《计算机系统安全》课件第6章.ppt
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机系统安全 计算机 系统安全 课件
- 资源描述:
-
1、第第6 6章章 可信操作系统设计可信操作系统设计 第第6章章 可信操作系统设计可信操作系统设计 6.1 什么是可信的操作系统什么是可信的操作系统 6.2 安全策略安全策略 6.3 安全模型安全模型 6.4 设计可信操作系统设计可信操作系统 6.5 可信操作系统的保证可信操作系统的保证 6.6 实例分析实例分析 6.7 可信操作系统总结可信操作系统总结 习题习题 第第6 6章章 可信操作系统设计可信操作系统设计 6.1 什么是可信的操作系统什么是可信的操作系统 本章我们主要考虑关于可信操作系统的以下四方面内容:(1)内存保护;(2)文件保护;(3)一般对象访问控制;(4)用户认证。第第6 6章章
2、 可信操作系统设计可信操作系统设计 本章的前四部分主要讲可信操作系统的四个基础:(1)策略。所有系统都根据它的需求,描述系统做什么,如何做,这个描述就是策略。(2)模型。创建一个可信操作系统,为了保护恰当的对象和关系,设计者必须肯定目标系统能够满足这些需求。第第6 6章章 可信操作系统设计可信操作系统设计 (3)设计。选定一个安全模型后,设计者就可以选用一种方法来实现它了。这样,设计既包含什么是可信的操作系统,也包括如何实现它。(4)可信性。操作系统在加强安全方面扮演着重要的角色,可信性用来说明操作系统如何可以让用户对其安全性能信服。一般有两个方面要考虑:设计操作系统时,在安全方面做了什么工作
3、;所作的工作现在可以处理哪些安全情况。第第6 6章章 可信操作系统设计可信操作系统设计 可信度是来自于用户或系统的接受者,而非设计者。作为用户的你可以直接衡量商品的可信度,也可以通过专业评估机构得到信任度。总之,信任度是用户自己的事。第第6 6章章 可信操作系统设计可信操作系统设计 “可信”这个形容词在本章出现的次数很多,如“可信进程”(能够影响系统安全的进程或是由于错误执行就会违反安全策略的进程),“可信产品”(经过评估和认证的产品),“可信软件”(系统在其之上可以实施安全策略的软件部分),“可信计算基础”(在计算系统内部的所有保护机构设备,包括硬件、固件和软件,一起在产品或系统上实施统一安
4、全策略),或是“可靠系统”(系统整体调用硬件和软件来处理敏感信息)。第第6 6章章 可信操作系统设计可信操作系统设计 6.2 安全策略安全策略 6.2.1 军用安全策略军用安全策略 军用安全策略是基于保护机密信息的安全策略。信息根据其敏感度的不同而有不同的级别,比如:公开(Unclassified)、受限(Restricted)、秘密(Confidential)、机密(Secret)、绝密(Top Secret)。级别的不同形成了不同的层次,也反映了信息的敏感度的递增顺序,如图6-1 所示。第第6 6章章 可信操作系统设计可信操作系统设计 图6-1 机密层次图 第第6 6章章 可信操作系统设计
5、可信操作系统设计 隔离块可以限制人们只能访问和他们项目有关的信息,也就是只能根据“need-to-know”原则进行数据访问。一个隔离块的信息可以只覆盖一个秘密级别,也可以分布于不同的秘密级别。它和敏感度级别的关系可以表示为图6-2 所示的形式。第第6 6章章 可信操作系统设计可信操作系统设计 图6-2 隔离块和敏感级别 第第6 6章章 可信操作系统设计可信操作系统设计 为区别不同的隔离块,我们可以采用命名的方法,比如“雪鞋”、“密码”或是“瑞典”等。一条信息被标以0,1,2 或是更多隔离块名,名字取决于它相关的类属。图6-3 给出了信息和隔离块的这种关联。第第6 6章章 可信操作系统设计可信
6、操作系统设计 图6-3 信息与隔离块的联系 第第6 6章章 可信操作系统设计可信操作系统设计 例如:一条记载着关于密码学的出版物清单的信息可以用CRYPTO表示其隔离块,而关于瑞典的雪鞋发展的信息就可以表示为SNOWSHOE,SWEDEN。密级;隔离块这种组合被称为信息的“类”或“分类”。通过这种方式标明一条信息,便实现了由安全级别和主标注结合的“need-to-know”原则。第第6 6章章 可信操作系统设计可信操作系统设计 有一些访问请求是必须被明确许可的。授权允许访问机密文件就是指一个人被信任可以达到某个信息敏感级别,并且此人需要访问该敏感级别的某个类属的数据。一个主体的授权访问机密文件
7、可以用保密级别(rank),隔离块(compartment)这个结构来表示。我们现在介绍一个在敏感主体和客体之间的关系:,称为“支配”。例如,一个主体s和一个客体o:so if and only if ranksrank o and compartmentss compartmentso第第6 6章章 可信操作系统设计可信操作系统设计 这时,我们说o支配s(或是s受o支配)。反之,也是同样定义的。支配权用来限制一个主体可以访问的信息的密级和内容。主体A只有在满足以下的情况时才可以读取一个客体:(1)主体的授权访问机密文件级别不低于被访问客体;(2)主体要知道它所需要的信息对应的所有分类隔离块。
8、第第6 6章章 可信操作系统设计可信操作系统设计 满足了这些条件就意味着主体可以支配客体。我们可以用前面的同心圆图6-3来表示支配关系的工作原理。在图中:具有绝密;SWEDEN授权的主体可以访问机密;SWEDEN,SNOWSHOE的信息,也可以访问公开,SWEDEN的信息;但是只有机密;CRYPTO授权的主体不可以访问绝密;CRYPTO的信息。第第6 6章章 可信操作系统设计可信操作系统设计 军用系统的安全性既需要密级划分,又要有“needtoknow”的限制。密级划分就像权限等级划分一样,是对信息的敏感度的分类;“needtoknow”限制是没有权限等级的,因为隔离块不需要有分级结构。在这样
展开阅读全文