chap6：可信操作系统设计-b 西安电子科技大学计算机安全基础课件

《chap6：可信操作系统设计-b 西安电子科技大学计算机安全基础课件》由会员分享，可在线阅读，更多相关《chap6：可信操作系统设计-b 西安电子科技大学计算机安全基础课件（67页珍藏版）》请在金锄头文库上搜索。

1、2019/4/22,西安电子科技大学计算机学院,1,设计可信操作系统 Designing Trusted Operating Systems,2019/4/22,2,设计可信操作系统,一、可信操作系统与安全操作系统 二、安全策略 三、安全模型 四、设计可信操作系统 五、可信操作系统的保证,2019/4/22,3,可信操作系统与安全操作系统,操作系统：在计算机系统中，操作系统是设计在硬件上的第一层软件，是对计算机系统的第一次扩充，是其他程序运行的基础。 主要提供以下功能： 处理器管理 存储器管理 文件管理 设备管理 用户与计算机的接口,2019/4/22,4,可信操作系统与安全操作系统,操作系统

2、也是安全的主要提供者。 由于功能强大，成为被攻击的对象，一旦突破操作系统的防线，就可以肆意修改计算机的任何内容了。 当前，计算机操作系统的安全显得日益重要。 如何设计安全可信的操作系统，是需要的讨论和研究的问题。,2019/4/22,5,可信操作系统与安全操作系统,Secure 1、either - or 2、property of presenter 3、asserted 4、absolute 5、a goal,Trusted 1、graded 2、property of receiver 3、judged 4、relative (judged in context of use) 5、a

3、characteristic,2019/4/22,6,可信操作系统与安全操作系统,可信操作系统不一定是安全的，但要求满足用户的安全需求，同时满足用户的性能需求，不是一味追求安全而损害了操作系统的性能，从而在安全与性能中间达到一种平衡。,2019/4/22,7,从用户角度来考虑，如果一个操作系统能够连续高效地保证提供内存保护、文件保护、对系统中所有对象地访问控制和用户鉴定与识别等服务，则可以说此系统是可信地。 对于开发者，要从操作系统地设计和操作系统所能提供安全服务的组件功能来看一个操作系统的可信度。设计一个可信的操作系统，必须考虑以下四个环节：安全策略、安全模型、设计和可信度。,用户和设计者看

4、操作系统,2019/4/22,8,Security Policies .,一、定义: The set of laws, rules, and practices that regulate how an organization manages, protects, and distributes sensitive information. 二、一些比较常见的策略,2019/4/22,9,一些比较常见的策略,Military/Government Policy Clark-Wilson: policy of constrained change. Separation of Duty: re

5、quired division of responsibility Chinese Wall: conflict of interest policy Originator Controlled Role Based Access Control ,2019/4/22,10,Military Security Policy,Military security policy ：它主要用于保护机密信息。 将每段信息都标有敏感级别，用户对信息访问基于 need-to-know规则。 需注意以下几点： 1、信息的敏感级别 2、needtoknow规则： 允许使用者最小限度地访问敏感信息。 3、敏感性是

6、分层的 4、need-to-know 不分层 5、Dominance relationship,2019/4/22,11,Military Security Policy,2019/4/22,12,Military Security Policy,2019/4/22,13,Military Security Policy,引入compartments这个术语，它是指相关于一个或多个项目的一些相关信息集合，往往用某个名词来表示一个compartment。 它的引进是为了说明need-to-know规则的。 一个compartment可以处于一个敏感级别，也可以跨越多个敏感级别。,2019/4/2

7、2,14,Military Security Policy,2019/4/22,15,Military Security Policy,再引入class或classification这个概念，它是指敏感级别和compartments构成的一个二元组: 。 例如: , 概念：dominance 用符号 表示。s表示主体，o表示客体。关系如下：,2019/4/22,16,Military Security Policy,so if and only if ranksranko and Compartments compartmentso 这时，说o支配s（或是s受o支配）。 例子： 这时可以说后面

8、的class支配前面的class,2019/4/22,17,Military Security Policy,一个主体能够访问一个客体必须满足条件： 主体的授权访问机密文件级别不低于被访问客体，且 主体要知道他所需要的信息对应的所有分类隔离块,2019/4/22,18,Military Security Policy,小结： Military Security Policy主要是基于敏感信息分级和need-to-know原则。 在这样的综合模型中，授权中心严格地控制着访问权，所以它可以在不同的系统设置中正常运作。授权访问和分类也是不允许个人修改的，它们都是由安全中心统一管理的。,2019/4/

9、22,19,Chinese Wall Security Policy,Chinese Wall Security Policy：商业安全策略，主要用在访问有利益冲突的竞争公司间信息的情况，防止泄漏商业机密。 一些概念： 对 象 ： 一些基本元素，比如文件，只涉及一个公司的信息。 公司组 ： 描述一个特定公司的所有对象的集合。 冲突类： 所有竞争公司的对象构成的集合。,2019/4/22,20,Chinese Wall Security Policy,它们之间得关系看下面的图：,2019/4/22,21,Chinese Wall Security Policy,Chinese Wall Secu

10、rity Policy 的访问控制原理： 某个主体只允许访问每个冲突类中的一个公司组，在一个冲突类中，这个主体一旦访问了一个公司信息，那么他就不能再访问同一冲突类的其他公司的信息了。,2019/4/22,22,Models Of Security,Model: A formal (or semi-formal) representation of the policy that the OS will enforce. 模型是对策略的一种更精确的描述。 安全模型常用于： 测试一个策略的完全性和一致性 证明一个策略 协助将一个功能概念化并进行设计 检验一个功能的实现是否满足需求,2019/4/2

11、2,23,Bell-La Padula Confidentiality Model,Bell-La Padula Confidentiality Model模型: 对安全系统中信息流合法路径的形式化描述。在处 理多密级数据的系统设计中发挥了重要作用。是一个 形式化的军事安全策略，是美国国防部安全评估的主 要标准。 这个模型的目标： 在一个保密性十分重要的系统中能够识别出合法通 信。它被用来定义当一个系统需要处理不同密级数据 时的安全需求。,2019/4/22,24,Bell-La Padula Confidentiality Model,原理： 系统中有一个主体集合S和一个客体集合O,。在S中

12、的每个主体s和O中的每个客体o都有各自的安全级别C(s)和C(o)。安全级别之间存在关系。 有如下两个原则： 简单安全原则： 一个主体s可以读访问客体o，当且仅当C(o) C(s)，即主体只能读取密级等于或低于它的客体。 *特性：一个可以读访问客体o的主体s有权对客体p进行写操作，当且仅当C(o) C(p)，即主体只能写密级等于或高于它的客体。,2019/4/22,25,Bell-La Padula Confidentiality Model,2019/4/22,26,Bell-La Padula Confidentiality Model,Bell-La Padula Confifentia

13、lity Model只考虑 了信息的安全性，没有考虑数据的完整， Biba model 对应于Bell-La Padula Model，但是只考虑数据的完整性，不考虑安全性。 Biba model（略）,2019/4/22,27,Trusted Operating System Design,设计一个不需要考虑安全问题的操作系统并不是件容易的事情。需要处理职权分配，考虑发生中断时对操作的切换，保证用户运行速度和精确性等等一系列问题。若再加上安全性问题就更难上加难了。着重讨论设计操作系统时在安全方面所要考虑的问题。,2019/4/22,28,Trusted Operating System De

14、sign,好的软件工程原理告诉我们，在设计系统时，安全的考虑易早不易迟。主要考虑设计高安全等级的操作系统，着重讨论操作系统内核的设计，安全是否可以有效提供，取决于操作系统内核是如何设计的。然后讨论分层（或环)结构设计。,2019/4/22,29,使安全覆盖操作系统全部，要做到以下两 个方面： 1、操作系统控制所有主客体之间的交互，要保证交互过程中都有安全考虑。 2、安全必须在设计操作系统开始考虑，贯穿设计全过程，而不是设计过程中或设计完成后添加上去。,Trusted Operating System Design,2019/4/22,30,可信操作系统的要素 好的设计原理有助于安全的实现，下面

15、的基本要素对于设计健壮、可信的操作系统必不可少：,最小特权 精简机制 开放设计 完全检测 基于许可 特权分离 最小共享化 易用性,Trusted Operating System Design,2019/4/22,31,普通操作系统的安全特性,用户鉴别 内存保护 文件及I/O设备访问控制 对一般客体的资源分配与访问控制 实现共享化 公平服务 内部进程通信和同步 操作系统数据保护,Trusted Operating System Design,2019/4/22,32,Trusted Operating System Design,2019/4/22,33,Trusted Operating S

16、ystem Design,2019/4/22,34,从上面的对比可以看出，在设计可信操作系统时，比一般操作系统多出以下方面： 1、对每个设备和服务的访问控制 2、数据和程序按照共享和私有分离 3、不同用户占用内存空间的彼此分离等,Trusted Operating System Design,2019/4/22,35,可信操作系统（TOS）的安全特性,用户鉴别 强制访问控制 自主访问控制 客体复用保护 完全仲裁 可信路径 审计日志 精简审计日志 入侵检测,Trusted Operating System Design,2019/4/22,36,用户鉴别：计算机安全性之根源 。 包括两个步骤： 找出请求访问者； 确定其真实身份。 可信操作系统要求所有访问者都必须被 唯一识别。,Trusted Operating System Design,2019/4/22,37,强制访问控制（MAC）： 系统内的每一个用户或主体根据他对敏感性客体的访问许 可级别被赋予一个访问标签(access label)；同样地，系统内 的每一个客体也被赋予一敏感性标