1 安全操作系統(tǒng)構(gòu)建原理及方法
1.1 強(qiáng)制安全和訪問控制
操作系統(tǒng)的安全性是整個(gè)計(jì)算機(jī)系統(tǒng)安全性的基礎(chǔ)。操作系統(tǒng)的安全特性很多,強(qiáng)制安全是其一個(gè)側(cè)面。是不是強(qiáng)制安全,要視其安全策略邏輯定義與安全屬性分配是不是由系統(tǒng)安全性策略管理員控制。如果是,則是強(qiáng)制安全;反之,如果是由普通用戶控制的,則是自主安全。一個(gè)操作系統(tǒng)的強(qiáng)制安全策略可以分解為若干種類的策略,如訪問控制策略,認(rèn)證、加密策略等。
在本系統(tǒng)中實(shí)現(xiàn)了基于多策路的強(qiáng)制訪問控制,即規(guī)定主體在操作系統(tǒng)的控制下依據(jù)一定的策略對(duì)客體進(jìn)行訪問。為此,提供了一個(gè)定義和轉(zhuǎn)換強(qiáng)制安全性策略的架構(gòu),用于定義操作系統(tǒng)的強(qiáng)制安全策略,并把它轉(zhuǎn)化成底層的操作系統(tǒng)強(qiáng)制安全機(jī)制能夠解釋的形式
1.2 增強(qiáng)嵌入式操作系統(tǒng)安全性的方法
在一個(gè)現(xiàn)有的較成熟的嵌入式操作系統(tǒng)基礎(chǔ)上增加安全核來增強(qiáng)現(xiàn)有系統(tǒng)安全性,是一個(gè)很好的開發(fā)安全嵌入式系統(tǒng)的思路。安全內(nèi)核負(fù)責(zé)實(shí)現(xiàn)整個(gè)操作系統(tǒng)的安全機(jī)制,在硬件、操作系統(tǒng)、計(jì)算系統(tǒng)的其他部分之間提供安全接口,將安全功能隔離在安全核內(nèi)。
2 VxWorks安全核框架
2.1 安全核體系結(jié)構(gòu)
本文提出一種如圖1所示的VxWorks安全核框架結(jié)構(gòu)?;舅枷胧牵簯?yīng)用程序?qū)ind內(nèi)核的訪問都是受控的,即應(yīng)用程序(主體)對(duì)任務(wù)、信號(hào)量、共享內(nèi)存、消息隊(duì)列、管道、信號(hào)和文件等(客體)的訪問及操作都受到強(qiáng)制的控制,安全核依據(jù)一定的策略判定是否允許主題對(duì)客體訪問。應(yīng)用程序?qū)ind內(nèi)核的所有調(diào)用都被監(jiān)控器攔截。首先通過查詢策略緩存判定該調(diào)用的合法性,如果合法則允許進(jìn)行該調(diào)用;如果沒有找到相關(guān)策略則將該請(qǐng)求交由安全服務(wù)器進(jìn)行判定,合法則允許進(jìn)行該調(diào)用并將該策略寫入策略緩存以便下次調(diào)用時(shí)直接判定,非法則拒絕此次調(diào)用。每次調(diào)用及結(jié)果反饋給審計(jì)模塊以備查詢。監(jiān)視器、安全服務(wù)器、審計(jì)模塊的配置工作由主機(jī)端配置工具進(jìn)行。
該安全核的強(qiáng)制訪問控制模塊主要由監(jiān)控器、策略緩存和安全服務(wù)器三大組件組成。其中,監(jiān)控器負(fù)責(zé)攔截主體對(duì)客體的所有訪問,將攔截到的訪問交由判定機(jī)構(gòu)判定,并負(fù)責(zé)依據(jù)接收到的判定結(jié)果對(duì)訪問進(jìn)行控制;策略緩存(Access Vector Cache,AVC)組件緩存安全服務(wù)器提供的訪問控制決策供監(jiān)控器使用,以減少檢查對(duì)象訪問權(quán)限耗時(shí),從而提高整體性能;安全服務(wù)器是內(nèi)核的一個(gè)子系統(tǒng),將安全策略與通用接口封裝在一起的一個(gè)組件,通用接口用于獲取安全策略決策。針對(duì)不同對(duì)象的管理器負(fù)責(zé)向安全服務(wù)器申請(qǐng)SID標(biāo)簽以及向監(jiān)控器提供服務(wù)。
2.2 安全服務(wù)器
安全服務(wù)器是本系統(tǒng)的核心組件,是訪問合法性的判定部分。其結(jié)構(gòu)如圖2所示。
安全上下文是表示安全屬性的變長字符串,是安全服務(wù)器私有的數(shù)據(jù)類型,由安全服務(wù)器依據(jù)一定的策略邏輯負(fù)責(zé)解釋。安全上下文不直接與主客體綁定,而是在運(yùn)行時(shí)由安全服務(wù)器依據(jù)標(biāo)簽規(guī)則進(jìn)行其與安全標(biāo)識(shí)符SID的映射。多策略驗(yàn)證器是安全服務(wù)器的核心模塊,它包含系統(tǒng)設(shè)定的所有安全策略的判定邏輯。本安全核對(duì)多安全策略的支持由這一模塊實(shí)現(xiàn)。按照不同的策略,對(duì)訪問有不同的判定結(jié)果,安全服務(wù)器依據(jù)這些判定結(jié)果的交集做出最終的判定結(jié)論。
策略數(shù)據(jù)庫是策略數(shù)據(jù)的存儲(chǔ)結(jié)構(gòu),通過主機(jī)端配置工具配置其中相關(guān)信息。
本安全核的實(shí)現(xiàn)采用了一種結(jié)合類型實(shí)施(TE)、基于角色的訪問控制(RBAC)和多級(jí)安全(MLS)的多安全策略。安全服務(wù)器定義的安全性上下文由用戶身份、角色、類型及可選的安全級(jí)別和范圍組成,其中角色只與任務(wù)(task)相關(guān)。只有合法的用戶、角色、類別及安全級(jí)別或范圍的組合才會(huì)被安全服務(wù)器賦予SID。
2.3 客體管理器及強(qiáng)制訪問控制
客體管理器是負(fù)責(zé)安全策略實(shí)施的部分。Wind內(nèi)核中任務(wù)、信號(hào)量、共享內(nèi)存、消息隊(duì)列、管道、信號(hào)、文件等的管理系統(tǒng)是不同的對(duì)象管理器。本系統(tǒng)實(shí)行強(qiáng)制訪問控制,系統(tǒng)中每個(gè)任務(wù)、信號(hào)量、文件等都被賦予一定的安全屬性,這些屬性由客體管理器負(fù)責(zé)維護(hù)。
強(qiáng)制訪問控制的具體過程為:監(jiān)控器截獲訪問請(qǐng)求格式為主體SID、客體SID以及許可權(quán)限三元組,即
3 系統(tǒng)實(shí)現(xiàn)及測(cè)試
3.1 安全系統(tǒng)的實(shí)現(xiàn)方式
在分析VxWorks系統(tǒng)內(nèi)核Wind結(jié)構(gòu)的基礎(chǔ)上,結(jié)合上述提出的安全核設(shè)計(jì),本系統(tǒng)實(shí)現(xiàn)了安全標(biāo)記和強(qiáng)制訪問控制,即實(shí)現(xiàn)了對(duì)Wind任務(wù)、信號(hào)量(二進(jìn)制/互斥/計(jì)數(shù)信號(hào)量)、消息隊(duì)列、管道、事件等的安全標(biāo)記和強(qiáng)制訪問控制。實(shí)現(xiàn)了監(jiān)控器部分來支持對(duì)系統(tǒng)調(diào)用的控制;實(shí)現(xiàn)了策略服務(wù)器使之初步支持MLS、TE、RB