可信操作系统设计

1、2021-6-25西安电子科技大学计算机学院1 2021-6-252 设计可信操作系统设计可信操作系统 一、可信操作系统与安全操作系统一、可信操作系统与安全操作系统 二、安全策略二、安全策略 三、安全模型三、安全模型 四、设计可信操作系统四、设计可信操作系统 五、可信操作系统的保证五、可信操作系统的保证 2021-6-253 可信操作系统与安全操作系统可信操作系统与安全操作系统 n操作系统：在计算机系统中，操作系统是设操作系统：在计算机系统中，操作系统是设 计在硬件上的第一层软件，是对计算机系统计在硬件上的第一层软件，是对计算机系统 的第一次扩充，是其他程序运行的基础。他的第一次扩充，是其他程

2、序运行的基础。他 主要提供以下功能：主要提供以下功能： 处理器管理处理器管理 存储器管理存储器管理 文件管理文件管理 设备管理设备管理 用户与计算机的接口用户与计算机的接口 2021-6-254 可信操作系统与安全操作系统可信操作系统与安全操作系统 操作系统同时也是安全的主要提供者。操作系统同时也是安全的主要提供者。 由由于其强大功能，所以也成为被攻击的对于其强大功能，所以也成为被攻击的对 象，一旦突破操作系统的防线，就可以肆象，一旦突破操作系统的防线，就可以肆 意修改计算机的任何内容了。意修改计算机的任何内容了。 今天，计算机操作系统的安全显得日今天，计算机操作系统的安全显得日 益重要，如何

3、设计安全可信的操作系统，益重要，如何设计安全可信的操作系统， 就是我们下面要讨论的问题。就是我们下面要讨论的问题。 2021-6-255 可信操作系统与安全操作系统可信操作系统与安全操作系统 nSecure 1、either - or 2、property of presenter 3、asserted 4、absolute 5、a goal nTrusted 1、graded 2、property of receiver 3、judged 4、relative (judged in context of use) 5、a characteristic 可信操作系统不一定是安全的，但是它要求的

4、是满足用可信操作系统不一定是安全的，但是它要求的是满足用 户的安全需求，同时也满足用户的性能需求，不是一味追求户的安全需求，同时也满足用户的性能需求，不是一味追求 安全而损害了操作系统的性能，从而在安全与性能中间达到安全而损害了操作系统的性能，从而在安全与性能中间达到 一种平衡。一种平衡。 2021-6-256 从用户的角度来考虑，如果一个操作系统从用户的角度来考虑，如果一个操作系统 能够连续高效地保证提供能够连续高效地保证提供内存保护、文件保内存保护、文件保 护、对系统中所有对象地访问控制和用户鉴定护、对系统中所有对象地访问控制和用户鉴定 与识别等服务与识别等服务，那我们就说此系统是可信地。

5、，那我们就说此系统是可信地。 但是对于一个开发者来说，要从操作系统地但是对于一个开发者来说，要从操作系统地设设 计计和操作系统所能提供安全服务的和操作系统所能提供安全服务的组件功能组件功能来来 看一个操作系统的可信度。设计一个可信的操看一个操作系统的可信度。设计一个可信的操 作系统，必须考虑以下四个环节：作系统，必须考虑以下四个环节：安全策略、安全策略、 安全模型、设计和可信度安全模型、设计和可信度。 用户和设计者看操作系统用户和设计者看操作系统 2021-6-257 Security Policies . 一、定义一、定义: The set of laws, rules, and pract

6、ices that regulate how an organization manages, protects, and distributes sensitive information. 二、一些比较常见的策略二、一些比较常见的策略 2021-6-258 一些比较常见的策略一些比较常见的策略 nMilitary/Government Policy nClark-Wilson: policy of constrained change. nSeparation of Duty: required division of responsiblity nChinese Wall: confli

7、ct of interest policy nOriginator Controlled nRole based access control n 2021-6-259 Military Security Policy Military security policy ：它主要用于保护机密信息。：它主要用于保护机密信息。 将每段信息都标有将每段信息都标有敏感级别敏感级别，用户对信息访问基于，用户对信息访问基于 need-to-know规则规则。 我们注意以下几点：我们注意以下几点： 1、信息的敏感级别、信息的敏感级别 2、needtoknow规则：规则： 允许使用者最小限度地访问敏感信息。允许

8、使用者最小限度地访问敏感信息。 3、敏感性是分层的、敏感性是分层的 4、need-to-know 不分层不分层 5、Dominance relationship 2021-6-2510 Military Security Policy 绝密 机密 秘密 受限 公开 最不敏感 最敏感 图5-1 机密层次图 2021-6-2511 Military Security Policy 2021-6-2512 Military Security Policy 上面引入了上面引入了compartments这个述语，这个述语， 它是指相关于一个或多个项目的一些相它是指相关于一个或多个项目的一些相 关信息集合

9、，往往用某个名词来表示一关信息集合，往往用某个名词来表示一 个个compartment。 它的引进是为了说明它的引进是为了说明need-to-know规规 则的。一个则的。一个compartment可以处于一个敏可以处于一个敏 感级别，也可以感级别，也可以跨越多个敏感级别跨越多个敏感级别。 2021-6-2513 Military Security Policy Compartment= CRYPTO Compartment= SNOWSHOE Compartment= SWEDEN 瑞典喷气式推 进雪鞋计划 瑞典的间谍名字 密码学方面的出版物 制造雪鞋的厂家 compartments的表示：

10、CRYPTO、SNOWSHOE,SWEDEN 2021-6-2514 Military Security Policy 再引入再引入class或或classification这个概念，这个概念， 它是指敏感级别和它是指敏感级别和compartments构成的构成的 一个二元组一个二元组: 。 例如例如: , 现在来看最后一个概念：现在来看最后一个概念：dominance 用符号用符号 表示。表示。 s s表示主体，表示主体，o o表示客体。看下面的关表示客体。看下面的关 系：系： 2021-6-2515 Military Security Policy so if and only ifso

11、if and only if ranksranko and ranksranko and Compartments compartmentso Compartments compartmentso 这时，我们说这时，我们说o o支配支配s s（或是（或是s s受受o o支配）。支配）。 看下看下 面的例子：面的例子： SNOWSHOE,SWEDEN 这时我们可以说后面的这时我们可以说后面的classclass主导前面的主导前面的classclass 2021-6-2516 Military Security Policy 一个主体能够访问一个客体必须满足一个主体能够访问一个客体必须满足 下面的

12、条件：下面的条件： 主体的授权访问机密文件级别不低于被访问客体，且主体的授权访问机密文件级别不低于被访问客体，且 主体要知道他所需要的信息对应的所有分类隔离块主体要知道他所需要的信息对应的所有分类隔离块 2021-6-2517 Military Security Policy 小结：小结： Military Security Policy主要是基于敏主要是基于敏 感信息分级和感信息分级和need-to-know原则。原则。 在这样的综合模型中，授权中心严格在这样的综合模型中，授权中心严格 地控制着访问权，所以它可以在不同的地控制着访问权，所以它可以在不同的 系统设置中正常运作。授权访问和分类系

13、统设置中正常运作。授权访问和分类 也是不允许个人修改的，它们都是也是不允许个人修改的，它们都是由安由安 全中心统一管理全中心统一管理的。的。 2021-6-2518 Chinese Wall Security Policy Chinese Wall Security Policy它是一个商业安全它是一个商业安全 策略，它主要用在访问有利益冲突的竞争公策略，它主要用在访问有利益冲突的竞争公 司间信息的情况，防止泄漏商业机密。司间信息的情况，防止泄漏商业机密。 一些概念：一些概念： 对象对象 一些基本元素，比如文件，只涉及一个公司的信息。一些基本元素，比如文件，只涉及一个公司的信息。 公司组公司组

14、 描述一个特定公司的所有对象的集合。描述一个特定公司的所有对象的集合。 冲突类冲突类 所有竞争公司的对象构成的集合。所有竞争公司的对象构成的集合。 2021-6-2519 Chinese Wall Security Policy 它们之间得关系看下面的图：它们之间得关系看下面的图： 德芙 金帝 南方航 空 交行 工行 建行 图5.5 Chinese Wall 安全策略 公司组冲突类 2021-6-2520 Chinese Wall Security Policy Chinese Wall Security Policy 的访问控制原的访问控制原 理：某个主体只允许访问每个冲突类中理：某个主体只

15、允许访问每个冲突类中 的一个公司组，在一个冲突类中，这个的一个公司组，在一个冲突类中，这个 主体一旦访问了一个公司信息，那么他主体一旦访问了一个公司信息，那么他 就不能再访问同一冲突类的其他公司的就不能再访问同一冲突类的其他公司的 信息了。信息了。 2021-6-2521 Models Of Security Model: A formal (or semi-formal) representation of the policy that the OS will enforce. 模型是对策略的一种更精确的描述。模型是对策略的一种更精确的描述。 安全模型常用于：安全模型常用于： 测试一个策略

16、的完全性和一致性测试一个策略的完全性和一致性 证明一个策略证明一个策略 协助将一个功能概念化并进行设计协助将一个功能概念化并进行设计 检验一个功能的实现是否满足需求检验一个功能的实现是否满足需求 2021-6-2522 Bell-La Padula Confifentiality Model Bell-La Padula Confifentiality Model模型模型: : 对安全系统中对安全系统中信息流合法路径信息流合法路径的形式化描述。在处的形式化描述。在处 理多密级数据的系统设计中发挥了重要作用。是一个理多密级数据的系统设计中发挥了重要作用。是一个 形式化的军事安全策略，是美国国防部

17、安全评估的主形式化的军事安全策略，是美国国防部安全评估的主 要标准。要标准。 这个模型的目标：这个模型的目标： 在一个保密性十分重要的系统中能够识别出合法通在一个保密性十分重要的系统中能够识别出合法通 信。它被用来定义当一个系统需要处理不同密级数据信。它被用来定义当一个系统需要处理不同密级数据 时的安全需求。时的安全需求。 2021-6-2523 Bell-La Padula Confifentiality Model 原理：原理： 系统中有一个主体集合系统中有一个主体集合S S和一个客体集合和一个客体集合O,O,。在。在S S中的每中的每 个个 主体主体s s和和O O中的每个客体中的每个客

18、体o o都有各自的安全级别都有各自的安全级别C(s)C(s)和和C(o)C(o)。安全。安全 级别之间存在级别之间存在关系。关系。 有如下两个原则：有如下两个原则： 简单安全原则：简单安全原则： 一个主体一个主体s s可以读访问客体可以读访问客体o o，当且仅当，当且仅当 C(o)C(o) C(s)C(s)，即主体只能读取密级等于或低于它的客体。，即主体只能读取密级等于或低于它的客体。 * *特性：一个可以读访问客体特性：一个可以读访问客体o o的主体的主体s s有权对客体有权对客体p p进行进行 写操作，当且仅当写操作，当且仅当C(o)C(o) C(p)C(p)，即主体只能写密级等于或高，即

19、主体只能写密级等于或高 于它的客体。于它的客体。 2021-6-2524 Bell-La Padula Confifentiality Model 敏感客体 可信主体 O1 S1 O1 O1 O1 O1 S1 S1 O1 read write read write write write read read write 图5.7 安全信息流 （只有不读访 问高层敏感数 据的情况） 2021-6-2525 Bell-La Padula Confifentiality Model Bell-La Padula Confifentiality Model只考虑只考虑 了信息的安全性，没有考虑数据的完

20、整性，了信息的安全性，没有考虑数据的完整性， Biba model 对应于对应于Bell-La Padula Model， 但但 是只考虑数据的完整性，不考虑安全性。是只考虑数据的完整性，不考虑安全性。 Biba model（略）（略） 2021-6-2526 Tursted Operating System Design 设计一个不需要考虑安全问题的操作系统并不是件设计一个不需要考虑安全问题的操作系统并不是件 容易的事情。需要处理职权分配，考虑发生中断时对操容易的事情。需要处理职权分配，考虑发生中断时对操 作的切换，保证用户运行速度和精确性等等一系列问题。作的切换，保证用户运行速度和精确性等

21、等一系列问题。 若再加上安全性问题就更难上加难了。这部分我们着重若再加上安全性问题就更难上加难了。这部分我们着重 讨论设计操作系统时在安全方面所要考虑的问题。讨论设计操作系统时在安全方面所要考虑的问题。 好的软件工程原理告诉我们，在设计系统时，安全好的软件工程原理告诉我们，在设计系统时，安全 的考虑易早不易迟。这部分我们主要考虑设计高安全等的考虑易早不易迟。这部分我们主要考虑设计高安全等 级的操作系统，着重讨论操作系统内核的设计，安全是级的操作系统，着重讨论操作系统内核的设计，安全是 否可以有效提供，取决于操作系统内核是如何设计的。否可以有效提供，取决于操作系统内核是如何设计的。 然后讨论一点

22、分层（或环然后讨论一点分层（或环) )结构设计。结构设计。 2021-6-2527 Tursted Operating System Design 使安全覆盖操作系统全部，要做到以下两使安全覆盖操作系统全部，要做到以下两 个方面：个方面： 1、操作系统控制所有主客体之间的操作系统控制所有主客体之间的 交互，要保证交互过程中都有安全考虑。交互，要保证交互过程中都有安全考虑。 2 2、安全必须在设计操作系统开始考、安全必须在设计操作系统开始考 虑，贯穿设计全过程，而不是设计过程虑，贯穿设计全过程，而不是设计过程 中或设计完成后添加上去。中或设计完成后添加上去。 2021-6-2528 Turste

23、d Operating System Design 可信操作系统的要素可信操作系统的要素 好的设计原理有助于安全的实现，但好的设计原理有助于安全的实现，但 是下面的基本要素对于设计一个健壮、可是下面的基本要素对于设计一个健壮、可 信的操作系统是必须的：信的操作系统是必须的： 最小特权 精简机制 开放设计 完全检测 基于许可 特权分离 最小共享化 易用性 2021-6-2529 Tursted Operating System Design n普通操作系统的安全特性普通操作系统的安全特性 2021-6-2530 Tursted Operating System Design User Inter

24、face 操作系统 程序 库 cpu 内存 i/o 设备 资源分配 数 据 服务 同步 并行 控制死锁 管理 通讯 计算 图5.10 操作系统功能 2021-6-2531 Tursted Operating System Design User Interface Access Control 操作系统 程序 库 cpu 内存 用户划分 i/o 设备 资源分配 数 据 服务 Access control 同步 并行 控制死锁 管理 通讯 计算 图5.10 可信操作系统的功能 Access control Access control Access control Access control

25、Access control Access control Access control Access control 2021-6-2532 Tursted Operating System Design n从上面的对比可以看出，在设计可信操作系从上面的对比可以看出，在设计可信操作系 统时，比一般操作系统多出以下方面：统时，比一般操作系统多出以下方面： 1、对每个设备和服务的访问控制、对每个设备和服务的访问控制 2、数据和程序按照共享和私有分离、数据和程序按照共享和私有分离 3、不同用户占用内存空间的彼此分离等、不同用户占用内存空间的彼此分离等 2021-6-2533 Tursted Ope

26、rating System Design n可信操作系统（可信操作系统（TOS）的安全特性）的安全特性 2021-6-2534 Tursted Operating System Design 用户鉴别：计算机安全性之根源用户鉴别：计算机安全性之根源 。它包括。它包括 俩个步骤：俩个步骤： 找出请求访问者；找出请求访问者； 确定其真实身份。确定其真实身份。 可信操作系统要求所有访问者都必须被可信操作系统要求所有访问者都必须被 唯一识别。唯一识别。 2021-6-2535 Tursted Operating System Design 强制访问控制（强制访问控制（MACMAC）：）： 系统内的每一

27、个用户或主体根据他对敏感性客体的访问许系统内的每一个用户或主体根据他对敏感性客体的访问许 可级别被赋予一个访问标签可级别被赋予一个访问标签(access label)(access label)；同样地，系统内；同样地，系统内 的每一个客体也被赋予一敏感性标签的每一个客体也被赋予一敏感性标签(Sensitivity Label)(Sensitivity Label)以以 反映该信息的敏感性级别。系统内的反映该信息的敏感性级别。系统内的“参考监视器参考监视器”通过比较主、通过比较主、 客体相应的标签来决定是否授予一个主体对客体的访问请求。客体相应的标签来决定是否授予一个主体对客体的访问请求。 强

28、制访问控制策略既可以用来防止对信息的非授权的篡改强制访问控制策略既可以用来防止对信息的非授权的篡改( (即即 证信息的完整性证信息的完整性) )，又可以防止未授权的信息泄露，又可以防止未授权的信息泄露( (即保证信息即保证信息 的机密性的机密性) )。 2021-6-2536 Tursted Operating System Design 自主访问控制（自主访问控制（DACDAC）：）： 它允许系统中信息的拥有者按照自己的意愿去制定谁可以以它允许系统中信息的拥有者按照自己的意愿去制定谁可以以 何种访问模式去访问该客体。在这一点上对于信息的拥有者何种访问模式去访问该客体。在这一点上对于信息的拥有

29、者 来说是来说是“自主的自主的”。与强制访问控制策略相比，自主访问控制。与强制访问控制策略相比，自主访问控制 策略能够提供一种更为精细的访问控制粒度，它能够将所设策略能够提供一种更为精细的访问控制粒度，它能够将所设 的访问控制策略细化到具体的某个人，而这是强制访问控制的访问控制策略细化到具体的某个人，而这是强制访问控制 策略所做不到的。策略所做不到的。 在现实的系统中，自主访问控制机制用于授权用户访问系统在现实的系统中，自主访问控制机制用于授权用户访问系统 资源。资源。 2021-6-2537 Tursted Operating System Design 客体复用保护客体复用保护 ： 客体复

30、用是计算机系统保证其效率的一种方式。操作客体复用是计算机系统保证其效率的一种方式。操作 系统负责控制资源分配，每当一用户程序释放其占有系统负责控制资源分配，每当一用户程序释放其占有 的资源时，系统就会允许下一个用户访问。为了防止的资源时，系统就会允许下一个用户访问。为了防止 错误发生，操作系统在重新分配资源之前必须将更改错误发生，操作系统在重新分配资源之前必须将更改 过的资源过的资源恢复恢复可用状态。可用状态。 完全仲裁完全仲裁 了实现自主型和强制型访问控制，所有的访问权都是了实现自主型和强制型访问控制，所有的访问权都是 被集中控制的。而不是仅仅对文件进行访问控制。从被集中控制的。而不是仅仅对

31、文件进行访问控制。从 而避免因为漏过访问控制而非法访问系统资源。而避免因为漏过访问控制而非法访问系统资源。 2021-6-2538 Tursted Operating System Design 可信路径：可信路径： 计算机系统中，用户在一般情况并不直接与内核打交道，中计算机系统中，用户在一般情况并不直接与内核打交道，中 间还有一层应用层作为接口在用户与内核之间相互作用着，这间还有一层应用层作为接口在用户与内核之间相互作用着，这 种设计能够保护内核不会被用户肆意修改窥测，但也随之带来了种设计能够保护内核不会被用户肆意修改窥测，但也随之带来了 安全隐患安全隐患，比如：在登陆系统时，用非法截取用户

32、登陆信息来比如：在登陆系统时，用非法截取用户登陆信息来 盗取用户密码。盗取用户密码。 可信路径就是避过应用层，在用户与内核之间开辟一条直接可信路径就是避过应用层，在用户与内核之间开辟一条直接 的可信任的交互通道，从而防止重要信息在不可信路径上传输时的可信任的交互通道，从而防止重要信息在不可信路径上传输时 被盗用。被盗用。 2021-6-2539 Tursted Operating System Design 审计日志：审计日志： 在用户使用系统时，对系统资源的改动都要经过系统审计，在用户使用系统时，对系统资源的改动都要经过系统审计， 每次审计都要存储为日志。系统管理员可以通过审计日志来每次审计

33、都要存储为日志。系统管理员可以通过审计日志来 发现非法入侵系统。发现非法入侵系统。 精简审计日志：精简审计日志： 如果进行完全审计，一般审计日志非常庞大，即使是一个简如果进行完全审计，一般审计日志非常庞大，即使是一个简 单的读写文件，也要访问大量资源，于是产生很多日志记录。单的读写文件，也要访问大量资源，于是产生很多日志记录。 对于管理员来说，要在庞大的日志中发现错误好像大海捞针，对于管理员来说，要在庞大的日志中发现错误好像大海捞针， 所以要对审计日志进行精简。所以要对审计日志进行精简。 2021-6-2540 Tursted Operating System Design 入侵检测：入侵检测

34、： 一些可信操作系统中都含有原始的入侵检测系统。它是一些可信操作系统中都含有原始的入侵检测系统。它是 一个专题，以后要详细讨论。一个专题，以后要详细讨论。 以上讲了可信操作系统的关键要素，即设以上讲了可信操作系统的关键要素，即设 计操作系统时要特别注意的方面。下面讨计操作系统时要特别注意的方面。下面讨 论内核化设计。论内核化设计。 2021-6-2541 Tursted Operating System Design 内核化设计内核化设计 内核是操作系统实现最底层功能的部分。在一个标准的操内核是操作系统实现最底层功能的部分。在一个标准的操 作系统设计中，诸如同步，进程间通信，消息传递和中断处作

35、系统设计中，诸如同步，进程间通信，消息传递和中断处 理这类操作都是由核完成的。理这类操作都是由核完成的。 安全核是负责在整个操作系统中实现安全性机制的，由安全核是负责在整个操作系统中实现安全性机制的，由 AmesAmes在在AME83AME83提出，并有详细描述。它提供了与硬件、操提出，并有详细描述。它提供了与硬件、操 作系统和计算系统其他部分的安全接口。作系统和计算系统其他部分的安全接口。 安全内核设计的两种方案：安全内核设计的两种方案： 1 1、将安全合并到系统内核中去、将安全合并到系统内核中去 2 2、将安全作为单独的一层，从系统内核中分离出来。、将安全作为单独的一层，从系统内核中分离出

36、来。 看下图：看下图： 2021-6-2542 Tursted Operating System Design 1、硬件 2、操作系统内核 硬件接口 访问控制 3、操作系统 资源分配 共享 访问控制 认证功能 4、用户任务 ：安全活动 图5.14 安全内核集成到操作系统内核操作系统图 2021-6-2543 Tursted Operating System Design 1、硬件 2、操作系统安全内核 访问控制 认证功能 3、操作系统 资源分配 共享 硬件接口 4、用户任务 图5.15 内核分离图 2021-6-2544 将安全从内核中分离出来的优点：将安全从内核中分离出来的优点： 覆盖覆盖

37、对受保护客体的每一次都必须通过安全核的检测。通过这种设对受保护客体的每一次都必须通过安全核的检测。通过这种设 计，操作系统就可以利用安全核来保证每个访问都是安全的。计，操作系统就可以利用安全核来保证每个访问都是安全的。 分离分离 从系统和用户空间中分离安全机制可以更容易防止和其他系统从系统和用户空间中分离安全机制可以更容易防止和其他系统 或使用户之间的渗透。或使用户之间的渗透。 统一统一 所有的安全功能都是由各自单独的一组编码实现的，所以当某所有的安全功能都是由各自单独的一组编码实现的，所以当某 一功能出现问题时，对代码的追踪就会容易一些。一功能出现问题时，对代码的追踪就会容易一些。 可修改可

38、修改 安全机制的修改和测试变的更易实现。安全机制的修改和测试变的更易实现。 紧凑紧凑 因为安全核仅仅需要实现安全性，所以它的代码相对来说计就因为安全核仅仅需要实现安全性，所以它的代码相对来说计就 小的多了。小的多了。 确认确认 正因为体积小了，安全核就更容易被分析，我们就可以用形式正因为体积小了，安全核就更容易被分析，我们就可以用形式 化方法来保证所有的安全需求是否都被考虑周到。化方法来保证所有的安全需求是否都被考虑周到。 2021-6-2545 Tursted Operating System Design 安全内核存在的问题：安全内核存在的问题： 安全核的实现也许会使系统性能有所降低，因为

39、它增加了操作安全核的实现也许会使系统性能有所降低，因为它增加了操作 系统和用户程序的接口层。而且，对安全核的设计并不意味着系统和用户程序的接口层。而且，对安全核的设计并不意味着 可以实现所有的安全功能；有时候安全核还可能非常庞大。可以实现所有的安全功能；有时候安全核还可能非常庞大。 在日常设计中，如何在安全和效率之间达到平衡，在日常设计中，如何在安全和效率之间达到平衡，很大程度上很大程度上 是取决于整体操作系统的设计方法的。设计操作系统时有许多是取决于整体操作系统的设计方法的。设计操作系统时有许多 选择，最终归结到两点：选择，最终归结到两点：将安全作为操作系统的附属还是将其将安全作为操作系统的

40、附属还是将其 作为操作系统的基础。作为操作系统的基础。 2021-6-2546 Tursted Operating System Design 参考监视器参考监视器( (引用监控器引用监控器) ) 安全核中最为重要的部分就是参考监视器。它是负责安全核中最为重要的部分就是参考监视器。它是负责 实施安全策略的软硬件结合体，控制所有主体对客体的访实施安全策略的软硬件结合体，控制所有主体对客体的访 问的，并将重要的安全事件写入到审计文件中。它不一定问的，并将重要的安全事件写入到审计文件中。它不一定 针对是一段单独的代码，而是对各种设备如：文件，存储针对是一段单独的代码，而是对各种设备如：文件，存储 器

41、，内部进程通信等所有客体的访问控制集合。器，内部进程通信等所有客体的访问控制集合。 参考监视器只是参考监视器只是理论上的概念理论上的概念，并没有实用的实现方法，并没有实用的实现方法， 一般情况下，人们把参考监视器和安全内核方法等同起来。一般情况下，人们把参考监视器和安全内核方法等同起来。 如下图，参考监视器就象是环绕在操作系统和可信软件如下图，参考监视器就象是环绕在操作系统和可信软件 之外的一堵墙，所有主体访问客体，都要经过参考监视器。之外的一堵墙，所有主体访问客体，都要经过参考监视器。 2021-6-2547 Tursted Operating System Design 2021-6-25

42、48 Tursted Operating System Design 只有当参考监视器只有当参考监视器不能被任意修改不能被任意修改，也，也不能让恶意访问不能让恶意访问 行为绕过行为绕过它时，参考监视器才可以严格有效地进行控制。它时，参考监视器才可以严格有效地进行控制。 另外，参考监视器并不是可信操作系统中唯一的安全保另外，参考监视器并不是可信操作系统中唯一的安全保 证，它只是安全的一部分。证，它只是安全的一部分。 2021-6-2549 Tursted Operating System Design 可信计算基（可信计算基（TCBTCB） 可信计算基（可信计算基（TCBTCB）是指在可信计算机

43、系统中每个实施）是指在可信计算机系统中每个实施 安全策略的组件。安全策略的组件。TCBTCB构成了我们所要依靠安全策略的可信构成了我们所要依靠安全策略的可信 操作系统的一部分。操作系统的一部分。 于是一个系统可以根据是否是安全的，分成于是一个系统可以根据是否是安全的，分成TCBTCB部分和部分和 非非TCBTCB两部分两部分。非。非TCBTCB部分不会影响部分不会影响TCBTCB部分，且允许恶意的部分，且允许恶意的 攻击者对非攻击者对非TCB TCB 的部分写操作。的部分写操作。 这样就认为这样就认为TCBTCB形成了一个系统所需要的堡垒，它可以形成了一个系统所需要的堡垒，它可以 满足系统的任

44、何安全需求。可信操作系统中所有的安全性满足系统的任何安全需求。可信操作系统中所有的安全性 功能都是基于功能都是基于TCBTCB的。的。 2021-6-2550 Tursted Operating System Design TCB TCB 由那些成分构成由那些成分构成 硬件硬件 包括处理器，存储器，寄存器和包括处理器，存储器，寄存器和I/OI/O设备设备 一些进程的概念一些进程的概念 分离和保护一些关键安全进程分离和保护一些关键安全进程 原始文件原始文件 如安全性访问控制数据库和认证数据如安全性访问控制数据库和认证数据 受保护的存储器受保护的存储器 存储在其中的引用监控机是安全的存储在其中的引

45、用监控机是安全的 一些内部进程通信一些内部进程通信 TCB TCB 的不同部分之间可以相互交换数的不同部分之间可以相互交换数 据或互相激活。据或互相激活。 上面围绕大部分操作系统的，而上面围绕大部分操作系统的，而TCBTCB只是其中的一个只是其中的一个 很小的子集。很小的子集。 如下图：如下图： 2021-6-2551 Tursted Operating System Design N o n T C B T C B 用 户 应 用 程 序 用 户 请 求 解 释 器 用 户 进 程 同 步 用 户 环 境 ： 对 象 ， 名 字 ( 文 件 等 ) 用 户 I / O 程 序 ， 用 户 进

46、 程 创 建 和 删 除 用 户 对 象 目 录 扩 展 类 型 段 、 页 、 内 存 管 理 原 子 I / O 操 作 基 本 操 作 时 钟 硬 件 ： 寄 存 器 、 内 存 中 断 处 理 。 。 。 2021-6-2552 Tursted Operating System Design TCBTCB监视以下四个基本活动：监视以下四个基本活动： 进程激活进程激活 在进程的环境中，激活和撤消进程的频率是很高的。在进程的环境中，激活和撤消进程的频率是很高的。 从一个进程切换到另一个进程需要完全改变注册表，重从一个进程切换到另一个进程需要完全改变注册表，重 置映射，文件访问表，进程状态信

47、息和其他的一些指针，置映射，文件访问表，进程状态信息和其他的一些指针， 其中大部分都是秘密级别的信息。其中大部分都是秘密级别的信息。 执行域切换执行域切换 运行在某一域的进程经常会激活其他域中的进程以运行在某一域的进程经常会激活其他域中的进程以 获取更高密级的数据或服务。获取更高密级的数据或服务。 2021-6-2553 Tursted Operating System Design TCBTCB监视以下四个基本活动：监视以下四个基本活动： 存储器保护存储器保护 因为每一个域中都包含存储在内存中的代码和数因为每一个域中都包含存储在内存中的代码和数 据，据，TCBTCB就必须监控内存引用来保证每

48、一个域的完整性就必须监控内存引用来保证每一个域的完整性 和保密性。和保密性。 I/OI/O操作操作 在一些系统中，软件涉及在一些系统中，软件涉及I/OI/O操作，操作， 把从外层输入把从外层输入 到最内层的到最内层的I/OI/O设备连接起来，这样，设备连接起来，这样，I/OI/O操作要穿过操作要穿过 所有的域，所以必须被监视。所有的域，所以必须被监视。 2021-6-2554 Tursted Operating System Design TCBTCB设计：设计： 将操作系统分为将操作系统分为TCBTCB部分和非部分和非TCBTCB部分可以方便设计者部分可以方便设计者 和开发者，因为这样将所有

49、和安全性相关的代码集成到一和开发者，因为这样将所有和安全性相关的代码集成到一 个部分个部分。 为了保证安全性的实现不会受到非为了保证安全性的实现不会受到非TCBTCB部分的影响，部分的影响， TCBTCB代码必须以一种特别的受保护的方式运行。代码必须以一种特别的受保护的方式运行。非非TCBTCB部分部分 不能对不能对TCBTCB部分构成威胁。这样可以随时修复系统中关于部分构成威胁。这样可以随时修复系统中关于 设备驱动，用户接口管理器或是其它的错误。而设备驱动，用户接口管理器或是其它的错误。而TCBTCB代码代码 部分则要严格管理。由于无需对非部分则要严格管理。由于无需对非TCBTCB部分考虑，

50、这样划部分考虑，这样划 分简化了可信操作系统的安全性设计。分简化了可信操作系统的安全性设计。 2021-6-2555 Tursted Operating System Design 分离分离 ： 多道程序操作系统应该让用户之间彼此隔绝，仔细控多道程序操作系统应该让用户之间彼此隔绝，仔细控 制用户间的交互。大部分操作系统设计时为多个用户提制用户间的交互。大部分操作系统设计时为多个用户提 供同一个运行环境，一份操作系统可以供好多用户同时供同一个运行环境，一份操作系统可以供好多用户同时 使用。如图所示，操作系统经常分为俩个不同部分，分使用。如图所示，操作系统经常分为俩个不同部分，分 别处于内存的高低

51、俩个地址段。别处于内存的高低俩个地址段。 地址 内存空间 0 高 操作系统空间 用户1 空间 用户2 空间 用户n 空间操作系统空间 2021-6-2556 Tursted Operating System Design 虚拟技术虚拟技术 虚拟技术就是用操作系统模拟一些计算系统资源，虚拟技术就是用操作系统模拟一些计算系统资源， 包括真实硬件功能和模拟硬件功能的集合，如运行指令包括真实硬件功能和模拟硬件功能的集合，如运行指令 集合的处理器，存储器，和一些集合的处理器，存储器，和一些I/OI/O设备。设备。 虚拟资源必须由真实的物理硬件和软件支持，但是虚拟资源必须由真实的物理硬件和软件支持，但是 这些真实的资源不一定要和虚拟资源一一对应。这些真实的资源不一定要和虚拟资源一一对应。操作系操作系 统通过这些方式提供给用户一种虚拟资源，这样，安全统通过这些方式提供给用户一种虚拟资源，这样，安全 核就可以更精确地控制用户的访问存取了。我们看下面核就可以更精确地控制用户的访问存取了。我们看下面 关于内存的例子：关于内存的例子： 2021-6-2557 Tursted Operating System Design 操作系统 0 高 操作系统空间 内存 主程序 子程序1 数据1 子程序2 数据2 自由空间 操作系统 用户1所感