第六章：操作系統(tǒng)

1、信息安全技術(shù)體系 何長鵬hapter 6操作系統(tǒng)CONTENTS01安全操作系統(tǒng)的地位和作用02安全操作系統(tǒng)的發(fā)展03安全操作系統(tǒng)的體系結(jié)構(gòu)04安全操作系統(tǒng)的設(shè)計目 錄05安全操作系統(tǒng)的關(guān)鍵技術(shù)安全操作系統(tǒng)的地位和作用操作系統(tǒng)是所有系統(tǒng)資源的基本控制器操作系統(tǒng)是所有系統(tǒng)資源的基本控制器這使得它成為主要的攻擊目標(biāo)。這使得它成為主要的攻擊目標(biāo)。操作系統(tǒng)是抵御各種非法操作的第一道防線。它能防御來自其他人的攻擊、操作系統(tǒng)是抵御各種非法操作的第一道防線。它能防御來自其他人的攻擊、確保內(nèi)存或磁盤中的重要區(qū)域不被未經(jīng)授權(quán)的程序覆蓋、對不同的用戶以確保內(nèi)存或磁盤中的重要區(qū)域不被未經(jīng)授

2、權(quán)的程序覆蓋、對不同的用戶以及遠(yuǎn)程操控進(jìn)行識別和授權(quán)，并保證重要硬盤資源公平共享。及遠(yuǎn)程操控進(jìn)行識別和授權(quán)，并保證重要硬盤資源公平共享。顯然安全技術(shù)要素、安全機(jī)制應(yīng)該首先設(shè)置在信息系統(tǒng)的最底層，才能確顯然安全技術(shù)要素、安全機(jī)制應(yīng)該首先設(shè)置在信息系統(tǒng)的最底層，才能確保整個信息系統(tǒng)的安全性。如果硬件的物理安全受到威脅，上層信息系統(tǒng)保整個信息系統(tǒng)的安全性。如果硬件的物理安全受到威脅，上層信息系統(tǒng)的保密性、完整性、可用性將不復(fù)存在，因此，的保密性、完整性、可用性將不復(fù)存在，因此，物理安全物理安全是信息系統(tǒng)的是信息系統(tǒng)的硬硬件件安全基礎(chǔ)。安全基礎(chǔ)。操作系統(tǒng)安全操作系統(tǒng)安全是信息系統(tǒng)的是信息系統(tǒng)的軟件軟件

3、安全基礎(chǔ)。安全基礎(chǔ)。普通操作系統(tǒng)的安全特性共享的實施進(jìn)程間通信和同步對操作熊保護(hù)數(shù)據(jù)的保護(hù)保證公平服務(wù)硬件接口用戶鑒定內(nèi)存保護(hù)文件和輸入/輸出設(shè)備的訪問控制對一般對象的分配和訪問控制操作系統(tǒng)的歷史回顧操作系統(tǒng)的發(fā)展不像其他事物，它并不是從一個簡單的形態(tài)直接發(fā)展成復(fù)雜的樣子的，而是經(jīng)歷了一個起伏前進(jìn)的過程：1）單用戶2）多道程序和共享使用3）多任務(wù)處理受保護(hù)對象1、多道程序設(shè)計的出現(xiàn)意味著計算機(jī)系統(tǒng)需要保護(hù)以下幾個方面：內(nèi)存；可共享的I/O設(shè)備，如磁盤；可連續(xù)復(fù)用的I/O設(shè)備，如打印機(jī)和磁帶驅(qū)動器；可共享的程序或子程序；網(wǎng)絡(luò)；可共享數(shù)據(jù)。操作系統(tǒng)設(shè)計對象保護(hù)操作系統(tǒng)由許多獨立的程序構(gòu)成，它不是單

4、一的程序。一個結(jié)果良好的操作系統(tǒng)會從關(guān)鍵部分到裝飾部分實現(xiàn)多個層次的功能和保護(hù)。這種排序在理論上式精細(xì)的，但在實踐中，某些功能涉及多個層。操作系統(tǒng)設(shè)計對象保護(hù)考慮一個與安全相關(guān)的操作系統(tǒng)活動的例子密碼認(rèn)證。事實上，該活動包括幾個不同的操作，如以無特定順序顯示用戶輸入口令的輸入框、接收密碼字符、以“ * ”之類的方式進(jìn)行響應(yīng)、比較用戶輸入的密碼與存儲的密碼、檢查用戶的身份是否被驗證或在系統(tǒng)表中修改用戶的密碼。更改系統(tǒng)密碼表比在密碼輸入時用“ * ”顯示具有更重要的安全性，因為更改此系統(tǒng)表可能會允許未經(jīng)授權(quán)的用戶訪問。在這個更改過程中，需要的僅僅是一個顯示框交互接口，這個接口列出的功能可能發(fā)生在操

5、作系統(tǒng)的不同級別。操作系統(tǒng)設(shè)計對象保護(hù)現(xiàn)代操作系統(tǒng)有許多不同模塊。并非所有的代碼都來自同一個源。例如，硬件設(shè)備驅(qū)動程序可能來自設(shè)備制造商或第三方，用戶可以安裝附件來實現(xiàn)不同的文件系統(tǒng)或用戶界面。你可以猜到，更換文件系統(tǒng)或用戶界面需要與操作系統(tǒng)的幾個層次整合。例如，反病毒代碼等系統(tǒng)工具，被稱為“鉤子”或被納入操作系統(tǒng)的程序，這些工具與操作系統(tǒng)一起加載，以便當(dāng)用戶程序執(zhí)行時可以被激活。雖然它們來自不同的源，但所有這些模塊、驅(qū)動程序和附件可以被共同認(rèn)為是操作系統(tǒng)的組成部分，因為他們以提升權(quán)限的方式來執(zhí)行關(guān)鍵的功能。操作系統(tǒng)設(shè)計自我保護(hù)操作系統(tǒng)為了保障安全性，必須保護(hù)自己不被破解。操作系統(tǒng)不僅需要防御

6、惡意的用戶程序，也需要防御未整合在一起的模塊、驅(qū)動程序和附件，并且對于能夠信任哪些組件及信任哪些功能，操作系統(tǒng)只有有限的信息。操作系統(tǒng)不是一個單一結(jié)構(gòu)，它也不是載入內(nèi)存中的一個對象。操作系統(tǒng)是分階段加載的。首先加載基本的輸入/輸出系統(tǒng)，用以訪問下一步將加載的引導(dǎo)設(shè)備。接下來操作系統(tǒng)加載一些引導(dǎo)（bootstrap）加載程序和軟件，用來獲取和安裝操作系統(tǒng)后面的模塊。加載程序?qū)嵗粋€原始內(nèi)核，它為操作系統(tǒng)創(chuàng)建低級別的功能提供支持，如同步支持、進(jìn)程間通信、訪問控制和安全性及進(jìn)程調(diào)度。這些功能反過來幫助開發(fā)先進(jìn)的功能，如文件系統(tǒng)、目錄結(jié)構(gòu)和操作系統(tǒng)的第三方加載項。最后，激活為用戶提供的支持。實現(xiàn)安全

7、功能的操作系統(tǒng)工具1、操作系統(tǒng)同時實現(xiàn)支持訪問控制的底層表和訪問控制檢查機(jī)制；2、操作系統(tǒng)的另一個有關(guān)訪問控制的重要功能是審計（audit），即記錄哪個主體在什么時候以什么方式訪問哪個對象。審計不是防御工具，它是安全漏洞出現(xiàn)后的反應(yīng)工具。如果關(guān)鍵信息被泄露，審計日志可以幫助我們找到哪些信息已經(jīng)泄露，也許還能知道是誰在什么時候泄露的。這些信息可以限制漏洞帶來的損傷，也能使我們從出現(xiàn)的漏洞中得到啟示，防止以后再次出現(xiàn)這種問題。由于系統(tǒng)行為的數(shù)據(jù)量非常龐大，所以操作系統(tǒng)不可能記錄每一個行為。審計日志的寫入行為也是一個行為，也將產(chǎn)生一條記錄，這樣第一次訪問后就會產(chǎn)生一個無限的記錄鏈。然而，即使我們拋開

8、記錄審計的問題，每一次內(nèi)存信息發(fā)生位置改變或每一次搜索文件目錄都需要審計記錄。此外，只有當(dāng)審計跟蹤信息用于分析時，它才是有用的。太多的數(shù)據(jù)會阻礙分析的及時性和有效性。實現(xiàn)安全功能的操作系統(tǒng)工具虛擬化虛擬化（Virtualization）：通過使用一些資源提供另一種資源類型的外觀。1）虛擬機(jī)（Virtual machine）2）管理程序（Hypervisor）3）沙箱（Sandbox）4）蜜罐（Honeypot）實現(xiàn)安全功能的操作系統(tǒng)工具共享和分離最基本的保護(hù)就是分離控制（Separation）：保護(hù)一個用戶的對象獨立于其他用戶。在操作系統(tǒng)中，分離控制主要有以下4種方式：物理分離；時間分離；邏輯

9、分離；密碼分離。實現(xiàn)安全功能的操作系統(tǒng)工具共享和分離不保護(hù)；分離；完全共享或完全不共享；訪問限制共享；限制對象的使用。實現(xiàn)安全功能的操作系統(tǒng)工具內(nèi)存的硬件保護(hù)1）界地址2）基址/范圍寄存器3）標(biāo)記結(jié)構(gòu)4）虛擬內(nèi)存；5）分段式；6）分頁式；7）段頁式。6.2 安全操作系統(tǒng)的設(shè)計6.2.1 簡約設(shè)計操作系統(tǒng)本身是很難設(shè)計的。它們處理很多事務(wù)，如中斷和上下文轉(zhuǎn)換，并且必須是開銷最小化，以免影響用戶的計算和交互。將安全功能加入操作系統(tǒng)中大大增加了操作系統(tǒng)設(shè)計的難度。然而，對于安全性的需求變得越來越普遍，好的軟件工程原則啟示我們安全因素在設(shè)計初期考慮比在設(shè)計末期考慮更好。因此，本節(jié)將研究具有高度安全性的

10、操作系統(tǒng)設(shè)計。6.2 安全操作系統(tǒng)的設(shè)計6.2.2 分層設(shè)計一個內(nèi)核化的操作系統(tǒng)至少由4層組成：硬件、內(nèi)核、操作系統(tǒng)和用戶。其中每一層都可以包含一些子層。在用戶一級，通常有一些自身就構(gòu)成了隔離的安全層析的準(zhǔn)系統(tǒng)程序，如數(shù)據(jù)庫管理程序或用戶接口外殼。1）分層信任安全操作系統(tǒng)的分層觀點可以被描述成一系列的同心圓，最敏感的操作位于最內(nèi)層。然后，可以通過進(jìn)程與中心距離來判斷其可信度和訪問權(quán)限：離中心越近的進(jìn)程越可信。分層方法是實現(xiàn)封裝的另一個途徑。分層被認(rèn)為是一個好的操作系統(tǒng)的設(shè)計方法。每一層調(diào)用內(nèi)層的服務(wù)，同時也向外層提供一定功能級的服務(wù)。6.2 安全操作系統(tǒng)的設(shè)計6.2.2 分層設(shè)計分層的另外一個

11、理由是對破壞進(jìn)行控制。分層結(jié)構(gòu)有兩個好處：層次結(jié)構(gòu)（Hierarchical structuring）允許我們識別非常關(guān)鍵的部分，然后認(rèn)真分析其正確性，這樣問題就會少一些。隔離將問題的影響范圍限制在問題發(fā)生的層及上層，從而可以限制大多數(shù)問題的影響。這些設(shè)計特性內(nèi)核、分離、隔離和層次結(jié)構(gòu)，一直以來都是很多可信系統(tǒng)模型的基礎(chǔ)。作為最佳的設(shè)計和實現(xiàn)，它們經(jīng)歷了時間的考驗。6.2 安全操作系統(tǒng)的設(shè)計6.2.2 內(nèi)核化設(shè)計內(nèi)核（Kernel）是操作系統(tǒng)的一部分，它執(zhí)行操作系統(tǒng)的最底層功能。在標(biāo)準(zhǔn)的操作系統(tǒng)設(shè)計中，內(nèi)核實現(xiàn)這樣一些操作，如同步、進(jìn)程間通信、消息傳遞及中斷處理。內(nèi)核也被稱為核或核心。安全內(nèi)核

12、（security kernel）負(fù)責(zé)實施整個操作系統(tǒng)的安全機(jī)制。安全內(nèi)核負(fù)責(zé)在硬件、操作系統(tǒng)、計算系統(tǒng)的其他部分之間提供安全接口。一般來說，安全內(nèi)核被包含在操作系統(tǒng)核中。下面幾種原因解釋了為什么要將安全功能隔離在安全內(nèi)核中。6.2 安全操作系統(tǒng)的設(shè)計6.2.2 內(nèi)核化設(shè)計下面幾種原因解釋了為什么要將安全功能隔離在安全內(nèi)核中。覆蓋隔離統(tǒng)一可修改性緊湊性可驗證性6.2 安全操作系統(tǒng)的設(shè)計6.2.4 引用監(jiān)視器安全內(nèi)核中最重要的部分就是引用監(jiān)視器（reference monitor），它控制著對對象的訪問。引用監(jiān)視器并不只是一段代碼，它也可以是對設(shè)備、文件、內(nèi)存、進(jìn)程間通信及其他種類的對象的訪問控

13、制的集合。6.2 安全操作系統(tǒng)的設(shè)計6.2.4 引用監(jiān)視器一個引用監(jiān)視器的功能就像操作系統(tǒng)或可信軟件周圍的磚墻一樣?？垢蓴_；不可繞過；可分析。引用監(jiān)視器不是可信操作系統(tǒng)中唯一的安全機(jī)制。其他的安全組件包括審計、識別、鑒別過程和設(shè)置執(zhí)行參數(shù)，如允許訪問的主體是誰及允許他們訪問哪些對象。這些安全組件與引用監(jiān)視器交互，從引用監(jiān)視器那里接受數(shù)據(jù)或為它提供操作數(shù)據(jù)。6.2 安全操作系統(tǒng)的設(shè)計6.2.5 正確性和完整性安全因素滲透在操作系統(tǒng)設(shè)計和結(jié)構(gòu)之中，需要考慮其正確性和完整性。正確性（correctness）是指一個操作系統(tǒng)控制著主體和對象間的交互，因此操作系統(tǒng)設(shè)計的每一個方面都必須考慮安全性，即操作

14、系統(tǒng)設(shè)計必須包括這樣一些定義，如哪些對象將以什么樣的方式被包護(hù)，什么樣的主體具有訪問權(quán)，以及這些訪問權(quán)處于什么等級。從安全需求到設(shè)計必須有一個清晰的映射，使得所有開發(fā)者可以看出兩者之間的關(guān)聯(lián)。完整性（completeness）則要求在任何有必要的地方都有安全功能。雖然這個要求似乎是不言自明的，但是并非所有的開發(fā)者都認(rèn)為在他們設(shè)計和編寫代碼是必須考慮安全性，因此完整性安全有一定的挑戰(zhàn)。安全性在可信操作系統(tǒng)的最初設(shè)計中至關(guān)重要。安全性很少作為一個附件被集成，它必須是最初理念、需求、設(shè)計和實施的一部分。6.2 安全操作系統(tǒng)的設(shè)計6.2.6 安全設(shè)計原則（1）機(jī)制經(jīng)濟(jì)性（economy）原則：保護(hù)機(jī)制

15、應(yīng)設(shè)計得盡可能的簡單和短小。（2）失敗-保險（fail-safe）默認(rèn)原則：訪問判斷應(yīng)建立在顯示授權(quán)而不是隱式授權(quán)的基礎(chǔ)上，顯示授權(quán)指定的是主體該有的權(quán)限，隱式授權(quán)指定的是主體不該有的權(quán)限。（3）完全仲裁原則：對每一個客體的每一次訪問都必須經(jīng)過檢查，以確認(rèn)是否已經(jīng)得到授權(quán)。（4）開放式設(shè)計原則：不應(yīng)該把保護(hù)機(jī)制的抗攻擊能力建立在設(shè)計的保密性的基礎(chǔ)之上。應(yīng)該在設(shè)計公開的環(huán)境中設(shè)法增強(qiáng)保護(hù)機(jī)制的防御能力。6.2 安全操作系統(tǒng)的設(shè)計6.2.6 安全設(shè)計原則（5）特權(quán)分離原則：為一項特權(quán)劃分出多個決定因素，僅當(dāng)所有的決定因素具備時，才能行使該項特權(quán)。（6）最小特權(quán)原則：分配給系統(tǒng)中的每一個程序和每一個

16、用戶的特權(quán)應(yīng)該是它們完成工作所必須享有的特權(quán)的最小集合。（7）最少公共機(jī)制原則：把由兩個以上用戶共同和被所有用戶依賴的機(jī)制的數(shù)量減少到最小。（8）心理可接受性原則：為使用戶習(xí)以為常、自動地正確運用保護(hù)機(jī)制，把用戶界面設(shè)計得易于使用是根本。6.2 安全操作系統(tǒng)的設(shè)計6.2.7 可信系統(tǒng)可信系統(tǒng)：有證據(jù)證明它能實現(xiàn)一些功能或規(guī)則的系統(tǒng)?？尚畔到y(tǒng)是指這個系統(tǒng)不但達(dá)到了設(shè)計的安全需求，而且還能證明用戶對系統(tǒng)質(zhì)量的信任是正確的。也就是說，信任是由系統(tǒng)的使用者來感受的，而不是由系統(tǒng)的生產(chǎn)者、設(shè)計者或制造商來決定的。作為用戶，或許你不能直接去評價一個系統(tǒng)是否值得信任。你即可能會相信設(shè)計方案，也可能會相信專家

17、的評估，還可能相信同行的意見，但最終，還得由你自己來確定需要的信任度。如果我們知道一個軟件的代碼已經(jīng)經(jīng)過了嚴(yán)格的開發(fā)和分析，使得我們有路由相信該代碼只做其被要求做的事情，我們就說這個軟件是可信軟件（trusted software）。6.2 安全操作系統(tǒng)的設(shè)計6.2.7 可信系統(tǒng)當(dāng)我們確信操作系統(tǒng)能夠?qū)\行在它之上的組件或系統(tǒng)的訪問進(jìn)行正確的控制，就可以認(rèn)為它是可信的。可信軟件常常被用作一種一般用戶訪問敏感數(shù)據(jù)的安全方式?？尚懦绦蛟诓辉试S用戶直接訪問敏感數(shù)據(jù)的情況下，使用戶能執(zhí)行有限的（安全的）操作。可信系統(tǒng)有三個特征：a)一個已經(jīng)定義好的策略，它詳盡地說明了實施的安全特性；b)合適的措施和機(jī)

18、制，通過它可以充分實施安全特性；c)獨立的審查或評估，以確保機(jī)制被選中并被適當(dāng)?shù)貙嵤_保安全策略在實際上被執(zhí)行。6.2 安全操作系統(tǒng)的設(shè)計6.2.8 可信系統(tǒng)的功能1、可信計算基（Trusted Computing Base,TCB）TCB是可信系統(tǒng)中用于實施安全策略的所有事物的一個統(tǒng)稱。換一種說法，就是可信計算基由可信操作系統(tǒng)的某些部分構(gòu)成，我們依靠這些部分來正確地實施安全策略。我們對整個系統(tǒng)的信任建立在TCB之上。1）TCB的功能TCB是由下列安全實施依賴的系統(tǒng)元素構(gòu)成的：硬件，包括CPU、內(nèi)存、寄存器和I/O設(shè)備；一些進(jìn)程概念，以便我們能夠分離并且保護(hù)關(guān)鍵的安全進(jìn)程；原始文件，如安全訪

19、問控制數(shù)據(jù)庫和識別/鑒別數(shù)據(jù)；6.2 安全操作系統(tǒng)的設(shè)計6.2.8 可信系統(tǒng)的功能1、可信計算基（Trusted Computing Base,TCB）1）TCB的功能受保護(hù)的內(nèi)存，以防引用監(jiān)視器受到干擾；一些進(jìn)程間通信，以便TCB的不同部分能夠相互傳遞數(shù)據(jù)并且激活其他部分，例如，引用監(jiān)視器能夠激活并且將數(shù)據(jù)安全地傳遞給審計程序。上述元素似乎包含了操作系統(tǒng)的大部分內(nèi)容，但事實上TCB只是一個很小的子集。TCB只是包含了一個原始的文件管理器，用來處理TCB需要的小而簡單的文件。用于提供外部可視文件的復(fù)雜文件管理器在TCB之外。6.2 安全操作系統(tǒng)的設(shè)計6.2.8 可信系統(tǒng)的功能1、可信計算基（T

20、rusted Computing Base,TCB）1）TCB的功能TCB必須維護(hù)每一個域的保密性和完整性，監(jiān)視4個基本的交互。進(jìn)程激活：在多道程序環(huán)境下，進(jìn)程的激活和鈍化是經(jīng)常發(fā)生的。從一個進(jìn)程切換到另外一個進(jìn)程需要一個完整的改變，內(nèi)容包括寄存器、重定位映射表、文件訪問表、進(jìn)程狀態(tài)信息及其他指針，它們中的大部分都是安全敏感信息。執(zhí)行域切換：在一個域中運行的進(jìn)程經(jīng)常會激活其他域的進(jìn)程以獲得更多的敏感數(shù)據(jù)和服務(wù)。6.2 安全操作系統(tǒng)的設(shè)計6.2.8 可信系統(tǒng)的功能1、可信計算基（Trusted Computing Base,TCB）1）TCB的功能TCB必須維護(hù)每一個域的保密性和完整性，監(jiān)視4個

21、基本的交互。內(nèi)存保護(hù)：因為每個域包含的代碼和數(shù)據(jù)都存儲在內(nèi)存中，因此TCB必須監(jiān)視內(nèi)存引用以確保每個域的保密性和完整性。輸入/輸出（I/O）操作：在一些操作系統(tǒng)中，軟件涉及I/O操作中的每一個字符。這種軟件將最外層域的用戶程序和最內(nèi)層（硬件）域的I/O設(shè)備連接起來。因此，I/O操作能夠貫穿所有的域。6.2 安全操作系統(tǒng)的設(shè)計6.2.8 可信系統(tǒng)的功能1、可信計算基（Trusted Computing Base,TCB）2）TCB的設(shè)計將操作系統(tǒng)劃分為TCB和非TCB，這為設(shè)計者和開發(fā)者提供了便利，因為這意味著所有和安全相關(guān)代碼都被放置在某個邏輯部分。為了確保非TCB代碼不會影響安全實施，TCB

22、代碼必須運行在一些可以將其區(qū)分開的受保護(hù)狀態(tài)下。這種結(jié)構(gòu)一旦創(chuàng)建，TCB之外的代碼就能夠任意被修改，且不會影響TCB實施安全的能力。這種改變能力對開發(fā)者非常有幫助，因為這意味著操作系統(tǒng)的主要部分（設(shè)備驅(qū)動器、用戶接口管理器等）能夠在任何時間被修改，只有TCB代碼需要更加小心的控制。最后，對于可信操作系統(tǒng)的安全評估來講，TCB和非TCB的劃分大大簡化了評估，因為不需要考慮非TCB。6.2 安全操作系統(tǒng)的設(shè)計6.2.8 可信系統(tǒng)的功能1、可信計算基（Trusted Computing Base,TCB）3）TCB的實現(xiàn)和安全相關(guān)的活動可以會在不同的地方被執(zhí)行。安全性與下述操作都有潛在的相關(guān)性，包括

23、每一次的存儲訪問、I/O操作、文件或程序訪問、用戶的初始化及終止和進(jìn)程間通信。在模塊化的操作系統(tǒng)中，對上述每種活動可以用單獨的模塊來處理。每個模塊既有與安全相關(guān)的功能，還有其他的功能。將所有的安全功能都包含在TCB中會破壞現(xiàn)有操作系統(tǒng)的模塊性。集各種安全功能于一體的TCB也會因為太大而不易分析。不過，設(shè)計者可能會將現(xiàn)有操作系統(tǒng)的安全功能隔離出來，從而創(chuàng)建一個安全內(nèi)核。6.2 安全操作系統(tǒng)的設(shè)計6.2 安全操作系統(tǒng)的設(shè)計6.2.8 可信系統(tǒng)的功能1、可信計算基（Trusted Computing Base,TCB）3）TCB的實現(xiàn)更為合理的方法是先設(shè)計一個安全內(nèi)核，然后再圍繞這個安全內(nèi)核設(shè)計操作

24、系統(tǒng)。一個基于安全內(nèi)核的設(shè)計中，安全內(nèi)核在系統(tǒng)硬件之上形成一個接口層。安全內(nèi)核監(jiān)視著所有的操作系統(tǒng)的硬件訪問，并執(zhí)行所有的保護(hù)功能。安全內(nèi)核依靠硬件的支持，允許操作系統(tǒng)處理與安全無關(guān)的大部分功能。這樣，安全內(nèi)核就比較小且更有效。由于這種劃分，計算機(jī)系統(tǒng)至少具有三個執(zhí)行域：安全內(nèi)核、操作系統(tǒng)和用戶。6.2 安全操作系統(tǒng)的設(shè)計6.2.8 可信系統(tǒng)的功能2、安全啟動啟動是系統(tǒng)設(shè)計的一個已知的弱點。在操作系統(tǒng)的全部功能開啟之前，其防護(hù)能力是有限的。隨著越來越多的組件開始運作，它們開始完全控制住資源。在啟動過程中，威脅的程度也會因為用戶沒有激活和網(wǎng)絡(luò)連接尚未建立而降低。可信系統(tǒng)設(shè)計師意識到系統(tǒng)啟動時的脆

25、弱性，尤其是從先前錯誤中重啟。因此，可信系統(tǒng)的設(shè)計文件（例如桔皮書）要求開發(fā)者證明系統(tǒng)啟動時，所有的安全功能都能正常工作，不會受到任何以前系統(tǒng)會話的影響。6.2 安全操作系統(tǒng)的設(shè)計6.2.8 可信系統(tǒng)的功能3、可信路徑用戶與操作系統(tǒng)內(nèi)部主體結(jié)構(gòu)的連接時保障安全的關(guān)鍵。但是在其他方面，如不能期望用戶暴露獨特的驗證數(shù)據(jù)給任何要求訪問它的軟件。你知道，任何普通水平的程序員可以編寫代碼來彈出一個輸入用戶名和口令的對話框。你怎么能保證該對話框來自于密碼管理器，并會將輸入的數(shù)據(jù)傳到密碼管理器呢？如何知道這個對話框是合法的？這個問題是認(rèn)證的另一個方面：應(yīng)用程序要確保你就是你所指的用戶，但是你也需要知道應(yīng)用程序正好也是那個正確的應(yīng)用程序。6.2 安全操作系統(tǒng)的設(shè)計6.2.8 可信系統(tǒng)的功能3、可信路徑這個問題很難在應(yīng)用層上得到解決，但在操作系統(tǒng)層上卻比較容易?？尚怕窂剑╰rusted path）是不可偽造的連接，用戶可以通過它放心地直接與操作系統(tǒng)進(jìn)行通信，不用經(jīng)過中間任何可能有欺騙行為的應(yīng)用程序?？尚畔到y(tǒng)需要一個可信路徑，用來處理所有重要安全身份的驗證操作，如更改密碼。桔皮書要