安全操作系统的研究与发展探析

1965年，美国贝尔实验室和麻省理工学院的MAC课题组等一起联合开发了一个称为Multics的新操作系统，其目标是向大的用户团体提供对计算机的并发访问，支持强大的计算能力和数据存储，并具有很高的安全性。虽然Multics未能成功，但它在安全操作系统的研究方面迈出了重要的第一步，是开发安全操作系统最早的尝试。

Adept-50是一个分时安全操作系统，运行于IBM/360硬件平台，它以一个形式化的安全模型——高水印模型（High-Water-Mark Model）为基础，实现了一个军事安全系统模型，为给定的安全问题提供了一个比较形式化的解决方案。1969年，C.Weissman发表了有关Adept-50安全控制的研究成果。

1975年前后开始开发的PSOS（Provably Secure Operating System）提供了一个层次结构化的基于权能的安全操作系统设计，采用了层次式开发方法，通过形式化技术实现对安全操作系统的描述和验证，设计中的每一个层次管理一个特定类型的对象，系统中的每一个对象通过该对象的权能表示进行访问。

1977年发起的KSOS（Kernelized Secure Operating System）安全操作系统研制项目由Ford太空通讯公司承担。KSOS采用了形式化说明与验证的方法，目标是高安全可信性。UCLA Secure UNIX是于1978年前后发起的一个安全操作系统研制项目，由加利福尼亚大学承担。UCLA Secure UNIX的系统设计方法及目标几乎与KSOS相同。

LINVS Ⅳ是1984年开发的基于UNIX的一个实验安全操作系统，系统的安全性可达到美国TCSEC的B2级。它实现了身份认证、自主访问控制、强制访问控制和安全审计等安全功能。

Secure Xenix是IBM公司于1986年在SCO Xenix的基础上开发的一个安全操作系统，它采用的是改造/增强法，对Xenix进行了大量的改造开发，并采用了一些形式化说明与验证技术。

1987年，美国Trusted Information Systems公司以Mach操作系统为基础开发了B3级的Tmach（Trusted Mach）操作系统。除了进行用户标识和认证以及命名客体的存取控制外，它将BLP模型加以改进，运用到对Mach核心的端口、存储对象等的管理当中。通过对端口间的消息传送进行控制，以及对端口、存储对象、任务等的安全标识来加强微核心的安全机制。(www.xing528.com)

1989年，多伦多大学开发了与UNIX兼容的安全TUNIS操作系统。在实现中，安全TUNIS操作系统改进了BLP模型，并用Turing Plus语言（而不是C语言）重新实现了UNIX内核，模块性相当好。

ASOS（Army Secure Operating System）是针对战术需要而设计的军用安全操作系统，由TRW公司于1990年发布。ASOS由两类系统组成，一类是多级安全操作系统，设计目标是TCSEC的A1级；另一类是专用安全操作系统，设计目标是TCSEC的C2级。两类系统都支持Ada语言编写的实时战术应用程序，都能根据不同的战术应用需求进行配置，都可以很容易地在不同硬件平台间移植，两类系统还提供了一致的用户界面。

OSF/1是开放软件基金会于1990年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B1级。

UNIX SVR4.1ES是UI（UNIX国际组织）于1991年推出的一个安全操作系统，被美国国家计算机安全中心认可为符合TCSEC的B2级。

2001年，Flask由NSA在Linux操作系统上实现，并且不同寻常地向开放源码社区发布了一个安全性增强型版本的Linux（Selinux），包括代码和所有文档。Selinux以Flask安全体系结构为指导，通过安全判定与安全实施的分离实现了安全策略的独立性，借助访问向量缓存（AVC）实现了对动态策略的支持。Selinux定义了类型实施（TE）策略、基于角色的访问控制（RBAC）策略和多级安全（MLS）策略组合的安全策略，其中TE和RBAC策略是系统实现的安全策略的有机组成。

其他还有一些安全操作系统开发项目，如Honeywell公司的STOP、Gemini公司的GEMSOS和DEC公司的VMM（Virtual Machine Monitor）等，以及HP和Data General等公司开发的安全操作系统。