PowerPoint Presentation

Size: px

Start display at page:

Download "PowerPoint Presentation"

场匆戎
5 years ago
Views:

1 引用监控器程绍银

2 引言如何实施访问控制策略? 必须解决的问题访问控制置于哪一层?( 第 2 个设计决策 ) 是不是还要考虑其他的附加安全需求? 本章给出用以保护操作系统完整性和存储器访问控制的核心机制, 重点关注基于分层系统构架底层的访问控制 2

3 3 引用监控器与其他安全措施的关系模型

4 本章内容 4 引用监控器的概念操作系统完整性硬件安全特性存储器保护阅读材料 1. 安全操作系统的发展 2. 引用监控器概念在操作系统安全课程教学中的中心地位 3. 基于访问历史的引用监控器扩展模型

5 本章内容 5 引用监控器的概念操作系统完整性硬件安全特性存储器保护阅读材料 1. 安全操作系统的发展 2. 引用监控器概念在操作系统安全课程教学中的中心地位 3. 基于访问历史的引用监控器扩展模型

6 6 橘皮书中的概念引用监控器 (RM,Reference Monitor) 是一个访问控制概念, 指所有主体对客体访问进行仲裁的抽象机器安全内核 (SK,Security Kernel) 实现 RM 的可信计算基的硬件固件和软件的总和, 必须处理所有的访问控制, 必须保护安全内核, 使之不被修改, 并能够证明是正确的可信计算基 (TCB, Trusted Computing Base) 是计算机系统中全部的保护机制的总和, 包括硬件固件 ( 手机 ROM) 软件, 它们组合起来负责实施安全策略

7 引用监控器访问控制机制的理论基础是访问监控器 ( 引用监控器,Reference Monitor), 由 J.P.Anderson 在 1972 年首次提出 7

8 安全内核安全内核是实现引用监控器概念的一种技术在一个大型操作系统中, 只有其中的一小部分软件用于安全目的是它的理论依据所以在重新生成操作系统过程中, 可用其中安全相关的软件来构成操作系统的一个可信内核, 称之为安全内核

9 可信计算基 9 操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件这些软件硬件和负责系统安全管理的人员一起组成了系统的可信计算基 (Trusted Computing Base,TCB) 具体来说可信计算基由以下 7 个部分组成 : 1. 操作系统的安全内核 2. 具有特权的程序和命令 3. 处理敏感信息的程序, 如系统管理命令等 4. 与 TCB 实施安全策略有关的文件 5. 其它有关的固件硬件和设备 6. 负责系统管理的人员 7. 保障固件和硬件正确的程序和诊断软件

10 可信计算基 (2) 一个 TCB 包含一个或多个组件, 这些组件在一个产品或系统中实施统一的安全策略 TCB 正确实施安全策略的能力完全取决于 TCB 的内部机制, 以及系统管理员对于安全策略相关参数 ( 如用户清除 ) 的正确输入 TCB 是安全操作系统的一个基本概念 10

11 橘皮书中的概念 (2) 引用监控器仅是一个抽象概念安全内核是引用监控器的实现 TCB 在其他的保护机制中包含了安全内核 11

12 Anderson 报告观点 12 引用验证机制 (RVM, Reference Validation Mechanism) 引用监控器的具体实现是实现引用监控器思想的硬件和软件的组合引用验证机制需要同时满足以下三个原则 : 第一, 必须具有自我保护能力, 以保证引用验证机制即使受到攻击也能保持自身的完整性, 从而保证系统安全第二, 必须总是处于活跃状态, 以保证程序对资源的所有引用都得到引用验证机制的仲裁第三, 必须设计得足够小, 以利于分析和测试, 保证引用验证机制实现的正确性和符合要求安全内核包括 RVM 的实现对系统自身的访问控制, 以及组成管理用户和程序的安全性组件

13 部署引用监控器 RM 可放置在分层系统的任何地方硬件级 : 基于微处理器的访问控制机制操作系统内核级 : 超级监视者 (hypervisor) 是一个虚拟机, 他能精确地模拟运行在其上的主机通过提供独立的虚拟机, 他能用于区分出不同用户与应用程序操作系统级 :UNIX/Win2K/Multics 的访问控制服务层 : 包含 Java 虚拟机.net 的 CLR COBRA 的中间件架构, 以及数据库管理系统应用程序 : 对安全需求非常了解的程序员会选择在应用程序中嵌入安全检查代码, 而不是调用底层的安全服务, 如 assert 函数 13

14 部署引用监控器 (2) 根据应该控制的应用来部署 RM: 内核中的监控器解释器内联监控器 kernel supported (e.g. in O/S) interpreter modified application (IRM) program RM program program RM RM 14 kernel kernel kernel

15 执行监控器 15 引用监控器通过请求的访问信息和被请求访问的客体来决定访问请求通过在作出访问决策中实际使用的信息, 能区分不同的引用监控器执行监控器通常只浏览执行步骤的历史记录, 并不预测未来执行的结果操作系统中通常很常见, 并只保留执行中有限 ( 少量 ) 历史信息当作出仲裁时, 引用监控器能够考虑目标所有的执行可能例如 : 静态类型检查引用监控器通过重写访问对象来确保访问请求符合安全规则例如 :NAT 内核空间和数据空间的数据交换

16 本章内容 16 引用监控器的概念操作系统完整性硬件安全特性存储器保护阅读材料 1. 安全操作系统的发展 2. 引用监控器概念在操作系统安全课程教学中的中心地位 3. 基于访问历史的引用监控器扩展模型

17 操作系统完整性假设操作系统能够阻止对资源的所有非授权访问 ( 只要操作系统如预期的那样运行 ) 为了避开保护机制, 攻击者可能试图通过修改操作系统使安全控制失效不论你的初衷是什么, 你现在面临一个完整性问题操作系统不仅是访问请求的仲裁者, 它本身也是一个访问控制对象新的安全策略 : 用户一定不能修改操作系统这个通用安全策略必须得到大力有效的支持 17

18 必须处理以下两个相互冲突的要求用户能使用 ( 调用 ) 操作系统用户不得滥用操作系统两个实现上述目标的重要概念状态信息受控调用 ( 也称受限特权 ) 这些概念可被用于计算机系统的任一层次上, 如应用软件操作系统和硬件等 18

19 操作模式为了保护自己, 一个操作系统必须能够区分代表操作系统的计算和代表用户的计算状态标志 (status flag) 可达到这一要求, 它允许系统在不同的模式工作例如 Intel 80x86 有两个状态位, 支持四种模式. 例如 Unix 能够识别超级用户 (root) 模式与用户模式模式很有用例如, 为阻止用户直接写存储器破坏逻辑文件结构, 操作系统可以仅在处理器工作于超级用户模式时准许对存储位置进行写访问 19

20 为阻止用户直接写存储器破坏逻辑文件结构, 操作系统可以仅在处理器工作于超级用户模式时准许对存储位置进行写访问用户想执行一个要求超级用户模式能执行的操作, 例如写存储器为了处理这个请求, 处理器必须转换模式, 这种转换应当如何执行呢? 20

21 受控调用 (Controlled Invocation) 用户想要写内存 ( 需要超级用户权限 ) 系统需要在状态之间转换, 转换怎么实现? 不能简单地修改状态位, 那会将与超级用户模式相关的所有特权都赋予用户, 要对用户实际做些什么有所限制系统在超级用户模式只执行一组预先定义的操作, 而在控制交回给用户前返回用户模式这个过程称为受控调用 21

22 本章内容 22 引用监控器的概念操作系统完整性硬件安全特性存储器保护阅读材料 1. 安全操作系统的发展 2. 引用监控器概念在操作系统安全课程教学中的中心地位 3. 基于访问历史的引用监控器扩展模型

23 硬件安全特性硬件处于 IT 系统的最底层, 是与物理安全相联系的地方硬件级的安全机制 applications services operating system OS kernel 23 hardware

24 把安全性置于系统核心的原因可以在更高的保证级别上评估安全在给定层次上的安全机制, 通常受到其下层安全机制的连累为了评估系统安全性, 必须证明安全机制不会被绕过系统越复杂, 证明越困难在系统的核心, 有可能找到相当简单的能够经得起全面分析的结构 24

25 把安全性置于系统核心的原因把安全性置于系统核心减轻了因安全性引起的性能损失处理器设计了那些对大多数用户来说最有用的操作集处理器性能依赖于对这些原始操作集的正确的选择和高效的实现当实现安全性时, 可以遵循同样的办法注意 : 有些资料假定,TCB 和安全内核必须支持多级安全策略 25

26 将安全性置于系统核心, 会将安全策略推向人 - 机标尺的机器端引用监控器制定的访问控制决策已远离由应用程序制定的访问控制决策对用户特定的复杂的关注对数据通用的简单的关注面向人面向机器 26

27 计算机体系结构简单概述中央处理单元 (CPU) 存储器总线 ( 连接 CPU 和存储器 ) 输入 / 输出设备 I/O 27 CPU Bus Memory

28 CPU 核心部件寄存器, 包含通用寄存器和专用寄存器通用寄存器 :EAX/AX/AL/AH 等程序计数器 EIP: 指向包含下一条要执行指令的存储器位置栈指针 ESP/EBP: 指向系统堆栈的栈顶 / 栈底状态寄存器 ZF/PF/SF/CF/OF/DF/IF: 允许 CPU 保存的状态信息算术逻辑单元 : 执行用机器语言给出的命令 ; 指令执行后可能会在状态寄存器中置位 28

29 输入 / 输出设备大大增加了计算机的应用性, 例如鼠标输入安全敏感数据时, 需要建立一条从输入 / 输出设备到 TCB 的可信路径 (Trusted Path) 29

30 存储结构随机存储器 (RAM): 读 / 写存储器, 必须考虑完整性和机密性问题只读寄存器 (ROM): 内建完整性保护机制, 只需考虑机密性 ; 可用于存储操作系统可擦写可编程只读寄存器 (EPROM): 可用于存储部分操作系统或密钥 ; 技术上更复杂的攻击可能会对安全造成威胁一次写入型光盘 (WROM): 一次性固化存储内容 ; 可用于存储密钥或记录审计踪迹 30

31 31 易失性存储器 : 断电时会丢失内容断电后立刻接上电源, 旧的数据可能还在长时间断电, 特殊的电子恢复技术可恢复旧的数据为了抵抗这种攻击, 存储器必须重复的改写永久性存储器 : 断电时仍能保持其内容如果攻击者可以绕过 CPU/OS 直接访问存储器, 那么必须实现加密保护或物理保护注意 : 数据对象可能有多个临时拷贝, 都需要保护

32 进程与线程 32 进程是一个正在执行的程序, 其由可执行代码数据执行环境 ( 又叫执行上下文 ) 组成进程在自己的地址空间工作, 并且只能通过操作系统提供的原语同其他进程通信进程间的逻辑隔离是一个基本的安全规则进程间的上下文切换开销很大, 要将全部的执行环境保存到堆栈中线程是进程内部的执行流同一进程的多个线程间共享一个地址空间, 这避免了全部的上下文开销, 但是也避开了可能的安全机制控制对于操作系统及其安全, 进程和线程是重要的控制单元他们通常是访问控制的主体

33 受控调用 - 中断处理器能够处理由程序错误用户请求硬件故障等引起的执行中断, 这种处理机制被称为异常 (exception) 中断 (interrupt) 陷阱 (trap) 等不同名称不同的术语可能指的是不同类型的事件, 但仍然可能存在冲突以下用陷阱作为一般术语, 并且解释怎样将陷阱用于安全目的 33

34 陷阱 34 陷阱是 CPU 的一种特殊输入, 它包括中断向量表 (interrupt vector table) 中一个称为中断向量 (interrupt vector) 的地址中断向量表给出了一些程序的位置, 这些程序用于处理陷阱指定的事件, 称为中断处理器 (interrupt handler) 当一个陷阱发生时, 系统在堆栈中保存当前状态, 然后执行中断处理器, 用这种方式将控制从用户程序那儿接管过来中断处理器必须保证在将控制返回给用户程序前, 将系统恢复到一个正确的状态, 比如清除超级用户状态位

35 中断向量表中断陷阱 #n 中断向量表存储器 n 中断向量中断处理器 35

36 中断处理器的中断当处理器正在处理当前中断时, 可能会有新的中断到来, 这时处理器可能必须中断当前的中断处理器这种情形如果处理得不正确, 可能会导致安全缺陷一个典型的例子就是这样一个系统, 用户可以通过键入 CTRL-C 来中断程序的执行, 使得处理器带着当前进程的状态位迅速返回操作系统于是, 用户通过中断一个操作系统调用的执行就可以进入管理员模式在执行程序前建立中断表使得中断能以一种适当的方式被处理是非常重要的 36

37 攻击中断向量表中断表是一个特别引人注目的攻击点, 必须得到充分的保护重新向指针, 改变中断表的入口中断陷阱 #n 中断向量表存储器 n 中断向量 ShellCode 中断处理器 37

38 例子 :Intel 80x86 上的保护 38 基于保护环, 在机器语言级别支持访问控制保护模式支持多任务操作系统的完整性和机密性要求状态寄存器有一个 2 比特域, 定义了四种特权级别 ( 保护环 ), 特权级别只能被运行在级别 0 上的单指令 (POPF) 修改四种特权级别 0 操作系统内核 1 操作系统其他部分 2 I/O 驱动程序等 3 应用软件并非所有的操作系统都是用全部的四个级别, 比如 Unix 只使用 0 和 3 级程序只能访问位于自己环或环外的对象 ; 程序只能在自己的环调用子例程 ; 通过门 (gate) 可以调用内环程序

39 Intel 80x86 - 访问控制存储器段访问控制段或门这样的系统客体的信息, 保存在描述符 (descriptor) 中, 一个客体的特权级别保存在它的描述符的 DPL(Descriptor Privilege Level) 域中描述符保存在描述符表中, 通过选择符进行访问选择符是一个 16 位的域, 包含一个指向描述符表中客体入口的索引以及一个被请求的特权级别 (RPL, requested privilege level) 域, 只有操作系统能够访问选择符 INDEX RPL Descriptor DPL selector 39 Descriptor table

40 包含关于主体 ( 即进程 ) 信息的系统客体当然也有描述符和选择符当一个主体请求访问一个客体时, 相关的选择符被装入专用的段寄存器中比如, 当前进程的特权级别, 称为当前特权级 (CPL), 就是保存在代码段 (CS) 寄存器中的选择符的特权级通过比较 CPL( 主体 ) 和 DPL( 客体 ), 可以进行访问控制 40

41 段选择符段选择符选择符索引 (Index) TI RPL TI=0 TI=1, 表指示符描述符描述符描述符 i 描述符 I 41 描述符 1 描述符 0(NULL) 全局描述符表 GDT 描述符 1 描述符 0 局部描述符表 LDT 段选择符共 16 位, 其中前 13 位标识地址, 1 位标识 GDT/LDT,2 位标识 RPL

42 描述符表将不同程序 ( 或数据 ) 段的描述符在内存中连续排列起来, 所形成的表称为描述符表 GDT: 由与全局有关的程序 ( 或数据 ) 段的描述符组织在一块的表称全局描述符表 (GDT) 一个系统内只有一张 GDT 存放该表的物理地址和长度的寄存器称 GDTR IDT: 所有中断服务程序的描述符表称中断描述符表 (IDT), 一个系统也仅有一张 IDT LDT: 由不涉及全局的程序 ( 或数据 ) 段的描述符所组成的表称局部描述符表 (LDT), 一般一个进程一个 LDT 42

43 43 描述符段基地址 (15 0) 段基地址 (31 24) 15 0 段长限 (15 0) G D 0 AVL 段长限 (19 16) P DPL S TYPE A 段基地址 (23 16) G( 粒度位 ):G=0 时, 段长限以字节为单位 ; G=1 时, 段长度以页为单位 D( 缺省操作数的大小 ): 仅用于代码段描述符, D=0 为 16 位代码段 ;D=1 为 32 位代码段 P( 存在位 ):0= 不在内存 ;1= 在内存 DPL: 描述符特权级 0-3 S( 段描述符 ):0= 系统描述符 ;1= 代码 / 数据段描述符 TYPE( 类型 ): 段的类型 A( 访问位 ):1 表示已访问过 0 表示保留位, 该位必须是 0

44 Intel 80x86 - 受控调用必须对那些请求较高特权的操作进行访问管理门 (Gate) 是一个指向某个程序 ( 在某个代码段中 ) 的系统客体, 这里门具有与它所指向的代码不同的特权级别门允许对内环中的程序进行只执行访问, 但仍限制向外的调用 Gate outer ring procedure inner ring procedure 44

45 45 如果一个过程要使用门, 门必须和过程位于同一个环内当通过门调用一个子例程时, 当前特权级别变为门正指向的代码的级别当从子例程返回时, 特权级别恢复到调用程序的特权级别子例程调用也在堆栈中保存指示调用程序状态的信息或返回地址为了确定堆栈的合适的特权级别, 记住调用程序不能写入内环但是由于安全的原因, 将堆栈留在外环也是不能解决问题的, 因为它使得返回地址完全没有保护一部分堆栈 ( 大小在门的描述符中规定 ) 要拷贝到一个更有特权的堆栈段中

46 困惑的代理人问题 46 当通过门调用一个子例程时, 当前特权级别变为门正指向的代码的级别当从子例程返回时, 特权级别恢复到调用程序的特权级别外环程序可以请求内环程序将位于内环上的一个客体拷贝到外环上迄今为止给出的任何安全机制都不能防止这种做法, 事实上它也没有违反规定的安全策略这个漏洞称为引诱攻击 (luring attack), 也叫做困惑的代理人问题 (confused deputy problem)

47 47 因此, 可能希望扩展原来的安全策略, 使其不仅考虑到当前的特权级别, 也考虑到调用进程的 (calling process) 级别在 80x86 中, 可以使用选择符中的 RLP 域和调整被请求的特权级别 (ARPL,adjust requested privilege level) 指令支持这种策略 ARPL 指令将所有选择符的 RLP 域改为调用过程的 CPL, 然后系统可以比较 RPL ( 在选择符中 ) 和客体的 DPL( 在描述符中 ), 如果它们不同的话, 拒绝完成被请求的操作

48 比较 RPL 和 DPL Descriptor table selector INDEX RPL Descriptor DPL? = 48

49 本章内容 49 引用监控器的概念操作系统完整性硬件安全特性存储器保护阅读材料 1. 安全操作系统的发展 2. 引用监控器概念在操作系统安全课程教学中的中心地位 3. 基于访问历史的引用监控器扩展模型

50 存储器保护 50 操作系统管理对数据和资源的访问 ; 多任务操作系统交替执行属于不同用户的进程因此其必须做到隔离用户空间和操作系统空间, 保护自身完整性实现用户间的逻辑隔离, 阻止用户访问其他用户的数据约束一个进程可以访问的存储对象用户间的逻辑隔离, 发生在两个级别上 : 文件管理 : 处理逻辑存储对象存储管理 : 处理物理存储对象对于安全来说, 这种区分很重要

51 51 分段 & 分页 (Segments and Pages) 两种最主要的存储组织方式 : 分段分页分段是将存储划分成可变长度的逻辑单元 + 分段是逻辑单元的一种划分, 它是实施安全策略的良好基础段具有可变长度, 这使得存储管理较为困难分页将存储划分为大小相同的页 + 大小相同的页, 允许高效的存储管理分页对访问控制不是一个好的基础, 因为页不是逻辑单元一个页可能包含要求不同保护的对象缺页能够创建一个隐蔽通道

52 52 一个隐蔽通道 (Covert Channel) 当进程访问存储在多个页中的逻辑对象时, 操作系统在某个时候会要求一个新页, 这时便会产生缺页 (page fault) 如果缺页可以被查看到, 那就会打开一个隐蔽通道作为例子, 考虑一个口令方案用户输入一个口令, 该口令被逐个字符地扫描, 并同保存在存储器中的一个参考口令进行比较, 当发现不匹配时访问被拒绝如果一个口令跨越页边界存放, 那么攻击者可从查看到缺页推断出第一页上的口令片段已被正确猜测出来如果攻击者可以控制将口令存放在页的什么地方, 口令猜测就变得相当容易了

53 Page 1 Page 2 P ASSWORD PA SSWORD PAS SWORD PASS WORD 1 st guess 2 nd guess 3 rd guess 4 th guess 53

54 安全编址 54 操作系统要控制存储器中数据对象的访问一个数据对象在物理上被表示成存放在某个存储位置的比特集访问一个逻辑对象最终被转换成机器语言级别上的访问操作控制对存储位置的访问有三种办法 : 操作系统修改从用户进程接受到的地址操作系统利用用户进程收到的相对地址构造有效地址操作系统检查从用户进程收到的地址是否在给定的界限内

55 地址沙盒法地址由段标识 (segment identifier) 和偏移量 (offset) 组成当操作系统收到一个地址时, 它会设置正确的段标识用地址与 mask_1 按位与, 清除段标识 ; 再与 mask_2 按位或, 将标识符设置为希望的值 SEG_ID address mask_1 mask_2 effective address 55 seg_id offset SEG_ID SEG_ID offset 0.0 offset } bitwise AND } bitwise OR

56 相对编址 56 编址方式的巧妙使用可避免进程进入禁止的存储区域栅栏寄存器 (fence registers): 基址寄存器使用户只能访问系统空间之外的空间, 其指向用户空间的最高端边界寄存器 (bounds register): 定义用户空间的最低端基址和边界寄存器允许隔绝各个程序的数据空间 offset base fence register + memory user space O/S space

57 功能编码 (Function codes) Motorola 处理器的功能编码指示了处理器状态, 地址解码器能够使用这个信息在用户存储器和超级用户存储器之间进行选择, 或者在数据和程序之间进行选择 57 FC2 FC1 FC (undefined,reserved) user data user program (undefined,reserved) (undefined,reserved) supervisor data supervisor program interrupt acknowledge

58 经验教训区分数据和程序的能力是非常有用的安全特性它提供了保护程序不被修改的基础从一个更抽象的观点来看, 内存已经被划分成了不同的区域访问控制能够查看对象或程序的来源位置这可以看做是一个基于位置的访问控制的例子在分布式系统或计算机网络中, 通常会需要这种访问控制 58

59 标记结构 (Tagged Architectures) 标记结构指示每个存储对象的类型 CPU 在执行前会检查类型是否相符用于实施安全策略 59 tag INT OP STR data

60 本章内容 60 引用监控器的概念操作系统完整性硬件安全特性存储器保护阅读材料 1. 安全操作系统的发展 2. 引用监控器概念在操作系统安全课程教学中的中心地位 3. 基于访问历史的引用监控器扩展模型

61 阅读材料 1: 安全操作系统的发展操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用没有操作系统提供的安全性, 信息系统的安全性是没有基础的安全操作系统涉及的基本概念 : 主体和客体安全策略和安全模型访问监控器和安全内核以及可信计算基 61

62 国外安全操作系统的发展 Adept-50 是一个分时安全操作系统, 可以实际投入使用,1969 年 C.Weissman 发表了有关 Adept-50 的安全控制的研究成果安全 Adept-50 运行于 IBM/360 硬件平台, 它以一个形式化的安全模型高水印模型 (High-Water-Mark Model) 为基础, 实现了美国的一个军事安全系统模型

63 国外安全操作系统的发展 1969 年 B.W.Lampson 通过形式化表示方法运用主体 (Subject) 客体 (Object) 和访问矩阵 (Access Matrix) 的思想第一次对访问控制问题进行了抽象 1973 年提出隐蔽通道的概念 1972 年,J.P.Anderson 在一份研究报告中提出了访问监控器 (Reference Monitor) 引用验证机制 (Reference Validation Mechanism) 安全内核(Security Kernel) 和安全建模等重要思想

64 国外安全操作系统的发展 1973 年,D.E.Bell 和 L.J.LaPadula 提出了第一个可证明的安全系统的数学模型, 即 BLP 模型 1975 年前后开始开发 PSOS(Provably Secure Operating System) 1977 年美国国防部研究计划局发起 KSOS (Kernelized Secure operating System) 研制项目

65 国外安全操作系统的发展 1978 年前后美国国防部研究计划局发起 UCLA Secure Unix, 也是一个安全操作系统研制项目 1984 年开发基于 UNIX 的 LINVS Ⅳ 实验安全操作系统, 安全性可达 B2 级 1986 年 IBM 公司在 SCO Xenix 的基础上开发 Secure Xenix( 通过安全注意键 SAK 实现可信通路 )

66 国外安全操作系统的发展 1987 年, 美国 Trusted Information Systems 公司以 Mach 操作系统为基础开发了 B3 级的 Tmach(Trusted Mach) 操作系统 1989 年, 加拿大多伦多大学开发了与 UNIX 兼容的安全 TUNIS 操作系统在实现中安全 TUNIS 改进了 BLP 模型, 并用 Turing Plus 语言 ( 而不是 C) 重新实现了 Unix 内核, 模块性相当好

67 国外安全操作系统的发展 1990 年发布 ASOS(Army Secure Operating System) 是针对美军的战术需要而设计的军用安全操作系统 1990 年开放软件基金会推出 OSF/1, 被美国国家中心 (NCSC) 认可为符合 TCSEC 的 B1 级 1991 年 UI(UNIX 国际组织 ) 推出 UNIX SVR4.1ES, 被美国国家中心 (NCSC) 认可为符合 TCSEC 的 B2 级

68 国外安全操作系统的发展 1997 年美国国家安全局和安全计算公司完成的 DTOS(Distributed Trusted Operating System) 安全操作系统采用了基于安全威胁的开发方法 2001 年,Flask 由 NSA 在 Linux 操作系统上实现, 并且不同寻常地向开放源码社区发布了一个安全性增强型版本的 Linux (SELinux), 包括代码和所有文档 (SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制 (MAC) 系统 )

69 国内安全操作系统的发展 1993 年, 海军计算技术研究所按照美国 TCSEC 标准的 B2 级安全要求, 围绕 Unix SVR4.2/SE, 实现了国产自主的安全增强包 1995 年, 在国家八五科技攻关项目 COSA 国产系统软件平台中, 围绕 UNIX 类国产操作系统 COSIX V2.0 的安全子系统的设计与实现

70 国内安全操作系统的发展 1996 年, 由中国国防科学技术工业委员会发布了军用评估准则 GJB ( 一般简称为军标 ), 它与美国 TCSEC 基本一致 1998 年, 电子工业部十五所基于 UnixWare V2.1 按照美国 TCSEC 标准的 B1 级安全要求, 对 Unix 操作系统的内核进行了安全性增强 1999 年 10 月 19 日, 我国国家技术监督局发布了国家标准 GB 计算机信息系统安全保护等级划分准则, 为计算机信息系统安全保护能力划分了等级

71 国内安全操作系统的发展中国科学院信息安全技术工程研究中心基于 Linux 资源, 开发完成了符合我国 GB 第三级 ( 相当于美国 TCSEC B1) 安全要求的安全操作系统 SecLinux SecLinux 系统提供了身份标识与鉴别自主访问控制强制访问控制最小特权管理安全审计可信通路密码服务网络安全服务等方面的安全功能依托南京大学的江苏南大苏富特软件股份有限公司开发完成了基于 Linux 的安全操作系统 SoftOS, 实现的安全功能包括 : 强制访问控制审计禁止客体重用入侵检测等信息产业部 30 所控股的三零盛安公司推出的强林 Linux 安全操作系统, 达到了我国 GB 第三级的安全要求

72 国内安全操作系统的发展中国科学院软件所开放系统与中文处理中心基于红旗 Linux 操作系统, 实现了符合我国 GB 第三级要求的安全功能中国计算机软件与技术服务总公司以美国 TCSEC 标准的 B1 级为安全目标, 对其 COSIX V2.0 进行了安全性增强改造此外, 国防科技大学总参 56 所等其他单位也开展了安全操作系统的研究与开发工作 2001 年 3 月 8 日, 我国国家技术监督局发布了国家标准 GB/T 信息技术安全技术信息技术安全性评估准则, 它基本上等同采用了国际通用安全评价准则 CC 该标准已于 2001 年 12 月 1 日起推荐执行, 这将对我国安全操作系统研究与开发产生进一步的影响

73 阅读材料 2 引用监控器概念在操作系统安全课程教学中的中心地位 73

74 阅读材料 3 基于访问历史的引用监控器扩展模型 74

75 小结安全策略可以在计算机系统的任一层实施底层实现的安全机制, 更加通用且能使所有的上层程序受益, 但是不会很好的匹配应用程序的安全需求上层实现的安全机制, 更加面向具体的应用程序, 但是程序必须各自的受到保护这种基本的进退两难困境在信息安全中一再出现 75

76 课堂作业 1 引用 ( 访问 ) 验证机制需要同时满足的三个原则是什么? 2 什么是受控调用? 76

77 作业练习 5.2 没有安全内核是否安全? 讨论有一个可信计算基的安全内核 ( 如 TCB) 的优点和缺点练习 5.5 一些缓冲区溢出攻击会把他们希望执行的代码放入调用栈中通过区分程序和数据来帮助构建抵御这种特殊类型的缓冲溢出攻击的能力将如何实现? 练习 5.6 反病毒软件扫描文件来对抗攻击一个病毒如何截取对内存的读请求以及隐藏它的存在? 77

78 作业练习 5.a 考虑多级安全操作系统中的一个目录保存文件的安全级别有三种可供选择的方法 : 将文件的安全级别和文件名一起保存在目录中将文件的安全级别和文件本身存放在一起, 目录仅包含文件名将目录划分成若干区, 每个安全级别对应一个区, 文件名放入与它们的安全级别相对应的区中分析每一种方法隐含的安全问题和可用性问题 78

提纲. 1 实验准备. 2 从实模式进入保护模式. 3 小结陈香兰 ( 中国科学技术大学计算机学院 ) 软件综合实验之操作系统 July 1, / 11

.. 软件综合实验之操作系统进入保护模式陈香兰中国科学技术大学计算机学院 July 1, 2016 陈香兰 ( 中国科学技术大学计算机学院 ) 软件综合实验之操作系统 July 1, 2016 1 / 11 提纲. 1 实验准备. 2 从实模式进入保护模式. 3 小结陈香兰 ( 中国科学技术大学计算机学院 ) 软件综合实验之操作系统 July 1, 2016 2 / 11 实验准备实验环境准备