本質(zhì)安全型集中式控制安全操作系統研究

摘要：隨著(zhù)網(wǎng)絡(luò )技術(shù)、通信技術(shù)的飛快發(fā)展，信息安全問(wèn)題正成為人們研究的重點(diǎn)。作為底層系統軟件的操作系統，是信息安全研究的基礎部分，已成為研究的重點(diǎn)之重。本文以嵌入式系統為背景，結合智能卡技術(shù)和現有一般的安全操作系統研究方法，提出一種全新的安全控制策略，針對嵌入式系統應用環(huán)境中面臨的問(wèn)題給出有效解決方法。最后，結合Linux操作系統，給出一種本質(zhì)安全型集中式控制安全操作系統模型，描述它所具有的安全特性。

引言

操作系統作為底層系統軟件，負責為應用程序提供運行環(huán)境和訪(fǎng)問(wèn)硬件的接口，它的安全性是信息安全的基礎?，F在操作系統面臨的威脅與攻擊多種多樣，安全操作系統已經(jīng)不再局限于僅提供安全的存取控制機制，還要提供安全的網(wǎng)絡(luò )平臺、安全的信息處理平臺和安全的進(jìn)程通信支持。

在嵌入式系統中，由于系統軟件和硬件設計的特點(diǎn)，很容易從硬件和軟件直接進(jìn)行拷貝。操作系統的安全性應有更特殊的考慮。操作系統不但要對保存的數據提供安全保證，而且還要考慮自己運行的硬件平臺和系統本身的安全性。

在現有操作系統中，有關(guān)系統安全控制的代碼是分散到系統中的，這對系統性能的影響降到了最低。但是，如果要添加新的控制機制，必須會(huì )引起大量的修改，由此將帶來(lái)潛在的不穩定性和不一致性。隨著(zhù)系統硬件性能的成倍增長(cháng)，人們逐漸將目光轉移到集中式控制上來(lái)。在操作系統設計初期，安全模塊應該被獨立地提出來(lái)，成為操作系統設計需要考慮的一部分。

智能卡技術(shù)是一種軟硬件結合的安全保護技術(shù)，經(jīng)常用于身份驗證和存儲加密信息。由于自身的硬件特性，它可以防止非法讀取和篡改；同時(shí)，智能卡本身具有加密的文件系統，可以對信息進(jìn)行安全的保護。

在我們研究操作系統安全問(wèn)題時(shí)，首次將智能卡技術(shù)引用到安全控制當中，作為整個(gè)安全體系結構的保證。智能卡用于對操作系統本身和運行的平臺進(jìn)行標識，可以對用戶(hù)身份、進(jìn)程的合法性進(jìn)行嚴格的控制。

1 存取控制和安全模型

存取控制是系統安全的核心內容。存取控制按照一定的機制，在系統主體對客體進(jìn)行訪(fǎng)問(wèn)時(shí)，判定訪(fǎng)問(wèn)請求和訪(fǎng)問(wèn)的方式是否合法，返回判定結果。一般情況下，有兩種存取控制方式：自主存取控制DAC（Discretionary Access Control）和強制存取控制MAC（Mandatory Access Control）。

（1）自主存取控制

DAC是安全操作系統最早期的存取控制方式，客體的所有者可以將客體的訪(fǎng)問(wèn)權限或者訪(fǎng)問(wèn)權限的子集授予其它主體。在類(lèi)Unix系統當中，系統提供owner/group/other的控制方式，就是一種典型的自主存取控制方式。

（2）強制存取控制

在自主存取控制當中，由于管理不當或者操作失誤，可能會(huì )引起非法的訪(fǎng)問(wèn)，并且不能有效地防御特洛伊馬病毒的攻擊。在信息保密要求比較高的領(lǐng)域，人們提出了強制的存以控制方式，給系統提供一道不可逾越的訪(fǎng)問(wèn)控制限制。強制存取控制主要通過(guò)安全級的方式實(shí)現。安全級含“密級”和“部門(mén)集”兩方面。密級又分為無(wú)密、秘密、機密、絕密四級。系統中主體和客體按照一定的規則被賦予最高安全級和當前安全級。系統主體的部門(mén)集表示主體可以涉及獵的信息范圍，系統客體的部門(mén)集表示該信息涉及的信息范圍。強制存取控制抽象出三條訪(fǎng)問(wèn)原理：①的主體的安全級高于客體，當且僅當主體的密級高于客體的密級，且主體的部門(mén)集包含客體的部門(mén)集；②主體對客體具有讀權限，當且僅當主體的安全級高于客體的安全級；③主體對客體具有寫(xiě)權限，當全僅當主體的安全級低于或者等于客體的安全級。

安全模型是系統安全特性的描述，是對安全策略的一種數學(xué)形式化的表示方法。一般的安全操作系統的設計方法，通常是先設計安全模型，對安全模型進(jìn)行分析，并且給出數學(xué)證明。安全模型的設計是研究安全操作系統的重要成果，可以對安全系統設計提供結構清晰、功能明確的指導。這里主要介紹BLP安全模型。

BLP模型是人們對安全策略的形式化描述。它通過(guò)系統安全級的劃分來(lái)保證系統存取的合法性。BLP模型定義了一系列的安全狀態(tài)和狀態(tài)轉換規則，如果保證系統啟動(dòng)時(shí)處于安全狀態(tài)的話(huà)，即可按安全轉換規則，在各個(gè)安全狀態(tài)之間轉換。下面介紹BLP模型的具體規則。

系統的主體和客體均被賦予一定的安全級和部門(mén)集。主體安全級包含最高安全級的當前安全級。主體對于客體的訪(fǎng)問(wèn)方式包括：只讀、只寫(xiě)、執行、讀寫(xiě)。BLP模型定義了兩具安全特性，并且證明了只要系統遵循這兩個(gè)模型，便可認為系統處于安全狀態(tài)并可在狀態(tài)之間進(jìn)行轉換，這兩個(gè)特性是簡(jiǎn)單安全特性和*特性。

（1）簡(jiǎn)單安全特性（ss-property）

如果一個(gè)主體對一個(gè)客體具有讀的權限，則客體的安全級不能比主體的最大安全級高。

（2）*特性（*-property）

主體對客體有“只寫(xiě)”的權限，則客體的安全級至少和主體的最高安全級一樣高。

主體對客體有“讀”權限，則客體的安全級不會(huì )比主體的當前安全級高。

主體對客體有“讀寫(xiě)”權限，則客體安全級等于主體的當前安全級。

人們習慣上將簡(jiǎn)單安全特性看成限制“向上讀”，將*特性看成限制“向下寫(xiě)”。

BLP在多年的研究當中被認為可以有效防止特洛伊馬病毒的攻擊，但是仍然存在兩個(gè)問(wèn)題：①系統具有動(dòng)態(tài)的信息處理（例如主體的安全級的變化）都是有可信進(jìn)程來(lái)實(shí)現的，但是BLP模型并沒(méi)有對可信進(jìn)程進(jìn)行說(shuō)明，可信進(jìn)程也不受BLP模型的限制；②BLP模型不能防止隱通道。

2 系統實(shí)現原理

根據上面的分析，我們提出了一種本質(zhì)安全型，以進(jìn)程控制為中心，集中式管理方式的安全控制方法。下面結合Linux操作系統說(shuō)明具體的實(shí)現原理，以wolf-Linux來(lái)指具有這種控制機制的安全操作系統。