计算机安全-课件（程绍银）chap05-Reference-Monitors.pdf

引用监控器 程绍银 sycheng@ustc.edu.cn 计算机安全 引言 如何实施访问控制策略？ 必须解决的问题 访问控制置于哪一层？（第2个设计决策） 是不是还要考虑其他的附加安全需求？ 本章给出用以保护操作系统完整性和存储 器访问控制的核心机制，重点关注基于分 层系统构架底层的访问控制 计算机安全 2 引用监控器与其他安全措施的关系模型 计算机安全 3 本章内容 引用监控器的概念 操作系统完整性 硬件安全特性 存储器保护 阅读材料 1. 安全操作系统的发展 2. 引用监控器概念在 《操作系统安全》课程 教学中的中心地位 3. 基于访问历史的引用监控器扩展模型 计算机安全 4 本章内容  引用监控器的概念 操作系统完整性 硬件安全特性 存储器保护 阅读材料 1. 安全操作系统的发展 2. 引用监控器概念在 《操作系统安全》课程 教学中的中心地位 3. 基于访问历史的引用监控器扩展模型 计算机安全 5 橘皮书中的概念 引用监控器 （RM，Reference Monitor） 是一个访问控制概念，指所有主体对客体访问 进行仲裁的抽象机器 安全内核 （SK ，Security Kernel） 实现RM的可信计算基的硬件、固件和软件的总 和 ，必须处理所有的访问控制，必须保护安全 内核，使之不被修改，并能够证明是正确的 可信计算基 （TCB, Trusted Computing Base） 是计算机系统中全部的保护机制的总和，包括 硬件、固件(手机ROM)、软件，它们组合起来 负责实施安全策略 计算机安全 6 引用监控器 访问控制机制的理论基础是访问监控器 （引用监控器，Reference Monitor），由 J.P.Anderson在1972年首次提出 计算机安全 7 安全内核 安全内核是实现引用监控器概念的一种技术 在一个大型操作系统中，只有其中的一小部分软件用于安全 目的是它的理论依据 所以在重新生成操作系统过程中，可用其中安全相关的软件 来构成操作系统的一个可信内核，称之为安全内核 计算机安全 可信计算基 操作系统的安全依赖于一些具体实施安全策略 的可信的软件和硬件。这些软件、硬件和负责 系统安全管理的人员一起组成了系统的可信计 算基（Trusted Computing Base ，TCB） 具体来说可信计算基由以下7个部分组成： 1. 操作系统的安全内核 2. 具有特权的程序和命令 3. 处理敏感信息的程序，如系统管理命令等