操作系统的安全.ppt

1、操作系统的安全问题,对操作系统安全的威胁： （1）以OS为手段，获得授权以外的或未授权的信息：它危害信息系统的保密性和完整性。 （2）以OS为手段，阻碍计算机系统的正常运行或用户的正常使用：它危害了计算机系统的可用性。 （3）以OS为对象，破坏系统完成指定的功能：除了电脑病毒破坏系统正常运行和用户正常使用外，还有一些人为因素或自然因素，如干扰、设备故障和误操作也会影响软件的正常运行。 （4）以软件为对象，非法复制或非法使用。,6.2 操作系统的安全控制,设计一个安全的操作系统，从技术上讲有四种安全方法，如隔离控制、访问控制、信息加密和审计跟踪。 操作系统采用的安全控制方法主要是隔离控制和访问控

2、制。 1、隔离控制 物理隔离。 时间隔离。 加密隔离。 逻辑隔离。 2、访问控制 访问控制是操作系统的安全控制核心。访问控制是确定谁能访问系统，能访问系统何种资源以及在何种程度上使用这些资源。访问控制包括对系统各种资源的存取控制。,6.2 操作系统的安全控制,存取控制解决两个基本问题：一是访问控制策略，二是访问控制机构。 访问控制策略是根据系统安全保密需求及实际可能而提出的一系列安全控制方法和策略，如“最小特权”策略。 访问控制策略有多种，最常用的是对用户进行授权。 访问控制机构则是系统具体实施访问控制策略的硬件、软件或固件。 访问控制的三项基本任务： 授权。 确定访问权限。 实施访问控制的权

3、限。,6.2 操作系统的安全控制,从访问控制方式来说，访问控制可分为以下四种： （1）自主访问控制：自主访问控制是一种普遍采用的访问控制手段。它使用户可以按自己的意愿对系统参数作适当修改，以决定哪些用户可以访问他们的系统资源。 （2）强制访问控制：强制访问控制是一种强有力的访问控制手段。它使用户与文件都有一个固定的安全属性，系统利用安全属性来决定一个用户是否可以访问某种资源。 （3）有限型访问控制：它对用户和资源进一步区分，只有授权的用户才能访问指定的资源。 （4）共享独占型访问控制：它把资源分成“共享”和“独占”两种。“共享”可以使资源为所有用户使用，“独占”只能被资源所有者使用。,6.2

4、操作系统的安全控制,访问控制的重要内容之一是用户身份识别。而口令字验证又是是用户身份识别的主要内容，口令字验证应注意： 在系统的问答题中尽量少透露系统、用户和口令字的信息。 用户可以加上附加的约束，如限制使用的时间和地点。 对口令字文件加密。 口令字要有一定的范围和长度，并由操作系统随机地产生。 应定期改变口令字。 使用动态口令字。 要选择容易记忆，但又难猜的口令。,6.3 自主访问控制,不要使用常用单词或名字，不要选用有特殊意义的口令，如生日、电话号码、银行帐号等。 不要在不同的机器上使用相同的口令。 不要将口令告诉他人或随便将口令手写在终端上。 自主访问控制是指基于对主体及主体所属主体组的

5、访问来控制对客体的访问，它是操作系统的基本特征之一。这种控制是自主的。 自主是指具有授予某种访问权力的主体能够自主地将访问权或访问权的某个子集授予其它主体。,6.3 自主访问控制,6.3.l 自主访问控制方法 目前，操作系统实现自主访问控制不是利用整个访问控制矩阵，而是基于矩阵的行或列来表达访问控制信息。 1基于行的自主访问控制 是在每个主体上都附加一个该主体可访问的客体的明细表。按照表内信息的不同，可以分为三种形式： （1）权力表，也叫权能，它是实现访问控制的一种方法。 （2）前缀表 ，包括受保护的客体名以及主体对它的访问权。 （3）口令 ，口令机制是按行表示访问控制矩阵的。,6.3 自主访

6、问控制,2基于列的自主访问控制 基于列的自主访问控制是对每个客体附加一份可访问它的主体的明细表。它有两种形式： （1）保护位 ：保护位机制不能完备地表达访问控制矩阵。 （2）访问控制表：每个客体（对象）有一张访问控制表，记录该客体可被哪些主体访问以及访问的形式。 6.3.2 自主访问控制的访问类型 自主访问控制机制中，有三种基本的控制模式。 1等级型 2有主型 3自由型,6.3 自主访问控制,6.3.3 自主访问控制的访问模式 在自主访问控制机制的系统中，可使用的保护客体基本有两类：文件和目录。 1文件 对文件常设置以下几种访问模式： （1）Read -Copy ：允许主体对客体进行读与拷贝的

7、访问操作 （2）Write-delete：允许主体用任何方式修改一个客体。 （3）Execute：允许主体将客体作为一种可执行文件而运行之。 （4） Null ：表示主体对客体不具有任何访问权。,6.3 自主访问控制,2目录 每个主体（用户）有一个访问目录。该目录用于记录该主体可访问的客体(对象）以及访问的权限，然而用户本身却不能接触目录。目录常作为结构化文件或结构化段来实现。是否对目录设置访问模式，取决于系统是怎样利用树结构来控制访问操作的。对目录的访问模式可以分为读和写-扩展。 （1）Read（读）:该模式允许主体看到目录实体，包括目录名、访问控制表以及该目录下的文件与目录的相应信息。 （

8、2）Write-EXpand（写 -扩展）：该访问模式允许主体在该目录下增加一个新的客体。也就是说，允许主体在该目录下生成与删除文件或子目录。,6.4强制访问控制,1“特洛伊木马”的威胁 一个“特洛伊木马”要进行攻击，一般需要以下条件： 必须编写一段程序或修改一个已存在的程序来进行非法操作，而且这种非法操作不能令程序的使用者起任何怀疑。这个程序对使用者来说必须具有吸收力。 必须使受害者能以某种方式访问到或得到这个程序，如将这个程序放在系统的根目录或公共目录中。 必须使受害者运行这个程序。一般利用这个程序代替某个受害者常用的程序来使受害者不知不觉地使用它。 受害者在系统中有一个合法的帐号。,6.

9、4强制访问控制,2防止“特洛伊木马”的非法访问 强制访问控制一般与自主访问控制结合使用，并实施一些附加的、更强的访问限制。一个主体只有通过了自主与强制访问控制检查后，才能访问某个客体。由于用户不能直接改变强制访问的控制属性，因此用户可以利用自主访问控制来防范其他用户对自己客体的攻击。强制访问控制则提供一个不可逾越的、更强的安全防护层，以防止其他用户偶然或故意滥用自主访问控制。要防止“特洛伊木马”偷窃某个文件，就必须采用强制访问控制手段。 减少“特洛伊木马”攻击成功的可能性方法。 （1）限制访问控制的灵活性 （2）过程控制,6.5 存储器的保护,存储器保护负责保证系统内各任务之间互不干扰；存储器

10、管理是为了更有效地利用存储空间。 6.5.1 存储器的保护方法 首先要对存储单元的地址进行保护，使得非法用户不能访问那些受到保护的存储单元 ； 其次要对被保护的存储单元提供各种类型的保护 。 最基本的保护类型是“读写”和“只读”。所谓“只读”，就是规定用户只能对那些被保护的存储单元中的内容进行读取，而不能进行其它操作。复杂一些的保护类型还包括“只执行”、“不能存取”等操作。不能存取的存储单元，若被用户存取时，系统要及时发出警报或中断程序执行。,6.5 存储器的保护,操作系统对内存的保护主要采用了逻辑隔离方法。 1界地址寄存器保护法 2内存标志法 3锁保护法 “锁”是指为存储区设置的特定数字。

11、使用锁保护方式具有以下优点： 因为不同的存储区可以分配相同的锁，因此用户可以用同一钥匙打开不连续的若干区域。 只要锁和钥匙定义不同的对应方案，就可以使钥匙具有不同的优先级。 4 特征位保护法 即在每一个存储单元的前面，设置 一组特征位,特征位,数据指令代码,6.5 存储器的保护,6.5.2 存储器的管理 1虚拟地址空间 的物理定位可变，每次调度该进程时，它的物理地址可能不同。在运行一个访问存储器的指令时，硬件设备首先根据指令中的某一数值或偏移量以及索引寄存器的值对虚拟地址进行某种运算，以识别出欲访问目标的物理地址。其运算的结果就是一个虚拟地址映射成一个物理地址。 2虚存映射 在一个大系统内，将

12、物理存储器分成固定大小的页，各个进程根据需要占用不同页数的物理存储器。设置一组映射寄存器, 每个寄存器指出一个页的物理首地址。这样，进程就可以通过这些映射寄存器来访问物理地址空间。,6.5 存储器的保护,3请求调页 一个进程占有比机器内存还大的虚拟存储空间，需采用请求调页机制，该机制将根据需要在辅存与内存之间移动某些页，它保证了进程所需的某些页没有驻留在内存时仍能正常运行。操作系统可以为进程构造一个页描述表，该表记录了进程所需的全部虚拟存储空间，表中可以设置一个“磁盘驻留”的标志，指明该页不在物理内存中而是驻留在磁盘上。当某一进程运行过程中所需的页不在内存中时，操作系统将中止该进程的运行，直至

13、内存中有空闲的页腾出时，再将所需页从磁盘中调入内存中的空闲页，并将页表中相应的项置为该空闲页，然后重新启动被中止的进程从断点处继续运行。,6.5 存储器的保护,4分段管理 在绝大部分系统中，一个进程的虚拟地址空间至少要被分成两部分或两个段：一个用于用户程序与数据，称为用户空间；另一个用于操作系统，称为系统空间。两者是静态隔离的，也是比较简单的。 6.5.3 虚拟存储器的保护 虚拟存储器一般都采用段页技术进行管理。一般情况下，整个虚拟存储器被划分成若干个段，每个段再被划分成若干页。如果在段、页描述中加入段、页保护信息，如对段或页可采取“只读”、“读写”等保护措施，当计算机执行指令时，系统便根据保

14、护类型检查这条指令的操作是否合法，如果不合法，就中断程序的执行。,6.6 操作系统的安全设计,6.6.1 操作系统的安全模型 1访问监控模型 最简单的安全模型，单级模型，是体现有限型访问控制的模型。它对每一个主体-客体对，只作“可”还是“否”的访问判定。这种模型论证比较脆弱，它所表达的安全需求没有特别详尽的说明。 2“格”模型 多级模型。把用户（主体）和信息（客体）进一步按密级和类别划分。访问控制根据“工作需要，给予最低权限”的原则，只有当主体的密级等于或高于客体，主体的类别等于或包含客体时，主体才能访问客体。,6.6 操作系统的安全设计,3Bell-La Padula模型 多级模型，它是保证

15、保密性基于信息流控制的模型。这种模型的访问控制遵循两条原则。 简单安全性原则，即主体的保密性访问级别支配客体的保密性访问级别，也就是说主体只能读密级等于或低于它的客体，主体只能从下读，而不能从上读。 星原则是客体的访问级别支配主体的访问级别，即主体只能写密级等于或高于它的客体。也就是说主体只能向上写，而不能向下写。星原则的目的是为了防上不可信的机密进程从不同等级或级别更高的机密文件中读出信息后，通过“向下写”来窃取系统的机密。,6.6 操作系统的安全设计,Padula模型目的在于防止信息泄漏，而不是防止主体对客体的非授权修改。它们只处理了信息的保密问题，而没有解决信息的完整性问题。 4Bibe

16、模型 从信息完整性的角度来看，显然必须禁止低访问级别的主体对高访问级别的客体进行访问，以免低访问级别的主体篡改高访问级别的信息（客体），于是就产生了Bibe模型。 Bibe模型是保证信息流完整性的控制模型，它把主体和客体按类似密级那样的完整级进行分类。完整级是一个由低到高的序列，其访问遵循“简单完整性”和“完整性星”两条原则。,简单完整性原则是主体的完整性访问级别支配客体的完整性级别。即主体只能向下写，而不能向上写。也就是说，主体只能写（修改）完整性级别等于或低于它的客体。 完整性星原则是客体的完整性访问级别支配主体的完整性访问级别，即主体只能从上读，而不能从下读。,6.6 操作系统的安全设计

17、,6.6.2 安全操作系统的设计原则 对用户标识和验证。 对内存的保护。 对文件和 I/O设备的访问控制。 对共享资源的分配控制。 保证系统可用性，防止某用户对系统资源的独占。 协调多进程间的通信、同步和并发控制，防止系统死锁。 所谓“安全操作系统设计”，就是指安全性必须在操作系统的各个部分予以考虑，安全性必须在操作系统开发的初期就予以考虑。,6.6 操作系统的安全设计,安全系统设计的一般原则如下： （1）最小权限原则 （2）完全性原则 （3）经济性原则 （4）公开性原则 （5）权限分离原则 （6）最小共同性原则 （7）易用性原则 （8）缺省安全原则,6.6 操作系统的安全设计,6.6.3 安

18、全操作系统的设计方法 1安全核心方法 安全核心方法运用最小权限原则和完全性原则，集中了操作系统中有关安全的主要功能。每次对被保护客体的访问，都要经过安全核心的检查。安全核心与其它部分隔离，自身又完整统一。这样，既便于做得紧凑，也便于测试验证，还便于修改。 2层次化方法 层次化设计方法是将操作系统分层，至少有硬件、核心、操作系统和用户进程四层。这种层次结构使得一个与安全有关的功能，由一系列在不同层次的几个模块来实现。,6.6 操作系统的安全设计,6.6.4 对系统安全性的认证 安全认证，就是对系统的安全性作测试验证，并评价其安全性所达到的程度的过程。安全认证的方法通常有三种：形式化验证（简称验证

19、方法）、非形式化鉴定（简称鉴定方法）和破坏性分析 。 1形式化验证 形式化验证就是运用程序正确性证明的方法。虽然现已开发出一些辅助程序正确性证明的工具，但这种方法复杂，而且非常费时。对于大型的系统，对那些不是为了接受形式化验证而开发的系统来说，几乎难以进行验证。总之，形式化验证方法可以确保系统的安全性，但却难以实现。,6.6 操作系统的安全设计,2鉴定方法 鉴定方法普遍，通常采用以下几种办法：（1）需求检验 （2）设计和编码检验 （3）单元和集成测试。总之，鉴定方法容易实现，但却不能达到百分之百的可信度。 3破坏性分析 破坏性分析是把一些对操作系统运用熟练和富有设计经验的专家组织起来，对被测试

20、的操作系统作安全脆弱性分析，专挑弱点和缺点。在实践中，常常要求系统具备以下六条安全准则： （1）安全方针 （2）主体标识 （3）客体标识 （4）可查性 （5）可信性 （6）持续性,6.7 I/O设备的访问控制方式,6.7.1 IO设备访问控制 操作系统一般是I/O操作的媒介。从访问控制的角度看，一个I/O指令应该包括以下内容：I/O设备名、受影响的介质和数据传输过程中所涉及的存储缓冲区的位置。 I/O访问控制最简单的方式是将设备与介质看作一个客体。由于所有的 I/O操作不是向设备写数据，就是从设备读数据，所以进行I/O操作的进程必须受到对设备读写两种控制。这意味着设备到介质间的路径可以不受什么

21、约束，而处理器到设备间的控制则需要施以一定的读写操作的访问控制。 从访问控制的角度看，硬件可以以四种方式支持I/O操作：可编程的I/O操作、非映射的 I/O操作、预映射 I/O操作和完全映射 I/O操作。,6.7 I/O设备的访问控制方式,可编程I/O是一种同步操作。在这种方式下，处理器直接控制向I/O设备传递或从I/O设备接收每一个数据。其它三种方式是直接存储器访问方式及其变种。在这几种方式下，处理器通知控制器进行某种冗长的I/O操作，处理器与控制器异步地进行等价的操作。 1可编程 1/O 可编程 I/O方式对设备进行访问控制是使用一个设备描述符表。它将一个虚设备名映射为一个物理设备名，犹如

22、将一个虚地址映射成一个实际物理地址，如下所示： 设备描述符,6.7 I/O设备的访问控制方式,2非映射I/O 非映射I/O是目前最普遍的一种直接进行存储器访问的 I/O类型。在这种方式中，软件向设备发送一个I/O命令，它描述了存储器中某个缓冲器的物理位置。设备可作为一个可信赖的主体对这个物理存储区进行读写操作。它仅能由操作系统产生，必须将虚拟缓冲区地址解释成实际的物理地址。 3预映射I/O 预映射I/O，也称虚拟I/O，它允许软件引用虚拟缓冲区地址。当调用 I/O指令时，处理器利用当前进程的描述符表以及映射寄存器，把这些虚拟地址解释成实际的物理地址，然后将得到的物理地址送给 I/O设备。它使得

23、操作系统从繁杂的地址解释与访问控制任务中释放出来了。,6.7 I/O设备的访问控制方式,4全映射I/O 全映射I/O对设备引用的每个存储区都能进行从虚拟地址到实际物理地址的解释，设备被认为是一个不可信赖的主体。它仅提供欲读写信息的存储区的虚拟地址。在安全防线内，解释硬件将把虚拟地址解释成实际的物理地址，并进行访问校验。 6.7.2 输入安全控制 建立输入安全控制，应检验数据的合法性和准确性。要进入系统的数据，必须按正确的格式与内容，先转换到该类机器可读的媒体里。,6.7 I/O设备的访问控制方式,1输人安全控制原则 输入安全控制应遵循以下基本原则： （1）自动控制应尽可能接近数据源，且不得重复控制。 （2）防止分散工作流程，控制应简单和易于维护。 （3）应提供控制操作说明文件，并汇编成册。 2程序安全控制 对程序安全可采用如下的检验方法： （1）记录计数 （2）极限校验 （3）运算验证 （4）标号检查,6.7 I/O设备的访