USENIX第二届研讨会操作系统设计与实现(OSDI’96)
无运行时检查的安全内核扩展
最佳论文奖
乔治·C·内库拉和李忠琛 卡内基梅隆大学
摘要本文描述了操作系统内核的一种机制可以确定执行二进制文件是安全的由不受信任的来源提供。内核首先定义安全性政策并将其公开。然后,使用此策略可以以特殊形式提供二进制文件校对代码或简称PCC。除了本机代码,是代码遵守安全策略的正式证明。这个内核无需使用加密和没有咨询任何外部可信实体。如果验证成功后,保证代码遵守安全策略依赖于运行时检查。的主要实际困难是产生安全性证据。为了获得一些初步经验,我们用手工调试的DEC Alpha编写了几个网络包过滤器汇编语言,然后使用特殊原型汇编程序。二进制文件可以在没有运行时开销,超过1到3毫秒的一次性成本验证随附的证据。最终结果是我们的数据包过滤器被正式保证是安全的,并且比数据包更快使用伯克利数据包过滤器创建的过滤器,软件故障隔离或安全语言,如Modula-3。
|