操作系统安全_第2章_操作系统安全理论基础概述分析.ppt

2.3 安全体系结构 计算机系统安全体系结构设计的基本原则 面对一个复杂计算机系统的设计，必须提出一个好的安全体系结构，使系统很好地满足设计时所提出的各种要求。为此，经过大量的实践，人们在总结经验、分析原型系统开发失败原因的基础上，提出了在安全体系结构设计中应该遵守的基本规律。 2.3 安全体系结构 计算机系统安全体系结构设计的基本原则 将系统的安全性问题放在系统设计的首要位置 应尽量考虑系统在未来的应用中可能会面临的安全需求 机制经济性（Economy）原则 失败-保险（Fail-safe）默认原则 特权分离原则 最小特权原则 最少公共机制原则 完全仲裁原则 开放式设计原则 心理可接受性原则 2.3 安全体系结构 Flask体系和权能体系 Flask体系 Flask是一个可伸缩性的控制访问安全体系结构，它支持动态安全策略，并提供了安全策略的可变通性，确保这些子系统不管决策怎样产生，都有一致的策略决策。Flask体系结构通过加强的安全策略决策机制来创建这种可伸缩性支持，并且可以被移植到多种要求安全性的操作系统中。本节的内容描述了Flask体系结构概念及特点以及Flask体系结构的组成，最后介绍了Flask体系结构在Linux LSM中的应用。 2.3 安全体系结构 Flask体系和权能体系 Flask体系 Flask体系结构概念 Flask体系结构以Fluke系统结构为原型的操作系统安全体系结构。Fluke是一个基于微内核的操作系统，它提供一个基于递归虚拟机思想的、利用权能系统的基本机制实现的体系结构，它是属于DTOS项目的延伸。 2.3 安全体系结构 Flask体系和权能体系 Flask体系 Flask体系结构概念 Fluke项目的安全性目标和保障能力目标的内容是： ①安全性：主要的安全性的目标是在DTOS安全体系结构的基础上建立一个政策灵活的访问控制模型的原型，重点是对动态安全政策的支持。 ②保障能力：保障能力的目标是通过运用形式化描述和推理手段实现对关键安全功能的验证。 2.3 安全体系结构 Flask体系和权能体系 Flask体系 Flask体系结构的策略可变通性 Flask体系结构的基本目标是提供安全策略的可变通性，确保这些子系统不管决策怎样产生，怎样随时变化，都有一致的决策策略。 Flask体系结构的微内核特征 Flask原型是由一个基于微内核的操作系统来实现的，它支持硬件强行对进程地址空间进行分离。 2.3 安全体系结构 Flask体系和权能体系 权能体系 权能（Capability）也是安全体系结构的一个重要概念。一般地说，权能可以看成是对象（或客体）的保护名。不同的系统使用权能的方法可能差异极大，但是权能都具有如下性质： ①权能是客体在系统范围内使用的名字，在整个系统中都是有效的，并且在系统中是惟一的。一个主体只有在拥有客体所具有的权能的前提下才能访问该客体。 ②权能必须包含以该权能命名的客体的访问权，也就是说，这部分权能决定了对该客体进行访问所必需的权力。 ③权能只能由系统特殊的底层部分来创建，而且除了约束访问权外，权能不允许修改。拥有某个权能的主体有权把它作为参数移动、复制或传递。 2.3 安全体系结构 Flask体系和权能体系 权能体系 权能体系的最大优点是： ①权能为访问客体和保护客体提供了一个统一的、不可绕过的方法，权能的应用对统筹设计及简化证明过程有重要的影响。 ②权能与层次设计方法是非常协调的，从权能机制可以很自然地导致使用扩展型对象来提供抽象和保护的层次。尽管对权能提供的保护及权能的创建是集中式的，但是由权能实现的保护是可适当分配的，也就是说，权能具有传递能力，从而促进了机制与策略的分离。 本章小结 本章介绍了操作系统安全的相关基础理论，重点阐述了安全操作系统的实现机制、操作系统安全模型及安全体系结构。 课后习题 1. 什么是计算机系统安全体系结构？ 2. 安全操作系统的安全体系结构应该主要包含哪几方面内容？ 3. 列举计算机系统安全体系结构设计的基本原则。 4. 说明访问控制机制的主要类型，并说明各自的优缺点。 5. 说明BLP模型与Bibe模型的原理。 * 2.2 操作系统安全模型 安全策略用来描述用户对系统安全的要求。一般来说，用户对信息系统的安全需求基于以下几个方面： 机密性要求（confidentiality）：防止信息泄露给未授权的用户； 完整性要求（integrity）：防止未授权用户对信息的修改； 可记账性（accountability）：防止用户对访问过某信息或执行过某一操作进行否认； 可用性（availability）：保证授权用户对系统信息的可访问性。 2.2 操作系统安全模型 状态机模型 用状态机语言将安全系统描述成抽