权限分离:对实体的存取应当基于多个条件,这 样,入侵者就不能对全部资源进行存取。 为了实现上述原则,在设计操作系统时可从以下 三个方面进行:隔离性:解决最少通用机制;内 核化:解决最少权限及经济性;分层结构:解决 开放式设计及整体策划
❖权限分离: 对实体的存取应当基于多个条件,这 样,入侵者就不能对全部资源进行存取。 ❖为了实现上述原则,在设计操作系统时可从以下 三个方面进行:隔离性:解决最少通用机制;内 核化:解决最少权限及经济性;分层结构:解决 开放式设计及整体策划
2隔离性 进程间彼此隔离方法有物理分离、时间分离 密码分离和逻辑分离,一个安全系统可以使用所 有这些形式的分离。常见的有虚拟存储空间和虚 拟机的方式。 3.内核机制( nucleus或core) 内核是操作系统中完成最低层功能的部分。 在通用操作系统中,内核操作包含了进程调度、 同步、通信、消息传递及中断处理。安全内核则 是负责实现整个操作系统安全机制的部分,提供 硬件、操作系统及系统其他部分间的安全接口 安全内核通常包含在系统内核中,而又与系统内 核逻辑分离
2.隔离性 进程间彼此隔离方法有物理分离、时间分离、 密码分离和逻辑分离,一个安全系统可以使用所 有这些形式的分离。常见的有虚拟存储空间和虚 拟机的方式。 3. 内核机制(nucleus或core) 内核是操作系统中完成最低层功能的部分。 在通用操作系统中,内核操作包含了进程调度、 同步、通信、消息传递及中断处理。安全内核则 是负责实现整个操作系统安全机制的部分,提供 硬件、操作系统及系统其他部分间的安全接口。 安全内核通常包含在系统内核中,而又与系统内 核逻辑分离
安全内核具有如下特性: 分离性:安全机制与操作系统其余部分及用户 空间分离,防止操作系统和用户侵入 均一性:所有安全功能都可由单一的代码集完 成 灵活性:安全机制易于改变、易于测试。 紧凑性:安全功能核心尽可能小。 ÷验证性:由于内核相对较小,可进行严格的形 式化证明其正确性 覆盖性:每次对被保护实体的存取都经过安全 内核,可保证每次存取的检查
❖安全内核具有如下特性: ❖分离性:安全机制与操作系统其余部分及用户 空间分离,防止操作系统和用户侵入。 ❖均一性:所有安全功能都可由单一的代码集完 成。 ❖灵活性:安全机制易于改变、易于测试。 ❖紧凑性:安全功能核心尽可能小。 ❖验证性:由于内核相对较小,可进行严格的形 式化证明其正确性。 ❖覆盖性:每次对被保护实体的存取都经过安全 内核,可保证每次存取的检查
4分层结构 安全操作系统的设计也可采用分层结构,在各 个层次中考虑系统的安全机制。在进行系统设计时 可先设计安全内核,再围绕安全内核设计操作系统, 在安全分层结构时,最敏感的操作位于最内层,进 程的可信度及存取权限由其临近中心裁定,更可信 的进程更接近中心 用户认证等在安全内核之外实现,这些可信模 块必须能提供很高的可信度
4.分层结构 安全操作系统的设计也可采用分层结构,在各 个层次中考虑系统的安全机制。在进行系统设计时, 可先设计安全内核,再围绕安全内核设计操作系统, 在安全分层结构时,最敏感的操作位于最内层,进 程的可信度及存取权限由其临近中心裁定,更可信 的进程更接近中心。 用户认证等在安全内核之外实现,这些可信模 块必须能提供很高的可信度
全设计,需要将安全功能加人到原有的操作系统模 块中。这种加入可能会破坏已有的系统模块化特性, 而且使加入安全功能后的内核的安全验证很困难 折衷的方案是从已有的操作系统中分离出安全功能, 建立单独的安全内核
已实现的操作系统,最初可能并未考虑某种安 全设计,需要将安全功能加入到原有的操作系统模 块中。这种加入可能会破坏已有的系统模块化特性, 而且使加入安全功能后的内核的安全验证很困难。 折衷的方案是从已有的操作系统中分离出安全功能, 建立单独的安全内核