可信操作系統(tǒng)與多級安全機制研究—文獻(xiàn)綜述（董貴山）1概述操作系統(tǒng)安全相關(guān)的問題研究自上世紀(jì)70年代以來，已經(jīng)經(jīng)歷了較長時間的發(fā)展，主要研究的領(lǐng)域包括安全操作系統(tǒng)體系構(gòu)架與實現(xiàn)，基于引用監(jiān)控機的安全操作系統(tǒng)構(gòu)架，多級安全系統(tǒng)等。近年來，從信任角度研究系統(tǒng)安全也成為新的熱點，TCG制定了一系列的規(guī)范，作為可信平臺、可信操作系統(tǒng)的構(gòu)建基礎(chǔ)。概括來說，信息系統(tǒng)安全的主要目標(biāo)在于自主、安全、可控。安全操作系統(tǒng)的研究重點落在基于通用操作系統(tǒng)實現(xiàn)安全加固增強方面，符合flask構(gòu)架的安全操作系統(tǒng)如SELinux成為其中的典型；而從自主、可控角度來看，加強整體軟硬件平臺乃至系統(tǒng)軟件、進(jìn)程運行態(tài)的可信、可控成為關(guān)鍵，可信的終端軟硬件平臺最終也成為構(gòu)建可信網(wǎng)絡(luò)，進(jìn)而構(gòu)建安全的信息系統(tǒng)的基礎(chǔ)。因此，研究安全操作系統(tǒng)與可信計算相結(jié)合的可信操作系統(tǒng)構(gòu)架，具有重要的價值。同時，大型信息系統(tǒng)的等級保護(hù)，需要系統(tǒng)對多級安全策略提供有效的支持。而傳統(tǒng)的操作系統(tǒng)很少考慮等級層次的安全策略及其變化因素，措施主要集中在對特定安全政策的實現(xiàn)上（如按照諸TCSEC等標(biāo)準(zhǔn)的要求去實現(xiàn)固定等級的安全需求）。針對不同的用戶群體、不同的安全環(huán)境、不同的安全威脅，要求分布式應(yīng)用中的安全系統(tǒng)應(yīng)能夠靈活地對范圍廣闊的各種安全政策進(jìn)行多級安全支持。本文對安全操作系統(tǒng)、可信系統(tǒng)、TCG相關(guān)規(guī)范、多級安全、引用監(jiān)控機技術(shù)等方面的研究現(xiàn)狀及問題進(jìn)行了綜合說明。同時結(jié)合目前系統(tǒng)安全所關(guān)注的自主、可控、安全問題，提出結(jié)合上述技術(shù)的優(yōu)點，研究建立一個基于虛擬機監(jiān)控器Xen的可信操作系統(tǒng)研究原型，實現(xiàn)一個可信、安全、可控的計算系統(tǒng)。進(jìn)一步，研究基于此構(gòu)架的可信操作系統(tǒng)對信息系統(tǒng)等級保護(hù)所需要的多級安全策略的靈活支持機制。2安全操作系統(tǒng)的國內(nèi)外研究現(xiàn)狀計算機操作系統(tǒng)的安全問題日益引起人們的高度重視。操作系統(tǒng)安全是指從各種不同的角度分析操作系統(tǒng)的安全性，包括系統(tǒng)無錯誤配置、無漏洞、無后門、無特洛伊木馬，能防止非法用戶對計算機資源的非法存取，一般用來表達(dá)對操作系統(tǒng)的安全需求。安全操作系統(tǒng)指能對所管理的數(shù)據(jù)與資源提供適當(dāng)?shù)谋Ｗo(hù)級、有效地控制硬件與軟件功能的操作系統(tǒng)，安全操作系統(tǒng)通常與相應(yīng)的安全等級相對應(yīng)。根據(jù)TCSEC[15]標(biāo)準(zhǔn)，通常B1級以上的操作系統(tǒng)才能稱之為為安全操作系統(tǒng)。目前，國內(nèi)外基于開源的Linux操作系統(tǒng)，研究并推出了一系列的操作系統(tǒng)安全增強機制。有代表性的有SELinux[1]，RSBAC[16]，MedusaDS9[17]，L0MAC[18],LIDS[11]等。SELinux(SecurityEnhancedLinux)全稱是安全增強Linux，它是策略靈活的強制訪問控制體系Flask在Linux上的實現(xiàn)oSELinux是目前使用范圍最廣、影響力最大的開源Linux安全增強項目。SELinux提供了的安全模型主要由兩種安全策略結(jié)合而成。類型增強類(TE)和基于角色的訪問控制(RBAC)，另外還包括了可選的傳統(tǒng)的多級安全(MLS)。TE模型提供了對系統(tǒng)中進(jìn)程和客體的細(xì)粒度訪問控制，RBAC模型提供了簡化用戶管理的一個高層抽象。除此之外SELnux還定義了一種策略描述語言，用這種語言提供了一個示例的安全策略的配置。SELinux的安全策略配置要達(dá)到8個主要目標(biāo)：(1)控制對數(shù)據(jù)進(jìn)行的各種形式的原始訪問；(2)保護(hù)內(nèi)核的完整性；(3)保護(hù)系統(tǒng)軟件、系統(tǒng)配置信息和系統(tǒng)完整性；(4)限制特權(quán)進(jìn)程中的缺陷可能引起的潛在破壞；(5)防止特權(quán)進(jìn)程運行惡意代碼；(6)防止未通過用戶身份認(rèn)證就進(jìn)入管理員角色或域；(7)防止普通用戶進(jìn)程干擾系統(tǒng)進(jìn)程或管理員進(jìn)程；(8)防止惡意移動代碼利用瀏覽器的缺陷給用戶或管理員帶來危害。RSBAC的全稱是基于規(guī)則集的訪問控制，它是一個基于Linux內(nèi)核的策略靈活的訪問控制框架。RSBAC最早是由德國漢堡大學(xué)的Amon開發(fā)出來的，基于MarshallAbeam和LeonardLaPadaula設(shè)計的通用訪間控制框架(GFAC)。RSBAC在Linux上實現(xiàn)了GFAC框架，用這種方法把安全策略實施、決策、以及數(shù)據(jù)劃分為訪問控制實施設(shè)施(AEF)、訪問控制決策設(shè)施(ADF)、訪問控制數(shù)據(jù)(ACI)。所有的安全相關(guān)的系統(tǒng)調(diào)用由安全實施代碼來擴(kuò)展，這些代碼調(diào)用中央決策組件，中央決策組件調(diào)用激活的決策模塊并且生成一個由各個模塊合并而成的決策，這個決策最終由系統(tǒng)調(diào)用擴(kuò)展來實施。LIDS的全稱是Linux入侵檢測系統(tǒng)，實際上是用來增強Linux內(nèi)核級安全的一個內(nèi)核補丁和一系列的管理工具，是一個以訪問控制為主要功能的Linux內(nèi)核級安全增強系統(tǒng)。LIDS在Linux內(nèi)核中實現(xiàn)了引用監(jiān)控器和強制訪問控制。它的主要安全特性有：實現(xiàn)了文件的保護(hù)，包括root在內(nèi)的所有用戶都無法修改LIDS保護(hù)的文件，并且可以隱藏文件；實現(xiàn)了進(jìn)程的保護(hù)，包括root在內(nèi)的所有用戶都無法殺死LIDS保護(hù)的進(jìn)程，并且可以隱藏進(jìn)程；以訪問控制列表的形式(ACL)實現(xiàn)了細(xì)粒度的訪問控制，使用并且擴(kuò)展了Capability來控制整個系統(tǒng)；實現(xiàn)了內(nèi)核級的安全報警，實現(xiàn)了內(nèi)核級的端口掃描檢測器。LIDS的訪問控制的策略是固定在其實現(xiàn)中的，不能像SELinux或者RSBAC那樣實現(xiàn)動態(tài)訪問控制的策略靈活性。MedusaDS9是由斯洛伐克開發(fā)者開發(fā)的一個Linux內(nèi)核級安全增強系統(tǒng)。MedusaDS9的主要原理是實現(xiàn)一個用戶空間的授權(quán)服務(wù)器(對用戶空間應(yīng)用程序完全透明)。在系統(tǒng)執(zhí)行特定操作之前，內(nèi)核詢問授權(quán)服務(wù)器來確認(rèn)這個操作，由授權(quán)服務(wù)器來決定是否可以執(zhí)行，通過這種方法就可以支持使用各種不同的安全體系和策略。MedusaDS9包括兩個主要的部分：一個Linux內(nèi)核補丁和一個叫做Constable的用戶空間安全后臺程序。Constable的作用和SELinux中的安全服務(wù)器以及RSBAC中的訪問控制決策設(shè)施(ADF)是類似的，但不同的是MedusaDS9把這個授權(quán)服務(wù)器實現(xiàn)在用戶空間。LOMAC的全稱是低水印(LowWater-Mark)強制訪問控制。它是Linux內(nèi)核的一個可動態(tài)加載的安全模塊，用來保護(hù)進(jìn)程和數(shù)據(jù)的完整性。LOMAC基于Biba的低水印模型，一旦被加載LOMAC把系統(tǒng)分為兩個完整性的級別：高級別和低級別。高完整性級別包括所有受到保護(hù)的系統(tǒng)進(jìn)程和系統(tǒng)文件，低完整性級別包括必須與遠(yuǎn)端用戶和系統(tǒng)交互的進(jìn)程以及從網(wǎng)絡(luò)上下載的文件。低完整性級別的進(jìn)程代表了潛在可能破壞整個系統(tǒng)完整性的威脅，LOMAC通過其缺省的配置保護(hù)高完整性級別的進(jìn)程和文件不會被低完整性級別的進(jìn)程修改。在LOMAC中一個高級別的非root進(jìn)程的權(quán)限是要大于一個低級別的root進(jìn)程的。由干所有網(wǎng)絡(luò)后臺服務(wù)器被缺省定義為低級別，這樣LOMAC就能防止通常以root權(quán)限運行的網(wǎng)絡(luò)后臺程序惡意破壞系統(tǒng)的完整性。可信系統(tǒng)的國內(nèi)外研究現(xiàn)狀如上面所述，安全操作系統(tǒng)主要基于現(xiàn)有的操作系統(tǒng)體系結(jié)構(gòu)，通過自身安全防護(hù)措施以及系統(tǒng)使用過程中的主體、客體的訪問控制策略模型實現(xiàn)系統(tǒng)的安全增強。但安全操作系統(tǒng)只是從訪問控制等方面解決了部分問題，計算系統(tǒng)的各類安全問題仍然層出不窮，傳統(tǒng)的安全保護(hù)方法無論從構(gòu)架還是從強度上來看已經(jīng)力有所不及。由此，一種新的安全理念認(rèn)為應(yīng)該從芯片上、硬件結(jié)構(gòu)和操作系統(tǒng)等方面綜合采取措施來提升安全性。由此，可信計算以及相似概念的研究近幾年來受到推崇。傳統(tǒng)的系統(tǒng)安全解決方案往往側(cè)重于先防外后防內(nèi)、先防服務(wù)設(shè)施后防終端設(shè)施，而可信計算則反其道而行之，首先保證所有終端的安全性，即透過確保安全的組件來組建更大的安全系統(tǒng)；從可信的終端、可信的服務(wù)器、可信的智能移動平臺到可信的網(wǎng)絡(luò)接入以及可信的網(wǎng)絡(luò)。Intel、BM、P等在1999年10月共同發(fā)起成立了TCPA(TrustedComputingPlatformAlliance)，即可信計算聯(lián)盟。TCPA定義了具有安全存儲和加密功能的TPM(TrustedPlatformModule)可信平臺模塊，并于2001年發(fā)布了基于硬件安全子系統(tǒng)的“TrustedComputingPlatformSpecifications”1.0版標(biāo)準(zhǔn)。2003年，TCPA改組并更名為TCG(TrustedComputingGroup)，目前該組織已經(jīng)完成了TPM1.1、TPM1.2的標(biāo)準(zhǔn)制定。目前國內(nèi)外已有多家公司推出了遵從TPM1.2的專用芯片以及基于TPM的安全計算機。TCG在可信計算方面目前的研究成果包括PC、PDA、蜂窩平臺等平臺相關(guān)的設(shè)計指南，也包括TCG相關(guān)的軟件開發(fā)規(guī)范。TCG標(biāo)準(zhǔn)包括的范圍很廣，包括PC、PDA、蜂窩移動設(shè)備、存儲設(shè)備等以及可信網(wǎng)絡(luò)構(gòu)建(TNC)規(guī)范。為防范系統(tǒng)漏洞以及安全操作系統(tǒng)“開域授權(quán)”所帶來的“內(nèi)部威脅”問題，基于可信計算概念的可信操作系統(tǒng)的研究也逐步成為研究熱點。IBM提出了一種基于TPM實現(xiàn)系統(tǒng)完整性度量的服務(wù)器系統(tǒng)框架，并在Linux系統(tǒng)上實現(xiàn)（TCGLinux）［19］；CornellUniversity的Alan等人提出了Nexus可信操作系統(tǒng)模型［20］（Trustworthyoperationsystem）,將Trustedcomputing層作為操作系統(tǒng)特權(quán)層，而Driver等傳統(tǒng)操作系統(tǒng)內(nèi)核特權(quán)級的模塊則作為受控安全訪問的非特權(quán)級模塊，在此之上是IPC以及Nexus的應(yīng)用層。我國國家密碼管理局也發(fā)布了類似TPM規(guī)范要求的《可信計算密碼支撐平臺功能與接口規(guī)范》，我國兆日和聯(lián)想已經(jīng)生產(chǎn)出了符合TCG1.2規(guī)范的TPM芯片，同時也已經(jīng)開發(fā)出了相應(yīng)的PC軟硬件平臺，同時瑞達(dá)等也開發(fā)了擁有自己獨立知識產(chǎn)權(quán)的，類似TCG規(guī)范的可信計算產(chǎn)品。但可信操作系統(tǒng)目前只是處于理論及模型實驗階段，尚未形成體系結(jié)構(gòu)上的突破以及可信系統(tǒng)評估方面的規(guī)范方法。多級安全研究的國內(nèi)外現(xiàn)狀多級安全問題最初起源于支持軍用系統(tǒng)和數(shù)據(jù)庫的安全保密，它可以使不同的密級包含不同的信息。通常將密級由低到高分為秘密級、機密級和絕密級，以確保每一密級的信息僅能讓那些具有高于或等于該級權(quán)限的人使用。目前有Bell&Lapadula（BLP）、Clark-Wilson、Biba等不同多級安全策略模型。經(jīng)典BLP模型［21］被公認(rèn)為保密性安全系統(tǒng)的基本安全模型,也是許多信息系統(tǒng)安全評測標(biāo)準(zhǔn)的制定依據(jù)和理論基礎(chǔ)（如美國國防部的TCSEC、中國國家標(biāo)準(zhǔn)GB17859-1999）,幾乎在迄今為止的所有安全操作系統(tǒng)中得到了實施。有研究者基于BLP等模型通過對操作系統(tǒng)的主體（如用戶和進(jìn)程）和客體（如文件、設(shè)備等資源）進(jìn)行標(biāo)記,以指明它們的安全屬性（如安全等級和類別）,然后在此基礎(chǔ)上實現(xiàn)強制訪問控制，以安全標(biāo)記為基礎(chǔ)實現(xiàn)了多級安全系統(tǒng)［22］。這樣的多級安全系統(tǒng)能夠?qū)崿F(xiàn)在單一操作系統(tǒng)中主體、客體的等級保護(hù)及互操作，但由于主體、客體所在的操作系統(tǒng)自身的安全問題可能造成隱通道使等級保護(hù)策略被旁路或失效［8］。為解決此問題，有研究者基于BLP模型設(shè)計了專門的“等級交互”系統(tǒng)，執(zhí)行不同等級信息隔離與訪問控制，使高安全級與低安全級的安全域之間嚴(yán)格安裝等級安全策略的要求進(jìn)行信息傳遞，此系統(tǒng)增強了不同等級安全域之間的隔離，但增加了等級防護(hù)邊界本身的復(fù)雜度，且“等級交互”系統(tǒng)本身也存在自身安全性問題，無法完全避免控制策略失效的風(fēng)險。在符合多級安全訪問控制策略的條件下，如何方便地實現(xiàn)不同安全等級實體間的信息交互，安全系統(tǒng)如何能夠靈活地對范圍廣闊的各種安全政策進(jìn)行多級安全支持，這些問題是目前多級安全領(lǐng)域值得研究的問題，也是隨著信息安全等級保護(hù)要求的不斷深入而必須從技術(shù)體系上解決好的問題。虛擬機監(jiān)控器和引用監(jiān)控機的研究現(xiàn)狀VMM（虛擬機監(jiān)控器）是直接運行與計算機硬件平臺之上的軟件，它全面地抽象了硬件接口，向上層軟件系統(tǒng)提供一個與其下硬件平臺相似的虛擬機抽象。基于這種軟件模擬，原運行于具體硬件平臺之上的操作系統(tǒng)也可以運行于VMM之上，成為VMM的客戶操作系統(tǒng)（虛擬機一VM）。盡管完全虛擬技術(shù)（如VMWARE）可以使客戶操作系統(tǒng)不作任何修改地運行，但存在其性能方面的不足，目前以XEN[2]為代表的半虛擬技術(shù)，在具有虛擬機隔離安全特性的同時具備接近操作系統(tǒng)直接運行在實際硬件平臺上的性能特性[2]，使具備高性能、強隔離特點的虛擬機構(gòu)架作為可信計算平臺的基礎(chǔ)框架成為可能，如Stanford的TalGarfinkel等提出的Terra系統(tǒng)[7]。“半虛擬”技術(shù)意味者將客戶OS運行在VMM之上需要對操作系統(tǒng)核心代碼進(jìn)行一些修改，但這與采用此技術(shù)獲得的性能和強隔離的安全性相比是值得的。此構(gòu)架中，VMM全面的硬件模擬使多個客戶操作系統(tǒng)透明地共享同一硬件平臺，同時它支持這些客戶操作系統(tǒng)之間的隔離以及各虛擬機（VM）與VMM自身的隔離[3]。Xen是運行于X86上的遵循GNU許可的開源VMM,它支持多個客戶OS以前所未有的性能（接近OS直接在硬件上運行）和隔離性同時運行。Xen項目組已經(jīng)把Linux2.4和2.6內(nèi)核完全移植到Xen上。引用監(jiān)控機是計算機安全操作系統(tǒng)中的一個重要概念。J.P.Anderson最早于20世紀(jì)70年代在一份研究報告中提出了引用監(jiān)控機[7][12][13]（referencemonitor）,引用驗證機制（referencevalidationmechanism）等重要思想。引用監(jiān)控機思想是為了解決用戶程序的運行控制問題而引入的，其目的是在用戶（程序）與系統(tǒng)資源之間實施一種授權(quán)的訪問關(guān)系。J.P.Anderson把引用監(jiān)控機的職能定義為：以主體（用戶等）所獲得的引用權(quán)限為基準(zhǔn)，驗證運行中的程序（對程序、數(shù)據(jù)、設(shè)備等）的所有引用。引用監(jiān)控機是一個抽象的概念。J.P.Anderson把引用監(jiān)控機的具體實現(xiàn)稱為引用驗證機制，它是實現(xiàn)引用監(jiān)控機思想的硬件和軟件的組合。引用驗證機制需要同時滿足以下三個原則：必須具有自我保護(hù)能力；必須總是處于活躍狀態(tài)；必須設(shè)計得足夠小，以利于分析和測試，從而能夠證明它的實現(xiàn)是正確的。第一個原則保證引用監(jiān)控機即使受到攻擊也能保持自身的完整性。第二個原則保證程序?qū)Y源的所有引用都得到引用驗證機制的仲裁。第三個原則保證引用驗證機制的實現(xiàn)是正確和符合要求的。根據(jù)上述的設(shè)計原則，引用監(jiān)控機通常被設(shè)計都在操作系統(tǒng)的內(nèi)核中，SELinux就是在Linux中增加引用監(jiān)控機而構(gòu)架的。引用監(jiān)控機也可被設(shè)計在VMM中，如2005年IBM的技術(shù)報告中提出在其虛擬機監(jiān)控器sHype[23][14]中增加引用監(jiān)控機的設(shè)計方案。斯坦福的TalGarfinkel等人提出了“Terra”結(jié)構(gòu)，這種體系結(jié)構(gòu)使用一個可信虛擬機監(jiān)控器(TVMM)來產(chǎn)生并支持各種單獨的虛擬機。利用這種體系構(gòu)架新增的特權(quán)范型，對于“閉盒式”(closedboxes)虛擬機可提供一定程度的可信度。IBM近期研究了基于虛擬機體系結(jié)構(gòu)的TPM的非硬件實現(xiàn)：虛擬TPM(VTPM),并提出此建立系統(tǒng)可信基礎(chǔ)，這為不具備硬件TPM基礎(chǔ)的計算平臺轉(zhuǎn)換為可信計算平臺提供了一種技術(shù)思路。TCG相關(guān)規(guī)范研究現(xiàn)狀TPM是是TrustedPlatformModule的英文縮寫，TCG將建立可信計算環(huán)境的基礎(chǔ)定義在TPM上，TPM中包含了建立可信計算必須的功能，如：身份認(rèn)證、加密、存儲保護(hù)及完整性度量、完整性保護(hù)。并將這些功能部件濃縮到一個芯片上，與硬件平臺穩(wěn)固連接，就像一塊身份烙印一樣，牢牢地印在了平臺上。目前推出較多的是基于PC的TPM硬件平臺，從TPM規(guī)范的制定者來說，嵌入式系統(tǒng),PDA，移動手機等電子設(shè)備都是包含在了TCG的規(guī)范當(dāng)中的，覆蓋面極廣。TPM不僅僅是一顆芯片，更多的應(yīng)用要建立在TPM軟件架構(gòu)之上，通過這些軟件將信任鏈逐級傳遞，最終達(dá)到整個系統(tǒng)的可信計算。在TCG規(guī)范當(dāng)中，這些軟件協(xié)議棧也進(jìn)行了明確規(guī)定，以保持各系統(tǒng)間的兼容性。TCG定義了一系列可信系統(tǒng)相關(guān)的軟硬件規(guī)范，這些規(guī)范最核心的目的是要解決如下三方面的問題：1． 如何基于TPM的硬件基礎(chǔ)建立一個的可信的系統(tǒng)軟件構(gòu)架，這也是建立可信操作系統(tǒng)所需要的基礎(chǔ)；2． 如何實現(xiàn)從平臺硬件到系統(tǒng)應(yīng)用軟件實現(xiàn)信任鏈建立與的逐層傳遞？這涉及到系列的密碼密鑰應(yīng)用相關(guān)涉及以及信任傳遞協(xié)議設(shè)計；3． 如何基于可信軟硬件系統(tǒng)進(jìn)一步建立可信網(wǎng)絡(luò)？這涉及到終端實體如何可信地接入網(wǎng)絡(luò)的相關(guān)協(xié)議、標(biāo)準(zhǔn)。TPM軟件體系主要可以分為三層：TPM設(shè)備驅(qū)動、TSS和應(yīng)用軟件。TSS處在TPM之上，應(yīng)用軟件之下，稱作可信軟件棧，它提供了應(yīng)用程序訪問TPM的接口，同時進(jìn)行對TPM的管理。TSS分為四層：工作在用戶態(tài)的TSP、TCS、TDDL和內(nèi)核態(tài)的TDD。如下圖所示。TPM軟件體系結(jié)構(gòu)圖如上圖所示TPM軟件體系。TCG服務(wù)提供層TSP提供兩種服務(wù)：上下文(context)管理和密碼操作。TCG核心服務(wù)層(TCS)提供一組標(biāo)準(zhǔn)平臺服務(wù)的API接口，實現(xiàn)了4個核心服務(wù)：(1)上下文管理一實現(xiàn)到TPM的線程訪問。證書和密鑰的管理－存儲與平臺相關(guān)的證書和密鑰。(3)度量事件管理－管理事件日志的寫入和相應(yīng)PCR寄存器的訪問。(4)參數(shù)塊的產(chǎn)生－負(fù)責(zé)對TPM命令序列化、同步和處理。TCG設(shè)備驅(qū)動庫(TDDL)是負(fù)責(zé)TPM驅(qū)動與用戶態(tài)通信的過渡接口。可信系統(tǒng)信任鏈的傳遞在可信計算體系中，建立可信需要先擁有可信根(RootsofTrust),然后建立一條可信鏈(ChainofTrust),再將可信傳遞到系統(tǒng)的各個模塊，之后就能建立整個系統(tǒng)的可信。所以信任源是一個必須能夠被信任的組件。通常在一個可信平臺中有三個可信根：度量可信根(RTM)、存儲可信根(RTS)和報告可信根(RTR)。RTM被用來完成完整性度量，通常使用度量可信根的核心(corerootoftrustformeasurement,CRTM)所控制的計算引擎。CRTM是平臺執(zhí)行RTM時的執(zhí)行代碼，一般存在BIOS中。RTM同時也是信任傳遞的原點。RTS是維護(hù)完整性摘要的值和摘要序列的引擎，一般由對存儲加密的引擎和加密密鑰組成。RTR是一個計算引擎，能夠可靠的報告RTS持有的數(shù)據(jù)，這個可靠性一般由簽名來保證。可信平臺構(gòu)造模塊(TrustedBuildingBlocks,TBB)是信任源的一部分，包括RTM和TPM初始化的信息和功能(復(fù)位等)。我們使用TBB來構(gòu)建可信源。在運行系統(tǒng)中的任何硬件和軟件模塊之前，必須建立對這些模塊代碼的信任，這種信任是通過在執(zhí)行控制轉(zhuǎn)移之前對代碼進(jìn)行度量來確認(rèn)的。在確認(rèn)可信后，將建立新的一個可信邊界，隔離所有可信和不可信的模塊。基于上述三個可信根，可信系統(tǒng)可以結(jié)合簽名、驗證技術(shù)將信任信息從BIOS和TPM一步一步傳遞到了操作系統(tǒng)和應(yīng)用程序，構(gòu)建成了一條可信鏈。就信任傳遞而言，TPM已經(jīng)有效定義了從TPM-BIOS-操作系統(tǒng)核心啟動的信任傳遞機制，目前如何實現(xiàn)信任鏈向進(jìn)程一級傳遞，實現(xiàn)可信與安全操作系統(tǒng)的有機結(jié)合，則是研究的熱點問題。TNC體系結(jié)構(gòu)TNC是可信網(wǎng)絡(luò)連接的英文縮寫，在網(wǎng)絡(luò)接入控制領(lǐng)域形成了由思科主導(dǎo)的NAC、微軟主導(dǎo)的NAP、和TCG推出的TNC并列的局面，就強調(diào)我國信息安全自主、可控這個角度來說，采用開放的TNC或者研發(fā)自主的網(wǎng)絡(luò)接入控制技術(shù)更適合我國信息安全發(fā)展的實際需要。TNC，本質(zhì)上就是要從終端的完整性開始，建立可信網(wǎng)絡(luò)連接。首先，需要創(chuàng)建一套在可信網(wǎng)絡(luò)內(nèi)部系統(tǒng)運行狀況的策略。然后只有遵守網(wǎng)絡(luò)設(shè)定的策略的終端才能訪問網(wǎng)絡(luò)，網(wǎng)絡(luò)將隔離和定位那些不遵守策略的設(shè)備。同時，由于使用了TPM，還可以使用TPM去阻擋對終端完整性造成破壞的攻擊。TNC的架構(gòu)分為三類實體：請求訪問者(theAccessRequestor,AR)、策略執(zhí)行者(PolicyEnforcementPoint,PEP)、策略定義者(PolicyDecisionPoint,PDP)，這些都是邏輯實體，可以分布在任意位置。TNC體系架構(gòu)在縱向分為三個層次，從下到上為：網(wǎng)絡(luò)訪問層：這一層用于支持傳統(tǒng)的網(wǎng)絡(luò)連接技術(shù)，在這一層里面有三個實體：完整性評估層，負(fù)責(zé)評估所有請求訪問網(wǎng)絡(luò)的實體的完整性。這一層到上一層有兩個重要的接口：IF-IMC(IntegrityMeasurementCollectorInterface)和IF-IMV(IntegrityMeasurementVerifierInterface)。完整性度量層、收集和校驗請求訪問者的完整性相關(guān)信息的組件。通過使用TPM之后強化的可信傳輸、身份認(rèn)證，再加上可信網(wǎng)絡(luò)連接(TNC)的架構(gòu)，將大大地限制惡意軟件的傳播與破壞，增強整個網(wǎng)絡(luò)信息系統(tǒng)的可信與安全性。可信操作系統(tǒng)研究思路安全操作系統(tǒng)，可信計算，多級安全都從各自的領(lǐng)域出發(fā)，為信息系統(tǒng)的安全提供了某方面的解決措施。但是，如前面分析的傳統(tǒng)安全操作系統(tǒng)存在自身運行態(tài)的完整性保護(hù)(運行在內(nèi)核特權(quán)級的核心完整性監(jiān)控模塊很容易被LKM及內(nèi)核實時補丁等機制引入的特權(quán)模塊所破壞）、實現(xiàn)其安全增強機制的核心或應(yīng)用層軟件模塊安全性防護(hù)、主客體認(rèn)證、開域授權(quán)方面的不足；在多級安全策略的動態(tài)適應(yīng)以及不同安全等級信息交互方面，傳統(tǒng)的安全操作系統(tǒng)也未能從安全策略及安全機制上提出有效的解決辦法。為嘗試從根本上尋求由各種基于操作系統(tǒng)的計算終端、服務(wù)器構(gòu)成的信息系統(tǒng)的安全問題的解決辦法，我們提出基于“虛擬機監(jiān)控器XEN的可信系統(tǒng)與多級安全機制”。這是一種引入了可信計算概念的新的安全操作系統(tǒng)構(gòu)架。TPM模塊（軟件模擬或由硬件模塊構(gòu)成，提供完整性保護(hù)以及系統(tǒng)可信的認(rèn)證基礎(chǔ)）由XEN直接控制，而XEN是由劍橋大學(xué)提出了一種高性能半虛擬模式的VMM（VirtualMachineMonitor,虛擬機監(jiān)控器），在其上運行兩個VM（VirtualMachine，虛擬機）一業(yè)務(wù)VM與監(jiān)控VM。業(yè)務(wù)VM基于安全操作系統(tǒng)SELinux在Xen上的移植，在安全操作系統(tǒng)機制的保護(hù)下，提供具體服務(wù)；Xen作為引用監(jiān)控機（ReferenceMonitor,RM）運行引用監(jiān)控模塊，使業(yè)務(wù)VM的系統(tǒng)內(nèi)核運行在非特權(quán)模式，使其對某些資源（網(wǎng)絡(luò)、端口等）的訪問操作必須經(jīng)過XEN模塊基于安全策略的驗證；而安全策略由監(jiān)控VM制定，監(jiān)控VM的主要任務(wù)是管理（啟動、停止等）和監(jiān)控業(yè)務(wù)VM。這樣，我們形成了從TPM-XEN—監(jiān)控VM/業(yè)務(wù)VM—業(yè)務(wù)應(yīng)用的四層可信操作系統(tǒng)基本層次結(jié)構(gòu)。基于XEN的可信系統(tǒng)是在業(yè)務(wù)VM保留傳統(tǒng)安全操作系統(tǒng)安全功能的基礎(chǔ)上，通過TPM彌補其在完整性保護(hù)及系統(tǒng)可信認(rèn)證方面的不足，通過XEN體系結(jié)構(gòu)彌補傳統(tǒng)安全操作系統(tǒng)在核心安全機制的自身防護(hù)方面的不足而提出的一種由源頭安全進(jìn)而保障整個信息系統(tǒng)可信、安全的系統(tǒng)模型。針對傳統(tǒng)安全操作系統(tǒng)在多等級安全策略支持方面不足以及如何解決多安全等級實體間的信息交互的問題，我們提出利用此可信操作系統(tǒng)的多VM系統(tǒng)之間強安全隔離的構(gòu)架特點，使不同等級的安全策略作用于不同的業(yè)務(wù)VM，并且安全策略由不具備任何業(yè)務(wù)功能接口的監(jiān)控VM統(tǒng)一制定，由XEN統(tǒng)一進(jìn)行訪問裁決。這樣的機制可以使整個系統(tǒng)基于可信、安全的基礎(chǔ)平臺構(gòu)成，并能夠靈活適應(yīng)多級安全策略已經(jīng)安全策略的動態(tài)變化，能夠按安全策略規(guī)定滿足不同等級信息交互的需要。我們根據(jù)TNC以及其他可信網(wǎng)絡(luò)構(gòu)建的安全需求，在此還提出了基于可信系統(tǒng)進(jìn)一步構(gòu)建可信的網(wǎng)絡(luò)的方案。利用PKI技術(shù)以及TPM，利用基于XEN的引用監(jiān)控機體系構(gòu)架，研究一種可以對業(yè)務(wù)系統(tǒng)（業(yè)務(wù)VM）透明的可信網(wǎng)絡(luò)構(gòu)建方式，解決TNC難以推行的問題。安全政策格的思想（輸入、敏感性、權(quán)限撤消與傳遞4類特征），為安全策略靈活性的研究提供了一種很好的手段。另外，標(biāo)記是實現(xiàn)多級安全系統(tǒng)的基礎(chǔ)、實施強制訪問控制的前提。我們擬通過如下技術(shù)路線對多級安全系列問題進(jìn)行研究：（1）允許系統(tǒng)根據(jù)主體活動的實際場景對當(dāng)前安全標(biāo)記進(jìn)行合理的動態(tài)調(diào)整，使得MSL策略呈現(xiàn)出動態(tài)特征；探索安全標(biāo)記動態(tài)變化與相關(guān)因素依賴的完備性特征，使其支持多級安全策略的動態(tài)特征。（2）引入MLS的動態(tài)特征，通過格的結(jié)構(gòu)描述多種安全政策之間的關(guān)系，探索構(gòu)造合理、靈活、實用的MLS完整性安全策略模型，確保系統(tǒng)安全機制對多等級完整性安全策略的動態(tài)支持能力。（3） 引入分組管理與密鑰管理相結(jié)合、而安全管理與密鑰管理相分離機制，研究具有高效、安全、動態(tài)特色的適應(yīng)分布式應(yīng)用的多級安全存取控制策略模型。形式化系統(tǒng)驗證工具和形式化理論證明[14][4]是驗證系統(tǒng)正確性的重要方法，我們應(yīng)用通信順序進(jìn)程(CommunicatingSequentialProcesses,簡稱CSP)和軟件體系結(jié)構(gòu)描述語言[4](ArchitectureDescriptionLanguage，簡稱ADL)中連接子(connector)[24]的概念對基于Xen的可信系統(tǒng)的體系結(jié)構(gòu)進(jìn)行形式化的描述,研究該體系結(jié)構(gòu)正確性的形式化證明。總之，通過以XEN、SELinux及可信計算相關(guān)技術(shù)的結(jié)合，我們提出研究一種從源頭滿足信息系統(tǒng)可信、安全的解決方案；進(jìn)一步，基于該可信系統(tǒng)的構(gòu)架特點，我們提出研究多級安全與可信網(wǎng)絡(luò)構(gòu)建在原有體系下存在的問題，并研究這些問題的解決方案。隨著可信計算、可信組網(wǎng)以及等級安全保障日益引起人們的重視，這些問題的研究將會體現(xiàn)出較強的理論與實際應(yīng)用價值。參考文獻(xiàn)[1]SELinux./selinux/[1]Xenandtheartofvirtualization,byP.Barham,B.Dragovic,K.Fraser,S.Hand,T.Harris,A.Ho.InSOSP'03:ProceedingsofthenineteenthACMsymposiumonOperatingsystemsprinciples,pages164—177,NewYork,NY,USA,2003.ACMPress.XENvirtualmachinetechnologyanditssecurityanalysis,byHXue,SQing,HZhang-WuhanUniversityJournalofNaturalSciences,2007-Springer.NenadMedvidovic,RichardN.Taylor.AClassificationandComparisonFrameworkforSoftwareArchitectureDescriptionLanguages.IEEETransactionsonSoftwareEngineering,2000,Vol.26(1):70-93J.P.Anderson.Computersecurityplanningstudy.TechnicalReport73--51,AirForceElectronicSystemDivision,1972.Hoare,C.A.R.1991CommunicatingSequentialProcesses.Prentice-Hall,EnglewoodCliffs,N,J.Terra:AvirtualMachine-BasedPlatformforTrustComputing,byTalGarfinkel,BenPfaff,JimChow,MendelRosenblum,DanBoneh.SOSP'03,October19-22,2003,BoltonLanding,NewYork,USA隱通道存在的最小條件及其應(yīng)用，王昌達(dá)，鞠時光，楊珍，郭殿春，計算機科學(xué)2005vol3277頁。梅宏，陳鋒，馮耀東,楊杰.ABC:基于軟件體系結(jié)構(gòu)、面向構(gòu)件的軟件開發(fā)方法.軟件學(xué)報,2003,14(4):721-732..HoareCAR(著)，周巢塵(譯)?通信順序進(jìn)程?北京:北京大學(xué)出版社,1990.謝華剛.安全Linux內(nèi)核.“十五”863Linux及相關(guān)軟件發(fā)展研討會發(fā)言文集,共創(chuàng)軟件聯(lián)盟主辦，北京，2001年5月.石文昌.安全操作系統(tǒng)研究的發(fā)展.計算機科學(xué).29卷，第6、7期，2002年6、7月.

[13][14][15][16][17][18][19][20][21][22][23][24][25][26][27][28][29][30]石文昌,[13][14][15][16][17][18][19][20][21][22][23][24][25][26][27][28][29][30]ResearchReportRC23511:R.Sailer,E.Valdez,T.Jaeger.etc.sHype:SecureHypervisorApproachtoTrustedVirtualizedSystems.Publishedin2005/wiki/Trusted_Computer_System_Evaluation_Criteria/http://medusa.terminus.sk//linux//secure_systems_department/projects/tcglinux/Nexus:ANewOperatingSystemforTrustworthy，AlanShieh，CornellUniversity，SOSP2005October23October，26,2005,Brighton,UnitedKingdom，Copyright2005ACM.《信息安全理論與技術(shù)》41－51頁，中國信息安全測評認(rèn)證中心編著Systemandmethodforprovidingmulti-levelsecurityincomputerdevicesutilizedwithnon-securenetworks,byJMHolden,SELevin,JONickel,EHWrench-USPatent5,1998ResearchReportRC23511:R.Sailer,E.Valdez,T.Jaeger.etc.sHype:SecureHypervisorApproachtoTrustedVirtualizedSystems.Publishedin2005,RobertAllen,DavidGarlanA.formalbasisforarchitecturalconnection.ACMTOSEMarchiveVolume6,Issue3(July1997):213-249.LinuxSecurityModuleFramework,byChrisWrightandCrispinCowan,WireXCommunications,Inc.一個支持可信主體特權(quán)最小化的多級安全模型，武延軍等，中國科學(xué)院軟件研究所，JournalofSoftware,Vol.18,No.3,March2007,pp.730-738可信網(wǎng)絡(luò)中一種基于AHP的用戶行為評估方法，計算機工程與應(yīng)用，2007，43(19)，p123Amulti-levelsecuremessageswitchwithminimalTCB，byE.H.Lipper，CH2619-5/88/0000/0242，1988IEEEFrameworkandmethodsforthestudyandanalysisoftrustininformationsystems，Proceedingsofthe37thHawaiiInternationalConferenceonSystemSciences—2004Implementationofthetrustedcomputingincommercialcryptogrambasedonembeddedsystem，ZhaoBoZhangHuanguo，SchoolofComputer,WuhanUniversity,0-7803-9335-X/05?2005IEEEBuildingaMAC-BASEDSecurityArchitectureforXEN，byReinerSailer，IBMT.J.WatsonResearchCenter,Hawthorne,NY10532USAChih-ChungLu;Shau-YinTseng;“IntegrateddesignofAES(AdvancedEncryptionStandard)encrypteranddecrypter”Application-SpecificSystems,[32][33][34][32][33][34][35][36][37][38][39][40][41][42][43][44][45][46]ArchitecturesandProcessors,2002.Proceedings.TheIEEEInternationalConferenceon,17-19July2002SafeHardwareAccesswiththeXenVirtualMachineMonitor—intelresearchCambridge，UK－2008-3-17《可信操作系統(tǒng)若干關(guān)鍵問題研究》，電子科技大學(xué)，譚良TCG系列規(guī)范，/specs/Privacyandtrustedcomputing，ByJasonReid，InformationSecurityResearchCentre，QueenslandUniversityofTechnology,Australia，Proceedingsofthe14thInternationalWorkshoponDatabaseandExpertSystemsApplications(DEXA'03)，1529-4188/03$17.00.2003IEEEProtectedComputingvsTrustedComputing，byAntonioMa，ComputerScienceDepartmentUniversityofMlaga,0-7803-9575-1/06/$20.00.2006IEEESomeweaknessesoftheTCBmodel，byB.Blakley,InternationalBusinessMachinesCorp.1081-601U97,1997IEEEUnderstandingtrustedcomputingwillitsbenefitsoutweighitsdrawbacks,publishedbytheIEEECOMPUTERSOCIETY,1540-7993/03?2003IEEETCGTPMSpeci_cationVersion1.2..AdvancedMicroDevices.AMD64Virtualization,Codenamed.Paci_ca.Technology,SecureVirtual.MachineArchitectureReferenceManual,Rev3.01,May2005./us-en/assets/content,type/whitepapersandtechdocs/33047.pdf.P.Barham,B.Dragovic,K.Fraser,S.Hand,T.Harris,A.Ho,R.Neugebauer,I.Pratt,andA.War_eld.Xenandtheartofvirtualization.InProceedingsofthe