[音乐]
[音乐]
同学们好! 上一次课我们讲了这个安全系统这个开发这一部分,
并且我们邀请了'iii'老师介绍了一下我们在安胜安全操作系统方面的 这样一个研发背景和我们的研发目标。
今天呢我们以这个案例,就是以我们的这个安胜
安全操作系统的开发为案例来介绍一下一个安全系统到底应该 怎么样来开发。
我们先来看一下这个安胜的安全操作系统的主要设计思想。
那么我们前面在访谈的时候曾经提到了 安胜的安全操作系统呢我们开发了两个版本,一个 3.0,一个是
4.0, 那么这个 3.0 针对的满足的是这个国标第三级,
这个 4.0 是达到了国标的第四级,这样的两个系统。
那么我们现在来看一下这两个系统的设计的时候我们的主要目标了。
前边我们提到过,安胜的 3.0 是为了满足这个 GB17859-1999 的这个第三级,
也就是对应于 TCSEC,就是我们前面说的橘皮书的第一级这样一个系统。
安胜的 4.0 其实我们针对的是
这个满足于 GB17859-1999 的第四级,
也就是结构化保护级,也对应于 TCSEC 橘皮书里面的
B2 级,同时我们也参照了这个 CC 的 EAL4 和 EAL5
的这样的相关要求,实现了这个相关的一些密码服务的功能。
我们看一下这个系统的一个总体设计的结构。
在这个两个,当然这个总体结构我们包括了 重点以后面这个安胜
4.0 为例,因为它 4.0 的功能是强于 3.0 的,而且是包含了 3.0 的功能。
所以我们这边 列举的是这个主要的 4.0 以后的这样一个版本的 主要的体系结构。
那么这个体系结构里面我们包含了这样的几个安全功能。
第一个呢是关于标识与鉴别,也就是说说在任何一个系统里面,首先我们要去实现标识与鉴别- 的机制。
那么我们在标识与鉴别机制里面除了采用传统的这个保护 就是标识,就是用户口令这样一种机制之外,
在这个基础之上我们还增加了相关的就是安全级的一个判定。
第二呢是这个自主访问控制,那么 自主访问控制在传统的操作系统安全,就是'iii'模式基础之上,
我们增加了这个访问控制列表这样一种访问控制机制。
那么在强制的这个策略方面我们提供了两种,一种是强制的机密性的这个访问控制机制,
那么这个主要是基于,基于我们后面会讲到的一个 改进的机密性的一个策略模型来实现的。
第二个呢是关于强制的完整性的这个访问控制模型,
主要是在这个策略呢主要是在这个安全保护级,就是结构化保护级这个 上面有要求。
那么在我们的安全标记级,就是这个安胜 3.0 里面并没有这样一个要求。
那么我们主要是对我们的一些主客体 进行域和行的划分来进行这样的一个强制策略的实现。
还有一个就是最小特权管理,那么最小特权管理在 3.0 和 4.0 的实现方法上面 我们也采取了这个不同的方法。
那么 3.0 里面可能我们在前面讲过的案例里面提到过,主要是在
这个上层我们实现了一个这个 权限的一个划分,就是不同的管理员具有不同的管理权限。
主要是体现在它有不同的操作,命令的这样的使用权限。
那么在安胜的 4.0 里面我们就把相关的这样的最小特权做到了内核级,
那么在内核级来实现不同管理员具有不同权限这样的一个划分。
可信通路这一块,其实我们主要是来
保证用户能够验证自己是一个安全的和在打交道。
那么客体重用这一部分,其实我们前面也都提到过,主要是我们利用了 考虑这个系统在重新分配资源的时候
或者说系统在释放资源的时候,要考虑到它重新分配的时候可能被利用,所以在系统释放的- 时候呢,
比如说这个磁盘、 内存还有高速缓存这三个环节
怎么样把这个数据进行相关的一个处理,让它不会 被下次分配的时候泄露它的信息。
此外就是审计,那么审计这个环节我们除了 做,在内核级做审计,做所有安全相关操作的审计之外,
我们还对我们所发现的,做隐蔽通道分析所发现的一些隐蔽通道
进行了相关的审计处理,这个当然是在 4.0 这个版本里面完成的。
那么隐蔽通道分析本身也是安全 标记保护级这一级,就是
3.0 这个版本是没有,不需要去做这件事情,没有这个要求,所以没有做这件事情。
但是我们在安胜的这个 4.0,也就是说结构化保护级这个系统里面,
我们对这个隐蔽通道分析这一块是进行了 彻底的分析,然后我们找到了
18 条隐蔽存储通道, 并且进行了带宽的估算和进行了相关的一些处理。
此外呢,我们还增加了相关的密码服务机制。
那么密码服务机制呢我们是采用了自主研发的,自主设计的一个
并且获得了国家密码管理局批准的一个密码算法,叫 QC 这个算法,
我们嵌入在了我们的系统当中,那么主要是在 两个方面来使用。
一个是在加强这个鉴别这个环节上 来使用,另外我们还在这个文件的这个加密,
文件系统这个环节采用了这样一个算法。
最后我们再往安全机制这一块,也在网络协议层
我们进行了相关的强制策略的这样的一个保护和实现。
这是我们这个安胜 OS 系统的一个总体的结构图,
那么大家从这个结构图里可以看到我们刚才所提到的这个标识与鉴别、 可信路径、
客体重用,那么还有我们的强制的机密性策略,强制的完整性策略、 自主访问控制策略、
最小特权管理,还有审计、 隐蔽通道的处理机制,都在内核级进行了实现。
那么实现的基础之上呢,我们对上层呢 做一些相关的可信程序的一些修改。
比如说我们的这个登录的程序,就是注册,login 这样的一些程序,
还有我们一些特权的一些管理程序,我们都要做一些相关的这个修改。
此外呢,就是我们为了帮助用户做更好的一些
数据的保护,比如说我们提供了这个密码服务,这个密码服务有些这个用户程序可以去调用相- 关的密码服务
提供这个数据的保护。
这张图其实展示的是我们第四级这个系统 它所包含的,就是我们所取得的几个工作。
第一个工作呢就是安胜的 4.0,我们 主要提供了满足这个
GB17859 第四级的 所有的安全要求。
那么这里列出来了 DAC,然后标记
和这个强制访问控制,还有这个标识与鉴别、 客体重用、 审计、 数据完整性、
网络安全、 设备安全、 隐蔽通道分析、 可信路径还有最小特权管理,等等。
另外第二个就是安胜安全 OS 这个操作系统,我们第二个亮点其实主要就是
提出了相关的安全策略模型,就是三个相关的安全策略模型。
第一个是关于这个 修改后的这个机密性的安全策略模型,第二个是关于这个
完整性的策略模型,叫 DTE 的 IPM,第三个是关于这个支持 POSIX
全文机制的 基于 RBPC 和这个 ATE 结合的这样一个
最小特权管理模型,我们叫 PCM_RBPC 这样一个策略模型。
此外呢我们在这个系统设计里面我们还建立了
一个支持多策略冲突和协作的这样一个 安全体系结构,后面我们会讲到。
此外我们 在这个系统里面还为了满足第四级的安全需求,我们提出了这个
一种隐蔽存储通道的一个分析方法,那么这个方法呢是一个叫回溯搜索法。
这个方法使得我们在系统里面真实地找到了 18 条隐蔽存储通道。
好,这是我们这个项目的一个 总体的一个结构的介绍,谢谢。
Prof. 沈晴霓 (Shen Qingni), Ph.D.
