Giíi thiÖu 2.2 . NhËn d¹ngx¸c thùc ngêi dïng 2.3 . B¶o vÖ bé nhí 2.3.1 §Þa chØ rµo 2.3.2 T¸i ®Þnh vÞ 2.3.3 B¶o vÖ dùa vµo thanh ghi 2.3.4 Ph©n trang 2.3.5 Ph©n ®o¹n 2.4 . KiÓm so¸t truy nhËp tµi nguyªn 2.5 . C¸c c¬ chÕ kiÓm so¸t luång 2.6 . Sù c¸ch ly 2.7 . C¸c chuÈn an toµn 2.7.1 Tiªu chuÈn DoD 2.7.2 Ph©n lo¹i mét sè hÖ thèng theo tiªu chuÈn DoD 2.8 . ThiÕt kÕ c¸c hÖ ®iÒu hµnh an toµn Néi dung Trong ch¬ng nµy, chóng ta sÏ quan t©m ®Õn c¸c vÊn ®Ò sau: Một số cơ chế bảo vệ tài nguyên ở mức hệ điều hành. Các cải tiến đối với cơ chế an toàn cơ bản dành cho hệ điều hành. Thiết kế hệ điều hành an toàn. Chuẩn an toàn DoD.
Chơng Các chế an toàn 2.1 Giới thiệu 2.2 Nhận dạng/xác thực ngời dùng 2.3 Bảo vệ nhớ 2.3.1 Địa rào 2.3.2 Tái định vị 2.3.3 Bảo vệ dựa vào ghi 2.3.4 Phân trang 2.3.5 Phân đoạn 2.4 Kiểm soát truy nhập tài nguyên 2.5 Các chế kiểm soát luồng 2.6 Sự cách ly 2.7 Các chuẩn an toàn 2.7.1 Tiêu chuẩn DoD 2.7.2 Phân loại số hệ thống theo tiêu chuẩn DoD 2.8 Thiết kế hệ điều hành an toàn Nội dung Trong chơng này, quan tâm đến vấn đề sau: - Mt s c ch bo v ti nguyờn mc h iu hnh - Cỏc ci tin i vi c ch an ton c bn dnh cho h iu hnh - Thit k h iu hnh an ton - Chun an ton DoD 2.1 Các định nghĩa hệ điều hành Trớc hết tìm hiểu khái niệm hệ điều hành Hệ điều hành chơng trình đóng vài trò trung gian việc giao tiếp ngời sử dụng phần cứng máy tính Mục tiêu hệ điều hành cung cấp môi trờng cho phép ngời sử dụng phát triển thực ứng dụng họ cách dễ dàng hiệu Hệ điều hành phần quan trọng hầu hết hệ thống máy tính Sau kiến trúc điển hình hệ thống máy tính bao gồm mức sau: - Phần cứng: bao gồm CPU, nhớ, thiết bị nhập xuất tài nguyên máy tính - Chơng trình sở (phần mềm hệ thống): phần mềm hệ thống ROM đợc nạp cố định nhớ thay đổi đợc - Chơng trình dịch hợp ngữ (assembler) - Hệ điều hành (OS): iu khin v phi hp vic s dng phn cng cho nhng ng dng khỏc ca nhiu ngi dùng khỏc - Các ứng dụng Hệ điều hành đóng vai trò nh giao diện chơng trình ứng dụng tài nguyên hệ thống Các ứng dụng Hệ điều hành Chơng trình dịch hợp ngữ Chơng trình sở Phần cứng Các mức tợng Hệ điều hành quản lý tấtHình tài2.1nguyên hệ trừu thống (bộ nhớ, file, thiết bị hệ thông máy tính vào/ra, xử lý) tối u hoá việc sử dụng tài nguyên cho chơng trình ứng dụng khác Các chức hệ điều hành đợc tóm tắt nh sau: - Quản lý tiến trình xử lý: Hỗ trợ tiến trình đồng thời ngời dùng hệ thống Đảm bảo tối đa hiệu sử tài nguyên hệ thống - Quản lý tài nguyên: OS cấp phát tài nguyên hệ thống nh: nhớ, file, thiết bị vào/ra cho ứng dụng OS giải vấn đề xung đột tiến trình sử dụng chung tài nguyên - Giám sát: OS tơng tác trực tiếp với chơng trình ứng dụng Hỗ trợ thực ngôn ngữ ứng dụng khác Kiểm soát chơng trình chạy, không cho phép sử dụng trái phép tài nguyên hệ thống Chống can thiệp trái phép vào vùng nhớ Hệ điều hành không ngừng phát triển từ chơng trình đơn giản đến hệ thống phức tạp, hỗ trợ kiến trúc đa nhiệm, đa xử lý, phân tán xử lý thời gian thực Chức an toàn hệ điều hành Ngờimột dùng Hình 2.2 minh hoạ chức OS việc hỗ trợ an toàn, trình bày giai đoạn có phiên làm việc ngời dùng, hệ thống đa ngời dùng Quản lý hệ Cấp phát tài nguyên Đăng nhập Nhận dạng/Xác thực Bảo vệ nhớ Thực chơng trình Quản lý vào Kiểm soát truy nhập tài nguyên Quản lý phát lỗi thống file Đăng xuất Kiểm toán Điều khiển luồng Các chức dịch vụ OS Các chức an toàn OS Hình 2.2 Phiên làm việc ngời dùng - Đầu tiên ngời dùng đăng nhập để tạo kết nối tới hệ thống, hệ thống kiểm tra tính ngời dùng chế nhận dạng/xác thực - Khi qua đợc giai đoạn đăng nhập: Ngời dùng làm việc với file -> quản lý hệ thống file Chạy chơng trình: chạy chơng trình cần vùng nhớ cấp phát trớc -> cần đợc bảo vệ tránh can thiệp chơng trình khác -> Bảo vệ nhớ Một chơng trình chạy thực thao tác vào/ra -> Quản lý vào/ra - Hệ điều hành hỗ trợ truy nhập đồng thời vào tài nguyên, giải xung đột xảy -> Cấp phát truy nhập tài nguyên kiểm soát truy nhập tài nguyên - Quản lý phát lỗi: OS thấy chơng trình có lỗi, kết thúc chơng trình - OS lu tất thao tác mà ngời dùng thực tài nguyên hệ thống -> Kiểm toán - Cuối ngời dùng ngừng phiên làm việc cắt kết nối tới hệ thống -> đăng xuất Các chức hớng hỗ trợ an toàn hệ điều hành, bao gồm: - Nhận dạng/xác thực ngời dùng - Bảo vệ nhớ - Kiểm soát truy nhập vào tài nguyên - Kiểm soát luồng - Kiểm toán 2.2 Nhận dạng/ xác thực ngời dùng Yêu cầu hệ thống an toàn phải nhận dạng xác ngời sử dụng, ta tìm hiểu xem chức an toàn nhận dạng/xác thực ngời dùng OS thực nh Các hệ thống xác thực dựa vào thông tin ngời dùng biết - Các hệ thống dựa vào mật khẩu: Ngời dùng đợc nhận dạng thông qua chuỗi ký tự bí mật (mật khẩu), có ngời dùng hệ thống biết - Các hệ thống dựa vào hỏi đáp: Ngời dùng đợc nhận dạng, thông qua việc trả lời tập hợp câu hỏi mà hệ thống đặt Các câu hỏi đợc đặt riêng cho ngời dùng chủ yếu dựa vào hàm toán học Hệ thống tính toán hàm sau nhận đợc giá trị đa vào từ ngời dùng so sánh kết với Các hàm mẫu nh sau: Các hàm đa thức (ví dụ, f(x) = x3+ x2- x + 4): giá trị biến x hệ thống cung cấp, ngời dùng nhận đợc x tính giá trị hàm f(x) gửi kết cho hệ thống Hệ thống kiểm tra lại kết xem có xác hay không Các hàm dựa vào việc biến đổi chuỗi ký tự: Hệ thống chuyển cho ngời dùng chuỗi ký tự để thay đổi, theo lợc đồ biết (ví dụ, f(a1a2a3a4a5) = a4a3a5a2a1) Khi ngời dùng phải gửi lại kết biến đổi chuỗi ký tự cho hệ thống, sau hệ thống kiểm tra lại kết hàm f xem có xác hay không Các hàm dựa vào thuật toán mật mã đơn giản: cho từ giá trị mã hóa mà hệ thống cho trớc, ngời dùng giải mã sử dụng để tính toán hàm, sau mã hoá kết quả, ví dụ f(E(x)) = E(D(E(x))2) hệ thống cung cấp cho ngời dùng giá trị mã hóa E(x), ngời dùng phải giải mã D(E(x)) sau tính hàm bình phơng [D(E(x))]2, cuối mã hóa giá trị E(D(E(x))2) Sau ngời dùng gửi kết tới hệ thống, hệ thống kiểm tra kết hàm f - Các hệ thống xác thực hai lần bắt tay : hệ thống tự giới thiệu với ngời dùng, ngời dùng tự xác thực ngợc trở lại hệ thống Xác thực hệ thống dựa vào thông tin có ngời dùng biết (ví dụ, ngày, đoạn chơng trình phiên làm việc cuối) Xác thực ngời dùng dựa vào mật Về bản, hệ thống xác thực dựa vào thông tin ngời dùng hệ thống dựa vào thẻ: thẻ từ có chứa mã vạch, mã vạch từ, vi xử lý Hệ thống dùng thiết bị đọc để xác thực thẻ từ đa vào, thẻ đợc gắn kèm với mã bí mật (secret code) Các hệ thống xác thực dựa vào đặc điểm ngời dùng, bao gồm: - Các hệ thống nhận dạng qua ảnh: ảnh ngời dùng đợc lu giữ Việc nhận dạng đợc thực cách đối chiếu ngời sử dụng với ảnh đợc lu giữ hiển thị hình; - Các hệ thống nhận dạng qua dấu vân tay: Việc nhận dạng đợc thực cách đối chiếu dấu vân tay ngời dùng với dấu vân tay đợc lu giữ; - Các hệ thống nhận dạng qua đặc trng chữ ký viết tay: Việc nhận dạng đợc thực dựa vào độ nhấn tay ngời dùng ký thiết bị thích hợp - Các hệ thống nhận dạng qua tiếng nói: So sánh giọng nói ngời dùng với giọng nói đợc lu giữ - Các hệ thống nhận dạng qua đặc điểm võng mạc-đồng tử): Việc nhận dạng đợc thực cách kiểm tra đặc điểm võng mạc ngời dùng => Các hệ thống xác thực có độ phức tạp cao đắt chi phí so với hệ thống xác thực dựa vào thông tin ngời dùng biết đợc liệt kê trớc, phức tạp đối chiếu đặc điểm đợc lu giữ cá nhân với ngời thực tế Do đó, xác xuất từ chối ngời dùng hợp pháp cao Do vậy, việc sử dụng thích hợp môi trờng an toàn cao thiết yếu Không phải tất chế nêu đợc thực mức OS, chế xác thực dựa vào mật đợc sử dụng phổ biến Chúng ta sâu xem xét chế Xác thực dựa vào mật Mật chuỗi ký tự bí mật (số chữ), có ngời dùng hệ thống biết, hệ thống có khả nhận dạng ngời dùng dựa vào việc xác nhận tính hợp lệ mật Những vấn đề việc sử dụng mật phụ thuộc vào việc chọn mật ban đầu, phụ thuộc vào khả khám phá mật phụ thuộc vào việc quản lý mật Các tiêu chuẩn mật 'bí mật' là: - Sử dụng ký tự, nói chung nên sử dụng mật dài - Sử dụng số chữ - Sử dụng chữ thờng chữ in hoa - Sử dụng ký hiệu bàn phím đặc biệt (ví dụ, &,@ %) - Ghép từ không liên quan, sau cắt bớt từ thu đợc cho có độ dài n-1, với n độ dài cho phép mật khẩu, sau chèn thêm ký tự đặc biệt vào - Chọn từ nớc - Sử dụng chuỗi ký tự bàn phím, cho lu giữ dễ dàng (ví dụ, sử dụng ký tự cuối hàng 2; chữ cột thứ bàn phím,v.v) - Chọn thuật ngữ liên quan đến hoạt động thể thao sở thích ngời, sau ghép chúng lại - Thông thờng chọn thuật ngữ dễ nhớ Ngời dùng nên lựa chọn mật phù hợp sử dụng chúng xác cẩn thận Đặc biệt, ngời dùng nên: - Chọn mật tuân theo tiêu chuẩn - Ghi nhớ mật mình, không đợc viết - Không để lộ mật - Thay đổi mật thờng xuyên định kỳ Vấn đề quản lý mật Thông thờng, mật phải đợc lu giữ hệ thống đa ngời dùng, nhằm đáp ứng hoạt động xác thực sau này, mật phải lu file hệ điều hành quản lý Điều dẫn đến tất modul OS truy nhập đợc file mật khẩu, ngời dùng lợi dụng số modul dễ bị công OS để truy cập file Các trở ngại đợc giải số hệ thống, cách mã hoá mật sử dụng thuật toán mã hoá Sau đợc tạo ra, mật đợc mã hoá lu giữ file mật khẩu, ngời dùng đọc nhng việc sửa đổi (chèn, xoá, cập nhật) OS thực Việc bảo vệ mật có hiệu hay không phụ thuộc vào chọn lựa thuật toán mã hoá, cho việc giải mã phức tạp tốn thời gian tính toán Nếu hai ngời sử dụng tình cờ lựa chọn mật khẩu, có hai mã mật giống hệt file mật Khi hai ngời sử dụng biết đợc mật ngời Do cần thiết phải có chế mã hóa thích hợp cho thực đợc tính mật => Để giải vấn đề tính mật ta dùng kỹ thuật salt Kỹ thuật salt đợc sử dụng UNIX Một salt số 12 bit đợc thêm vào nh phần mở rộng mật Trong kỹ thuật này, mật đợc kết hợp với salt nó, salt đợc sinh dựa vào thời gian sinh định danh tiến trình chạy Vì thời gian sinh định danh tiến trình chạy ngời dùng khác nhau, tham biến salt đợc sinh ngời dùng khác Điều đảm bảo cho tính mật đợc mã hóa Salt Mật DES Mật mã hóa Salt File mật Hình 2.3 Kỹ thuật salt Thuật toán mã hóa DES (Data Encryption Standard) đợc áp dụng UNIX để kết nối mật khẩu/salt, kết đợc lu file mật với salt tơng ứng Tại thời điểm, ngời sử dụng gõ mật mình, hệ thống mã hóa mật kết hợp với salt đợc lu file mật khẩu, sau so sánh kết mã hóa với mật đợc lu file mật Nh cách sử dụng hệ thống kiểm soát truy nhập vào file mật sử dụng thuật toán mật mã để mã hóa mật khẩu, làm cho bảo vệ mức hệ điều hành tăng khả chống lại tiếp cận trái phép tới mật ngời sử dụng Ngời dùng gõ mật Mật mã hóa File mật Salt DES Mật mã hóa So sỏnh Hình 2.4 Kiểm tra mật salt 2.3 Bảo vệ nhớ Trớc hết ta thấy rằng, nhớ thiết bị lu trữ thông qua đó, CPU trao đổi thông tin với môi trờng bên ngoài, vấn để tổ chức, quản lý bảo vệ nhớ nhiệm vụ trọng tâm hàng đầu hệ điều hành Bộ nhớ đợc tổ chức nh mảng chiều từ nhớ (word), từ nhớ có địa Các kiểu chế phần cứng đợc sử dụng để bảo vệ chia sẻ nhớ có kiểm soát là: - Địa rào - Tái định vị - Các ghi sở/giới hạn - Phân trang - Phân đoạn 2.3.1 Địa rào (Thông thờng chơng trình đợc lu trữ dới dạng tập tin nhị phân đĩa xử lý Để thực chơng trình, cần nạp chơng trình vào nhớ tạo lập tiến trình tơng ứng để xử lý - Các địa chơng trình nguồn địa tợng trng- địa logic, để chuyển đổi địa thành địa tuyệt đối nhớ chính, chơng trình phải trải qua nhiều giai đoạn xử lý + Địa logic - địa ảo: tất địa xử lý sinh + Địa vật lý địa thực tế mà trình quản lý nhớ nhìn thấy thao tác + Không gian địa tập hợp tất địa ảo phát sinh chơng trình + Không gian vật lý tập hợp tất địa vật lý tơng ứng với địa ảo + MMU (memory management unit) chế phần cứng để chuyển đổi địa ảo thành địa vật lý thời điểm xử lý.) - Địa rào đánh dấu ranh giới vùng nhớ dành cho hệ điều hành (thờng vùng nhớ thấp) vùng nhớ cho tiến trình ngời dùng Hệ điều hành Thanh ghi rào Giá trị địa rào Địa rào Vùng nhớ ng ời dùng Vùng nhớ sẵn dùng 0xFFF Hình 2.5 Bảo vệ dựa vào địa rào Khi cần phải bảo vệ nhớ dành cho hệ điều hành tránh khỏi xâm phạm, tác động tiến trình ngời dùng Cơ chế dựa vào địa rào so sánh địa mà tiến trình ngời dùng truy xuất với giá trị địa rào, lớn tham chiếu xác tới vùng nhớ ngời dùng, ngợc lại tham chiếu xác, chơng trình bị dừng đa thông báo lỗi tới ngời dùng Chú ý, địa rào địa vật lý Khi ngời dùng truy xuất đến địa logic, CPU chuyển địa logic thành địa vật lý A so sánh với địa rào FA Giá trị địa rào đợc lu ghi rào Khi đó, giá trị rào thay đổi động tuỳ thuộc vào thay đổi kích cỡ OS, đồng thời OS lu giá trị địa rào vào ghi Các địa chơng trình ngời dùng đợc so sánh với giá trị lu ghi rào xem có hợp lệ hay không Địa rào (FA) Hệ điều hành CPU Địa (A) A>F A Sai Vùng nhớ ng ời dùng FA Đúng Vùng nhớ sẵn dùng 0xFFF Lỗi 10 (Trong hầu hết hệ thống, có hai chế độ xử lý cho tiến trình là: chế độ đặc quyền (privileged mode) chế độ không đặc quyền nhờ vào chế phần cứng Mỗi tiến trình đợc gán bit trạng thái để thể trạng thái thực Mỗi trạng thái tơng ứng với tập quyền đợc gắn với tập lệnh thực thi Tập lệnh CPU đợc phân chia thành lệnh đặc quyền không đặc quyền Các lệnh đặc quyền thờng lệnh để quản lý hệ thống nh: lệnh nhập/xuất, lệnh dừng, lệnh thay đổi trạng thái Thông thờng có hệ điều hành hoạt động chế độ đặc quyền, tiến trình ngời dùng hoạt động chế độ không đặc quyền Do vậy, hệ điều hành đợc bảo vệ Khi tiến trình ngời dùng gọi đến lời gọi hệ thống (lênh đặc quyền), tiến trình hệ điều hành xử lý lời gọi hoạt động chế độ đặc quyền, sau hoàn tất trả quyền điều khiển cho tiến trình ngời dùng hoạt động chế độ không đặc quyền ) Ta xem xét hai chế độ thực phân cấp truy nhập: + Chế độ đặc quyền: : ta phân cấp mức bảo vệ, mức có tập quyền truy nhập khác Tập quyền mức đợc gọi miền truy nhập mức Giả sử có N mức (từ N-1), mức (mức 0) có tối đa quyền truy nhập, mức (mức N1) có tối thiều quyền Miền truy nhập mức i+1 tập miền truy nhập mức i Mỗi tiến trình đợc gắn với mức bảo vệ, đợc hoạt động miền truy nhập mức Nh phân cấp mức độ bảo vệ trái ngợc lại với nguyên tắc đặc quyền tối thiểu Bởi tiến trình có quyền truy nhập mức bảo vệ nó, đồng thời tiến trình mức có quyền truy nhập vào tất đối tợng hệ thống Ví dụ, với số ngôn ngữ lập trình cấu trúc nh: Pascal, ALGOL, PL/1 cho phép chơng trình bao gồm nhiều chơng trình (thủ tục), thủ tục P truy nhập đối tợng cục đợc khai báo P, đối tợng toàn cục đợc khai báo chơng trình + Các khối chơng trình lồng nhau: Một khối chơng trình truy nhập đối tợng toàn cục tất khối chứa khối chơng trình này, tất nhiên đối tợng bên Ví dụ việc lồng khối chơng trình nh sau: < U5 U3 > < U4 >> Khối U1 có quyền truy nhập tất đối tợng (đã đợc khai báo bên U1) tất đối tợng bên khối chứa U1 (U2, U3, U5), nhng U1 truy nhập vào đối tợng U4 Thông qua chế này, khối truy nhập vào đối tợng cần thiết cho nhiệm vụ chúng Do đó, dùng khối chơng trình lồng thỏa mãn nguyên tắc đặc quyền tối thiểu 23 Ma trận truy nhập: Khác với chế độ phân cấp truy nhập, ta phân cấp hệ thống thành mức bảo vệ khác nhau, tiến trình đợc gắn với mức bảo vệ đợc thực quyền truy nhập mức Đối với ma trận truy nhập, quyền gắn liền với chủ thể (các thực thể hoạt động hệ thống) Ta biểu diễn quyền truy nhập chủ thể S tới đối tợng O ma trận truy nhập Có thể biểu diễn ma trận truy nhập bằng: Bảng toàn cục Danh sách quyền truy nhập (ALC) Danh sách tiềm miền bảo vệ (C-List) Cơ chế khóa chìa b) Bảo vệ file Ta áp dụng ma trận truy nhập để bảo vệ file, nhiên nhiều hệ điều hành, ta có cách khác để bảo vệ file - Cơ chế dựa vào mật khẩu: Muốn truy nhập vào file với thao tác (đọc, ghi, xóa, sửa) phải có mật Cơ chế không truy nhập theo định danh ngời dùng Mỗi ngời dùng muốn truy nhập vào file cần phải có mật file - Cơ chế dựa vào quyền sở hữu: Thông thờng nhiều hệ thống, ngời sử dụng đợc phân thành loại nh sau: Ngời sở hữu: ngời tạo file định nghĩa quyền truy nhập ngời sử dụng khác file Nhóm: tập hợp ngời sử dụng có nhu cầu dùng chung file, ví dụ ngời làm việc dự án Những ngời sử dụng khác: tất ngời sử dụng hệ thống, trừ ngời sở hữu thành viên nhóm Cơ chế hỗ trợ truy nhập file theo định danh ngời dùng Mỗi file có danh sách kiểm soát truy nhập, phần tử chứa trờng: định danh ngời dùng, định danh nhóm chứa ngời dùng, quyền truy nhập Thực tế, chế bảo vệ file đợc thực UNIX Mỗi file đợc gán tơng ứng bit bảo vệ, bit mô tả quyền truy xuất R (đọc), W (ghi) hay X (xử lý) ngời sở hữu file, ngời nhóm với ngời sở hữu, ngời dùng khác Ký hiệu - tơng ứng với thao tác không đợc phép file Ví dụ, file F đợc gắn chuỗi bit sau: rwx r-x r, nghĩa ngời sở hữu file đợc toàn quyền thao tác F, ngời dùng nhóm với ngời sở hữu đợc đọc, thực F, lại ngời dùng khác đợc đọc F 24 => Nh vậy, chế dựa vào quyền sở hữu hỗ trợ việc phân biệt quyền file, định nghĩa số lợng ngời sử dụng dùng chung file Việc thực phức tạp dựa vào định danh ngời dùng 2.5 Các chế kiểm soát luồng Ta biết rằng, chế kiểm soát truy nhập có trách nhiệm kiểm tra quyền ngời dùng họ truy nhập vào tài nguyên: thực thao tác đợc trao Còn chế kiểm soát luồng có trách nhiệm kiểm tra đích cuối đầu ra, tránh làm lộ liệu Luồng (flow) xảy thông tin đợc chuyển từ đối tợng nguồn tới đối tợng đích Chúng ta phân biệt hai kiểu luồng: luồng hiển (explicit flow) kết lệnh gán, ví dụ nh y:= f(x1, , xn) luồng ẩn (implicit flow) kết lệnh điều kiện, ví dụ nh if f(xm+1, , xn) then y:= f(x1, , xm) Các chế kiểm soát luồng phải đảm bảo: thực luồng đợc phép (không phân biệt luồng hay luồng ẩn) Chúng ta kiểm tra tính đắn luồng thông qua việc thực lệnh Trong sách kiểm soát luồng, ta phân đối tợng chủ thể thành các lớp an toàn Hai đặc điểm lớp đối tợng an toàn là: mức phân loại (mức nhạy cảm) phản ánh thông tin có loại - kiểu (vùng ứng dụng) mà thông tin đối tợng đề cập đến Phân loại đối tợng phản ánh mức độ nhạy cảm thông tin có đối tợng loại vùng ứng dụng mà thông tin đề cập đến Nói chung, chế kiểm soát luồng thực kiểm soát cách gán cho đối tợng nhãn xác định lớp an toàn đối tợng Các chế kiểm soát thời gian thao tác đợc áp dụng đối tợng lớp cố định (liên kết tĩnh lớp đối tợng) đối tợng lớp động (liên kết động lớp đối tợng) Cơ chế kiểm soát luồng cho phép chủ thể đợc đọc nội dung đối tợng mức thấp có quyền ghi lên đối tợng mức cao hơn, không đợc phép đọc đối tợng mức cao ghi xuông đối tợng mức thấp Điều tránh việc làm lộ liệu mật 2.5 Sự cách ly Sự cách ly khả hạn chế hậu xâm phạm an toàn xảy ra, cách ngăn chặn chúng, tránh làm ảnh hởng đến yếu tố khác hệ thống Sự cách ly thực đợc cách tách phần cứng phần mềm thành modul hoạt động độc lập Sự cách ly yêu cầu lặp số modul phần cứng/phần mềm Để cách ly, sử dụng phơng pháp: phơng pháp đa không gian (multiple-space-based method) phơng pháp dựa vào máy ảo (virtual-machine-based method) Phơng pháp đa không gian khai thác nhớ ảo cho ngời dùng hệ thống Các vùng nhớ chơng trình dùng chung đợc lặp đợc dùng chung nhiều ngời dùng khác Tuy nhiên, không tiến hành lặp OS, chơng 25 trình hệ thống thiết bị nhớ thứ cấp Tính chất đồng dạng (uniformity) chế bảo vệ đợc đảm bảo, thông qua tồn OS nhất, nhiên, xâm phạm vào chế bảo vệ gây thiệt hại tiềm ẩn cho tất vùng nhớ ngời dùng Trong phơng pháp dựa vào máy ảo, nhiều môi trờng làm việc khác tồn máy tính: nhóm ngời dùng thao tác môi trờng cách ly họ Thông qua chơng trình kiểm soát (là giám sát máy ảo), (các máy ảo) hệ thống đợc mô phỏng, làm việc môi trờng cách ly Các chơng trình ngời dùng file liên quan môi trờng đợc cách ly (tách) khỏi ngời sử dụng khác Phần mềm hệ thống thiết bị phần cứng đợc lặp Mỗi phần tử có yêu cầu bảo vệ riêng, vậy, cố gắng xâm phạm (có thể xảy ra) môi trờng không làm ảnh hởng đến môi trờng khác Thuận lợi kỹ thuật dựa vào máy ảo là: môi trờng khác dùng chung máy, môi trờng có yêu cầu bảo vệ sách kiểm soát tài nguyên khác Hơn nữa, hạn chế đợc thiệt hại xuất phát từ sai lầm (lỗi) xâm phạm chế an toàn Tiến trình Tiến trình Tiến trình Tiến trình Hệ điều hành Phần cứng a) Không có máy ảo Giao diện lập trình OS OS OS Máy ảo Phần cứng b) Máy ảo Hình 2.16 Mô hình hệ thống 2.6 Các chuẩn an toàn Xuất phát từ yêu cầu phát triển cấp chứng nhận an toàn cho sản phẩm mình, tổ chức nhà cung cấp đa tiêu chuẩn để đánh giá mức độ an toàn cho sản phẩm mình, ta tìm hiểu tiêu chuẩn đó, tiêu chuẩn DoD 2.6.1 Tiêu chuẩn DoD Ta biết rằng, việc đánh giá mức độ bảo vệ hệ thống vấn đề nghiên cứu chủ yếu an toàn Do nhà phát triển nh ngời dùng cuối cần có tiêu chuẩn công cụ đánh giá để mức độ tin cậy chế an toàn Năm 1985, quốc phòng Mỹ đa tiêu chuẩn nhằm hai mục đích để phát triển đánh giá hệ thống an toàn, tiêu chuẩn DoD (Department of Defense) 26 Tiêu chuẩn DoD cung cấp: Cho ngời sử dụng độ đo (metrics) để đánh giá mức tin cậy hệ thống an toàn (nhằm bảo vệ thông tin đợc phân lớp thông tin nhạy cảm) nếu: - Hệ thống an toàn không đợc phát triển bên tổ chức, nhng tổ chức lại sử dụng sản phẩm thơng mại, tiêu chuẩn DoD cung cấp tiêu chuẩn cần thiết để đánh giá sản phẩm an toàn - Hệ thống an toàn đợc phát triển bên tổ chức, DoD cung cấp tiêu chuẩn cần thiết để kiểm tra xem tất yêu cầu an toàn có đợc quan tâm thực đầy đủ hay không Cho nhà phát triển/nhà cung cấp tài liệu hớng dẫn thiết kế (trong trình bày đặc trng an toàn hệ thống thơng mại, đặc trng nhằm làm cho sản phẩm (tin cậy, có sẵn) đáp ứng đợc yêu cầu an toàn ứng dụng nhạy cảm) Cho nhà thiết kế tài liệu hớng dẫn để đặc tả yêu cầu an toàn Với tiêu chuẩn DoD, hệ thống an toàn đợc phân theo mức phân cấp (D, C, B, A) Trong mức phân cấp, lại chia thành lớp phân cấp Mức độ bảo vệ hệ thống với mức (lớp) cao cao so với mức (lớp) thấp mức D mức thấp yêu cầu cho hệ thống, mức phức tạp C, B, A Bảng dới yêu cầu cho mức (lớp) Ta xem lớp tiêu chuẩn DoD đáp ứng loại yêu cầu nh Tiêu chuẩn đánh giá DoD với phần phân cấp đợc biểu diễn qua bảng sau: Mức D (bảo vệ tối thiểu): Không có lớp nào, hệ thống mức yêu cầu cần thiết để phân loại cao Mức C (bảo vệ tuỳ ý): Các hệ thống mức cung cấp sách kiểm soát truy nhập tùy ý DAC sách sử dụng lại đối tợng Ngoài ra, chúng cung cấp chế nhận dạng/xác thực kiểm toán Mức C đợc chia làm hai lớp: - Lớp C1 (bảo vệ an toàn tùy ý): Các hệ thống lớp cung cấp đặc trng an toàn cho kiểm soát truy nhập tùy ý nhận dạng/xác thực Các hệ thống thực nhóm ngời dùng - Lớp C2 (bảo vệ truy nhập có kiểm soát): Các hệ thống lớp cung cấp sách kiểm soát truy nhập tùy ý-DAC, lu thông tin ngời dùng đơn lẻ, sử dụng lại đối tợng Các hệ thống lớp C2 cải 27 tiến với lớp C1 lu thông tin ngời dùng đơn lẻ có chế kiểm toán Mức B (bảo vệ bắt buộc): yêu cầu với hệ thống thuộc mức B cần có nhãn an toàn sách kiểm soát truy nhập bắt buộc MAC Hầu hết liệu liên quan hệ thống cần phải đợc gán nhãn Mức B đợc chia thành lớp: - Lớp B1 (bảo vệ an toàn có gán nhãn): Các hệ thống thuộc lớp có đặc trng nh hệ thống lớp C2, có thêm nhãn an toàn sách kiểm soát truy nhập bắt buộc MAC - Lớp B2 (bảo vệ có cấu trúc): lớp B2, yêu cầu buộc phải đợc đảm bảo Các hệ thống thuộc lớp B2 phải đa mô hình sách an toàn (cả MAC DAC), sách phải đợc xác định cách rõ ràng, phải tơng thích với tiên đề an toàn Đối với hệ thống thuộc lớp B2, sách kiểm soát truy nhập lớp B1 đợc áp dụng với tất chủ thể đối tợng hệ thống Ngoài ra, nhà quản trị ngời dùng đợc cung cấp chế xác thực, công cụ để hỗ trợ việc quản lý cấu hình - Lớp B3 (miền an toàn): Hệ thống thuộc lớp phải thỏa mãn yêu cầu kiểm soát Ngoài yêu cầu nh B2, cần có khả chống đột nhập, đặc tính an toàn phải mạnh hơn, có thủ tục phục hồi, khả kiểm toán Nói chung hệ thống lớp B3 phải có khả cao chống lại đợc truy nhập trái phép Mức A (bảo vệ có kiểm tra): Đặc điểm lớp sử dụng phơng pháp hình thức để kiểm tra an toàn cho hệ thống Mức A đợc chia thành: - Lớp A1 (thiết kế kiểm tra): hệ thống thuộc lớp A1 tơng đơng với hệ thống thuộc lớp B3 Tuy nhiên, hệ thống thuộc lớp A1 cần sử dụng kỹ thuật hình thức phi hình thức để chứng minh tính tơng thích gữa đắc tả an toàn mức cao mô hình sách hình thức - Lớp A1 (không đợc mô tả) Các thích ký hiệu bảng nh nhau: Không yêu cầu * Không yêu cầu thêm (chỉ yêu cầu lớp trớc) Yêu cầu bổ sung yêu cầu lớp trớc Các loại yêu cầu đợc xem xét Các phần phân cấp lớp 28 D Chính sách an toàn Các kiểm soát truy nhập tuỳ ý (DAC) Sử dụng lại đối tợng C1 C2 B1 B2 B3 A1 Các nhãn Tính toàn vẹn nhãn Sự phổ biến liệu phân loại Tài nguyên đa mức chéo Phổ biến Tài nguyên đơn mức Chéo phổ biến Phân loại đầu Các nhãn nhạy cảm chủ thể Các nhãn thiết bị Các kiểm soát truy nhập bắt buộc (MAC) Trách nhiệm giải trình Nhận dạng xác thực Kiểm toán Đờng dẫn tin cậy Sự đảm bảo Sự tin cậy hoạt động Kiến trúc hệ thống Tính toàn vẹn hệ thống Phân tích kênh chuyển đổi Quản lý phơng tiện tin cậy Khôi phục tin cậy Đảm bảo tính tin cậy phát triển 29 Thử nghiệm hệ thống Đa đặc tả thiết kế kiểm tra Quản lý cấu hình Phân phối tin cậy Cung cấp tài liệu Hớng dẫn cho ngời dùng đặc trng an toàn Sách hớng dẫn phơng tiện tin cậy Cung cấp tài liệu thử nghiệm Cung cấp tài liệu thiết kế 2.6.2 Phân loại số hệ thống theo tiêu chuẩn DoD Dựa vào tiêu chuẩn này, ngời ta tiến hành phân loại số hệ thống thơng mại, OS gói an toàn mục đích đặc biệt, hệ thống mạng trạm làm việc, đa chúng vào bảng phân loại Với hệ thống cần xác định mức phân loại, thời gian tiến hành đánh giá hệ thống phải đợc lu lại 2.7 Thiết kế hệ điều hành an toàn Mức bảo vệ hệ điều hành thấp chút so với phân loại theo tiêu chuẩn DoD Ngời ta tiến hành nghiên cứu để cải thiện điều Tuy nhiên, chi phí cho việc tích hợp chức an toàn hệ thống có đắt (và khó) Các khía cạnh an toàn cần đợc quan tâm nh phần trình phát triển hệ thống Trong nhiều OS, chế bảo vệ khác (nh: xác thực ngời dùng, bảo vệ nhớ, kiểm soát truy nhập vào file, tài nguyên đối tợng nói chung, chế hỗ trợ cho việc chia sẻ tài nguyên truyền thông tiến trình) thờng đợc cung cấp thông qua môđun: chúng nằm rải rác bên chơng trình hệ thống để trì cấu trúc củaCác hệchthống Nói cách khác, việc nhóm tất ơng trình ứngtại dụng chức an toàn vào modul làm thay đổi tính modul hoá OS tạo modul lớn, dẫn đến việc kiểm tra dễ dàng Hệ điều hành Nhân hệ điều hành Phần cứng 30 Các chức an toàn Hình 2.17 Các chức an toàn nhân an toàn Hớng tiếp cận dựa vào nhân Hớng tiếp cận cố gắng làm giảm kích cỡ độ phức tạp chế an toàn, cách nhóm chức an toàn vào nhân an toàn Khi đó, nhân an toàn cung cấp tập tất chức an toàn hệ điều hành cho hệ thống Để thiết kế hệ điều hành an toàn, vấn đề an toàn cần đợc quan tâm từ giai đoạn thiết kế: trớc tiên, ta cần phát triển nhân an toàn, sau định nghĩa OS vào nhân Qua nhân an toàn, hiểu rõ khái niệm "bộ giám sát tham chiếu" (reference monitor), kiểm soát tất thao tác truy nhập thực tất chức liên quan đến an toàn Nhân an toàn phải thoả mãn tính chất sau đây: Tính đầy đủ (completeness): có khả dàn xếp tất truy nhập vào thông tin hệ thống Tính cách ly (isolation): nhân an toàn phải bảo đảm khả chống can thiệp Khả kiểm tra (verifiability): mã lệnh nhân đợc kiểm tra để chứng tỏ thực đầy đủ yêu cầu sách an toàn (có mô hình an toàn) Để xây dựng nhân an toàn, ta cần sách an toàn đợc hình thức hóa Các sáchNg cần códùng nhân Ngời Ngnhững ời dùnggì hỗ trợ bên ời dùng nhân (phần hệ điều hành bên nhân đợc gọi 'giám sát viên' (supervisor)) Các chức không liên quan đến an toàn cung cấp dịch vụ ngời dùng phần 'giám sát viên' (trừ số chúng đợc chèn vào nhân an toàn để tăng tính hiệu quả) Giao diện nhân ứng dụng Một OS dựa vào nhân an toàn có cấu trúc tầng tầng tơng ứng với miền thực (execution domains) sau: nhân an toàn, giám sát viên sát viên ứng dụng (hình sau minh hoạ cấu trúcGiám OS dựa vào nhân) Nhân an toàn Giao diện ngời dùng Giao diện OS Các chủ thể tin cậy 31 Hình 2.18 Cấu trúc OS dựa vào nhân (Một khái niệm nhân: Nhân lõi kiến trúc phân tầng, quản lý hầu hết hoạt động OS xử lý máy tính Nhân có nhiệm vụ điều phối khối lệnh thực thi khác nhau, điều phối luồng đợc gọi đến, xử lý nhân làm cho hoạt động hết công suất có thể, đồng thời có khả phối hợp nhiều xử lý để tối u hóa khả thực Nhân đồng hóa hoạt động thành phần tầng, nh quản lý nhập/xuất quản lý tiến trình, điều khiển chức phụ thuộc phần cứng Nhân làm việc gần với tầng trừu tợng phần cứng Ta ý: H iu hnh qun lý cỏc tin trỡnh h thng thụng qua qun lý tin trỡnh (process control block -PCB) PCB l mt vựng nh lu tr cỏc thụng tin mụ t cho tin trỡnh, vi cỏc thnh phn ch yu bao gm : nh danh ca tin trỡnh (1) : giỳp phõn bit cỏc tin trỡnh Trng thỏi tin trỡnh (2): xỏc nh hot ng hin hnh ca tin trỡnh Ng cnh ca tin trỡnh (3): mụ t cỏc ti nguyên mà tiến trình sử dụng, hoc phc v cho hot ng hin ti, hoc lm c s phc hi hot ng cho tin trỡnh, bao gm cỏc thụng tin v: Trng thỏi CPU: bao gm ni dung cỏc ghi, quan trng nht l tr lnh IP lu tr a ch cõu lnh k tip tin trỡnh s x lý Cỏc thụng tin ny cn c lu tr xy mt ngt, nhm cú th cho phộp phc hi hot ng ca tin trỡnh ỳng nh trc b ngt 32 B x lý: dựng cho mỏy cú cu hỡnh nhiu CPU, xỏc nh s hiu CPU m tin trỡnh ang s dng B nh chớnh: danh sỏch cỏc nh c cp cho tin trỡnh Ti nguyờn s dng: danh sỏch cỏc ti mguyờn h thng m tin trỡnh ang s dng Ti nguyờn to lp: danh sỏch cỏc ti nguyờn c tin trỡnh to lp Thụng tin giao tip (4): phn ỏnh cỏc thụng tin v quan h ca tin trỡnh vi cỏc tin trỡnh khỏc h thng : Tin trỡnh cha: tin trỡnh to lp tin trỡnh ny Tin trỡnh con: cỏc tin trỡnh tin trỡnh ny to lp u tiờn : giỳp b iu phi cú thụng tin la chn tin trỡnh c cp CPU Thụng tin thng kờ (5): õy l nhng thụng tin thng kờ v hot ng ca tin trỡnh, nh thi gian ó s dng CPU, thi gian ch Cỏc thụng tin ny cú th cú ớch cho cụng vic ỏnh giỏ tỡnh hỡnh h thng v d oỏn cỏc tỡnh tng lai 33 Hỡnh 2.19 Khi mụ t tin trỡnh Nhân hỗ trợ giám sát chức sau đây: Đa xử lý (multiprocessing): Nhân hỗ trợ tiến trình khác hoạt động cách đồng thời, cách lu giữ ngữ cảnh (các ghi, phận miêu tả tiến trình, bảng) tiến trình thời, nhờ vào chuyển ngữ cảnh (context switch) Chuyển đổi miền thực (execution domain switching): Ta nhận miền thực lồng hệ thống dựa vào nhân an toàn, thực trạng thái thực khác xử lý là: nhân, giám sát viên, ngời dùng Mỗi miền thực có tập hợp quyền gắn với Quyền miền bên nhiều miền bên Trong hệ thống dựa vào nhân an toàn, miền nhân có quyền thực dịch vụ đặc quyền liên quan đến an toàn Tiến trình ngời dùng yêu cầu dịch vụ này, cách gọi tiến trình đặc quyền miền nhân Điều có nghĩa nhân an toàn đợc bảo vệ, tiến trình ngời dùng yêu cầu 34 dịch vụ an toàn tức gọi đến lệnh hệ thống, tiến trình đặc quyền miền nhân thực lệnh sau kết thúc trả quyền điều khiển cho tiến trình ngời dùng hoạt động chế độ không đặc quyền Bảo vệ nhớ (memory protection): Nhân an toàn kiểm soát truy nhập vào nhớ từ tiến trình khác miền khác Các thao tác vào/ra (I/O operations): Nhân an toàn dàn xếp truy nhập vào thiết bị vào/ra Việc thiết kế nhân cần sử dụng kỹ thuật đặc tả hình thức (formal specification techniques) Mức đặc tả hình thức cao (lấy trực tiếp từ mô hình an toàn) đặc tả giao diện nhân/OS Tiếp theo đặc tả chi tiết chức nhân, cuối mức đặc tả mã lệnh nhân đợc viết ngôn ngữ bậc cao Hình 2.3 minh hoạ mức độ chi tiết đặc tả hình thức thiết kế nhân Mô hình sách an toàn Đặc tả kiểm tra mô hình Đặc tả mức cao giao diện nhân Phần trình diễn mức trung gian tơng ứng Các đặc tả mức thấp Thực kiểm tra đặc tả Thực nhân ngôn ngữ bậc cao 35 Hình 2.20 Độ chi tiết đặc tả hình thức thiết kế nhân Thuận lợi khó khăn việc thiết kế hệ điều hành dựa vào nhân an toàn nh sau: Thuận lợi: Thuận lợi việc tách chức an toàn khỏi phần lại OS đợc tóm tắt nh sau: Cách ly tách rời (isolation and separation): Các chế an toàn đợc cách ly khỏi OS không gian ngời dùng Khả bảo vệ chống lại xâm nhập hệ thống/ngời dùng cao Kích cỡ giảm có khả kiểm tra đợc (reduced size and verifiability): Nhân có kích cỡ nhỏ có chức an toàn, kiểm tra đợc Khả sửa đổi đợc (modifiability): thực thay đổi chế an toàn kiểm tra chúng cách dễ dàng Khả dàn xếp hoàn toàn (complete mediation): Mọi truy nhập phải tuân theo kiểm soát nhân an toàn Khó khăn: Việc sử dụng nhân an toàn có số khó khăn Hạn chế giảm hiệu hệ thống, đặc biệt sử dụng phần cứng không thích hợp Trong thực hành, khó để sửa đổi nhân, thay đổi nhỏ làm hoạt động không Hiệu hệ thống giảm xuống, nhân bổ sung thêm mức trung gian chơng trình ngời dùng tài nguyên OS Hơn nữa, việc thực nhân có kích cỡ nhỏ, độ phức tạp giảm khó khăn, khó tách chức an toàn (thờng chức an toàn chức an toàn có phụ thuộc, liên hệ với nhau) Ngoài ra, để thiết kế nhân an toàn cần mức đặc tả hình thức xác cần tập yêu cầu bảo vệ hạn chế Thực tế kích cỡ nhân thờng lớn đáng kể, số hệ thống sử dụng tiến trình tin cậy để thực chức an toàn (cho kiểm soát an toàn nghiêm ngặt kiểm soát an toàn không bao hàm nhân) để tránh làm tăng kích cỡ nhân Nên kiểm tra xem nhân có hoàn toàn tuân theo yêu cầu bảo vệ mô hình an toàn hay không, có nghĩa kiểm tra tất vi phạm nhân an toàn có vi phạm trực tiếp (nhân trao truy nhập cho chủ thể không đợc phép) vi phạm gián tiếp (các chủ thể trái phép thu đợc thông tin từ chia sẻ tài nguyên) Các ví dụ vi phạm gián tiếp an toàn đa mức chuyển thông tin đợc phân loại mức cao sang mức thấp (nhân đợc sử dụng nh kênh truyền thông) Quá trình kiểm tra nên nhận biết đợc tất vi phạm gián tiếp trực tiếp nhân Việc kiểm tra hình thức nhân an toàn đợc tiến hành thông qua kỹ thuật đặc tả hình thức, chứng minh rằng: 36 Các đặc tả mức cao giao diện nhân phù hợp với đặc tả hình thức mô hình an toàn Độ chi tiết đặc tả mức cao phù hợp với chúng Mã lệnh nhân phù hợp với với yêu cầu đặc tả (đây mức chi tiết cuối cùng) Các ngôn ngữ đặc biệt chơng trình đợc phát triển nhằm chứng minh tính đắn nhân Một số ví dụ OS an toàn dựa vào nhân UCLA Secure UNIX, Kernelized Secure Operating System (KSOS) Secure Xenix, VAX Security Kernel 37 [...]... cơ chế an toàn, bằng cách nhóm các chức năng an toàn vào trong nhân an toàn Khi đó, nhân an toàn sẽ cung cấp một tập tất cả các chức năng an toàn của hệ điều hành cho hệ thống Để thiết kế một hệ điều hành an toàn, thì vấn đề an toàn cần đợc quan tâm ngay từ giai đoạn thiết kế: trớc tiên, ta cần phát triển nhân an toàn, sau đó định nghĩa OS căn cứ vào nhân Qua nhân an toàn, chúng ta có thể hiểu rõ khái... chứa trong thanh ghi cơ sở để phát sinh địa chỉ vật lý 20 Hình2.14 Cơ chế phần cứng hỗ trợ kỹ thuật phân đoạn Bảo vệ Tơng tự nh trong cơ chế phân trang, trong cơ chế phân đoạn ta cũng có thể bảo vệ các phân đoạn bằng bit hợp lệ bất hợp lệ gắn với từng phân đoạn trong bảng phân đoạn Chia sẻ phân đoạn Tơng tự nh trong cơ chế phân trang, cơ chế phân đoạn cũng cho phép chia sẻ các phân đoạn giữa các tiến... có các cơ chế kiểm toán Mức B (bảo vệ bắt buộc): yêu cầu cơ bản với các hệ thống thuộc mức B là cần có các nhãn an toàn và chính sách kiểm soát truy nhập bắt buộc MAC Hầu hết các dữ liệu liên quan trong hệ thống cần phải đợc gán nhãn Mức B đợc chia thành 3 lớp: - Lớp B1 (bảo vệ an toàn có gán nhãn): Các hệ thống thuộc lớp này có các đặc trng nh các hệ thống trong lớp C2, ngoài ra có thêm các nhãn an. .. để cài đặt bảng trang Tuy nhiên, việc sử dụng các thanh ghi chỉ phù hợp khi bảng trang có kích thớc nhỏ, nếu bảng trang có kích thớc lớn, nó phải đợc lu trữ trong bộ nhớ chính và sử dụng một thanh ghi để lu địa chỉ bắt đầu lu trữ bảng trang Tổ chức bảng trang Mỗi hệ điều hành có một phơng pháp riêng để tổ chức và lu trữ bảng trang Đa số các hệ điều hành cấp cho mỗi tiến trình một bảng trang Tuy nhiên... số hệ thống sử dụng các tiến trình tin cậy để thực hiện các chức năng an toàn (cho các kiểm soát an toàn ít nghiêm ngặt hơn và các kiểm soát an toàn không bao hàm trong nhân) để tránh làm tăng kích cỡ của nhân Nên kiểm tra xem nhân có hoàn toàn tuân theo các yêu cầu bảo vệ của mô hình an toàn hay không, có nghĩa là kiểm tra tất cả các vi phạm có thể của nhân an toàn ở đây có thể có các vi phạm trực tiếp... dụng các chức năng an toàn vào trong một modul có thể làm thay đổi tính modul hoá của OS và có thể tạo ra một modul rất lớn, dẫn đến việc kiểm tra không thể dễ dàng Hệ điều hành Nhân hệ điều hành Phần cứng 30 Các chức năng an toàn Hình 2.17 Các chức năng an toàn không có nhân an toàn Hớng tiếp cận dựa vào nhân Hớng tiếp cận này cố gắng làm giảm kích cỡ và độ phức tạp của các cơ chế an toàn, bằng cách... (hay khung trang), khi đó ta có địa chỉ vật lý tơng ứng với địa chỉ logic trên là L= Pn*Sp +P0 (kích thớc của một trang do phần cứng quy định) Địa chỉ vật lý Địa chỉ logic Hệ điều hành BA CPU Pn: số hiệu trang P0: địa chỉ tơng đối trong trang Pn BA P0 Pn P0 PA Địa chỉ cơ sở (BA) Hình2.11 Cơ chế phân trang Bảng trang Cài đặt bảng trang Trong trờng hợp đơn giản nhất, bảng trang là một tập các thanh ghi đợc... kiểm tra đợc nó Khả năng có thể sửa đổi đợc (modifiability): có thể thực hiện các thay đổi trong các cơ chế an toàn và kiểm tra chúng một cách dễ dàng Khả năng dàn xếp hoàn toàn (complete mediation): Mọi truy nhập phải tuân theo các kiểm soát của nhân an toàn Khó khăn: Việc sử dụng nhân an toàn có một số khó khăn Hạn chế cơ bản của nó là giảm hiệu năng hệ thống, đặc biệt khi sử dụng phần cứng không... đầy đủ hay không Cho các nhà phát triển/nhà cung cấp một tài liệu hớng dẫn thiết kế (trong đó trình bày các đặc trng an toàn trong các hệ thống thơng mại, những đặc trng này nhằm làm cho các sản phẩm (tin cậy, có sẵn) đáp ứng đợc các yêu cầu an toàn của các ứng dụng nhạy cảm) Cho các nhà thiết kế một tài liệu hớng dẫn để đặc tả các yêu cầu an toàn Với tiêu chuẩn DoD, hệ thống an toàn có thể đợc phân... (không đợc mô tả) Các chú thích ký hiệu trong bảng nh nhau: Không yêu cầu * Không yêu cầu thêm (chỉ các yêu cầu của các lớp trớc) Yêu cầu mới hoặc bổ sung đối với các yêu cầu của các lớp trớc Các loại yêu cầu đợc xem xét Các phần phân cấp và các lớp 28 D Chính sách an toàn Các kiểm soát truy nhập tuỳ ý (DAC) Sử dụng lại các đối tợng C1 C2 B1 B2 B3 A1 Các nhãn Tính toàn vẹn của nhãn ... tạp chế an toàn, cách nhóm chức an toàn vào nhân an toàn Khi đó, nhân an toàn cung cấp tập tất chức an toàn hệ điều hành cho hệ thống Để thiết kế hệ điều hành an toàn, vấn đề an toàn cần đợc quan... trang P0: địa tơng đối trang Pn BA P0 Pn P0 PA Địa sở (BA) Hình2.11 Cơ chế phân trang Bảng trang Cài đặt bảng trang Trong trờng hợp đơn giản nhất, bảng trang tập ghi đợc sử dụng để cài đặt bảng... nhân an toàn nh sau: Thuận lợi: Thuận lợi việc tách chức an toàn khỏi phần lại OS đợc tóm tắt nh sau: Cách ly tách rời (isolation and separation): Các chế an toàn đợc cách ly khỏi OS không gian