【摘要】:假设Mp和Cp分别表示与操作系统内核安全相关的重要内核数据和CPU寄存器的信息,其中MpM,CpC。为了保证内核数据的安全,访问控制器必须截获并验证所有内核程序对Mp和Cp的更新操作。在本模型中,访问控制的主体是Im,客体是Mp和Cp;访问控制的策略是限制Im对Mp和Cp的直接访问。如果内核程序通过调用内核导出函数访问Mp和Cp,本模型无须进行限制,因为调用内核导出函数一般不会破坏操作系统的正常数据。
在传统操作系统架构下,应用程序与操作系统之间是相互隔离的,即应用程序不能直接访问操作系统内核。因此,即使应用程序被攻破,攻击者也无法破坏内核数据的安全。不同于应用程序,内核程序(如可加载内核模块)可以不受限制地访问操作系统内核的任何资源。
将内核程序的运行过程看作执行一系列指令的过程,而其中操作系统的状态主要包括物理内存和CPU寄存器两部分内容。因为内核指令能够直接访问物理内存和CPU寄存器,所以内核程序运行的实质是通过内核指令更新计算机物理内存和CPU寄存器的过程。
根据自动机的相关理论,定义了操作系统的状态转换函数:δE:Im×M×C→Im×M×C。其中,I表示计算机中所有可能的指令,Im⊆I表示所有属于某个内核程序的指令,M表示所有可能的内存状态信息,C表示所有可能的CPU寄存器状态信息。假设Mp和Cp分别表示与操作系统内核安全相关的重要内核数据和CPU寄存器的信息,其中Mp⊆M,Cp⊆C。(www.xing528.com)
为了保证内核数据的安全,访问控制器必须截获并验证所有内核程序对Mp和Cp的更新操作。在本模型中,访问控制的主体是Im,客体是Mp和Cp;访问控制的策略是限制Im对Mp和Cp的直接访问。如果内核程序通过调用内核导出函数访问Mp和Cp,本模型无须进行限制,因为调用内核导出函数一般不会破坏操作系统的正常数据。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
