本质安全型集中式控制安全操作系统研究

本质安全是指一种建立在特殊的硬件设备上（Smart卡），具有特殊的体系结构，可对操作系统本身、进程合法性和运行权利进行验证的安全机制。

系统的安全控制分为六部分：进程管理器、安全服务器、文件系统伺服器、进程通信伺服务器、网络伺服器和审计模块。总体结构如图1所示：进程管理器、安全服务器wolf-Linux安全控制的核心部分，审计模块负责对系统的安全性事件进行记录，其它部分是安全控制的执行模块。

从图1中可以看出，SIM（Subscriber Identity Module）卡处于系统的安全模块中，保存系统的关键信息，集中式管理主要体现在进程控制器部分，安全判定和安全执行的分离使得任何存取操作都不可能绕过安全控制机制。系统中所有的安全事件都通过进程控制器来判定是否可行，安全执行模块负责在访问操作发生时抽象主体和客体，提交访问请求并执行访问结果。下面主要介绍各个模块的功能原理。

（1）安全服务器和SIM卡

系统的安全服务器负责提供系统支持的安全策略。在系统启动时，安全服务器初始化系统支持的安全策略。它的初始化过程中重要的一步是读智能卡中的信息，验证系统的身份。安全服务器提供的接口有三类：①与智能卡的接口。在智能卡中保存系统的关键信息，例如系统的有效使用时间、操作系统身份ID。这个ID号相当规模识了一个合法的系统身份和系统用户身份信息（在系统的安全特性部分还会讨论）。安全模块通过智能卡的驱动程序，负责与智能卡信息的安全交互，并提供访问智能卡的操作函数。②与进程控制器交互的接口。安全服务器只负责实现对安全策略的支持，而不管判定访问操作是否合法。进程控制器在判定访问是否合法时，使用安全服务器提供规则。③提供给系统管理的接口。由于在安全模块当中实现了策略的独立性，所以安全模块可以在实现对多种策略的支持。接口函数包括安全模块的初始化接口、安全策略的注册接口、安全策略的管理接口。通过这些接口函数可以实现对安全策略的配置，系统安全特性针对不同的工作环境，可以动态变化。安全模块的固化设计保证系统的安全特性不可能被破坏和篡改。

（2）进程控制器

进程控制器是系统安全特性的关键部分，功能有两个：①以进程为单位的权限控制；②判定安全执行部分提供的访问请求并返回判定结果；同时为了提高效率，保存最近的访问判定结果，提供缓存功能。

在传统的Unix系统当中，一般提供基于用户的权限控制方法，系统的控制粒度只能到用户。一般的攻击方法是利用程序的设计漏洞，或者用户的误操作来取得高级权限。在我们研究这类安全问题时，继续细化了这类控制方法，提供更细的控制粒度；可以针对每一个进程进行控制，确保用户所启动的所有进程均处于相应权限控制之下。

（3）文件系统伺服器

主要操作是抽象各种操作，包括对文件系统的操作和对于文件的操作；是在文件系统当中的系统调用部分加入控制机制，向控制器提交访问的主客体标识符。在Linux操作系统中，涉及到的数据结构有：super_block(表示文件系统)，file（表示操作的文件），inode（表示管道），文件或者网络套接字等等。

（4）网络伺服器

网络安全部分控制操作的目的是，防止违法的网络操作。例如，控制网络打开与关闭，路由器和防火墙的安全规则配置，端口绑定，网络广播等。

（5）进程通信伺服器

进程之间的安全通信是安全操作系统研究的重点之一。随通道是指按照常规不会用于传送信息却被利用泄漏信息的传送渠道。隐通道包括正规隐通道、存储隐通道和时间隐通道。在我们的研究过程中，分析了前两种信息泄漏方式，通过以进程为控制单位，控制进程之间有效通信方式来解决。在Linux方式当中，提供信号量、消息队列和共享内存等进程通信方式，在关键点处加入控制点，例如msg_msg代表单个的消息，kern_ipc_perm代表信号，共享内存段，或者消息队列。进程控制器提供的控制机制使得普通用户的进程只能在具有血缘关系的进程之间来传送消息，可有效防止信息的扩散。