《操作系统安全机制》PPT课件.ppt

第二章操作系统安全机制 江苏大学计算机学院 操作系统安全的主要目标 访问控制身份鉴别监督系统运行的安全性保证系统的安全性和完整性 普遍的安全机制 信任的功能性时间检测审计跟踪安全恢复 2 1标识与鉴别机制 用户标识 identification 用来标明用户身份 确保用户的惟一性和可辨认性的标志 一般选用用户名称和用户标识符 UID 来标明一个系统用户 名称和标识符均为公开的明码信息 用户标识是有效实施其他安全策略 如用户数据保护和安全审计的基础 通过为用户提供标识 TCB能使用户对自己的行为负责 用户鉴别 用户鉴别 authentication 用特定信息对用户身份 设备和其他实体的真实性进行确认 用于鉴别的信息是非公开的和难以仿造的 如口令 也称密钥 用户鉴别是有效实施其他安全策略的基础 三类信息用作身份标识和鉴别 用户知道的信息用户拥有的东西用户的生物特征利用其中的任何一类都可进行身份认证 但若能利用多类信息 或同时利用三类中的不同信息 会增强认证机制的有效性和强壮性 2 1 2密码 口令机制简单易行 但最为脆弱口令管理系统管理员的职责用户的职责口令实现要点 2 1 3生物鉴别方法 用户提供自己独有的生理或行为上的特点常见的指纹识别 2 2访问控制 用户进程是固定为某特定用户服务的 它在运行中代表该用户对客体资源进行访问 其权限应与所代表的用户相同 这一点可通过用户与主体绑定实现 用户与主体绑定 系统进程是动态地为所有用户提供服务的 它的权限随着服实对象的变化而改变 这需要将用户的权限与为其服务的进程的权限动态地相关联 这也就是说 一个进程在不同时刻对一个客体有不同的访问权限 取决于它当时所执行的任务 当进程在执行正常的用户态应用程序时 用户进程 它所拥有的权限与其代表的用户有关 当进程进行系统调用时 它开始执行内核函数 系统进程 此时运行在核心态 拥有操作系统权限 授权机制的功能 经典的计算机系统两种机制的关键点 当一个用户试图访问计算机系统时 认证机制首先标识与鉴别用户身份用户进入系统后 再由授权机制检查其是否拥有使用本机资源的权限及有多大的访问权限 授权机制的功能是授权和存取控制 其任务是 授权 确定给予哪些主体存取哪些客体的权力 确定存取权限 通常有 读 写 执行 删除 追加等存取方式 实施存取权限 认证和授权 2 2 2自主访问控制策略 本策略根据系统中信息属主指定方式或默认方式 即按照用户的意愿来确定用户对每一个客体的访问权限 这一点上对信息属主是 自主的 这样一来 它能提供精细的访问控制策略 能将访问控制粒度细化到单个用户 进程 按照系统访问控制策略实现的访问控制机制 能够为每个命名客体指定命名用户和用户组 并规定他们对客体的访问权限 没有访问权限的用户 只允许由授权用户指定其对客体的访问权 矩阵模型 设S为全体主体的集合 S s1 s2 sm 设O为全体客体的集合 O o1 o2 on 设R为全体权力的集合 R r1 r2 rl 记权力矩阵为 a11 a12 a1nS1a21 a22 a2nS2A o1 o2 on am1 am2 amnSm 自主访问控制模型 矩阵的每一行对应一个主体 每一列对应一个客体 行与列交叉点上的元素aij表示主体si对客体oj所拥有的所有权力的集合 当主体si要对客体oj进行访问时 访问控制机制检查aij 看主体si是否具有对客体oj进行访问的权力 以决定主体si是否可对客体oj进行访问 以及进行什么样的访问 自主性客体的属主有权将其客体的访问权力授予其它主体 或收回 自主访问控制模型 矩阵模型的实现基于矩阵列对需要保护的客体附件一个访问控制表 标明各拥有权力的主体的标识与权限 UNIX LINUX NT基于矩阵的行在每个主体上附件一个可访问的客体的明细表 权力表口令 自主访问控制模型 1 基于行的自主存取控制机制 在每个主体上都附加一个该主体可访问的客体明细表 根据表中信息的不同又可分成3种 1 权能表 用户可以把全能表拷贝给其他用户 也可以从其他用户取回 2 前缀表 对每个主体赋予前缀 Profiles 表 它包含受保护的客体名和主体对它的访问权限 每当主体访问某客体时 自主存取控制机制将检查主体的前缀是否具有它所请求的访问权 权限管理复杂 3 口令表 PasswordsList 在基于口令表的自主存取控制机制中 每个客体都有一个口令 主体在对客体访问前 必须向安全系统提供该客体的口令 如果正确便允许访问 2 基于列的自主存取控制机制 存取控制表ACL AccessControlList 是十分有效的自主访问控制机制 被许多系统采用 此机制如下实现 在每个客体上都附加一个可访问它的主体的明细表 表示存取控制矩阵 表中的每一项都包括主体的身份和主体对该客体的访问权限 ACL和优化ACL 3 自主存取控制机制实现举例 1 拥有者 同组同户 其他用户 模式2 存取控制表ACL 和 拥有者 同组同户 其他用户 结合模式在安全操作系统UNIXSVR4 1中 采用 存取控制表ACL 和 拥有者 同组同户 其他用户 结合的实现方法 ACL只对于 拥有者 同组同户 其他用户 无法分组的用户才使用 2 2 3强制访问控制策略 在强制访问控制机制下 系统内的每个用户或主体被赋予一个许可标记或访问标记 以表示他对敏感性客体的访问许可级别 同样 系统内的每个客体被赋予一个敏感性标记 sensitivitylabel 以反映该客体的安全级别 安全系统通过比较主 客体的相应标记来决定是否授予一个主体对客体的访问请求权限 实现多级安全访问控制机制 必须对系统的主体和客体分别赋予与其身份相对称的安全属性的外在表示 安全标签 它有两部分组成 安全类别 范畴 1 安全类别 有等级的分类 安全级别 也称密级 系统用来保护信息 客体 的安全程度 敏感性标签 客体的安全级别的外在表示 系统利用此敏感性标签来判定一进程是否拥有对此客体的访问权限 许可级别 进程 主体 的安全级别 用来判定此进程对信息的访问程度 许可标签 进程的安全级别的外在表示 系统利用进程的安全级别来判定此进程是否拥有对要访问的信息的相应权限 2 范畴 无等级概念 范畴是该安全级别信息所涉及的部门 公司内可以建立信息安全类别 ConfidentialRestricted 技术信息 Restricted 内部信息 Unrestricted 公开信息 军事部门的信息安全类别TopSecret 绝密 Secret 秘密 Confidential 机密 和Unclassified 公开 公司内的范畴 Accounting 财务部 Marketing 市场部 Advertising 广告部 Engineering 工程部 和Reserch Development 研发部 在公司内 财务部经理与市场部经理虽然级别相同 都是经理 但由于两人分属不同部门 财务部负责财务 市场部负责市场 从而 分属两个不同的范畴 Accounting Marketing 故市场部经理是不能够访问财务部经理的信息的 2 2 4基于角色的访问控制 BRAC介绍由IST的Ferraiolo等人在90年代提出 NIST成立专门机构进行研究 96年提出一个较完善的基于角色的访问控制参考模型RBAC96 BRAC的基本思想根据用户在一个组织中担任的角色来确定对其所的授权 BRAC是强制访问模型 不是DAC虽然一个用户担任一个角色后 便可以拥有该角色的权限 但是他不能将权限转授给别人 BRAC的基本概念RBAC的基本思想是根据用户所担任的角色来决定用户的在系统中的访问权限 一个用户必须扮演某种角色 而且还必须激活这一角色 才能对一个对象进行访问或执行某种操作 安全管理员 用户 角色 权限 指定 访问或操作 激活 BRAC的基本概念用户 User 访问计算机资源的主体 用户集合为U 角色 role 一种岗位 代表一种资格 权利和责任 角色集合为R 权限 permission 对客体的操作权力 权限集合为P 用户分配 UserAssignment 将用户与角色关联 用户分配集合为UA u r u U r R 用户u与角色r关联后 将拥有r的权限 BRAC的基本概念权限分配 PermissionAssignment 将角色与权限关联 权限分配集合为PA p r p P r R 权限p与角色r关联后 角色r将拥有权限p 激活角色 ActveRole 角色只有激活才能起作用 否则不起作用 通过会话激活角色 会话 Session 用户要访问系统资源时 必须先建立一个会话 一次会话仅对应一个用户 一次会话可激活几个角色 BRAC的基本机制RBAC的授权机制 a 分为两步 将用户分配给角色 将访问权限分配给角色b 授权要满足安全约束条件 最小特权原则 职责分离原则 角色互斥原则 角色激活限制原则c 角色分级 高级角色可以继承低级角色的访问权限 BRAC的基本机制RBAC用户与角色的关系 多对多关系 a 一个用户可担当多个角色b 一个角色可分配给多个用户角色和权限之间的关系 多对多的关系 a 一个角色可以拥有多个访问权限 b 不同的角色也可以拥有相同的权限 角色和角色的关系 分级关系 高级角色可以继承低级角色的访问权限 BRAC的基本机制角色分级a 角色分级是组织角色的一种自然方法 b 角色分级的结果将导致一个角色可以直接或间接地继承另一角色的访问权限 c 直接继承 相邻角色之间的继承 d 间接继承 非相邻角色之间的继承 角色分级 rolehierarchy 继承关系 高级角色 中间角色 高级角色 低级角色 低级角色 中间角色 中间角色 高级角色 BRAC的基本机制安全约束约束是设计高级安全策略的一个强有力的机制 各个环节施加安全约束 以实现不同的安全策略 可以定义在系统层 也可以定义在应用层 可以是事件触发的 也可以不是事件触发的 职责分离约束合理划分任务和相关权限 以保证多用户协同工作的安全性 如 公检法三权分立 互相配合 又互相监督 角色互斥约束如果一组角色是互斥的 那么一个用户或同一个访问权限只能被分配给其中的一个角色 利用角色互斥约束可实现职责分离 例如 一个人不能又当裁判员又当运动员 最小特权约束只给角色分配完成某工作所需的最小权力 角色激活约束激活数约束限制一个角色同时授权和激活的数目 如总经理只有1个 角色激活时间约束限制一个角色激活的时间 如岗位任期制 BRAC96模型BRAC96模型包括4个层次 BRAC0 基础模型BRAC1 在BRAC0的基础上增加了角色分级BRAC2 在BRAC0的基础上增加了角色和权限约束BRAC3 集成了BRAC1和BRAC2 BRAC3加强模型 BRAC0基础模型 BRAC2高级模型 高级模型BRAC1 BRAC96模型 用户U 角色B 权限P 用户分配 权限分配 分级 安全约束 会话 BRAC模型的优缺点便于授权管理 如系统管理员需要修改系统设置等内容时 必须有几个不同角色的用户到场方能操作 增强了安全性 便于处理工作分级 如 文件等资源分级管理 利用安全约束 容易实现各种安全策略 如最小特权 职责分离等 便于任务分担 不同角色完成不同的任务 MAC和DAC的应用 在C级操作系统中应用MAC访问控制模型在B级以上操作系统中将MAC和DAC联合应用 访问请求 MAC检查 DAC检查 拒绝访问 失败 通过 通过 接受访问 2 3最小特权管理 最小特权原则是系统安全中最基本的原则之一 所谓最小特权 LeastPrivilege 指的是 在完成某种操作时所赋予网络中每个主体 用户或进程 必不可少的特权 最小特权原则 则是指 应限定网络中每个主体所必须的最小特权 确保可能的事故 错误 网络部件的篡改等原因造成的损失最小 最小特权原则一方面给予主体 必不可少 的特权 这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作 另一方面 它只给予主体 必不可少 的特权 这就限制了每个主体所能进行的操作 最小特权原则要求每个用户和程序在操作时应当使用尽可能少的特权 而角色允许主体以参与某特定工作所需要的最小特权去签入 Sign 系统 被授权拥有强力角色 PowerfulRoles 的主体 不需要动辄运用到其所有的特权 只有在那些特权有实际需求时 主体才去运用它们 如此一来 将可减少由于不注意的错误或是侵入者假装合法主体所造成的损坏发生 限制了事故 错误或攻击带来的危害 它还减少了特权程序之间潜在的相互作用 从而使对特权无意的 没必要的或不适当的使用不太可能发生 这种想法还可以引申到程序内部 只有程序中需要那些特权的最小部分才拥有特权 在安全操作系统中 为了维护系统的正常运行及其安全策略库 管理员往往需要一定的特权直接执行一些受限的操作或进行超越安全策略控制的访问 特权是超越访问控制限制的能力 它和访问控制结合使用 提高了系统的灵活性 举例 对可执行文件赋予相应的特权集对于系统中的每个进程 根据其执行的程序和所代表的用户的用户 赋予相应的特权集 请求特权操作 将调用特权管理机制 判断该进程的特权级集中是否有这种操作特权 2 4可信通路 是用户能够借以直接同可信计算基TCB通信的一种机制 保障用户和内核的可信通信 实现方法 两台终端 一台做通常工作 一台用作与内核的硬连接仍然用同种终端 通过发信号 安全注意键SAK 给核心 2 5安全审计 安全审计就是对系统中有关安全的活动进行记录 检查及审核 主要目的 检测和阻止非法用户对计算机系统的入侵 并显示合法用户的误操作 审计机制是通过对日志的分析来完成的 日志就是记录的事件或统计数据 都能提供关于系统使用及性能方面的信息 主要作用 发现不安全因素 及时报警对违反安全规则的行为或企图提供证据对已受攻击的系统 可以提供信息帮助进行损失评估和系统恢复 审计系统的组成 日志记录的原则 在理想情况下 日志应该记录每个可能的事件 以便分析发生的所有事件 并恢复任何时刻进行的历史情况 但这样存储量过大 并且将严重影响系统的性能 因此 日志的内容应该是有选择的 一般情况下日志的记录应该满足如下的原则 1 日志应该记录任何必要的事件 以检测已知的攻击模式 2 日志应该记录任何必要的事件 以检测异常的攻击模式 3 日志应该记录关于记录系统连续可靠工作的信息 日志的内容 审计功能的启动和关闭使用身份鉴别机制将客体引入主体的地址空间删除客体管理员 安全员 审计员和一般操作人员的操作其他专门定义的可审计事件 日志系统根据安全要求记录上面事件的部分或全部 通常 对于一个事件 日志应包括事件发生的日期和时间 引发事件的用户 地址 事件 和源目的的位置 事件类型 事件成败等 记录机制 不同的系统可采用不同的机制记录日志 但大多情况可用系统调用Syslog来记录日志 也可用SNMP记录 下面简单介绍下Syslog Syslog由Syslog守护程序 Syslog规则集及Syslog系统调用三部分组成 如下图 安全审计分析 1 潜在侵害分析 日志分析应能用一些规则去监控审计事件 并根据规则发现潜在的入侵 2 基于异常检测的轮廓 确定正常行为轮廓 当日志中的事件违反它或超出他的一定门限 能指出将要发生的威胁 3 简单攻击探测 对重大威胁特征有明确描述 当攻击现象出现 能及时指出 4 复杂攻击检测 要求高的日志分析系统还应能检测到多部入侵序列 当攻击序列出现 能预测其发生的步骤 日志分析就是在日志中寻找模式 其主要内容 审计事件查阅 由于审计系统是追踪 恢复的直接依据 甚至是司法依据 因此其自身的安全性十分重要 审计系统的安全性主要是查阅和存储的安全 审计事件的查阅应该受到严格的限制 不能篡改日志 通常通过以下不同的层次来保证查阅的安全 1 审计查阅 审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能 2 有限审计查阅 审计系统只能提供对内容的读权限 因此应拒绝具有读以外权限的用户访问审计系统 3 可选审计查阅 在有限审计查阅的基础上限制查阅的范围 审计事件存储 审计事件的存储也有安全性的要求 具体有如下几种情况 1 受保护的审计踪迹存储 即要求存储系统对日志事件具有防护功能 防止未授权的修改和删除 并具有检测修改和删除的能力 2 审计数据的可用性保证 在审计存储系统遭受意外时 能防止或检测审计记录的修改 在存储介质存满或存储失败时 能确保记录不被破坏 3 防止审计数据丢失 在审计踪迹超过预定的门限或记满时 应采取相应的措施防止数据丢失 这种措施可以是忽略可审计事件 只允许记录有特殊权限的事件 覆盖以前记录 停止工作等等 1 NT审计子系统结构几乎WindowsNT系统中的每一项事务都可以在一定程度上被审计 可以在控制面板中 系统管理员可以根据各种用户事件的成功和失败选择审计策略 如登陆和退出 文件访问 权限非法和关闭系统等 WindowsNT使用一种特殊的格式存放它的日志文件 这种各式的文件可以被事件查看器Eventviewer读取 应用实例WindowsNT中的安全审计 WindowsNT的日志文件很多 但主要是系统日志 安全日志和应用日志三个 这三个审计日志是审计一WindowsNT系统的核心 默认安装时安全日志不打开 WindowsNT中所有可被审计的事件都存入了其中的一个日志 1 ApplicationLog 包括用NTSecurityauthority注册的应用程序产生的信息 2 SecurityLog 包括有关通过NT可识别安全提供者和客户的系统访问信息 3 SystemLog 包含所有系统相关事件的信息 察看器可以在Administrativetool程序组中找到 系统管理员可以使用事件察看器的Filter选项根据一定条件选择要查看的日志条目 查看条件条件包括类别 拥护和消息类型 1 NT审计子系统结构 应用实例WindowsNT中的安全审计 2 审计日志和记录格式WindowsNT的审计日志由一系列的事件记录组成 每一个事件记录分为三个功能部分 头 事件描述和可选的附加数据项 如下表显示了一个事件记录的结构 安全日志的入口通常由头和事件描述组成 记录头 事件描述 附加数据 时间记录头有下列域组成 1 日期 事件的日期标识 2 时间 事件的时间标识 3 用户名 表识事件是有谁触发的 4 计算机名 事件所在的计算机名 当用户在整个企业范围内集中安全管理时 该信息大大简化了审计信息的回顾 5 事件ID 事件类型的数字标识 在事件记录描述中 这个域通常被映射成一个文本表识 事件名 6 源 用来响应事件纪录的软件 源可以是一个应用程序 一个系统服务或一个设备驱动器 7 类型 事件严重性指示器 在系统和应用日志中 类型可以是错误 警告或信息 按重要性降序排列 8 种类 触发事件类型 主要用在安全日志中指示该类事件的成功或失败审计已经被许可 3 NT事件日志管理特征 WindowsNT提供了大量特征给系统管理员区管理操作系统事件日志机制 例如 管理员能限制日志的大小并规定当文档达到容量上限时 如何去处理这些文件 选项包括 用新纪录去冲掉最老的纪录 停止系统直到事件日志备受共清除 应用实例WindowsNT中的安全审计 4 NT安全日志的审计策略NT安全日志由审计策略支配 审计策略可以通过配置审计策略对话框中的选项来建立 NT的审计规则如下 既可以审计成功的操作 又可以审计失败的操作 1 登陆及注销 2 用户及组管理 3 文件及对象访问 4 安全性规则更改 5 重新启动 关机及系统级事件 6 进程追踪 7 文件和目录审计 5 管理和维护NT审计 通常情况下 WindowsNT不是将所有的事件都记录日志 而需要手动启动审计的功能 这是首先需要从开始菜单中选择程序 然后再选择管理工具 从管理工具子菜单选择用户管理器 显示出用户管理起窗口 然后从用户管理器的菜单中单击policies 策略 再单击audit 审计 审计策略窗口就出现了 接着选择单选框 auditthestevents 审计这些事件 最后选择需要启动事件的按OK 然后关闭用户管理器 值得注意的是在启动WindowsNT的审计功能时 需要仔细选择审计的内容 审计日志将产生大量的数据 因此较为合理的方法是首先设置进行简单审计 然后在监视系统的情况下逐步增加复杂的审计要求 当需要审查审计日志以跟踪网络或机器上的异常事件时 采用一些第三方提供的工具是一个叫有效率的选择 最后介绍一下WindowsNT的三个日志文件的物理位置 系统日志 systemroot system32 config sysevent evt安全日志 systemroot system32 config secevent evt应用程序日志 systemroot system32 config appevent evt 5 管理和维护NT审计 2 6存储保护 运行保护和I O保护 优秀的实体 硬件 保护设施是实现高效 安全 可靠的操作系统的基础 计算机硬件安全的目标是保证其自身的可靠性 并为操作系统提供基本的安全设施 保护方法 隔离操作系统的一个基本安全方法是隔离 把一个客体与其它客体隔离起来 物理隔离 不同的处理使用不同的物理设备 如 不同安全级别的处理输出使用不同的打印机 时间隔离 不同安全级别的处理在不同的时间执行 逻辑隔离 用户的操作在没有其它处理存在的情况下执行 操作系统限制程序的访问 以使该程序不能访问允许范围之外的客体 虚拟机是软件是运行在硬件之上 操作系统之下的支撑软件 可以使一套硬件运行多个操作系统 分别执行不同密级任务 密码隔离 用密码加密数据 以其它处理不能理解的形式隐藏数据 然而隔离仅仅是问题的一半 我们除了要对用户和客体进行隔离外 我们还希望能够提供共享 例如 不同安全级别的处理能调用同一个的算法或功能调用 我们希望既能够提供共享 而又不牺牲各自的安全性 隔绝当操作系统提供隔绝时 并发运行的不同处理不能察觉对方的存在 每个处理有自己的地址空间 文件和其它客体 操作系统限制每个处理 使其它处理的客体完全隐蔽 1 内存保护 常用的有 内存保护 运行保护和I O保护等 多道程序的最重要问题是阻止一个程序影响另一个程序的存储器 这种保护可以作成硬件机制 以保护存储器的有效使用 而且成本很低 1 固定地址界限 设置地址界限 使操作系统在界限的一边 而用户程序在界限的另一边 主要是阻止用户程序破坏操作系统的程序 这种固定界限方式的限制是死扳的 因为给操作系统预留的存储空间是固定的 不管是否需要 操作系统操作系统 硬件地址界限 操作系统用户程序 0 n 1 n 高 2 浮动地址界限 界限寄存器 fenceregister 它存储操作系统的端地址 与固定界限方式不同 这里的界限是可以变化的 每当用户程序要修改一个地