微内核中断机制的形式化设计与验证

操作系统的正确性和安全性很难用定量的方法进行描述。形式化方法是操作系统设计和验证领域公认的标 准方法。以操作系统对象语义模型(OSOSM)为基础,采用形式化方法对微内核架构的中断机制进行了设计和验证, 在自行开发的安全可信操作系统VTOS上加以实现,采用Isabelle/HOL对设计过程进行了形式化描述,对VTOS中 断机制的完整性进行了验证,这对操作系统的形式化设计和验证工作起到了一定的借鉴意义。     

基于Coq的操作系统任务管理需求层建模及验证

为确保星上操作系统中任务管理设计的可靠性,利用定理证明工具Coq对操作系统任务管理模块进行需求层建模及形式化验证.从用户角度,基于星上操作系统任务管理的基本机制,提出一种基于任务状态列表集合的验证框架.在需求层将基本机制进行形式化建模,并在Coq中实现.针对建立的需求层模型,提出6条与实际星上操作系统任务管理一致的性质并进行验证.给出其中一条性质在Coq中的验证过程,结果表明,模型满足该条性质.     

一个安全文件系统的半形式化功能规范设计

形式化、半形式化规范的理论和实践是高安全等级操作系统设计所必须解决的问题,但我国高安全等级操作系统形式化设计方面十分薄弱,没有实践过程和相关理论的技术积累.本文借助Lapadula给出的规则集建模方法,基于Linux系统调用给出了一个实际开发的安全文件系统NeoFs的顶层功能规范的方法和过程.     

操作系统形式化设计与安全需求的一致性验证研究

采用数学形式化方法对操作系统进行设计和验证可以保证系统的高度安全性.目前已有的操作系统形式化研究工作主要是验证系统的实现在代码级的程序正确性.提出一种操作系统形式化设计和验证的方法,采用操作系统对象语义模型(OSOSM)对系统的设计进行形式化建模,使用带有时序逻辑的高阶逻辑对操作系统的安全需求进行分析和定义.对象语义模型作为系统设计和形式化验证的联系.以实现和验证过的可信微内核操作系统VTOS为实例,阐述形式化设计和安全需求分析,并使用定理证明器Isabelle/HOL①对系统的设计和安全需求的一致性进行验证,表明VTOS达到预期的安全性.     

BLP改进模型的形式化描述及自动化验证

在《信息安全技术操作系统安全技术要求》中,提出访问验证保护级安全操作系统的研发过程需要完全形式化的安全策略模型。针对该情况,对经典的数据机密性BLP模型进行相应改进,为系统中的主客体引入多级安全标签以及安全迁移规则,使其满足实际系统开发的需求。运用完全形式化的方法对改进模型的状态、不变量、迁移规则等进行描述,使用Isabelle定理证明器证明了迁移规则对模型的不变量保持性,从而实现对模型正确性的自动形式化验证,并保证了模型的可靠性。     

基于LSM框架构建Linux安全模块

操作系统安全是信息安全的一个重要方向.Linux安全模块(LSM)为Linux操作系统内核支持多个安全模块提供了有力的支持.首先介绍了LSM的实现机制,详细分析了它的关键技术.然后,以一个具体的安全模块为例,描述了如何使用LSM机制在Linux操作系统中完成一个简单的安全模块的开发.介绍了安全模型构建的过程,并对它的安全性进行了讨论.使用LSM框架可以使得操作系统灵活的支持和采用各种不同的安全策略,提高系统的安全性.     

改进的BLP模型的建模及其应用

BLP模型是经典的数据机密性模型,也是高等级安全操作系统研发过程中最常使用的一种安全策略模型。但是由于模型自身存在的不足,使得它无法满足实际系统开发的需求。通过对其做相应的改进,并对其做完全形式化的描述,将其应用到具体的系统当中,从而满足《信息安全技术——操作系统安全技术要求》(《GB/T 20272-2006》)中对"访问验证保护级"安全操作系统研发过程中提出的需要完全形式化的安全策略模型的需求。     

一个应用于操作系统的RBAC模型及其实施

主要研究了经典角色访问控制模型面向操作系统的扩展及其在内核中的实施方法。首先在RBAC96模型的基础上,引入可执行文件实体、细分操作系统权限,形成适用于操作系统的角色访问控制模型OSR(operating system oriented RBAC model)并给出简单的形式化描述,然后,采用GFAC框架与Capability机制相结合的方法在安全Linux内核中实现OSR模型。     

操作系统形式化设计与验证综述

对操作系统的形式化设计和验证的概念进行介绍,描述其框架和基本方法。比较和分析操作系统宏内核和微内核结构,调查多个设计和验证项目,阐述项目的验证目标、方法、优缺点和进展情况。在总结研究现状的基础上,分析和展望操作系统形式化设计和验证的发展趋势,从操作系统模型设计、验证工具、代码实现和验证重用等方面给出形式化设计和验证的思路。     

基于Linux和IPSec的VPN安全网关设计与实现

IPSec协议通过对IP数据包的加密和认证能够提供网络层的安全服务，可以保证数据在传输过程中的安全；Linux是一个开放的操作系统，在开放的操作系统平台上开发的安全系统具有更高的可靠性和安全性。在此基础上设计了一种基于Linux和IPSec协议的VPN安全网关，并详细阐述设计原则、功能、安全机制以及VPN安全网关实现过程，同时对这种安全网关性能进行了分析。     

产品开发协同工作环境模型及其应用

产品开发过程是多人参与协作的设计过程,协同技术是实现产品开发过程管理的一个关键技术。通过分析产品开发协同工作的特点,提出一种由用户视图层、安全控制层、全局特征层以及网络层所组成的产品开发协同工作环境模型,研究了实施的关键技术,并在所开发的产品信息集成共享平台中获得应用验证,较好解决了大型核电汽轮机协同开发与无纸化应用问题。     

L4虚拟内存子系统的形式化验证

第二代微内核L4在灵活度和性能方面极大地弥补了第一代微内核的不足,这引起学术界和工业界的关注.内核是实现操作系统的基础组件,一旦出现错误,可能导致整个系统瘫痪,进一步对用户造成损失.因此,提高内核的正确性和可靠性至关重要.虚拟内存子系统是实现L4内核的关键机制,聚焦于对该机制进行形式建模和验证.构建了L4虚拟内存子系统的形式模型,该模型涉及映射机制所有操作、地址空间所有管理操作以及带TLB的MMU行为等;形式化了功能正确性、功能安全和信息安全三方面的属性;通过部分正确性、不变式以及展开条件的推理,在定理证明器Isabelle/HOL中证明了提出的形式模型满足这些属性.在建模和验证过程中,发现源代码在功能正确性和信息安全方面共存在3点问题,给出了相应的解决方案或建议.     

有效防御可执行恶意代码的访问控制模型

可执行恶意代码严重危害操作系统的安全,它通过进程实现对系统造成危害,能否控制进程的安全是可执行恶意代码防御中的关键问题。该文以安全操作系统的访问控制思想为基础,根据可信计算的思想和原则,提出一个防御可执行恶意代码体系中的URPP访问控制模型。该模型以进程作为核心,对进程启动进行可信度量以及最小权限的约束。实践证明,URPP模型能够有效地抑制可执行恶意代码对系统造成的危害。     

核电厂DCS安全级应用软件开发的危险分析

为了减小或避免因控制系统软件而导致的核电厂安全性降低的不良后果,提出了对核电厂数字控制系统安全级应用软件开发过程进行危险分析的活动.采用验证和确认的方法,并结合安全保护层模型、预先危险分析方法(PHA)、故障树分析等方法对应用软件开发过程中的系统设计、软件设计、软件实现各个阶段的危险进行分析.通过CPR1000项目工程实践表明,采用验证和确认的方法能有效地减小软件开发过程中的危险以提高应用软件的安全性,从而最终提高核电厂的安全性.     

基于UML和模型检测的安全模型验证方法

安全策略的形式化分析与验证随着安全操作系统研究的不断深入已成为当前的研究热点之一.文中在总结前人工作的基础上,首次提出一种基于UML和模型检测器的安全模型验证方法.该方法采用UML将安全策略模型描述为状态机图和类图,然后利用转换工具将UML图转化为模型检测器的输入语言,最后由模型检测器来验证安全模型对于安全需求的满足性.作者使用该方法验证了DBLP和SLCF模型对机密性原则的违反.     

基于无干扰模型的操作系统结构化研究

操作系统结构化是目前安全领域的一大难题。以无干扰模型为基础,提出了一种基于分层隔离的进程环境安全模型,给出了进程环境安全的定义和条件。然后对系统结构化要求进行了形式化的描述,并证明通过提出的结构化方法可以获得安全的进程环境。最后结合经典无干扰理论,将本模型由进程环境扩展为适用于整个系统安全的模型。     

对一类多级安全模型安全性的形式化分析

深入分析了MLS的核心思想,给出了MLS在包含多级客体的系统中的表述形式,分析了安全不变式（invariant）在系统安全定义中的作用．为了保证模型的安全,必须验证模型的不变式满足MLS策略．为了说明不变式验证的重要性,借助Z语言和形式验证工具Z／EVES分析了一个改进的BLP模型——DBLP模型．分析表明,DBLP模型的不变式不满足MLS策略的要求,因此是不安全的．这项研究为分析各种改进BLP模型的安全性提供了理论依据和形式化规范与验证的方法．     

The application of the methodology for secure cyber–physical systems design to improve the semi-natural model of the railway infrastructure

The paper suggests a new methodology for secure cyber–physical systems design. The proposed methodology consists of two main cycles. The main goal of the first cycle is in design of the system model, while the second one is about development of the system prototype. The key idea of the methodology is in providing of the most rational solutions that are improving the security of cyber–physical systems. Such solutions are called alternatives and built according to functional requirements and non-functional limitations to the system. Each cycle of the methodology consists of the verification process and seven stages that are associated with the used cyber–physical system model. The objective of the verification process is in checking of constructed models and prototypes in terms of their correctness and compatibility. The model represents cyber–physical systems as sets of building blocks with network between them, takes elements internal structure into account and allows direct and reverse transformations. The novelty of the suggested methodology is in the combination of design, development and verification techniques within a single approach. To provide an example of the design methodology application, in this paper it is used to improve the semi-natural model of the railway infrastructure.     

模式驱动的系统安全性设计的验证

随着万维网和移动计算技术的广泛应用,系统安全性得到了越来越多的关注,使用安全模式对系统安全解决方案进行设计并验证是提升系统安全性的一种有效途径。现有方法根据系统安全需求选择适用的安全模式,在此基础上将模式组合为系统的安全解决方案,并通过模型检测方法验证其安全性。但是,这些方法往往将方案看作整体进行验证,忽略了内部安全模式的组合细节,难以在包含大量模式的复杂系统中定位缺陷。提出一种模式驱动的系统安全性设计的验证方法,首先使用代数规约语言SOFIA描述安全模式及其组合,以构建系统安全解决方案的形式化模型;然后将SOFIA规约转换为Alloy规约后,使用模型检测工具验证模式组合的正确性和系统的安全性。案例研究表明,该方法能够有效地验证系统安全解决方案的正确性。