本质安全型集中式控制安全操作系统研究

安全管理示范文本|ExcellentModelText_______________________________资料编码：CYKJ-FW-565第PAGE\*Arabic\*MERGEFORMAT2页/总NUMPAGES\*Arabic\*MERGEFORMAT2页编号：______________本质安全型集中式控制安全操作系统研究审核：__________________时间：__________________单位：__________________本质安全型集中式控制安全操作系统研究用户 指南 验证指南下载验证指南下载验证指南下载星度指南下载审查指南PDF ：该安全管理资料适用于日常生产中，为加强全员意识，充分贯彻组织的安全方针，落实各项安全管理 措施 《全国民用建筑工程设计技术措施》规划•建筑•景观全国民用建筑工程设计技术措施》规划•建筑•景观软件质量保证措施下载工地伤害及预防措施下载关于贯彻落实的具体措施 ，保证生产经营正常进行，从而保证全面的生产计划的开展。可通过修改使用，也可以直接沿用本 模板 个人简介word模板免费下载关于员工迟到处罚通告模板康奈尔office模板下载康奈尔 笔记本 模板 下载软件方案模板免费下载 进行快速编辑。　　本文以嵌入式系统为背景，结合智能卡技术和现有一般的安全操作系统研究方法，提出一种全新的安全控制策略，针对嵌入式系统应用环境中面临的问题给出有效解决方法。最后，结合linux操作系统，给出一种本质安全型集中式控制安全操作系统模型，描述它所具有的安全特性。关键词：安全操作系统安全模型集中式控制本质安全型强制存取控制引言操作系统作为底层系统软件，负责为应用程序提供运行环境和访问硬件的接口，它的安全性是信息安全的基础。现在操作系统面临的威胁与攻击多种多样，安全操作系统已经不再局限于仅提供安全的存取控制机制，还要提供安全的网络平台、安全的信息处理平台和安全的进程通信支持。在嵌入式系统中，由于系统软件和硬件 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 的特点，很容易从硬件和软件直接进行拷贝。操作系统的安全性应有更特殊的考虑。操作系统不但要对保存的数据提供安全保证，而且还要考虑自己运行的硬件平台和系统本身的安全性。在现有操作系统中，有关系统安全控制的代码是分散到系统中的，这对系统性能的影响降到了最低。但是，如果要添加新的控制机制，必须会引起大量的修改，由此将带来潜在的不稳定性和不一致性。随着系统硬件性能的成倍增长，人们逐渐将目光转移到集中式控制上来。在操作系统设计初期，安全模块应该被独立地提出来，成为操作系统设计需要考虑的一部分。智能卡技术是一种软硬件结合的安全保护技术，经常用于身份验证和存储加密信息。由于自身的硬件特性，它可以防止非法读取和篡改；同时，智能卡本身具有加密的文件系统，可以对信息进行安全的保护。在我们研究操作系统安全问题时，首次将智能卡技术引用到安全控制当中，作为整个安全体系结构的保证。智能卡用于对操作系统本身和运行的平台进行标识，可以对用户身份、进程的合法性进行严格的控制。　　1存取控制和安全模型存取控制是系统安全的核心内容。存取控制按照一定的机制，在系统主体对客体进行访问时，判定访问请求和访问的方式是否合法，返回判定结果。一般情况下，有两种存取控制方式：自主存取控制dac（discretionaryaccesscontrol）和强制存取控制mac（mandatoryaccesscontrol）。（1）自主存取控制dac是安全操作系统最早期的存取控制方式，客体的所有者可以将客体的访问权限或者访问权限的子集授予其它主体。在类unix系统当中，系统提供owner/group/other的控制方式，就是一种典型的自主存取控制方式。（2）强制存取控制在自主存取控制当中，由于管理不当或者操作失误，可能会引起非法的访问，并且不能有效地防御特洛伊马病毒的攻击。在信息保密要求比较高的领域，人们提出了强制的存以控制方式，给系统提供一道不可逾越的访问控制限制。强制存取控制主要通过安全级的方式实现。安全级含"密级"和"部门集"两方面。密级又分为无密、秘密、机密、绝密四级。系统中主体和客体按照一定的规则被赋予最高安全级和当前安全级。系统主体的部门集表示主体可以涉及猎的信息范围，系统客体的部门集表示该信息涉及的信息范围。强制存取控制抽象出三条访问原理：①的主体的安全级高于客体，当且仅当主体的密级高于客体的密级，且主体的部门集包含客体的部门集；②主体对客体具有读权限，当且仅当主体的安全级高于客体的安全级；③主体对客体具有写权限，当全仅当主体的安全级低于或者等于客体的安全级。安全模型是系统安全特性的描述，是对安全策略的一种数学形式化的表示方法。一般的安全操作系统的设计方法，通常是先设计安全模型，对安全模型进行分析，并且给出数学证明。安全模型的设计是研究安全操作系统的重要成果，可以对安全系统设计提供结构清晰、功能明确的指导。这里主要介绍blp安全模型。blp模型是人们对安全策略的形式化描述。它通过系统安全级的划分来保证系统存取的合法性。blp模型定义了一系列的安全状态和状态转换规则，如果保证系统启动时处于安全状态的话，即可按安全转换规则，在各个安全状态之间转换。下面介绍blp模型的具体规则。系统的主体和客体均被赋予一定的安全级和部门集。主体安全级包含最高安全级的当前安全级。主体对于客体的访问方式包括：只读、只写、执行、读写。blp模型定义了两具安全特性，并且证明了只要系统遵循这两个模型，便可认为系统处于安全状态并可在状态之间进行转换，这两个特性是简单安全特性和*特性。（1）简单安全特性（ss-property）如果一个主体对一个客体具有读的权限，则客体的安全级不能比主体的最大安全级高。（2）*特性（*-property）主体对客体有"只写"的权限，则客体的安全级至少和主体的最高安全级一样高。主体对客体有"读"权限，则客体的安全级不会比主体的当前安全级高。主体对客体有"读写"权限，则客体安全级等于主体的当前安全级。人们习惯上将简单安全特性看成限制"向上读"，将*特性看成限制"向下写"。blp在多年的研究当中被认为可以有效防止特洛伊马病毒的攻击，但是仍然存在两个问题：①系统具有动态的信息处理（例如主体的安全级的变化）都是有可信进程来实现的，但是blp模型并没有对可信进程进行说明，可信进程也不受blp模型的限制；②blp模型不能防止隐通道。2系统实现原理根据上面的分析，我们提出了一种本质安全型，以进程控制为中心，集中式管理方式的安全控制方法。下面结合linux操作系统说明具体的实现原理，以wolf-linux来指具有这种控制机制的安全操作系统。本质安全是指一种建立在特殊的硬件设备上（smart卡），具有特殊的体系结构，可对操作系统本身、进程合法性和运行权利进行验证的安全机制。系统的安全控制分为六部分：进程管理器、安全服务器、文件系统伺服器、进程通信伺服务器、网络伺服器和审计模块。总体结构如图1所示：进程管理器、安全服务器wolf-linux安全控制的核心部分，审计模块负责对系统的安全性事件进行 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 ，其它部分是安全控制的执行模块。从图1中可以看出，sim（subscriberidentitymodule）卡处于系统的安全模块中，保存系统的关键信息，集中式管理主要体现在进程控制器部分，安全判定和安全执行的分离使得任何存取操作都不可能绕过安全控制机制。系统中所有的安全事件都通过进程控制器来判定是否可行，安全执行模块负责在访问操作发生时抽象主体和客体，提交访问请求并执行访问结果。下面主要介绍各个模块的功能原理。（1）安全服务器和sim卡系统的安全服务器负责提供系统支持的安全策略。在系统启动时，安全服务器初始化系统支持的安全策略。它的初始化过程中重要的一步是读智能卡中的信息，验证系统的身份。安全服务器提供的接口有三类：①与智能卡的接口。在智能卡中保存系统的关键信息，例如系统的有效使用时间、操作系统身份id。这个id号相当规模识了一个合法的系统身份和系统用户身份信息（在系统的安全特性部分还会讨论）。安全模块通过智能卡的驱动程序，负责与智能卡信息的安全交互，并提供访问智能卡的操作函数。②与进程控制器交互的接口。安全服务器只负责实现对安全策略的支持，而不管判定访问操作是否合法。进程控制器在判定访问是否合法时，使用安全服务器提供规则。③提供给系统管理的接口。由于在安全模块当中实现了策略的独立性，所以安全模块可以在实现对多种策略的支持。接口函数包括安全模块的初始化接口、安全策略的注册接口、安全策略的管理接口。通过这些接口函数可以实现对安全策略的配置，系统安全特性针对不同的工作环境，可以动态变化。安全模块的固化设计保证系统的安全特性不可能被破坏和篡改。　　（2）进程控制器进程控制器是系统安全特性的关键部分，功能有两个：①以进程为单位的权限控制；②判定安全执行部分提供的访问请求并返回判定结果；同时为了提高效率，保存最近的访问判定结果，提供缓存功能。在传统的unix系统当中，一般提供基于用户的权限控制方法，系统的控制粒度只能到用户。