专利名称:一种高安全等级操作系统的参照监视器实现方法
技术领域:
本发明涉及高安全等级操作系统的安全内核,特别涉及一种不可绕过的参照监视器实现方法。
背景技术:
安全操作系统是整个信息系统安全的基础。安全操作系统的关键目标是提供尽可能强的访问控制 和审计机制,在应用程序和系统硬、软件资源之间执行符合安全策略的调度,限制非法的访问。不可 绕过的参照监视器是安全操作系统的重要保证,可用于政府、军事、国防等重要领域的信息系统,提 高重要信息系统的保障能力。
传统操作系统大多从各种实用的功能需求和性能需求出发进行设计和实现,随后通过安全增强, 添加安全相关的功能组件来提高安全性。事实上,安全性不是安全功能的简单叠加,这样不能保证其 引用验证机制是不可被绕过的。高安全等级操作系统需要从设计之初就充分考虑安全的需求,通过设 计严密科学的安全体系结构来保证系统安全性。根据这种要求,本发明提供一种精简而有效的参照监 视器,使得其引用验证机制总荐处于活跃妖态并且不可被绕过,以保证安全策略的正确实施。
发明内容
本发明主要针对高安全等级操作系统,尤其是达到GB17859-1999《计算机信息系统安全保护等 级划分准则》第四级及以上安全操作系统对安全内核的要求,提供一种参照监视器实现方法,能够对 主客体之间所有的访问进行不可绕过的监视和仲裁,并将重要安全事件存入审计文件。
为实现本发明所述目的,本发明提供一种不可绕过的参照监视器实现方法。高安全等级操作系统 的参照监视器实现方法,(l)参照监视器结构;参照监视器结构基于一个安全增强的微内核,所有服务 程序和用户应用程序都位于核外,进程间通信(IPC)是应用程序获得服务、访问资源以及服务器之 间交互的唯一途经,通过增强微内核的进程间通信服务和引入强制实施器对IPC通信进行控制和验 证,再配合安全服务器和客体管理器对安全策略的实施,实现一个不可绕过的参照监视器1)通过 在进程的地址空间中增加一个监视域字段,设置成空或者一个仲裁者的引用;如果为空,表示这个进 程的IPC通信不受监控;否则,这个进程的IPC通信会被重新定向到一个仲裁者,实现监视控制;2) 在消息的格式中添加"真实源"字段,这个字段在消息初始化的时候由内核负责赋值;无论经过多少 次重定向,改变的只是消息中原来的发送者的字段,"真实源"字段保持不变,其值是源发送;(2)对 微内核IPC通信控制的实现;步骤20是初始动作;步骤21发送进程生成消息,内核将消息的真实 源设置为发送迸程;步骤22判断持有消息的当前进程的监视域字段是否为空,如果为空,则转步骤 23,否则,转步骤25;步骤23表示持有消息的当前进程的监视域字段为某个服务进程,则将消息发 送给监视域进程;步骤24监视域进程收到消息,转步骤22继续进程监视域字段判断;步骤25表示 持有消息的当前进程的监视域字段为空,也就是通信可以直接进行,则将消息发送给真正的目的进程; 步骤26根据消息的真实源字段通知消息发送是否成功;步骤27是结束状态;
(3)参照监视器所需安全服务启动的流程;步骤31首先加载安全微内核,内核提供了后续所有服 务所需的服务机制,其中包括参照监视器不可绕过性所需的增强的IPC通信服务;步骤32加载安全 存储服务器;步骤33加载服务器装载器;步骤34服务器装载器验证并启动审计服务器,当审计服务 器加载后,系统中安全相关的事件记录下来;步骤35服务器装载器验证并启动强制实施器;步骤36
服务器装载器验证并启^安全服务器,它负责加载相应的安全策略,为客体管理器提供决策服务;歩 骤37服务器装载器验证并启动客体管理器(根据安全服务器的判定,来具体实施相应的访问控制请 求;歩骤38服务器装载器验证并启动验证服务器,它负责验证访问控制中主体的身份;步骤39随后 启动其他操作系统模块。
(4)参照监视器中一个访问控制的具体实施流程;步骤40是初始动作。步骤41用户进程向客体 管理器发出访问控制请求。步骤42用户进程的访问控制请求被内核的IPC机制重新定向到强制实施 器。歩骤43强制实施器将用户的访问控制请求转交给客体管理器,同时可以根据预先的设置进行相 应的审计记录。步骤44客体管理器根据用户进程的访问控制请求,生成访问控制消息。步骤45客体 管理器向安全服务器提交访问控制消息,因为客体管理器和安全服务器都是可信服务器,所以消息不 经过强制实施器,直接送达。步骤46安全服务器收到客体管理器的访问控制消息,查询安全策略数 据库,对欲执行的访问控制作出决策。步骤47安全服务器将决策结果返还给客体管理器,这个决策 消息不通过强制实施器,直接送达。步骤48客体管理器分析安全服务器的决策结果,如果同意访问 控制请求,则转步骤49,否则转步骤4a。步骤49客体管理器实施用户提交的访问控制请求。步骤4a 客体管理器拒绝实施用户提交l^访问控制请求。步骤4b客体管理器将对访问控制请求的实施结果返 还给用户进程。步骤4c实施结果消息被内核的lPC机制重定向到强制实施器。步骤4d强制实施器将 实施结果消息传递给用户进程,同时根据预先的设置进行相应的审计记录。步骤4e是结束状态。
本发明的有益效果是通过参照监视器结构限制用户通信、获取系统服务,从而强制实施访问控 制的安全策略验证,避免验证机制被旁路,保证了参照监视器对系统资源利用和保护的有效性,进而 提高系统的安全性和服务能力,满足高等级操作系统的安全要求。
图1参照监视器结构示意图 图2 IPC通信控制的实现说明图 图3安全服务启动流程图 图4访问控制实施图
具体实施例方式
如附图1所示,本发明的参照监视器结构中,各安全服务相互关联,实现对访问控制不可绕过的 仲裁和监视,各服务设计目的和功能的说明如下。用户进程向客体管理器提出访问控制请求,并接收 客体管理器对访问控制的实施结果。验证服务器负责验证用户进程所代表的主体的身份。重要的安全 服务器由服务器装载器在进行完整性校验后,安全可信地启动各个服务器,服务器装载器还负责可信 服务器的配置、管理。强制实施器具有控制所有发送给服务器请求的能力,能够截取所有的用户请求, 实现全面验证的特性,是访问控制子系统(包括客体管理器、安全服务器)和审计子系统的基础。客体 管理器负责接收所有主客体访问请求,向安全服务器提出査询,并根据安全服务器的决策,执行具体 的安全策略,对访问请求进行裁决。安全服务器根据当前加载的安全策略,对客体管理器提交的请求 作出决策,并将判定结果返还给客体管理器,使得客体管理器能具体执行相关安全策略。审计服务器 负责管理审计协议,审计日志的管理等,强制实施器和客体管理器可以提供粒度不等的审计信息源。 安全存储器服务器以一种特殊的文件系统,实现对安全服务器中的策略数据、审计日志数据的安全可 信的存储。安全增强的微内核,通过修改通信原语,将所有不可信进程的通信全部重定向给强制实施
器,从而使得没有用户请求能够绕过强制实施器,因为在微内核的系统中IPC通信是应用程序获得服 务、访问资源的唯一途经。
图2表示IPC通信控制的实现流程。对IPC通信控制的实现是通过对IPC消息的重定向实现的, 改进要点包括(1)通过在进程的地址空间中增加一个监视域字段,可以设置成空或者一个仲裁者的 引用。如果为空,表示这个进程的IPC通信不受监控;否则,这个进程的IPC通信会被重新定向到一 个仲裁者,实现了监视控制;(2)在消息的格式中添加"真实源"字段,这个字段在消息初始化的时 候由内核负责賦值。无论经过多少次重定向,改变的只是消息中原来的发送者的字段,"真实源"字 段保持不变,其值是源发送者。步骤20是初始动作。步骤21发送进程生成消息,内核将消息的真实 源设置为发送进程。步骤22判断持有消息的当前进程的监视域字段是否为空,如果为空,则转步骤 23,否则,转步骤25。步骤23表示持有消息的当前进程的监视域字段为某个服务进程,则将消息发 送给监视域进程。步骤24监视域进程收到消息,转步骤22继续进程监视域字段判断。步骤25表示 持有消息的当前进程的监视域字段为空,也就是通信可以直接进疗,则将消息发送给真正的目的进程。 步骤26根据消息的真实源字段通知消息发送是否成功。步骤27是结束状态。
图3表示参照监视器各安全服务的启动流程。步骤31首先加载安全微内核,内核提供了后续所 有服务所需的服务机制,其中包括本发明中参照监视器不可绕过性所需的增强的IPC通信服务。步骤 32加载安全存储服务器(在之前还有一些基础服务,比如名字服务器、1/0驱动等需要加载,这里着 重说明参照监视器各组成部分的加载),因为它是审计服务器工作的基础。步骤33加载服务器装载器, 它负责对参照监视器中其余安全服务进行验证,然后加载,保证启动的安全服务是可信的。步骤34 服务器装载器验证并启动审计服务器,当审计服务器加载后,系统中安全相关的事件都可以记录下来。 步骤35服务器装载器验证并启动强制实施器,这是保证访问控制不可绕过的关键服务,而其有效性 由内核的IPC通信增强来保证。步骤36服务器装载器验证井启动安全服务器,它负责加载相应的安 全策略,为客体管理器提供决策服务。步骤37服务器装载器验证并启动客体管理器(可能不止一个), 它们负责为所有的主客体访问请求提供服务,根据安全服务器的判定,来具体实施相应的访问控制请 求。步骤38服务器装载器验证并启动验证服务器,它负责验证访问控制中主体的身份。步骤39随后 启动其他操作系统模块。
图4表示参照监视器中一个访问控制的具体实施流程。步骤40是初始动作。步骤41用户进程向 客体管理器发出访问控制请求。步骤42用户进程的访问控制请求被内核的IPC机制重新定向到强制 实施器。步骤43强制实施器将用户的访问控制请求转交给客体管理器,同时可以根据预先的设置进 行相应的审计记录。歩骤44客体管理器根据用户进程的访问控制请求,生成访问控制消息。步骤45 客体管理器向安全服务器提交访问控制消息,因为客体管理器和安全服务器都是可信服务器,所以消 息不经过强制实施器,直接送达。步骤46安全服务器收到客体管理器的访问控制消息,査询安全策 略数据库,对欲执行的访问控制作出决策。步骤47安全服务器将决策结果返还给客体管理器,这个 决策消息不通过强制实施器,直接送达。步骤48客体管理器分析安全服务器的决策结果,如果同意 访问控制请求,则转步骤49,否则转步骤4a。步骤49客体管理器实施用户提交的访问控制请求。步 骤4a客体管理器拒绝实施用户提交的访问控制请求。步骤4b客体管理器将对访问控制请求的实施结 果返还给用户进程。步骤4c实施结果消息被内核的IPC机制重定向到强制实施器。步骤4d强制实施 器将实施结果消息传递给用户进程,同时根据预先的设置进行相应的审计记录。步骤4e是结束状态。
权利要求
1、高安全等级操作系统的参照监视器实现方法,其特征是以下述步骤(1)参照监视器结构;参照监视器结构基于一个安全增强的微内核,所有服务程序和用户应用程序都位于核外,进程间通信(IPC)是应用程序获得服务、访问资源以及服务器之间交互的唯一途经,通过增强微内核的进程间通信服务和引入强制实施器对IPC通信进行控制和验证,再配合安全服务器和客体管理器对安全策略的实施,实现一个不可绕过的参照监视器1)通过在进程的地址空间中增加一个监视域字段,设置成空或者一个仲裁者的引用;如果为空,表示这个进程的IPC通信不受监控;否则,这个进程的IPC通信会被重新定向到一个仲裁者,实现监视控制;2)在消息的格式中添加“真实源”字段,这个字段在消息初始化的时候由内核负责赋值;无论经过多少次重定向,改变的只是消息中原来的发送者的字段,“真实源”字段保持不变,其值是源发送;(2)对微内核IPC通信控制的实现;步骤20是初始动作;步骤21发送进程生成消息,内核将消息的真实源设置为发送进程;步骤22判断持有消息的当前进程的监视域字段是否为空,如果为空,则转步骤23,否则,转步骤25;步骤23表示持有消息的当前进程的监视域字段为某个服务进程,则将消息发送给监视域进程;步骤24监视域进程收到消息,转步骤22继续进程监视域字段判断;步骤25表示持有消息的当前进程的监视域字段为空,也就是通信可以直接进行,则将消息发送给真正的目的进程;步骤26根据消息的真实源字段通知消息发送是否成功;步骤27是结束状态;(3)参照监视器所需安全服务启动的流程;步骤31首先加载安全微内核,内核提供了后续所有服务所需的服务机制,其中包括参照监视器不可绕过性所需的增强的IPC通信服务;步骤32加载安全存储服务器;步骤33加载服务器装载器;步骤34服务器装载器验证并启动审计服务器,当审计服务器加载后,系统中安全相关的事件记录下来;步骤35服务器装载器验证并启动强制实施器;步骤36服务器装载器验证并启动安全服务器,它负责加载相应的安全策略,为客体管理器提供决策服务;步骤37服务器装载器验证并启动客体管理器(根据安全服务器的判定,来具体实施相应的访问控制请求;步骤38服务器装载器验证并启动验证服务器,它负责验证访问控制中主体的身份;步骤39随后启动其他操作系统模块。(4)参照监视器中一个访问控制的具体实施流程;步骤40是初始动作。步骤41用户进程向客体管理器发出访问控制请求。步骤42用户进程的访问控制请求被内核的IPC机制重新定向到强制实施器。步骤43强制实施器将用户的访问控制请求转交给客体管理器,同时可以根据预先的设置进行相应的审计记录。步骤44客体管理器根据用户进程的访问控制请求,生成访问控制消息。步骤45客体管理器向安全服务器提交访问控制消息,因为客体管理器和安全服务器都是可信服务器,所以消息不经过强制实施器,直接送达。步骤46安全服务器收到客体管理器的访问控制消息,查询安全策略数据库,对欲执行的访问控制作出决策。步骤47安全服务器将决策结果返还给客体管理器,这个决策消息不通过强制实施器,直接送达。步骤48客体管理器分析安全服务器的决策结果,如果同意访问控制请求,则转步骤49,否则转步骤4a。步骤49客体管理器实施用户提交的访问控制请求。步骤4a客体管理器拒绝实施用户提交的访问控制请求。步骤4b客体管理器将对访问控制请求的实施结果返还给用户进程。步骤4c实施结果消息被内核的IPC机制重定向到强制实施器。步骤4d强制实施器将实施结果消息传递给用户进程,同时根据预先的设置进行相应的审计记录。步骤4e是结束状态。
全文摘要
高安全等级操作系统的参照监视器实现方法,(1)参照监视器结构;参照监视器结构基于一个安全增强的微内核,所有服务程序和用户应用程序都位于核外,进程间通信(IPC)是应用程序获得服务、访问资源以及服务器之间交互的唯一途经,(2)对微内核IPC通信控制的实现;(3)参照监视器所需安全服务启动的流程;本发明通过参照监视器结构限制用户通信、获取系统服务,从而强制实施访问控制的安全策略验证,避免验证机制被旁路,保证了参照监视器对系统资源利用和保护的有效性,进而提高系统的安全性和服务能力,满足高等级操作系统的安全要求。
文档编号G06F21/00GK101174293SQ20071019000
公开日2008年5月7日 申请日期2007年11月19日 优先权日2007年11月19日
发明者曾庆凯, 王友荣, 黄达明 申请人:南京大学