安全操作系统的主要问题及可信操作系统研究

论文来源： 论文作者：谭良周明天 时间：2008-08-18 字体：[大中小]

　　摘要：简要回顾了安全操作系统的发展历史，指出了安全操作系统当前存在的主要问题；在此基础上提出了可信操作系统的概念，分析了可信操作系统的特点、内涵以及与安全操作系统的关系；最后提出了可信操作系统需要解决的问题，为下一步将要开展的工作奠定基础。
　　关键词：安全操作系统；可信操作系统；可信计算
　　中图分类号：TP311文献标志码：A
　　文章编号：1001-3695(2007)12-0010-06
　　
　　0引言
　　
　　根据计算机软件系统的组成，软件安全可划分为应用软件安全、数据库安全、操作系统安全和网络软件安全。在数据库中，DBMS通常是建立在操作系统之上的，若没有操作系统安全机制的支持，数据库就不可能具有存取控制的安全可信性。在网络环境中，网络的安全可信性依赖于各主机系统的安全可信性；而主机系统的安全性又依赖于其上操作系统的安全性。因此，若没有操作系统的安全性就没有主机系统的安全性，从而就不可能有网络系统的安全性。计算机应用软件均建立在操作系统之上，它们均是通过操作系统完成对系统中信息的存取和处理。因此，若没有操作系统的安全性，就不可能有应用软件信息处理的安全性。操作系统安全是计算机系统软件安全的必要条件[1~5]。
　　操作系统实质是一个资源管理系统，管理处理机、存储器、设备、文件和作业等计算机资源，用户通过它获得对资源的访问权。安全操作系统的目的是保证它所管理资源的安全性，包括机密性、完整性和可用性等。信息的保密性是为了防止信息在非授权情况下的泄露;信息的完整性是为了保护信息不被非法窜改或破坏。
　　1972年，作为承担美国空军的一项计算机安全规划研究任务的研究成果，J.P.Anderson等人在一份研究报告[6]中提出了引用监控机（reference monitor）、引用验证机制（reference validation mechanism）、安全核（security kernel）和安全建模（modeling）等重要概念，并提出了开发安全操作系统总的指导思想（原则）。J.P.Anderson等人指出，要开发安全系统首先必须建立系统的安全模型。安全模型给出安全系统的形式化定义，正确地综合系统的各类因素。这些因素包括系统的使用方式、使用环境类型、授权的定义、共享的客体（系统资源）、共享的类型和受控共享思想等。这些因素应构成安全系统的形式化抽象描述，使得系统可以被证明是完整的、反映真实环境的、逻辑上能够实现程序的且受控执行的。完成安全系统的建模之后，再进行安全核的设计与实现。这一原则表明，要开发安全操作系统必须完成两大任务，即访问控制框架的建立和安全模型的建立。四十多年来，安全操作系统的开发一直遵循这一原则，在访问控制框架和安全模型方面取得了丰硕的成果。在访问控制框架方面有基于政策描述语言的FAM（flexible authorization manager）[7]和企业间多协调框架[8]、基于安全属性的GFAC框架[9~12]、基于统一模型的数据库FMP[13]、RBAC[14]、Flask[15,16]框架。在安全模型方面包括BLP、HUR、UNIX system V/MLS、BIBA、信息流的格模型、不干扰模型、CW模型、中国墙模型、RBAC和DTE等[17]。
　　纵观安全操作系统将近四十年的发展历史可以发现，安全操作系统的主要应用范围仍然是在国防和军事领域，在商用和民用领域尚未有成熟的安全操作系统出现[7]。迄今为止，整个国际上安全操作系统的实际应用并不成功。在实际应用中发挥作用的操作系统绝大部分不是安全操作系统。文献[18,19]认为，安全操作系统在商业和民用领域的不成功，主要是因为安全操作系统缺少灵活性和兼容性，降低了系统性能和效率，应发展专用安全操作系统。文献[17,20~24]认为，当前安全操作系统不成功的本质原因是安全操作系统存在诸多不完善的地方，如对多安全政策的支持；对动态多安全政策的支持，包括政策切换、权限撤销等方面；对环境适应性的支持等。
　　
　　1安全操作系统的发展历史
　　
　　早在20世纪60年代，对操作系统安全的研究就引起了众多机构(尤其是美国军方)的重视。至今人们已在这个领域付出了几十年的努力，开展了大量的工作，取得了丰硕的成果，逐渐建立起了比较完善的安全操作系统理论体系。安全操作系统的研究大致可分为四个阶段[20]：第一阶段开始于1967年，标志是Adept50系统的启动，这一时期是基本思想、技术和方法的探索时期，创建了安全操作系统的基本理论；以可信计算机系统评估准则（TCSEC）的颁布为标志的第二阶段，开始于1983年，安全评估标准的颁布，对安全操作系统的设计和评估起到了很大的指导作用；1993年进入以多政策为特点的第三阶段，这一时期研究的重点是如何实现多种安全策略的共存问题；目前，安全操作系统的研究已发展到第四阶段——动态策略时期。为了支持多种策略的灵活配置需要进一步研究新的体系结构。
　　
　　2安全操作系统存在的问题
　　
　　2．1对用户身份的鉴别过程容易受攻击
　　当前，一些主流的操作系统通过简单的口令来确认用户身份。这种鉴别是单向的和不安全的。例如，对于UNIX或Linux操作系统，每个用户有一个注册名和一个口令，每个注册名对应一个用户身份标志号。在系统内部使用的是用户身份标志号，它可标志进程启动者和文件拥有者的身份。用户的注册名和口令保存在系统的口令文件中，在注册过程中，系统将用户提供的口令用加密算法(一般是DES)进行加密，然后与口令文件中的相应口令密文作对比。如果口令正确则用户身份得以鉴别通过，注册进程便为用户启动口令文件相应项中指定的初始shell。又如，对于Windows操作系统，用户名和口令存在SAM文件中，尽管它在系统运行时受操作系统保护，即使是超级用户也无法直接打开，但仍然有四种获取SAM数据的方法：a)在另外一个操作系统中对目标系统分区进行操作，再把SAM文件拷贝到软盘中；b)拷贝Windows磁盘修复工具（命令RDISK）SAM文件拷贝；c)从SAM中直接抽取口令密码的哈希值；d)涉及网络用户名/密码交互的窃听。黑客一旦获得SAM文件，通过破解就可以获得用户的口令。
　　对于一些安全计算机，在开机和用户登录方面加强了鉴别力度，采用了双因素认证，包括智能卡、USBKey，甚至还采用了指纹、虹膜等认证方式。采用这些方式有两个共同的特点：密钥或特征码是放在操作系统的文件系统中；采用的是单向认证。因而，与普通操作系统一样，存在着相同的安全隐患。
安全操作系统的主要问题及可信操作系统研究由800论文网收集整理，转载请注明出处！

0顶一下

返回首页

Tag：

[收藏] [推荐] [评论] [打印] [关闭]

上一篇：中医专家系统技术综述及新系统实现研究
下一篇：高精度脉宽的测量

相关论文