可信操作系統(tǒng)若干關鍵問題的研究.pdf

1、操作系統(tǒng)安全是信息系統(tǒng)安全的基石。40多年來，安全操作系統(tǒng)得到了長足的發(fā)展，并在訪問控制框架和安全模型方面均取得了豐碩的成果。但是，縱觀安全操作系統(tǒng)的發(fā)展歷史，可以發(fā)現(xiàn)安全操作系統(tǒng)的主要應用范圍仍然是在國防和軍事領域，在商用和民用領域尚未有成熟的安全操作系統(tǒng)出現(xiàn)。迄今為止，在整個國際上，安全操作系統(tǒng)的應用并不成功，在實際應用中發(fā)揮作用的操作系統(tǒng)絕大部分不是安全操作系統(tǒng)。究其本質，一方面，安全操作系統(tǒng)還存在諸多不完善的地方。另一方面，隨著

2、基于互聯(lián)網的應用系統(tǒng)不斷增多，人們所面臨的安全問題也與日俱增，傳統(tǒng)的信息安全解決不了當前面臨的復雜安全問題，需要構建新一代適應信息發(fā)展需求的可信計算環(huán)境。 本論文回顧安全操作系統(tǒng)的發(fā)展歷程，結合當前安全操作系統(tǒng)的現(xiàn)狀，剖析了安全操作系統(tǒng)存在的主要問題。以可信計算技術為背景提出了可信操作系統(tǒng)概念。并對可信操作系統(tǒng)的體系結構、引導過程、自身完整性測量、用戶登錄過程、時間適應的通用動態(tài)多安全政策支持框架、用戶行為可信及客體可信等問題進

3、行了深入研究并取得了如下成果： 1．對“可信操作系統(tǒng)”概念的研究以安全操作系統(tǒng)和可信計算技術為基礎，明確定義了可信操作系統(tǒng)的概念，指出可信操作系統(tǒng)是能夠通過支持多種安全政策來適應環(huán)境變化，并保證在系統(tǒng)中的本地或遠程實體的行為總是以預期的方式和意圖發(fā)生的，客體內容是真實、保密和完整的，以及自身完整性的操作系統(tǒng)。分析了可信操作系統(tǒng)的內涵和特點以及可信操作系統(tǒng)與安全操作的關系。從分析可以看出，可信操作系統(tǒng)和安全操作系統(tǒng)是有聯(lián)系的，安全

4、操作系統(tǒng)是可信操作系統(tǒng)的基礎，安全操作系統(tǒng)中的安全模型和訪問框架同樣適合于可信操作系統(tǒng)。而可信操作系統(tǒng)與安全操作系統(tǒng)又是不同的，可信操作系統(tǒng)研究的是如何為用戶提供一個可信的計算環(huán)境，而安全操作系統(tǒng)研究的是如何為用戶提供一個基礎安全平臺?！翱尚拧钡膬群屯庋泳恕鞍踩盵TAN2006a]。 2．對可信操作系統(tǒng)完整性度量的研究在分析普通操作系統(tǒng)引導流程的基礎上，研究了可信操作系統(tǒng)的可信引導過程。文中將可信操作系統(tǒng)的引導流程分成

5、兩個階段：一是可信硬件引導流程；二是操作系統(tǒng)可信啟動流程。并指出了可信操作系統(tǒng)整個引導流程中存在的問題。為此，提出了一種新的可信引導過程一并行可復原可信引導過程，即在主機CPU與可信硬件之間采用并行工作方式，并支持被驗證組件代碼的備份和恢復。然后利用通道技術設計和實現(xiàn)了這一引導過程。對此引導過程進行的安全性分析和性能分析表明，該引導過程可以使計算機獲得更高的安全保障，為進一步建立可信計算環(huán)境提供了基礎[TAN2006b，TAN2006e

6、]。 3．對可信操作系統(tǒng)用戶登錄認證方式的研究傳統(tǒng)主流操作系統(tǒng)用戶登錄認證方式有如下缺陷：(1)存儲不可信問題。口令、密鑰或特征碼等這些在認證過程中需要的數(shù)據(jù)信息存放在存在安全隱患的地方，如：操作系統(tǒng)的文件系統(tǒng)中，盡管實施了保護，但保護力度是不夠的，(2)單向認證問題。即只能操作系統(tǒng)驗證用戶，而用戶不能驗證操作系統(tǒng)。文中提出了一種新的用戶登錄認證方式：基于可信硬件的用戶登錄可信認證。該認證方式將用戶的身份信息、相關的密鑰信息等存

7、儲在可信硬件中，并利用USBKEY技術、動態(tài)的口令技術來確保用戶身份的真實可信?？朔瞬僮飨到y(tǒng)用戶登錄傳統(tǒng)認證方式的缺陷，支持雙向認證。較好地解決傳統(tǒng)主流操作系統(tǒng)面臨的用戶登錄認證問題[TAN2007a]。 4．對可信操作系統(tǒng)中用戶行為監(jiān)管的研究“開域授權”和“內部攻擊”成為了各類信息流失事件的主要行為模式。內部用戶利用“開域授權”和“內部攻擊”形成Insider Threat的危害性遠遠大于Outsider Threat?？尚?/p>

8、操作系統(tǒng)必須考慮對內部用戶行為的監(jiān)管。文中分析了操作系統(tǒng)中用戶行為的特征及其描述方法，提出了一種基于用戶行為樹的用戶行為監(jiān)管模型，該模型依據(jù)操作系統(tǒng)行為樹來分析用戶在操作系統(tǒng)中可能存在的“開域授權”和“內部攻擊”行為蹤跡，根據(jù)用戶行為的層次性來實現(xiàn)對用戶行為的監(jiān)管。其間采用了基于行為樹的不良行為過濾算法，可以有效防止合法用戶的“開域授權”和“內部攻擊”行為，保證用戶行為的可信性，是傳統(tǒng)訪問控制理論的有益補充[TAN2006f]。

9、 5．對可信操作系統(tǒng)中可信客體的研究安全操作系統(tǒng)在處理客體時存在不足，而且不能保證客體內容的真實性，文中首先分析了操作系統(tǒng)中客體的類型，將客體分為靜態(tài)客體和動態(tài)客體，提出可信靜態(tài)客體、可信動態(tài)客體和可信客體的概念，并分析了可信客體的特點以及與安全客體的關系[TAN2007b]。為了保證可信靜態(tài)客體內容的真實性，提出了基于可信硬件的靜態(tài)客體可信驗證系統(tǒng)(TASSOBT)。該系統(tǒng)通過可信靜態(tài)客體的映像文件來記錄可信靜態(tài)客體的來源、處理行為和

10、內容變化的簽名，并存于可信硬件中。解決了安全操作系統(tǒng)對靜態(tài)客體處理存在的缺陷。[TAN2007 c]。為了阻止黑客利用動態(tài)客體進行欺騙和中間人攻擊，防止信息泄露，提出了基于可信硬件的可信動態(tài)客體監(jiān)管系統(tǒng)(MSTDOBT)。該系統(tǒng)可以保證主體和可信動態(tài)客體之間進行雙向身份認證。解決了安全操作系統(tǒng)在處理動態(tài)客體時存在的缺陷[TAN2007d]。TASSOBT和MSTDOBT為進一步建立可信計算環(huán)境提供了基礎。 除上述工作外，本論文還

11、對可信操作系統(tǒng)的其他安全保障技術進行了研究和探討，主要集中在以下兩個方面： 1．公開密鑰基礎設施證書撤消機制的研究網絡中終端可信需要證明?？尚庞嬎愕募夹g基礎是公開密碼技術，并采用了多種證書實現(xiàn)證明。隨著證書規(guī)模增加，大規(guī)模證書撤消列表(CRL)的維護是一個最為棘手的問題。文中提出兩個CRL發(fā)布新模型：CRL分段．過量發(fā)布綜合模型和CRL增量．過量發(fā)布綜合模型。分段-過量發(fā)布綜合模型采用先將CRL(Certificate Revo

12、cation List)分段，然后各段獨立過量發(fā)布的方式來實現(xiàn)。該方式既可以減少CRL的長度，使存儲庫以更快的速度提供請求服務，又可以降低峰值請求率、峰值帶寬和平均負荷，減少時間碎片。雖然分段．過量模型的平均請求率比過量模型大，只要合理確定和調整參數(shù)O和S，就可以把平均負荷和峰值帶寬控制在要求的范圍內。增量-過量發(fā)布綜合模型采用將Delta-CRLs的Base CRL過量發(fā)布來實現(xiàn)。該方式既可以減小信任方下載的CRL大小，改善了響應時間

13、，減少時間碎片；又可以降低對Base CRL峰值請求率，從而降低對存儲庫的峰值帶寬和平均負荷。而且，增量-過量發(fā)布綜合模型優(yōu)于傳統(tǒng)模型和增量模型，但其發(fā)布性能依賴于PKI系統(tǒng)的證書有效期、證書吊銷率、Delta CRL的頒發(fā)周期和時間跨度。Delta CRL的頒發(fā)周期越長，時間跨度越大，證書吊銷率越高，證書有效期越短，過量發(fā)布Base CRL所帶來的性能優(yōu)化就越小。因此，增量-過量模型適合于在Delta CRL的頒發(fā)周期和時間跨度較短、

14、證書吊銷率不高、證書有效期較長的大型PKI系統(tǒng)中。[TAN2005a，TAN2005b]。 2．對安全需求體系結構描述語言的研究傳統(tǒng)的體系結構描述語言沒有專門針對安全需求的構件、連接件和體系結構風格的描述，因此，在體系結構層次上描述安全需求還比較困難。文中提出了一種基于XML的安全需求體系結構描述語言-XSSRA/ADL，它引入了安全構件、半安全構件、安全連接件、半安全連接件等設計單元，不僅能夠描述安全需求的體系結構，而且也較好