操作系統(tǒng)安全體系結(jié)構(gòu)

第4章操作系統(tǒng)安全體系結(jié)構(gòu)精選ppt4.1概述安全問題的暴露解決問題的方法：1、在現(xiàn)有系統(tǒng)上打補(bǔ)丁來排除；2、無法在原有系統(tǒng)上進(jìn)行補(bǔ)救，只有重新改造系統(tǒng)，甚至重新設(shè)計(jì)系統(tǒng)造成的原因：1、由于舊系統(tǒng)增加了新的應(yīng)用（無法預(yù)測）2、系統(tǒng)設(shè)計(jì)時(shí)考慮不充分（缺乏有效的系統(tǒng)安全體系結(jié)構(gòu)所致）精選ppt安全體系結(jié)構(gòu)的含義及內(nèi)容使系統(tǒng)在實(shí)現(xiàn)時(shí)對各項(xiàng)要求，如安全性要求、性能要求、可擴(kuò)展要求、容量要求、成本要求等折中考慮，是體系結(jié)構(gòu)的主要任務(wù)精選ppt安全體系結(jié)構(gòu)1.詳細(xì)描述系統(tǒng)中安全相關(guān)的所有方面2.在一定的抽象層次上描述各個安全相關(guān)模塊之間的關(guān)系3.提出指導(dǎo)設(shè)計(jì)的基本原理4.提出開發(fā)過程的基本框架及對應(yīng)于該框架體系的層次結(jié)構(gòu)。安全體系按層次結(jié)構(gòu)進(jìn)行描述，包括兩個階段：概念化階段、功能化階段精選ppt安全體系的描述系統(tǒng)開發(fā)的概念化階段：安全概念的最高抽象層次的處理，如系統(tǒng)安全策略等系統(tǒng)開發(fā)的功能化階段：系統(tǒng)體系確定時(shí)，進(jìn)一步細(xì)化安全體系以反映系統(tǒng)的結(jié)構(gòu)安全體系結(jié)構(gòu)只能是一個概要描述,而不能是系統(tǒng)功能的描述安全體系結(jié)構(gòu)不應(yīng)該限制不影響安全的設(shè)計(jì)方法開發(fā)安全操作系統(tǒng)時(shí)應(yīng)參考”可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則”(TCSEC)及”信息技術(shù)安全性通用評估準(zhǔn)則”(CC)精選pptDGSA的安全體系抽象體系:描述安全需求,定義安全功能及它們提供的安全服務(wù),確定指導(dǎo)原則和基本概念通用體系:定義系統(tǒng)的通用類型及使用標(biāo)準(zhǔn),規(guī)定系統(tǒng)的指導(dǎo)原則，在已有的安全功能和安全服務(wù)配制上，定義系統(tǒng)分量類型及相關(guān)安全機(jī)制。并應(yīng)說明不兼容導(dǎo)致的安全強(qiáng)度的退化。邏輯體系:是滿足某個假設(shè)的需求集合的一個設(shè)計(jì)，顯示把通用體系應(yīng)用于具體環(huán)境時(shí)的基本情況,是假想體系，不是實(shí)際體系特殊體系:表明如何把所有被選擇的信息安全分量和機(jī)制結(jié)合起來，針對一個特殊系統(tǒng)的安全需求，描述接口、分量、標(biāo)準(zhǔn)、性能、開銷及如何結(jié)合精選ppt安全體系結(jié)構(gòu)設(shè)計(jì)的基本原則從系統(tǒng)設(shè)計(jì)之初就考慮安全性

在設(shè)計(jì)系統(tǒng)體系結(jié)構(gòu)的同時(shí)就考慮安全體系結(jié)構(gòu)應(yīng)盡量考慮未來可能面臨的安全需求使未來系統(tǒng)實(shí)施安全增強(qiáng)時(shí)，開銷小。但應(yīng)注意：1.“預(yù)想的”安全問題不能太具體。2.從問題類的角度理解安全問題，不是針對具體問題。3.特別關(guān)注安全策略的定義機(jī)制經(jīng)濟(jì)性原則應(yīng)極小化系統(tǒng)內(nèi)部與安全相關(guān)部分的復(fù)雜性及規(guī)模，安全系統(tǒng)必須限制規(guī)模。但應(yīng)注意:

1.安全機(jī)制盡量簡潔。

2.數(shù)據(jù)隔離應(yīng)適當(dāng)精選ppt失敗-保險(xiǎn)默認(rèn)原則訪問判定應(yīng)建立在顯式授權(quán)而不是隱式授權(quán)的基礎(chǔ)上特權(quán)分離原則高度的分離可以帶來安全性的提高,但也導(dǎo)致效率下降最小特權(quán)原則硬件特權(quán)極小化與軟件特權(quán)極小化最少公共機(jī)制原則把由兩個以上用戶共用和被所有用戶依賴的機(jī)制數(shù)量減到最小完全仲裁原則只有得到授權(quán)的客體才被允許訪問開放式設(shè)計(jì)原則在公開環(huán)境中增強(qiáng)安全機(jī)制的防御能力心理可接受性原則用戶界面設(shè)計(jì)得要易于使用和充分友好精選ppt4.2Flask體系結(jié)構(gòu)Internet的異質(zhì)互連特征要求系統(tǒng)支持安全策略的可變通性可變通性要求系統(tǒng)支持底層客體的細(xì)粒度訪問控制；確保權(quán)限增長與動態(tài)安全策略的一致性；提供能撤消以前授予的訪問權(quán)限的機(jī)制Flask系統(tǒng)來源于以前的DTOS系統(tǒng)原型,支持動態(tài)安全策略,使策略可變通性的實(shí)現(xiàn)成為可能Flask結(jié)構(gòu)將機(jī)制與策略相分離，由一個安全策略服務(wù)器和一個微內(nèi)核及客體服務(wù)器框架組成，前者制定訪問控制策略，后者執(zhí)行訪問控制策略，該結(jié)構(gòu)基于微內(nèi)核但不依賴微內(nèi)核精選ppt策略可變通性基本思想：將系統(tǒng)抽象成狀態(tài)機(jī)，執(zhí)行原子操作完成一個狀態(tài)到另一個狀態(tài)的轉(zhuǎn)換，安全策略被原子的插入到系統(tǒng)的操作執(zhí)行中，一個系統(tǒng)提供整個系統(tǒng)安全策略可變通性。該模型中，若當(dāng)前狀態(tài)包括系統(tǒng)歷史，則安全策略用全部當(dāng)前狀態(tài)作決定，判斷操作的執(zhí)行與否受限思想（實(shí)現(xiàn)）：當(dāng)前狀態(tài)區(qū)分為與安全相關(guān)及不相干部分，系統(tǒng)的可變通性只與相關(guān)狀態(tài)完整性及它們的控制操作有關(guān)。這種思想允許存在一些安全控制外的操作及一些系統(tǒng)狀態(tài)。精選ppt支持策略可變通性機(jī)制要求：

1.能撤回以前授予的權(quán)限。2.作訪問決策所需的輸入類型3.影響決策的外部因素（如歷史）。4.訪問決策的可傳遞性支持策略改變：系統(tǒng)要保證策略改變與控制操作的交叉使用時(shí)必須保持原子性。策略撤消：系統(tǒng)要保證已在系統(tǒng)中移動的授權(quán)真正收回當(dāng)一個正運(yùn)行的操作已檢查過許可權(quán)，撤消機(jī)制常用三種方法，終止、重啟、不管精選ppt特殊微內(nèi)核特征Flask采用類似Fluke方法處理內(nèi)核。Fluke中將每個活動對應(yīng)的內(nèi)核對象與一塊物理內(nèi)存對應(yīng)，每個內(nèi)核對象的SID與內(nèi)存段的SID是一致的。微內(nèi)核提供了內(nèi)存管理及SID之間的綁定。思想：Flask微內(nèi)核利用內(nèi)存標(biāo)簽與內(nèi)核對象標(biāo)簽之間的關(guān)系進(jìn)行控制。即通過地址空間的SID與內(nèi)存段的SID實(shí)現(xiàn)安全控制。內(nèi)存段是客體，內(nèi)核對象地址空間是主體。客體相對于主體具有權(quán)能作用精選ppt權(quán)能的概念權(quán)能是客體在系統(tǒng)范圍內(nèi)使用的名字,在系統(tǒng)中是唯一的權(quán)能必須包含以該權(quán)能命名的客體的訪問權(quán),決定了對該客體進(jìn)行訪問所必需的權(quán)力權(quán)能只能由系統(tǒng)特殊的底層部分來創(chuàng)建,且除約束訪問權(quán)外,權(quán)能不允許修改權(quán)能的優(yōu)點(diǎn):1.權(quán)能為訪問客體和保護(hù)客體提供了統(tǒng)一的,不可繞過的方法2.權(quán)能與層次設(shè)計(jì)方法是協(xié)調(diào)的,具有傳遞能力精選ppt權(quán)能的組成用于標(biāo)識客體的標(biāo)識符定義客體類型的域定義訪問權(quán)的域客體創(chuàng)建時(shí)，權(quán)能也隨之創(chuàng)建客體的創(chuàng)建主體可拷貝該客體的權(quán)能給其他主體當(dāng)權(quán)能被傳遞給另一個主體時(shí)，權(quán)能的訪問權(quán)可以被限制傳遞給另一個主體的權(quán)能訪問權(quán)不能大于對該權(quán)能拷貝所獲得的訪問權(quán)精選pptFlask體系結(jié)構(gòu)的組成精選pptFlask體系結(jié)構(gòu)結(jié)構(gòu)的基本目標(biāo)是提供安全策略的可變通性，確保不管決策如何隨時(shí)間變化，都提供一致的策略。為客體管理器提供3個要素。1.提供了一個從安全服務(wù)器重新訪問、標(biāo)記、多實(shí)例決策的接口。2.提供一個訪問向量緩存（AVC）模塊，減少性能損耗。3.提供客體管理器注冊、接受安全策略的改變的能力。精選pptFlask的支持機(jī)制客體標(biāo)記

每個客體由安全策略所帶的安全屬性標(biāo)記，稱安全上下文。Flask采用E—R方法，客體實(shí)體（SID）、上下文實(shí)體、客戶實(shí)體（SID），及客體、上下文聯(lián)系，客體、用戶聯(lián)系。SID稱為安全標(biāo)識符，F(xiàn)lask中它是固定的值，只能由安全服務(wù)器解釋并影射到上下文客戶（主體）創(chuàng)建新客體時(shí)，由微內(nèi)核提供的客戶SID、客體類型、相關(guān)客體SID為參數(shù)，由客體服務(wù)器向安全服務(wù)器請求一個SID，客體服務(wù)器將新客體與該SID綁定。用E—R方法看，客體由SID標(biāo)記，兩者聯(lián)系由客體管理器管理。SID與上下文聯(lián)系由安全服務(wù)器管理。SID的分配由安全服務(wù)器依客戶請求參數(shù)及環(huán)境動態(tài)決定精選ppt客體標(biāo)記結(jié)構(gòu)圖精選ppt客戶和服務(wù)器鑒別當(dāng)客戶發(fā)出請求SID時(shí),客體管理器必須能鑒別這個SID.客戶也能鑒別一個服務(wù)器SID以確保服務(wù)是從適當(dāng)?shù)姆?wù)器上發(fā)出的.Flask由微內(nèi)核提供這個服務(wù),并將其直接作為IPC(進(jìn)程通信)的一部分.客戶可以發(fā)一個內(nèi)核調(diào)用來鑒別服務(wù)器SID,客戶請求由微內(nèi)核提供到服務(wù)器.精選ppt請求和緩存安全決策

AVC（緩存訪問向量）是為緩解服務(wù)器的工作壓力設(shè)置的，是可由對象管理器共享的一個公共資源庫，是對象管理器與安全服務(wù)器之間的協(xié)調(diào)精選ppt支持多實(shí)例化

安全策略應(yīng)支持多實(shí)例化某資源并按群劃分終端，使群中的每個實(shí)體可共享該資源的相同實(shí)例化（成員）Flask體系中多實(shí)例化的機(jī)制精選ppt支持吊銷機(jī)制問題:在對象管理器中要保留一些安全策略的局部拷貝（如AVC中），當(dāng)決策轉(zhuǎn)移后，系統(tǒng)如何保證在策略改變時(shí)安全服務(wù)器與對象服務(wù)器之間策略表達(dá)的一致性。思想：保持策略與操作的交叉使用滿足有效原子性。實(shí)施原則：在系統(tǒng)上強(qiáng)制實(shí)施兩個要求。1）策略變動后，對象管理器的行為必須反映這個變化。2）對象管理器必須采用事實(shí)實(shí)時(shí)的方式完成策略變化。精選ppt第一個要求可通過用一個協(xié)議把對象管理器與安全服務(wù)器聯(lián)系起來。首先，安全服務(wù)器通知所有對象管理器策略改變；其次，對象管理器更新內(nèi)部狀態(tài)反映該變化；最后，對象管理器通知安全服務(wù)器改變已完成。該協(xié)議讓安全服務(wù)器只管策略更改，將狀態(tài)管理的負(fù)擔(dān)交給對象管理器。第二個實(shí)時(shí)性要求涉及系統(tǒng)的另兩個組件：微內(nèi)核，保證對象管理器與安全服務(wù)器的實(shí)時(shí)通信；調(diào)度程序，給對象管理器提供CPU資源。實(shí)時(shí)性使吊銷請求的任意延遲是不可能的，避免隱蔽通道精選pptFlask中實(shí)現(xiàn)方案：通過AVC模塊處理策略變更，并適當(dāng)進(jìn)化緩存。如下圖所示精選ppt安全服務(wù)器功能：安全服務(wù)器需提供安全策略支持，SID與上下文的影射，提供新客體的SID，提供成員SID，控制客體管理器的向量緩存。Flask實(shí)現(xiàn)：安全服務(wù)器代碼與一個策略數(shù)據(jù)庫的綁