《操作系统安全》PPT课件 (2).ppt

第四章 操作系统安全 刘培顺 调课通知 下周五（11.6）的课调到下周三（11.4） 晚上6：00-8：00 地点：信息学院南楼， 计算机系机房 B317 手工杀毒的实验： W32.Downadup!autorun W32.Huhk.A W32.SillyDC W32.Almanahe.B!inf Infostealer.Lineage 安全体系结构 操作系统是最底层软件系统,其安全性 直接影响并决定了计算机的安全性能 。 操作系统安全是信息系统安全的最基本、最基础的安 全要素。操作系统的任何安全脆弱性和安全漏洞，必 然导致信息系统的整体安全脆弱性。操作系统的任何 功能性变化，都可导致信息系统安全脆弱性分布情况 的变化。从软件角度来看，确保信息系统安全的第一 要事便是采取措施保证操作系统安全。 在目前的操作系统中,对安全机制的设计不尽完善,存在 较多的安全漏洞隐患。面对黑客的盛行,网络攻击的日 益频繁,运用的技术愈加先进,计算机操作系统的安全显 得尤为重要。 安全体系结构的安全服务 l认证 我不认识你! - 你是谁？ 我怎么相信你就是你? - 要是别人冒充你怎么办? l访问控制授权 我能干什么? - 我有什么权利? 你能干这个,不能干那个. l保密性 我与你说话时,别人能不能偷听? l完整性 收到的传真不太清楚? 传送过程过程中别人篡改过没有? l防抵赖 我收到货后,不想付款,想抵赖,怎么样? 我将钱寄给你后,你不给发货,想抵赖,如何? 操作系统安全 身份认证 提纲 单机状态下身份认证 基于口令的认证方式 基于智能卡的认证方式 基于生物特征的认证方式 认证的概念 认证是一个过程，通过这个过程，一个实 体像另一个实体证明了某种声称的属性。 认证概念可以分为三个子概念 数据源认证: 验证消息的某个声称属性 实体认证：验证消息发送者所声称的身份 身份认证 身份认证，用来确定用户在系统中的身份 的真实性，包括用户的标识和鉴别，是用 户进入系统后的第一道防线。 用户标识是指用户登录注册在信息系统中 的身份标识（ID），代表用户的身份信息 。 鉴别是验证某些事物的过程。 身份认证的基本途径 基于你所知道的（What you know ） 知识、口令、密码 基于你所拥有的（What you have ） 身份证、信用卡、密钥、智能卡、令牌等 基于你的个人特征（What you are） 指纹，笔迹，声音，手型，脸型，视网膜，虹 膜 双因素、多因素认证 身份认证的基本模型 申请者（Claimant） 验证者（Verifier） 认证信息AI（Authentication Information） 可信第三方(Trusted Third Party) 申请AI 验证AI 申请AI验证AI 交换AI 常用的身份认证技术/协议 简单口令认证 质询/响应认证 一次性口令认证（OTP） 电子令牌 基于U盾的身份认证 基于生物特征的身份认证 基于口令的身份认证 用户名/口令认证技术是最简单、最普遍的身份识别技术 各类系统的登录等。 口令具有共享秘密的属性，只有用户和系统知道。 例如，用户把他的用户名和口令送服务器，服务器操作系统 鉴别该用户。 口令有时由用户选择，有时由系统分配。 通常情况下，用户先输入某种标志信息，比如用户名和ID 号，然后系统询问用户口令，若口令与用户文件中的相匹配 ，用户即可进入访问。 口令有多种，如一次性口令；还有基于时间的口令 基于口令的身份认证 用户名/口令具有实现简单的优点，但存在以下安 全缺点： 大多数系统的口令是明文传送到验证服务器的，容 易被截获。 口令维护的成本较高。为保证安全性，口令应当经 常更换。另外为避免对口令的字典攻击，口令应当 保证一定的长度，并且尽量采用随机的字符。但缺 点是难于记忆。 口令容易在输入的时候被攻击者偷窥，而且用户无 法及时发现。 简单和安全是互相矛盾的两个因素 口令保护技术 对口令的使用,存储和更新进行控制 控制口令显示信息 限制注册失败次数: 3次或6次 定期更新口令 避免重复使用 最小长度:68个字符 用户被锁 根口令:要求更严 系统生成口令:随机性更好 创建强健的口令 在创建安全口令的时候，最好能遵循以下准则：不要做以 下的事： 不要只使用单词或数字 决不要在口令中只使用单词或 数字。 某些不安全口令包括： 8675309 juan hackme 不要使用现成词汇 像名称、词典中的词汇、甚至电视 剧或小说中的用语，即使在两端使用数字，都应该避免使 用。 某些不安全口令包括： John1 DS-9 mentat123 创建强健的口令 不要使用外语中的词汇 口令破译程序经常使用多种语言的词典来 检查其词汇列表。依赖外语来达到保护口令的目的通常不起作用。 某些不安全口令包括： Cheguevara bienvenido1 1dumbKopf 不要使用黑客术语 如果你以为在口令中使用黑客术语 又称 l337 (LEET) 就会与众不同，请再三思。许多词汇列表都包含了 LEET 式术语。 某些不安全口令包括： H4X0R 1337 不要使用个人信息 千万不要使用个人信息。如果攻击者知道你的 身份，推导出你所用口令的任务就会变得非常容易。以下是你在创建 口令时应该避免使用的信息类型。 某些不安全口令包括： 你的名字 宠物的名字 家庭成员的名字 生日 你的电话号码或邮政编码 创建强健的口令 不要倒转现存词汇 优秀的口令破译者总是倒转常用词 汇，因此倒转薄弱口令并不会使它更安全。 某些不安全口令包括： R0X4H nauj 9-DS 不要笔录你的口令 决不要把口令写在纸上。把它牢记 在心才更为安全。 不要在所有机器上都使用同样的口令 在每个机器上使 用不同的口令是及其重要的。这样，如果一个系统泄密了 ，所有其它系统都不会立即受到威胁。 做以下的事： 创建强健的口令 口令长度至少为八个字符 口令越长越好。若使用 MD5 口令，它应该至少有15个字符。若使用 DES 口令 ，使用最长长度（8个字符）。 混和大小写字母 红帽企业 Linux 区分大小写，因此混 和大小写会增加口令的强健程度。 混和字母和数字 在口令中添加数字，特别是在中间添 加（不只在开头和结尾处）能够加强口令的强健性。 包括字母和数字以外的字符 &、$、和 之类的特殊 字符可以极大地增强口令的强健性（若使用 DES 口令则 不能使用此类字符）。 挑选一个你可以记住的口令 如果你记不住你的口令， 那么它再好也没有用；使用简写或其它记忆方法来帮助你 记忆口令。 安全口令创建方法 想出一个可记忆的短语，如： “over the river and through the woods, to grandmothers house we go.“ 然后只引用第一个字母而把它变成简写（包括标点）。 otrattw,tghwg. 把简写中的字母替换成数字和符号来增加其复杂性。例如 ，用 7 来替换 t，用 来替换 a： o7r77w,7ghwg. 至少把一个字母变成大写来增加其复杂性，如 H。 o7r77w,7gHwg. 最后，永远不要在任何系统上使用以上的口令范例。 口令攻击的种类 网络数据流窃听。 由于认证信息要通过网络传递，并且很多认证 系统的口令是未经加密的明文，攻击者通过窃 听网络数据，就很容易分辨出某种特定系统的 认证数据，并提取出用户名和口令。 认证信息截取/重放(Record/Replay) 有的系统会将认证信息进行简单加密后进行传 输，如果攻击者无法用第一种方式推算出密码 ，可以使用截取/重放方式。 安全的口令认证技术-动态口令 动态口令: 一般采用双运算因子的计算方式 ，也就是加密算法的输入值有两个数值， 其一为用户密钥、另一为变动因子. 由于用户密钥为固定数值，因此变动因子必须 不断变动才可以算出不断变动的动态密码。 服务器及动态口令系统必须随时保持相同的变 动因子，才能算出相同的动态密码 基于动态口令的身份认证 质询/响应认证 （Challenge/Response） 一次性口令（OTP） 质询/响应认证协议 Challenge and Response Handshake Protocol Client和Server共享一个密钥 Login ,IDc IDc, R IDc, MAC c MAC=H(R,K) s MAC=H(R,K) 比较MAC和MAC OK / Disconnect MAC的计算可以基于Hash算, 对称密钥算法，公开密钥算法 一次性口令认证（OTP） S/Key SecurID Token Server 应答 seed + seq OTP Hash(Pass +seed) OTP /rfcs/rfc1760.html /rfc/rfc2289.txt OTP ID 确认Hash(Pass +seed) Seq-1 利用单向Hash函数生成 一次性口令序列，逆序 使用 基于智能卡认证方式 基于智能卡的认证可提供双重认证，即你所拥有 的东西认证（您的智能卡）和你所知道的东西认 证（您的PIN代码） 智能卡提高硬件保护措施和加密算法，可以利用 这些功能加强安全性能。 当前比较常用的是基于USB接口的智能卡， UKEY. UKey是一种通过USB (通用串行总线接口)直接与计 算机相连、具有密码验证功能、可靠高速的小型存储 设备。UKey的设计小巧精致、携带方便UKey自身 所具备的存贮器可以用来存储一些个人信息或证书， UKey的内部密码算法可以为数据传输提供安全的管 道，UKey是适用于单机或网络应用的安全防护产品 。 生理特征介绍 每个人所具有的唯一生理特征 指纹，视网膜，声音，视网膜、虹膜、语音、面部、 签名等 指纹 一些曲线和分叉以及一些非常微小的特征； 提取指纹中的一些特征并且存储这些特征信息：节省 资源，快速查询； 手掌、手型 手掌有折痕，起皱，还有凹槽； 还包括每个手指的指纹 ； 人手的形状（手的长度，宽度和手指）表示了手的几 何特征 生理特征介绍（续） 视网膜扫描 扫描眼球后方的视网膜上面的血管的图案； 虹膜扫描 虹膜是眼睛中位于瞳孔周围的一圈彩色的部分； 虹膜有其独有的图案，分叉，颜色，环状，光环以及 皱褶； 语音识别 记录时说几个不同的单词，然后识别系统将这些单词 混杂在一起，让他再次读出给出的一系列单词。 面部扫描 人都有不同的骨骼结构，鼻梁，眼眶，额头和下颚形 状。 指纹识别 历史悠久 考古证实，公元前年到公元前年，指纹作为身份鉴别 已在古中国和古叙利亚使用。从那时出土的粘土陶器上留有的陶艺匠人 的指纹，纸稿上印有的起草者的大拇指指纹，古城市的房屋留下的砖匠 一对大拇指指纹的印记中可以看出，指纹认证已被应用于当时社会的许 多领域里。 世纪初，科学发现了至今仍被承认的指纹的两个重要特征，即两 个不同手指的指纹纹脊的式样不同，和指纹纹脊的式样终生不改变。 这个有关指纹唯一性和终身不变性的研究成果在指纹鉴别犯罪中得到 正式应用。 世纪末到世纪初，阿根廷、苏格兰等国相继将指纹识别技术应 用于罪犯鉴别。 最初的指纹识别采用手工方法，即将指纹卡片存放在指纹库中，需要 时在指纹库中人工查找由指纹专家比对指纹卡。世纪年代后 ，人们利用计算机代替了效率低、投入高的手工方式来处理指纹，个 人电脑和光学扫描仪成为指纹取像工具。年代后期，低价位取像 设备的出现，为个人身份识别技术的发展提供了舞台。 指纹识别 读取指纹图像提取特征 保存数据和比较 第一代指纹识别系统，属于光学识别系统，光学指纹识别系统由于光不 能穿透皮肤表层（死性皮肤层），所以只能够扫描手指皮肤的表面，或 者扫描到死性皮肤层，但不能深入真皮层。 在这种情况下，手指表面的 干净程度，直接影响到识别的效果。如果，用户手指上粘了较多的灰尘 ，可能就会出现识别出错的情况。并且，如果人们按照手指，做一个指 纹手模，也可能通过识别系统，对于用户而言，这具有不安全性。 第二代指纹识别系统，采用了电容传感器技术，并采用了小信号来创建 山脉状指纹图像的半导体设备。指纹识别器的电容传感器发出电子信号 ，电子信号将穿过手指的表面和死性皮肤层，而达到手指皮肤的活体层 （真皮层），直接读取指纹图案，从而大大提高了系统的安全性。 模板 1K已保存模板 1K 小结 身份认证的途径 质询/响应认证方式 访问控制 访问控制的基本概念 什么是访问控制 访问控制的基本模型 访问控制和其他安全机制的关系 什么是访问控制 访问控制是网络安全防范和保护的主要核心策略 ，它的主要任务是保证网络资源不被非法使用和 访问。 访问控制规定了主体对客体访问的限制，并在身 份识别的基础上，根据身份对提出资源访问的请 求加以控制。它是对信息系统资源进行保护的重 要措施，也是计算机系统最重要和最基础的安全 机制。 访问控制的基本概念 主体(Subject) 主体是一个主动的实体，它提出对资源访问请求。如 用户，程序，进程等。 客体(Object ) 含有被访问资源的被动实体，如网络、计算机、数据 库、文件、目录、计算机程序、 外设、网络。 授权(Authorization) 对资源的使用，读、写、修改、删除等操作，例如访 问存储器；访问文件、目录、外设；访问数据库；访 问一个网站。 访问控制的基本概念 访问可以被描述为一个三元组 (s, a, o) 主体，发起者 : Subject，Initiator 客体，目标 : Object, Target 访问操作 : Access Object Read/Write/Exec 访问控制模型 访问控制执行功能 访问控制决策功能 客体 主体的访问 控制信息 主体 客体的访问 控制信息 访问控制政策规则 上下文信息(如时间，地址等) 决策请求决策 访问请求提交访问 访问控制的基本概念 访问控制信息（ACI）的表示 主体访问控制属性 客体访问控制属性 访问控制政策规则 授权（Authorization） 怎样把访问控制属性信息分配给主体或客体 如何浏览、修改、回收访问控制权限 访问控制功能的实施 控制实施部件如何获得实体的访问控制信息 怎样执行 访问控制矩阵 访问控制机制可以用一个三元组来表示（ S,O,M） 主体的集合 S=s1,s2,sm 客体的集合 O=o1,o2,on 所有操作的集合 A=R, W, E, 访问控制矩阵 M= S O 2A 访问控制矩阵 矩阵的的i行Si表示了主体si对所有客体的操作权 限，称为主体si的能力表(Capability List) 矩阵的第j列Oj表示客体oj允许所有主体的操作， 称为oj的访问控制表（ACL） 能力表（Capability List） 能力表与主体关联，规定主体所能访问的客体和权限。 表示形式： 用户Profile，由于客体相当多，分类复杂，不便于授权管理 授权证书，属性证书 从能力表得到一个主体所有的访问权限，很容易 从能力表浏览一个客体所允许的访问控制权限，很困难 O1 R W O2 R O5 R W E Si 访问控制表(Access Control List) 访问控制表与客体关联，规定能够访问它的主体和权限 由于主体数量一般比客体少得多而且容易分组，授权管 理相对简单 得到一个客体所有的访问权限，很容易 浏览一个主体的所有访问权限，很困难 S1 R W S2 R S5 R W E Oj 授权信息 访问控制与其他安全机制的关系 认证、授权、审计（AAA） Log 身份认证访问控制 审计 授权（authorization） 主体 客体 访问控制与其他安全机制的关系 身分认证 身份认证是访问控制的前提 保密性 限制用户对数据的访问(读取操作),可以实现数据保密服务 完整性 限制用户对数据的修改(写操作), 实现数据完整性保护 可用性 限制用户对资源的使用量，保证系统的可用性 安全管理相关的活动 访问控制功能通常和审计、入侵检测联系在一起 访问控制政策模型 自主型访问控制(DAC) 强制型访问控制(MAC) 基于角色的访问控制(RBAC) 自主 访问控制 强制 访问控制 基于角色 访问控制 访问控制 访问控制的一般策略 自主型访问控制政策 Discretionary Access Control , DAC 每个客体有一个属主，属主可以按照自己的 意愿把客体的访问控制权限授予其他主体 DAC是一种分布式授权管理的模式 控制灵活，易于管理，是目前应用最为普遍 的访问控制政策 自主型访问控制(DAC) 无法控制信息流动 信息在移动过程中其访问权限关系会被改变。如用 户A可将其对目标O的访问权限传递给用户B, 从而 使不具备对O访问权限的B可访问O。 特洛伊木马的威胁 特洛伊木马（Trojan）是一段计算机程序，它附在 合法程序的中，执行一些非法操作而不被用户发现 一个用户能读取某些数据，然后他就可以把这些数据转发给 其他原本没有这一权限的人。这是因为，自主访问控制策略 本身没有对已经具有权限的用户如何使用和传播信息强加任 何限制。但在强制策略系统中，高安全等级数据传播到低安 全等级是受到限制的。在自主访问控制策略环境中，为了保 证安全，默认参考设置是拒绝访问，以提高信息的安全性。 访问许可 访问许可与访问模式描述了主体对客体所具有的 控制权与访问权. 访问许可定义了改变访问模式的能力或向其它主体 传送这种能力的能力. 访问模式则指明主体对客体可进行何种形式的特定 的访问操作:读写运行. 自主访问控制包括身份型(Identity- based)访问控制和用户指定型(User- directed)访问控制，通常包括目录式访问 控制，访问控制表，访问控制矩阵等方式 。 访问许可(Access Permission) (1)等级型的(Hierarchical) (2)有主型的(Owner) 对每个客体设置一个拥有者(通常是客体的生成者).拥 有者是唯一有权修改客体访问控制表的主体,拥有者对 其客体具有全部控制权. (3)自由型的(Laissez-faire) 最高领导(系统操作员) 部门领导部门领导 科组领导 科组领导科组领导 科组领导 成员 成员成员成员 成员成员成员成员 访问模式Access Mode 系统支持的最基本的保护客体:文件,对文件 的访问模式设置如下: （1）读-拷贝(Read-copy) （2）写-删除（write-delete） （3）运行(Execute) （4）无效(Null) 基于个人的策略 根据哪些用户可对一个目标实施哪一种行为的列 表来表示。 等价于用一个目标的访问矩阵列来描述 基础(前提)：一个隐含的、或者显式的缺省策略 例如，全部权限否决 最小特权原则：要求最大限度地限制每个用户为实施 授权任务所需要的许可集合 在不同的环境下，缺省策略不尽相同，例如，在公开 的布告板环境中，所有用户都可以得到所有公开的信 息 对于特定的用户，有时候需要提供显式的否定许可 例如，对于违纪的内部员工，禁止访问内部一些信息 基于组的策略 一组用户对于一个目标具有同样的访问许可。是 基于身份的策略的另一种情形 相当于，把访问矩阵中多个行压缩为一个行。 实际使用时 先定义组的成员 对用户组授权 同一个组可以被重复使用 组的成员可以改变 表示和实现 基于组的策略在表示和实现上更容易和更有效 在基于个人的策略中,对于系统中每一个需要保护的客 体，为其附加一个访问控制表，表中包括主体标识符（ ID）和对该客体的访问模式 对客体I 将属于同一部门或工作性质相同的人归为一组（ Group), 分配组名GN，主体标识=ID1.GN 对客体I ID1.reID2.rID3.eIdn.rew 张三.CRYPTO.re*. CRYPTO.re李四.CRYPTO.r*.*.n 强制型访问控制（MAC） Mandatory Access Control MAC是一种多级访问控制策略，它的主要特点是 系统对访问主体和受控对象实行强制访问控制， 系统事先给访问主体和受控对象分配不同的安全 级别属性，在实施访问控制时，系统先对访问主 体和受控对象的安全级别属性进行比较，再决定 访问主体能否访问该受控对象 每个主体和客体分配一个固定的安全级别，只有系统 管理员才可以修改 普密TchMNStud MN。 RBAC中通常定义不同的约束规则来对模型中的各种关系 进行限制，最基本的约束是“相互排斥”约束和“基本限制” 约束，分别规定了模型中的互斥角色和一个角色可被分配 的最大用户数。 RBAC中引进了角色的概念，用角色表示访问主体具有的 职权和责任，灵活地表达和实现了企业的安全策略，使系 统权限管理在企业的组织视图这个较高的抽象集上进行， 从而简化了权限设置的管理，从这个角度看，RBAC很好 地解决了企业管理信息系统中用户数量多、变动频繁的问 题。 一个基于角色的访问控制的实例 在银行环境中，用户角色可以定义为出纳员、分行管理 者、顾客、系统管理者和审计员 访问控制策略的一个例子如下： （1）允许一个出纳员修改顾客的帐号记录（包括存款和 取款、转帐等），并允许查询所有帐号的注册项 （2）允许一个分行管理者修改顾客的帐号记录（包括存 款和取款，但不包括规定的资金数目的范围）并允许查 询所有帐号的注册项，也允许创建和终止帐号 （3）允许一个顾客只询问他自己的帐号的注册项 （4）允许系统的管理者询问系统的注册项和开关系统， 但不允许读或修改用户的帐号信息 （5）允许一个审计员读系统中的任何数据，但不允许修 改任何事情 RBAC与传统访问控制的差别 增加一层间接性带来了灵活性 RBAC的优势 便于授权管理，如系统管理员需要修改系统设置等内 容时，必须有几个不同角色的用户到场方能操作，从 而保证了安全性。 便于根据工作需要分级，如企业财务部门与非财力部 门的员工对企业财务的访问权就可由财务人员这个角 色来区分。 便于赋于最小特权，如即使用户被赋于高级身份时也 未必一定要使用，以便减少损失。只有必要时方能拥 有特权。 便于任务分担，不同的角色完成不同的任务。 便于文件分级管理，文件本