1、操作系統(tǒng)安全是信息系統(tǒng)安全的基石。40多年來，安全操作系統(tǒng)得到了長足的發(fā)展，并在訪問控制框架和安全模型方面均取得了豐碩的成果。但是，縱觀安全操作系統(tǒng)的發(fā)展歷史，可以發(fā)現(xiàn)安全操作系統(tǒng)的主要應(yīng)用范圍仍然是在國防和軍事領(lǐng)域，在商用和民用領(lǐng)域尚未有成熟的安全操作系統(tǒng)出現(xiàn)。迄今為止，在整個(gè)國際上，安全操作系統(tǒng)的應(yīng)用并不成功，在實(shí)際應(yīng)用中發(fā)揮作用的操作系統(tǒng)絕大部分不是安全操作系統(tǒng)。究其本質(zhì)，一方面，安全操作系統(tǒng)還存在諸多不完善的地方。另一方面，隨著

2、基于互聯(lián)網(wǎng)的應(yīng)用系統(tǒng)不斷增多，人們所面臨的安全問題也與日俱增，傳統(tǒng)的信息安全解決不了當(dāng)前面臨的復(fù)雜安全問題，需要構(gòu)建新一代適應(yīng)信息發(fā)展需求的可信計(jì)算環(huán)境。 本論文回顧安全操作系統(tǒng)的發(fā)展歷程，結(jié)合當(dāng)前安全操作系統(tǒng)的現(xiàn)狀，剖析了安全操作系統(tǒng)存在的主要問題。以可信計(jì)算技術(shù)為背景提出了可信操作系統(tǒng)概念。并對(duì)可信操作系統(tǒng)的體系結(jié)構(gòu)、引導(dǎo)過程、自身完整性測(cè)量、用戶登錄過程、時(shí)間適應(yīng)的通用動(dòng)態(tài)多安全政策支持框架、用戶行為可信及客體可信等問題進(jìn)

3、行了深入研究并取得了如下成果： 1．對(duì)“可信操作系統(tǒng)”概念的研究以安全操作系統(tǒng)和可信計(jì)算技術(shù)為基礎(chǔ)，明確定義了可信操作系統(tǒng)的概念，指出可信操作系統(tǒng)是能夠通過支持多種安全政策來適應(yīng)環(huán)境變化，并保證在系統(tǒng)中的本地或遠(yuǎn)程實(shí)體的行為總是以預(yù)期的方式和意圖發(fā)生的，客體內(nèi)容是真實(shí)、保密和完整的，以及自身完整性的操作系統(tǒng)。分析了可信操作系統(tǒng)的內(nèi)涵和特點(diǎn)以及可信操作系統(tǒng)與安全操作的關(guān)系。從分析可以看出，可信操作系統(tǒng)和安全操作系統(tǒng)是有聯(lián)系的，安全

4、操作系統(tǒng)是可信操作系統(tǒng)的基礎(chǔ)，安全操作系統(tǒng)中的安全模型和訪問框架同樣適合于可信操作系統(tǒng)。而可信操作系統(tǒng)與安全操作系統(tǒng)又是不同的，可信操作系統(tǒng)研究的是如何為用戶提供一個(gè)可信的計(jì)算環(huán)境，而安全操作系統(tǒng)研究的是如何為用戶提供一個(gè)基礎(chǔ)安全平臺(tái)?！翱尚拧钡膬?nèi)涵和外延均包括了“安全”[TAN2006a]。 2．對(duì)可信操作系統(tǒng)完整性度量的研究在分析普通操作系統(tǒng)引導(dǎo)流程的基礎(chǔ)上，研究了可信操作系統(tǒng)的可信引導(dǎo)過程。文中將可信操作系統(tǒng)的引導(dǎo)流程分成

5、兩個(gè)階段：一是可信硬件引導(dǎo)流程；二是操作系統(tǒng)可信啟動(dòng)流程。并指出了可信操作系統(tǒng)整個(gè)引導(dǎo)流程中存在的問題。為此，提出了一種新的可信引導(dǎo)過程一并行可復(fù)原可信引導(dǎo)過程，即在主機(jī)CPU與可信硬件之間采用并行工作方式，并支持被驗(yàn)證組件代碼的備份和恢復(fù)。然后利用通道技術(shù)設(shè)計(jì)和實(shí)現(xiàn)了這一引導(dǎo)過程。對(duì)此引導(dǎo)過程進(jìn)行的安全性分析和性能分析表明，該引導(dǎo)過程可以使計(jì)算機(jī)獲得更高的安全保障，為進(jìn)一步建立可信計(jì)算環(huán)境提供了基礎(chǔ)[TAN2006b，TAN2006e

6、]。 3．對(duì)可信操作系統(tǒng)用戶登錄認(rèn)證方式的研究傳統(tǒng)主流操作系統(tǒng)用戶登錄認(rèn)證方式有如下缺陷：(1)存儲(chǔ)不可信問題?？诹?、密鑰或特征碼等這些在認(rèn)證過程中需要的數(shù)據(jù)信息存放在存在安全隱患的地方，如：操作系統(tǒng)的文件系統(tǒng)中，盡管實(shí)施了保護(hù)，但保護(hù)力度是不夠的，(2)單向認(rèn)證問題。即只能操作系統(tǒng)驗(yàn)證用戶，而用戶不能驗(yàn)證操作系統(tǒng)。文中提出了一種新的用戶登錄認(rèn)證方式：基于可信硬件的用戶登錄可信認(rèn)證。該認(rèn)證方式將用戶的身份信息、相關(guān)的密鑰信息等存

7、儲(chǔ)在可信硬件中，并利用USBKEY技術(shù)、動(dòng)態(tài)的口令技術(shù)來確保用戶身份的真實(shí)可信。克服了操作系統(tǒng)用戶登錄傳統(tǒng)認(rèn)證方式的缺陷，支持雙向認(rèn)證。較好地解決傳統(tǒng)主流操作系統(tǒng)面臨的用戶登錄認(rèn)證問題[TAN2007a]。 4．對(duì)可信操作系統(tǒng)中用戶行為監(jiān)管的研究“開域授權(quán)”和“內(nèi)部攻擊”成為了各類信息流失事件的主要行為模式。內(nèi)部用戶利用“開域授權(quán)”和“內(nèi)部攻擊”形成Insider Threat的危害性遠(yuǎn)遠(yuǎn)大于Outsider Threat?？尚?/p>

8、操作系統(tǒng)必須考慮對(duì)內(nèi)部用戶行為的監(jiān)管。文中分析了操作系統(tǒng)中用戶行為的特征及其描述方法，提出了一種基于用戶行為樹的用戶行為監(jiān)管模型，該模型依據(jù)操作系統(tǒng)行為樹來分析用戶在操作系統(tǒng)中可能存在的“開域授權(quán)”和“內(nèi)部攻擊”行為蹤跡，根據(jù)用戶行為的層次性來實(shí)現(xiàn)對(duì)用戶行為的監(jiān)管。其間采用了基于行為樹的不良行為過濾算法，可以有效防止合法用戶的“開域授權(quán)”和“內(nèi)部攻擊”行為，保證用戶行為的可信性，是傳統(tǒng)訪問控制理論的有益補(bǔ)充[TAN2006f]。

9、 5．對(duì)可信操作系統(tǒng)中可信客體的研究安全操作系統(tǒng)在處理客體時(shí)存在不足，而且不能保證客體內(nèi)容的真實(shí)性，文中首先分析了操作系統(tǒng)中客體的類型，將客體分為靜態(tài)客體和動(dòng)態(tài)客體，提出可信靜態(tài)客體、可信動(dòng)態(tài)客體和可信客體的概念，并分析了可信客體的特點(diǎn)以及與安全客體的關(guān)系[TAN2007b]。為了保證可信靜態(tài)客體內(nèi)容的真實(shí)性，提出了基于可信硬件的靜態(tài)客體可信驗(yàn)證系統(tǒng)(TASSOBT)。該系統(tǒng)通過可信靜態(tài)客體的映像文件來記錄可信靜態(tài)客體的來源、處理行為和

10、內(nèi)容變化的簽名，并存于可信硬件中。解決了安全操作系統(tǒng)對(duì)靜態(tài)客體處理存在的缺陷。[TAN2007 c]。為了阻止黑客利用動(dòng)態(tài)客體進(jìn)行欺騙和中間人攻擊，防止信息泄露，提出了基于可信硬件的可信動(dòng)態(tài)客體監(jiān)管系統(tǒng)(MSTDOBT)。該系統(tǒng)可以保證主體和可信動(dòng)態(tài)客體之間進(jìn)行雙向身份認(rèn)證。解決了安全操作系統(tǒng)在處理動(dòng)態(tài)客體時(shí)存在的缺陷[TAN2007d]。TASSOBT和MSTDOBT為進(jìn)一步建立可信計(jì)算環(huán)境提供了基礎(chǔ)。 除上述工作外，本論文還

11、對(duì)可信操作系統(tǒng)的其他安全保障技術(shù)進(jìn)行了研究和探討，主要集中在以下兩個(gè)方面： 1．公開密鑰基礎(chǔ)設(shè)施證書撤消機(jī)制的研究網(wǎng)絡(luò)中終端可信需要證明?？尚庞?jì)算的技術(shù)基礎(chǔ)是公開密碼技術(shù)，并采用了多種證書實(shí)現(xiàn)證明。隨著證書規(guī)模增加，大規(guī)模證書撤消列表(CRL)的維護(hù)是一個(gè)最為棘手的問題。文中提出兩個(gè)CRL發(fā)布新模型：CRL分段．過量發(fā)布綜合模型和CRL增量．過量發(fā)布綜合模型。分段-過量發(fā)布綜合模型采用先將CRL(Certificate Revo

12、cation List)分段，然后各段獨(dú)立過量發(fā)布的方式來實(shí)現(xiàn)。該方式既可以減少CRL的長度，使存儲(chǔ)庫以更快的速度提供請(qǐng)求服務(wù)，又可以降低峰值請(qǐng)求率、峰值帶寬和平均負(fù)荷，減少時(shí)間碎片。雖然分段．過量模型的平均請(qǐng)求率比過量模型大，只要合理確定和調(diào)整參數(shù)O和S，就可以把平均負(fù)荷和峰值帶寬控制在要求的范圍內(nèi)。增量-過量發(fā)布綜合模型采用將Delta-CRLs的Base CRL過量發(fā)布來實(shí)現(xiàn)。該方式既可以減小信任方下載的CRL大小，改善了響應(yīng)時(shí)間

13、，減少時(shí)間碎片；又可以降低對(duì)Base CRL峰值請(qǐng)求率，從而降低對(duì)存儲(chǔ)庫的峰值帶寬和平均負(fù)荷。而且，增量-過量發(fā)布綜合模型優(yōu)于傳統(tǒng)模型和增量模型，但其發(fā)布性能依賴于PKI系統(tǒng)的證書有效期、證書吊銷率、Delta CRL的頒發(fā)周期和時(shí)間跨度。Delta CRL的頒發(fā)周期越長，時(shí)間跨度越大，證書吊銷率越高，證書有效期越短，過量發(fā)布Base CRL所帶來的性能優(yōu)化就越小。因此，增量-過量模型適合于在Delta CRL的頒發(fā)周期和時(shí)間跨度較短、

14、證書吊銷率不高、證書有效期較長的大型PKI系統(tǒng)中。[TAN2005a，TAN2005b]。 2．對(duì)安全需求體系結(jié)構(gòu)描述語言的研究傳統(tǒng)的體系結(jié)構(gòu)描述語言沒有專門針對(duì)安全需求的構(gòu)件、連接件和體系結(jié)構(gòu)風(fēng)格的描述，因此，在體系結(jié)構(gòu)層次上描述安全需求還比較困難。文中提出了一種基于XML的安全需求體系結(jié)構(gòu)描述語言-XSSRA/ADL，它引入了安全構(gòu)件、半安全構(gòu)件、安全連接件、半安全連接件等設(shè)計(jì)單元，不僅能夠描述安全需求的體系結(jié)構(gòu)，而且也較好