返回
可信操作系统的模型设计研究

可信操作系统的模型设计研究

ID:34624566

大小:235.59 KB

页数:3页

时间:2019-03-08

可信操作系统的模型设计研究_第1页
可信操作系统的模型设计研究_第2页
可信操作系统的模型设计研究_第3页
资源描述:

《可信操作系统的模型设计研究》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、万方数据2006年第7期福建电脑19可信操作系统的模型设计研究潘东静,刘建军,吕文志(德州学院计算机系山东德州253023)【摘要】:对可信操作系统进行分析,探讨可信操作系统的设计原则,研究可信操作系统的主要安全模型,提出可信操作系统的内核设计原则。【关键字】:可信操作系统;安全模型1.引言随着社会信息化的发展.计算机安全问题日益严重.各种对信息的窃取、篡改和破坏问题层出不穷,造成巨大的经济损失。因此防止攻击者渗透、非法入侵已被人们广泛关注,如何保证计算机的安全.建立安全防范体系的要求越来越强烈。在信息系统安全所涉及的众多内容中。操

2、作系统、网络系统与数据库管理系统的安全问题是核心,作为系统软件最基础部分的操作系统。其安全问题的解决又是关键中的关键.是整个安全防范体系的基础。一旦突破操作系统的防线.攻击者就可以肆意修改计算机的任何内容了。因此开发一个安全的,让用户信赖的操作系统显的尤为重要。可信操作系统的提法最初出现于20世纪80年代.美国国家安全局出台了对可信操作系统相应的评估标准。可信操作系统指能够支持多级安全并且为满足用户需求提供足够证据的操作系统。任何操作系统都不是绝对安全的.安全只是一个目标。可信操作系统的安全是分等级的.在一定的环境下,可以满足用户的

3、安全需求.因此安全专家宁愿称可信的操作系统.而不愿称安全的操作系统。2.可信计算机评估标准可信计算机评估标准TCSEC(TmstedComputerSystemE.valuationCriteria)是美国国防部1985年制定的计算机安全标准。将计算机系统的安全级别分为七个:(1)D级:D级是最低的安全保护等级.拥有这个级别的操作系统对任何人的访问都没有限制。几乎没有什么安全性可言。是完全不可信的。属于这个级别的操作系统有:DOS、Windows、Apple的MacintoshSy8tem7.1。(2)Cl级:自主存取控制。(3)C

4、2级:较完善的自主存取控制、审计,如WindosNT和Saloris属于这一级别。(4)B1级:强制存取控制。安全标识。(5)B2级:良好的结构化设计、形式化安全模型,要求计算机系统中所有的对象都加标签。而且给设备(磁带、磁盘和终端)分配单个或多个安全级别。如UnixWare2.1属于这一级别。(6)B3:全面的访问控制、可信恢复、高抗渗透能力。(7)A1:形式化认证、非形式化代码、一致性证明。3.可信操作系统的设计原则可信操作系统的设计.安全部分在设计开始就要考虑。设计一个可信操作系统要考虑以下基本原则.这些原则在很多可信操作系统

5、中被采用:(1)最小特权原则:分配给系统中的每一个程序和每一个用户的特权应该是它们完成工作所必须享有的特权的最小集合,以降低一个有意或无意攻击所造成的破坏。(2)精简机制原则:因为有些设计和实现错误可能产生意想不到的访问途径,而这些错误在常规使用中是察觉不出的.所以保护系统的设计应该尽可能的简短易懂.这样方便于分析.测试或是有可能的验证.(3)安全检测原则:每一次对系统资源的访问都必须经过检测,不允许有任何绕过检测或者突破检测的情况存在,所以检测机智要很好地保护.(4)基于许可原则:对每一个客体的每一次访问都必须经过检查.以确认是否

6、已经得到授权。默认情况下不允许访问客体.除非授权允许主体访问该客体。(5)特权分离原则:为一项特权划分出多个决定因素,仅当所有决定因素均具备时.才能行使该项特权,正如一个保险箱设有两把钥匙,由两个人掌管。仅当两个人都提供钥匙时,保险箱才能打开。即获取一个客体的访问权应具备不止一个条件.这样当攻击者攻击系统时获取访问权比较困难。(6)最小共享原则:每个共享客体都为信息流提供了一种潜在的信息通道,要谨慎设计,避免无意中破坏安全性,所以在系统的设计上应从物理及逻辑结构上尽量减少这种风险。4.可信操作系统的主要安全模型安全模型被用来精确且形

7、式化地描述信息系统的安全相关特征.构造一个形式化的安全模型并证明其正确,而后将之用于系统设计中,可以使系统的安全性得到最大限度的保证,以下讨论一些主要的安全模型。4.1有穷状态机模型有穷状态机模型是当前大多数安全模型的基础.它将系统描述成一个抽象的数学状态机:其中状态变量表征机器状态,转移函数描述状态变量如何变化。只要能够证明初始状态是安全的.并且所有的转移函数也是安全的,那么,数学推理就能保证:只要系统从某个安全状态启动,无论按什么顺序调用系统功能,系统将总是保持在安全状态。对操作系统的所有可能状态建模是不现实的。而安全模型仅仅涉

8、及与安全有关状态变量,其状态机模型要简单得多。4.2存取控制矩阵模型存取控制矩阵模型是对操作系统保护机制的通用化描述.对操作系统安全保护机制进行高层次的抽象,它将系统的安全状态表示成一个大的矩阵阵列:每个主体拥有一行。每个客体拥有一列

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。