操作系统内核的动态可信度量模型
第4章 系统可靠性模型与分析 ppt课件
2020/12/27
2
本章主要内容
• 研究由单元、部件等的组成以及系统可靠 性
• 研究可靠性建模,分析并介绍几种系统可 靠性的计算方法
2020/12/27
3
可靠性建模
• 可靠性建模的目的是产生一个系统在其使用环境中的数 学描述。
• 可靠性模型实际上是系统失效定义的模型。
• 系统内功能关系必须通过组件到部件/零件级逐级来开 发。对于大系统,通常最好先确定主要分系统间的关系, 然后再单独考虑每个分系统。
1
K
2
故障故检障测监和测转和
换转装换置装置
n
非非工工作作贮贮备备系系统统可可靠靠性性框框图图
2020/12/27
59
如汽车的轮胎作为备用单元的系统
旁联系统又根据备用单元在备用期间失效与否分为两大系统, 即冷贮备系统与热贮备系统。 冷贮备系统是当贮备单元在贮备期间失效率为零的系统。 热贮备系统是当贮备单元在贮备期间失效率不为零的系统。
1
1
2
1
1
2
2020/12/27
38
并联模型
即使单元故障率都是常数,而并联系统的故障 率不再是常数。
λ
λ1 λ λ1=λ2
λ
λ2
λs(t)λ2
λs(t)
λ1 λs(t)
t
t
t
并联模型故障率曲线
当系统各单元的寿命分布为指数分布时,对于n 个相同单元的并联系统,有
Rs(t)1(1et)n
s 0Rs(t)dt121n1
– 一个系统及功能是由许多分系统级功能实现的
– 通过自上而下的功能分解过程,可以得到系统功能的
层次结构
• 功能的逐层分解可以细分到可以获得明确的技术要求的最低层
可信计算技术标准
• 加载密封的数据块和授权信息,使用存储密钥 • 解密密封的数据块 • 核对PCR值是否和配置中的值相同 • 如果PCR值相匹配,则返回数据 • 否则返回失败
Page 11
可信计算平台架构
安全应用
计
算
平台完整性度量与报告
机
系
统
TCM服 务模块
运行时平台
(TSM)
防护
信
可信计 算密码
任 链
操作系统
支撑平 台
CRTM与主板 1-1连接
CRTM
Supporting H/W CPU
BIOS/EFI
Main Memory
可信性连接 关系需用户 物理现场明
确指示
由用户控制 Platform
Reset
硬盘
键盘/鼠标
Graphics / output
Page 8
以TCM为核心建立平台信任链
TCM
Page 9
由TCM构建身份标识表征平台身份
提供密码学机制,保护TCM的放置外部的数据信 息(Provides cryptographic mechanism to protect information held outside of the TCM)
RTM
可信度量根(Root of Trust for Measurement--RTM)
中国可信计算 缔造安全价值
可信计算技术、标准与应用
吴秋新 中国可信计算工作组
2010年9月17日
内容提纲
可信计算概念与技术原理 自主可信计算标准体系 可信计算产业与应用 自主可信计算产业未来发展
内容提纲
可信计算概念与技术原理 自主可信计算标准体系 可信计算产业与应用 自主可信计算产业未来发展
分布式计算环境下的动态可信度评估模型
计 算环境 下的动 态可信度评估模型 。可信度 的动态性、 持 续性等性 能在这一模型 中得到展现。这一模型能得 到直接 可 信度 , 通过历史交互信息 。同时, 能以各 个节点的信 用状况和信息量为依据 , 达到对 可信度的更改。最终考量每个节点 的可信度 , 用 De mp s t e r 准则进行综合评估 , 得 出可信度 的分析 结果, 从 而达到对将 来的展 望。
度 。( 2 ) 对 度 量 的结 果 用 D e mp s t e r 法 规 进 行合 成 。 可 以说 , 直
会产 生, 如信任 问题 的产 生, 特别是在 网络节 点间。为 了得 到 多方 注意, 谋取更 多的非 正当利益, 有些节 点会不顾 自己的实
际情 况 , 做 出不符实际、 骗 人 的 陈 述 。为 了解 决 这 一 问题 , 越 来越 多的人投入到这个 问题当 中,通过各种途径研 究可信度 的评 估 , 因此 , 可信 度 评 估 成 为 人 们 关 注 的焦 点 。
3 综合 可信 度评估 模 型
动态可信度评估模型是可信度评估阶段的核心。在广播 直接基本可信度 函数之后 ,每个节点将得到直接 基本 可信 度
函数矩阵 。
测度 的不确 定性。 通过上面的简述, 不难看 出在评估可信度过
程中 , S h a p l e y熵和模糊测度理论 是有 力的武器。 目前 , 可信度评估模 型的研究取得重大进展 。E i g e n T r u s t 模 型 由斯坦福大学 的Ka mv a r 等人创建 , 这 一模 型 以全局为 出 发 点 。唐 文 等 人 在 前 人 的基 础 上 创 立 了主 观 信 任 管 理 模 型 。 朱俊 茂构建了 G r i d与 P 2 P的信任模型 , 这 一模 型主要是 以混 合环境为 背景。 还有 , 后来袁禄来提 出的网格信 任计算模型 。 这 些 模 型 在解 决 了不 完 善 性 和 不 准 确性 问题 上 有 一 定 的优 势 , 但是单个 的节点问题解决 了,推荐者可信度和 推荐信息所包 含 的信息量 差异大 的 问题 并没有被 解决 。2 0 0 7年 的 P o we r
可信计算平台原理与实践:第三章 TCG可信计算体系
第三章TCG 可信计算体系
可信计算平台原理与应用可信计算平台原理与应用::
xuzhen@
提纲
1、TCG及其规范
TCG规范
2、TCG可信计算体系结构
(1)整体架构
可信平台模块
硬件平台
信任的传递
基本特性
特性1-受保护的能力
的特权。
被屏蔽
屏蔽位置的特权。
被屏蔽命令具有访问被屏蔽位置
命令具有访问被
特性2-证明(Attestation)
特性3-、完整性度量完整性度量、存储和报告
TCG可信计算平台的信任根
可信计算平台的信任根((Cont.)TCG可信计算平台的信任根
可信构建块
可信构建块可信构建块((Cont.)
信任边界(The Trust Boundary)
完整性度量(Integrity Measurement)
完整性报告(Integrity Reporting)
(2)TPM
结构图
输入/输出(I/O)
密码协处理
RSA引擎
随机数生成器
SHA
SHA--1引擎(SHA
SHA--1 Engine)
电源检测(Power Detection)
Opt--In Opt
执行引擎(Execution Engine)
持久性存储(Non
Non--Volatile Memory)
平台配置寄存器(PCR)
1. 2.
(3)TSS
TSS设计目标
TSS体系结构
TSS体系结构-TDDL
TSS体系结构-TPM Driver。
可靠性基本概念、参数体系及模型建立
可靠性基本概念
寿命剖面与任务剖面
寿命剖面:产品从制造到寿命终结或退出使用这段时间内所经历 的全部事件和环境的时序描述
关键因素:事件、事件顺序、持续时间、环境和工作方式 包含一个或多个任务剖面,分为后勤和使用两个阶段 产品指标论证时就应提出
任务剖面:产品在规定任务这段时间内所经历的事件和环境的 时序描述
20
可靠性模型建立
基本可靠性模型和任务可靠性模型
正确区分系统原理图、功能框图、功能流程图和可靠性框图 正确建立系统基本可靠性模型和任务可靠性模型
基本可靠性模型:估计产品及其组成单元可能发生的故障引起的维修及保障 要求,全串联模型 任务可靠性模型:估计产品在执行任务过程中完成规定功能的概率,描述完 成任务过程中产品各单元的预定作用并度量工作有效性
可靠性建模方法
可靠性框图、网络可靠性模型 故障树模型、事件树模型 马尔科夫模型、Petri网模型、GO图模型 19
可靠性模型建立
可靠性框图模型
定义:为预计或估算产品的可靠性而建立的可靠性方框图和数学 模型 组成:代表产品或功能的方框、逻辑关系和连线、节点组成
节点:分为输入节点、输出节点和中间节点 输入节点:系统功能流程的起点 输出节点:系统功能流程的终点 连线:有向、无向,反映系统功能流程的方向,无向意即双向
n
RS = e
−λt
(1 +
RD λ t )
28
可靠性模型建立
典型可靠性模型
桥联系统:可靠性模型逻辑描述中出现了电路中桥式结构逻辑关 系,其数学模型较为复杂,不能建立通用的表达式 网络模型:从抽象的角度看,网络就是一个图,由一些节点及连 接节点的弧组成,应用图论理论进行分析
29
可靠性模型建立
基于可信计算的动态完整性度量架构
2 1 年 4月 00
电
子
与
信
息
学
报
Vo . 2 . 1 NO4 3 Ap . 0 0 r2 1
J u n l fElc r n c o r a e t o is& I f r t n Te h o o y o n o ma i c n l g o
基 于 可信 计 算 的动 态 完 整性 度 量架 构
wh c ep h d n s r t r h c h n e rt f h r c s e n o u e y a ia l . m p r swih o h r i h h l st ea mi it a o sc e k t e i t g i o ep o e s s a d m d l sd n m c l Co y t y a e t t e me s r me t a c ie t r s a u e n r h t c u e ,DI A u e a n w M s s e me h n s t p o i e y a c c a im o r v d d n mi me u e n f t e u n n s a r me t o h r n i g
b t e s o he sb f r . n a d to i s e d o e s rn h o e f e o h a d d s , h b e ti i i e n o o h r t r e o e I d ii n, n t a f m a u i g t e wh l l n t e h r ik t e o c Sd v d d i t i i
me s r me ta c ie t r sc n beno d t c e . n t i c e DI A o v st e TO C TOU r b e wh c l y a u e n r h t c u e a w e e t d I h s a , M s s le h — p o lm ih a wa s
国家标准-全国信息安全标准化技术委员会
《可信计算规范第2部分:可信平台主板功能接口规范》编制说明可信计算标准平台组2011年09月国家标准《可信计算规范第2部分:可信平台主板功能接口规范》编制说明一、任务来源可信计算技术解决了以往终端PC体系结构上的不安全,从基础上提高了可信性,正在成为计算机安全技术与产业的发展趋势,各个国家和IT企业巨头都积极投身于可信计算领域的技术研究、标准制定与可信计算产品开发,以企占领未来信息安全以至IT技术的制高点。
为了推进可信计算在中国快速、健康的发展,2008年2月,全国信息安全标准化技术委员会将“可信平台主板功能接口”课题下达给北京工业大学,课题负责人沈昌祥院士。
沈昌祥院士组织成立了以企业为主体的“产学研用”结合的“可信平台主板功能接口”,研究制定“可信平台主板功能接口规范”。
项目启动会于2008年12月17日在北京工业大学召开。
可信计算规范分为4个部分,第1部分:可信平台控制模块规范、第2部分:可信平台主板功能接口规范、第3部分:可信基础支撑软件规范、第4部分:可信网络连接架构规范。
本部分是该系列标准的第2部分,由北京工业大学、中国长城计算机深圳股份有限公司、武汉大学、南京百敖软件有限公司、航天科工706所等负责起草。
参与标准制定的单位有中国电子科技集团公司信息化工程总体研究中心、北京龙芯中科技术服务中心有限公司、中安科技集团有限公司、瑞达信息安全产业股份有限公司、江南计算所、中船重工第707研究所、华为技术有限公司、北京超毅世纪网络技术有限公司、北京华大恒泰科技有限责任公司等。
二、编制原则1)积极采用国家标准和国外先进标准的技术,并贯彻国家有关政策与法规;2)标准编制要具有一定的先进性、科学性、可行性、实用性和可操作性;3)标准内容要符合中国国情,广泛征求用户、企业、专家和管理部门的意见,并做好意见的正确处理;4)面向市场,参编自愿;标准编制工作与意见处理,应坚持公平、公正,切实支持产业发展;5)合理利用国内已有标准科技成果,处理好标准与知识产权的关系;6)采用理论与实践相结合的工作方法,开展标准验证试点工作,并充分利用国内已有的各类可信计算重点项目、示范项目的建设经验,处理好标准的先进性和实用性之间的关系;7)尽可能吸纳成熟的技术和已有共识的框架结构,适当的提出前瞻性的规范。
等保2.0专题分享—可信验证
中国医学科学院阜外医院韩作为☐《GBT 22240-2020 信息安全技术网络安全等级保护定级指南》☐《GBT 25058-2019 信息安全技术网络安全等级保护实施指南》☐《GBT 22239-2019 信息安全技术网络安全等级保护基本要求》☐《GBT 25070-2019 信息安全技术网络安全等级保护安全设计技术要求》☐《GBT 28448-2019 信息安全技术网络安全等级保护测评要求》1可信计算基础2可信与等保2.0 Contents3可信应用实例可信计算基础Classified protection of cybersecurity“封堵”:以网络隔离为代表,无法适应云计算话你就能够特性,以及云计算应用导致的边界虚拟化、动态变化;“查杀”:以杀病毒、入侵检测为代表,采用基于已知“特征”的检查技术,不能抵御新出现的未知恶意代码。
通过“计算+保护”的双计算体系,建立可信的计算环境,是其他安全防御机制的基础支撑;形成自动识别“自我”和“非我”程序的安全免疫机制,实现对未知病毒木马的安全免疫。
被动防御主动免疫杀毒、防火墙、入侵检测的传统“老三样”难以应对人为攻击且容易被攻击者利用,找漏洞、找补丁的传统思路不利于整体安全◆可信根可信根是可信计算平台可信的基点,源头,一般基于硬件来实现:TPM、TCM可信计算平台有三个可信根:可信度量根RTM、可信存储根RTS、可信报告根RTR◆可信链可信链是从可信根开始,通过信任度量把可信关系扩展到整个可信计算的平台,在每一步的过程中,上一级(可信环境)要对下一级组件(未可信环境)进行度量,若组件完整,则将控制权转移,以此类推,直至延伸到整个系统。
◆可信模块TCG的TPM中国的TCM:中国版的TPM中国的TPCM:TCM+信任根的控制功能,密码和控制双结合◆可信软件基(TSS+TSB)可信计算平台上的支撑软件。
主要是为操作系统和应用软件提供使用可信平台模块的接口Intel 、微软、IBM 等发起成立了TCPA ,标志着可信计算进入产业界1999年10月Intel 推出带有SGX 技术的CPU,主要功能是在计算平台上提供一个基于芯片级的可信执行环境2016年改组为TCG ,TCG 提出TPM1.2及相关规范2003年Windows10发布,并宣布“所有新设备和电脑,运用所有win10系统必须有TPM2.0支持”2015年Google 发布Titan 安全芯片,防止窃听硬件和插入固件植入来攻击电脑2017年Intel 正式发布了可信执行技术通过硬件内核和子系统来控制被访问的计算基资源2007年ARM 芯片采用推出了TrustZone 技术来支持可信技术发展TPM 发展2019年082018年072017年06762014年052007年042005年032000年021992年01基于ARM架构推出片内同构方式构建双体系瓶体的可信解决方案华为基于ARM TrustZone实现内置TCP功能可信计算产品在国家电网和中央电视台等重要部门使用中关村可信计算产业联盟成立,可信计算3.0旗舰产品—“白细胞”操作系统免疫平台发布,可信3.0时代到来由北京工业大学牵头完成可信计算3.0四个主体标准形成可信框架体系联想集团的TPM芯片和可信计算相继研制成功武汉瑞达和武汉大学合作,开始研制“国内第一款可信计算机”我国专家发明了微机保护卡,达到了无病毒、自我免疫的效果可信1.0(主机)主机可靠性计算机部件冗余备份故障诊查容错算法可信2.0(PC )节点安全性PC 单机功能模块被动度量TPM+TSS可信3.0(网络)系统免疫性节点虚拟动态链宿主+可信双节点主动免疫TPCM+TSB+服务平台容错容错组织被动防御国际可信计算组织(TCG )主动防御中国可信技术创新可信与等保2.0 Classified protection of cybersecurity坚持创新驱动发展,积极创造有利于技术创新的政策环境,统筹资源和力量,以企业为主体,产学研用相结合,协同攻关、以点带面、整体推进,尽快在核心技术上取得突破。
基于UEFI的操作系统完整性度量方法
Computer Science and Application 计算机科学与应用, 2017, 7(4), 310-319 Published Online April 2017 in Hans. /journal/csa https:///10.12677/csa.2017.74038文章引用: 周艺华, 安会, 王冠, 孙亮. 基于UEFI 的操作系统完整性度量方法[J]. 计算机科学与应用, 2017, 7(4):Operating System Integrity Measurement Method Based on UEFIYihua Zhou 1, Hui An 1,2, Guan Wang 1,2, Liang Sun 31College of Computer Science, Beijing University of Technology, Beijing 2Key Laboratory of Trustworthy Computing in Beijing, Beijing 3ZD Technologies (Beijing), BeijingReceived: Apr. 2nd , 2017; accepted: Apr. 14th , 2017; published: Apr. 19th, 2017AbstractIf the operating system kernel is under attack, it can pose a significant threat to operating systems and applications.In order to ensure the integrity of the operating system kernel, this paper presents an operating system integrity measurement method based on UEFI firmware. In the scheme, we measure the integrity of operating system mainly in UEFI BIOS boot process, using TCM chip’s encryption, authentication functions and Hash algorithm. The scheme can effectively protect the kernel and the safety of the operating system.KeywordsUEFI, OS Kernel, TCM, Integrity Measurement基于UEFI 的操作系统完整性度量方法周艺华1,安 会1,2,王 冠1,2,孙 亮31北京工业大学计算机学院,北京 2可信计算北京市重点实验室,北京 3中电科技(北京)有限公司,北京收稿日期:2017年4月2日;录用日期:2017年4月14日;发布日期:2017年4月19日摘 要操作系统内核受到攻击,会对操作系统以及应用程序造成重大的威胁,为了保证操作系统内核的完整性,周艺华等本文提出了一种基于UEFI固件的操作系统完整性度量机制,该方案主要在UEFI BIOS启动过程中,利用TCM芯片的加密,认证和Hash运算等技术,对操作系统内核进行完整性度量,能够有效保护内核以及操作系统的安全。
基于动态可信度量的敏感信息安全控制模型
rk , c r o t l d e o n f eifr ao ae nted nmi t s mesrmet( T IC )i dM ndi i p pr i sas uec nr s e o mo l f em v o t nbsdo y a c r t aue n D MSS M s e g e t s a s i nm i h u nh e
关注 。
全条件规则规定 主体不 能读访 问敏感级别高于 自己的
客体 , — 属性规则规定 主体不 能写访 问敏感级别低 于
自己的客体 。
虽然 B P模 型能 够很好 地 防止 敏感 信息 的非 授 L 权 泄漏 , 护敏感 信息 的保 密性 , 保 但是 B P模 型规 定 L 的敏感信息单 向流 动无 法满 足系 统的 可用 性 ; L BP 模型的另一缺点是没有考 虑敏感 信息 的完整性 , 它允
对传统的多级安全模型 B P L 模型进行了分析, 指出其对敏感信息完整性保护不足的安全隐患。针对该安全隐患, 文中设
计 了基 于动态 可信度 量 的敏感信 息安 全控制 模型 ( T SS M) 给 出了其 实 现架 构 ,T SS M 通 过实 施 基 于可 信度 的 D M IC 并 D M IC 敏 感信息 安全 控制 , 维持 和 B P 型相 同保 密性 的基础 上 , 在 L模 保证 了敏 感数 据 的完 整性 , 高 了系 统敏 感 信息 安全 控 制 的 提
Absr c : i e rp d d v lpme to n o ma o e h l g t e sz fs n i v n o ma in h n ld b o u e y tms i g o t a t W t t a i e e o hh n fi f r t n tc no o y, i e o st e i f r to a d e y c mp t rs se s r w- i h e i
计算机安全论文:一个改进的BLP模型及在安全文件系统上的应用
计算机安全论文:一个改进的BLP模型及在安全文件系统上的应用摘要:BLP作为经典安全模型,在安全系统的设计与实现方面得到了广泛应用,但是其严格的遵循平稳性原则,限制了系统的灵活性,实用价值有限。
本文对BLP模型进行了改进,设计了IBLP模型框架,并应用到多域安全虚拟个人计算机系统的设计实现中,极大的提高了文件系统的灵活性,同时提供了高安全保证。
关键词:BLP模型;多域安全虚拟计算机;文件系统;降密引言随着网络化和计算机技术的飞速发展,对PC的安全性和易用性提出了越来越高的要求,传统的PC系统结构以效率优先而不是以安全优先原则设计的,因此现有的PC系统越来越容易遭受黑客、间谍软件和病毒的攻击。
针对传统PC系统结构安全性方面的缺陷,结合当今可信计算技术和终端平台虚拟化技术,研究先进的多域安全虚拟个人计算机系统,以解决我国日益突出的个人计算机信息安全的该关键问题,为我国政府、军队等关键部门提供可信的个人计算机系统。
而安全文件系统是多域安全虚拟个人计算机系统的核心组成部分,通过一般的树型结构平面文件系统不易于实现高安全标准的要求。
通过充分借鉴银河麒麟操作系统层次式内核的成功经验,在BLP 模型的基础上提出了一种基于时间限制的多级安全模型,并将该模型应用到安全文件系统的设计中来,既充分利用了BLP模型的安全策略,又极大的提高了安全文件系统的灵活性。
1 BLP模型简介BLP(Bell-LaPadula)模型由Bell和LaPadula于1973年提出来,被认为是多级安全领域的经典模型,它为安全操作系统的研究奠定了良好的基础。
它通过一系列的形式化定义描述了系统状态,并制定了系统状态的转换规则。
1.1BLP模型属性BLP模型主要通过三个属性来约束主体对客体的访问。
并且一个系统只有当初始状态安全,且每次状态转换都满足以下三个属性时才是安全的。
自主安全属性:主体对客体的访问权限必须包含于当前的访问控制矩阵。
简单安全属性:只有主体的安全级别高于客体的安全级别时,主体才拥有对客体的读/写权限。
可信计算技术研究
安全操作系统
安全操作系统内核 密码模块协议栈
主
可信BIOS
板
TPM(密码模块芯片)
图:可信计算平台
可编辑ppt
10
可信平台基本功能:
可信平台需要提供三个基本功能:
– 数据保护 – 身份证明 – 完整性测量、存储与报告
可编辑ppt
11
数据保护:
数据保护是通过建立平台屏蔽保护区域, 实现敏感数据的访问授权,从而控制外 部实体对这些敏感数据的访问。
病毒程序利用PC操作系统对执行代码不检 查一致性弱点,将病毒代码嵌入到执行代码 程序,实现病毒传播
黑客利用被攻击系统的漏洞窃取超级用户权 限,植入攻击程序,肆意进行破坏
更为严重的是对合法的用户没有进行严格的 访问控制,可以进行越权访问,造成不安全 事故
可编辑ppt
4
为了解决计算机和网络结构上的不安 全,从根本上提高其安全性,必须从 芯片、硬件结构和操作系统等方面综 合采取措施,由此产生出可信计算的 基本思想,其目的是在计算和通信系 统中广泛使用基于硬件安全模块支持 下的可信计算平台,以提高整体的安 全性。
xxxxxxxxxxxpc机软硬件结构简化导致资源可任意使用尤其是执行代码可修改恶意程序可以被植入病毒程序利用pc操作系统对执行代码不检查一致性弱点将病毒代码嵌入到执行代码程序实现病毒传播黑客利用被攻击系统的漏洞窃取超级用户权限植入攻击程序肆意进行破坏为了解决计算机和网络结构上的不安全从根本上提高其安全性由此产生出可信计算的基本思想其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台以提高整体的安全性
– TPM = Trusted Platform Module可信平台模块;
定义了访问者与TPM交互机制
一种基于进程代数的软件可信性度量模型
件序列 , 这个序列称为软件的运行踪迹 。通
互模拟 , 当且仅当( , )∈ , P Q R 并且如果有 ( y , )
∈ 则: R,
X , c jY : 口∈ f j Y l , ( , A X Y )∈R
软件的行为越符合用户 的期 望行为 , 软件的可信
性就越高 ; 反之 , 其可信性就越低 。软件的预期行 为主要是通过软件需求来反映, 动态行为在需 其 求分析 中是通过 U L1 的协作 图、 M 【] 2 顺序 图和状
态 图来 建模 。在 正 向工程 期 间可 以得 到软 件 的协
定 义 3 设 A P) S( 为进 程 P变 迁 形 成 的进
, : —
^ ( , ,Y )∈R
两个 进程 P和 Q称 作交织 互模 拟等 价 ( 表示
定义 1 设 口∈ A OsO s 一个 可 以观 A, b, b 为
察到的所有动作集合 ,a 为一个进程变量 的集 Vr 合 ,∈ a, Vr进程代数 P A由以下语法产生 : P : 0 PP : P l IP 『\ lI . : = . 2P + 2 。 2PA P f I Pl o P
图 1 标记转移 系统 图示
程, 一个字 = 10 , 。 ∈ c 称作进程 P的 口 ,2 …, At 迹, 当且仅当
Ⅱ
作图和状态图即软件的动态行为表示。可以通过 转换算法将需求阶段的 U L协作 图和状态图转 M
,
一 X ∈ S P : o P且 , A ( )x =
统的概念后 , 人们对软件系统的可信性从不同的
角度进行 了探讨 。I /E 50 S IC 148规范认 为, O 一
操作系统的特性及性能评价
CPU--每个用户(进程)的"虚处理机" 存储器--每个进程都占有的地址空间(指令+数 据+堆栈) 显示设备--多窗口或虚拟终端(virtual terminal)
操作系统的特性及性能评价
1.1 操作系统的特性 4.不确定性 也称异步性,指进程的执行顺序和执行时间的不
可用性A(Availability):是指系统在执行任务的任意时刻能 正常工作的概率。可由下式计算:A=MTBF/(MTBF+MTTR)
操作系统的特性及性能评价
1.2 操作系统的主要性能指标
2. 操作系统的吞吐率
吞吐率指的是系统在单位时间内所处理的信息量, 以每小时或每天所处理的各类作业的数量来度量。
可用性A(Availability):是指系统在执行任务的任意时刻能 正常工作的概率。可由下式计算:A=MTBF/(MTBF+MTTR)
操作系统的特性及性能评价
1.2 操作系统的主要性能指标
1. RSA技术指标:可靠性(Reliability)、可维护性 (Serviceability)与可用性(Availability)合称为RSA技术。
可靠性的定量指标有平均故障间隔时间MTBF(Mean Time Between Failures)和平均寿命等。MTBF是指系统能正常工作 的时间的平均值,其值越大,系统的可靠性就越高。
可维护性S(Serviceability): 通常用平均故障修复时间 MTTR(Mean Time To Repair)来度量,是指从故障发生到故 障修复所需要的平均时间。S越小,可修复性越高。
确定性; 进程的运行速度不可预知:分时系统中,多个进
操作系统可信机制功能模型研究
勾 慧 兰 刘 光 超
( 北京九州泰康生物科技有限责任公司, 北京 12 0 ) 0 2 0
摘 要
介 绍了以 C r x M o t — 3为 内核 的 S M3 e T 2的 最 小 系统 , 细描 述 其 串 口通信 的设 计 , 详 并进 行 仿 真 调 试 和 目标 调 试 。
关 键 词 : T 2, 小 系统 , 口通信 S M3 最 串
PA8
P : B
DD 3 VD 3
l
I I
B O I— 葡_ B OT P 1
Bo OT0 2 l P 2Bo0 Bf TI
P 0 Bl
P9 ^ T A I 盯l X U
。
= } } = = :
V P1 D 嚣的最 小 系统 及 串 口通 信 的 实 现
基于 S M 2的最小系统及串口通信的实现 T3
Mii m y t m n e il n mu S se a d S r Co a mmu ia in mpe nc t I lme tt n Ba e n S M3 o na i s d o T o 2
构 成 S M3 T 2最 小 系统 。包 括 33 电源 、MH .V 8 z晶 振 时 钟 、 位 复 电 路 、 字 和 模 拟 间 的 去 耦 电路 、 试 接 1 串 行 通 信 接 口 等 电 数 调 : 3、
路 。最 小 系统 原 理 图 如 图 1 示 。 所
I I D GND
三
—
V h
VD3 D
—
) _
∞ - 一- I
呻F l
—} C C T PlMER cO PNC 1S 4 33
O cO T s U
操作系统内核的动态可信度量模型
操作系统内核的动态可信度量模型摘要:动态可信度量是可信计算的研究热点和难点,针对由操作系统内核动态性所引起的可信度量困难问题,提出一种操作系统内核的动态可信度量模型,使用动态度量变量描述和构建系统动态数据对象及其关系,对内核内存进行实时数据采集,采用语义约束描述内核动态数据的动态完整性,通过语义约束检查验证内核动态数据是否维持其动态完整性。
给出了模型的动态度量性质分析与证明,模型能够有效地对操作系统内核的动态数据进行可信度量,识别对内核动态数据的非法篡改。
关键词:可信计算;可信度量;动态度量;操作系统内核;远程证明dynamic trusted measurement model of operating system kernelxin si.yuan1*, zhao yong2, liao jian.hua3, wang ting4 1.institute of electronic technology, information engineering university, zhengzhou henan 450004,china;2.college of computer science,beijing university of technology,beijing 100124,china;3.school of electronics engineering and computer science, peking university, beijing 100871, china;4. unit 65047 of pla,shenyang liaoning 100805,chinaabstract:dynamic trusted measurement is a hot and difficult researchtopic in trusted computing. aim at the measurement difficulty problem invoked by the dynamic nature of operating system kernel a dynamic trusted kernel measurement (dtkm) model is proposed, dynamic measurement variable (dmv) is presented to describe and construct dynamic data objects and their relations, and the method of semantic constraint is proposed to measure the dynamic integrity of kernel components.in dtkm, the collection of memory data is implemented in real time, and the dynamic integrity is verified by checking whether the constructed dmv is consistent with semantic constraints which are defined based on the security semantic. formal analysis and application examples show that dtkm can effectively implement dynamic measurement of the kernel and detect the illegal modification of the kernel dynamic data.dynamic trusted measurement is a hot and difficult research topic in trusted computing. concerning the measurement difficulty invoked by the dynamic nature of operating system kernel, a dynamic trusted kernel measurement (dtkm) model was proposed. dynamic measurement variable (dmv) was presented to describe and construct dynamic data objects and their relations, and the method of semantic constraint was proposed to measure the dynamic integrity of kernel components. in dtkm,the collection of memory data was implemented in real.time, and the dynamic integrity was verified by checking whether the constructed dmv was consistent with semantic constraints which were defined based on the security semantics. the nature analysis and application examples show that dtkm can effectively implement dynamic measurement of the kernel and detect the illegal modification of the kernel dynamic data. key words:trusted computing; trusted measurement; dynamic measurement; operating system kernel; remote attestation 0引言可信度量是可信计算的关键技术,用于测量和评估系统预期描述和系统实际行为的符合程度,对于可信计算平台的信任链构建、远程证明起到重要的支撑作用。
可信计算-4-动态可信度量
Linux Modifications
Added support to Linux kernel
To measure dynamic linker To measure each executable
Added support to dynamic linker
To measure each shared library
可信的虚拟机监控器
硬件 w/TPM
控制
云提 供商
SaaS 提供商 Dave
控制流 请求服务
场景1:Alice和Bob在连接在线编 程系统前后后需要进行可信验证。 云服务提供商在两次可信验证之 间回滚到恶意的运行状态,窃取 用户的信息,在进行第二次验证 之前将状态恢复。Alice和Bob无 法从可信验证中获得虚拟机恶意
Verification: Given initial value of PCR10, extend it with each measurement and match result to current PCR10
13
Linux Bootstrap Stages
Operating System
动态可信度量根由cpu发出一条新增安全指令出发告诉tpm芯片开始要创建一个受控的和可信的执行环境信任链由该条新增指令开始重置动态平台寄存器tpm12规范中规定的8个新增pcr1623平台寄存器以此为基础开始构建信任链而且不需要重启整个平台不像静态信任根动态可信度量根使得可以在任意时刻开始构建信任链并且可以按照需要多次创建可信执行环境而不用重启整个平台对比srtm把bios核心不可修改的部分作为静态核心度量根简称scrtm那么这里新增的cpu指令就是动态核心可信度量根简称dcrtm
可信概念
可信软件工程对目前的软件理论和技术提出了严峻的挑战,涉及到一系列科学问题。
第一,软件系统的行为特征。
如何定性/定量地描述软件的行为?如何建立各类复杂的软件结构和系统对应的系统行为?这是软件理论的基本问题。
软件的静态语法与其动态语义的分离是造成软件行为难于描述和推理的原因。
随着软件规模的增大,软件中并发、实时、分布、移动等特性的出现,这些问题的认识亟待深入。
第二,软件可信性质与软件行为的关系。
如何描述软件可信性质及其软件行为的关系?我们看到,上述关于软件可信性质的描述是非形式化的抽象陈述。
必须建立起性质和软件行为之间的内在联系及其严格的描述,才能在软件开发环境中,设计并验证所需的可信性质。
第三,面对软件可信性质的设计和推理。
如何将软件可信性质(通常非操作性的)融入软件设计(操作性)?可信性质通常是软件系统的全局约束,伴随着软件开发过程逐步地“设计”出来,最终获得这些可信性质。
如何针对可信性质发现一种分而治之的策略从而控制复杂性,是进行面向可信性质的软件设计和验证的关键。
第四,软件系统的可信性质的确认。
如何发现和评估软件系统是否具有可信性质?量化是一种工程科学成熟的重要标志,需要对软件可信性质有合适的度量方法,并能在软件过程中进行跟踪。
1. 软件可信性度量研究软件缺陷与可信性的内在联系、软件缺陷预测和缺陷分布规律;研究多维可信属性的多尺度量化指标系统、度量和评估机制及测评体系;研究可信属性之间的交互关系及可能的涌现特征,包括多个属性/综合属性的局部/全局相容与失配等;建立可信软件度量的技术标准或管理标准方案。
2. 软件可信性的演化与预测研究软件可信性相关数据的收集、分析和知识挖掘方法;研究软件在环境和自身演化下可信性的演化规律,以及软件在线演化的基础理论;研究基于软件行为的软件可信性增长和面向威胁的在线评估与预测理论。
3.可信软件的风险及过程管理研究可信软件生命周期的风险识别、评估、管理和控制模式及方法;研究可信软件过程的属性和度量框架以及相应的量化控制和度量评估方法;研究适应分布性、敏捷性和过程资产复用性等需求的可信软件过程建模、定制、仿真和优化方法;研究可信软件中“人-信息系统”交互作用及优化机理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
操作系统内核的动态可信度量模型摘要:动态可信度量是可信计算的研究热点和难点,针对由操作系统内核动态性所引起的可信度量困难问题,提出一种操作系统内核的动态可信度量模型,使用动态度量变量描述和构建系统动态数据对象及其关系,对内核内存进行实时数据采集,采用语义约束描述内核动态数据的动态完整性,通过语义约束检查验证内核动态数据是否维持其动态完整性。
给出了模型的动态度量性质分析与证明,模型能够有效地对操作系统内核的动态数据进行可信度量,识别对内核动态数据的非法篡改。
关键词:可信计算;可信度量;动态度量;操作系统内核;远程证明dynamic trusted measurement model of operating system kernelxin si.yuan1*, zhao yong2, liao jian.hua3, wang ting4 1.institute of electronic technology, information engineering university, zhengzhou henan 450004,china;2.college of computer science,beijing university of technology,beijing 100124,china;3.school of electronics engineering and computer science, peking university, beijing 100871, china;4. unit 65047 of pla,shenyang liaoning 100805,chinaabstract:dynamic trusted measurement is a hot and difficult research topic in trusted computing. aim at the measurement difficulty problem invoked by the dynamic nature of operating system kernel a dynamic trusted kernel measurement (dtkm) model is proposed, dynamic measurement variable (dmv) is presented to describe and construct dynamic data objects and their relations, and the method of semantic constraint is proposed to measure the dynamic integrity of kernel components.in dtkm, the collection of memory data is implemented in real time, and the dynamic integrity is verified by checking whether the constructed dmv is consistent with semantic constraints which are defined based on the security semantic. formal analysis and application examples show that dtkm can effectively implement dynamic measurement of the kernel and detect the illegal modification of the kernel dynamic data.dynamic trusted measurement is a hot and difficult research topic in trusted computing. concerning the measurement difficulty invoked by the dynamic nature of operating system kernel, a dynamic trusted kernel measurement (dtkm) model was proposed. dynamic measurement variable (dmv) was presentedto describe and construct dynamic data objects and their relations, and the method of semantic constraint was proposed to measure the dynamic integrity of kernel components. in dtkm, the collection of memory data was implemented in real.time, and the dynamic integrity was verified by checking whether the constructed dmv was consistent with semantic constraints which were defined based on the security semantics. the nature analysis and application examples show that dtkm can effectively implement dynamic measurement of the kernel and detect the illegal modification of the kernel dynamic data. key words:trusted computing; trusted measurement; dynamic measurement; operating system kernel; remote attestation0引言可信度量是可信计算的关键技术,用于测量和评估系统预期描述和系统实际行为的符合程度,对于可信计算平台的信任链构建、远程证明起到重要的支撑作用。
可信度量在一定的时间点对度量对象的状态信息进行采集,以检验度量对象的当前状态是否符合预期[1]。
目前,可信计算平台中的可信度量大多采用静态完整性度量方法[2-5],在计算实体启动和控制权传递之前,使用杂凑算法计算度量对象静态文件的摘要值,与事先记录的基准值相比较,从而判定将要运行的实体是否符合预期。
然而,当计算实体获得控制权并处于运行状态之后,其可信状态可能遭受动态的恶意篡改,破坏计算实体运行的可信性。
操作系统内核作为计算平台硬件之上的第一层软件,运行于cpu的最高特权级,是可信计算平台的核心构件。
由于操作系统内核动态性和复杂性,仅在操作系统启动之前度量硬盘中的静态镜像文件的静态摘要值是不够的,操作系统内核在运行过程中可能受到缓冲区溢出、直接内存存取(direct memory access,dma)外设攻击[6]等动态的攻击行为,使操作系统进入非预期的状态,此时再将静态的操作系统度量信息报告给远程平台会出现度量时与使用时状态的不一致问题[7],造成失效的远程证明。
因此,操作系统内核的动态可信度量研究对构建可信计算环境、实现动态的远程证明具有重要意义。
现有的操作系统动态度量研究中,copilot系统[8]基于协处理器以dma方式周期性地对正在运行的操作系统内核代码段、只读数据等部分进行动态度量。
文献[1]的动态完整性度量框架对进程、内核模块的内存代码进行度量,但这两种方式还是基于杂凑函数对操作系统内核内存中的静态部分进行度量,无法度量在操作系统运行过程中动态变化的数据。
文献[9]提出了程序控制流完整性的概念。
文献[10]通过扫描分析操作系统内核的源码,对运行时的操作系统内核控制流进行监控,度量内核的控制流完整性,此方法依赖于系统源码,仅关注函数指针等控制数据,无法度量系统中非控制动态数据[11];操作系统内核上下文监控技术[12]提供了一种度量内核运行时上下文中重要数据结构的方法,通过分析内核中的重要数据结构,对动态数据中的函数指针以及其上下文环境进行记录,然而此方法并没有给出分析所采集到的上下文动态数据的方法,无法判断操作系统的状态是否符合预期。
文献[13]通过基于软件的方法对嵌入式设备的内存进行度量,通过伪随机的方式对设备内存进行遍历和度量,这种方式侧重于通过精心的设计和构造保证度量模块受到篡改后能够被发现,它将设备的内存块作为一个整体进行度量,不能有效地对设备内存的动态部分进行度量。
文献[14]和文献[15]采用内核执行保护的思想,分别用硬件虚拟技术和影子内存技术(memory shadowing)保证只有证明过的代码才能够在内核态执行,但依然只能证明和保护静态的内核代码部分,对于如何度量和证明动态的内核数据部分并未解决。
现有的操作系统可信度量研究,能够对内核运行过程中内存的静态部分进行度量,读取和采集一定的内核动态数据,但不能描述内核动态部分的预期状态,无法对内核中动态变化的数据进行可信度量。
第4期辛思远等:操作系统内核的动态可信度量模型计算机应用第32卷针对由操作系统内核的动态性引起的可信度量困难问题,本文提出了一种操作系统内核的动态可信度量(dynamic trusted kernel measurement,dtkm)模型,对于加载到内存、处于运行状态的操作系统内核动态数据对象进行动态度量。
给出了动态完整性的概念,通过语义约束来描述内核动态元素的动态完整性,采用构造度量变量的方法统一描述度量的对象和内容,对动态的内核内存进行数据采集,验证动态度量对象是否符合预期的语义约束,实现对处于运行状态的操作系统内核的可信动态度量。
1模型组成在操作系统内核加载到内存中的各种组成元素中,内核的代码段、只读数据段、系统调用表、中断描述符表、全局描述符表等元素在操作系统运行过程中是静态不变的,仍然可以使用杂凑函数进行实时的度量,而内核初始化数据段、未初始化数据段、内核页表、进程链表等数据动态变化,需要进行动态的可信度量。
操作系统内核的动态元素大多都是一些动态的数据内容,这些数据会随着操作系统的运行而动态变化,而数据结构是数据存在的主要形式,研究内核的重要数据结构对象在动态变化中的变化轮廓和相互关系,表达和度量内核动态数据中的安全不变式,是内核动态度量研究的一个有效的切入点。