操作系统可信增强框架研究与实现

操作系统安全增强技术是解决系统安全问题的有效手段,但无法保证系统基础可信。文章从分析可信和安全关系入手,提出可信增强概念。设计了操作系统可信增强框架,将可信机制和安全功能有机结合进安全体系结构设计中,并对实施和应用进行了研究。     

基于BLP的安全操作系统信息安全模型

提出并设计了一个安全操作系统的信息安全模型。该模型消除了仅以用户作为主体存在的不安全隐患,除保密性指标外考虑了完整性指标,限制了隐蔽通道,限制了可信主体以满足最小权限原则,进行了域隔离,缩小了理论模型与实际应用的差距,并应用到自主开发的安全操作系统WXSSOS中。     

基于代码路径的安全操作系统性能优化方法

为了满足面向访问验证保护级的要求, 研发新一代高等级安全操作系统, 我们采用微内核的架构设计和实现了面向访问验证保护级的安全操作系统原型系统(VSOS), 并通过设计和实现新的访问监控器来满足安全内核设计原则中的不可旁过和总是被调用两项要求, 但访问监控器的引入导致VSOS的性能产生较大的损耗. 提出了一种基于代码路径优化的方法, 用于改进访问监控器的实现和调用方式, 以及可信路径机制的实现方式. 实验表明, 通过此方法VSOS的性能和可信路径过程的用户体验都得到了提升.     

一种并行可复原可信启动过程的设计与实现

操作系统可信性的建立是从整个计算机系统加电引导开始直至操作系统运行环境最终的创建，对任意一次可能降低操作系统可信性的执行代码操作都要进行一致性度量。本文基于可信计算联盟的规范，分析了基于TPM的可信引导过程，提出了一种新的可信引导过程：并行可复原可信引导过程一在主机CPU与TPM之间采用并行工作方式，并支持被验证组件代码的备份和恢复。然后利用通道技术设计和实现了这一引导过程。最后对该引导过程进行了安全和性能分析，分析表明该引导过程可以使计算机获得更高的安全保障，为进一步建立可信计算环境提供了基础。     

基于国产处理器的可信系统研究与实现

根据可信计算组织TCG的可信计算规范,结合信任链的思想,基于国产处理器龙芯2F以及可信平台模块TPM,设计了基于龙芯处理器的可信计算平台,包括可信系统硬件层、可信BootLoader层和可信操作系统层,并设计了整个系统的启动程序,建立信任链,实现基于国产处理器的可信系统构建。     

可信操作系统研究

简要回顾了安全操作系统的发展历史,指出了安全操作系统当前存在的主要问题;在此基础上提出了可信操作系统的概念,分析了可信操作系统的特点、内涵以及与安全操作系统的关系;最后提出了可信操作系统需要解决的问题,为下一步将要开展的工作奠定基础。     

一种基于嵌入式安全系统的可信计算机系统

通过对嵌入式系统的研究，在通用计算机的主板上嵌入一个安全管理芯片卡，并设计了相应的操作系统来管理安全芯片，在主机部分对Linux操作系统底层和内核进行改进，建立了一个可信计算机系统，该系统具有良好的安全性和可扩充性，可应用各种高端安全系统。     

基于TCM的嵌入式可信终端系统设计

针对目前各种嵌入式终端的安全需求,借鉴普通安全PC中TPM的应用情况,结合操作系统微内核技术,提出一种嵌入式可信终端设计方案,该方案基于可信根TCM,实现了自启动代码、操作系统到上层应用程序的"自下而上"的可信链传递,适用于嵌入式终端的安全应用.最后,通过设计一个试验系统,重点阐述了可信启动的具体实现步骤,并分析了因此带来的性能变化.     

网络传感器操作系统设计

针对网络传感器节点有限硬件资源约束的特性,分析了现有操作系统设计的不足,以Arena操作系统为基础,设计了一种新的操作系统软件架构。这个架构允许操作系统功能模块和应用程序模块在系统运行时动态加载和替换,保障系统代码的安全升级,实现低能耗、高可信的操作系统功能,并支持网络传感器系统的可重构和自适应能力。     

可信操作系统中可信客体的研究

分析了操作系统中客体的类型,将客体分为静态客体和动态客体,然后总结了安全操作系统中对客体的处理存在的问题。在此基础路上,提出可信静态客体、可信动态客体和可信客体的概念,并分析了可信客体的特点以及与安全客体的关系。最后提出了在可信操作系统客体的可信需求。为下一步将要开展的工作奠定基础。     

嵌入式系统可信启动机制设计与实现

嵌入式系统在生活中不可或缺,如何增强其安全性是急需解决的问题;现有解决办法局限于理论层面且不符合嵌入式系统实际需求;为实现嵌入式系统安全启动并满足其实际应用需求,设计并实现了嵌入式系统可信启动机制;该机制以可信计算理论为基础,提出一种适用于嵌入式环境的高效、透明的可信框架模型,设计完成嵌入式可信计算硬件模块(ETHM)以及其逻辑结构,构造可靠稳定的接口机制,实现了完整的可信链传递、操作系统高可信启动机制等技术的集成设计;通过实验验证,该可信机制对操作系统安全性可以进行准确判定,并做出正常启动或发出警告的正确指令;实验结果表明,该可信机制具备安全性、可靠性、高效性的特点,并满足嵌入式系统实际应用需求.     

可信路径的设计与实现

可信路径为用户提供一种途径来鉴别系统,确认所交互的系统没有被篡改,从而防止特洛伊木马之类的恶意代码窃取口令或截取会话。本论针对Unix类操作系统提出了一种可信路径的完整设计,它包括可信登录和可信会话两部分,每一部分又分为控制台界面和图形界面两种情形。本文还从可信路径角度把系统划分为四个状态,并描述了它们之间的转换关系,而安全注意键则是导致状态转换的操作。基于这些转换关系可以更加容易把设计映射到实际的系统。最后,基于FreeBSD操作系统实现了安全注意键以唤醒用户与系统之间的可信路径。通过可信路径,FreeBSD能够为用户提供一个更加安全的操作环境。     

微内核中断机制的形式化设计与验证

操作系统的正确性和安全性很难用定量的方法进行描述。形式化方法是操作系统设计和验证领域公认的标 准方法。以操作系统对象语义模型(OSOSM)为基础,采用形式化方法对微内核架构的中断机制进行了设计和验证, 在自行开发的安全可信操作系统VTOS上加以实现,采用Isabelle/HOL对设计过程进行了形式化描述,对VTOS中 断机制的完整性进行了验证,这对操作系统的形式化设计和验证工作起到了一定的借鉴意义。     

基于RT-Thread的可信启动实现方法

基于国产操作系统RT-Thread与国产开发板AB32VG1提出一种可信启动实现方法。可信启动框架从建立可信实体与完整性度量方向出发,将U-boot分割为两部分,与操作系统核心文件共同构成可信实体,发送至可信加密模块进行完整性度量,度量成功则返回控制信号至外部设备,并保存可信实体到非易失性存储器中;反之,则禁止启动,可信加密模块作为系统可信根,通过SM4与SM3双重加密完成。在AB32VG1开发板上进行验证,可正确输出控制信号,系统稳定运行、安全启动、多次加密结果正确、可快速完成完整性度量,与预期设计目标一致。     

下一代TCM规范及芯片设计初探

本文分析了2008年颁布并开始执行的可信密码模块（TCM）规范方案,在特定情况下即CPU和操作系统不可信情况时的安全隐患,提出了第二代可信密码模块（TCM）标准的补充建议,并给出了一种高速TCM芯片的参考设计.     

基于UEFI的可信BIOS研究与实现

分析固件基本输入输出系统(BIOS)的安全需求,定义了可信BIOS概念。基于UEFI规范和可信计算机制设计UTBIOS体系结构。UTBIOS的实现以新一代符合UEFI规范的BIOS产品为基础,使用可信测量根核对BIOS运行和系统引导过程中各部件进行可信测量,构建操作系统运行前的可信链,讨论可信测量对BIOS引导过程的性能影响。     

基于可信密码模块的SoC可信启动框架模型

为满足嵌入式终端对信息安全的要求,设计了基于可信密码模块的SoC可信启动框架。该框架的特点在于对引导程序U-boot做功能上的分割,且存储在不同的非易失性存储器中,并增设了通信模块,使之在操作系统启动之前就具有发送和接收文件的功能。将引导程序的各部分与操作系统核心文件均作为可信实体,发送至可信密码模块进行完整性度量,若度量成功则可信密码模块返回下一阶段的启动信号并在其本地存储器中保存可信实体;若度量失败则禁止启动。实验结果表明,该框架是可行、有效的,可以满足现今嵌入式终端在信息安全方面的需要。     

面向移动Web操作系统的BLP改进模型及应用

作为重要的机密性策略经典模型,BLP模型通过对主体和客体进行分级和标记,并引入高安全等级的引用监视器,实现信息系统的强制访问。随着移动智能终端的普及,Web操作系统因其具有移动性、移植性、高扩展性和跨平台性等优点,成为移动政务系统的主要解决方案之一,并越来越受到研究人员的重视。但现有的Web操作系统对机密性要求不高,无法满足移动政务系统对安全保密的需求。本文从安全模型构建入手,对智能终端的Web操作系统进行抽象建模,并重定义BLP模型的元素,增强主客体的访问控制以提高其机密性。鉴于BLP模型缺乏可信主体的最小权限原则和完整性约束,本文在改进的BLP模型当中重新划分主体、客体的安全级,增加可信级别标记和角色映射函数,并针对现有的Web操作系统进行模型映射,实现了最小权限原则、主体完整性约束和域间隔离机制,可有效提高Web操作系统机密性等级。     

基于可信计算平台的静态客体可信验证系统的设计与实现

在安全操作系统中,通常采用了多种访问控制模型来保证静态客体的内容的机密性和完整性.但是,传统的访问控制政策不能保证静态客体内容的真实性.因此,安全操作系统中的客体并不可信.本文首先分析了操作系统中客体的类型,总结了安全操作系统中对静态客体的处理存在的问题,提出可信静态客体的概念并分析其特点.为了保证可信静态客体内容的真实性,提出了基于TPM的静态客体可信验证系统.该系统将生成可信静态客体的映像文件,映像文件记录某可信静态客体的来源、各次处理行为和内容变化的签名并存于TPM中.最后对该可信验证系统进行了安全和性能分析.分析表明,该可信验证系统可以保证可信静态客体内容的真实性,为进一步建立可信计算环境提供了基础.     

Linux可信启动的设计与实现

可信计算组织（TCG）提出了可信计算规范,其主要思想就是通过度量和保障组成平台的各组件的完整性来保证平台及应用的安会。启动过程是操作系统的基础,因此实施可信启动对操作系统意义重大。基于Linux启动的现实条件,结合TCG规范中可信度量和可信链的思想,利用TPM提供的可信计算和保护存储功能,设计了Linux可信启动过程TSPL,并实现了原型。设计中充分考虑到启动过程的复杂性和度黾数据的多样性,不仅度量了程序代码,还对影响执行程序行为的配置文件和环境数据进行了度量。