全域安全：一种运行时安全管理模型

来源：恒创科技编辑：恒创科技编辑部

2024-02-12 23:32:59

说明：全域安全是一种新的安全管理模型，现在用在LAXCUS分布式操作系统上，如果能够在ICT领域全面推广，当下计算机的安全问题，包括西工大的泄密事件，都可以避免了。希望这篇文章能够对从事计算机安全设计的朋友有所帮助。

全域安全：一种运行时安全管理模型_数据

LAXCUS分布式操作系统桌面

在传统的操作系统上，系统的主要职责是为应用软件提供基础运行环境，应用软件的网络通信安全、作业流安全，由软件自身来负责。但是在Laxcus分布式操作系统上，这些规则变了。操作系统除了为应用软件提供基础运行环境，应用软件的网络通信安全、操作行为的安全，作业流和数据流在计算机集群迁移流动过程中的安全，也由操作系统负责管理。

负责实施这些安全管控措施的是全域安全管理模型，它是Laxcus分布式操作系统之下的一个子系统，主要的作用是协助Laxcus分布式操作系统，为应用软件生命运行周期提供全方位的安全保护。

全域安全：一种运行时安全管理模型_数据_02

Laxcus分布式应用软件作业流程

在Laxcus分布式操作系统中，一套标准的Laxcus分布式应用软件分为终端、边缘端、云端三个组成部分，它们分别部署在各自环境上，被网络连接起来，运行过程中由操作系统根据各自的业务需求统一编排、调度和处理。

Laxcus分布式应用软件的作业流程是这样：首先从终端桌面或者边缘端后台启动应用软件，通过GUI界面或者系统事件以及自定义事件，触发分布式作业行为，这些行为被应用软件解释后，转义成分布式指令，指令中携带业务需求，以RPC方式投递到云端执行。

与终端、边缘端不同的是，Laxcus分布式应用软件的云端部分，是以分布+并行的方式，分散在很多节点同时执行。这个特点使得Laxcus分布式应用软件的处理规模特别大。在业务执行过程中，云端软件还会调用系统接口或者其它的软件工具库，结合数据、算力、机器算法，执行各种各样的分布式存储和分布式计算工作。这个过程将根据业务需要一直持续进行，直到最后完成工作，把处理结果反馈给终端桌面或者边缘端后台，形成一个完整的分布式作业闭环。

由于Laxcus分布式操作系统是一个基于计算机集群的多机操作系统，处理能力远超Windows、Linux等单机操作系统。所以基于Laxcus分布式操作系统的分布式应用软件，在处理大规模、超大规模业务方面，天然比单机应用软件具备更大优势，加之系统内置的数据、算力、机器算法等接口的支持，所以才能够在更短的时间内，获得比传统单机应用软件更快更强的处理效果。

全域安全：一种运行时安全管理模型_分布式应用_03

全域安全管理模型

因为Laxcus分布式应用软件是联网运行的应用软件，在它的生命运行周期中，首先需要面对的是FIXP网络。

FIXP网络的基础是FIXP通信协议。这是一种二进制的通信协议，协议采用小字头编码（Little-Endian），具有平台独立、结构简单、上下文无关、传输效率高等特点。FIXP协议把信道分成控制信道和数据信道。控制信道负责传输指令，数据信道用来传输数据。为了支持大规模的数据分发，FIXP数据信道设置有多个收发单元，支持多点收发，收发单元的数量可以由管理员根据网络环境，在操作系统启动前修改定义。多点收发机制类似5G网络的Massive MIMO，能够在不改变网络基础情况下，将数据传输效率提升5-20倍，大大提高了数据传输效率，减少了软件等待时间。同时为了进一步保证数据流的稳定传输，FIXP网络还有人工智能模型参与管理控制。

在安全管控上，FIXP协议采用了类似SSL/TLS的安全管理措施。应用软件在执行网络通信前，首先要通过握手机制交换非对称密钥，在经过一系列验证后，以一次一密的方式对数据内容加密后，传输数据。

与SSL/TLS使用的第三方CA证书有所不同，FIXP网络使用“密钥令牌”取代了CA证书。密钥令牌的产生有以下几种方式：

由Laxcus分布式操作系统根据某些运行时参数随机产生。由系统管理员随机定义和分配。从第三方加密硬件上获得，比如支持crypto协议的经典密钥机。接入量子网络，从量子网络获得密钥产生密钥令牌。

全域安全：一种运行时安全管理模型_分布式应用_04

管理员自定义密钥令牌，分配给指定节点，密钥令牌在加密环境下传输

除了服务所有登录用户的公共密钥令牌，管理员还可以为某些特定用户设置有针对性的密钥令牌。这种密钥令牌在定义时，需要指定IP地址或者用户签名。当Laxcus服务器节点收到这些来自这类地址或者签名的通信时，除了执行通用的检测流程，将为他们分配专属非对称密钥和加密通道，从而实现流程一致但是有区别的加密通信。

全域安全：一种运行时安全管理模型_应用软件_05

只服务“192.168.100”网段的专属密钥令牌，实现与其它网段有区别的加密通信

由于密钥令牌的产生和分配传输，只在计算机的链盘、GUI界面、CPU、内存、网络上流转，不接触硬盘等存储介质，即使在网络上传输也有加密算法保护，所以它的安全可靠性更有保障。

上述机制已经可以保证应用软件的网络通信过程都是安全可靠的。

应用软件通过FIXP网络校验检查之后，将进入“节点和服务”阶段。在这里阶段，应用软件将接受节点和服务管理模型的检查，从而保证应用软件的工作请求和节点提供的服务是匹配的。比如一个存储节点只会受理存储相关的请求，计算节点只能提供计算相关的服务。任何超过节点服务范围的业务，都将被操作系统拒绝，与此相关的服务也会被系统中止，资源被释放。这样的管控措施，防止了应用软件任何可能的越界行为。同时它也对开发者提出更高的要求，需要开发者熟悉Laxcus分布式操作系统的运行环境，以及开发规则流程等相关细节。

再接下来将进入身份验证阶段。

Laxcus分布式操作系统本身是一个多用户的操作系统，每个登录用户在Laxcus分布式操作系统上，都有一个标识自己身份的唯一ID。Laxcus分布式操作系统以此为标记，启动虚拟化工作，在物理计算机集群基础上，为每个登录用户动态分配一个虚拟的计算机集群。从表面上看，好象每个登录用户拥有整个计算机集群一样。这项措施保证了在有限的计算机集群资源基础上，为登录用户分配尽可能多的计算机集群空间，增加了计算机集群资源复用效率，降低了用户使得成本。

在Laxcus集群的云端，身份验证除了需要检查识别与应用软件关联的用户签名，诊断与用户签名相关的各种操作权限，还要检查和分配与用户签名相关的各种资源，包括CPU、内存、硬盘、网络带宽，保证应用软件运行过程中，系统有足够的资源提供给应用软件使用。如果发生资源不足的情况，Laxcus分布式操作系统将暂停分配，直到拥有足够的资源才会启动应用软件。

然后就是进入了实质的工作阶段。这个阶段，应用软件的云端部分已经被启动，进入云端运行队列中，可以执行各种实际的存储和计算机工作。从这个时候开始，应用软件的所有工作，发出的任何操作行为，都会在操作系统严密监控下进行。

在应用软件运行过程中，它的操作行为都需要细化识别，所有的操作行为发生前，都必须接受操作系统检查，在获得许可之后，才能进行实质的操作。比如应用软件执行一个数据写入磁盘的操作前，首先需要获得写入权限。进一步的，还可以规定应用软件的数据写入目录或者存储数据的节点，以及允许应用软件调用系统接口等要求。这些权限的分配，都是由系统管理员控制。

另外在个性化的安全控制上，Laxcus也提供了相关的解决方案。比如从3.0版本开始，Laxcus已经支持名为“Packing”的安全处理，用户需要保密处理和传输的数据、文档或者其它内容，可以通过Packing接口来实现自定义的加密解密，整个过程完全由应用软件来控制，不受操作系统的影响。

在Laxcus分布式操作系统上，我们向计算机集群发出的指令，从计算机集群接收到的反馈信息，都经过了上述完整的全流程安全检查和校验。任何一个环节的校验失败和检查错误，都会导致整个分布式作业流程的失败。下图检索云存储资源命令,在显示网络目录和文件之前，必须通过上述全流程安全处理。如果国内的网络环境都能够实现这样的安全检查措施，我们已知或者未知的，很多类似西工大的漏密事件，都可以避免。

全域安全：一种运行时安全管理模型_应用软件_06