（五）操作系统安全概念和设计思想

1.     访问控制思想：1969年，B. W. Lampson首次运用了主体、客体和访问控制矩阵的思想对访问控制问题进行了抽象：在一个操作系统中，每一个实体组件都必须或者是主体，或者是客体，或者既是主体又是客体。

2.     主题与客体：访问控制关注的对象要么是主体，要么是客体

客体（objects）：客体是一个被动的实体。

在操作系统中，客体可以是按照一定格式存储在一定记录介质上的数据信息（通常以文件系统格式存储数据），也可以是操作系统中的进程。图书是保护对象，那么他是客体

对一个客体的访问隐含着对其包含信息的访问。文件，IPC资源等就是客体，进程也可以是客体。

主体（subjects）：是引起信息在客体之间的流动的实体。

通常，这些实体是指人、进程或设备等，一般是代表用户执行操作的进程。如编辑一个文件，编辑进程是存取文件的主体，而文件是客体。操作系统进程一般分为用户进程和系统进程。进程想读文件，信息需要进内存，由进程导致，因此进程是主体。

先分主题和客体，再讨论进程什么时候可以访问客体。

3.     访问控制矩阵：访问之前先查表，有权限可以访问，没权限不可以访问

4.     通用安全需求：

机密性（Confidentiality)：是指不要泄露信息(也包括数据的存在性)或资源。加密和访问控制机制支持机密性。只关心数据有没有泄露，关心有人像读数据，让不让他读

完整性(Integrity)：是指对数据或资源的可信赖程度，它通常用于防止不当或未授权的修改。数据的完整性包括：数据的完整性和 来源的完整性。访问控制支持完整性。关心数据是否可信，是不是恰当的人做恰当的修改

可追究性(Accountability)：系统必须保证对数据的访问和系统能力的使用的个人行为可追究性，并且提供审计它们的方法。涉及标识、鉴别和审计等。恶意用户修改可以找到原因

可用性(Availability)：是指使用所期望的信息或资源的能力。安全相关的可用性方面是指有人蓄意造成数据的访问拒绝或使得服务不可用。

5.     安全三要素

安全策略（Security Policy）: Specifyingsecurity 规范安全性的定义

What is it supposed to do? 应该做什么？

安全机制（Security Mechanism）:Implementing security 实现安全性功能

How does it do it?             如何做？

安全保证（Security Assurance）:Correctness of security 确保安全性正确

Does it really work?      效果如何？

6.     安全策略的类型

机密性策略 Confidentiality Policies（Militarysecurity policies）一般防止机密泄露，用于政府军队保密性策略。没有对客体设置信任。

完整性策略 Integrity Policies（Commercialsecurity policies）银行帐户信息的完整性需求：帐户资金。表明在多大程度上信任客体。

7.     策略语言是描述安全策略的语言

高级策略语言：使用抽象的方法来表达对实体的策略约束。一个策略描述的是对系统中实体和行为的约束-constraints。高级策略语言是一种对策略进行无歧义的精确表达，它需要采用数学的或程序化的策略表示形式。

低级策略语言：根据系统中程序的输入或调用选项来表达约束。

8.     引用监控器的概念：抽象机器，表达的是仲裁所有主题对课题的访问，客体能不能被主体访问要由访问监控器决定。

9.     引用监控器：硬件和软件的组合，负责执行系统的安全策略。安全相关的主体访问安全相关的客体要被监控器监控与审计

10.  计算机之父是冯诺伊曼，告诉了我们计算机的体系结构，图灵给出了计算机的理论模型。

11.  引用验证机制的实现是由监控器实现：参考的实施监控的概念,列出了三项要求如下：a.要有自我保护能力b.必须一直相关c.引用机制足够小，能够被证明安全，安全检查代码量足够少。

12.  安全内核：是引用了监控器的验证机制的所有软件硬件组合，看成操作系统，引用监控器的具体实现，所有负责安全的代码的逻辑组合。

安全内核方法的根本：在一个大型操作系统中，由相对小的软件部分负责安全性，且必须满足对应RVM三个原则：完整性（Completeness): it must be impossible to bypass. 隔离性（Isolation) : it must be tamperproof.可验证性(Verification):it must be shown to be properly implemented.

三个基本设计原则：采用最先进的软件工程技术;功能简化，内核接口要让用户可操作；尽可能减少内核中安全代码量。保护措施：审查代码，渗透测试，必要的证明；

13.  系统边界与安全周界

系统边界：在建立系统时候，有的东西属于系统，有的东西不属于系统

安全周界：系统分成两部分，一部分是与安全相关，另一部分是与安全无关。

例如图，外周界系统包含了打印机，周界里面包含了系统进程等

14.  可信计算基：

系统里面试试安全的所有硬件和软件的组合，安全功能的组合。

访问控制，类似引用分析，判断你能做什么。

标识鉴别：判断你是谁

可信软件：与安全相关，黑客攻击会给系统带来威胁，位于安全周期内，

不可信软件：与安全无关，不敏感的访问

15.安全体系结构：描述系统如何将系统组合在一起以满足安全需求

•掌握如下安全概念：

–引用监控器

–安全内核及其设计原则

–可信计算基

–系统边界和安全周界

–可信软件与不可信软件

•掌握如下重要设计思想：

–主体、客体和访问控制矩阵

–安全策略与安全建模

–安全功能和安全保证

–安全体系结构