【正文】 戶 u分配給角色 r表示為 UA＝UA∪(u,r) – 權限分配（ PA）： ? PA ? PERMISSIONS ROLES ? PA是特權集到角色集的多對多關系，記錄了角色所分配的特權。把權限 p分配給角色 r表示為 PA＝PA∪(p,r) Core RBAC ? 操作 – 用戶登陸： ? user_sessions ? USERS SESSIONS ? 記錄了用戶所擁有的會話。一個用戶可以同時擁有多個會話 – 激活和去活 (deactivate)角色 ? session_roles ? SESSIONS ROLES ? 用戶在會話中可以激活某個角色，或者去活某個角色。激活的前提是用戶擁有該角色并且未在當前會話中激活。一旦激活某角色，用戶就擁有了該角色的所有特權。 Core RBAC USERS OPS ROLES OBS PERMS UA PA SESSIONS user_sessions session_roles 三、國外安全操作系統(tǒng)的發(fā)展 ? 1965年美國貝爾實驗室和麻省理工學院的 MAC課題組等一起聯(lián)合開發(fā)一個稱為 Multics的新操作系統(tǒng)， 是開發(fā)安全操作系統(tǒng)最早期的嘗試，貝爾實驗室中后來參加 UNIX早期研究的許多人當時都參加了 Multics的開發(fā)工作。 ? 由于 Multics項目目標的理想性和開發(fā)中所遇到的遠超預期的復雜性 Multics未能成功，但它為后來的安全操作系統(tǒng)研究積累了大量的經(jīng)驗。 國外安全操作系統(tǒng)的發(fā)展 ? 1969年 Adept50的安全控制的研究成果。安全Adept50運行于 IBM/360硬件平臺，其將高水印模型（ HighWaterMark Model）作為安全基礎，實現(xiàn)了美國的一個軍事安全系統(tǒng)模型。在該系統(tǒng)中可以為客體標上敏感級別（ Sensitivity Level）屬性。系統(tǒng)支持的基本安全條件是，對于讀操作不允許信息的敏感級別高于用戶的安全級別；在授權情況下，對于寫操作允許信息從高敏感級別移向低敏感級別。 國外安全操作系統(tǒng)的發(fā)展 ? 1969年 （ Subject）、客體（ Object）和訪問矩陣（ Access Matrix）的思想第一次對訪問控制問題進行了抽象。 ? 1972年， （ Reference Monitor）、引用驗證機制（ Reference Validation Mechanism）、安全內(nèi)核（ Security Kernel）和安全建模等重要思想。 ，要開發(fā)安全系統(tǒng)，首先必須建立系統(tǒng)的安全模型，完成安全系統(tǒng)的建模之后，再進行安全內(nèi)核的設計與實現(xiàn)。 國外安全操作系統(tǒng)的發(fā)展 ? 1973年， ，即 BLP模型。 1976年 Bell和 LaPadula完成的研究報告給出了 BLP模型的最完整表述，其中包含模型的形式化描述和非形式化說明，以及模型在 Multics系統(tǒng)中實現(xiàn)的解釋。 ? 1975年開發(fā) PSOS（ Provably Secure Operating System）提供了一個層次結構化的基于權能的安全操作系統(tǒng)設計，通過形式化技術實現(xiàn)對安全操作系統(tǒng)的描述和驗證，設計中的每一個層次管理一個特定類型的對象，系統(tǒng)中的每一個對象通過該對象的權能表示進行訪問。 ? 1977年發(fā)起的 KSOS（ Kernelized Secure operating System）是美國國防部研究計劃局的一個安全操作系統(tǒng)研制項目，由 Ford太空通訊公司承擔。KSOS采用了形式化說明與驗證的方法，目標是高安全可信性。 國外安全操作系統(tǒng)的發(fā)展 ? 1984年開發(fā) LINVS Ⅳ 是的基于 UNIX的一個實驗安全操作系統(tǒng)，系統(tǒng)的安全性可達到美國國防部橘皮書的 B2級。它以 Unix為原型，實現(xiàn)了身份鑒別、自主訪問控制、強制訪問控制、安全審計、特權用戶權限分隔等安全功能。 ? 1986年 Secure Xenix是 IBM公司在 SCO Xenix的基礎上開發(fā)的一個安全操作系統(tǒng)，其對 Xenix進行了大量的改造開發(fā)，并采用了一些形式化說明與驗證技術。它的目標是 TCSEC的 B2到 A1級。 IBM公司的 Secure Xenix系統(tǒng)的設計與開發(fā)成果中，把 Unix類的安全操作系統(tǒng)開發(fā)方法劃分成仿真法和改造 /增強法兩種方式。 Secure Xenix系統(tǒng)采用的是改造 /增強法。另外，其在在安全保證方面重點考慮了 3個目標：⑴系統(tǒng)設計與 BLP模型之間的一致性；⑵實現(xiàn)的安全功能的測試；⑶軟件配置管理工具的開發(fā)。 國外安全操作系統(tǒng)的發(fā)展 ? 1987年，美國 Trusted Information Systems公司以 Mach操作系統(tǒng)為基礎開發(fā)了 B3級的 Tmach（ Trusted Mach）操作系統(tǒng)。除了進行用戶標識和鑒別及命名客體的存取控制外，它將 BLP模型加以改進，運用到對 MACH核心的端口、存儲對象等的管理當中。 ? 1989年，加拿大多倫多大學開發(fā)了與 UNIX兼容的安全 TUNIS操作系統(tǒng)。在實現(xiàn)中安全 TUNIS改進了 BLP模型 ,并用 Turing Plus語言（而不是 C）重新實現(xiàn)了 Unix內(nèi)核。 Turing Plus是一種強類型高級語言，其大部分語句都具有用于正確性證明的形式語義。在發(fā)表安全 TUNIS設計開發(fā)成果中， Gernier等指出，如果不進行系統(tǒng)的重新設計，以傳統(tǒng) Unix系統(tǒng)為原型，很難開發(fā)出高于TCSEC標準的 B2級安全操作系統(tǒng)。安全 TUNIS系統(tǒng)的設計目標是 B3A1級 國外安全操作系統(tǒng)的發(fā)展 ? 1990年發(fā)布完成的 ASOS（ Army Secure Operating System）是針對美軍的戰(zhàn)術需要而設計的軍用安全操作系統(tǒng)，由 TRW公司。 ASOS由兩類系統(tǒng)組成，其中一類是多級安全操作系統(tǒng)，設計目標是 TCSEC的 A1級；另一類是專用安全操作系統(tǒng)，設計目標是 TCSEC的 C2級。兩類系統(tǒng)都支持 Ada語言編寫的實時戰(zhàn)術應用程序，都能根據(jù)不同的戰(zhàn)術應用需求進行配置。從具體實現(xiàn)上來看， ASOS操作系統(tǒng)還具有 4個主要特點：⑴ ASOS采用訪問控制列表實現(xiàn)了細粒度的自主訪問控制；（ 2） SOS依據(jù) BLP模型實現(xiàn)了防止信息泄露的強制訪問控制，依據(jù) Biba模型實現(xiàn)了確保數(shù)據(jù)完整性的強制訪問控制；（ 3）ASOS在形式化驗證中建立了兩個層次的規(guī)范和證明，一個層次用于抽象的安全模型，另一個層次用于形式化頂層規(guī)范；（ 4）用于證明系統(tǒng)安全性的主要工具是 Gypsy驗證環(huán)境（ GVE），用于分析系統(tǒng)設計中潛在的隱蔽通道。 國外安全操作系統(tǒng)的發(fā)展 ? 1990年推出的 OSF/1是開放軟件基金會開發(fā)的一個安全操作系統(tǒng)，被美國國家計算機安全中心（ NCSC）認可為符合 TCSEC的 B1級，其主要安全性表現(xiàn)4個方面：⑴系統(tǒng)標識；⑵口令管理；⑶強制存取控制和自主存取控制；⑷審計。 ? 1991年推出的 UNIX UI（ UNIX國際組織）于一個安全操作系統(tǒng)，被美國國家計算機安全中心（ NCSC）認可為符合 TCSEC的 B2級，除 OSF/1外的安全性外，主要表現(xiàn)在 4個方面：⑴更全面的存取控制；⑵最小特權管理；⑶可信通路；⑷隱蔽通道分析和處理。 國外安全操作系統(tǒng)的發(fā)展 ? 在 1992到 1993年之間，美國國家安全局（ NSA）和安全計算公司（ SCC）的研究人員在 TMach項目和 LOCK項目的基礎上，共同設計和實現(xiàn)了分布式可信 Mach系統(tǒng)（ Distributed Trusted Mach， DTMach）。 DTMach項目的后繼項目是分布式可信操作系統(tǒng)（ Distributed Trusted Operating System，DTOS）。 DTOS項目改良了早期的設計和實現(xiàn)工作，產(chǎn)生了一些供大學研究的原型系統(tǒng)，例如 Secure Transactional Resources、 DX等。此外 DTOS項目產(chǎn)生了一些學術報告、系統(tǒng)形式化的需求說明書、安全策略和特性的分析、組合技術的研究和對多種微內(nèi)核系統(tǒng)安全和保證的研究。當 DTOS項目快要完成的時候， NSA、 SCC和猶他州大學的 Flux項目組聯(lián)合將 DTOS安全結構移植到 Fluke操作系統(tǒng)研究中去。在將結構移植到 Fluke的過程中，他們改良了結構以更好地支持動態(tài)安全策略。這個改良后的結構就叫 Flask。 國外安全操作系統(tǒng)的發(fā)展 ? 2023年， Flask由 NSA在 Linux操作系統(tǒng)上實現(xiàn)，并且不同尋常地向開放源碼社區(qū)發(fā)布了一個安全性增強型版本的 Linux（ SELinux）－－包括代碼和所有文檔。與傳統(tǒng)的基于 TCSEC標準的開發(fā)方法不同， 1997年美國國家安全局和安全計算公司完成的 DTOS安全操作系統(tǒng)采用了基于安全威脅的開發(fā)方法。設計目標包括 3個方面： – （ 1）策略靈活性： DTOS內(nèi)核應該能夠支持一系列的安全策略，包括諸如國防部的強制存取控制多級安全策略； – （ 2）與 Mach兼容，現(xiàn)有的 Mach應用應能在不做任何改變的情況下運行； – （ 3）性能應與 Mach接近。 國內(nèi)安全操作系統(tǒng)的發(fā)展 ? 國內(nèi)也進行了許多有關安全操作系統(tǒng)的開發(fā)研制工作，并取得了一些研究成果。 1990年前后，海軍計算技術研究所和解放軍電子技術學院分別開始了安全操作系統(tǒng)技術方面的探討，他們都是參照美國 TCSEC標準的 B2級安全要求，基于 UNIX System 。 ? 1993年，海軍計算技術研究所繼續(xù)按照美國 TCSEC標準的 B2級安全要求，圍繞 Unix ，實現(xiàn)了國產(chǎn)自主的安全增強包。 ? 1995年，在國家“八五”科技攻關項目 ―――COSA 國產(chǎn)系統(tǒng)軟件平臺”中，圍繞 UNIX類國產(chǎn)操作系統(tǒng) COSIX ，中國計算機軟件與技術服務總公司、海軍計算技術研究所和中國科學院軟件研究所一起參與了研究工作。 COSIX TCSEC的 B1和 B2級安全要求之間，當時定義為 B1＋，主要實現(xiàn)的安全功能包括安全登錄、自主訪問控制、強制訪問控制、特權管理、安全審計和可信通路等。 國內(nèi)安全操作系統(tǒng)的發(fā)展 ? 1996年，由中國國防科學技術工業(yè)委員會發(fā)布了軍用計算機安全評估準則GJB2646－ 96（一般簡稱為軍標），它與美國 TCSEC基本一致。 ? 1998年，電子工業(yè)部十五所基于 UnixWare TCSEC標準的 B1級安全要求，對 Unix操作系統(tǒng)的內(nèi)核進行了安全性增強。 ? 1999年 10月 19日，我國國家技術監(jiān)督局發(fā)布了國家標準 GB17859－ 1999《 計算機信息系統(tǒng)安全保護等級劃分準則 》 ，為計算機信息系統(tǒng)安全保護能力劃分了等級。該標準已于 2023年起強制執(zhí)行。 Linux自由軟件的廣泛流行對我國安全操作系統(tǒng)的研究與開發(fā)具有積極的推進作用。 2023年前后，我國安全操作系統(tǒng)研究人員相繼推出了一批基于 Linux的安全操作系統(tǒng)開發(fā)成果。這包括： 國內(nèi)安全操作系統(tǒng)的發(fā)展 ? 中國科學院信息安全技術工程研究中心基于 Linux資源，開發(fā)完成了符合我國GB17859－ 1999第三級（相當于美國 TCSEC B1）安全要求的安全操作系統(tǒng)SecLinux。 SecLinux系統(tǒng)提供了身份標識與鑒別、自主訪問控制、強制訪問控制、最小特權管理、安全審計、可信通路、密碼服務、網(wǎng)絡安全服務等方面的安全功能。 ? 依托南京大學的江蘇南大蘇富特軟件股份有限公司開發(fā)完成了基于 Linux的安全操作系統(tǒng) SoftOS，實現(xiàn)的安全功能包括：強制訪問控制、審計、禁止客體重用、入侵檢測等。 ? 信息產(chǎn)業(yè)部 30所控股的三零盛安公司推出的強林 Linux安全操作系統(tǒng)，達到了我國 GB17859－ 1999第三級的安全要求。 國內(nèi)安全操作系統(tǒng)的發(fā)展 ? 中國科學院軟件所開放系統(tǒng)與中文處理中心基于紅旗 Linux操作系統(tǒng)，實現(xiàn)了符合我國 GB17859－ 1999第三級要求的安全功能。中國計算機軟件與技術服務總公司以美國 TCSEC標準的 B1級為安全目標，對其 COSIX 全性增強改造。 ? 此外，國防科技大學、總參 56所等其他單位也開展了安全操作系統(tǒng)的研究與開發(fā)工作。 2023年 3月 8日，我國國家技術監(jiān)督局發(fā)布了國家標準 GB/T18336－ 2023《 信息技術安全技術 信息技術安全性評估準則 》 ，它基本上等同采用了國際通用安全評價準則 CC。 四 .安全操作系統(tǒng)的設計與開發(fā) 安全操作系統(tǒng)的系統(tǒng)開發(fā)過程 形式化方法，是非形式化方法的一個補充 形式化方法，要達到完全，是很困難的 操作系統(tǒng)安全性開發(fā)過程 安 全 需 求 分 析抽 象 、 歸 納 出 安 全 策 略安 全 機 制 設 計 與 實 現(xiàn)安 全 模 型 與 系 統(tǒng) 的 對 應 性 說 明安 全 操 作 系 統(tǒng) 可 信 度 認 證安 全 功 能 測 試建 立 安 全 模 型階 段 一階 段 二階 段 三用非形式化論據(jù)論證系統(tǒng)實現(xiàn)、形式化描述和模型三者是一致的 安全操作系統(tǒng)的需求分析 安全操作系統(tǒng)的架構設計 安全操作系統(tǒng)的實現(xiàn) 安全操作系統(tǒng)的需求分析 ? 所謂安全需求，就是在設計一個安全系統(tǒng)時期望得到的安全保障。 ? 不同的用戶、不同的行業(yè)、不同的地點以及不同的社會制度有不同的安全需求 – 個人隱私、商業(yè)機密、軍事安全、 防假冒、