IC697CPU782

更新时间: 2023-07-09

在分析VxWorks系统内核Wind结构的基础上，结合上述提出的安全核设计，本系统实现了安全标记和强制访问控制，即实现了对Wind任务、信号量(二进制／互斥／计数信号量)、消息队列、管道、事件等的安全标记和强制访问控制。实现了监控器部分来支持对系统调用的控制；实现了策略服务器使之初步支持MLS、TE、RBAC策略判定；实现了策略缓存部分以提高系统性能。监控器的实现：监控器对系统调用实施拦截，实质上是作为一个转向器将正常的系统调用转入强制访问控制阶段。

系统通过调用全局安全钩子函数securi_hooks()调用各子系统安全钩子函数，如sec_task_hooks()、see_semB_hooks()、sec_semM_hooks()等。在系统调用级，定义了需要进行安全判定的接口函数，如sec_taskSpawn()、sec_taskDelete()、sec_emBCreate()等。    　

安全服务器的实现：本安全核的访问控制粒度为系统对象级，因此在安全服务器中实现了对每一个系统对象(任务、信号量等)定义安全属性，定义SID，以及将SID与安全属性相映射关联。安全策略的加载与验证，以及依据监控器发来的判定请求进行访问判定的功能也在安全服务器中进行了具体实现。验证函数的三个参数分别为：主题SID、客体SID、访问请求模式。只有在该请求同时满足TE、MLS、RBAC的情况下，验证函数才返回TRUE，同意访问。    　

策略缓存的实现：策略缓存实现中**重要的是缓存数据项。​