基于三权分立原则的安全操作系统结构设计.pdf

《基于三权分立原则的安全操作系统结构设计.pdf》由会员分享，可在线阅读，更多相关《基于三权分立原则的安全操作系统结构设计.pdf（4页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第2 7 卷第8 期2 0 1 0 年8 月计算机应用与软件C o m p u t e rA p p l i c a t i o n sa n dS o f t w a r eV 0 1 2 7N o 8A u g 2 0 1 0基于三权分立原则的安全操作系统结构设计黄玉琪1张建平1-5利21(中州大学信息7-程学院河南郑州4 5 0 0 4 4)2(河南工业大学电气工程学院河南郑州4 5 0 0 0 7)摘要设计了一种新型的操作系统结构。该结构在三权分立的原则下，对传统操作系统的功能进行分割与重组，让不同的功能组件分别运行在不同的虚拟机中，利用虚拟机间的强隔离特性保证各组件的独立性，利用虚拟

2、机间的专有通信机制实现各组件之间的协作与制约。这种新型的结构有效地解决了传统操作系统结构中安全性不高的问题。关键词三权分立操作系统虚拟机监控器虚拟机D E S I G N I N GS T R U C T U R EO FS A F E T Yo P E R A T I N GS Y S T E MB A S E DO NP R I N C I P L EO FS E P A R A T I o No FP o W E I t SH u a n gY u q i1Z h a n gJ i a n p i n 9 1M aL i 21(A c a d e m yo f I n f o r m a

3、 t i o nE n g i n e e r i n g，Z h o n g z h o uU n i v e r s i t y，Z h e n g z h o u4 5 0 0 4 4，l t e n a n，C h i n a)2(D e p a r t m e n to f E l e c t r i c a lE n g i n e e r i n g，H e n a nU n i v e r s i t yo f T e c h n o l n g y，Z h e n g z h o u4 5 0 0 0 7，l t e n a n，C h i n a)A b s t r a c

4、 tI nt h ep a p e rw ed e s i g nan e wt y p eo fo p e r a t i n gs y s t e ms t r u c t u r e B a s e do nt h ep r i n c i p l eo fs e p a r a t i o no fp o w e r s，t h en e ws t r u c-t u r ed i v i d e sa n dr e o r g a n i s e st h ef u n c t i o n so ft r a d i t i o n a lo p e r a t i n gs y s

5、 t e m，a l l o w sd i f f e r e n tf u n c t i o nc o m p o n e n t sr u n n i n gi nd i f f e r e n tv i r t u a ln-i s c h i n e sr e s p e c t i v e l y，U S e St h es t r o n gi s o l a t i o nc h a r a c t e r i s t i co fv i r t u a lm a c h i n e st og u a r a n t e et h ei n d e p e n d e n c

6、 eo fe a c hc o m p o n e n t，u s e st h ep r o p r i e t a r yc o m m u n i c a t i o nm e c h a n i s m sb e t w e e nv i r t u a lm a c h i n e st oa c h i e v ec o l l a b o r a t i o na n dc o n s t r a i n t sb e t w e e nt h ec o m p o n e n t s T h i sn e ws t r u c t u r es o l v e se f f e

7、 c t i v e l yt h ep r o b l e mo fl o w e rs e c u r i t yi nt r a d i t i o n a lo p e r a t i n gs y s t e m K e y w o r d sS e p a r a t i o no fp o w e r sO p e r a t i n gs y s t e mV i a u a lm a c h i n em o n i t o r i n gV i r t u a lm a c h i n e0 引言随着计算机在社会生活中的日益普及，互联网的广泛应用和开放式的网络体系架构对政府

8、、公司等信息敏感部门的安全提出了新的挑战。如何构建一个安全的系统，成为迫切需要解决的问题。传统操作系统的安全机制在传统的计算机系统中，操作系统是运行在硬件之上的第一层软件，它拥有最高的特权，并负责管理计算机系统的所有资源，包括处理器、内存、外存、网卡、其它外部设备，以及进程、文件、各种策略和配置数据等。这种结构的操作系统主要存在如下一些问题：(1)集各种权力于一身，体制不完善在传统结构中，操作系统是一个独立的实体，它既是各类政策的制定者，又是这些政策的执行者；既是各类资源的管理者，又是这些资源的使用者。从社会学的角度来说，这种集各种权力于一身的体制是不完善的，虽然它能够提高系统的整体运行效率。

9、如果系统本身存在漏洞(事实证明，漏洞总是存在的)，而又被恶意利用的话，系统的权力就容易被窃取并被滥用，整个系统就容易失控，甚至崩溃。(2)各成员之间相互影响，隔离不彻底在传统结构中，操作系统也被分成不同的组成部分，如操作系统内核与用户进程，其中操作系统内核又被分成不同的子系统，如进程管理、内存管理、文件系统、设备管理等。通常情况下，操作系统内核被设计成一个整体，各子系统之间并没有独立的边界，它们能够互相调用、互相影响。(3)需引入第三方代码，内核封闭性差在传统的操作系统中由于新的外部设备、文件系统、网络协议等几乎每天都在出现，因而在内核中包含所有的设备驱动程序、文件系统、网络协议等是不现实的。

10、解决办法是打破内核的封闭性，允许动态地向其中插入模块。这种方法解决了操作系统的可扩展性、适应性问题，但又引入了可靠性与安全性问题。原因是插入到内核中的设备驱动程序、文件系统、网络协议等都是第三方设计的，其代码质量难以保证、代码行为难以控制。显然，要提高计算机系统的可靠性、安全性，就应该解决操作系统内核封闭性与可扩展性的矛盾。(4)需要安装应用程序，环境封闭性差在传统操作系统结构中，所有的应用程序都在同一个环境中执行，具有相同的资源访问权限，而不管它们的来源是否可信。执行不可信的程序很容易破坏系统的完整性，向系统中引收稿日期：2 0 1 0-0 1 一1 8。黄玉琪，博士，主研领域：信息安全。万

11、方数据1 6 0计算机应用与软件2 0 1 0 点入病毒、木马等恶意程序，造成系统失效、信息泄漏等危害。因此，环境的非封闭性是导致系统安全性、可靠性差的另一个主要原因。2基于三权分立原则的操作系统结构模型设计2 1 安全操作系统结构在该操作系统结构中，借鉴了政治制度中的三权分立原则，即将策略的制定(立法机构)、策略的实施(司法机构)和用户程序的执行(行政机构)这三部分分割开来，让它们分别运行在三类不同的虚拟机上。利用虚拟机之间的强隔离特性保证各部分之间的独立性，利用专门设计的虚拟机间通信机制实现各部分间的协作与制约。其操作系统结构如图1 所示。f用户虐拟机t 理虚拟机用户虚报机弘I扩l秣肾秣l

12、|l|虚z 备冒哩口#；营理虚m：；驱功廑丸谊备辘斌嚏拟谭道虐拟l h l l鏖捌硬悻电机堙悼 二二二二j 巫三二二二 椭-图1 操作系统结构设计2 2 操作系统结构在纵向上的划分在纵向上，操作系统被分成了两层，虚拟机与虚拟机监控器(V M M)。V M M 是直接运行在计算机硬件之上的第一层软件，处于传统操作系统的位置，控制所有的计算机硬件，包括处理器、内存、外存、网卡及其它外部设备，并实现这些硬件的虚拟化，将一台物理计算机虚拟成多台独立的虚拟机。对虚拟机的用户来说，虚拟机与真实的计算机是一样的，它拥有自己的处理器、内存和外部设备，可以运行自己的操作系统和应用程序。虚拟机之间完全隔离，各虚拟

13、机独立运行，只能通过特定的手段相互通信。V M M 是整个操作系统结构的基石，它由处理器核管理、内存管理、外部设备管理、虚拟机间通信等子系统组成。处理器核管理子系统负责众核处理器中各个处理器核的分配与回收，以保证各虚拟机的正常运行。内存管理子系统负责机器内存的分配与回收，以便为每个虚拟机都提供足够大的物理内存空间。内存管理子系统将采用按需分配策略来管理其机器内存，以提高机器内存的利用效率，并保证各虚拟机之间物理内存的隔离。外部设备管理子系统负责外部设备的分配与回收。为了简化系统设计，提高设备的访问控制能力，并充分利用现有的设备驱动程序，设备管理子系统将把全部外部设备按类直接分配给I 0 虚拟机

14、，从而实现设备的集中控制。管理虚拟机和用户虚拟机中没有物理外部设备(有虚拟设备)，它们只能通过I O 虚拟机间接地使用外部设备。虚拟机间通信子系统是一种通信机制，它为虚拟机之间的相互通信提供必要的支持。2 3 操作系统结构在横向上的划分在横向上，操作系统被分成了三组相互独立的实体，分别运行在三组独立的虚拟机中。管理虚拟机负责系统的决策与管理；I 0 虚拟机负责外部设备的管理与存取控制；用户虚拟机负责与用户的交互，处理用户的日常工作。在这种结构中，传统操作系统的工作被分割开，分别交给了不同的实体承担；传统操作系统的权力也被分割开，分别赋予了不同的实体。三组虚拟机之间相互独立、相互协作、相互制约，

15、它们协调工作，共同完成整个计算机系统的管理工作。对用户来说，整个系统是一个有机的整体，而不再是多个分立的系统，用户甚至感觉不到虚拟机的存在。2 3 1I O 虚拟机在三组虚拟机中，I O 虚拟机是最基础的，因为只有I O 虚拟机才拥有外部设备，也只有I O 虚拟机能够直接存取、操作外部设备。因而，L O 虚拟机的主体部分是一组外部设备驱动程序，包括各类块设备驱动程序、各类网络设备驱动程序和字符设备驱动程序等。为了提高系统的安全性，在块设备驱动程序之上增加了存储对象管理系统(充当块设备管理系统)，负责块设备存储空间的管理和安全检查。存储对象管理系统将普通的块设备转化成了基于对象的存储设备(O S

16、 D)，它向外提供对象接口，并提供对象级的存取控制。用户虚拟机和管理虚拟机以对象为单位访问I O 虚拟机上的块设备，而且每一次访问都必须携带安全证书。2 3 2 用户虚拟机为了进一步提高系统的安全性和可靠性，系统中提供了一组用户虚拟机。可以将用户虚拟机分为两类，即私密用户虚拟机和开放用户虚拟机。私密用户虚拟机是封闭的系统，不与外界交互，仅运行封闭的应用程序，如办公软件等，处理高安全性工作。开放用户虚拟机是开放的系统，需要经常与外界交互，运行开放的应用程序，如浏览器等，处理一般性的工作。原则上，私密用户虚拟机中不允许插入任何模块，而开放用户虚拟机中则允许插入内核模块，如文件系统、网络协议等。用户

17、可以根据需要动态创建、撤销用户虚拟机，各用户虚拟机的运行策略和处理能力由管理虚拟机配置。在管理虚拟机的管理下，私密用户虚拟机可以存取开放用户虚拟机的文件，但开放用户虚拟机仅能访问自己的文件。开放用户虚拟机可能出现故障，但其故障不会对系统其它部分造成破坏性影响。将用户虚拟机分成两类，从另一个方面解决了操作系统的封闭性与可扩展性问题，也提高了系统的安全性和可靠性。2 3 3 管理虚拟机管理虚拟机是整个系统管理的核心，它负责管理整个操作系统的运行。管理虚拟机内包括策略管理、设备管理、虚拟机管理、安全管理和元数据管理等。策略管理系统负责管理整个操作系统运行所需要的各种策略，包括存储对象的存取策略、网络

18、数据包的过滤策略、外部设备的分配策略和访问控制策略、系统资源的分配策略、用户虚拟机的创建与运行策略等。(下转第2 1 8 页)万方数据2 1 8计算机应用与软件2 0 1 0 生C 表示错算结果的数量。其结果如图3、图4 所示。5 结论图3 不同相似度下查全率图4 不同相似度下的查准率针对组合词汇研究的不足，本文提出了组合词汇相似度的计算方法，该方法在W o r d N e t 的基础上计算语义相似度。在该方法中，充分考虑了组合词汇间以及组合词汇与组合词汇的语义关系。首先对组合词汇与简单词汇的相似度分析，进而扩展到组合词汇与组合词汇的相似度。其次结合组合词汇的整体含义，在组合词汇的相似度计算中

19、加入了对整体语义的计算，使计算的精确度较高，效果较好，具有较强的灵活性。实验也表明了该方法的查全率和查准率在不同的相似度下达到的比例较高。但是该方法在计算的过程中，词汇间的相似度计算方法过于简单，没有综合考虑本体中词汇的其他各类属性，以及之间的关系。在今后的研究中，将结合以上各个因素，更全面地计算相似度。参考文献 1 王家琴，李仁发，李仲生，等一种基于本体的概念语义相似度方法的研究 J 计算机工程，2 0 0 7，3 3(1 1)：2 0 1 2 0 3 2 张承立，陈剑波，齐开悦基于语义网的语义相似度算法改进 J 计算机工程与应用，2 0 0 6，1 7：1 6 5 1 6 6 3 吴开贵，

20、万红波，朱郑州一种基于语义的本体概念相似度计算方法 J 计算机科学，2 0 0 8。3 5(5)：1 2 3 1 2 4 4 P e r r yDE，W o l fAL F o u n d a t i o n sf o rt h es t u d yo fs o f t w a r e a r c h i t e c t u r e J A C MS I G S O F TS o f t w a r e E n g i n e e r i n g N o t e s，1 9 9 2，1 7(4)：4 0 5 2 5 Z h o n gJ，g h uH。L iY e ta 1 C o n c e

21、 p t u a lg r a p hm a t c h i n gf o rS e m a n t i cs e a r c h：P r o c e e d i n go fC o n c e p t u a lS t r u c t u r e s：I n t e g r a t i o na n dI n t e f f a c e s(I C C S 一2 0 0 2)，2 0 0 2：9 2 1 0 6 6 S h a wM，G a r l a nD S o f t w a r ea r c h i t e c t u r e：p e r s p e c t i v e so ne

22、m e r g i n gd i s c i p l i n e M E n g l e w o o dC l i f f s：P r e n t i e e H a l。l，1 9 9 6 7 何娟，高志强，陆青健，等基于词汇相似度的元素级本体匹配 J 计算机工程，2 0 0 6，3 2(1 6)：1 8 5 1 8 7 8 M a h b o o bA l a mK h a l i d，B e n e d i k tF r i e s，P a t r i c kK a p a h n k e，e ta 1 O W L SS e r v i c eR e t r i e v a lT e s

23、 tC o l l e c t i o nV e r s i o n 2 2：O W L S-T C，2 0 0 8，h t t p：p r o-j e e l s s e m w e b e e n t r a l o r g p r o j e c t s o w l s t d 9 R u b oZ h a n g，Y i n gW a n g，J i n gW a n g R e s e a r c ho nO n t o l o g yM a t c h i n gA p-p r o a c hi nS e m a n t i cW e b：P r o c e e d i n go

24、f2 0 0 8I n t e r n a t i o n a lC o n f e r e n c eo nI n t e m e tC o m p u t i n gi nS c i e n c ea n dE n g i n e e r i n g，B e i j i n g，C h i n a，2 0 0 8：2 5 4 2 5 7(上接第1 6 0 页)虚拟机管理系统负责管理系统中的用户虚拟机和I O 虚拟机，如虚拟机的动态创建与销毁、虚拟机资源的分配、虚拟机运行策略的维护、虚拟机运行状态的监控等。设备管理系统负责管理I O 虚拟机及其中的各类外部设备，包括设备驱动程序的加载、I O

25、 虚拟机的监控与重启、外部设备的分配、外部设备故障后的隔离等。安全管理系统负责整个操作系统的安全监控，如系统运行E t 志管理、审计跟踪、入侵检测等。元数据管理系统负责管理文件系统的名字空间，即目录树，实现文件系统的管理操作，如文件或目录的创建、删除、换名等，并负责文件路径名的解析和对象安全证书的发放。3 结束语将三权分立思想引入到操作系统结构中，建立了独立运行、互相制约、分工协作的运行体制。在本文所研究的操作系统结构中，管理虚拟机负责策略的制定、维护和监督，I O 虚拟机负责策略的实施，用户虚拟机负责与用户的交互。用户虚拟机中的进程不能修改策略，也不能影响策略的实施；I O 虚拟机只能实施策

26、略，却不能修改策略；管理虚拟机不直接面对用户，也不直接操作设备。基本上任何一项工作都必须由多个虚拟机合作完成，一个虚拟机无法完成任何工作，任何一个虚拟机都不能控制其它的虚拟机。这种三权分立的结构将操作系统分割成了几个相互独立、相互制约的实体，其结构更加合理，整个系统也更加可靠、安全。参考文献 1 卿斯汉，刘文清，刘海峰操作系统安全导论 M 北京：科学出版社，2 0 0 3 2 刘克龙，冯登国，石文昌安全操作系统原理与技术 M 北京：科学出版社，2 0 0 4 3 S h a wDG a r l a n S o f t w a r e A r c h i t e c t u r e：P e r

27、s p e c t i v e sO i la l lE m e r g i n gD i s c i p l i n e M 北京：清华大学出版社，1 9 9 8 4 W i l l i a ms t a l l i n g s 操作系统内核与设计原理 M 4 版电子工业出版社 5 K a iH w a n g，Z h i w e iX u S e a l a b l eP a r a l l e lC o m p u t i n gT e c h n o l o g y，A r-e h i t e c t u r e，P r o g r a m m i n g M M c G r a w-

28、H i l l，1 9 9 3 6 C u l l e rDE，S i n g hJP，G u p t aA P a r a l l e lC o m p u t e rA r c h i t e c t u r e：AH a r d w a r e S o f t w a r eA p p r o a c h M M o r g a nK a u f m a n nP u b l i s h e r s，I n c，1 9 9 9 7 PHG u m S y s t e m 3 7 0e x t e n d e da r c h i t e c t u r e：f a c i l i t i

29、 e sf o rv i r t u a lm a-c h i n e s I B MJ o u r n a lo fR e s e a r c ha n dD e v e l o p m e n t 1 9 8 3 8 D a r r e nA b r a m s o n，J e f fJ a c k s o n，e ta 1 I n t e lV i r t u a l i z a t i o nT e c h n o l o g yf o rD i r e c t e dI O J I n t e lT e c h n o l o g yJ o u m a l 2 0 0 6，1 0(3

30、)万方数据基于三权分立原则的安全操作系统结构设计基于三权分立原则的安全操作系统结构设计作者：黄玉琪，张建平，马利，Huang Yuqi，Zhang Jianping，Ma Li作者单位：黄玉琪,张建平,Huang Yuqi,Zhang Jianping(中州大学信息工程学院,河南,郑州,450044)，马利,Ma Li(河南工业大学电气工程学院,河南,郑州,450007)刊名：计算机应用与软件英文刊名：COMPUTER APPLICATIONS AND SOFTWARE年，卷(期)：2010,27(8)参考文献(8条)参考文献(8条)1.Darren Abramson;Jeff Jackson

31、 Intel Virtualization Technology for Directed I/O 2006(03)2.P H Gum System/370 extended architecture:facilities for virtual machines 19833.Culler D E;Singh J P;Gupta A Parallel Computer Architecture:A Hardware/Software Approach 19994.Kai Hwang;Zhiwei Xu Scalable Parallel Computing Technology,Architecture,Programming 19935.William stallings 操作系统-内核与设计原理6.Shaw D Garlan SoftwareArchitecture:Perspectives on an Emerging Discipline 19987.刘克龙;冯登国;石文昌 安全操作系统原理与技术 20048.卿斯汉;刘文清;刘海峰 操作系统安全导论 2003 本文链接：http:/