返回
可信操作系统的设计

可信操作系统的设计

ID:27541008

大小:1.50 MB

页数:135页

时间:2018-12-01

可信操作系统的设计_第1页
可信操作系统的设计_第2页
可信操作系统的设计_第3页
可信操作系统的设计_第4页
可信操作系统的设计_第5页
资源描述:

《可信操作系统的设计》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第5章可信操作系统的设计本章要点什么使得一个操作系统“安全”或者“值得信赖”如何设计可信系统,及在这些设计原则中,有哪些设计准则可以应用于其他程序开发任务中我们如何促进对可信操作系统的正确性的保障如果一个操作系统能够稳定而有效地提供内存保护、文件保护、一般对象的访问控制、用户鉴别4种服务,那么我们就说它是可信的(trusted)。本章将从设计者的角度来观察一个可信操作系统的设计以及提供安全服务的组件功能。本章将讨论可信系统的4个主要方面:策略:操作系统的安全需求是一个被良好定义的、一致且可实现的规则集,而且这些规则能被非常清楚并且无二义性地表达出来。为

2、了保证需求是清楚、一致和有效的,操作系统通常会遵循一个预先规定好的安全策略——一个规则集,它展示了将要保护什么,以及为什么要保护。模型:设计者通常先为需要保护的环境构建一个模型,这个模型实际上体现了系统将要实施的策略。设计者将模型和系统需求进行比较,以保证整个系统功能不会因为安全需求的引入而失效或降低。设计:在确定了一个安全模型之后,设计者开始选择实现模型的方法。因此,设计包含两方面的内容:什么是可信操作系统(可信操作系统要实现的功能),以及怎样去构造(即实现)它。信任:我们对一个系统的信任基于两个方面:特征(操作系统包含了实施安全策略所必需的全部功能

3、)和保障(操作系统的实现方式使我们确信它能够正确有效实施安全策略)。#一些安全系统最初就是针对安全需求而设计的,另一些安全系统则是将安全特性加入到现有的操作系统中。两种方法建立可信操作系统都是可行的。5.1什么是可信系统如果代码被严格地开发和分析,使我们有理由相信代码只做其被要求做的,那么我们就说这个软件是可信软件(trustedsoftware)。一般来说,可信代码能够作为其他不可信代码的运行基础。也就是说,不可信系统的质量部分地依赖可信代码;可信代码是构建整个系统安全的基础。特殊的,当我们确信操作系统能够对运行在它上的组件或系统的访问进行正确控制,

4、就可以认为它是可信的。5.1什么是可信系统(续)要相信一个软件,必须对其进行严格测试分析,找到某些关键特性:功能的正确性:程序按预期正确执行。保持完整性:即使出现错误也能维持与其交互的数据正确。有限的特权:允许访问安全数据,但这种访问是最小化的。适合的可信级别:根据使用的数据和环境,对程序进行检查并给出适当的信任评级。5.1什么是可信系统(续)安全专家喜欢说“可信操作系统”而不是“安全操作系统”。可信操作系统是指这个系统不但达到了设计时的安全要求,质量很高,而且能证明用户对系统质量的信任是正确的。也就是信任是由系统的接收者或使用者来体会的,作为用户,你

5、或许不能够直接评价一个系统是否值得信任。你可能会相信设计方案,可能会相信专家的评估,也可能相信同事的意见。但最终,还得由你自己来确定所需要的信任度。5.1什么是可信系统(续)信任度非常重要。与安全不同,信任不是一个互斥的概念。信任通常随着时间的推移而增加,其程度与证据和经历有关。表5.1安全和可信的性质比较5.1什么是可信系统(续)可信操作系统还涉及以下几个概念:可信进程(trustedprocess):能够影响系统安全的进程,或者说这个进程的不正确执行或恶意执行会破坏系统安全策略。可信产品(trustedproduct):经过评估和认可的产品。可信软

6、件(trustedsoftware):系统赖以实施安全策略的软件部分。5.1什么是可信系统(续)可信计算基(trustedcomputingbase):计算机系统内所有保护机制的集合,包括硬件、固件和软件,它们一起对产品或系统实施了统一的安全策略。可信系统(trustedsystem):该系统使用了充分的硬件和软件完整性措施,能够处理敏感信息。#与这些概念相关的概念是:安全策略实施、足够的措施和机制、评估。5.2安全策略5.2.1军事安全策略军事安全策略是很多可信操作系统的基础,而且很容易对其进行精确描述。军事安全策略(militarysecurity

7、policy)是基于保护机密信息的策略。每条信息被标识为一个特定敏感等级,如不保密的、受限制的、秘密的、机密的、绝密的。这些等级构成了一个层次结构。我们用符号rankO表示对象O的敏感度。5.2.1军事安全策略(续)图5.1敏感度的层次结构5.2.1军事安全策略(续)我们使用须知(need-to-know)原则来限制访问:只有那些在工作中需要知道敏感数据的主体才允许访问相应的敏感数据。每条机密信息都与一个或更多的项目相关,这些项目称做分隔项(compartments)。分隔项使人们只能访问那些与他们工作相关的信息,一个分隔项可以属于一个敏感级也可以属于

8、多个敏感级。5.2.1军事安全策略(续)图5.2分隔项和敏感等级#可以通过指定名字来区分分隔项

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。