器部分 安全判定和安全执行的分离使得任何存取操作都不 可能绕过安全控制机制 系统中所有的安全事件都通过进程控 制器来判定是否可行 安全执行模块负责在访问操作发生时抽 象主体和客体 提交访问请求并执行访问结果 下面主要介绍 各个模块的功能原理 1 安全服务器和 sim 卡系统的安全服 务器负责提供系统支持的安全策略 在系统启动时 安全服务 器初始化系统支持的安全策略 它的初始化过程中重要的一步 是读智能卡中的信息 验证系统的身份 安全服务器提供的接 口有三类 与智能卡的接口 在智能卡中保存系统的关键信 息 例如系统的有效使用时间 操作系统身份 id 这个 id 号相 当规模识了一个合法的系统身份和系统用户身份信息 在系统 的安全特性部分还会讨论 安全模块通过智能卡的驱动程序 负责与智能卡信息的安全交互 并提供访问智能卡的操作函数 与进程控制器交互的接口 安全服务器只负责实现对安全策 略的支持 而不管判定访问操作是否合法 进程控制器在判定 访问是否合法时 使用安全服务器提供规则 提供给系统管 理的接口 由于在安全模块当中实现了策略的独立性 所以安 全模块可以在实现对多种策略的支持 接口函数包括安全模块 的初始化接口 安全策略的注册接口 安全策略的管理接口 通过这些接口函数可以实现对安全策略的配置 系统安全特性 针对不同的工作环境 可以动态变化 安