操作系統(tǒng)安全體系結(jié)構(gòu)

1、第4章 操作系統(tǒng)安全體系結(jié)構(gòu),4.1 概述,安全問題的暴露 解決問題的方法：1、在現(xiàn)有系統(tǒng)上打補(bǔ)丁來排除；2、無(wú)法在原有系統(tǒng)上進(jìn)行補(bǔ)救，只有重新改造系統(tǒng)，甚至重新設(shè)計(jì)系統(tǒng) 造成的原因： 1、由于舊系統(tǒng)增加了新的應(yīng)用（無(wú)法預(yù)測(cè)） 2、系統(tǒng)設(shè)計(jì)時(shí)考慮不充分（缺乏有效的系統(tǒng)安全體系結(jié)構(gòu)所致,安全體系結(jié)構(gòu)的含義及內(nèi)容,使系統(tǒng)在實(shí)現(xiàn)時(shí)對(duì)各項(xiàng)要求，如安全性要求、性能要求、可擴(kuò)展要求、容量要求、成本要求等折中考慮，是體系結(jié)構(gòu)的主要任務(wù),安全體系結(jié)構(gòu),1. 詳細(xì)描述系統(tǒng)中安全相關(guān)的所有方面 2. 在一定的抽象層次上描述各個(gè)安全相關(guān)模塊之間的關(guān)系 3. 提出指導(dǎo)設(shè)計(jì)的基本原理 4. 提出開發(fā)過程的基本框架及對(duì)應(yīng)

2、于該框架體系的層次結(jié)構(gòu)。安全體系按層次結(jié)構(gòu)進(jìn)行描述，包括兩個(gè)階段：概念化階段、功能化階段,安全體系的描述,系統(tǒng)開發(fā)的概念化階段：安全概念的最高抽象層次的處理，如系統(tǒng)安全策略等 系統(tǒng)開發(fā)的功能化階段：系統(tǒng)體系確定時(shí)，進(jìn)一步細(xì)化安全體系以反映系統(tǒng)的結(jié)構(gòu) 安全體系結(jié)構(gòu)只能是一個(gè)概要描述,而不能是系統(tǒng)功能的描述 安全體系結(jié)構(gòu)不應(yīng)該限制不影響安全的設(shè)計(jì)方法 開發(fā)安全操作系統(tǒng)時(shí)應(yīng)參考”可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則”(TCSEC)及”信息技術(shù)安全性通用評(píng)估準(zhǔn)則”(CC,DGSA的安全體系,抽象體系: 描述安全需求,定義安全功能及它們提供的安全服務(wù),確定指導(dǎo)原則和基本概念 通用體系: 定義系統(tǒng)的通用類型及使用標(biāo)準(zhǔn),

3、規(guī)定系統(tǒng)的指導(dǎo)原則，在已有的安全功能和安全服務(wù)配制上，定義系統(tǒng)分量類型及相關(guān)安全機(jī)制。并應(yīng)說明不兼容導(dǎo)致的安全強(qiáng)度的退化。 邏輯體系:是滿足某個(gè)假設(shè)的需求集合的一個(gè)設(shè)計(jì)，顯示把通用體系應(yīng)用于具體環(huán)境時(shí)的基本情況,是假想體系，不是實(shí)際體系 特殊體系: 表明如何把所有被選擇的信息安全分量和機(jī)制結(jié)合起來，針對(duì)一個(gè)特殊系統(tǒng)的安全需求，描述接口、分量、標(biāo)準(zhǔn)、性能、開銷及如何結(jié)合,安全體系結(jié)構(gòu)設(shè)計(jì)的基本原則,從系統(tǒng)設(shè)計(jì)之初就考慮安全性 在設(shè)計(jì)系統(tǒng)體系結(jié)構(gòu)的同時(shí)就考慮安全體系結(jié)構(gòu) 應(yīng)盡量考慮未來可能面臨的安全需求 使未來系統(tǒng)實(shí)施安全增強(qiáng)時(shí)，開銷小。但應(yīng)注意： 1. “預(yù)想的”安全問題不能太具體。 2.從問題

4、類的角度理解安全問題，不是針對(duì)具體問題。 3.特別關(guān)注安全策略的定義 機(jī)制經(jīng)濟(jì)性原則 應(yīng)極小化系統(tǒng)內(nèi)部與安全相關(guān)部分的復(fù)雜性及規(guī)模，安全系統(tǒng)必須限制規(guī)模。但應(yīng)注意: 1.安全機(jī)制盡量簡(jiǎn)潔。 2.數(shù)據(jù)隔離應(yīng)適當(dāng),失敗-保險(xiǎn)默認(rèn)原則 訪問判定應(yīng)建立在顯式授權(quán)而不是隱式授權(quán)的基礎(chǔ)上 特權(quán)分離原則 高度的分離可以帶來安全性的提高,但也導(dǎo)致效率下降 最小特權(quán)原則 硬件特權(quán)極小化與軟件特權(quán)極小化 最少公共機(jī)制原則 把由兩個(gè)以上用戶共用和被所有用戶依賴的機(jī)制數(shù)量減到最小 完全仲裁原則 只有得到授權(quán)的客體才被允許訪問 開放式設(shè)計(jì)原則 在公開環(huán)境中增強(qiáng)安全機(jī)制的防御能力 心理可接受性原則 用戶界面設(shè)計(jì)得要易于使

5、用和充分友好,4.2 Flask體系結(jié)構(gòu),Internet的異質(zhì)互連特征要求系統(tǒng)支持安全策略的可變通性 可變通性要求系統(tǒng)支持底層客體的細(xì)粒度訪問控制；確保權(quán)限增長(zhǎng)與動(dòng)態(tài)安全策略的一致性；提供能撤消以前授予的訪問權(quán)限的機(jī)制 Flask系統(tǒng)來源于以前的DTOS系統(tǒng)原型,支持動(dòng)態(tài)安全策略,使策略可變通性的實(shí)現(xiàn)成為可能 Flask結(jié)構(gòu)將機(jī)制與策略相分離，由一個(gè)安全策略服務(wù)器和一個(gè)微內(nèi)核及客體服務(wù)器框架組成，前者制定訪問控制策略，后者執(zhí)行訪問控制策略，該結(jié)構(gòu)基于微內(nèi)核但不依賴微內(nèi)核,策略可變通性,基本思想：將系統(tǒng)抽象成狀態(tài)機(jī)，執(zhí)行原子操作完成一個(gè)狀態(tài)到另一個(gè)狀態(tài)的轉(zhuǎn)換，安全策略被原子的插入到系統(tǒng)的操作執(zhí)

6、行中，一個(gè)系統(tǒng)提供整個(gè)系統(tǒng)安全策略可變通性。該模型中，若當(dāng)前狀態(tài)包括系統(tǒng)歷史，則安全策略用全部當(dāng)前狀態(tài)作決定，判斷操作的執(zhí)行與否 受限思想（實(shí)現(xiàn)）： 當(dāng)前狀態(tài)區(qū)分為與安全相關(guān)及不相干部分，系統(tǒng)的可變通性只與相關(guān)狀態(tài)完整性及它們的控制操作有關(guān)。這種思想允許存在一些安全控制外的操作及一些系統(tǒng)狀態(tài),支持策略可變通性機(jī)制要求： 1.能撤回以前授予的權(quán)限。 2.作訪問決策所需的輸入類型 3.影響決策的外部因素（如歷史）。 4.訪問決策的可傳遞性支持 策略改變：系統(tǒng)要保證策略改變與控制操作的交叉使用時(shí)必須保持原子性。 策略撤消：系統(tǒng)要保證已在系統(tǒng)中移動(dòng)的授權(quán)真正收回 當(dāng)一個(gè)正運(yùn)行的操作已檢查過許可權(quán)，撤消

7、機(jī)制常用三種方法，終止、重啟、不管,特殊微內(nèi)核特征,Flask采用類似Fluke方法處理內(nèi)核。 Fluke中將每個(gè)活動(dòng)對(duì)應(yīng)的內(nèi)核對(duì)象與一塊物理內(nèi)存對(duì)應(yīng)，每個(gè)內(nèi)核對(duì)象的SID與內(nèi)存段的SID是一致的。微內(nèi)核提供了內(nèi)存管理及SID之間的綁定。 思想：Flask微內(nèi)核利用內(nèi)存標(biāo)簽與內(nèi)核對(duì)象標(biāo)簽之間的關(guān)系進(jìn)行控制。即通過地址空間的SID與內(nèi)存段的SID實(shí)現(xiàn)安全控制。內(nèi)存段是客體，內(nèi)核對(duì)象地址空間是主體?？腕w相對(duì)于主體具有權(quán)能作用,權(quán)能的概念,權(quán)能是客體在系統(tǒng)范圍內(nèi)使用的名字,在系統(tǒng)中是唯一的 權(quán)能必須包含以該權(quán)能命名的客體的訪問權(quán),決定了對(duì)該客體進(jìn)行訪問所必需的權(quán)力 權(quán)能只能由系統(tǒng)特殊的底層部分來創(chuàng)建

8、,且除約束訪問權(quán)外,權(quán)能不允許修改 權(quán)能的優(yōu)點(diǎn): 1. 權(quán)能為訪問客體和保護(hù)客體提供了統(tǒng)一的,不可繞過的方法 2. 權(quán)能與層次設(shè)計(jì)方法是協(xié)調(diào)的,具有傳遞能力,權(quán)能的組成,用于標(biāo)識(shí)客體的標(biāo)識(shí)符 定義客體類型的域 定義訪問權(quán)的域 客體創(chuàng)建時(shí)，權(quán)能也隨之創(chuàng)建 客體的創(chuàng)建主體可拷貝該客體的權(quán)能給其他主體 當(dāng)權(quán)能被傳遞給另一個(gè)主體時(shí)，權(quán)能的訪問權(quán)可以被限制 傳遞給另一個(gè)主體的權(quán)能訪問權(quán)不能大于對(duì)該權(quán)能拷貝所獲得的訪問權(quán),Flask體系結(jié)構(gòu)的組成,Flask體系結(jié)構(gòu),結(jié)構(gòu)的基本目標(biāo)是提供安全策略的可變通性，確保不管決策如何隨時(shí)間變化，都提供一致的策略。 為客體管理器提供3個(gè)要素。 1.提供了一個(gè)從安全服務(wù)

9、器重新訪問、標(biāo)記、多實(shí)例決策的接口。 2.提供一個(gè)訪問向量緩存（AVC）模塊，減少性能損耗。 3.提供客體管理器注冊(cè)、接受安全策略的改變的能力,Flask的支持機(jī)制,客體標(biāo)記 每個(gè)客體由安全策略所帶的安全屬性標(biāo)記，稱安全上下文。Flask采用ER方法，客體實(shí)體（SID）、上下文實(shí)體、客戶實(shí)體（SID），及客體、上下文聯(lián)系，客體、用戶聯(lián)系。 SID稱為安全標(biāo)識(shí)符，F(xiàn)lask中它是固定的值，只能由安全服務(wù)器解釋并影射到上下文 客戶（主體）創(chuàng)建新客體時(shí)，由微內(nèi)核提供的客戶SID、客體類型、相關(guān)客體SID為參數(shù)，由客體服務(wù)器向安全服務(wù)器請(qǐng)求一個(gè)SID，客體服務(wù)器將新客體與該SID綁定。 用ER方法看，

10、客體由SID標(biāo)記，兩者聯(lián)系由客體管理器管理。SID與上下文聯(lián)系由安全服務(wù)器管理。SID的分配由安全服務(wù)器依客戶請(qǐng)求參數(shù)及環(huán)境動(dòng)態(tài)決定,客體標(biāo)記結(jié)構(gòu)圖,客戶和服務(wù)器鑒別 當(dāng)客戶發(fā)出請(qǐng)求SID時(shí),客體管理器必須能鑒別這個(gè)SID.客戶也能鑒別一個(gè)服務(wù)器SID以確保服務(wù)是從適當(dāng)?shù)姆?wù)器上發(fā)出的. Flask由微內(nèi)核提供這個(gè)服務(wù),并將其直接作為IPC(進(jìn)程通信)的一部分.客戶可以發(fā)一個(gè)內(nèi)核調(diào)用來鑒別服務(wù)器SID,客戶請(qǐng)求由微內(nèi)核提供到服務(wù)器,請(qǐng)求和緩存安全決策 AVC（緩存訪問向量）是為緩解服務(wù)器的工作壓力設(shè)置的，是可由對(duì)象管理器共享的一個(gè)公共資源庫(kù)，是對(duì)象管理器與安全服務(wù)器之間的協(xié)調(diào),支持多實(shí)例化 安

11、全策略應(yīng)支持多實(shí)例化某資源并按群劃分終端，使群中的每個(gè)實(shí)體可共享該資源的相同實(shí)例化（成員） Flask體系中多實(shí)例化的機(jī)制,支持吊銷機(jī)制,問題:在對(duì)象管理器中要保留一些安全策略的局部拷貝（如AVC中），當(dāng)決策轉(zhuǎn)移后，系統(tǒng)如何保證在策略改變時(shí)安全服務(wù)器與對(duì)象服務(wù)器之間策略表達(dá)的一致性。 思想：保持策略與操作的交叉使用滿足有效原子性。 實(shí)施原則：在系統(tǒng)上強(qiáng)制實(shí)施兩個(gè)要求。1）策略變動(dòng)后，對(duì)象管理器的行為必須反映這個(gè)變化。2）對(duì)象管理器必須采用事實(shí)實(shí)時(shí)的方式完成策略變化,第一個(gè)要求可通過用一個(gè)協(xié)議把對(duì)象管理器與安全服務(wù)器聯(lián)系起來。首先，安全服務(wù)器通知所有對(duì)象管理器策略改變；其次，對(duì)象管理器更新內(nèi)部狀態(tài)反映該變化；最后，對(duì)象管理器通知安全服務(wù)器改變已完成。 該協(xié)議讓安全服務(wù)器只管策略更改，將狀態(tài)管理的負(fù)擔(dān)交給對(duì)象管理器。 第二個(gè)實(shí)時(shí)性要求涉及系統(tǒng)的另兩個(gè)組件：微內(nèi)核，保證對(duì)象管理器與安全服務(wù)器的實(shí)時(shí)通信；調(diào)度程序，給對(duì)象管理器提供CPU資源。 實(shí)時(shí)性使吊銷請(qǐng)求的任意延遲是不可能的，避免隱蔽通道,Flask中實(shí)現(xiàn)方案：通過AVC模塊處理策略變更，并適當(dāng)進(jìn)化緩存。如下圖所示,安全服務(wù)器,功能： 安全服務(wù)器需提供安全策略支持，SID與上下文的影射，提供新客體的SID，提供成員SID，控制客體管理器的向量緩存。 Flask實(shí)現(xiàn)：安全服務(wù)器代碼