摘要:简要回顾了安全操作系统的发展历史,指出了安全操作系统当前存在的主要问题;在此基础上提出了可信操作系统的概念,分析了可信操作系统的特点、内涵以及与安全操作系统的关系;最后提出了可信操作系统需要解决的问题,为下一步将要开展的工作奠定基础。
关键词:安全操作系统; 可信操作系统; 可信计算
中图分类号:TP311文献标志码:A
文章编号:1001-3695(2007)12-0010-06
0引言
根据计算机软件系统的组成,软件安全可划分为应用软件安全、数据库安全、操作系统安全和网络软件安全。在数据库中,DBMS通常是建立在操作系统之上的,若没有操作系统安全机制的支持,数据库就不可能具有存取控制的安全可信性。在网络环境中,网络的安全可信性依赖于各主机系统的安全可信性;而主机系统的安全性又依赖于其上操作系统的安全性。因此,若没有操作系统的安全性就没有主机系统的安全性,从而就不可能有网络系统的安全性。计算机应用软件均建立在操作系统之上,它们均是通过操作系统完成对系统中信息的存取和处理。因此,若没有操作系统的安全性,就不可能有应用软件信息处理的安全性。操作系统安全是计算机系统软件安全的必要条件[1~5]。
操作系统实质是一个资源管理系统,管理处理机、存储器、设备、文件和作业等计算机资源,用户通过它获得对资源的访问权。安全操作系统的目的是保证它所管理资源的安全性,包括机密性、完整性和可用性等。信息的保密性是为了防止信息在非授权情况下的泄露;信息的完整性是为了保护信息不被非法窜改或破坏。
1972年,作为承担美国空军的一项计算机安全规划研究任务的研究成果,J.P.Anderson等人在一份研究报告[6]中提出了引用监控机(reference monitor)、引用验证机制(reference validation mechanism)、安全核(security kernel)和安全建模(modeling)等重要概念,并提出了开发安全操作系统总的指导思想(原则)。J.P.Anderson等人指出,要开发安全系统首先必须建立系统的安全模型。安全模型给出安全系统的形式化定义,正确地综合系统的各类因素。这些因素包括系统的使用方式、使用环境类型、授权的定义、共享的客体(系统资源)、共享的类型和受控共享思想等。这些因素应构成安全系统的形式化抽象描述,使得系统可以被证明是完整的、反映真实环境的、逻辑上能够实现程序的且受控执行的。完成安全系统的建模之后,再进行安全核的设计与实现。这一原则表明,要开发安全操作系统必须完成两大任务,即访问控制框架的建立和安全模型的建立。四十多年来,安全操作系统的开发一直遵循这一原则,在访问控制框架和安全模型方面取得了丰硕的成果。在访问控制框架方面有基于政策描述语言的FAM(flexible authorization manager)[7]和企业间多协调框架[8]、基于安全属性的GFAC框架[9~12]、基于统一模型的数据库FMP[13]、RBAC[14]、Flask[15,16]框架。在安全模型方面包括BLP、HUR、UNIX system V/MLS、BIBA、信息流的格模型、不干扰模型、CW模型、中国墙模型、RBAC和DTE等[17]。
纵观安全操作系统将近四十年的发展历史可以发现,安全操作系统的主要应用范围仍然是在国防和军事领域,在商用和民用领域尚未有成熟的安全操作系统出现[7]。迄今为止,整个国际上安全操作系统的实际应用并不成功。在实际应用中发挥作用的操作系统绝大部分不是安全操作系统。文献[18,19]认为,安全操作系统在商业和民用领域的不成功,主要是因为安全操作系统缺少灵活性和兼容性,降低了系统性能和效率,应发展专用安全操作系统。文献[17,20~24]认为,当前安全操作系统不成功的本质原因是安全操作系统存在诸多不完善的地方,如对多安全政策的支持;对动态多安全政策的支持,包括政策切换、权限撤销等方面;对环境适应性的支持等。
1安全操作系统的发展历史
早在20世纪60年代,对操作系统安全的研究就引起了众多机构(尤其是美国军方)的重视。至今人们已在这个领域付出了几十年的努力,开展了大量的工作,取得了丰硕的成果,逐渐建立起了比较完善的安全操作系统理论体系。安全操作系统的研究大致可分为四个阶段[20]:第一阶段开始于1967年,标志是Adept50系统的启动,这一时期是基本思想、技术和方法的探索时期,创建了安全操作系统的基本理论;以可信计算机系统评估准则(TCSEC)的颁布为标志的第二阶段,开始于1983年,安全评估标准的颁布,对安全操作系统的设计和评估起到了很大的指导作用;1993年进入以多政策为特点的第三阶段,这一时期研究的重点是如何实现多种安全策略的共存问题;目前,安全操作系统的研究已发展到第四阶段——动态策略时期。为了支持多种策略的灵活配置需要进一步研究新的体系结构。
