《操作系统安全》第二章操作系统安全理论基础概述ppt课件.ppt

《《操作系统安全》第二章操作系统安全理论基础概述ppt课件.ppt》由会员分享，可在线阅读，更多相关《《操作系统安全》第二章操作系统安全理论基础概述ppt课件.ppt（68页珍藏版）》请在三一办公上搜索。

1、第二章 操作系统安全理论基础概述,第2章 操作系统安全理论基础概述,2.1 操作系统安全机制2.2 操作系统安全模型2.3 安全体系结构,2.1 操作系统安全机制,概述标识与鉴别机制访问控制最小特权管理可信通路安全审计机制存储保护、运行保护和I/O保护,2.1 操作系统安全机制,概述什么是操作系统？操作系统的基本功能有哪些？,2.1 操作系统安全机制,操作系统安全的主要目标按系统安全策略对用户的操作进行访问控制，防止用户对计算机资源的非法访问（包括窃取、篡改和破坏）标识系统中的用户，并对身份进行鉴别监督系统运行的安全性 保证系统自身的安全性和完整性,2.1 操作系统安全机制,安全机制定义根据国

2、际标准化组织（ISO）定义，安全机制是一种技术、一些软件或实施一个或更多安全服务的过程。特殊安全机制普通安全机制信任的功能性事件检测审计跟踪安全恢复,2.1 操作系统安全机制,标识与鉴别机制标识:用户要向系统表明的身份用户名、登陆ID、身份证号或智能卡具有唯一性不能被伪造鉴别：对用户所宣称的身份标识的有效性进行检验和测试的过程,2.1 操作系统安全机制,用户申明自己身份的四种方法证实自己所知道的密码、身份证号码、最喜欢的歌手、最爱的人的名字等出示自己所拥有的智能卡证明自己是谁指纹、语音波纹、视网膜样本、照片、面部特征扫描等表现自己的动作签名、键入密码的速度与力量、语速等等,2.1 操作系统安全

3、机制,访问控制访问控制用来提供授权用户在通过身份鉴别后，还需要通过授权才能访问资源或进行操作访问控制的目的：保护存储在计算机上的个人信息保护重要信息的机密性维护计算机内信息的完整性减少病毒感染机会，从而延缓这种感染的传播保证系统的安全性和有效性，以免受到偶然的和蓄意的侵犯,2.1 操作系统安全机制,访问控制的实行确定要保护的资源授权确定访问权限实施访问权限概括的说，就是首先识别与确认访问系统的用户，然后决定该用户对某一系统资源可以进行何种类型的访问（读、写、删、改、运行等）,2.1 操作系统安全机制,访问控制机制分类自主访问控制（DAC）强制访问控制（MAC）基于角色的访问控制（RBAC）,2

4、.1 操作系统安全机制,自主访问控制（DAC）有访问许可权限的主体能够直接或间接地向其他主体转让访问权。访问控制矩阵的保存基于行的自主访问控制机制基于列的自主访问控制机制,2.1 操作系统安全机制,自主访问控制（DAC）有访问许可权限的主体能够直接或间接地向其他主体转让访问权。访问控制矩阵的保存基于行的自主访问控制机制基于列的自主访问控制机制,2.1 操作系统安全机制,强制访问控制（DAC）“强加”给访问主体的，即系统强制主体服从访问控制政策强制访问控制一般与自主访问控制结合使用，并且实施一些附加的、更强的访问控制。一般强制访问控制采用以下几种方法：限制访问控制过程控制系统限制,2.1 操作系

5、统安全机制,基于角色的访问控制20世纪90年代由美国国家标准和技术研究院NIST提供的一种访问控制机制。该机制可以减少授权管理的复杂性、降低管理开销。基于角色的访问控制本质上是强制访问控制的一种，只不过访问控制是基于工作的描述，而不是主体的身份。系统通过主体的角色或任务定义主体访问客体的能力，如果主体处于管理位置，那么它将比处于临时位置上的人具有更大的资源访问能力。RBAC的基本思想是授权给用户的访问权限，通常由用户担当的角色确定。,2.1 操作系统安全机制,基于角色的访问控制特征访问权限与角色相关联，不同的角色有不同权限角色继承最小权限原则职责分离角色容量,2.1 操作系统安全机制,最小特权

6、管理所谓最小特权，指的是在完成某种操作时赋予系统中每个主体（用户或进程）必不可少的特权。其原则是应限定系统中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的窜改等原因造成的损失最小。最小特权的思想是系统不应给用户超过执行任务所需特权以外的特权。有效的限制、分割了用户对数据资料进行访问时的权限，降低了非法用户或非法操作可能给系统及数据带来的损失，对于系统安全具有至关重要的作用。,2.1 操作系统安全机制,最小特权管理,表2-1操作系统特权机制的比较,2.1 操作系统安全机制,可信通路可信通路是用户能够借以直接可信计算基通信的一种机制。保证用户确定是和安全核心通信，防止不可信进程如特洛伊

7、木马等模拟系统的登陆过程而窃取用户的口令。提供可信通路的最简单的办法是为每个用户提供两台终端，一台用于处理日常工作，另一台专门用于实现与安全内核的硬连接及专职执行安全敏感操作。这种办法虽然简单，但是十分昂贵。,2.1 操作系统安全机制,安全审计机制审计机制一般通过对日志的分析来完成。审计就是对日志记录的分析并以清晰的、能理解的方式表述系统信息。系统的安全审计就是对系统中有关安全的活动进行记录、检查及审核。审计通过事后分析的方法认定违反安全规则的行为，从而保证系统的安全。,2.1 操作系统安全机制,安全操作安全审计事件分类使用系统的事件注册事件利用隐蔽通道的事件,2.1 操作系统安全机制,审计机

8、制的主要作用能够详细记录与系统安全有关的行为，并对这些行为进行分析，发现系统中的不安全因素，保障系统安全。能够对违反安全规则的行为或企图提供证据，帮助追查违规行为发生的地点、过程以及对应的主体。对于已受攻击的系统，可以提供信息帮助进行损失评估和系统恢复。,2.1 操作系统安全机制,审计机制的目标可以对受损的系统提供信息帮助以进行损失评估和系统恢复。可以详细记录与系统安全有关的行为，从而对这些行为进行分析，发现系统中的不安全因素。,2.1 操作系统安全机制,存储保护、运行保护和I/O保护存储保护运行保护I/O保护,图2.1 环结构示意图,2.2 操作系统安全模型,安全模型是设计和实现安全操作系统

9、的基础，安全模型有两种表述方式，一种表达方式从安全模型的组成出发，认为安全模型是安全策略形式化的表述，是安全策略所管理的实体和构成策略的规则。另一种从系统的安全需求出发，认为安全模型是被用来描述系统的保密性、可用性和完整性等需求的任何形式化的表述。,2.2 操作系统安全模型,J.P.Anderson指出，要开发安全系统，首先必须建立系统的安全模型。安全模型给出安全系统的形式化定义，正确地综合系统的各类因素。这些因素包括：系统的使用方式、使用环境类型、授权的定义、共享的客体（系统资源）、共享的类型和受控共享思想等。这些因素应构成安全系统的形式化抽象描述，使得系统可以被证明是完整的、反映真实环境的

10、、逻辑上能够实现程序的受控执行的。完成安全系统的建模之后，再进行安全核的设计与实现。构造一个形式化的安全模型并证明其正确，并将之用于一个系统的设计当中，可以使得一个系统的安全性得到最大限度的保证。随着对计算机安全研究的重视，出现了丰富多采的安全模型。对一些典型的安全模型进行分析研究，从中得到在实际当中进行安全性设计的启发。并适当应用于系统的安全性设计，可以使系统的安全结构清晰，最大限度地避免安全“盲点”。,2.2 操作系统安全模型,安全策略用来描述用户对系统安全的要求。一般来说，用户对信息系统的安全需求基于以下几个方面：机密性要求（confidentiality）：防止信息泄露给未授权的用户；

11、完整性要求（integrity）：防止未授权用户对信息的修改；可记账性（accountability）：防止用户对访问过某信息或执行过某一操作进行否认；可用性（availability）：保证授权用户对系统信息的可访问性。,2.2 操作系统安全模型,状态机模型用状态机语言将安全系统描述成抽象的状态机，用状态变量表示系统的状态，用转换规则描述变量变化的过程。状态机模型用于描述其他系统早就存在，但用于描述通用操作系统的所有状态变量几乎是不可能的。状态机安全模型通常只能描述安全操作系统中若干与安全相关的主要状态变量。相当多的安全模型其实质都是状态机模型。它将系统描述成一个抽象的数学状态机，其中状态变

12、量（state variables）表征机器状态，转移函数（transition functions）描述状态变量如何变化。,2.2 操作系统安全模型,状态机模型状态机模型的两个基本特征是状态和状态转移函数，它的数学原理是这样的：安全的初始状态；安全的状态转移函数；用归纳法可以证明系统是安全的。只要该模型的初始状态是安全的，并且所有的转移函数也是安全的（即一个安全状态通过状态转移函数只能达到新的安全状态），那么数学推理的必然结果是：系统只要从某个安全状态启动，无论按哪种顺序调用系统功能，系统将总是保持在安全状态。,2.2 操作系统安全模型,存取矩阵模型 存取矩阵模型（Access Matrix

13、 Model）是状态机模型的一种。它将系统的安全状态表示成一个大的矩形阵列：每个主体拥有一行，每个客体拥有一列，交叉项表示主体对客体的访问模式。存取矩阵定义了系统的安全状态，这些状态又被状态转移规则（即上文的状态转移函数）引导到下一个状态。这些规则和存取矩阵构成了这种保护机制的核心。这种模型只限于为系统提供机制，具体的控制策略则包含在存取矩阵的当前状态中，使得依之实现一个系统时可实现机制和策略的很好分离。,2.2 操作系统安全模型,存取矩阵模型 在实际的计算机系统中当把存取矩阵作为一个二维数组来实现时，它往往会成为一个稀疏矩阵。于是，实际中对存取矩阵的存放，很自然地采用按行存放或者按列存放。按

14、行存放。每个主体在其属性数据结构中部有若干客体及它对它们各自的存取权限，这种方法叫能力表（Capability List）法。按列存放，则是在每个客体的属性数据结构中存放着系统中每个主体对该客体的存取权限，这种方法叫访问控制表（Access Control List，简称ACL）。典型地，系统中每个文件都有一个相应的ACL表来控制各个主体对它的存取权限。比如在UNIX文件系统中，将用户分成用户主、用户组和其它用户三类，分别标明各类用户对文件的存取权限。一般而言，能力表法或ACL法往往将主体对客体的存取权限交给客体的拥有者去制订，从而使这两种方法，尤其ACL法，常常是和自主存取控制策略联系在一起

15、。,2.2 操作系统安全模型,BLP模型Bell和Lapadula在1973年提出BLP模型，然后于1974年至1976年对该模型进行了进一步的充实和完善。BLP模型是最具有代表性的形式化信息安全模型，它是根据军方的安全策略设计的，用于控制对具有密级划分的信息的访问。它所关注的是信息的保密性，主要用于军事领域。它是定义多等级安全（MLS）的基础。,2.2 操作系统安全模型,BLP模型BLP模型是一个请求驱动的状态机模型。它在某一状态接受请求，然后输出决定，进入下一个状态。BLP模型可以归结为三方面的内容：元素、属性和规则。下面分别作简单介绍。主体（Subject，S）：指引起信息流动的访问发起

16、者。用户登录到系统后，由进程代表用户执行具体访问操作，系统中只有进程向客体发出访问请求。客体（Object，O）：指信息流动中的访问承受者。客体包括文件、目录、进程、设备、进程间通信结构等。,2.2 操作系统安全模型,BLP模型敏感标记：指主体或客体的安全标记，是系统进行保密性访问控制的依据，包括等级分类和非等级类别两部分。其中，等级分类指主体或客体的密级，由一个整数代表；非等级类别指主体可以访问的客体范围，由一个集合表示。权限：指主体对客体的访问操作，比如读、写、执行等。属性：指模型的安全性质。规则：描述模型状态之间的状态转换规则。,2.2 操作系统安全模型,BLP模型简单安全特性（ss-特

17、性）：如果（主体，客体，可读）是当前访问，那么一定有：level(主体)level(客体)其中，level表示安全级别。这个特性表示的是主体只能读取自己的敏感标记可以支配其敏感标记的客体，也就是不上读的特性。,2.2 操作系统安全模型,BLP模型星号安全特性（*-特性）：在任意状态，如果（主体，客体，方式）是当前访问，那么一定有：若方式是a，则：level(客体)current-level(主体)若方式是w，则：level(客体)=current-level(主体)若方式是r，则：current-level(主体)level(客体)其中，current-level表示当前安全级别。它表示的是主

18、体只能写敏感标记支配自己的敏感标记的客体，也就是不下写的特性。,2.2 操作系统安全模型,BLP模型自主安全特性（ds-特性）：如果（主体-i，客体-j，方式-x）是当前访问，那么，方式-x一定在访问控制矩阵M的元素Mij中。与ds-特性处理自主访问控制相对应，ss-特性和*-特性处理的是强制访问控制。自主访问控制的权限由客体的属主自主确定，强制访问控制的权限由特定的安全管理员确定，由系统强制实施。,2.2 操作系统安全模型,BLP模型基本安全定理：如果系统状态的每一次变化都能满足ss-特性、*-特性和ds-特性的要求，那么，在系统的整个状态变化过程中，系统的安全性是不会被破坏的。BLP模型的

19、主要缺点是由于模型过于抽象，在系统中实施时比较困难。,2.2 操作系统安全模型,BLP模型,图2.2 Bell-Lapadula安全模型,2.2 操作系统安全模型,Biba模型 Biba模型是K.J.Biba于1977年提出的，该模型是第一个涉及到计算机系统中完整性问题的模型。该模型是以完整性级别的有序格为基础的。它支持的是信息的完整性。Biba模型的基本概念就是不允许低完整性的信息流动到高完整性的对象中，只允许信息流以相反的方向流动。Biba模型提出了5种不同的用于完整性目的的强制访问控制策略。下面分别介绍。,2.2 操作系统安全模型,Biba模型 面向主体的低水标策略在该策略中，每个主体的

20、完整性级别不是静态不变的，而是取决于它前一状态的完整性级别。它基于如下规则：主体具有对给定客体的写权限，当且仅当该主体的完整性级别支配该客体的完整性级别；主体具有对另一个主体的通信权限，当且仅当第一个主体的完整性级别支配第二个主体的完整性级别；主体具有对任何客体的读权限，并且当主体执行完读操作后，主体的完整性级别会降低为执行读操作前主体和客体的完整性级别的最小上界。因此，当主体对具有较低完整性级别的客体进行读操作后会降低其本身的完整性级别，从而缩小了其可以访问的客体集。,2.2 操作系统安全模型,Biba模型 面向客体的低水标策略除了改变主体的完整性级别外，面向客体的低水标策略还要求被修改客体

21、的完整性级别。它基于如下的规则：主体具有对任何客体的写操作，并且当主体执行完写操作后，客体的完整性级别会降低为执行写操作前主体和客体的完整性级别的最大上界。因此，当一个具有较高完整性级别的客体被一个具有较低完整性级别的主体进行写操作后，它的完整性级别相应会降低，从而导致信息的泄漏，并且一旦客体的完整性级别变低后再也不能恢复。,2.2 操作系统安全模型,Biba模型 低水标完整性审计策略该策略是面向客体的低水标策略的变种，在该策略下，客体的完整性级别不会被改变，它基于如下规则：主体对任何完整性级别的客体都具有写权限，但是如果该主体的完整性级别小于被操作客体的完整性级别，这个操作会被记录在审计日志

22、中。因此，这种方法并没有保护信息的不恰当更改，只是通过审计这种手段将该操作记录了下来，以便于以后的检查。,2.2 操作系统安全模型,Biba模型 环策略在该策略下，主体和客体在它们的生命周期中完整性级别是固定不变的，并且只允许对那些完整性级别小于或等于该主体的客体进行修改。另外，通过允许读取任何完整性级别的客体，系统在灵活性方面获得了很多的提高。它基于如下的规则：主体具有对给定客体的写权限，当且仅当该主体的完整性级别支配客体的完整性级别；一个主体具有对另一个主体的通信权限，当且仅当第一个主体的完整性级别被第二个主体的完整性级别所支配；主体具有对任何客体的读权限。在这种策略下，信息流任有可能从低

23、完整性级别流向高完整性级别，比如，一个具有高完整性级别的主体读取一个具有低完整性级别的客体，然后写具有和它同级别的客体。,2.2 操作系统安全模型,Biba模型 严格完整性策略严格完整性策略是在TCSEC上提出的机密性策略的数学对偶。其强制访问控制策略基于如下的规则：简单完整性特性（Simple-Integrity Property）：主体S能够读客体O，当且仅当w（s）w（o）；完整性星号特性（Integrity*-Property）：主体S能够写客体O，当且仅当w（s）w（o）；调用特性（Invocation Property）：主体S1能够调用（Invoke）主体S2，当且仅当w（s1）

24、w（s2）。这里w表示主体或客体的完整性级别。总的来说，严格完整性策略提供了NRD（No Read Down，不下读）和NWU（No Wirte Up，不上写）特性。从这两个特性来看，Biba与BLP模型的两个特性是正好相反，BLP模型提供保密性，而Biba模型对于数据的完整性提供保障。,2.2 操作系统安全模型,Biba模型 依据Biba安全模型所制定的原则是利用不下读/不上写来保证数据的完整性。,图2.3 Biba安全模型,2.2 操作系统安全模型,Clark-Wilson模型 Clark-Wilson模型简称为CW模型，它是Clark和Wilson于1987年在给出军事保密性和商业完整性

25、的严格区别时提出的一个数据完整性模型。Clark和Wilson认为，在商业数据环境中，相对于保密性而言，数据的完整性更为重要。而且，要实施完整性策略，仅仅依靠TCSEC中所描述的安全机制是不够的，必须增加另外的安全机制，因此该模型是强数据类型和面向事务处理的商用完整性模型。该模型提出以后，学术界开始关注于数据完整性相关的研究。,2.2 操作系统安全模型,Clark-Wilson模型 Clark-Wilson模型指出了与商业系统相关的数据一致性目标是：保证任何人都不能修改数据以获取公司资产或改动会计帐目。CW完整性模型基于如下的两个基本概念：良性处理（Well-Formed Transactio

26、n）：指用户不能随意操作数据，以此确保数据内部一致性为前提；责任隔离（Separation of Duty）：指将所有的操作分成几个子部分，每个子部分由不同的人分别执行，以此确保数据的外部一致性。,2.2 操作系统安全模型,Clark-Wilson模型 CW模型中包含四种元素：约束数据项（CDIs）：指必须实施完整性模型的数据；非约束数据项（UDIs）：指不受完整性策略约束的数据，它们只受自主控制约束。新进入系统的数据都被认为是UDIs，但随后可以被转变变为CDIs；转移过程（TPs）：指实施完整性策略的过程，用于把CDIs集合从一个有效状态改变到另一个有效状态；完整性验证过程（IVPs）：指

27、实施完整性策略的过程，用于检查内部的数据一致性，也可以用于检查外部的数据一致性。,2.2 操作系统安全模型,Chinese Wall模型 Chinese Wall模型是Brewer和Nash于1989年提出的一个安全策略模型，该模型可以用于实现动态改变访问权限，它的基本原则是没有任何信息流导致利益的冲突。Chinese Wall（中国墙策略）的基本原理是：给出一组规则，任何主体都不能访问他所在的墙外的数据（客体）。该策略模型来源于顾问行业的服务规则，一个顾问在为某个企业提供商务服务后，不能再向该企业的竞争者企业提供类似的商务服务，当然不限制他向不存在竞争关系的企业提供商务服务。,2.2 操作系

28、统安全模型,Chinese Wall模型 在该模型中，企业信息可以分成三个不同级别的层次：最下层是企业的单个数据，称为客体；中间层是企业数据集，是企业内所有数据的集合；最上层是利益冲突层，由相互竞争的企业数据集组成。,2.2 操作系统安全模型,Chinese Wall模型 以下的特性构成了Chinese Wall模型的核心：简单安全特性（ss-特性），一个主体可以对同一个数据集内的客体或者不同利益冲突类的客体具有读权限，也就是说，一个主体最多可以读取每个利益冲突类中的一个数据集。星号安全特性（*-特性），只有当主体S对一个与客体O不在同一公司且其利益冲突集为空的客体O没有读权限时，S才具有对客

29、体O的写权限。,2.2 操作系统安全模型,RBAC模型 RBAC的基本思想是根据组织视图的不同职能岗位划分角色，访问许可映射在角色上，用户被分配给角色，并通过会话激活角色集，能够间接访问信息资源。用户与角色以及操作许可与角色是多对多的关系，因此一个用户可以分配多个角色，一个角色可以拥有多个用户。同理，一个操作许可可以分配多个角色，一个角色可以赋予多个操作许可。角色可以划分等级，即角色的结构化，反映企业组织的结构和人员责权的分配，并且角色通过继承形成偏序关系。,2.2 操作系统安全模型,其他模型 信息流模型（Flow Model）无干扰模型（Noninterference Model）DTE模型

30、,2.3 安全体系结构,目前，有些安全性问题可以在现有系统上通过打补丁的方式来排除，而有的则无法在原有系统上进行补救，只有重新改造系统，甚至重新设计系统才能有效解决。造成这种情况的原因是多方面的，有两方面的原因最值得注意。一方面原因是由于旧的操作系统增加了新的应用，另一方面原因是由于操作系统设计时对安全性考虑的不充分造成的。前者是无法预测的，因此要以谨慎的态度为系统添加新的应用，后者则是由于缺乏有效的系统安全体系结构所致。,2.3 安全体系结构,安全体系结构的含义及类型安全体系结构理论与技术主要包括:安全体系模型的建立及其形式化描述与分析，安全策略和机制的研究检验和评估系统安全性的科学方法和准

31、则的建立符合这些模型、策略和准则的系统的研制（比如安全操作系统，安全数据库系统等）,2.3 安全体系结构,安全体系结构的含义及类型所谓一个计算系统（特别是安全操作系统）的安全体系结构,包含如下几个方面的内容 详细描述系统中安全相关的所有方面。这包括系统可能提供的所有安全服务及保护系统自身安全的所有安全措施，描述方式可以用自然语言，也可以用形式语言。在一定抽象层次上描述各个安全相关模块之间的关系。这可以用逻辑框图来表述，主要用于在抽象层次上按满足安全需求的方式来描述系统关键元素之间的关系。提出指导设计的基本原理。根据系统设计的要求及工程设计的理论和方法，明确协调设计的各方面的基本原则。提出开发过

32、程的基本框架及对应于该框架体系的层次结构。它描述确保系统忠实于安全需求的整个开发过程的所有方面。,2.3 安全体系结构,安全体系结构的含义及类型在美国国防部的“目标安全体系”（DoD Goal Security Architecture）中，把安全体系划分为以下四种类型：抽象体系（abstract architecture）通用体系（generic architecture）逻辑体系（logic architecture）特殊体系（specific architecture）特殊体系需要表达系统分量、接口、标准、性能和开销，它表明如何把所有被选择的信息安全分量和机制结合起来以满足我们正在考虑的

33、特殊系统的安全需求。这里信息安全分量和机制包括基本原则以及支持安全管理的分量等。,2.3 安全体系结构,计算机系统安全体系结构设计的基本原则面对一个复杂计算机系统的设计，必须提出一个好的安全体系结构，使系统很好地满足设计时所提出的各种要求。为此，经过大量的实践，人们在总结经验、分析原型系统开发失败原因的基础上，提出了在安全体系结构设计中应该遵守的基本规律。,2.3 安全体系结构,计算机系统安全体系结构设计的基本原则将系统的安全性问题放在系统设计的首要位置 应尽量考虑系统在未来的应用中可能会面临的安全需求 机制经济性（Economy）原则 失败-保险（Fail-safe）默认原则 特权分离原则

34、最小特权原则 最少公共机制原则 完全仲裁原则 开放式设计原则 心理可接受性原则,2.3 安全体系结构,Flask体系和权能体系Flask体系 Flask是一个可伸缩性的控制访问安全体系结构，它支持动态安全策略，并提供了安全策略的可变通性，确保这些子系统不管决策怎样产生，都有一致的策略决策。Flask体系结构通过加强的安全策略决策机制来创建这种可伸缩性支持，并且可以被移植到多种要求安全性的操作系统中。本节的内容描述了Flask体系结构概念及特点以及Flask体系结构的组成，最后介绍了Flask体系结构在Linux LSM中的应用。,2.3 安全体系结构,Flask体系和权能体系Flask体系 F

35、lask体系结构概念Flask体系结构以Fluke系统结构为原型的操作系统安全体系结构。Fluke是一个基于微内核的操作系统，它提供一个基于递归虚拟机思想的、利用权能系统的基本机制实现的体系结构，它是属于DTOS项目的延伸。,2.3 安全体系结构,Flask体系和权能体系Flask体系 Flask体系结构概念Fluke项目的安全性目标和保障能力目标的内容是：安全性：主要的安全性的目标是在DTOS安全体系结构的基础上建立一个政策灵活的访问控制模型的原型，重点是对动态安全政策的支持。保障能力：保障能力的目标是通过运用形式化描述和推理手段实现对关键安全功能的验证。,2.3 安全体系结构,Flask体

36、系和权能体系Flask体系 Flask体系结构的策略可变通性 Flask体系结构的基本目标是提供安全策略的可变通性，确保这些子系统不管决策怎样产生，怎样随时变化，都有一致的决策策略。Flask体系结构的微内核特征 Flask原型是由一个基于微内核的操作系统来实现的，它支持硬件强行对进程地址空间进行分离。,2.3 安全体系结构,Flask体系和权能体系权能体系 权能（Capability）也是安全体系结构的一个重要概念。一般地说，权能可以看成是对象（或客体）的保护名。不同的系统使用权能的方法可能差异极大，但是权能都具有如下性质：权能是客体在系统范围内使用的名字，在整个系统中都是有效的，并且在系统

37、中是惟一的。一个主体只有在拥有客体所具有的权能的前提下才能访问该客体。权能必须包含以该权能命名的客体的访问权，也就是说，这部分权能决定了对该客体进行访问所必需的权力。权能只能由系统特殊的底层部分来创建，而且除了约束访问权外，权能不允许修改。拥有某个权能的主体有权把它作为参数移动、复制或传递。,2.3 安全体系结构,Flask体系和权能体系权能体系 权能体系的最大优点是：权能为访问客体和保护客体提供了一个统一的、不可绕过的方法，权能的应用对统筹设计及简化证明过程有重要的影响。权能与层次设计方法是非常协调的，从权能机制可以很自然地导致使用扩展型对象来提供抽象和保护的层次。尽管对权能提供的保护及权能的创建是集中式的，但是由权能实现的保护是可适当分配的，也就是说，权能具有传递能力，从而促进了机制与策略的分离。,本章小结,本章介绍了操作系统安全的相关基础理论，重点阐述了安全操作系统的实现机制、操作系统安全模型及安全体系结构。,课后习题,1.什么是计算机系统安全体系结构？2.安全操作系统的安全体系结构应该主要包含哪几方面内容？3.列举计算机系统安全体系结构设计的基本原则。4.说明访问控制机制的主要类型，并说明各自的优缺点。5.说明BLP模型与Bibe模型的原理。,