全域安全:一种运行时安全管理模型

Posted 姓赵名大奇

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了全域安全:一种运行时安全管理模型相关的知识,希望对你有一定的参考价值。

说明:全域安全是一种新的安全管理模型,现在用在LAXCUS分布式操作系统上,如果能够在ICT领域全面推广,当下计算机的安全问题,包括西工大的泄密事件,都可以避免了。希望这篇文章能够对从事计算机安全设计的朋友有所帮助。

全域安全:一种运行时安全管理模型​_分布式应用

LAXCUS分布式操作系统桌面

在传统的操作系统上,系统的主要职责是为应用软件提供基础运行环境,应用软件的网络通信安全、作业流安全,由软件自身来负责。但是在Laxcus分布式操作系统上,这些规则变了。操作系统除了为应用软件提供基础运行环境,应用软件的网络通信安全、操作行为的安全,作业流和数据流在计算机集群迁移流动过程中的安全,也由操作系统负责管理。

负责实施这些安全管控措施的是全域安全管理模型,它是Laxcus分布式操作系统之下的一个子系统,主要的作用是协助Laxcus分布式操作系统,为应用软件生命运行周期提供全方位的安全保护。

全域安全:一种运行时安全管理模型​_分布式应用_02

Laxcus分布式应用软件作业流程


在Laxcus分布式操作系统中,一套标准的Laxcus分布式应用软件分为终端、边缘端、云端三个组成部分,它们分别部署在各自环境上,被网络连接起来,运行过程中由操作系统根据各自的业务需求统一编排、调度和处理。

Laxcus分布式应用软件的作业流程是这样:首先从终端桌面或者边缘端后台启动应用软件,通过GUI界面或者系统事件以及自定义事件,触发分布式作业行为,这些行为被应用软件解释后,转义成分布式指令,指令中携带业务需求,以RPC方式投递到云端执行。

与终端、边缘端不同的是,Laxcus分布式应用软件的云端部分,是以分布+并行的方式,分散在很多节点同时执行。这个特点使得Laxcus分布式应用软件的处理规模特别大。在业务执行过程中,云端软件还会调用系统接口或者其它的软件工具库,结合数据、算力、机器算法,执行各种各样的分布式存储和分布式计算工作。这个过程将根据业务需要一直持续进行,直到最后完成工作,把处理结果反馈给终端桌面或者边缘端后台,形成一个完整的分布式作业闭环。

由于Laxcus分布式操作系统是一个基于计算机集群的多机操作系统,处理能力远超Windows、Linux等单机操作系统。所以基于Laxcus分布式操作系统的分布式应用软件,在处理大规模、超大规模业务方面,天然比单机应用软件具备更大优势,加之系统内置的数据、算力、机器算法等接口的支持,所以才能够在更短的时间内,获得比传统单机应用软件更快更强的处理效果。

全域安全:一种运行时安全管理模型​_分布式应用_03

全域安全管理模型


因为Laxcus分布式应用软件是联网运行的应用软件,在它的生命运行周期中,首先需要面对的是FIXP网络。

FIXP网络的基础是FIXP通信协议。这是一种二进制的通信协议,协议采用小字头编码(Little-Endian),具有平台独立、结构简单、上下文无关、传输效率高等特点。FIXP协议把信道分成控制信道和数据信道。控制信道负责传输指令,数据信道用来传输数据。为了支持大规模的数据分发,FIXP数据信道设置有多个收发单元,支持多点收发,收发单元的数量可以由管理员根据网络环境,在操作系统启动前修改定义。多点收发机制类似5G网络的Massive MIMO,能够在不改变网络基础情况下,将数据传输效率提升5-20倍,大大提高了数据传输效率,减少了软件等待时间。同时为了进一步保证数据流的稳定传输,FIXP网络还有人工智能模型参与管理控制。

在安全管控上,FIXP协议采用了类似SSL/TLS的安全管理措施。应用软件在执行网络通信前,首先要通过握手机制交换非对称密钥,在经过一系列验证后,以一次一密的方式对数据内容加密后,传输数据。

与SSL/TLS使用的第三方CA证书有所不同,FIXP网络使用“密钥令牌”取代了CA证书。密钥令牌的产生有以下几种方式:

  1. 由Laxcus分布式操作系统根据某些运行时参数随机产生。
  2. 由系统管理员随机定义和分配。
  3. 从第三方加密硬件上获得,比如支持crypto协议的经典密钥机。
  4. 接入量子网络,从量子网络获得密钥产生密钥令牌。

全域安全:一种运行时安全管理模型​_数据_04

管理员自定义密钥令牌,分配给指定节点,密钥令牌在加密环境下传输


除了服务所有登录用户的公共密钥令牌,管理员还可以为某些特定用户设置有针对性的密钥令牌。这种密钥令牌在定义时,需要指定IP地址或者用户签名。当Laxcus服务器节点收到这些来自这类地址或者签名的通信时,除了执行通用的检测流程,将为他们分配专属非对称密钥和加密通道,从而实现流程一致但是有区别的加密通信。

全域安全:一种运行时安全管理模型​_应用软件_05

只服务“192.168.100”网段的专属密钥令牌,实现与其它网段有区别的加密通信


由于密钥令牌的产生和分配传输,只在计算机的链盘、GUI界面、CPU、内存、网络上流转,不接触硬盘等存储介质,即使在网络上传输也有加密算法保护,所以它的安全可靠性更有保障。

上述机制已经可以保证应用软件的网络通信过程都是安全可靠的。

应用软件通过FIXP网络校验检查之后,将进入“节点和服务”阶段。在这里阶段,应用软件将接受节点和服务管理模型的检查,从而保证应用软件的工作请求和节点提供的服务是匹配的。比如一个存储节点只会受理存储相关的请求,计算节点只能提供计算相关的服务。任何超过节点服务范围的业务,都将被操作系统拒绝,与此相关的服务也会被系统中止,资源被释放。这样的管控措施,防止了应用软件任何可能的越界行为。同时它也对开发者提出更高的要求,需要开发者熟悉Laxcus分布式操作系统的运行环境,以及开发规则流程等相关细节。

再接下来将进入身份验证阶段。

Laxcus分布式操作系统本身是一个多用户的操作系统,每个登录用户在Laxcus分布式操作系统上,都有一个标识自己身份的唯一ID。Laxcus分布式操作系统以此为标记,启动虚拟化工作,在物理计算机集群基础上,为每个登录用户动态分配一个虚拟的计算机集群。从表面上看,好象每个登录用户拥有整个计算机集群一样。这项措施保证了在有限的计算机集群资源基础上,为登录用户分配尽可能多的计算机集群空间,增加了计算机集群资源复用效率,降低了用户使得成本。

在Laxcus集群的云端,身份验证除了需要检查识别与应用软件关联的用户签名,诊断与用户签名相关的各种操作权限,还要检查和分配与用户签名相关的各种资源,包括CPU、内存、硬盘、网络带宽,保证应用软件运行过程中,系统有足够的资源提供给应用软件使用。如果发生资源不足的情况,Laxcus分布式操作系统将暂停分配,直到拥有足够的资源才会启动应用软件。

然后就是进入了实质的工作阶段。这个阶段,应用软件的云端部分已经被启动,进入云端运行队列中,可以执行各种实际的存储和计算机工作。从这个时候开始,应用软件的所有工作,发出的任何操作行为,都会在操作系统严密监控下进行。

在应用软件运行过程中,它的操作行为都需要细化识别,所有的操作行为发生前,都必须接受操作系统检查,在获得许可之后,才能进行实质的操作。比如应用软件执行一个数据写入磁盘的操作前,首先需要获得写入权限。进一步的,还可以规定应用软件的数据写入目录或者存储数据的节点,以及允许应用软件调用系统接口等要求。这些权限的分配,都是由系统管理员控制。

另外在个性化的安全控制上,Laxcus也提供了相关的解决方案。比如从3.0版本开始,Laxcus已经支持名为“Packing”的安全处理,用户需要保密处理和传输的数据、文档或者其它内容,可以通过Packing接口来实现自定义的加密解密,整个过程完全由应用软件来控制,不受操作系统的影响。

在Laxcus分布式操作系统上,我们向计算机集群发出的指令,从计算机集群接收到的反馈信息,都经过了上述完整的全流程安全检查和校验。任何一个环节的校验失败和检查错误,都会导致整个分布式作业流程的失败。下图检索云存储资源命令,在显示网络目录和文件之前,必须通过上述全流程安全处理。如果国内的网络环境都能够实现这样的安全检查措施,我们已知或者未知的,很多类似西工大的漏密事件,都可以避免。

全域安全:一种运行时安全管理模型​_数据_06

一个检索云存储命令,需要走完全域安全所有检查流程。如果全网实现这样的安全检查措施,很多西工大漏密事件都可以避免


以上就是Laxcus分布式操作系统的全域安全管理模型的基本构成情况,它解决公共网络和共享计算机集群环境中,处理应用业务时最基本的安全问题,杜绝了数据、信息、文件被泄漏和窃取的可能。


以上是关于全域安全:一种运行时安全管理模型的主要内容,如果未能解决你的问题,请参考以下文章

TEE安全系统SMC深入理解

开启CSP网页安全政策防止XSS攻击

操作系统之进程管理

自动驾驶功能安全评估 | 基于仿真的故障注入

ERP

Nginx FastCGI的运行原理