可信操作系统的设计-.ppt
《可信操作系统的设计-.ppt》由会员分享,可在线阅读,更多相关《可信操作系统的设计-.ppt(135页珍藏版)》请在咨信网上搜索。
1、第5章 可信操作系统的设计 可编辑1本章要点r 什么使得一个操作系统“安全”或者“值得信赖”r 如何设计可信系统,及在这些设计原则中,有哪些设计准则可以应用于其他程序开发任务中r 我们如何促进对可信操作系统的正确性的保障可编辑2 如果一个操作系统能够稳定而有效地提供内存保护、文件保护、一般对象的访问控制、用户鉴别 4种服务,那么我们就说它是可信的可信的(trusted)。本章将从设计者的角度来观察一个可信操作系统的设计以及提供安全服务的组件功能。可编辑3 本章将讨论可信系统的4个主要方面:策略策略:操作系统的安全需求是一个被良好定义的、一致且可实现的规则集,而且这些规则能被非常清楚并且无二义性
2、地表达出来。为了保证需求是清楚、一致和有效的,操作系统通常会遵循一个预先规定好的安全策略一个规则集,它展示了将要保护什么,以及为什么要保护。模型模型:设计者通常先为需要保护的环境构建一个模型,这个模型实际上体现了系统将要实施的策略。设计者将模型和系统需求进行比较,以保证整个系统功能不会因为安全需求的引入而失效或降低。可编辑4 设计设计:在确定了一个安全模型之后,设计者开始选择实现模型的方法。因此,设计包含两方面的内容:什么是可信操作系统(可信操作系统要实现的功能),以及怎样去构造(即实现)它。信任信任:我们对一个系统的信任基于两个方面:特征(操作系统包含了实施安全策略所必需的全部功能)和保障(
3、操作系统的实现方式使我们确信它能够正确有效实施安全策略)。#一些安全系统最初就是针对安全需求而设计的,另一些安全系统则是将安全特性加入到现有的操作系统中。两种方法建立可信操作系统都是可行的。可编辑55.1 什么是可信系统 如果代码被严格地开发和分析,使我们有理由相信代码只只做其被要求做的,那么我们就说这个软件是可信软件可信软件(trusted software)。一般来说,可信代码能够作为其他不可信代码的运行基础。也就是说,不可信系统的质量部分地依赖可信代码;可信代码是构建整个系统安全的基础。特殊的,当我们确信操作系统能够对运行在它上的组件或系统的访问进行正确控制,就可以认为它是可信的。可编辑
4、65.1 什么是可信系统(续)要相信一个软件,必须对其进行严格测试分析,找到某些关键特性:功能的正确性功能的正确性:程序按预期正确执行。保持完整性保持完整性:即使出现错误也能维持与其交互的数据正确。有限的特权有限的特权:允许访问安全数据,但这种访问是最小化的。适合的可信级别适合的可信级别:根据使用的数据和环境,对程序进行检查并给出适当的信任评级。可编辑75.1 什么是可信系统(续)安全专家喜欢说“可信操作系统”而不是“安全操作系统”。可信操作系统可信操作系统是指这个系统不但达到了设计时的安全要求,质量很高,而且能证明用户对系统质量的信任是正确的。也就是信任是由系统的接收者或使用者来体会的,作为
5、用户,你或许不能够直接评价一个系统是否值得信任。你可能会相信设计方案,可能会相信专家的评估,也可能相信同事的意见。但最终,还得由你自己来确定所需要的信任度。可编辑85.1 什么是可信系统(续)信任度非常重要。与安全不同,信任不是一个互斥的概念。信任通常随着时间的推移而增加,其程度与证据和经历有关。表 5.1 安全和可信的性质比较可编辑95.1 什么是可信系统(续)可信操作系统还涉及以下几个概念:可信进程可信进程(trusted process):能够影响系统安全的进程,或者说这个进程的不正确执行或恶意执行会破坏系统安全策略。可信产品可信产品(trusted product):经过评估和认可的产
6、品。可信软件可信软件(trusted software):系统赖以实施安全策略的软件部分。可编辑105.1 什么是可信系统(续)可信计算基可信计算基(trusted computing base):计算机系统内所有保护机制的集合,包括硬件、固件和软件,它们一起对产品或系统实施了统一的安全策略。可信系统可信系统(trusted system):该系统使用了充分的硬件和软件完整性措施,能够处理敏感信息。#与这些概念相关的概念是:安全策略实施、足够的措施和机制、评估。可编辑115.2 安全策略 5.2.1 军事安全策略 军事安全策略是很多可信操作系统的基础,而且很容易对其进行精确描述。军事安全军事安
7、全策略策略(military security policy)是基于保护机密信息的策略。每条信息被标识为一个特定敏感等级,如不保密的、受限制的、秘密的、机密的、绝密的。这些等级构成了一个层次结构。我们用符号rankO表示对象O的敏感度。可编辑125.2.1 军事安全策略(续)图5.1 敏感度的层次结构可编辑135.2.1 军事安全策略(续)我们使用须知须知(need-to-know)原则来限制访问:只有那些在工作中需要知道敏感数据的主体才允许访问相应的敏感数据。每条机密信息都与一个或更多的项目相关,这些项目称做分隔项分隔项(compartments)。分隔项使人们只能访问那些与他们工作相关的信
8、息,一个分隔项可以属于一个敏感级也可以属于多个敏感级。可编辑145.2.1 军事安全策略(续)图5.2 分隔项和敏感等级#可以通过指定名字来区分分隔项。单独一条信息可以不赋予分隔项名,也可以被赋予一个、两个或多个,这取决与信息的属性。可编辑155.2.1 军事安全策略(续)图5.3 信息与分隔项的联合可编辑165.2.1 军事安全策略(续)的组合被称为信息片断的类类(class)或分类分类(classification)。通过以这种方式指定信息,我们就能够用安全等级和主题来实施须知原则。用户必须得到许可许可(clearance)才能够访问敏感信息。许可表明可以信赖某人访问某个级别以下的敏感信息
9、,以及此人需要知道某些类的敏感信息。我们用组合来表示对主体的许可。可编辑175.2.1 军事安全策略(续)由此,我们可以建立在敏感对象和主体集合上,称为支配支配(dominance)的关系“”。对于一个主体s和一个对象o:一个主体可以读一个对象,如果:(1)主体的许可等级至少和访问信息的敏感等级一样高;(2)主体需要知道该信息分类时涉及的所有分隔项。可编辑185.2.1 军事安全策略(续)军事安全同时实施了敏感度要求和须知要求。我们知道,敏感度是层次化层次化(hierarchical)的要求,因为它们反映了敏感等级层次结构;而须知限制是非层次化非层次化(nonhierarchical)的,因为
10、分隔项不需要表现为一个层次结构。许可和分类通常由一些称为安全职员的人控制,而并不是个人能够随意改变的。这个策略非常适合通过权威中心进行严格访问控制环境。可编辑195.2.2 商业安全策略 商业企业也非常关心安全问题。因此,即使商业界不像军事领域那样严格苛刻和层次化,在商业安全策略中仍然会发现许多与军事策略相同的概念。分属不同部门的数据项也具有不同的敏感度,例如,公共的、专有的或内部的。当然,这里并没有一个通用的层次结构。我们可以假设公共信息不如专有信息敏感,而专有信息又不如内部信息敏感。可编辑205.2.2 商业安全策略(续)图5.4 敏感信息的商业观点可编辑215.2.2 商业安全策略(续)
11、商业信息安全和军事信息安全有两个很显著的区别。(1)商业与军事不同,通常没有正式的“许可”概念;从事商业项目的人不需要得到中心安全职员的正式批准就可以访问项目。典型的,在允许一个雇员访问内部数据之前不需要对其授予不同的信任度。(2)由于没有正式的“许可”概念,所以允许访问的规则不太规范。因此,对于大多数商业信息访问不存在一个支配函数,因为没有正式的“商业许可”概念。可编辑225.2.2 商业安全策略(续)前面的讨论主要集中在机密性机密性问题上。然而,完整性完整性和可用性可用性在许多情况下和机密性至少是同等重要的。通过下面的几个例子探讨完整性。(1)Clark-Wilson商业安全策略商业安全策
12、略 Clark和Wilson为他们所称的良构事务良构事务(well-formed transactions)提供了一个策略。为了明白其中的原因,考虑这样一个例子:一家公司预定货物,然后付款。典型的流程如下:可编辑235.2.2 商业安全策略(续)(A)采购员先做一张货物订单,并把订单同时发给供货方和收货部门。(B)供货方将货物运到收货部门。收货部门的接收员检查货物,确保收到货物的种类和数量是正确的,然后再送货单上签字。再将送货单和原始订单交给会计部门。(C)供货方将发票送到会计部门。会计人员将发票同原始订单进行校对(校对价格和其他条款)并将发票同送货单进行校对(校对数量和品种),然后开支票给供
13、货方。可编辑245.2.2 商业安全策略(续)在大多数实例中,订单和送货单都需要有某个授权的人员来签订。委任专人按顺序准确执行以上步骤,就构成了一个良构事务。Clark-Wilson策略的目标是使内部数据与其外部(用户)期望保持一致。Clark和Wilson用约束数据项约束数据项(constrained data item)来表达他们的策略,受约束数据项由转变程序转变程序(transformation procedure)进行处理。转变程序就像一个监控器,对特定种类的数据项执行特定的操作,确认特定操作已经执行来维持数据项的完整。Clark和Wilson将这个策略定义为访问三元组访问三元组(ac
14、cess triple):userID,TPi,CDIj,CDIk,通过它将转变程序、一个或多个受约束数据项以及用户识别结合起来,其中用户是那些已被授权且以事务程序的方式操作数据项的人。可编辑255.2.2 商业安全策略(续)(2)职责分离职责分离 还是上面的那个订货的例子,我们希望建立一个策略,这个策略能够明确规定三个不同的人分别发送订单、接收货物和开支票,这种需求被称做职责分离职责分离(separation of duty)。由于访问三元组是“无状态的”,无法实现职责分离,但如果将它作为一个策略需求表述出来,上述限制是容易实现的。可编辑265.2.2 商业安全策略(续)(3)中国墙安全策略
15、中国墙安全策略 Brewer和Nash定义了一个名为中国墙中国墙(Chinese Wall)的安全策略,用于反映商业信息访问保护中的利益冲突问题。安全策略建立在三个抽象等级上。(A)对象对象:位于最低等级,比如文件。每个文件只包含一家公司的信息。(B)公司群体公司群体:位于第二个等级,由与一家特定公司相关的所有对象组成。(C)冲突类冲突类:位于最高等级,相互竞争的公司的所有对象聚集。可编辑275.2.2 商业安全策略(续)假设一家广告公司,存储了巧克力公司Suchard和Cadbury,银行 Citicorp、Deutsche Bank和Credit Lyonnais,以及航空公司 SAS的数
16、据。广告公司希望其雇员不能从这些信息中牟利。运用中国墙等级结构形成三个冲突类:Suchard,Cadbury,Citicorp,Deutsche Bank,Credit Lyonnais和SAS。这个结构可以导出一个简单控制策略:如果被访问的对象所属的公司群体中的某个对象已被访问过,或者这个对象所属的冲突对象从未被访问过,那么就允许访问该对象。可编辑285.2.2 商业安全策略(续)图5.5 中国墙安全策略可编辑295.2.2 商业安全策略(续)中国墙策略在商界中是非常有名的机密策略。中国墙策略注重完整性。它的访问许可可以动态变化:当一个主体访问某些对象后,就不能够访问先前可以访问的这一类中的
17、其他对象了。可编辑305.3 安全模型 我们常常用模型来描述、研究或者分析一个特定的情况或者关系。Mclean给出了安全模型的一个良好概述。安全模型用于:(1)检测一个特定策略的完善性和一致性。(2)对策略进行验证。(3)有助于构思和设计一个实现。(4)检测一个实现是否满足需求。安全需求是由策略决定的,而模型仅仅是实施策略的一种机制。可编辑315.3.1 多级安全 在理想情况下,我们希望建立一个模型能够表示一系列的敏感度,同时能够反映这样一个需求,即将主体同它们不能访问的对象严格地隔离开。这种一般化的模型被称为安全性的格模型格模型(lattice model),因为它的元素构成了一种被称为格的
18、数学结构。可编辑325.3.1 多级安全(续)格是通过关系运算符关系运算符(relational operator)来组织元素的一种数学结构。用符号“”或“”来表示这种关系。当元素之间有传递关系和反对称关系时,该关系称为偏序偏序(partial ordering)。也就是对于任意三个元素a,b和c有:传递性:若ab且bc,则ac 反对称性:若ab且ba,则a=b 在一个格中并不需要任意两个元素都可以比较。但是每个元素都应该有个上界。也就是说即使a和b没有可比性,也存在一个上界元素u,使得au和bu。进一步,格中每个元素还应该有一个下界。可编辑335.3.1 多级安全(续)数字60的所有因子构成
19、格。图 5.6 格的实例可编辑345.3.1 多级安全(续)格可以帮助我们描述关系。但是,许多典型的关系都只能表示成半格。在“小于”、“是其子非空集”、“报告于(对于雇员)”或者“是一个后续”这些关系中,都有一个唯一的上界(比如,一个共同的祖先),但是可能任何一对元素都没有一个下界。可编辑355.3.1 多级安全(续)访问安全的格模型访问安全的格模型 军事策略中定义的支配关系“”就是格的关系。格中最大的元素是分类,最小的元素是。商业安全策略中的数据敏感度分为公共的、专用的和内部的,并按自然排序为:公共数据没有专用数据敏感,而专用数据没有内部数据敏感,这也构成格。因为格是递增顺序的一种自然表示,
20、所以被选作安全系统的基础。敏感等级的格表示被应用于很多计算场合。可编辑365.3.1 多级安全(续)Bell-La Padula机密模型机密模型 Bell-La Padula机密模型的目标是识别出对维持保密性至为重要的允许通信。该模型已经用来定义那些并发处理不同敏感等级数据的系统安全需求。该模型是军事安全策略的形式化结果。我们对安全信息流感兴趣,是因为它描述了处于不同敏感等级的主体和对象之间可接受的连接。安全等级分析的一个目的是为了构建一个系统,此系统能够对处于两个不同敏感等级上的数据执行并行计算。可编辑375.3.1 多级安全(续)系统包含了主体集S和对象集O,S中的每一个主体s和O中的每一
21、个对象o都有一个固定的安全类C(s)和C(o)。安全类按关系“”排序。安全信息流有两个特性:简单安全特性简单安全特性:仅当C(o)C(s),主体 s才可以对于对象o有“读”访问权。*-特性特性(称作称作“开始特性开始特性”):对于对象o行使了“读”访问权的主体,仅当C(o)C(p),才可能对于对象p有“写”访问权。可编辑385.3.1 多级安全(续)解释 (1)在军事模型中,简单安全特性是说信息接收者的安全等级(许可)不可低于信息的安全等级。(2)*-特性是说得到某个等级信息的人只能将这条信息传递给那些等级不低于这条信息等级的人。*-特性是用来防止“下写下写”(write-down),当一个能
22、够访问高级别数据的主体通过“写”将数据传递给低级别对象时便会发生这种情况。可编辑395.3.1 多级安全(续)图 5.7 安全信息流#仅当对较高级别信息有访问权的主体不传送任何敏感数据给低级敏感对象时,向下的流才是可接受的。可编辑405.3.1 多级安全(续)Biba完整性模型完整性模型 数据的完整性也很重要,Biba定义了“完整性等级”。对象和主体依据一个完整性分类方案来排序,分别用I(s)和I(o)表示。特性为:简单安全特性简单安全特性:主体 s能够修改(有权“写”)对象o仅当I(s)I(o)。完整性完整性*-特性特性:如果主体s有权“读”具有完整性等级I(o)的对象o,则仅当I(o)I(
23、p)时,s有权“写”对象p。可编辑415.3.1 多级安全(续)解释 这两条规则自然包含对不可信信息的处理情况。一个不可信主体对于对象拥有写访问权会降低对象的完整性。类似的,人们有理由怀疑一份依据不确切证据作出的报告。源对象的低完整性意味着对于任何基于它的对象的完整性都很低。可编辑425.3.2 安全系统在证明理论模型上的局限 模型对于说明方法的可行性非常有用。考虑一个系统应具有的安全特性,我们希望建立一个模型,能(在系统设计、编码和测试之前)告诉我们是否能真正获得这些特性。基于计算理论的模型可以帮助我们回答这些问题。可编辑435.3.2 安全系统在证明理论模型上的局限(续)Graham-De
24、nning模型模型 Graham-Denning模型对主体集合S,对象集合O,权限集合R和访问控制矩阵A进行操作。对每一个对象,标明为“拥有者拥有者”的主体拥有特殊权限;对每一个主体,标明为“控制者控制者”的另一个主体也拥有特殊权限。在Graham-Denning模型中,有8种基本的保护权。这些权限被表示为主体能够发出的命令,作用于其他主体或对象。这实际给出一个保护系统的访问控制机制模型所必需的特性。可编辑445.3.2 安全系统在证明理论模型上的局限(续)(1)创建对象创建对象:允许主体引入新对象。(2)创建主体、删除对象以及删除主体创建主体、删除对象以及删除主体:效果与创建或销毁一个主体或
25、对象相似。(3)读访问权读访问权:允许一个主体确定一个主体对一个对象或主体当前访问权。(4)授予访问权授予访问权:允许拥有者把对象的任意访问权交给另一个主体。(5)删除访问权删除访问权:允许一个主体删除另一个主体对一个对象的权限。(6)转移访问权转移访问权:允许一个主体把它对对象的权限转移给另一个主体。每个权限可以是可转移的,也可以是不可转移的。可编辑455.3.2 安全系统在证明理论模型上的局限(续)表 5.2 保护系统的命令命令命令前提前提效果效果创建对象o-在A中为o加一列;拥有者置于Ax,o创建主体s-在A中为s加一行;控制权置于Ax,s删除对象oAx,o中的内容是拥有者删除列o删除主
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 可信 操作系统 设计
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。