可信操作系统的设计
- 格式:ppt
- 大小:1.53 MB
- 文档页数:135


2006年第7期 福建 电脑 19 可信操作系统的模型设计研究 潘东静,刘建军,吕文志 (德州学院计算机系山东德州253023) 【摘要】:时可信操作系统进行分析,探讨可信操作系统的设计原J,J,研究可信操作系统的主要安全模型,提出可信操作 系统的内核设计原则。 【关键字】:可信操作系统;安全模型 1.引言 随着社会信息化的发展。计算机安全问题日益严重。各种对 信息的窃取、篡改和破坏问题层出不穷。造成巨大的经济损失。 因此防止攻击者渗透、非法入侵已被人们广泛关注。如何保证计 算机的安全。建立安全防范体系的要求越来越强烈。在信息系统 安全所涉及的众多内容中。操作系统、网络系统与数据库管理系 统的安全问题是核心.作为系统软件最基础部分的操作系统,其 安全问题的解决又是关键中的关键.是整个安全防范体系的基 础。一旦突破操作系统的防线。攻击者就可以肆意修改计算机的 任何内容了。因此开发一个安全的.让用户信赖的操作系统显的 尤为重要。 可信操作系统的提法最初出现于20世纪80年代.美国国 家安全局出台了对可信操作系统相应的评估标准。可信操作系 统指能够支持多级安全并且为满足用户需求提供足够证据的操 作系统。任何操作系统都不是绝对安全的.安全只是一个目标。 可信操作系统的安全是分等级的。在一定的环境下。可以满足用 户的安全需求,因此安全专家宁愿称可信的操作系统。而不愿称 安全的操作系统 2.可信计算机评估标准 可信计算机评估标准TcSEC(Trusted Computer System E. valuation Criteria)是美国国防部1985年制定的计算机安全标 准。将计算机系统的安全级别分为七个: (1)D级:D级是最低的安全保护等级。拥有这个级别的操 作系统对任何人的访问都没有限制。几乎没有什么安全性可言, 是完全不可信的。属于这个级别的操作系统有:DOS、Windows、 Apple的Macintosh System7.1。 (2)C1级:自主存取控制。 (3)C2级:较完善的自主存取控制、审计。如Windos NT和 Saloris属于这一级别。 (4)B1级:强制存取控制。安全标识。 (5)B2级:良好的结构化设计、形式化安全模型。要求计算 机系统中所有的对象都加标签。而且给设备(磁带、磁盘和终端) 分配单个或多个安全级别。如Unix Ware 2.1属于这一级别。 (6)B3:全面的访问控制、可信恢复、高抗渗透能力。 (7)A1:形式化认证、非形式化代码、一致性证明。 3.可信操作系统的设计原则 可信操作系统的设计.安全部分在设计开始就要考虑。设计 一个可信操作系统要考虑以下基本原则.这些原则在很多可信 操作系统中被采用: (1)最小特权原则:分配给系统中的每一个程序和每一个 用户的特权应该是它们完成工作所必须享有的特权的最小集 合,以降低一个有意或无意攻击所造成的破坏。 (2)精简机制原则:因为有些设计和实现错误可能产生意想 不到的访问途径,而这些错误在常规使用中是察觉不出的。所以 保护系统的设计应该尽可能的简短易懂。这样方便于分析,测试 或是有可能的验证 (3)安全检测原则:每一次对系统资源的访问都必须经过 检测,不允许有任何绕过检测或者突破检测的情况存在.所以检 测机智要很好地保护。 (4)基于许可原则:对每一个客体的每一次访问都必须经 过检查.以确认是否已经得到授权。默认情况下不允许访问客 体.除非授权允许主体访问该客体。 (5)特权分离原则:为一项特权划分出多个决定因素,仅当 所有决定因素均具备时。才能行使该项特权,正如一个保险箱设 有两把钥匙。由两个人掌管。仅当两个人都提供钥匙时,保险箱 才能打开。即获取一个客体的访问权应具备不止一个条件,这样 当攻击者攻击系统时获取访问权比较困难。 (6)最小共享原则:每个共享客体都为信息流提供了一种 潜在的信息通道。要谨慎设计,避免无意中破坏安全性,所以在 系统的设计上应从物理及逻辑结构上尽量减少这种风险。 4.可信操作系统的主要安全模型 安全模型被用来精确且形式化地描述信息系统的安全相关 特征。构造一个形式化的安全模型并证明其正确,而后将之用于 系统设计中.可以使系统的安全性得到最大限度的保证,以下讨 论一些主要的安全模型。 4.1有穷状态机模型 有穷状态机模型是当前大多数安全模型的基础.它将系统 描述成一个抽象的数学状态机:其中状态变量表征机器状态。转 移函数描述状态变量如何变化。只要能够证明初始状态是安全 的。并且所有的转移函数也是安全的,那么,数学推理就能保证: 只要系统从某个安全状态启动。无论按什么顺序调用系统功能, 系统将总是保持在安全状态。对操作系统的所有可能状态建模 是不现实的。而安全模型仅仅涉及与安全有关状态变量。其状态 机模型要简单得多 4.2存取控制矩阵模型 存取控制矩阵模型是对操作系统保护机制的通用化描述. 对操作系统安全保护机制进行高层次的抽象.它将系统的安全 状态表示成一个大的矩阵阵列:每个主体拥有一行.每个客体拥 有一列。交叉项表示了主体对客体的访问模式。存取矩阵定义了 系统的安全状态.这些状态又被状态转移规则引导到下一个状 态。这种模型仅限于为系统提供机制。具体的控制策略则包含在 存取矩阵的当前状态中.使得依据这种方法实现一个系统时可 以很好地实现机制和策略的分离。 4.3访问控制模型 在访问控制模型中。有4个重要的组成部分:一组主体;一 组客体;一个访问矩阵,用来维护系统的保护状态;一组规则,改 变系统的保护状态。已经提出许多访问控制模型.主要研究一下 take—grant模型和TRM模型。 (1)take—grant模型 take—grant由Lawrence Snyder提出。模型中的状态被表示 成一个图,称为tg一图,其中,(表示一个实体(主体或客体);●表 示一个主体;o表示一个客体。一个实体S拥有一个对实体0的 权限x。用一条从S到0的有向标记弧来表示x.系统中状态的变 化是图重写规则的结果,图重写规则包括take—rule,grant—rule, creat—mle和remove—rule。如图所示,图中实线部分表示规则使 用前系统的状态,虚线部分表示规则使用后 (下转第2l页)
操作系统内核的动态可信度量模型
摘要:动态可信度量是可信计算的研究热点和难点,针对由操作系统内核动态性所引起的可信度量困难问题,提出一种操作系统内核的动态可信度量模型,使用动态度量变量描述和构建系统动态数据对象及其关系,对内核内存进行实时数据采集,采用语义约束描述内核动态数据的动态完整性,通过语义约束检查验证内核动态数据是否维持其动态完整性。给出了模型的动态度量性质分析与证明,模型能够有效地对操作系统内核的动态数据进行可信度量,识别对内核动态数据的非法篡改。
关键词:可信计算;可信度量;动态度量;操作系统内核;远程证明
dynamic trusted measurement model of operating system
kernel
xin si.yuan1*, zhao yong2, liao jian.hua3, wang ting4
1.institute of electronic technology, information
engineering university, zhengzhou henan 450004,china;
2.college of computer science,beijing university of
technology,beijing 100124,china;
3.school of electronics engineering and computer science,
peking university, beijing 100871, china;
4. unit 65047 of pla,shenyang liaoning 100805,
chinaabstract:
dynamic trusted measurement is a hot and difficult research
操作系统的安全性和保密性设计
操作系统的安全性和保密性设计是现代计算机系统中非常重要的一环。在信息时代,随着计算机技术的不断发展和普及,大量的敏感信息存储在计算机系统中,因此保障操作系统的安全性和保密性就显得尤为重要。本文将从安全性和保密性两个方面探讨操作系统的设计原则和技术手段。
首先,操作系统的安全性设计要从防止非法访问和保护系统资源两个方面考虑。在防止非法访问方面,可以采取许多手段,如用户认证、访问控制和权限管理等。用户认证是指用户在登录系统时需要提供有效的身份认证信息,例如用户名和密码。访问控制是指根据用户身份和权限对资源进行控制,确保只有经过授权的用户才能访问资源。权限管理是指对用户进行细粒度的权限分配和管理,确保用户只能访问其具备权限的资源。
其次,操作系统的保密性设计要从数据加密和隐私保护两个方面考虑。数据加密是指对存储在计算机系统中的敏感数据进行加密保护,确保只有授权的用户才能解密并访问数据。常见的加密方式有对称加密和非对称加密。对称加密使用同一个密钥进行加密和解密,而非对称加密使用一对密钥,分别是公钥和私钥,公钥用于加密,私钥用于解密。隐私保护是指对用户的隐私信息进行保护,如用户的个人信息、浏览历史等。这可以通过权限管理和数据匿名化等方式来实现。
1.强密码策略:要求用户使用足够强度的密码,防止被猜解或破解。
2.备份和恢复机制:定期对系统和数据进行备份,以防止数据丢失或损坏,并设计相应的恢复机制。
3.安全审计和日志记录:监控系统的操作和事件,并记录到相应的日志中,以便日后追踪和分析。 4.漏洞修补和更新:及时修补操作系统和应用程序中的漏洞,并及时更新系统软件版本,以保证系统的安全性。
6.安全培训和意识提高:对用户进行安全培训和意识提高,提醒和教育用户注意保护自己的账号和密码,不轻易泄露个人信息,防止社工攻击等。
综上所述,操作系统的安全性和保密性设计是保障计算机系统安全的关键一环。需要从防止非法访问和保护系统资源、数据加密和隐私保护等方面考虑。同时还需要采取强密码策略、备份和恢复机制、安全审计和日志记录、漏洞修补和更新、网络安全防护以及安全培训和意识提高等手段来加强系统的安全性和保密性。只有通过综合的安全策略和技术手段,才能建立起一个安全可靠的操作系统。
操作系统课程设计报告
南通大学计算机科学与技术学院
操作系统课程设计报告
专业:
学生姓名:
学号:
时间: 操作系统课程设计报告
第 1 页 共 40 页 操作系统模拟算法课程设计报告
设计要求
将本学期三次的实验集成实现:
A.处理机管理;
B.存储器管理;
C.虚拟存储器的缺页调度。
设计流程图
主流程图
开始的图形界面
处理机管理 存储器管理 缺页调度
先来先服务 时间片轮转 首次适应法 最佳适应法 先进先出 LRU算法 操作系统课程设计报告
第 2 页 共 40 页 A.处理机调度
1)先来先服务FCFS
N
Y
先来先服务算法流程
开始
初始化进程控制块,让进程控制块按进程到达先后顺序让进程排队
调度数组中首个进程,并让数组中的下一位移到首位
计算并打印进程的完成时刻、周转时间、带权周转时间
其中:周转时间 = 完成时间 - 到达时间
带权周转时间=周转时间/服务时间
更改计时器的当前时间,即下一刻进程的开始时间
当前时间=前一进程的完成时间+其服务时间
数组为空
结束 操作系统课程设计报告
第 3 页 共 40 页 2)时间片轮转法
开始输入进程总数指针所指的进程是否结束输入各进程信息输出为就绪状态的进程的信息更改正在运行的进程的已运行时间跳过已结束的程序结束N指向下一个进程Y如果存在下一个进程的话YN输出此时为就绪状态的进程的信息
时间片轮转算法流程图
操作系统课程设计报告
第 4 页 共 40 页 B.存储器管理(可变式分区管理)
1)首次适应法
分配流程图
申请xkb内存
由链头找到第一个空闲区
分区大小≥xkb?
大于
分区大小=分区大小-xkb,修改下一个空闲区的后向指针内容为(后向指针)+xkb;修改上一个空闲区的前向指针为(前向指针)+xkb 将该空闲区从链中摘除:修改下一个空闲区的后向地址=该空闲区后向地址,修改上一个空闲区的前向指针为该空闲区的前向指针 等于 小于 延链查找下一个空闲区