文档介绍：SKPP与安全功能性需求实施策略摘要:SKPP(ProtectionProfileforSeparationKernels,分区内核保护框架)是一种适用于分区内核的高安全需求规范。本文作者在深入理解SKPP内涵的基础上概括的介绍了SKPP所包含的各个需求领域,并提出了能够涵盖SKPP大部分安全功能性需求的安全分区内核访问控制机制的实施策略。关键词:高安全操作系统;分区内核;SKPP;安全功能性需求中图分类号:TP393文献标识码:A文章编号:1007-9599(2012)20-0000-02 随着嵌入式操作系统的使用越来越广泛,它的安全性也越来越受关注。分区内核作为嵌入式系统的一个重要组成部分,对其安全性的要求也越来越高。SKPP(ProtectionProfileforSeparationKernels,分区内核保护框架)作为一种专门针对分区内核提出的安全需求标准,可满足分区内核对高安全性的需要。使用SKPP的分区内核给任务关键的嵌入式系统的系统服务和应用的创建提供了高健壮性保障以及给安全相关策略的执行提供高可靠性支持。目前,使用SKPP标准设计出来的分区内核产品只有美国绿山公司的INTEGRITY-178B多级安全实时操作系统和风河公司的VXWorksMILS2,而国内对SKPP的使用还在探索阶段。本文通过对SKPP的内容进行深入理解,提出了与SKPP安全功能性需求相对应的访问控制机制的实施策略。 1SKPP概述 2007年,美国NSA的信息可靠性理事会发布了一种用于描述高健壮性操作系统的安全需求规范——SKPP,它适用于经常处于安全威胁中的分区内核。SKPP要求产品的开发过程和形式化分析都十分严格,所以,开发者和用户通过SKPP评估而得到的可靠性在计算机信息安全领域达到了前所未有的高度,在历史上第一次使软件系统能够可信的保护财政记录,客户私人信息,国家秘密等重要信息[1]。因此,用它作为高安全机载操作系统的分区内核设计标准能极大提高系统的安全性和可靠性。传统安全内核是在一个安全操作系统中执行所有可信功能,而分区内核与此不同,系统中的所有对象和资源都应由安全策略控制,分区内部或者分区间的信息流也需由安全策略控制。在SKPP中,系统给软件提供了高可靠性分区以及信息流控制策略,给多种结构系统提供了可配置的可信环境。例如,在一组安全系统结构中,软件在分区内核安全策略的约束之下执行应用层安全策略。这里所说的软件包括与多级安全相关的监视器,Guard,设备驱动,文件管理系统,传送信息服务以及传统操作系统,中间件,虚拟机等[1]。 SKPP为分区内核的架构和评估提供了安全功能性需求和安全保证性需求。安全功能性需求指的是由操作系统执行的安全策略。例如,一个使用SKPP标准的操作系统必须保证恶意程序不会对系统造成包括拒绝服务、窃取信息等在内的威胁。安全保证性需求反映了创建满足高健壮性的安全可信环境所需的功能[2]。图1说明了组成安全系统的各个部分。其中,配置功能,系统加载功能,初始化功能以及可信传输功能都应按照可靠性需求的要求来设计,它们建立了安全功能的初始安全状态。在初始化结束之后,由安全功能来执行安全策略[3]。安全功能性需求是本文讨论的重点。从在系统中的位置来看安全功能性需求主要包括配置数据的要求,软件运行时的要求以及硬件要求;从在安全分区内核中功能划分的