（通信与信息系统专业论文）操作系统安全技术研究及优化设计.pdf

p u 川人学倾l 学位论义 操作系统安争技术研究技优化嫂h 操作系统安全技术研究及优化设计 通信与信息系统专业 研究生王昆指导老师方勇 摘要 随着金融、政务、商务等重要信息网络与互联网互连，互联网这个全球性 的情息网络已经在政治、经济等方面起着越来越重要的作用。与此同时，这些 重要的信息网络系统面临入侵攻击的威胁，丽操作系统和应用服务程序的漏洞 正是攻击者实施攻击的基础。 操作系统是直接与计算机硬件打交道的基础软件，是计算机资源的直接管 理者，操作系统的安全性是其它应用软件安全性的根基，缺乏这个安全的根基， 构筑在其上的应用系统以及安全保障系统，如p k i 、机密性保护措施的安全性 将得不到根本保障。在网络环境中，网络安全依赖于各主机系统的安全可信， 没有操作系统的安全，就谈不上主机系统和网络系统的安全性。因此，操作系 统安全是整个计算机系统安全的基础，没有操作系统的安全，就不可能真诈解 决信息安全问题。 针对各式各样的威胁和攻击，我们必须采取有效的安全机制进行保护、防 御和反击。一个有效可靠的操作系统应具有很强的安全性，高可靠性，必须具 有相应的安全机制和保护措施，杜绝或限制天窗，隐蔽通道，特洛伊木马等对 系统构成的安全隐患；对系统中的信息资源提供足够的安全保护，防止未经授 权用户1 的滥用或毁坏。 本文首先介绍了信息系统中操作系统在信息安全中的地位，操作系统的主 要安全技术，以及操作系统的安全等级标准；详细讨论和研究了操作系统作为 信息系统的根基所面临的常见威胁和攻击，如登录欺骗、木马攻击、计算机病 毒等，对这些威胁和攻击的产生过程和方法作了深入的研究，为下一步的操作 叫川大学硕上学位论文 操作系统安全技术研究及优化设计 系统安全技术研究提出了安全需求；论文主要针对操作系统面临的威胁，在了 解了威胁产生的机理基础上，重点研究了现今的各项安全技术及实现，如操作 系统的用，。鉴别机制，访问控制机制，存储器保护和i 0 保护措施等，指出了 w 、1 鉴别机制中一些方案的不足并提出改进构想，对于基于口令用户鉴别的变 通方案中问题和答案的选择，提出一些实际应用注意事项，在保证用户鉴别可 靠性的前提下降低了用户使用该方案的难度，同时指出单一采用智能卡进行认 证的风险，提出结合安全口令进行双重认证的方法。 论文结合实际应用详细研究了当前广泛使用的w i n d o w s 2 0 0 0 操作系统的 安全机制和技术，安全系统组件，安全审计机制和安全登录鉴别过程， w i n d o w s 2 0 0 0 的保护对象；并针对w i n d o w s 2 0 0 0 提出综合应用安全技术的优 化方案，最后提出一个综合多项安全技术的系统安全模型；论文还对操作系统 安全技术进行了展望。 关键词：安全机制；威胁；用户鉴别；访问控制；安全标识 i i 塑型查堂堡主堂些堡苎 堡堡墨竺窒全垫查堑壅些垡些堡盐 a s t u d yo i lt h es e c u r i t yt e c h n i q u eo fo p e r a t i n g s y s t e ma n do p t i m i z i n gs c h e m e f i e l d ：c o m m u n i c a t i o na n dl n f o r m a t i o ns y s t e m p o s t g r a d u a t e ：w a n gk u ns u p e r v i s o r ：f a n gy o n g a b s t r a c t a l o n gw i t ht h ei m p o r t a n ti n f o r m a t i o nn e t w o r k si n t e r c o n n e c t e dw i t hi n t e r n e t ， s u c ha st h ef i n a n c e ，g o v e r n m e n ta f f a i r s ，c o m m e r c i a ia f f a i r s ，i n t e m e t 一一t h eg l o b a l i n f o r m a t i o nn e t w o r k s ，h a sa l r e a d yp l a y e dam o r ea n dm o r ei m p o r t a n tr o l e i nt h e a s p e c to fp o l i t i c sa n de c o n o m y m e a n w h i l e ，t h e s ei m p o r t a n ti n f o r m a t i o nn e t w o r k s y s t e m sf a c et h et h r e a ta t t a c k e di ni n v a s i o n ，a n dt h el o o p h o l eo fo p e r a t i n gs y s t e m s a n da p p l i c a t i o n si st h ef o u n d m i o no f a t t a c ki m p l e m e n t e db ya t t a c k e r o p e r a t i n gs y s t e mi st h eb a s i cs o f t w a r ed e a l i n gw i t ht h ec o m p u t e rh a r d w a r e d i r e c t l y ad i r e c ta d m i n i m r m o ro fc o m p u t e rr e s o u r c e s n l es e c u r i t yo fo p e r a t i n g s y s t e mi st h ef o u n d a t i o no fo t h e ra p p l i c a t i o ns o f t w a r es e c u r i t i e s l a c k e dt h i ss a f e f o u n d a t i o n ，a p p l i c a t i o ns y s t e m sa n ds e c u r i t ys y s t e m sc o n s t r u c t e do ni tc a r l n o tg e t t h eb a s i cg u a r a n t e e i nt h ee n v i r o n m e n to ft h en e t w o r k ，t h es e c u r i t yd e p e n d so nt h a t e v e r yh o s tc o m p u t e rs y s t e mc a l lb eb e l i e v e d ；w i t h o u ts e c u r i t yo ft h eo p e r a t i n g s y s t e m ，t h e r ew i l lb en o tt h es e c u r i t i e so fh o s tc o m p u t e rs y s t e m sa n dn e t w o r k s y s t e ms o ，t h es e c u r i t yo fo p e r a t i n gs y s t e mi st h ef o u n d a t i o no ft h ew h o l ec o m p u t e r s y s t e m i ft h e r ei sn o tt h es e c u r i t yo fo p e r a t i n gs y s t e m ，i tc a nn o tr e a l l ys o l v et h e p r o b l e mo fi n f o r m a t i o ns e c u r i t y i i i 四川大学硕士学位论文 操作系统安牟技术研究硬优化敬汁 t ot h et h r e a ta n da t t a c k ，w em u s ta d o p tt h ee f f e c t i v es e c u r i t ym e c h a n i s mt o p r o t e c t ，d e f e n da n ds t r i k eb a c k ag o o do p e r a t i n gs y s t e ms h o u l db ev e r y s t r o n g s e c u r i t i e s ，h i g hd e p e n d a b i l i t y ；a n dm u s th a v ec o r r e s p o n d i n gs e c u r i t ym e c h a n i s ma n d p r o t e c t i v em e a s u r et op r o h i b i to rl i m i tt h et r a p d o o r ，t r o j a nh o r s e ；a n do f r e re n o u g h s a f ep r o t e c t i o nt ot h ei n f o r m a t i o nr e s o u r c e st op r e v e n tt h ea b u s eo ft h eu n a u t h o r i z e d u s e r t h i st e x th a si n t r o d u c e dt h e i m p o r t a n c eo ft h eo p e r a i n g s y s t e mi n t h e i n f o r m a t i o ns y s t e ms e c u r i t ya tf i r s t ，t h em a i ns e c u r i t yt e c h n o l o g yo ft h eo p e r a t i n g s y s t e m ，a n dt h es e c u r i t yc l a s s i f i c a t i o ns t a n d a r d ；w eh a v ed i s c u s s e dt h ec o m m o n t h r e a ta n da t t a c kt h a tt h eo p e r a t i n gs y s t e mf a c e sa st h ef o u n d a t i o no ft h ei n f o r m a t i o n s y s t e mi nd e t a i l f o ri n s t a n c e ，t h et r o j a nh o r s ea t 【a c k ，l o g i nd e c e p t i o n ，c o m p u t e r v i r u s e t c t h ep r o c e s so f t h r e a ta n da t t a c kt ot h e s eh a sb e e nr e s e a r c h e dd e e p l y t h e s e c u r i t yd e m a n di sp r o p o s e df o rt h eo p e r a t i n gs y s t e ms e c u r i t yr e s e a r c h ；t ot h e t h r e a tt h eo p e r a t i n gs y s t e mf a c e d ，t h em a i n 、s e c u r i t yt e c h n o l o g ya n di m p l e m e n ta r e r e s e a r c h e do nt h eb a s i so fu n d e r s t a n d i n gt h em e c h a n i s mt h r e a t e n e dt op r o d u c e ，f o r i n s t a n c e ，u s e ra u t h e n t i c a t i o nm e c h a n i s m ，a c c e s sc o n t r o lm e c h a n i s m ，m e m o r y p r o t e c t i o na n di op r o t e c t i v em e a s u r e ，e t c s o m ed e f i c i e n c i e so ft h eu s e r a u t h e n t i c a t i o ns c h e m e sh a v eb e e np o i n t e do u ta n di m p r o v i n gi d e ai sb e e np u t f o r w a r d t ot h ec h o i c e so ft h eq u e s t i o na n da n s w e ri nt h ec h n l e n g e r e s p o n s e a u t h e n t i c a t i o n ，p r o p o s es o m ep r e c a u t i o n so fu s e s ，m a k ei te a s yf o rt h eu s eo f t h e s c h e m e ，p o i mo u tt h er i s ko fa u t h e n t i c a t i o nu s i n gi n t e l l i g e n tc a r ds i n g l ya tt h es a l n e t i m e ，p u tf o r w a r dt h em e t h o dt h a tc o m b i n ei n t e l l i g e n tc a r da n d s a f ep a s s w o r d t h es e c u r i t ym e c h a n i s ma n dt e c h n o l o g yo f w i n d o w s 2 0 0 0o p e r a t i n gs y s t e ma r e r e s e a r c h e di nd e t a i l ，i n c l u d e dt h es e c u r i t ys y s t e mc o m p o n e n t s ，s e c u r i t ya u d i t i n g m e c h a n i s ma n ds e c u r i t yl o g i n ，t h ep r o t e c t i n go b j e c t so fw i n d o w s 2 0 0 0 a n da n o p t i m i z i n gs c h e m ei sp r o p o s e df o rw i n d o w s 2 0 0 0 f i n a l l ys u m m a r i z ef u l l t e x ta n d o u t l o o kt e c h n o l o g y k e y w o r d s ：s e c u r i t ym e c h a n i s m ；t h r e a t ；u s e ra u t h e n t i c a t i o n ；a c c e s sc o n t r o s e c u r i t yi d e n t i f i e r s l v 四jj l 大学硕士学位论文 操作系统安全技术研究及优化设计 i 绪论 1 1 - 引言 随着科学技术进步的加快，尤其是国际互联网的出现和迅速发展，一个 全球性的信息社会e 在逐步形成。当今的数字世界，各种违背安全规则的情 况随处可见，泄密、破坏、犯罪事件对信息安全、经济安全甚至国家安全产 生越来越严重的影响。 目前攻击者主要分为个人猎奇者、计算机黑客、恶意的内部人员、商业 间谍、集团犯罪、恐怖分子、国家情报及军事机构。这些攻击者利用各种攻 击手段和工具，对信息安全造成了非常大也非常实际的威胁和破坏。 操作系统是唯一紧靠硬件的基本软件，其安全职能是其它软件安全职能 的根基，缺乏这个安全的根基，构筑在其上的应用系统以及安全系统的安全性 将得不到根本保障的，而且对数字信息世界的威胁是现实世界威胁的反映， 对数字系统的攻击与对应的对现实世界的攻击基本相同。但对数字信息世界 的攻击的特点是迅速、自动化及远程化，攻击技术和工具更容易传播。在物 理世界中的非常小的威胁，在数字世界中会变成巨大的威胁，且可能对国家 利益造成巨大损失。 面对各式各样的数字威胁和攻击，我们必须采取有效的安全机制进行保 护、防御和反击。一个有效可靠的操作系统应具有很强的安全性，高可靠性， 必须具有相应的安全机制和保护措施，杜绝或限制天窗，隐蔽通道，特洛伊 木马等对系统构成的安全隐患；对系统中的信息资源提供足够的安全保护， 防止未经授权用户的滥用或毁坏。只靠硬件不能提供充分的保护手段，必须 由操作系统的安全机制与相关硬件相结合才能提供强有力的保护。因此操作 系统安全是计算机信息系统安全的一个不可缺少的支柱，没有操作系统的安 全，信息的安全是“沙地上的城堡”，对操作系统安全技术进行研究具有重要 的意义“】。 四川i 大学硕士学位论文 操作系统安全技术研究及优化设计 1 , 2 操作系统安全概述 1 2 1 操作系统安全 操作系统是一时软件运行的基础，而绦作系统安全的含义则是在操作系统 的工作范围内，提供尽可能强的访问控制和审计帆制，在用户应用程序和系 统硬件资源之间进行符合安全策略的调度，限制非法的访问，在整个软件信 息系统的最底层进行安全保护。 一个安全的操作系统通常应具有这几个特征；( 1 ) 最小特权原则，即每个 特权用户只拥有能进行他工作的权力：( 2 ) 访问控制，包括机密性访阃控制和 完整性访问控制；( 3 ) 安全审计；( 4 ) 安全域隔离等。 只有在这些最底层的安全功能支持下，各种伪装成“应用软件”的病毒、木 马程序、网络入侵和人为非法操作才能被真正抵制，因为它们违背了操作系 统的安全规则，也就失去了运行的基础。 例如，某个蠕虫病毒，利用某个服务的漏洞，八侵系统，修改系统命令， 在t r a p 目录留下运行代码，窜改网页，再入侵别的服务器等等。而在安全操 作系统之下，我们可以限制一切未经授权的“陌生”代码改写系统命令配置 文件，让i m p 目录对任何人不可写，利用安全域隔离，限制每个服务进程的 “权限范围”，这样层层保护，病毒没有了生存的基础，自然不能对系统进行 破坏和传播。 再如，网站被黑客窜改、攻击的事件常见于新闻报道之中。被攻击的网站 往往是一些重要的政府、企业网站，如搜索引擎、政府网站、数据库查询网 站等等。这些网站一旦被攻击，不但有损形象，而且给网络的重要功能组织 带来破坏，经济损失不可估量。究其原因，很太程度上是因为黑客；4 用了网 站服务器操作系统存在的安全隐患，操作系统缺乏完善的访问控制机制，存 在越权用户等问题造成的。这些问题，无论使用各种反扫描工具、防火墙、 防病毒软件都是不能得到根本解决的。而对于使用安全操作系统的网站服务 器，利用自主访问控制和强制访问控制可以比较容易地实现对网页内容和应 器，利用自主访问控制和强制访问控制可以比较容易地实现对网页内容和应 用的保护。 四j i i 大学硕士学位论文 操作系统安全技术研究及优化设计 1 2 2 操作系统主要安全技术 通常，信息系统安全指信息在存取、处理、集散和传输中保持其机密- | 生、 完整性、可用性、可审计性和抗抵赖性2 1 。为实现这些信息安全目标，操作 系统需要采取多项安全机n , n 措施，阻止各项威胁和攻击，主要安全技术有 如下几个方面： 1 、用户鉴别 鉴别机制是操作系统安全机制的根基，分为内部和外部鉴别。外部鉴别用 于对一个登录系统的用户进行认证。内部鉴别主要用于系统进程的安全，实 现进程间数据的访问控制。操作系统通常采用用户鉴别机制验证登录入一台 计算机的用户，确认是哪一个用户登录进入，以便系统进行权限管理，实施 系统的访问控制，这个对想登录入系统的用户进行验证的过程称作用户鉴别。 2 、访问控制 访问控制是指系统中的主体( 如进程) 对系统中的客体( 如文件、目录等) 的 访问( 如读、写和执行等) 。用户只能根据自己的权限大小来访问系统资源，不 得越权访问。通常分为自主访问控制( d a c ) 和强制访问控制( m a c ) 。 3 、最小特权原则 降低超级用户的权力，设立系统管理员、安全管理员、安全审计员，防止 攻击者利用一个特权用户的身份获得对整个系统的控制。系统管理员的职责 是系统的日常运行维护，安全管理员管理安全属性等信息，安全审计员进行 审计的配置和审计信息维护。- , c o 特权角色的权力互不交叉，不允许同一用 户充当两种以上的特权角色。 4 、审计跟踪 审计是检测安全违规行为和入侵检测的辅助手段。以事件为驱动，记录有 关信息安全的各种行为。允许审计管理员灵活设定需审计的事件和范围，提 供方便的审计记录检索和查看功能。 5 、安全域隔离 通过安全域的划分制约可执行程序的可作用范围，限制恶意代码和错误操 作等对系统造成破坏，确保操作系统的正常运行服务。 6 、可信通路机制 该机制只能由有关终端操作人员或可信计算基启动，并且不能被不可信软 1 四川大学硕士学位论文 操作系统安全技术研究及优化设计 件模仿。例如，系统实现可信通路机制时，预定义一组“安全注意键”( 如l i n u x 的a l t + s y s r q + k ，w i n d o w s 2 0 0 0 平台的c t r l + a l t + d e l e t e ) 。当用户键入这组“安 全注意键”时，系统内核就关闭当前所有的用户进程( 包括特洛伊木马) ，重新 激活登录界面。这样用户就可以放心登录，防止诸如特洛伊木马等的欺诈行 为。 当前操作系统主要通过使用上述安全技术保障数据的机密性、完整性和可 用性。防止未经授权的访问及对信息的修改，并防止对授权用户服务的拒绝 或对未经授权用户服务的允许，实现对信息系统的保护。 1 2 3 操作系统安全等级4 】 美国国防部国家计算机安全中心于1 9 8 3 年制定了t c s e c ( t r u s t e d c o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ) ，用于商用操作系统、网络组件和可信应 用所达保护程度的安全等级范围，通常称为“橘皮书”，如表1 1 ： 表1 - 1 操作系统安全等级 安全等级 描述主要特征 计算机的软、硬件设计均基于正式的安全策略模型，可通过 a 1 验证设计 理论分析进行验证，生产过程和销售过程也绝对可靠，目前 尚无满足此条件的计算机产品 具有高度的抗侵入能力，可防篡改，进行安全审计事件的监 b 3 安全域 视，具备故障恢复能力 b 2 结构保护 提供结构化的保护措旎，对信息实现分类保护 b 1 标识安全保护允许带级别的访问控制，如一般、秘密、机密、绝密等 具备审计功能，不允许访问其他用户的内存内容和恢复其他 c 2 控制访问保护 用户已删除的文件 c l 自主安全保护用户可保护自己的文件不被别人访问，如典型的多用户系统 d 最小保护只提供最小保护，如p c 机 t c s e c 标准由可信任级别组成，更高一级的安全等级通过在低一级的安 全等级增加更严格的安全保护和验证要求来实现。没有操作系统能满足a l 安全等级。尽管一些安全操作系统达到了b 级安全等级，但对通用操作系统 4 幽川大学硕上学位论文 操作系统安全技术研究及优化设计 来说，c 2 级基本能满足实际运用。 c 2 级安全等级包括如下关键要求： 安全登录措腌 要求用户能被唯一识别，并只有通过某种方式的鉴别后才能访问计算机。 自主访问控制 允许资源的主人决定谁可以访问该资源和对该资源所做的操作，资源的 主人管理分配给一个用户或一组用户访问该资源的权限类别。 安全审计 提供检测和记录安全相关事件或任何创建、访问和删除系统资源的企图。 登录标识符记录所有用户的标识，可以跟踪实施未经授权行为的任何人。 对象重用保护 阻止用户访问另一用户已删除的数据或先前使用并已释放的内存。 b 1 级操作系统除上述机制外，还不允许文件的属主改变其许可权限。b 2 级操作系统要求计算机系统中所有对象都加标签，且给设备( 如磁盘、磁带 或终端) 分配单个或多个安全级别。 1 3 国内外研究现状与趋势 由于种种历史原因，国内在通用操作系统的研究上始终处于探索跟踪学 习阶段，至今没有广泛应用的成熟产品面世。大多的操作系统都由国外公司 组织开发，国内所做的仅仅在此基础上作改进或二次开发。由于国外公司的 技术垄断，我国在操作系统安全技术的研究上更是处于劣势。另一方面，在 安全操作系统的设计上，由于l i n u x 系统源代码的开放性，l i n u x 内核和g n u 工具套件都在g n u 通用公共许可证( g n ug e n e r a lp u b l i cl i c e n s e ，g n ug p l ) 下发行，使用其代码的用户可随意使用和实验它，因此大多安全操作系统开 发设计都以l i n u x 为基础。这样我们可以直接分析操作系统的底层内核，从 内核开始设计安全操作系统，真正地从底层开始安全机制的设计。 操作系统安全涉及许多方面，现今主要有两条路线：一是通过研究设计各 种安全机制，在通用操作系统中综合应用多项安全技术，逐步发展和完善， 从而实现操作系统的应用安全，达到c 2 安全等级：另一路线是设计安全操作 系统模型，从整体构架上设计全新的安全操作系统( 安全内核) ，达b 1 安全 四川大学硕士学位论文 操作系统安全技术研究及优化设计 等级。w i n d o w s 2 0 0 0 作为通用操作系统的典型代表，安全等级达c 2 级，满足 普通应用的基本安全需求。国内的安全操作系统大多以l i n u x 为基础开发， 如强林安全操作系统，红旗安全操作系统，安胜安全操作系统等，厂家声称 都能达到b l 安全等级。国外在安全操作系统设计方面，从最早期的m u l t i c s 开始尝试，经过不断的研究发展，先后出现了k s o s ，u c l as e c u r eu n i x l i n v s ，s e l i n u x 等安全操作系统，多安全策略支持框架现己成为研究的热点 问题。 1 4 本文组织构成 本文首先介绍了信息系统中操作系统在信息安全中的地位。操作系统作为 信息系统的根基，自身是否安全决定了上层应用是否真正安全，因此操作系统 的安全在整个信息安全中占有举足轻重的地位。本章简要介绍了操作系统的主 要安全技术，如用户鉴别、访问控制、最小特权原则等，并阐述了操作系统安 全等级标准之一t c s e c 标准。 第二章详细讨沦和研究了操作系统作为信息系统的根基所面临的常见威 胁和攻击。在这里讨论了针对操作系统机密性、完整性和可用性的威胁，以及 对入侵攻击者进行了分类。本章重点研究了如登录欺骗、木马攻击、计算机病 毒等对操作系统的攻击，对这些威胁和攻击的产生过程和方法作了深入的研 究，为下一步的操作系统安全技术研究提出了安全需求。 第三章主要针对操作系统面临的威胁，在了解了威胁产生的机理基础上， 重点研究了现今的各项安全技术及实现。本节详细研究了操作系统的用户鉴别 机制，分别讨论了基于口令的用户鉴别、基于物件的用户鉴别和基于生物特征 的用户鉴别，在访问控制机制方面，讨论了自主访问控制、强制访问控制和基 于角色的访问控制的基本原理和方法，最后介绍了存储器保护和i 0 保护措施 等。 第四章结合实际应用详细研究了当前广泛使用的w i n d o w s 2 0 0 0 操作系统 的安全机制和技术。介绍了w i n d o w s 2 0 0 0 的安全系统组件，保护对象，详细 分析了安全登录鉴别机制和过程以及安全审计机制。论文最后还对操作系统安 全技术进行了展望。 四川大学硕士学位论文操作系统安全技术研究及优化设计 论文指出了用户鉴别机制中一些方案的不足并提出改进构想，并对基于口 令用户鉴别的变通方案中问题和答案的选择，提出一些实际应用注意事项，在 保证用户鉴别可靠性的前提下降低了用户使用该方案的难度，同时指出单一采 用智能卡进行认证的风险，提出结合安全口令进行双重认证的方法。在对 w i n d o w s 2 0 0 0 安全组件分析后，提出将多项安全技术综合应用于w i n d o w s 2 0 0 0 的优化方案，最后提出一个综合多项安全技术的系统安全模型。 心川大学硕士学位论文 操作系统安全技术研究及优化设计 2 操作系统面临的威胁攻击 现实生活中，许多公司拥有非常重要的技术、商业、财务等信息，这些 信息对公司的经营活动会产生重大影响，时时发生的商业泄密事件给信息安 全敲响了警钟。传统的保密手段如加强大楼门卫管理，办公室和文件柜加锁， 只允许经授权的用户访问这些信息，然而随着越来越多的此类信息存贮进计 算机系统，增加新的安全保护措施变的更加重要。保护信息安全成为所有操 作系统关注的一个非常重要的方面。 2 1 操作系统安全环境 操作系统面临的威胁有多种形式，从内部攻击到外部的病毒入侵。许多攻 击最早源于破解者通过猜 9 1 | l 口令的手段进入一个特定系统开始，这类攻击通 常采用常用口令的字典攻击方式，令人惊奇的是，此类攻击常常成功。因此 口令安全成为操作系统安全的一个非常重要的方面。可采用一次性口令等方 法加强安全，也可采用智能卡和生物识别技术。视网膜扫描、语音和指纹识 别技术已在实际中应用。 常用攻击手段包括内存请求和侦听，非法系统调用，欺骗内部人员暴露 不应该暴露的信息等。 2 1 1 针对操作系统的威胁 对于计算机信息系统来说，实现系统安全通常有三个目标要求：机密性、 完整性和可用性。机密性即确保只有经授权的用户，才能允许存取文件数据。 由信息的主人来决定该信息对一定范围的用户开放，操作系统就应该保证未 经授权的用户不能访问此信息。对操作系统机密性的威胁即是未经授权的用 户访问受控的文件、使用不允许使用的硬件资源等。 数据的完整性即没有经数据主人的许可，未经授权的用户不能修改任何数 据文件。操作系统的数据修改包括改写系统的文件数据，删除文件，增加虚 假数据等。一个操作系统应该保证存贮在文件中数据的原始性，直至数据的 主人决定改变它为止。若不能达此目标，该操作系统就不适合用作信息系统。 8 四川大学硕士学位论文 操作系统安全技术研究及优化设汁 对完整性的威胁即是文件信息被未经授权的用户非法修改。 可用性即没有人能够进行扰乱破坏，从而使操作系统提供的服务变的不可 用。当前拒绝服务攻击已经变得很普通，经常发生某某网站遭受攻击不能被 访问的事件。向互联网服务器发送大量的访问请求，可以使服务器消耗掉所 有的c p u 时间用于检测和处理访问请求。假设服务器每处理一个访问网页的 请求开销1 0 0 微秒，任何人只要每秒发送1 0 0 0 0 次访问请求就可能形成拒绝 服务攻击。对付机密性和完整性攻击的可用模型和技术已可实际运用，然而 阻止拒绝服务攻击却要困难的多。 2 1 2 对操作系统攻击的入侵者 对一个信息系统实施入侵攻击，通常有两种不同的方式：被动攻击和主动 攻击。被动攻击者只是想读取未经授权访问的文件；主动攻击者更具有恶意， 经常篡改未经授权访问的文件数据。入侵者通常有下面几类： 1 、非技术型用户的不经意探查。许多用户的计算机都通过网络与文件服 务器连接以实现资源共享，然而由于人类的好奇天性决定，其中一些人就会 访问别人没有采取任何保护措施的电子邮件和其它文件。 2 、内部人员的窥视。当前，许多学生、系统编程人员、操作员和别的技 术人员等，都把入侵本地计算机系统作为一种个人挑战，这些人员通常有较 高超的技术水平并且有大量的可持续时间对系统实施攻击。此类攻击具有很 强的攻击力。 3 、为了金钱实施攻击。一些银行的内部员工，特别是编程人员，为了从 银行窃取钱财，通过更改程序，将舍去的余额转入到自己账上，或是窃取多 年不使用的账上钱财，有的甚至发送敲诈信件。 4 、商业或军事间谍。间谍通常由公司的竞争对手或外国政府支持，装备 精良，技术高超，主要窃取程序、商业秘密、先进技术，商业计划等。此类 间谍经常采用搭线窃取，使用高灵敏天线捕获电磁辐射以获取信息等。 2 1 3 文件数据丢失 除了恶意入侵者对文件数据的毁坏外，许多有价值的数据还可能因突发事 件而丢失，这些也可能对操作系统的可靠运行造成影响，甚至因系统文件的 9 四川大学硕士学位论文 操作系统安全技术研究及优化设计 丢失造成操作系统崩溃。如自然因素：地震、洪水、火灾等；硬件和软件错 误：c p u 失效、硬盘毁坏、程序缺陷等：人为错误：录入错误数据、加载磁 带错误、丢失硬盘和其它错误等。 为了防止数据的偶然丢失，通常会做大量的数据备份，并且远离数据源， 但同时更应注意数据备份遭受入侵威胁，以确保信息安全。通常在技术上可 采用加密数据的办法实现备份安全。 2 2 操作系统内部攻击 对于一个计算机系统来说，一旦有入侵者攻破防护措施登录进入操作系 统，他就可以开始破坏行为，如篡改文件数据，删除文件等。若计算机操作 系统的安全措施足够好，则该破坏行为只能对被攻破用户的相关信息进行操 作。 2 2 1 登录欺骗 通常，当一个u n i x 系统终端或局域网的工作站没有用户登录时，计算机 屏幕显示为登录界面，如图2 - 1 ： 图2 - 1u n i x 终端登录界面 此时，若一个用户想登入终端或工作站，他必须首先输入登录名，然后操 作系统响应要求输入登录口令，若输入的口令正确，则该用户就可登入系统， 开始和系统进行交互。 假设一个用户张三编写了一个程序同样显示为图2 1 的登录界面，看上去 1 0 四川大学硕士学位论文 操作系统安全技术研究及优化设汁 非常像一个系统的登录界面。当另一个用户李四坐下来输入登录名，此程序 响应要求输入登录口令并禁止回显，完全模拟一个真实的登录过程。这样李 四的登录名和口令就被记录下来写入一个文件中，假冒的登录程序接着再触 发真正的登录程序显示于屏幕上并向系统发送信号终结自身进程。李四的反 应可能认为自己输入了不正确的口令，接着再次输入登录，此时正常登录进 系统，然后开始工作。张三可以用同样的手段在系统的不同终端执行该程序， 从而收集更多的用户登录口令。 在w i n d o w s 2 0 0 0 平台，系统通过使用组合键方式来避免此类的登录欺骗。 w i n d o w s 2 0 0 0 系统设定了一个一般程序不能捕获的组合键c t r l + a l t + d e l e t e ， 一旦一个用户在一个终端面前按下此组合键c t r l + a l t + d e l e t e ，当前用户就被 系统强制登出，接着开始一个新的系统登录界面。 2 2 2 木马攻击 古希腊神话特洛伊木马是最著名的内部入侵攻击事件。在计算机系统中， 这种程序从表面上看没有什么，但是实际上却隐含着恶意企图，是操作系统 安全的重要威胁。木马由两部份组成，一个是服务器程序，一个是客户端控 制器程序，当你的计算机操作系统运行了服务器程序后，攻击者就可以使用 客户端控制器程序进入你的计算机系统，通过指挥服务器程序达到控制你的 计算机的目的。木马通常伪装成看似正常的应用程序，执行异常行为的代码 嵌入到程序中，一旦激活，就可以在远程客户端控制程序的操作下对计算机 进行用户文件的修改、删除或加密等，还可以将文件拷贝到攻击者以后可以 安全获取的地方，甚至将文件直接发送给攻击者，或是通过电子邮件或f t p 方式将文件传到一个临时安全隐蔽的地方。 特洛伊木马可以分为以下三个模式：( 1 ) 通常潜伏在正常的程序应用中， 附带执行独立的恶意操作；( 2 ) 通常潜伏在正常的程序应用中，但是会修改正 常的应用进行恶意操作；( 3 ) 完全覆盖正常的程序应用，执行恶意操作。 要想木马发挥作用，服务器端必须首先运行起来，因此须将代码植入看似 正常的程序中，欺骗被攻击者运行该程序，从而激活服务端。一个办法是将 程序作为免费软件放到互联网上，说是一个很好的新游戏、m p 3 播放器、或 是别的能吸引人注意的程序，让人下载安装试用。一旦下载安装，木马就被 型型查堂硕士学位论文操作系统安全技术研究及优化设计 激活，攻击者就可以用远程客户端控制程序对用户的计算机进行用户文件的 修改、删除，打开网络连接等，为所欲为。此类方式不需要木马的使用者首 先侵入被攻击者的计算机。 当然，还有别的方式欺骗受害者运行木马程序。在u n i x 系统平台，用户 都有一个环境变量，$ p a t h ，执行某个命令时，操作系统会按照$ p a t h 变量 所指示的目录路径进行指令的搜索，查找到以后就执行命令。假设一个用户 t o m 的路径目录如下： u s r s b i n ：u s r x ll i n c l u d e x 1i ：u s e r s t o m b i n ：u s r i o c a l ：b i n ：u s r b i n ：u s d i n c l u d e ：u s r x 11 l i b ：u s r l i b ：e t e ：u s r l e t e ：u s r l o e a l l b i n ：u s r l o b a l l l i b ：l u s r l o c a l l g a m e s 别的用户可能有不同的搜索路径。当用户t o m 执行一个程序如p a i n t 时， 系统首先查找u s r s b i n 目录下是否有p a i n t ，若有则执行程序。否则依次查找 u s r x 1 1 i n c l u d e x 1 1 。u s e r s t o m b i n 直至找完为止。假定一个攻击者将一个 木马程序同样命名为p a i n t ，并将程序放到某个目录下，当木马程序位于正常程 序前面的目录中时，则木马程序就会运行。木马程序运行后再调用后面的正 常程序，则用户根本不会发现木马已经运行。 2 2 3 逻辑炸弹 当前，公司员工的高流动性已经非常普遍，客观上为逻辑炸弹的发生创造 了条件。逻辑炸弹是公司当前的程序员编写的一段代码，并秘密植入产品的 操作系统中，此代码设定需每隔一定时间由该程序员输入一定的参数，该产 品的操作系统才能正常工作，并无异常发生。一旦该程序员突然被解雇，由 于逻辑炸弹定期得不到参数的输入，则恶意代码开始工作，系统遭受破坏。 一个典型案例如逻辑炸弹检查工资表，若逻辑炸弹的编制者的名字连续几个 发薪日没有出现在工资表上，则恶意代码开始对系统进行破坏。 恶意代码对系统的破坏包括删除整个硬盘的数据、随机删除部份文件、篡 改数据，加密关键数据等。此行为对银行金融等系统造成的破坏损失巨大， 更应加以防范。对于受害公司来说，是去报警还是再次雇用该员工，是一个 很艰难的抉择。报警对一个已经几个月的案件来说可能没有任何结果，并且 四川大学硕士学位论文 操作系统安全技术研究及优化设计 丢失的数据文件再也不可能恢复出来；不报警对犯罪屈服，并花高薪聘请这 个“顾问”来修复这个问题，但此时又很难防止他解决问题的同时又植入新 的逻辑炸弹。 2 2 4 系统后门 5 1 后门是由系统编程人员将特定的代码插入系统中，对某些特定的行为跳过 常规安全检查。例如，在操作系统安全登录程序中插入代码，当登录用户名 为“$ $ $ ”时，则跳过口令检查，而不管口令文件里该用户口令为多少， 任何人只要使用该登录用户名“$ $ $ ”，就可轻松进入系统。 在登录程序中实现安全检查可通过下面的程序片断( a ) 实现： w h i l e ( t r u e ) p r i n t f ( “l o g i n ：”) ； g e ts t r i n g ( n a m e ) ； d i s a b l e _ e c h o i n g ( ) ； p r i n t f ( p a s s w o r d ：”) ； g e t _ s t r i n 猷p a s s w o r d ) ； e n a b l e _ e c h o i n g ( ) ； v = c h e c kv a l i d i t y ( n a m e ，p a s s w o r d ) ； v = c h e c kv a l i d i t y ( n a m e ，p a s s w o r d ) ； i f ( v ) “$ $ $ ”) 一o ) b r e a k ； j e x e c u t es h e l l ( n a m e ) ； ( a ) w h i l e ( t r u e ) p r i n t f ( “l o g i n ：”) ； g e t _ s t r i n 甙n a m e ) ； d i s a b l e _ e c h o i n g ( ) ； p r i n f f ( p a s s w o r d ：”) ； g e ts t r i n g ( p a s s w o r d ) ； e n a b l e _ e c h o i n g ( ) ； f ( v l l s t r c m p ( n a m e ， b r e a k ； ) e x e c u t e _ s h e l l ( n a m e ) ； ( b ) 如果计算机生产厂商的一个程序员将代码( b ) 插入计算机中，替换掉代码 ( a ) ，此程序员就可通过输入登录用户名“$ $ $ ”进入该生产厂商生产的 u q 川大学硕士学位论文操作系统安全技术研究及优化瑷计