6.1.3操作系统安全的基本原理 操作系统的安全取决于安全功能在系统中实现的 完整性、系统文档的清晰性、系统测试的完备性 以及形式化验证程度。操作系统可以分成内核部 分和应用部分,在操作系统内核中存在错误或设 计缺陷的情况下,即使在应用部分采用必要的安 全机制也不能保证系统具有满意的安全性。 由于这些错误或缺陷的存在,进程可以对某些客 体进行未经授权的访问或避免受到安全机制的限 制,并且,要验证整个操作系统的安全性是十分 困难的。所以应该使用操作系统中尽量小的部 分来提供整个操作系统的安全性,这就提出了 安全核的概念。 信息安全导论06 17
6.1.3 操作系统安全的基本原理 • 操作系统的安全取决于安全功能在系统中实现的 完整性、系统文档的清晰性、系统测试的完备性 以及形式化验证程度。操作系统可以分成内核部 分和应用部分,在操作系统内核中存在错误或设 计缺陷的情况下,即使在应用部分采用必要的安 全机制也不能保证系统具有满意的安全性。 • 由于这些错误或缺陷的存在,进程可以对某些客 体进行未经授权的访问或避免受到安全机制的限 制,并且,要验证整个操作系统的安全性是十分 困难的。所以应该使用操作系统中尽量小的部 分来提供整个操作系统的安全性,这就提出了 安全核的概念。 信息安全导论06 17
安全核 安全核是安全操作系统设计的最关键问题。它必须能够 保证系统中所有的访问控制要求都满足系统的安全策略。 基于安全核构建安全操作系统具有两个方面的优势:一 方面能够减轻应用系统的负担,避免出现安全隐患;另 一方面,由于对系统的安全进行评估的内容集中在安全 内核,它有利于评估的进行,使之可以进行严格的形式 化验证。 用户软件 可信软件 安全核 底层硬件 图6-1安全操作系统的通用结构 信息安全导论06 18
安全核 信息安全导论06 18 • 安全核是安全操作系统设计的最关键问题。它必须能够 保证系统中所有的访问控制要求都满足系统的安全策略。 • 基于安全核构建安全操作系统具有两个方面的优势:一 方面能够减轻应用系统的负担,避免出现安全隐患;另 一方面,由于对系统的安全进行评估的内容集中在安全 内核,它有利于评估的进行,使之可以进行严格的形式 化验证。 图6-1 安全操作系统的通用结构
1.引用监视器与安全核 J.P.Anderson于1972年在一份研究报告中提出了 引用监视器(reference monitor)、引用验证机制 (reference validation mechanism)、安全核(security kernel)和安全建模(modeling)等重要思想。这些 思想是在研究系统资源受控共享(controlled sharing)问题的背景下产生的。 引用监视器和安全核把授权机制与能够对程序 。 的运行加以控制的系统环境结合在一起,可以 对受控共享提供支持。授权机制负责确定用户 (程序)对系统资源(数据、程序、设备等)的 引用许可权,程序运行控制负责把用户程序对资 源的引用控制在授权的范围之内。 信息安全导论06 19
1.引用监视器与安全核 • J.P.Anderson于1972年在一份研究报告中提出了 引用监视器(reference monitor)、引用验证机制 (reference validation mechanism)、安全核(security kernel)和安全建模(modeling)等重要思想。这些 思 想 是 在 研 究 系 统 资 源 受 控 共 享 (controlled sharing)问题的背景下产生的。 • 引用监视器和安全核把授权机制与能够对程序 的运行加以控制的系统环境结合在一起,可以 对受控共享提供支持。授权机制负责确定用户 (程序)对系统资源(数据、程序、设备等)的 引用许可权,程序运行控制负责把用户程序对资 源的引用控制在授权的范围之内。 信息安全导论06 19
系统资源的受控共享 程序运行控制 应用程序 可共享的 资源 授权机制 对引用进行 引用监视器 授权的信息 的实施位置 图6-2系统资源的受控共享 引用监视器的思想是为了解决用户程序的运行控制问题 而引入的,其目的是在用户(程序)与系统资源之间实 施一种授权的访问关系。 J.P.Anderson把引用监视器的职能定义为:以主体(用户 等)所获得的引用权限为基准,验证运行中的程序(对 程序、数据、设备等)的所有引用。 信息安全导论06 20
系统资源的受控共享 信息安全导论06 20 • 引用监视器的思想是为了解决用户程序的运行控制问题 而引入的,其目的是在用户(程序)与系统资源之间实 施一种授权的访问关系。 • J.P. Anderson把引用监视器的职能定义为:以主体(用户 等)所获得的引用权限为基准,验证运行中的程序(对 程序、数据、设备等)的所有引用。 图6-2 系统资源的受控共享 引用监视器 的实施位置
引用验证机制的3原则 引用监视器是一个抽象的概念,它表现的是一种 思想。jJ.P.Anderson把角监视器的具体实现称 为引用验证机制,它是实现引用监视器思想的 硬件和软件的组合。引用验证机制需要同时满定 以下3个原则: (1)必须具有自我保护能力。 >保证引用验证机制即使受到攻击也能保持自身的完 整性。 (2)必须总是处于活跃状态。 >保证程序对资源的所有引用都得到引用验证机制的 仲裁。 (3)必须设计得足够小,以便分析和测试。 >保证引用验证机制的实现是正确的和符合要求的。 信息安全导论06 21
引用验证机制的3原则 • 引用监视器是一个抽象的概念,它表现的是一种 思想。J.P.Anderson把引用监视器的具体实现称 为引用验证机制,它是实现引用监视器思想的 硬件和软件的组合。引用验证机制需要同时满足 以下3个原则: (1)必须具有自我保护能力。 保证引用验证机制即使受到攻击也能保持自身的完 整性。 (2)必须总是处于活跃状态。 保证程序对资源的所有引用都得到引用验证机制的 仲裁。 (3)必须设计得足够小,以便分析和测试。 保证引用验证机制的实现是正确的和符合要求的。 信息安全导论06 21