- 相關推薦
本質安全型集中式控制安全操作系統研究
摘要:隨著網絡技術、通信技術的飛快發展,信息安全問題正成為人們研究的重點。作為底層系統軟件的操作系統,是信息安全研究的基礎部分,已成為研究的重點之重。本文以嵌入式系統為背景,結合智能卡技術和現有一般的安全操作系統研究方法,提出一種全新的安全控制策略,針對嵌入式系統應用環境中面臨的問題給出有效解決方法。最后,結合Linux操作系統,給出一種本質安全型集中式控制安全操作系統模型,描述它所具有的安全特性。引言
操作系統作為底層系統軟件,負責為應用程序提供運行環境和訪問硬件的接口,它的安全性是信息安全的基礎。現在操作系統面臨的威脅與攻擊多種多樣,安全操作系統已經不再局限于僅提供安全的存取控制機制,還要提供安全的網絡平臺、安全的信息處理平臺和安全的進程通信支持。
在嵌入式系統中,由于系統軟件和硬件設計的特點,很容易從硬件和軟件直接進行拷貝。操作系統的安全性應有更特殊的考慮。操作系統不但要對保存的數據提供安全保證,而且還要考慮自己運行的硬件平臺和系統本身的安全性。
在現有操作系統中,有關系統安全控制的代碼是分散到系統中的,這對系統性能的影響降到了最低。但是,如果要添加新的控制機制,必須會引起大量的修改,由此將帶來潛在的不穩定性和不一致性。隨著系統硬件性能的成倍增長,人們逐漸將目光轉移到集中式控制上來。在操作系統設計初期,安全模塊應該被獨立地提出來,成為操作系統設計需要考慮的一部分。
智能卡技術是一種軟硬件結合的安全保護技術,經常用于身份驗證和存儲加密信息。由于自身的硬件特性,它可以防止非法讀取和篡改;同時,智能卡本身具有加密的文件系統,可以對信息進行安全的保護。
在我們研究操作系統安全問題時,首次將智能卡技術引用到安全控制當中,作為整個安全體系結構的保證。智能卡用于對操作系統本身和運行的平臺進行標識,可以對用戶身份、進程的合法性進行嚴格的控制。
1 存取控制和安全模型
存取控制是系統安全的核心內容。存取控制按照一定的機制,在系統主體對客體進行訪問時,判定訪問請求和訪問的方式是否合法,返回判定結果。一般情況下,有兩種存取控制方式:自主存取控制DAC(Discretionary Access Control)和強制存取控制MAC(Mandatory Access Control)。
(1)自主存取控制
DAC是安全操作系統最早期的存取控制方式,客體的所有者可以將客體的訪問權限或者訪問權限的子集授予其它主體。在類Unix系統當中,系統提供owner/group/other的控制方式,就是一種典型的自主存取控制方式。
(2)強制存取控制
在自主存取控制當中,由于管理不當或者操作失誤,可能會引起非法的訪問,并且不能有效地防御特洛伊馬病毒的攻擊。在信息保密要求比較高的領域,人們提出了強制的存以控制方式,給系統提供一道不可逾越的訪問控制限制。強制存取控制主要通過安全級的方式實現。安全級含“密級”和“部門集”兩方面。密級又分為無密、秘密、機密、絕密四級。系統中主體和客體按照一定的規則被賦予最高安全級和當前安全級。系統主體的部門集表示主體可以涉及獵的信息范圍,系統客體的部門集表示該信息涉及的信息范圍。強制存取控制抽象出三條訪問原理:①的主體的安全級高于客體,當且僅當主體的密級高于客體的密級,且主體的部門集包含客體的部門集;②主體對客體具有讀權限,當且僅當主體的安全級高于客體的安全級;③主體對客體具有寫權限,當全僅當主體的安全級低于或者等于客體的安全級。
安全模型是系統安全特性的描述,是對安全策略的一種數學形式化的表示方法。一般的安全操作系統的設計方法,通常是先設計安全模型,對安全模型進行分析,并且給出數學證明。安全模型的設計是研究安全操作系統的重要成果,可以對安全系統設計提供結構清晰、功能明確的指導。這里主要介紹BLP安全模型。
BLP模型是人們對安全策略的形式化描述。它通過系統安全級的劃分來保證系統存取的合法性。BLP模型定義了一系列的安全狀態和狀態轉換規則,如果保證系統啟動時處于安全狀態的話,即可按安全轉換規則,在各個安全狀態之間轉換。下面介紹BLP模型的具體規則。
系統的主體和客體均被賦予一定的安全級和部門集。主體安全級包含最高安全級的當前安全級。主體對于客體的訪問方式包括:只讀、只寫、執行、讀寫。BLP模型定義了兩具安全特性,并且證明了只要系統遵循這兩個模型,便可認為系統處于安全狀態并可在狀態之間進行轉換,這兩個特性是簡單安全特性和*特性。
(1)簡單安全特性(ss-property)
如果一個主體對一個客體具有讀的權限,則客體的安全級不能比主體的最大安全級高。
(2)*特性(*-property)
主體對客體有“只寫”的權限,則客體的安全級至少和主體的最高安全級一樣高。
主體對客體有“讀”權限,則客體的安全級不會比主體的當前安全級高。
主體對客體有“讀寫”權限,則客體安全級等于主體的當前安全級。
人們習慣上將簡單安全特性看成限制“向上讀”,將*特性看成限制“向下寫”。
BLP在多年的研究當中被認為可以有效防止特洛伊馬病毒的攻擊,但是仍然存在兩個問題:①系統具有動態的信息處理(例如主體的安全級的變化)都是有可信進程來實現的,但是BLP模型并沒有對可信進程進行說明,可信進程也不受BLP模型的限制;②BLP模型不能防止隱通道。
2 系統實現原理
根據上面的分析,我們提出了一種本質安全型,以進程控制為中心,集中式管理方式的安全控制方法。下面結合Linux操作系統說明具體的實現原理,以wolf-Linux來指具有這種控制機制的安全操作系統。
本質安全是指一種建立在特殊的硬件設備上(Smart卡),具有特殊的體系結構,可對操作系統本身、進程合法性和運行權利進行驗證的安全機制。
系統的安全控制分為六部分:進程管理器、安全服務器、文件系統伺服器、進程通信伺服務器、網絡伺服器和審計模塊。總體結構如圖1所示:進程管理器、安全服務器wolf-Linux安全控制的核心部分,審計模塊負責對系統的
【本質安全型集中式控制安全操作系統研究】相關文章:
經濟安全與法律控制03-24
嵌入式實時操作系統研究與分析03-12
建設工程安全監理的安全控制措施探討03-07
供配電自動化控制系統研究11-19
牧原公司豬舍環境控制系統研究03-14
項目進度、成本、質量、安全的控制05-07
電梯的電氣控制結構安全探究03-11
關于涉密信息網絡安全應用系統研究03-02