本質(zhì)安全型集中式控制安全操作系統(tǒng)研究

（6）設(shè)備管理器

在計(jì)算機(jī)系統(tǒng)當(dāng)中，輸入輸出設(shè)備非常易于泄漏信息，包括打印機(jī)、終端、文件卷等。例如，黑客可以利用模擬登陸終端設(shè)備來(lái)取得用戶(hù)密碼。這個(gè)模塊負(fù)責(zé)對(duì)這些設(shè)備進(jìn)行單獨(dú)的管理，保證這些設(shè)備始終處于有效和正確的狀態(tài)下。

3 系統(tǒng)的安全特性

本質(zhì)安全型操作系統(tǒng)是在嵌入式系統(tǒng)背景下設(shè)計(jì)的一種安全操作系統(tǒng)。相對(duì)于其它嵌入式系統(tǒng)，它提供了一種根本意義上的信息安全保證；擴(kuò)展了安全操作系統(tǒng)的內(nèi)涵，引入了操作系統(tǒng)的生命周期、系統(tǒng)生成態(tài)、運(yùn)營(yíng)態(tài)、消亡態(tài)概念。在不同的時(shí)間段，安全應(yīng)該有不同的考慮，而智能卡作為安全控制的基點(diǎn)，保證操作系統(tǒng)可在各種狀態(tài)之下轉(zhuǎn)換。智能卡健全的發(fā)生和管理機(jī)制，是安全的重要保證。下面介紹本質(zhì)安全型集中式控制操作系統(tǒng)提供的安全特性。

（1）身份標(biāo)識(shí)

在wolf-Linux系統(tǒng)當(dāng)中，身份標(biāo)識(shí)包括系統(tǒng)身份標(biāo)識(shí)和用戶(hù)身份標(biāo)識(shí)。

系統(tǒng)身份標(biāo)識(shí)是指在系統(tǒng)啟動(dòng)過(guò)程當(dāng)中，對(duì)運(yùn)行的平臺(tái)和運(yùn)行系統(tǒng)進(jìn)行身份驗(yàn)證。智能卡中和操作系統(tǒng)中，在系統(tǒng)生成態(tài)時(shí)均被賦予了的特定數(shù)字ID，系統(tǒng)啟動(dòng)時(shí)操作系統(tǒng)讀取智能卡中的ID號(hào)，進(jìn)行驗(yàn)證。如果不合法，則轉(zhuǎn)入U(xiǎn)SSPEND態(tài)，不能正常啟動(dòng)。通過(guò)智能卡可以有效地對(duì)系統(tǒng)的生命周期進(jìn)行監(jiān)控。

用戶(hù)身份標(biāo)識(shí)是指通常的用戶(hù)身份標(biāo)識(shí)與鑒定。系統(tǒng)采用智能卡保存用戶(hù)的關(guān)鍵信息，防止被非法篡改或竊取。

（2）進(jìn)程受控運(yùn)行

在一般的嵌入式系統(tǒng)當(dāng)中，不可能對(duì)系統(tǒng)運(yùn)行的進(jìn)程進(jìn)行有效監(jiān)控，wof-Linux提出了一種以進(jìn)程控制為中心的管理方法。系統(tǒng)中運(yùn)行的程序必須取得合法性驗(yàn)證才可以運(yùn)行，對(duì)于一些違法的攻擊程序可以有效進(jìn)行限制。系統(tǒng)控制粒度可以以進(jìn)程為單位，結(jié)合強(qiáng)制存取控制可以有效保證數(shù)據(jù)的安全性。

（3）集中式管理和強(qiáng)制訪(fǎng)問(wèn)控制

不同于現(xiàn)有的系統(tǒng)安全代碼分散到系統(tǒng)的各個(gè)部分，wolf-Linux實(shí)現(xiàn)了集中式管理的策略。安全執(zhí)行部分抽象存取操作的主體和客體，提交給進(jìn)程控制器進(jìn)行判定，集中式控制保證系統(tǒng)的所有存取操作不可能繞過(guò)系統(tǒng)的安全機(jī)制。強(qiáng)制存取控制是集中式控制的一種具體實(shí)現(xiàn)的存取控制機(jī)制。

圖2給出了系統(tǒng)中安全存取控制的層次。

從上面分析可知，本質(zhì)安全型操作系統(tǒng)是指建立在特殊的硬件設(shè)備基礎(chǔ)之上，可以對(duì)系統(tǒng)運(yùn)營(yíng)平臺(tái)，對(duì)系統(tǒng)進(jìn)程合法性和運(yùn)行權(quán)利進(jìn)行有效保證的安全系統(tǒng)。

4 系統(tǒng)驗(yàn)證分析

由上述可知，本質(zhì)安全型操作系統(tǒng)是建立在智能卡技術(shù)之上的。傳統(tǒng)的研究方法最終將系統(tǒng)的安全建立在密碼技術(shù)之上，而隨著密碼破解技術(shù)和開(kāi)源操作系統(tǒng)的發(fā)展，密碼機(jī)制已經(jīng)不能有效地保證系統(tǒng)的安全。安全操作系統(tǒng)和智能卡的結(jié)合，使系統(tǒng)的安全控制點(diǎn)建立在軟硬件結(jié)合的技術(shù)之上，從而可對(duì)系統(tǒng)的各種狀態(tài)和環(huán)節(jié)進(jìn)行有效的控制。在翰林電子書(shū)中采用這種結(jié)合智能卡的安全控制方式，取得了良好的效果。表1提供了一般嵌入式安全操作和本質(zhì)安全型操作系統(tǒng)的安全特性對(duì)比。

表1 系統(tǒng)安全特性對(duì)比

結(jié)語(yǔ)

后PC時(shí)代，嵌入式系統(tǒng)成為發(fā)展主流，它的安全性是將來(lái)整個(gè)信息系統(tǒng)安全的基礎(chǔ)。由于嵌入式應(yīng)用環(huán)境的多樣性，單純地使用軟件來(lái)實(shí)現(xiàn)安全操作系統(tǒng)已經(jīng)不太現(xiàn)實(shí)，軟硬件結(jié)合是一種重要的方法。本文分析了嵌入式系統(tǒng)面臨的安全問(wèn)題的特點(diǎn)，提供了一個(gè)全新的安全概念，豐富了操作系統(tǒng)安全研究的內(nèi)涵。目前由于系統(tǒng)攻擊方法的多樣性，多策略支持已經(jīng)成為主要發(fā)展方向。Linux社區(qū)已經(jīng)實(shí)現(xiàn)lsm多策略支持安全控制框架，可以支持se-linux的flask的安全體系結(jié)構(gòu)和capability的權(quán)能控制機(jī)制。在研究安全操作系統(tǒng)時(shí)，安全機(jī)制對(duì)系統(tǒng)性能的影響是一個(gè)需要嚴(yán)肅考慮的問(wèn)題。在一般的安全控制機(jī)制中，系統(tǒng)的性能大概會(huì)下降10%～20%，因此需要衡量控制范圍和性能影響，同時(shí)要提供完善的緩存機(jī)制。