高安全等级操作系统可信进程安全策略及其关键技术的研究

在安全系统中，惟一重要的接口是能够进入安全周界的外部接口，可信进程明显运行于安全周界之内且是安全内核的扩展。所以，可信进程与内核之间的接口不比内核各部分之间的接口更特别，需要一种安全策略始终实施于安全周界。但可信进程缺乏像BLP模型一样具有通用指导性的形式化模型，基于TCSEC B2级以上安全功能需求，以及CC标准EAL5以上评估保证级的形式化需求，提供一个通用的可信进程安全策略和模型，可为系统开发者和评估者规范和验证可信进程的安全性提供参考。在解决以上问题上，本文取得了六个方面的成果：第一，在系统和深入地分析可信进程的本质及其行为特性的基础上，通过找出通用的四种可信进程行为的共同特点和安全需求，首次提出了一种基于RBAC、DTE、POSIX权能机制和无干扰理论相结合的设计思想，并制定出控制可信进程行为的通用安全策略，为建立通用的可信进程安全模型奠定了基础。第二，通过对现有安全系统中权能遗传算法的分析，提出了一种多策略适应的POSIX权能遗传算法。该算法可以支持安全操作系统对可信进程行为实现不同的特权控制需求，并保证最小特权原则的有效实施。第三，在深入研究建立形式化安全策略模型的目的、要求和方法的基础上，借助数学的形式语言，给出了一个完整的、形式化的可信进程安全策略模型。本模型的提出，对于形式化规范和验证可信进程的行为，为我们今后对TCSEC B2级以上高安全等级操作系统的设计和评估奠定了一定的基础。第四，在深入分析和对比目前可用于高安全等级操作系统中的形式化分析方法和证明工具的基础之上，提出了用Isabelle语言对可信进程模型属性和规则进行形式化规范的方法，总结出基于Isabelle系统证明模型规范内部一致性和正确性的实用方法。第五，基于符合GB17859-1999第四级(TCSEC B2级)、自主开发的结构化保护级安全操作系统(安胜OS v4.0)的特权控制目标，提出了本模型在该系统中进行实现的有效方法。第六，对可信进程实现涉及的其他几个关键技术问题，包括可信路径机制、审计机制和可信功能的设计和实现等都做了有益的研究和探讨，给出了在高安全等级操作系统环境中进行实施的大致方案和原则

“操作系统安全”新型教学模式的探索——北大教学网的应用与实践

北大教学网是集网络教学、数字资源管理、在线视频课堂和校园社区诸功能为一体的综合性网络平台。通过北大教学网的应用和实践,"操作系统安全"在教学资源发布和共享、实验课开设、课程项目建设、作业监管、知识结构拓展等多个环节新型教学模式上进行了探索

虚拟可信平台层次化安全体系结构设计

针对虚拟化技术给计算平台带来的一些新的安全问题,提出一种以虚拟机应用安全为核心的虚拟可信计算平台安全体系结构,为计算平台建立一种层次化的可信计算基(TCB):由硬件信任根TPM/TCM支持、可信虚拟机监控器(TVMM)以及安全管理器(SM)由底至上3个层次共同组成.基于开源XEN,设计了一种可保证虚拟机(VM s)及其应用安全的虚拟可信平台实例,它支持远程证实、信息流控制、安全迁移和私密性保护等安全机制.分析结果表明,实例系统可灵活支持其上虚拟机应用实现不同安全目标

design and implementation of a multi-layered privilege control mechanism

特权控制机制是高安全等级操作系统中一个重要的组成部分,它能够提供系统恰当的安全保证级.给出了在自主开发的、符合GB17859-1999第4级"结构化保护级"的安胜安全操作系统中实现的一种多层次特权机制,它在用户管理层、主体功能层和程序文件3个层次实现特权控制和管理.该机制的实现使系统满足了RBAC的角色职责隔离、DTE域的动态功能隔离和POSIX标准的特权最小化等安全性质,证明以这种受控的方式使用特权可以有效地保证系统的安全性

policy-adaptive capability inheritance algorithm consistent with posix standard

多数支持POSIX权能机制的安全操作系统提出了各自的权能遗传算法，但这些算法都只适用于特定的最小特权控制策略，并且存在语义冲突、安全目标不明确等问题，不能有效支持多种安全需求不同的特权策略。通过对一些现有算法的深入分析，提出了一种新的权能遗传算法，该算法引入策略关联的权能控制变量以及可信应用属性。实例分析表明本算法具有策略适应性和可用性，形式化分析和验证表明它可使系统满足特权策略的基本安全定理。Institute of Softwar

a data sealing approach based on integrity measurement architecture

封装存储是可信计算平台的一项重要功能,它能将数据的加密存储与平台状态结合起来,提供了更强的安全存储保证.但现代操作系统结构越来越复杂,各种启动项的加载顺序也相对随机;平台配置的频繁改变、软件更新及系统补丁等都限制了封装存储的应用.而操作系统级的完整性度量架构(IMA)能将信任链扩展到整个计算平台,为封装存储提供了支持.为此,基于IMA提出一种新的数据封装方法,采用相对固定的标准状态来封装,结合易变IMA度量列表和结果以及经过签名的名单策略来评估平台状态,解决了操作系统复杂性带来的配置寄存器(PCR)的值不确定性和软件更新及系统补丁带来的频繁封装问题.As an important capability of trusted computing platform, sealing can provide strong data storage security by combining data's encryption with the platform configuration, by which data can only be unsealed under specific configurations. However, sealing operation is hard to use for the complexity of modern OS, the randomness of the loading order of the booting components, the frequently changing configuration, software update and patches. IMA (integrity measurement architecture) implemented in operating system could measure the dynamic configurations and extend them to the trust chain of the whole trusted platform, and then support the data sealing. Therefore, a new approach to data sealing based on IMA is proposed here, which seals data to a relatively fixed configuration in PCR0-PCR7 (Platform Configuration Register) and then applies a list policy (black list policy or white list policy) to the measurement list (ML) in IMA for the variable configuration in PCR10 to determine whether the unseal operation can be performed. Finally, a prototype system "TPM Master" implemented in Linux is given and its performance and security analysis are both evaluated. The results show that the proposed approach could solve the issue of the PCR value varying with the OS complexity and make updating process much more flexible by the list policy, without re-sealing the original data

security architecture to support multiple security policies based on access control space

为解决LSM在策略重用和策略共存方面存在的问题，提出了一个新的安全体系结构ELSM，它引入一个模型组合器作为主模块实施模块堆栈管理和模块决策管理，其中模块决策的实施采用了访问控制空间的策略规范方法，可支持通用性，ELSM的设计及其在安胜OS安全操作系统中的实例分析表明其有效性。中国计算机学

a security domain separation z model based on dte policy

基于DTE策略的安全域隔离技术是构造可信系统的基本技术之一.但现有DTE实现系统存在安全目标不明确、缺乏对系统及其安全性质的形式定义和分析的缺点,导致系统安全性难以得到保证.定义了一个基于DTE策略的安全域隔离模型,采用Z语言形式定义了系统状态、基于信息流分析的不变量和安全状态,并借助Z/EVES工具给出验证系统安全的形式分析方法.解决了DTE系统的形式化建模问题,为安全域隔离技术的实现和验证奠定了基础

a framework for implementing dynamically modified least privilege security policy

最小特权机制可为安全操作系统提供恰当的安全保证级.本文描述了一种支持动态调节的最小特权安全策略架构,它结合角色的职责隔离和域的功能隔离特性,通过一种基于进程上下文一角色、执行域和运行映像的权能控制机制,将每个进程始终约束在这些上下文允许的最小特权范围内.本文实例分析了该架构在安胜OS v4.0,一种自主开发的、符合GB17859-1999第四级--结构化保护级的安全操作系统中的实现.结果表明,它可支持安全操作系统实施动态调节的最小特权控制,并提供灵活有效的系统.National Technical University of Ukraine; Huazhong University of Science and Technolog

Securely redundant scheduling policy for MapReduce based on dynamic domains partition

MapReduce现有调度策略无法实现云环境中多租户作业的安全隔离。提出一种基于动态域划分的安全冗余调度策略：通过引入冲突关系、信任度、安全标签等概念，建立一种动态域划分模型，以将待调度节点划分为与不同租户作业关联的冲突域、可信域或调度域；结合冗余方式，将租户作业同时调度到其可信域节点和调度域节点(但不允许为其冲突域节点)，通过二者执行环境和部分计算结果的一致性验证决定是否重新调度。实验分析了其有效性和安全性。 MapReduce’s current scheduling policies could not ensure the isolation between multi-tenant Tasks in the cloud. A securely redundant scheduling policy based on dynamic domains partition was proposed. First, a kind of dy-namic domain partition model was introduced in this policy. Based on the node’s current belief, security labels with the conflict relationship between tenants, a computing node was partitioned into the conflict domain, trusted domain or schedulable domain in this model. Second, through redundantly computing, two copies of each Task were assigned re-spectively to its trusted domain node and its schedulable domain node (but not allow for its conflict domain node) in this policy. And the integrity of the two nodes’execution environments and the consistence of their results on a small part of original input data were verified. Accordingly, it decided whether the schedulable domain node was trusted. Finally, the performance and security analysis in the prototype show its effectiveness.MapReduce's current scheduling policies could not ensure the isolation between multi-tenant Tasks in the cloud. A securely redundant scheduling policy based on dynamic domains partition was proposed. First, a kind of dynamic domain partition model was introduced in this policy. Based on the node's current belief, security labels with the conflict relationship between tenants, a computing node was partitioned into the conflict domain, trusted domain or schedulable domain in this model. Second, through redundantly computing, two copies of each Task were assigned respectively to its trusted domain node and its schedulable domain node (but not allow for its conflict domain node) in this policy. And the integrity of the two nodes' execution environments and the consistence of their results on a small part of original input data were verified. Accordingly, it decided whether the schedulable domain node was trusted. Finally, the performance and security analysis in the prototype show its effectiveness