第六章：操作系統(tǒng)

1、信息安全技術(shù)體系 何長(zhǎng)鵬hapter 6操作系統(tǒng)CONTENTS01安全操作系統(tǒng)的地位和作用02安全操作系統(tǒng)的發(fā)展03安全操作系統(tǒng)的體系結(jié)構(gòu)04安全操作系統(tǒng)的設(shè)計(jì)目 錄05安全操作系統(tǒng)的關(guān)鍵技術(shù)安全操作系統(tǒng)的地位和作用操作系統(tǒng)是所有系統(tǒng)資源的基本控制器操作系統(tǒng)是所有系統(tǒng)資源的基本控制器這使得它成為主要的攻擊目標(biāo)。這使得它成為主要的攻擊目標(biāo)。操作系統(tǒng)是抵御各種非法操作的第一道防線。它能防御來自其他人的攻擊、操作系統(tǒng)是抵御各種非法操作的第一道防線。它能防御來自其他人的攻擊、確保內(nèi)存或磁盤中的重要區(qū)域不被未經(jīng)授權(quán)的程序覆蓋、對(duì)不同的用戶以確保內(nèi)存或磁盤中的重要區(qū)域不被未經(jīng)授

2、權(quán)的程序覆蓋、對(duì)不同的用戶以及遠(yuǎn)程操控進(jìn)行識(shí)別和授權(quán)，并保證重要硬盤資源公平共享。及遠(yuǎn)程操控進(jìn)行識(shí)別和授權(quán)，并保證重要硬盤資源公平共享。顯然安全技術(shù)要素、安全機(jī)制應(yīng)該首先設(shè)置在信息系統(tǒng)的最底層，才能確顯然安全技術(shù)要素、安全機(jī)制應(yīng)該首先設(shè)置在信息系統(tǒng)的最底層，才能確保整個(gè)信息系統(tǒng)的安全性。如果硬件的物理安全受到威脅，上層信息系統(tǒng)保整個(gè)信息系統(tǒng)的安全性。如果硬件的物理安全受到威脅，上層信息系統(tǒng)的保密性、完整性、可用性將不復(fù)存在，因此，的保密性、完整性、可用性將不復(fù)存在，因此，物理安全物理安全是信息系統(tǒng)的是信息系統(tǒng)的硬硬件件安全基礎(chǔ)。安全基礎(chǔ)。操作系統(tǒng)安全操作系統(tǒng)安全是信息系統(tǒng)的是信息系統(tǒng)的軟件軟件

3、安全基礎(chǔ)。安全基礎(chǔ)。普通操作系統(tǒng)的安全特性共享的實(shí)施進(jìn)程間通信和同步對(duì)操作熊保護(hù)數(shù)據(jù)的保護(hù)保證公平服務(wù)硬件接口用戶鑒定內(nèi)存保護(hù)文件和輸入/輸出設(shè)備的訪問控制對(duì)一般對(duì)象的分配和訪問控制操作系統(tǒng)的歷史回顧操作系統(tǒng)的發(fā)展不像其他事物，它并不是從一個(gè)簡(jiǎn)單的形態(tài)直接發(fā)展成復(fù)雜的樣子的，而是經(jīng)歷了一個(gè)起伏前進(jìn)的過程：1）單用戶2）多道程序和共享使用3）多任務(wù)處理受保護(hù)對(duì)象1、多道程序設(shè)計(jì)的出現(xiàn)意味著計(jì)算機(jī)系統(tǒng)需要保護(hù)以下幾個(gè)方面：內(nèi)存；可共享的I/O設(shè)備，如磁盤；可連續(xù)復(fù)用的I/O設(shè)備，如打印機(jī)和磁帶驅(qū)動(dòng)器；可共享的程序或子程序；網(wǎng)絡(luò)；可共享數(shù)據(jù)。操作系統(tǒng)設(shè)計(jì)對(duì)象保護(hù)操作系統(tǒng)由許多獨(dú)立的程序構(gòu)成，它不是單

4、一的程序。一個(gè)結(jié)果良好的操作系統(tǒng)會(huì)從關(guān)鍵部分到裝飾部分實(shí)現(xiàn)多個(gè)層次的功能和保護(hù)。這種排序在理論上式精細(xì)的，但在實(shí)踐中，某些功能涉及多個(gè)層。操作系統(tǒng)設(shè)計(jì)對(duì)象保護(hù)考慮一個(gè)與安全相關(guān)的操作系統(tǒng)活動(dòng)的例子密碼認(rèn)證。事實(shí)上，該活動(dòng)包括幾個(gè)不同的操作，如以無(wú)特定順序顯示用戶輸入口令的輸入框、接收密碼字符、以“ * ”之類的方式進(jìn)行響應(yīng)、比較用戶輸入的密碼與存儲(chǔ)的密碼、檢查用戶的身份是否被驗(yàn)證或在系統(tǒng)表中修改用戶的密碼。更改系統(tǒng)密碼表比在密碼輸入時(shí)用“ * ”顯示具有更重要的安全性，因?yàn)楦拇讼到y(tǒng)表可能會(huì)允許未經(jīng)授權(quán)的用戶訪問。在這個(gè)更改過程中，需要的僅僅是一個(gè)顯示框交互接口，這個(gè)接口列出的功能可能發(fā)生在操

5、作系統(tǒng)的不同級(jí)別。操作系統(tǒng)設(shè)計(jì)對(duì)象保護(hù)現(xiàn)代操作系統(tǒng)有許多不同模塊。并非所有的代碼都來自同一個(gè)源。例如，硬件設(shè)備驅(qū)動(dòng)程序可能來自設(shè)備制造商或第三方，用戶可以安裝附件來實(shí)現(xiàn)不同的文件系統(tǒng)或用戶界面。你可以猜到，更換文件系統(tǒng)或用戶界面需要與操作系統(tǒng)的幾個(gè)層次整合。例如，反病毒代碼等系統(tǒng)工具，被稱為“鉤子”或被納入操作系統(tǒng)的程序，這些工具與操作系統(tǒng)一起加載，以便當(dāng)用戶程序執(zhí)行時(shí)可以被激活。雖然它們來自不同的源，但所有這些模塊、驅(qū)動(dòng)程序和附件可以被共同認(rèn)為是操作系統(tǒng)的組成部分，因?yàn)樗麄円蕴嵘龣?quán)限的方式來執(zhí)行關(guān)鍵的功能。操作系統(tǒng)設(shè)計(jì)自我保護(hù)操作系統(tǒng)為了保障安全性，必須保護(hù)自己不被破解。操作系統(tǒng)不僅需要防御

6、惡意的用戶程序，也需要防御未整合在一起的模塊、驅(qū)動(dòng)程序和附件，并且對(duì)于能夠信任哪些組件及信任哪些功能，操作系統(tǒng)只有有限的信息。操作系統(tǒng)不是一個(gè)單一結(jié)構(gòu)，它也不是載入內(nèi)存中的一個(gè)對(duì)象。操作系統(tǒng)是分階段加載的。首先加載基本的輸入/輸出系統(tǒng)，用以訪問下一步將加載的引導(dǎo)設(shè)備。接下來操作系統(tǒng)加載一些引導(dǎo)（bootstrap）加載程序和軟件，用來獲取和安裝操作系統(tǒng)后面的模塊。加載程序?qū)嵗粋€(gè)原始內(nèi)核，它為操作系統(tǒng)創(chuàng)建低級(jí)別的功能提供支持，如同步支持、進(jìn)程間通信、訪問控制和安全性及進(jìn)程調(diào)度。這些功能反過來幫助開發(fā)先進(jìn)的功能，如文件系統(tǒng)、目錄結(jié)構(gòu)和操作系統(tǒng)的第三方加載項(xiàng)。最后，激活為用戶提供的支持。實(shí)現(xiàn)安全

7、功能的操作系統(tǒng)工具1、操作系統(tǒng)同時(shí)實(shí)現(xiàn)支持訪問控制的底層表和訪問控制檢查機(jī)制；2、操作系統(tǒng)的另一個(gè)有關(guān)訪問控制的重要功能是審計(jì)（audit），即記錄哪個(gè)主體在什么時(shí)候以什么方式訪問哪個(gè)對(duì)象。審計(jì)不是防御工具，它是安全漏洞出現(xiàn)后的反應(yīng)工具。如果關(guān)鍵信息被泄露，審計(jì)日志可以幫助我們找到哪些信息已經(jīng)泄露，也許還能知道是誰(shuí)在什么時(shí)候泄露的。這些信息可以限制漏洞帶來的損傷，也能使我們從出現(xiàn)的漏洞中得到啟示，防止以后再次出現(xiàn)這種問題。由于系統(tǒng)行為的數(shù)據(jù)量非常龐大，所以操作系統(tǒng)不可能記錄每一個(gè)行為。審計(jì)日志的寫入行為也是一個(gè)行為，也將產(chǎn)生一條記錄，這樣第一次訪問后就會(huì)產(chǎn)生一個(gè)無(wú)限的記錄鏈。然而，即使我們拋開

8、記錄審計(jì)的問題，每一次內(nèi)存信息發(fā)生位置改變或每一次搜索文件目錄都需要審計(jì)記錄。此外，只有當(dāng)審計(jì)跟蹤信息用于分析時(shí)，它才是有用的。太多的數(shù)據(jù)會(huì)阻礙分析的及時(shí)性和有效性。實(shí)現(xiàn)安全功能的操作系統(tǒng)工具虛擬化虛擬化（Virtualization）：通過使用一些資源提供另一種資源類型的外觀。1）虛擬機(jī)（Virtual machine）2）管理程序（Hypervisor）3）沙箱（Sandbox）4）蜜罐（Honeypot）實(shí)現(xiàn)安全功能的操作系統(tǒng)工具共享和分離最基本的保護(hù)就是分離控制（Separation）：保護(hù)一個(gè)用戶的對(duì)象獨(dú)立于其他用戶。在操作系統(tǒng)中，分離控制主要有以下4種方式：物理分離；時(shí)間分離；邏輯

9、分離；密碼分離。實(shí)現(xiàn)安全功能的操作系統(tǒng)工具共享和分離不保護(hù)；分離；完全共享或完全不共享；訪問限制共享；限制對(duì)象的使用。實(shí)現(xiàn)安全功能的操作系統(tǒng)工具內(nèi)存的硬件保護(hù)1）界地址2）基址/范圍寄存器3）標(biāo)記結(jié)構(gòu)4）虛擬內(nèi)存；5）分段式；6）分頁(yè)式；7）段頁(yè)式。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.1 簡(jiǎn)約設(shè)計(jì)操作系統(tǒng)本身是很難設(shè)計(jì)的。它們處理很多事務(wù)，如中斷和上下文轉(zhuǎn)換，并且必須是開銷最小化，以免影響用戶的計(jì)算和交互。將安全功能加入操作系統(tǒng)中大大增加了操作系統(tǒng)設(shè)計(jì)的難度。然而，對(duì)于安全性的需求變得越來越普遍，好的軟件工程原則啟示我們安全因素在設(shè)計(jì)初期考慮比在設(shè)計(jì)末期考慮更好。因此，本節(jié)將研究具有高度安全性的

10、操作系統(tǒng)設(shè)計(jì)。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.2 分層設(shè)計(jì)一個(gè)內(nèi)核化的操作系統(tǒng)至少由4層組成：硬件、內(nèi)核、操作系統(tǒng)和用戶。其中每一層都可以包含一些子層。在用戶一級(jí)，通常有一些自身就構(gòu)成了隔離的安全層析的準(zhǔn)系統(tǒng)程序，如數(shù)據(jù)庫(kù)管理程序或用戶接口外殼。1）分層信任安全操作系統(tǒng)的分層觀點(diǎn)可以被描述成一系列的同心圓，最敏感的操作位于最內(nèi)層。然后，可以通過進(jìn)程與中心距離來判斷其可信度和訪問權(quán)限：離中心越近的進(jìn)程越可信。分層方法是實(shí)現(xiàn)封裝的另一個(gè)途徑。分層被認(rèn)為是一個(gè)好的操作系統(tǒng)的設(shè)計(jì)方法。每一層調(diào)用內(nèi)層的服務(wù)，同時(shí)也向外層提供一定功能級(jí)的服務(wù)。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.2 分層設(shè)計(jì)分層的另外一個(gè)

11、理由是對(duì)破壞進(jìn)行控制。分層結(jié)構(gòu)有兩個(gè)好處：層次結(jié)構(gòu)（Hierarchical structuring）允許我們識(shí)別非常關(guān)鍵的部分，然后認(rèn)真分析其正確性，這樣問題就會(huì)少一些。隔離將問題的影響范圍限制在問題發(fā)生的層及上層，從而可以限制大多數(shù)問題的影響。這些設(shè)計(jì)特性內(nèi)核、分離、隔離和層次結(jié)構(gòu)，一直以來都是很多可信系統(tǒng)模型的基礎(chǔ)。作為最佳的設(shè)計(jì)和實(shí)現(xiàn)，它們經(jīng)歷了時(shí)間的考驗(yàn)。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.2 內(nèi)核化設(shè)計(jì)內(nèi)核（Kernel）是操作系統(tǒng)的一部分，它執(zhí)行操作系統(tǒng)的最底層功能。在標(biāo)準(zhǔn)的操作系統(tǒng)設(shè)計(jì)中，內(nèi)核實(shí)現(xiàn)這樣一些操作，如同步、進(jìn)程間通信、消息傳遞及中斷處理。內(nèi)核也被稱為核或核心。安全內(nèi)核

12、（security kernel）負(fù)責(zé)實(shí)施整個(gè)操作系統(tǒng)的安全機(jī)制。安全內(nèi)核負(fù)責(zé)在硬件、操作系統(tǒng)、計(jì)算系統(tǒng)的其他部分之間提供安全接口。一般來說，安全內(nèi)核被包含在操作系統(tǒng)核中。下面幾種原因解釋了為什么要將安全功能隔離在安全內(nèi)核中。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.2 內(nèi)核化設(shè)計(jì)下面幾種原因解釋了為什么要將安全功能隔離在安全內(nèi)核中。覆蓋隔離統(tǒng)一可修改性緊湊性可驗(yàn)證性6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.4 引用監(jiān)視器安全內(nèi)核中最重要的部分就是引用監(jiān)視器（reference monitor），它控制著對(duì)對(duì)象的訪問。引用監(jiān)視器并不只是一段代碼，它也可以是對(duì)設(shè)備、文件、內(nèi)存、進(jìn)程間通信及其他種類的對(duì)象的訪問控

13、制的集合。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.4 引用監(jiān)視器一個(gè)引用監(jiān)視器的功能就像操作系統(tǒng)或可信軟件周圍的磚墻一樣?？垢蓴_；不可繞過；可分析。引用監(jiān)視器不是可信操作系統(tǒng)中唯一的安全機(jī)制。其他的安全組件包括審計(jì)、識(shí)別、鑒別過程和設(shè)置執(zhí)行參數(shù)，如允許訪問的主體是誰(shuí)及允許他們?cè)L問哪些對(duì)象。這些安全組件與引用監(jiān)視器交互，從引用監(jiān)視器那里接受數(shù)據(jù)或?yàn)樗峁┎僮鲾?shù)據(jù)。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.5 正確性和完整性安全因素滲透在操作系統(tǒng)設(shè)計(jì)和結(jié)構(gòu)之中，需要考慮其正確性和完整性。正確性（correctness）是指一個(gè)操作系統(tǒng)控制著主體和對(duì)象間的交互，因此操作系統(tǒng)設(shè)計(jì)的每一個(gè)方面都必須考慮安全性，即操作

14、系統(tǒng)設(shè)計(jì)必須包括這樣一些定義，如哪些對(duì)象將以什么樣的方式被包護(hù)，什么樣的主體具有訪問權(quán)，以及這些訪問權(quán)處于什么等級(jí)。從安全需求到設(shè)計(jì)必須有一個(gè)清晰的映射，使得所有開發(fā)者可以看出兩者之間的關(guān)聯(lián)。完整性（completeness）則要求在任何有必要的地方都有安全功能。雖然這個(gè)要求似乎是不言自明的，但是并非所有的開發(fā)者都認(rèn)為在他們?cè)O(shè)計(jì)和編寫代碼是必須考慮安全性，因此完整性安全有一定的挑戰(zhàn)。安全性在可信操作系統(tǒng)的最初設(shè)計(jì)中至關(guān)重要。安全性很少作為一個(gè)附件被集成，它必須是最初理念、需求、設(shè)計(jì)和實(shí)施的一部分。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.6 安全設(shè)計(jì)原則（1）機(jī)制經(jīng)濟(jì)性（economy）原則：保護(hù)機(jī)制

15、應(yīng)設(shè)計(jì)得盡可能的簡(jiǎn)單和短小。（2）失敗-保險(xiǎn)（fail-safe）默認(rèn)原則：訪問判斷應(yīng)建立在顯示授權(quán)而不是隱式授權(quán)的基礎(chǔ)上，顯示授權(quán)指定的是主體該有的權(quán)限，隱式授權(quán)指定的是主體不該有的權(quán)限。（3）完全仲裁原則：對(duì)每一個(gè)客體的每一次訪問都必須經(jīng)過檢查，以確認(rèn)是否已經(jīng)得到授權(quán)。（4）開放式設(shè)計(jì)原則：不應(yīng)該把保護(hù)機(jī)制的抗攻擊能力建立在設(shè)計(jì)的保密性的基礎(chǔ)之上。應(yīng)該在設(shè)計(jì)公開的環(huán)境中設(shè)法增強(qiáng)保護(hù)機(jī)制的防御能力。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.6 安全設(shè)計(jì)原則（5）特權(quán)分離原則：為一項(xiàng)特權(quán)劃分出多個(gè)決定因素，僅當(dāng)所有的決定因素具備時(shí)，才能行使該項(xiàng)特權(quán)。（6）最小特權(quán)原則：分配給系統(tǒng)中的每一個(gè)程序和每一個(gè)

16、用戶的特權(quán)應(yīng)該是它們完成工作所必須享有的特權(quán)的最小集合。（7）最少公共機(jī)制原則：把由兩個(gè)以上用戶共同和被所有用戶依賴的機(jī)制的數(shù)量減少到最小。（8）心理可接受性原則：為使用戶習(xí)以為常、自動(dòng)地正確運(yùn)用保護(hù)機(jī)制，把用戶界面設(shè)計(jì)得易于使用是根本。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.7 可信系統(tǒng)可信系統(tǒng)：有證據(jù)證明它能實(shí)現(xiàn)一些功能或規(guī)則的系統(tǒng)?？尚畔到y(tǒng)是指這個(gè)系統(tǒng)不但達(dá)到了設(shè)計(jì)的安全需求，而且還能證明用戶對(duì)系統(tǒng)質(zhì)量的信任是正確的。也就是說，信任是由系統(tǒng)的使用者來感受的，而不是由系統(tǒng)的生產(chǎn)者、設(shè)計(jì)者或制造商來決定的。作為用戶，或許你不能直接去評(píng)價(jià)一個(gè)系統(tǒng)是否值得信任。你即可能會(huì)相信設(shè)計(jì)方案，也可能會(huì)相信專家

17、的評(píng)估，還可能相信同行的意見，但最終，還得由你自己來確定需要的信任度。如果我們知道一個(gè)軟件的代碼已經(jīng)經(jīng)過了嚴(yán)格的開發(fā)和分析，使得我們有路由相信該代碼只做其被要求做的事情，我們就說這個(gè)軟件是可信軟件（trusted software）。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.7 可信系統(tǒng)當(dāng)我們確信操作系統(tǒng)能夠?qū)\(yùn)行在它之上的組件或系統(tǒng)的訪問進(jìn)行正確的控制，就可以認(rèn)為它是可信的?？尚跑浖３１挥米饕环N一般用戶訪問敏感數(shù)據(jù)的安全方式?？尚懦绦蛟诓辉试S用戶直接訪問敏感數(shù)據(jù)的情況下，使用戶能執(zhí)行有限的（安全的）操作?？尚畔到y(tǒng)有三個(gè)特征：a)一個(gè)已經(jīng)定義好的策略，它詳盡地說明了實(shí)施的安全特性；b)合適的措施和機(jī)

18、制，通過它可以充分實(shí)施安全特性；c)獨(dú)立的審查或評(píng)估，以確保機(jī)制被選中并被適當(dāng)?shù)貙?shí)施，確保安全策略在實(shí)際上被執(zhí)行。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.8 可信系統(tǒng)的功能1、可信計(jì)算基（Trusted Computing Base,TCB）TCB是可信系統(tǒng)中用于實(shí)施安全策略的所有事物的一個(gè)統(tǒng)稱。換一種說法，就是可信計(jì)算基由可信操作系統(tǒng)的某些部分構(gòu)成，我們依靠這些部分來正確地實(shí)施安全策略。我們對(duì)整個(gè)系統(tǒng)的信任建立在TCB之上。1）TCB的功能TCB是由下列安全實(shí)施依賴的系統(tǒng)元素構(gòu)成的：硬件，包括CPU、內(nèi)存、寄存器和I/O設(shè)備；一些進(jìn)程概念，以便我們能夠分離并且保護(hù)關(guān)鍵的安全進(jìn)程；原始文件，如安全訪

19、問控制數(shù)據(jù)庫(kù)和識(shí)別/鑒別數(shù)據(jù)；6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.8 可信系統(tǒng)的功能1、可信計(jì)算基（Trusted Computing Base,TCB）1）TCB的功能受保護(hù)的內(nèi)存，以防引用監(jiān)視器受到干擾；一些進(jìn)程間通信，以便TCB的不同部分能夠相互傳遞數(shù)據(jù)并且激活其他部分，例如，引用監(jiān)視器能夠激活并且將數(shù)據(jù)安全地傳遞給審計(jì)程序。上述元素似乎包含了操作系統(tǒng)的大部分內(nèi)容，但事實(shí)上TCB只是一個(gè)很小的子集。TCB只是包含了一個(gè)原始的文件管理器，用來處理TCB需要的小而簡(jiǎn)單的文件。用于提供外部可視文件的復(fù)雜文件管理器在TCB之外。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.8 可信系統(tǒng)的功能1、可信計(jì)算基（T

20、rusted Computing Base,TCB）1）TCB的功能TCB必須維護(hù)每一個(gè)域的保密性和完整性，監(jiān)視4個(gè)基本的交互。進(jìn)程激活：在多道程序環(huán)境下，進(jìn)程的激活和鈍化是經(jīng)常發(fā)生的。從一個(gè)進(jìn)程切換到另外一個(gè)進(jìn)程需要一個(gè)完整的改變，內(nèi)容包括寄存器、重定位映射表、文件訪問表、進(jìn)程狀態(tài)信息及其他指針，它們中的大部分都是安全敏感信息。執(zhí)行域切換：在一個(gè)域中運(yùn)行的進(jìn)程經(jīng)常會(huì)激活其他域的進(jìn)程以獲得更多的敏感數(shù)據(jù)和服務(wù)。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.8 可信系統(tǒng)的功能1、可信計(jì)算基（Trusted Computing Base,TCB）1）TCB的功能TCB必須維護(hù)每一個(gè)域的保密性和完整性，監(jiān)視4個(gè)

21、基本的交互。內(nèi)存保護(hù)：因?yàn)槊總€(gè)域包含的代碼和數(shù)據(jù)都存儲(chǔ)在內(nèi)存中，因此TCB必須監(jiān)視內(nèi)存引用以確保每個(gè)域的保密性和完整性。輸入/輸出（I/O）操作：在一些操作系統(tǒng)中，軟件涉及I/O操作中的每一個(gè)字符。這種軟件將最外層域的用戶程序和最內(nèi)層（硬件）域的I/O設(shè)備連接起來。因此，I/O操作能夠貫穿所有的域。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.8 可信系統(tǒng)的功能1、可信計(jì)算基（Trusted Computing Base,TCB）2）TCB的設(shè)計(jì)將操作系統(tǒng)劃分為TCB和非TCB，這為設(shè)計(jì)者和開發(fā)者提供了便利，因?yàn)檫@意味著所有和安全相關(guān)代碼都被放置在某個(gè)邏輯部分。為了確保非TCB代碼不會(huì)影響安全實(shí)施，TCB

22、代碼必須運(yùn)行在一些可以將其區(qū)分開的受保護(hù)狀態(tài)下。這種結(jié)構(gòu)一旦創(chuàng)建，TCB之外的代碼就能夠任意被修改，且不會(huì)影響TCB實(shí)施安全的能力。這種改變能力對(duì)開發(fā)者非常有幫助，因?yàn)檫@意味著操作系統(tǒng)的主要部分（設(shè)備驅(qū)動(dòng)器、用戶接口管理器等）能夠在任何時(shí)間被修改，只有TCB代碼需要更加小心的控制。最后，對(duì)于可信操作系統(tǒng)的安全評(píng)估來講，TCB和非TCB的劃分大大簡(jiǎn)化了評(píng)估，因?yàn)椴恍枰紤]非TCB。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.8 可信系統(tǒng)的功能1、可信計(jì)算基（Trusted Computing Base,TCB）3）TCB的實(shí)現(xiàn)和安全相關(guān)的活動(dòng)可以會(huì)在不同的地方被執(zhí)行。安全性與下述操作都有潛在的相關(guān)性，包括

23、每一次的存儲(chǔ)訪問、I/O操作、文件或程序訪問、用戶的初始化及終止和進(jìn)程間通信。在模塊化的操作系統(tǒng)中，對(duì)上述每種活動(dòng)可以用單獨(dú)的模塊來處理。每個(gè)模塊既有與安全相關(guān)的功能，還有其他的功能。將所有的安全功能都包含在TCB中會(huì)破壞現(xiàn)有操作系統(tǒng)的模塊性。集各種安全功能于一體的TCB也會(huì)因?yàn)樘蠖灰追治觥２贿^，設(shè)計(jì)者可能會(huì)將現(xiàn)有操作系統(tǒng)的安全功能隔離出來，從而創(chuàng)建一個(gè)安全內(nèi)核。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.8 可信系統(tǒng)的功能1、可信計(jì)算基（Trusted Computing Base,TCB）3）TCB的實(shí)現(xiàn)更為合理的方法是先設(shè)計(jì)一個(gè)安全內(nèi)核，然后再圍繞這個(gè)安全內(nèi)核設(shè)計(jì)操作

24、系統(tǒng)。一個(gè)基于安全內(nèi)核的設(shè)計(jì)中，安全內(nèi)核在系統(tǒng)硬件之上形成一個(gè)接口層。安全內(nèi)核監(jiān)視著所有的操作系統(tǒng)的硬件訪問，并執(zhí)行所有的保護(hù)功能。安全內(nèi)核依靠硬件的支持，允許操作系統(tǒng)處理與安全無(wú)關(guān)的大部分功能。這樣，安全內(nèi)核就比較小且更有效。由于這種劃分，計(jì)算機(jī)系統(tǒng)至少具有三個(gè)執(zhí)行域：安全內(nèi)核、操作系統(tǒng)和用戶。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.8 可信系統(tǒng)的功能2、安全啟動(dòng)啟動(dòng)是系統(tǒng)設(shè)計(jì)的一個(gè)已知的弱點(diǎn)。在操作系統(tǒng)的全部功能開啟之前，其防護(hù)能力是有限的。隨著越來越多的組件開始運(yùn)作，它們開始完全控制住資源。在啟動(dòng)過程中，威脅的程度也會(huì)因?yàn)橛脩魶]有激活和網(wǎng)絡(luò)連接尚未建立而降低?？尚畔到y(tǒng)設(shè)計(jì)師意識(shí)到系統(tǒng)啟動(dòng)時(shí)的脆

25、弱性，尤其是從先前錯(cuò)誤中重啟。因此，可信系統(tǒng)的設(shè)計(jì)文件（例如桔皮書）要求開發(fā)者證明系統(tǒng)啟動(dòng)時(shí)，所有的安全功能都能正常工作，不會(huì)受到任何以前系統(tǒng)會(huì)話的影響。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.8 可信系統(tǒng)的功能3、可信路徑用戶與操作系統(tǒng)內(nèi)部主體結(jié)構(gòu)的連接時(shí)保障安全的關(guān)鍵。但是在其他方面，如不能期望用戶暴露獨(dú)特的驗(yàn)證數(shù)據(jù)給任何要求訪問它的軟件。你知道，任何普通水平的程序員可以編寫代碼來彈出一個(gè)輸入用戶名和口令的對(duì)話框。你怎么能保證該對(duì)話框來自于密碼管理器，并會(huì)將輸入的數(shù)據(jù)傳到密碼管理器呢？如何知道這個(gè)對(duì)話框是合法的？這個(gè)問題是認(rèn)證的另一個(gè)方面：應(yīng)用程序要確保你就是你所指的用戶，但是你也需要知道應(yīng)用程序正好也是那個(gè)正確的應(yīng)用程序。6.2 安全操作系統(tǒng)的設(shè)計(jì)6.2.8 可信系統(tǒng)的功能3、可信路徑這個(gè)問題很難在應(yīng)用層上得到解決，但在操作系統(tǒng)層上卻比較容易?？尚怕窂剑╰rusted path）是不可偽造的連接，用戶可以通過它放心地直接與操作系統(tǒng)進(jìn)行通信，不用經(jīng)過中間任何可能有欺騙行為的應(yīng)用程序?？尚畔到y(tǒng)需要一個(gè)可信路徑，用來處理所有重要安全身份的驗(yàn)證操作，如更改密碼。桔皮書要