第4章操作系统安全.

2019/12/18计算机系统安全原理与技术(第2版)1第4章操作系统安全2019/12/18计算机系统安全原理与技术(第3版)24.1操作系统的安全问题4.1.1操作系统易用性与安全性的矛盾•操作系统在设计时不可避地要在安全性和易用性之间寻找一个最佳平衡点，这就使得操作系统在安全性方面必然存在着缺陷。2019/12/18计算机系统安全原理与技术(第3版)34.1操作系统的安全问题4.1.2操作系统面临的安全问题•1）网络攻击破坏系统的可用性和完整性。•例如，恶意代码(如Rootkit)可以使系统感染，也可以使应用程序或数据文件受到感染，造成程序和数据文件的丢失或被破坏，甚至使系统瘫痪或崩溃。2019/12/18计算机系统安全原理与技术(第3版)44.1操作系统的安全问题4.1.2操作系统面临的安全问题•2）隐通道(CovertChannel，也称作隐蔽信道)破坏系统的保密性和完整性。•如今，攻击者攻击系统的目的更多地转向获取非授权的信息访问权。这些信息可以是系统运行时内存中的信息，也可以是存储在磁盘上的信息(文件)。窃取的方法有多种，如使用Cain&Abel等口令破解工具破解系统口令，再如使用Goldenkeylogger等木马工具记录键盘信息，还可以利用隐通道非法访问资源。2019/12/18计算机系统安全原理与技术(第3版)54.1操作系统的安全问题4.1.2操作系统面临的安全问题•3）用户的误操作破坏系统的可用性和完整性。•例如，用户无意中删除了系统的某个文件，无意中停止了系统的正常处理任务，这样的误操作或不合理地使用了系统提供的命令，会影响系统的稳定运行。此外，在多用户操作系统中，各用户程序执行过程中相互间会产生不良影响，用户之间会相互干扰。2019/12/18计算机系统安全原理与技术(第3版)64.2操作系统的安全性设计•标识系统中的用户并进行身份鉴别；•依据系统安全策略对用户的操作进行存取控制，防止用户对计算机资源的非法存取；•监督系统运行的安全；•保证系统自身的安全性和完整性。2019/12/18计算机系统安全原理与技术(第2版)7操作系统的安全需求操作系统安全技术概述安全策略标记鉴别责任保证连续保护2019/12/18计算机系统安全原理与技术(第2版)8操作系统的安全需求操作系统安全技术概述安全策略标记鉴别责任保证连续保护对于认证的主体和客体，系统必须有一个规则集用于决定一个特定的主体是否可以访问一个具体的客体2019/12/18计算机系统安全原理与技术(第2版)9操作系统的安全需求操作系统安全技术概述安全策略标记鉴别责任保证连续保护给客体一个能够有效反映它的安全级别的标记2019/12/18计算机系统安全原理与技术(第2版)10操作系统的安全需求操作系统安全技术概述安全策略标记鉴别责任保证连续保护存储信息的每一次访问都应受到控制，即只有授权的用户才能访问这些信息2019/12/18计算机系统安全原理与技术(第2版)11操作系统的安全需求操作系统安全技术概述安全策略标记鉴别责任保证连续保护系统要保护审计数据不受破坏，以确保违背安全的事件在发生后可被探测出来2019/12/18计算机系统安全原理与技术(第2版)12操作系统的安全需求操作系统安全技术概述安全策略标记鉴别责任保证连续保护一个计算机系统应该能够具有可以被评估的各种软硬件机制，应提供充分保证系统实现上述四种与安全有关的需求2019/12/18计算机系统安全原理与技术(第2版)13操作系统的安全需求操作系统安全技术概述安全策略标记鉴别责任保证连续保护实现这些基本需求的可信机制必须能不断地提供保护以防止入侵和未经授权的篡改2019/12/18计算机系统安全原理与技术(第2版)14•操作系统的安全机制隔离控制存储器保护用户认证访问控制2019/12/18计算机系统安全原理与技术(第2版)15•隔离控制：物理隔离：在物理设备一级进行隔离时间隔离：对不同安全要求的用户进程分配不同的运行时间段逻辑隔离：限定各进程运行区域加密隔离：口令或文件数据以密码形式存储2019/12/18计算机系统安全原理与技术(第2版)16存储器保护•对于一个安全的操作系统，存储保护是最基本的要求，包括内存保护运行保护I/O保护等。2019/12/18计算机系统安全原理与技术(第2版)17内存储器是操作系统中的共享资源，内存被用户程序与系统程序所共享。在多道环境下更是被多个进程所共享。内存保护的目的是：防止对内存的未授权访问；防止对内存的错误读写，如向只读单元写；防止用户的不当操作破坏内存数据区、程序区或系统区；多道程序环境下，防止不同用户的内存区域互不影响；将用户与内存隔离，不让用户知道数据或程序在内存中的具体位置；存储器保护-内存保护2019/12/18计算机系统安全原理与技术(第2版)18•常用的内存保护技术单用户内存保护技术多道程序的保护技术内存标记保护法分段与分页保护技术存储器保护-内存保护2019/12/18计算机系统安全原理与技术(第2版)19•单用户内存保护问题系统区用户区（内存）界限寄存器单用户内存保护2019/12/18计算机系统安全原理与技术(第2版)20•多道程序的保护2019/12/18计算机系统安全原理与技术(第2版)21•标记保护法2019/12/18计算机系统安全原理与技术(第2版)22•分段与分页技术–对于稍微复杂一些的用户程序，通常按功能划分成若干个模块（过程）。每个模块有自己的数据区，各模块之间也可能有共享数据区。各用户程序之间也可能有共享模块或共享数据区。–这些模块或数据区有着不同的访问属性和安全要求，使用上述各种保护技术很难满足这些要求。2019/12/18计算机系统安全原理与技术(第2版)23•分段与分页技术–分段将内存分成很多逻辑单元，如一组组私有程序或数据。采用分段技术以后，用户并不知道他的程序实际使用的内存物理地址，操作系统把程序实际地址隐藏起来了。这种隐藏对保护用户代码与数据的安全是极有好处的。2019/12/18计算机系统安全原理与技术(第2版)24•分段与分页技术–分段技术有许多优点：•任何段可以放在任何内存空间——假设地址空间大小足够容纳任何一个段。•不同的访问控制可以实施在不同的段中。•在分段这种方式下，任何地址的引用必须通过操作系统，这样操作系统可以进行完全的调度。2019/12/18计算机系统安全原理与技术(第2版)25•分段与分页技术–段的管理方式存在的问题与困难主要是：•当操作系统使用段址，偏移地址的方式来进行寻址时，必须知道段的大小以确保访问的地址在该段之内。但是很多段(比如那些可以进行动态内存分配的段)的内存是可以在执行的过程中动态增长的。所以，操作系统中必须保存可变化段的大小。为了保证安全，要求系统检查所产生的地址，验证其是否超出所访问段的末端。•因为段大小可变，内存“碎片”成为一个潜在的问题，使得内存中虽然剩余碎片的总和大于某个段的长度，但仍无法为该段分配内存的现象发生。•如果压缩内存以便于更加有效地利用已有空间，分段表则会发生改变。•总之，分段本身比较复杂，并且它给操作系统带来了明显的负担。2019/12/18计算机系统安全原理与技术(第2版)26•分段与分页技术–为了解决分段可能产生的内存碎片问题，引入了分页技术(如图)。分页是把目标程序与内存都划分成相同大小的片段，这些片段称为“页”。在分页模式下，需要使用参数对页，偏移地址来访问特定的页。–分页技术虽然解决了碎片问题，但又损失了分段技术的安全功能。由于段具有逻辑上的完整意义，而页则没有这样的意义，程序员可以为段规定某些安全控制要求，但却无法指定各页的访问控制要求。2019/12/18计算机系统安全原理与技术(第2版)27•分段与分页技术–解决这个问题的方法是将分页与分段技术结合起来使用，由程序员按计算逻辑把程序划分为段，再由操作系统把段划分为页。在段的基础上进行分页的好处在于不会产生碎片、效率高，并且不需要考虑每部分大小的变化所带来的各种问题。–操作系统同时管理段表与页表，完成地址映射任务和页面的调进调出，并使同一段内的各页具有相同安全管理要求，这也是虚拟存储器的基本思想。系统还可以为每个物理页分配一个密码，只允许拥有相同密码的进程访问该页，该密码由操作系统装入进程的状态字中，在进程访问某个页面时，由硬件对进程的密码进行检验，只有密码相同且进程的访问权限与页面的读写访问属性相同时方可执行访问。这种安全机制有效地保护了虚拟存储器的安全。2019/12/18计算机系统安全原理与技术(第2版)28安全操作系统很重要的一点是进行分层设计，而运行域正是这样一种基于保护环的等级式结构。运行域是进程运行的区域，在最内层具有最小环号的环具有最高特权，而在最外层具有最大环号的环是最小的特权环。–最内层是操作系统，靠近操作系统环之外的是受限使用的系统应用环，如数据库管理系统或事务处理系统；最外一层则是各种不同用户的应用环。存储器保护-运行保护2019/12/18计算机系统安全原理与技术(第2版)29–Intelx86微芯片系列就是使用环概念来实施运行保护的，如图所示。–环有4个级别：环0是最高权限的，环3是最低权限的。当然，微芯片上并没有实际的物理环。–Windows操作系统中的所有内核代码都在环0级上运行。用户模式程序(例如Office软件程序)在环3级上运行。包括Windows和Linux在内的许多操作系统在Intelx86微芯片上只使用环0和环3，而不使用环1和环2。存储器保护-运行保护2019/12/18计算机系统安全原理与技术(第2版)30I/O介质输出访问控制最简单的方式是将设备看作是一个客体，仿佛它们都处于安全边界外。由于所有的I/O不是向设备写数据就是从设备接收数据，所以一个进行I/O操作的进程必须受到对设备的读写两种访问控制。这就意味着设备到介质间的路径可以不受什么约束，而处理器到设备间的路径则需要施以一定的读写访问控制。存储器保护-I/O保护2019/12/18计算机系统安全原理与技术(第2版)314.3用户认证•用户的认证包括：标识与鉴别。•标识(Identification)就是系统要标识用户的身份，并为每个用户取一个系统可以识别的内部名称——用户标识符。用户标识符必须是惟一的且不能被伪造，防止一个用户冒充另一个用户。•将用户标识符与用户联系的过程称为鉴别(Authentication)，鉴别过程主要用以识别用户的真实身份，鉴别操作总是要求用户具有能够证明他身份的特殊信息，并且这个信息是秘密的或独一无二的，任何其他用户都不能拥有它。2019/12/18计算机系统安全原理与技术(第2版)32用户认证•认证用户的方法一般有三种：–（1）用户所知道的。如要求输入用户的姓名、口令或加密密钥等。如：口令认证方法，一次性口令认证–（2）用户所拥有的。如智能卡等物理识别设备。如：令牌或智能卡–（3）用户本身的特征。如用户的指纹、声音、视网膜等生理特征。如：生物特征认证基于口令的认证•使用口令进行身份验证是一种最古老、容易实现、也是比较有效的身份认证手段。•在操作系统中，口令是用户与操作系统之间交换的信物。–用户想使用系统，首先必须通过系统管理员系统登录，在系统中建立一个用户账号，账号中存放用户的名字(或标识)和口令。–用户输入的用户名和口令必须和存放在系统中的账户/口令文件中的相关信息一致才能进入系统。–没有一个有效的口令，入侵者要闯入计算机系统是很困难的。2019/12/18计算机系统安全原理与技术(第3版)33基于口令的认证•同样，确认用户(访问者)的真实身份，解决访问者的物理身份和数字身份的一致性是网络世界中要解决的安全问题。•因为只有知道对方是谁，数据的保密性、完整性和访问控制等才有意义。•下面的讨论主要基于计算机操作系统的应用环境，在网络环境中同样适用。2019/12/1