可信操作系统的基本理论与关键技术研究

可信计算组织TCG成立以来，对于可信计算的标准制定与产品研发起了积极的推动作用。除可信计算架构、TPM与TSS等研究之外，可信操作系统是可信计算的基础。本项目研究可信操作系统的基本理论与关键技术，研究内容包括（1）提出操作系统抽象结构清晰、易于实现的安全体系；安全内核；模型架构与形式化安全策略模型，包括机密性模型、完整性模型及实现最小特权的访问控制模型。（2）解决隐蔽通道分析中的关键问题，包括标识和清除隐蔽通道、降低已知隐蔽通道带宽和审计隐蔽通道的方法。隐蔽通道分析是众所周知的难题，极具挑战性，至今许多公开问题没有解决。上述两个课题是设计与开发可信操作系统的关键。（3）解决可信操作系统与可信计算整体架构相融合问题，提出在可信计算的框架下，基于高等级安全标准设计可信操作系统的方法。项目的研究成果将会促进我国可信操作系统研究进入一个新的阶段，研究成果可以迅速转化为实际可信计算产品的设计与实现。

全面完成项目计划，在可信操作系统的基本理论与关键技术方面取得了一系列具有创新性的成果，并在云计算领域中得到了扩展和应用。主要的成果包括：（1）提出一种新的可信操作系统架构，包括：标识与鉴别；自主访问控制；强制机密性访问控制；强制完整性访问控制；最小特权管理；审计；可信通路；客体重用保护；密码服务和网络安全机制等。该架构具有抽象结构清晰、可信性高并易于实现的特点。在上述可信操作系统的架构下，设计实现了3个新型的安全策略模型，涵盖机密性、完整性和最小特权控制。（2）对高安全等级操作系统，国内外的标准都要求进行隐蔽通道分析，首先是存储隐蔽通道分析，等级更高的还需要进行定时隐蔽通道分析。类似地，我们认为应当对可信操作系统的可信度进行分类。对高可信的可信操作系统，我们认为应当引入强制存取控制机制，同时进行存储隐蔽通道分析。为此，我们提出了一种新型的存储隐蔽通道“回溯分析”方法，在高可信的可信操作系统中得到了有效的应用。（3）提出了在可信计算框架下实现可信操作系统的方法，并在云计算的环境下得到扩展与应用。在云计算接入和使用可信操作系统，大大增加了云计算平台和云计算环境的安全性。在可信操作系统中，我们对云计算中的主要角色进行了明确的分类：云计算管理角色、客户管理角色和终端用户角色。通过可信操作系统可以隔离、监控和审计云计算管理数据流、客户管理数据流和终端用户数据流。Hypervisor用于隔离所有在云平台中运行的客户代码。它将一个节点分成多个可变数目的虚拟机，并和可信操作系统一起实现对外部通信的限制和划分资源。根操作系统运行在Hypervisor控制的节点上，只包含对宿主虚拟机所必须的组件，以便改善性能和减少攻击表面。.三年来，我们积极参加了国内外的学术活动与合作交流，发表论文27篇，出版著作1本，论文集1本。项目负责人做了5次国际会议特邀报告和11次国内会议特邀报告；举办了1次国际会议；担任3次国际会议程序委员会主席。2010-2012年，共培养研究生21人，培养中青年学术带头人5名。