一种高安全等级操作系统的参照监视器实现方法

摘要

高安全等级操作系统的参照监视器实现方法，(1)参照监视器结构；参照监视器结构基于一个安全增强的微内核，所有服务程序和用户应用程序都位于核外，进程间通信(IPC)是应用程序获得服务、访问资源以及服务器之间交互的唯一途经，(2)对微内核IPC通信控制的实现；(3)参照监视器所需安全服务启动的流程；本发明通过参照监视器结构限制用户通信、获取系统服务，从而强制实施访问控制的安全策略验证，避免验证机制被旁路，保证了参照监视器对系统资源利用和保护的有效性，进而提高系统的安全性和服务能力，满足高等级操作系统的安全要求。

说明书

技术领域

本发明涉及高安全等级操作系统的安全内核，特别涉及一种不可绕过的参照监视器实现方法。

背景技术

安全操作系统是整个信息系统安全的基础。安全操作系统的关键目标是提供尽可能强的访问控制和审计机制，在应用程序和系统硬、软件资源之间执行符合安全策略的调度，限制非法的访问。不可绕过的参照监视器是安全操作系统的重要保证，可用于政府、军事、国防等重要领域的信息系统，提高重要信息系统的保障能力。

传统操作系统大多从各种实用的功能需求和性能需求出发进行设计和实现，随后通过安全增强，添加安全相关的功能组件来提高安全性。事实上，安全性不是安全功能的简单叠加，这样不能保证其引用验证机制是不可被绕过的。高安全等级操作系统需要从设计之初就充分考虑安全的需求，通过设计严密科学的安全体系结构来保证系统安全性。根据这种要求，本发明提供一种精简而有效的参照监视器，使得其引用验证机制总是处于活跃状态并且不可被绕过，以保证安全策略的正确实施。

发明内容

本发明主要针对高安全等级操作系统，尤其是达到GB17859-1999《计算机信息系统安全保护等级划分准则》第四级及以上安全操作系统对安全内核的要求，提供一种参照监视器实现方法，能够对主客体之间所有的访问进行不可绕过的监视和仲裁，并将重要安全事件存入审计文件。

为实现本发明所述目的，本发明提供一种不可绕过的参照监视器实现方法。高安全等级操作系统的参照监视器实现方法，(1)参照监视器结构；参照监视器结构基于一个安全增强的微内核，所有服务程序和用户应用程序都位于核外，进程间通信(IPC)是应用程序获得服务、访问资源以及服务器之间交互的唯一途经，通过增强微内核的进程间通信服务和引入强制实施器对IPC通信进行控制和验证，再配合安全服务器和客体管理器对安全策略的实施，实现一个不可绕过的参照监视器：1)通过在进程的地址空间中增加一个监视域字段，设置成空或者一个仲裁者的引用；如果为空，表示这个进程的IPC通信不受监控；否则，这个进程的IPC通信会被重新定向到一个仲裁者，实现监视控制；2)在消息的格式中添加“真实源”字段，这个字段在消息初始化的时候由内核负责赋值；无论经过多少次重定向，改变的只是消息中原来的发送者的字段，“真实源”字段保持不变，其值是源发送；(2)对微内核IPC通信控制的实现；步骤20是初始动作；步骤21发送进程生成消息，内核将消息的真实源设置为发送进程；步骤22判断持有消息的当前进程的监视域字段是否为空，如果为空，则转步骤23，否则，转步骤25；步骤23表示持有消息的当前进程的监视域字段为某个服务进程，则将消息发送给监视域进程；步骤24监视域进程收到消息，转步骤22继续进程监视域字段判断；步骤25表示持有消息的当前进程的监视域字段为空，也就是通信可以直接进行，则将消息发送给真正的目的进程；步骤26根据消息的真实源字段通知消息发送是否成功；步骤27是结束状态；

(3)参照监视器所需安全服务启动的流程；步骤31首先加载安全微内核，内核提供了后续所有服务所需的服务机制，其中包括参照监视器不可绕过性所需的增强的IPC通信服务；步骤32加载安全存储服务器；步骤33加载服务器装载器；步骤34服务器装载器验证并启动审计服务器，当审计服务器加载后，系统中安全相关的事件记录下来；步骤35服务器装载器验证并启动强制实施器；步骤36服务器装载器验证并启动安全服务器，它负责加载相应的安全策略，为客体管理器提供决策服务；步骤37服务器装载器验证并启动客体管理器(根据安全服务器的判定，来具体实施相应的访问控制请求；步骤38服务器装载器验证并启动验证服务器，它负责验证访问控制中主体的身份；步骤39随后启动其他操作系统模块。

(4)参照监视器中一个访问控制的具体实施流程；步骤40是初始动作。步骤41用户进程向客体管理器发出访问控制请求。步骤42用户进程的访问控制请求被内核的IPC机制重新定向到强制实施器。步骤43强制实施器将用户的访问控制请求转交给客体管理器，同时可以根据预先的设置进行相应的审计记录。步骤44客体管理器根据用户进程的访问控制请求，生成访问控制消息。步骤45客体管理器向安全服务器提交访问控制消息，因为客体管理器和安全服务器都是可信服务器，所以消息不经过强制实施器，直接送达。步骤46安全服务器收到客体管理器的访问控制消息，查询安全策略数据库，对欲执行的访问控制作出决策。步骤47安全服务器将决策结果返还给客体管理器，这个决策消息不通过强制实施器，直接送达。步骤48客体管理器分析安全服务器的决策结果，如果同意访问控制请求，则转步骤49，否则转步骤4a。步骤49客体管理器实施用户提交的访问控制请求。步骤4a客体管理器拒绝实施用户提交的访问控制请求。步骤4b客体管理器将对访问控制请求的实施结果返还给用户进程。步骤4c实施结果消息被内核的IPC机制重定向到强制实施器。步骤4d强制实施器将实施结果消息传递给用户进程，同时根据预先的设置进行相应的审计记录。步骤4e是结束状态。

本发明的有益效果是：通过参照监视器结构限制用户通信、获取系统服务，从而强制实施访问控制的安全策略验证，避免验证机制被旁路，保证了参照监视器对系统资源利用和保护的有效性，进而提高系统的安全性和服务能力，满足高等级操作系统的安全要求。

附图说明

图1参照监视器结构示意图

图2IPC通信控制的实现说明图

图3安全服务启动流程图

图4访问控制实施图

具体实施方式

如附图1所示，本发明的参照监视器结构中，各安全服务相互关联，实现对访问控制不可绕过的仲裁和监视，各服务设计目的和功能的说明如下。用户进程向客体管理器提出访问控制请求，并接收客体管理器对访问控制的实施结果。验证服务器负责验证用户进程所代表的主体的身份。重要的安全服务器由服务器装载器在进行完整性校验后，安全可信地启动各个服务器，服务器装载器还负责可信服务器的配置、管理。强制实施器具有控制所有发送给服务器请求的能力，能够截取所有的用户请求，实现全面验证的特性，是访问控制子系统(包括客体管理器、安全服务器)和审计子系统的基础。客体管理器负责接收所有主客体访问请求，向安全服务器提出查询，并根据安全服务器的决策，执行具体的安全策略，对访问请求进行裁决。安全服务器根据当前加载的安全策略，对客体管理器提交的请求作出决策，并将判定结果返还给客体管理器，使得客体管理器能具体执行相关安全策略。审计服务器负责管理审计协议，审计日志的管理等，强制实施器和客体管理器可以提供粒度不等的审计信息源。安全存储器服务器以一种特殊的文件系统，实现对安全服务器中的策略数据、审计日志数据的安全可信的存储。安全增强的微内核，通过修改通信原语，将所有不可信进程的通信全部重定向给强制实施器，从而使得没有用户请求能够绕过强制实施器，因为在微内核的系统中IPC通信是应用程序获得服务、访问资源的唯一途经。

图2表示IPC通信控制的实现流程。对IPC通信控制的实现是通过对IPC消息的重定向实现的，改进要点包括：(1)通过在进程的地址空间中增加一个监视域字段，可以设置成空或者一个仲裁者的引用。如果为空，表示这个进程的IPC通信不受监控；否则，这个进程的IPC通信会被重新定向到一个仲裁者，实现了监视控制；(2)在消息的格式中添加“真实源”字段，这个字段在消息初始化的时候由内核负责赋值。无论经过多少次重定向，改变的只是消息中原来的发送者的字段，“真实源”字段保持不变，其值是源发送者。步骤20是初始动作。步骤21发送进程生成消息，内核将消息的真实源设置为发送进程。步骤22判断持有消息的当前进程的监视域字段是否为空，如果为空，则转步骤23，否则，转步骤25。步骤23表示持有消息的当前进程的监视域字段为某个服务进程，则将消息发送给监视域进程。步骤24监视域进程收到消息，转步骤22继续进程监视域字段判断。步骤25表示持有消息的当前进程的监视域字段为空，也就是通信可以直接进行，则将消息发送给真正的目的进程。步骤26根据消息的真实源字段通知消息发送是否成功。步骤27是结束状态。

图3表示参照监视器各安全服务的启动流程。步骤31首先加载安全微内核，内核提供了后续所有服务所需的服务机制，其中包括本发明中参照监视器不可绕过性所需的增强的IPC通信服务。步骤32加载安全存储服务器(在之前还有一些基础服务，比如名字服务器、I/O驱动等需要加载，这里着重说明参照监视器各组成部分的加载)，因为它是审计服务器工作的基础。步骤33加载服务器装载器，它负责对参照监视器中其余安全服务进行验证，然后加载，保证启动的安全服务是可信的。步骤34服务器装载器验证并启动审计服务器，当审计服务器加载后，系统中安全相关的事件都可以记录下来。步骤35服务器装载器验证并启动强制实施器，这是保证访问控制不可绕过的关键服务，而其有效性由内核的IPC通信增强来保证。步骤36服务器装载器验证并启动安全服务器，它负责加载相应的安全策略，为客体管理器提供决策服务。步骤37服务器装载器验证并启动客体管理器(可能不止一个)，它们负责为所有的主客体访问请求提供服务，根据安全服务器的判定，来具体实施相应的访问控制请求。步骤38服务器装载器验证并启动验证服务器，它负责验证访问控制中主体的身份。步骤39随后启动其他操作系统模块。

图4表示参照监视器中一个访问控制的具体实施流程。步骤40是初始动作。步骤41用户进程向客体管理器发出访问控制请求。步骤42用户进程的访问控制请求被内核的IPC机制重新定向到强制实施器。步骤43强制实施器将用户的访问控制请求转交给客体管理器，同时可以根据预先的设置进行相应的审计记录。步骤44客体管理器根据用户进程的访问控制请求，生成访问控制消息。步骤45客体管理器向安全服务器提交访问控制消息，因为客体管理器和安全服务器都是可信服务器，所以消息不经过强制实施器，直接送达。步骤46安全服务器收到客体管理器的访问控制消息，查询安全策略数据库，对欲执行的访问控制作出决策。步骤47安全服务器将决策结果返还给客体管理器，这个决策消息不通过强制实施器，直接送达。步骤48客体管理器分析安全服务器的决策结果，如果同意访问控制请求，则转步骤49，否则转步骤4a。步骤49客体管理器实施用户提交的访问控制请求。步骤4a客体管理器拒绝实施用户提交的访问控制请求。步骤4b客体管理器将对访问控制请求的实施结果返还给用户进程。步骤4c实施结果消息被内核的IPC机制重定向到强制实施器。步骤4d强制实施器将实施结果消息传递给用户进程，同时根据预先的设置进行相应的审计记录。步骤4e是结束状态。