操作系統(tǒng)教程(第三版)

1、第七章 操作系統(tǒng)的安全與保護,7.1 安全性概述7.2 安全策略7.3 安全模型7.4 安全機制7.5 安全操作系統(tǒng)的設(shè)計和開發(fā) 7.6 實例研究：安全操作系統(tǒng)SELinux 7.7 實例研究：Windows 2000/XP安全機制,7.1 安全性概述,計算機安全性基本內(nèi)容是對計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)加以保護，不因偶然或惡意原因而造成破壞、更改和泄露，使計算機系統(tǒng)得以連續(xù)正常地運行。物理方面和邏輯方面 操作

2、系統(tǒng)安全性 、 網(wǎng)絡(luò)安全性 、 數(shù)據(jù)庫安全性,操作系統(tǒng)安全性主要內(nèi)容,安全策略。描述一組用于授權(quán)使用其計算機及信息資源的規(guī)則。安全模型。精確描述系統(tǒng)的安全策略，它是對系統(tǒng)的安全需求，以及如何設(shè)計和實現(xiàn)安全控制的一個清晰全面的理解和描述。安全機制。實現(xiàn)安全策略描述的安全問題，它關(guān)注如何實現(xiàn)系統(tǒng)的安全性，包括：認證機制(Authentication)、授權(quán)機制(Authorization)、加密機制(Encryptio

3、n)、審計機制(Audit)、最小特權(quán)機制(Least Privilege)等。,安全威脅來自這些方面,1硬件 2軟件 3數(shù)據(jù) 4網(wǎng)絡(luò)和通信線路,7.2 安全策略,7.2.1 安全需求和安全策略操作系統(tǒng)安全需求指設(shè)計一個安全操作系統(tǒng)時期望得到的安全保障，一般要求系統(tǒng)無錯誤配置、無漏洞、無后門、無特洛伊木馬等，能防止非法用戶對計算機資源的非法存取。,操作系統(tǒng)的安全需求,機密性(confidentiality)需求 為秘密數(shù)據(jù)提供

4、保護方法及保護等級的一種特性。完整性(integrity)需求 系統(tǒng)中的數(shù)據(jù)和原始數(shù)據(jù)未發(fā)生變化，未遭到偶然或惡意修改或破壞時所具有的一種性質(zhì)?？捎泿ば?accountability)需求 又稱審計，指要求能證實用戶身份，可對有關(guān)安全的活動進行完整記錄、檢查和審核，以防止用戶對訪問過某信息或執(zhí)行過某操作的否認 可用性(availability)需求 防止非法獨占資源，每當合法用戶需要時保證其訪問到所需信息，為其提供所需服務(wù)。,安全

5、策略和安全系統(tǒng),安全策略指用于授權(quán)使用其計算機及信息資源的規(guī)則、即有關(guān)管理、保護、分配和發(fā)布系統(tǒng)資源及敏感信息的規(guī)定和實施細則。一個系統(tǒng)可以有一個或多個安全策略，其目的是使安全需求得到保障。 一個計算機系統(tǒng)是安全系統(tǒng)，是指該系統(tǒng)達到了設(shè)計時所制定的安全策略的要求，一個安全的計算機系統(tǒng)從設(shè)計開始，就要考慮安全問題。安全策略是構(gòu)建可信系統(tǒng)的堅實基礎(chǔ)，而安全策略的制定取決于用戶的安全需求。,安全策略分成兩類,(1)軍事安全策略 主要目的是

6、提供機密性，同時還涉及完整性、可記帳性和可用性。用于涉及國家、軍事和社會安全部門等機密性要求很高的單位，一旦泄密將會帶來災(zāi)難性危害。(2)商業(yè)安全策略 主要目的是提供完整性，但不是惟一的，也涉及機密性、可記帳性和可用性。它要滿足商業(yè)公司的數(shù)據(jù)不被隨意篡改。例如，一個銀行的計算機系統(tǒng)受到完整性侵害，客戶賬目金額被改動，引起金融上的嚴重后果。,一個基本概念--TCB,操作系統(tǒng)的安全依賴于具體實施安全策略的可信軟件和硬件，計算機系統(tǒng)內(nèi)安全

7、保護裝置的總體，包括硬件、固件、可信軟件和負責執(zhí)行安全策略的管理員的組合體稱為可信計算基TCB(Trusted Computing Base)，它建立了一個基本的保護環(huán)境并提供一個可信計算機系統(tǒng)所要求的附加用戶服務(wù)。,TCB的組成,操作系統(tǒng)的安全內(nèi)核、具有特權(quán)的程序和命令、處理敏感信息的程序、實施安全策略的有關(guān)文件、相關(guān)的固件、硬件和設(shè)備、固件和硬件的診斷程序、安全管理員等。TCB的軟件部分是安全操作系統(tǒng)的核心，它能完成以下任務(wù)：內(nèi)核

8、的安全運行、標識系統(tǒng)中的每個用戶、保持用戶到TCB登錄的可信路徑、實施主體對客體的訪問控制、維護TCB功能的正確性和監(jiān)視及記錄系統(tǒng)中發(fā)生的有關(guān)事件。,7.2.2 訪問支持策略,這類安全策略是為了把系統(tǒng)中的用戶與訪問控制策略中的“主體”掛起鉤來，用戶欲進入系統(tǒng)必須要經(jīng)過“身份認證”，確保試圖訪問資源的主體實際上就是他聲稱的主體，于是他才能成為系統(tǒng)中的合法用戶，才能訪問被授權(quán)的相應(yīng)資源。,(1)標識與鑒別,1)用戶標識(identifica

9、tion)：用來標明用戶身份，確保用戶的惟一性和可辨認性的標志，一般選用用戶名稱和用戶標識符(UID)來標明一個系統(tǒng)用戶，名稱和標識符均為公開的明碼信息。用戶標識是有效實施其他安全策略，如用戶數(shù)據(jù)保護和安全審計的基礎(chǔ)。通過為用戶提供標識，TCB能使用戶對自己的行為負責。2)用戶鑒別(authentication)：用特定信息對用戶身份、設(shè)備和其他實體的真實性進行確認，用于鑒別的信息是非公開的和難以仿造的，如口令(也稱密鑰)。用戶鑒別是

10、有效實施其他安全策略的基礎(chǔ)。,三類信息用作身份標識和鑒別,用戶知道的信息用戶擁有的東西用戶的生物特征利用其中的任何一類都可進行身份認證，但若能利用多類信息，或同時利用三類中的不同信息，會增強認證機制的有效性和強壯性。,(2)可記帳性,要求任何影響系統(tǒng)安全性的行為都被跟蹤和記錄在案，安全系統(tǒng)擁有把用戶標識與它被跟蹤和記錄的行為聯(lián)系起來的能力。審計信息必須有選擇性的保留和保護，所有與安全相關(guān)的事件記錄在審計日志文件中，所有審計數(shù)據(jù)必

11、須防止受到未授權(quán)的訪問、修改和破壞，以作為日后對事件調(diào)查的依據(jù)。審計系統(tǒng)能記錄以下事件：和標識與鑒別機制相關(guān)的事件、將客體導入用戶地址空間的操作、刪除客體、系統(tǒng)管理員執(zhí)行的操作及其他與安全相關(guān)的事件。,(2)確切保證和連續(xù)保護,確切保證指系統(tǒng)事先制定的安全策略能得到正確執(zhí)行并且安全系統(tǒng)能正確可靠地實施安全策略的意圖，為此，把住安全系統(tǒng)從設(shè)計、開發(fā)、安裝和維護的各個環(huán)節(jié)，基于硬件、固件、軟件來保證系統(tǒng)內(nèi)信息的安全，防止可能造成的保護機制

12、失效或被旁路的未授權(quán)的改變。連續(xù)保護策略要求安全系統(tǒng)必須連續(xù)不斷地保護系統(tǒng)免遭篡改和非授權(quán)改變，如果用來實現(xiàn)安全策略的基礎(chǔ)硬件、固件、軟件自身容易受到篡改和破壞，那么沒有任何一種計算機系統(tǒng)是安全的，也就不可能實現(xiàn)連續(xù)保護。,(3)客體重用,指重新分配給某些主體的介質(zhì)，如頁框、磁帶、盤塊、軟盤、可擦光盤等，為達到安全地再分配的目的，在TCB安全控制范圍內(nèi)的存儲介質(zhì)作為系統(tǒng)資源被動態(tài)再分配給新主體時，必須確保其中不能包含任何客體殘留信息，

13、以防止造成泄密。所以，可信計算基TCB應(yīng)確保：1)非授權(quán)用戶不能查找在使用后返還系統(tǒng)的資源中的內(nèi)容；2) 非授權(quán)用戶不能查找現(xiàn)已分配給他的資源中以前的內(nèi)容；3)系統(tǒng)應(yīng)確保數(shù)據(jù)未被未授權(quán)用戶修改過；4)系統(tǒng)自身和系統(tǒng)中的數(shù)據(jù)應(yīng)保持準確和一致地反映用戶意圖的狀態(tài)。,(5)隱蔽信道分析,是指可以被進程用來以違反系統(tǒng)安全策略的方式進行非法傳輸信息的通信通道，有兩類隱蔽信道：存儲隱蔽信道和時間隱蔽信道。,(6)可信路徑和可信恢復(fù),可信路徑是一種

14、實現(xiàn)用戶與可信計算基TCB之間進行直接交互作用的機制，當連接用戶時(如登錄、更改主體安全級)，可信計算基TCB應(yīng)提供它與用戶之間的可信的通信路徑，該路徑上的通信只能由用戶和TCB激活，不能由其他軟件(惡意軟件)模仿，且在邏輯上與其他路徑上的通信隔離，并能正確加以區(qū)分。,7.2.3 訪問控制策略,1.   訪問控制屬性與訪問控制策略相關(guān)的因素有三類：主體、客體和主客體屬性。(1)主體 是主動的實體，是系統(tǒng)內(nèi)行為的發(fā)

15、起者，通常它是用戶和代表用戶的進程，系統(tǒng)中所有事件請求幾乎都是由主體激發(fā)的。系統(tǒng)的合法用戶可分成： ·普通用戶(進程)， ·信息屬主(進程)， ·系統(tǒng)管理員(進程)，,(2)客體,是一個被動的實體，是系統(tǒng)內(nèi)所有主體行為的直接承擔者，它常被分成：1)一般客體，系統(tǒng)內(nèi)以具體形式存在的信息實體，如文件、目錄、數(shù)據(jù)和程序等。2)設(shè)備客體，指系統(tǒng)內(nèi)的硬件設(shè)備，如磁盤、磁帶、顯示器、打印機、網(wǎng)絡(luò)節(jié)點等。3

16、)特殊客體，有時一些進程是另外一些進程行為的承擔者，那么，這類進程也是客體的一部分。,(3)主客體屬性 (敏感標記),是TCB維護與可被外部主體直接或間接訪問到的計算機信息系統(tǒng)資源相關(guān)的敏感標記，這些安全標記是實施自主或強制訪問的基礎(chǔ)。,1)主體屬性,它是用戶特征，是系統(tǒng)用來決定訪問控制的常用因素，一個用戶的任何一種屬性都可作為訪問控制決策點，一般系統(tǒng)訪問控制策略中常用的用戶屬性有：a)用戶ID/用戶組ID：b)用戶訪問許可級別：

17、C)用戶需知屬性： d)角色： e)權(quán)能列表：,2) 客體屬性,與系統(tǒng)內(nèi)客體相關(guān)聯(lián)的屬性也作為訪問控制策略的一部分，客體安全屬性有：a)敏感性標記：信息按“安全等級”進行分類，如“公開信息”、“機密信息”、“秘密信息”、“絕密信息”；還可將系統(tǒng)內(nèi)的信息按非等級分類，進行模擬人力資源系統(tǒng)的劃分，稱“范疇”，如參謀部、作戰(zhàn)部、后勤部等，系統(tǒng)內(nèi)信息的敏感性標記由等級與非等級兩部分組成：敏感性級別和范疇。,b)訪問控制列表,與客體相

18、關(guān)聯(lián)的有一個“訪問控制列表”，用來指定系統(tǒng)中哪些用戶和用戶組可以以何種模式訪問該客體的一種列表。,其他,3)外部狀態(tài)： 4)數(shù)據(jù)內(nèi)容和上下文環(huán)境：,(4)用戶與主體綁定,用戶進程是固定為某特定用戶服務(wù)的，它在運行中代表該用戶對客體資源進行訪問，其權(quán)限應(yīng)與所代表的用戶相同，這一點可通過用戶與主體綁定實現(xiàn)。系統(tǒng)進程是動態(tài)地為所有用戶提供服務(wù)的，它的權(quán)限隨著服實對象的變化而改變，這需要將用戶的權(quán)限與為其服務(wù)的進程的權(quán)限動態(tài)地相關(guān)聯(lián)。這也就

19、是說，一個進程在不同時刻對一個客體有不同的訪問權(quán)限，取決于它當時所執(zhí)行的任務(wù)。當進程在執(zhí)行正常的用戶態(tài)應(yīng)用程序時(用戶進程)，它所擁有的權(quán)限與其代表的用戶有關(guān)；當進程進行系統(tǒng)調(diào)用時，它開始執(zhí)行內(nèi)核函數(shù)(系統(tǒng)進程)，此時運行在核心態(tài)，擁有操作系統(tǒng)權(quán)限。,2 自主訪問控制策略,本策略根據(jù)系統(tǒng)中信息屬主指定方式或默認方式、即按照用戶的意愿來確定用戶對每一個客體的訪問權(quán)限，這一點上對信息屬主是“自主的”。這樣一來，它能提供精細的訪問控制策略，能

20、將訪問控制粒度細化到單個用戶(進程)。按照系統(tǒng)訪問控制策略實現(xiàn)的訪問控制機制，能夠為每個命名客體指定命名用戶和用戶組，并規(guī)定他們對客體的訪問權(quán)限，沒有訪問權(quán)限的用戶，只允許由授權(quán)用戶指定其對客體的訪問權(quán)。,4 強制訪問控制策略,在強制訪問控制機制下，系統(tǒng)內(nèi)的每個用戶或主體被賦予一個許可標記或訪問標記，以表示他對敏感性客體的訪問許可級別；同樣，系統(tǒng)內(nèi)的每個客體被賦予一個敏感性標記(sensitivity label)，以反映該客體的安全級

21、別。安全系統(tǒng)通過比較主、客體的相應(yīng)標記來決定是否授予一個主體對客體的訪問請求權(quán)限。,7.3 安全模型,7.3.1 安全模型概述 安全模型是對安全策略所表達的安全需求的精確、無歧義抽象描述，在安全策略與安全機制的關(guān)聯(lián)之間提供一種框架。安全模型本身描述了安全策略需用哪種機制滿足，模型的實現(xiàn)描述了如何將特定機制應(yīng)用于系統(tǒng)中，從而，實現(xiàn)某種安全策略所需的安全與保護。 安全模型分為：形式化和非形式化兩種，非形式化安全模型僅模擬系統(tǒng)的安全

22、功能，其開發(fā)過程為：從安全需求出發(fā)，推出功能規(guī)范，再實現(xiàn)安全系統(tǒng)，其間主要采用了論證與測試技術(shù)；而形式化安全模型使用數(shù)學模型來精確地描述安全性及其在系統(tǒng)中使用的情況，其開發(fā)途徑為：建立抽象模型，推出形式化規(guī)范，通過證明方法來實現(xiàn)安全系統(tǒng)。,安全模型分類,安全模型分為：形式化和非形式化兩種，非形式化安全模型僅模擬系統(tǒng)的安全功能，其開發(fā)過程為：從安全需求出發(fā)，推出功能規(guī)范，再實現(xiàn)安全系統(tǒng)，其間主要采用了論證與測試技術(shù)；而形式化安全模型使用數(shù)

23、學模型來精確地描述安全性及其在系統(tǒng)中使用的情況，其開發(fā)途徑為：建立抽象模型，推出形式化規(guī)范，通過證明方法來實現(xiàn)安全系統(tǒng)。,形式化開發(fā)途徑,開發(fā)安全系統(tǒng)首先必須建立安全模型，通過形式化安全模型來模擬安全系統(tǒng)，從而，可以正確地綜合系統(tǒng)的各類因素，如使用方式、應(yīng)用環(huán)境類型、授權(quán)的定義、共享的客體(系統(tǒng)資源)、共享的類型等，所有這些因素構(gòu)成安全系統(tǒng)的形式化抽象描述，使得系統(tǒng)可以被證明是完整的、反映真實環(huán)境的、邏輯上能實現(xiàn)程序受控制的執(zhí)行的。,狀

24、態(tài)機模型,在當前技術(shù)條件下，安全模型都采用狀態(tài)機模型，該模型將系統(tǒng)描述成一個抽象的數(shù)學狀態(tài)機器，狀態(tài)變量表示機器的狀態(tài)；轉(zhuǎn)移函數(shù)或操作規(guī)則描述狀態(tài)變量的變化過程，它是對系統(tǒng)應(yīng)用通過請求系統(tǒng)調(diào)用來影響操作系統(tǒng)狀態(tài)的這種方式的抽象。,7.3.2 幾種安全模型簡介,對狀態(tài)機模型進行改進，一類是把系統(tǒng)狀態(tài)中與安全相關(guān)的因素概括在一個訪問矩陣中；另一類引入“格”概念，它是一個有限偏序集，有最小上界和最大下界操作符的數(shù)學結(jié)構(gòu)，利用格的性質(zhì)來約束

25、安全系統(tǒng)中的變量，以實現(xiàn)多級安全策略，安全模型分成：基于訪問控制矩陣的安全模型和基于格的安全模型。,(1)Lampson訪問控制矩陣模型,客體被認為是存儲器，訪問控制檢查不基于存儲的內(nèi)容值而是基于系統(tǒng)的狀態(tài)，系統(tǒng)狀態(tài)中與安全相關(guān)的因素概括在訪問矩陣中，由三元組(S,O,M)決定，訪問權(quán)限集包含讀、寫、追加、修改和執(zhí)行等。系統(tǒng)中狀態(tài)的改變?nèi)Q于訪問矩陣M的改變，一個獨立的狀態(tài)機構(gòu)成一個系統(tǒng)，因而，訪問矩陣也稱為系統(tǒng)的“保護狀態(tài)”。系統(tǒng)

26、中所有主體對客體的訪問均由“引用監(jiān)視器”控制，它的任務(wù)是確保只有那些在訪問矩陣中獲得授權(quán)的操作才被允許執(zhí)行。,(2)Graham-Denning模型,此模型的保護性能更具有一般性，對主體集合S、客體集合O、權(quán)力集合R和訪問控制矩陣A進行操作。主體有一行，每個主體及所有客體都有一列，一個主體對于另一個主體或?qū)τ谝粋€客體的權(quán)力用矩陣元素的內(nèi)容來表示。對于每個客體，標明為“擁有者”的主體有特殊權(quán)力；對于每個主體，標明為“控制者”的另一主體有

27、特殊權(quán)力。本模型中，設(shè)計了8個基本保護權(quán)，構(gòu)造一個保護系統(tǒng)的訪問控制機制模型所必需的性質(zhì)，這些權(quán)力被表示成主體能夠發(fā)出的命令，作用于其他主體或客體。,(3)Harrison-Ruzzo-Ullman模型,,(4)Bell-LaPadula模型,是最早和最常用的適用于軍事安全策略的操作系統(tǒng)多級安全模型，其目標是詳細說明計算機的多級安全操作規(guī)則。BLP模型中，將主體定義為能發(fā)起行為的實體，如進程；將客體定義為被動的主體行為的承擔者，如文件、

28、目錄、數(shù)據(jù)；將主體對客體的訪問分為：只讀、讀寫、只寫、執(zhí)行、控制等訪問模式，控制是指主體用來授予或撤銷另一主體對某客體的訪問權(quán)限的能力。,BLP模型的安全策略,包括：自主安全策略和強制安全策略，前者使用一個訪問矩陣表示，其中，第i行第j列的元素Mij 表示主體Si對客體Oj的所有允許的訪問模式，主體只能按在訪問矩陣中被授予對客體的訪問權(quán)限對客體進行訪問；后者包括簡單安全特性和*特性，系統(tǒng)對所有主體和客體都分配一個訪問類屬性，包括主體和

29、客體的密級和范疇，系統(tǒng)通過比較主體和客體的訪問類屬性控制主體對客體的訪問。,BLP模型兩條基本規(guī)則,1)簡單安全特性規(guī)則 一個主體對客體進行讀訪問的必要條件是主體的安全級支配客體的安全級、即主體的安全級別不小于客體的保密級別，主體的范疇集包含客體的全部范疇，或者說主體只能向下讀，不能向上讀。2)*特性規(guī)則 一個主體對客體進行寫訪問的必要條件是客體的安全級支配主體的安全級、即客體的保密級別不小于主體的保密級別，客體的范疇集包含主體的全部

30、范疇，或者說主體只能向上寫，不能向下寫。,多級安全規(guī)則,,(5)D.Denning信息流模型,有些信息泄露問題(如隱蔽信道)不是因為訪問控制機制不完善，而是由于缺乏對信息流的必要保護引起的。在系統(tǒng)中，一個主體S能否獲得資源R所包含的信息?這種情況下，主體S不必具有對R的實際訪問權(quán)限，信息可能經(jīng)由其他主體到達S，或者信息只是簡單地被復(fù)制到S可以訪問的資源中。,控制原理,信息流模型是存取控制模型的一種變形，它不檢查主體對客體的存取，而是試圖

31、控制從一個客體到另一個客體的信息傳輸過程，根據(jù)兩個客體的安全屬性來決定是否允許當前操作的執(zhí)行。隱蔽信道的核心是低安全級主體對高安全級主體所產(chǎn)生的信息的間接存取，信息流分析能保證操作系統(tǒng)在對敏感信息存取時，不會把數(shù)據(jù)泄露給調(diào)用者。,7.4 安全機制,優(yōu)秀的硬件保護設(shè)施是實現(xiàn)高效、安全、可靠的操作系統(tǒng)的基礎(chǔ)，計算機硬件安全的目標是保證其自身的可靠性，并為操作系統(tǒng)提供基本的安全設(shè)施，常用的有：內(nèi)存保護、運行保護和I/O保護等。 1內(nèi)存保

32、護 1)下界和上界寄存器法 2)基址和限長寄存器法,3)內(nèi)存塊鎖與進程鑰匙配對法,,(2)支持虛擬內(nèi)存的系統(tǒng),進程的存儲空間的隔離可以很容易地通過虛擬存儲器的方法來實現(xiàn)，分段、分頁或段頁式，提供了管理和保護主存的有效方法，這類系統(tǒng)通過段表、頁表和段頁表間接地訪問虛擬內(nèi)存的一個段或一個頁。由于表對于進程是私有的，因此，通過在有關(guān)表項中設(shè)置保護信息，每個進程可以對該進程能(私有或共享)訪問的任何段或頁面具有不同的訪問權(quán)限，在每

33、次地址轉(zhuǎn)換時執(zhí)行必需的權(quán)限檢查。,(3)沙盒技術(shù),在大多數(shù)操作系統(tǒng)中，一個進程調(diào)用的函數(shù)會自動繼承調(diào)用進程的所有訪問特權(quán)，特別是可以訪問進程的整個虛擬內(nèi)存。若函數(shù)是不可信的，如Internet上下載的程序(很可能帶有特洛伊木馬)，這種不受限制的訪問是不允許的，會給系統(tǒng)造成嚴重威脅。為了限制不可信程序造成潛在損害的范圍，系統(tǒng)可限制特權(quán)為調(diào)用進程所具有的授權(quán)的一小部分特權(quán)，通常稱這種縮小訪問后的環(huán)境為“沙盒”。,2運行保護,安全操作系統(tǒng)很重

34、要的一點是進行分層設(shè)計，而運行域正是一種基于保護環(huán)的層次等級式結(jié)構(gòu)。運行域是進程運行的區(qū)域，最內(nèi)層具有最小環(huán)號的環(huán)擁有最高特權(quán)，最外層具有最大環(huán)號的環(huán)擁有最小特權(quán)，一般的系統(tǒng)不少于3至4個環(huán)。,處理器模式擴展了操作系統(tǒng)的訪問權(quán)限,,VAX/VMS操作系統(tǒng)的四種模式構(gòu)成保護環(huán),處理器模式?jīng)Q定了：指令執(zhí)行特權(quán)、即處理器當前可執(zhí)行的指令系統(tǒng)子集；隨當前模式而增減的存儲訪問特權(quán)、即當前指令可以存取的虛擬內(nèi)存的位置。·內(nèi)核(kern

35、el)態(tài)。執(zhí)行VMS操作系統(tǒng)的內(nèi)核，包括內(nèi)存管理、中斷處理、I/O操作等。 ·執(zhí)行(executive)態(tài)。執(zhí)行操作系統(tǒng)的各種系統(tǒng)調(diào)用，如文件操作等。·監(jiān)管(supervisor)態(tài)。執(zhí)行操作系統(tǒng)其余系統(tǒng)調(diào)用，如應(yīng)答用戶請求。·用戶(user)態(tài)。執(zhí)行用戶程序，如編譯、編輯、鏈接、排錯等實用程序和各種應(yīng)用程序。,3 I/O保護,CPU與計算機系統(tǒng)相連接的各種外圍設(shè)備通信時，必須讀寫設(shè)備控制器

36、提供的各種寄存器，對這類寄存器的訪問可采用兩種途徑：內(nèi)存映射接口和I/O指令(集)。,7.4.2 認證機制,1用戶身份的標識與鑒別 認證機制主要包括標識與鑒別，標識就是操作系統(tǒng)識別用戶的身份，并把它轉(zhuǎn)換為系統(tǒng)內(nèi)部識別碼—用戶標識符，它是惟一的且不能被偽造，以防止一個用戶冒充另一個用戶。將用戶標識符與用戶聯(lián)系的過程稱鑒別，該過程主要用于識別用戶的真實身份，該操作需要用戶具有能夠證明其身份的特殊信息，且這些信息是秘密的和獨一無二的，任

37、何其他用戶都不會擁有。,多級安全操作系統(tǒng)認證過程,不但要完成一般的用戶管理和登錄，如檢查登錄的用戶名和口令、賦予用戶的惟一標識用戶ID和組ID，還要核對用戶申請的安全級、計算特權(quán)集、審計屏蔽碼。檢查用戶安全級就是檢驗其本次申請的安全級是否在系統(tǒng)安全文件檔案中定義的該用戶安全級范圍之內(nèi)。,2 UNIX/Linux系統(tǒng)標識和鑒別,系統(tǒng)的/etc/passwd文件含有全部系統(tǒng)掌握的關(guān)于每個用戶的登錄信息，加密后的口令存于/etc/shadow

38、文件中，口令文件包含：用戶登錄名、加密過的口令、口令時限、用戶號uid、用戶組號gid、用戶注釋、用戶主目錄和用戶使用的shell程序。,3 Kerberos網(wǎng)絡(luò)身份認證,,,,,,,,,,,,,,7.4.3 授權(quán)機制,1權(quán)授機制的功能經(jīng)典的計算機系統(tǒng)兩種機制的關(guān)鍵點，當一個用戶試圖訪問計算機系統(tǒng)時，認證機制首先標識與鑒別用戶身份用戶進入系統(tǒng)后，再由授權(quán)機制檢查其是否擁有使用本機資源的權(quán)限及有多大的訪問權(quán)限。授權(quán)機制的功能是授權(quán)和存

39、取控制，其任務(wù)是：·授權(quán)，確定給予哪些主體存取哪些客體的權(quán)力。·確定存取權(quán)限，通常有：讀、寫、執(zhí)行、刪除、追加等存取方式。·實施存取權(quán)限。,認證和授權(quán),,安全系統(tǒng)模型,,2 自主存取控制機制,是用來決定一個用戶是否有權(quán)訪問一些特定客體的一類訪問約束機制，這種機制下，資源屬主可以按照自已的意愿精確指定系統(tǒng)中的其他用戶對其資源的訪問權(quán)、故稱自主存取控制。,(3)基于行的自主存取控制機制,在每個主體上都附加

40、一個該主體可訪問的客體明細表，根據(jù)表中信息的不同又可分成3種：,權(quán)能表,,2)前綴表,對每個主體賦予前綴(Profiles)表，它包含受保護的客體名和主體對它的訪問權(quán)限，每當主體訪問某客體時，自主存取控制機制將檢查主體的前綴是否具有它所請求的訪問權(quán)。,3)口令表(Passwords List),在基于口令表的自主存取控制機制中，每個客體都有一個口令，主體在對客體訪問前，必須向安全系統(tǒng)提供該客體的口令，如果正確便允許訪問。,(1)基于列的

41、自主存取控制機制,存取控制表ACL(Access Control List)是十分有效的自主訪問控制機制，被許多系統(tǒng)采用。此機制如下實現(xiàn)，在每個客體上都附加一個可訪問它的主體的明細表，表示存取控制矩陣，表中的每一項都包括主體的身份和主體對該客體的訪問權(quán)限。,ACL和優(yōu)化ACL,,(3)自主存取控制機制實現(xiàn)舉例,1)“擁有者/同組同戶/其他用戶”模式2)“存取控制表ACL”和“擁有者/同組同戶/其他用戶”結(jié)合模式在安全操作系統(tǒng)UNIX

42、 SVR4.1中，采用“存取控制表ACL”和“擁有者/同組同戶/其他用戶”結(jié)合的實現(xiàn)方法，ACL只對于“擁有者/同組同戶/其他用戶”無法分組的用戶才使用。,3 強制存取控制機制,強制存取控制用于將系統(tǒng)中的信息分密級和范疇進行管理，保證每個用戶只能夠訪問那些被標明能夠由他訪問的信息的一種訪問約束機制。系統(tǒng)中每個主體(進程)，每個客體(文件、消息隊列、信號量集、共享存儲區(qū)等)都被賦予相應(yīng)的安全屬性，這些安全屬性不能改變，它由安全系統(tǒng)(包括

43、安全管理員)自動地按嚴格的規(guī)則設(shè)置，而不是像存取控制表那樣由用戶或用戶程序直接或間接修改。,實現(xiàn)多級安全訪問控制機制,必須對系統(tǒng)的主體和客體分別賦予與其身份相對稱的安全屬性的外在表示--安全標簽，它有兩部分組成： {安全類別：范疇},(1) 安全類別—有等級的分類,安全級別：也稱密級，系統(tǒng)用來保護信息(客體)的安全程度。 敏感性標簽：客體的安全級別的外在表示，系統(tǒng)利用此敏感性標簽來判定一進程是否擁有對此客體的訪

44、問權(quán)限。許可級別：進程（主體）的安全級別，用來判定此進程對信息的訪問程度。許可標簽：進程的安全級別的外在表示，系統(tǒng)利用進程的安全級別來判定此進程是否擁有對要訪問的信息的相應(yīng)權(quán)限。,(2) 范疇—無等級概念,范疇是該安全級別信息所涉及的部門。,公司內(nèi)可以建立信息安全類別,Confidential Restricted(技術(shù)信息)、 Restricted(內(nèi)部信息)Unrestricted(公開信息)；軍事部門的信息安全類別To

45、p Secret(絕密)、Secret(秘密)、Confidential(機密)和Unclassified(公開)。,公司內(nèi)的范疇,Accounting(財務(wù)部)、Marketing(市場部)、Advertising(廣告部)、Engineering(工程部)和Reserch&Development(研發(fā)部)。在公司內(nèi)，財務(wù)部經(jīng)理與市場部經(jīng)理雖然級別相同（都是經(jīng)理），但由于兩人分屬不同部門（財務(wù)部負責財務(wù)，市場部負責市場），從

46、而，分屬兩個不同的范疇（Accounting、Marketing），故市場部經(jīng)理是不能夠訪問財務(wù)部經(jīng)理的信息的。,4特殊授權(quán)機制—最小特權(quán)原理,為了使系統(tǒng)能正常運行，系統(tǒng)中的某些進程，如安全管理員、網(wǎng)絡(luò)管理員和系統(tǒng)操作員，需要具有一些可違反安全策略的操作能力，定義一個特權(quán)就是定義一個可違反系統(tǒng)安全策略的操作能力。必須實行最小特權(quán)(Least Privilege Principle)原理。,最小特權(quán)原理,指：系統(tǒng)中的每個主體只能擁有與其

47、操作相符的必須的最小特權(quán)集，特別是不應(yīng)給超級用戶超過執(zhí)行任務(wù)所需特權(quán)以外的特權(quán)。POSIX中指出要想在系統(tǒng)獲得安全性方面達到合理的保障程度，必須嚴格地實施最小特權(quán)原理。,超級用戶的特權(quán)劃分,使每個特權(quán)用戶僅具有完成其任務(wù)所需的特權(quán)，就能以此減少由于特權(quán)口令丟失、惡意軟件、誤操作引起的損失。例如，可在某系統(tǒng)中規(guī)定5個特權(quán)管理職責，任何一個都不能獲取足夠的權(quán)力被壞系統(tǒng)安全策略，5個特權(quán)職責為：系統(tǒng)安全管理員、審計員、常規(guī)操作員、安全操作員和

48、網(wǎng)絡(luò)管理員。,7.4.4 加密機制,加密(encrytion)是用某種方式偽裝信息以隱藏它的內(nèi)容的過程。加密的關(guān)鍵是要能高效地建立從根本上不可能被未授權(quán)用戶解密的加密算法，以提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止信息被竊取與泄密。數(shù)據(jù)加密技術(shù)可分兩類：一類是數(shù)據(jù)傳輸加密技術(shù)，目的是對網(wǎng)絡(luò)傳輸中的數(shù)據(jù)流加密，又分成鏈加密和端加密。另一類是數(shù)據(jù)存儲加密技術(shù)，目的是防止系統(tǒng)中存儲的數(shù)據(jù)的泄密，又分成文件級(對單個文件)加密和驅(qū)動器級(對邏輯

49、驅(qū)動器上的所有文件)加密。,數(shù)據(jù)加密模型,,密碼系統(tǒng)功能,·秘密性。解決信息泄漏問題，防止非法的信息接受者竊取信息。·鑒別性。解塊發(fā)送者的真實性問題，信息接受者能確認信息來源、即此信息確實是由發(fā)送方傳送而非別人偽造。·完整性。解決信息被修改或損壞問題，信息接受者能驗證信息沒有被修改，也不可能被假消息所替代。·防抵賴。發(fā)送者在事后不可能虛假地否認其發(fā)送的信息。,基于密鑰的算法分兩類,(

50、1) 對稱算法又稱傳統(tǒng)密碼算法，就是加密密鑰能夠從解密密鑰中推算出來，反之也成立，加密/解密密鑰是相同的，算法的安全性依賴于密鑰，泄漏密鑰就意味著任何人都能對信息加密和解密。對稱算法分為兩種：一種是一次只對明文中的字位(有時對字節(jié))運算的算法稱序列算法或序列密碼；另一種對明文中的一組字位運算，這些位組稱分組，相應(yīng)算法稱分組算法或分組密碼?，F(xiàn)代計算機密碼的典型分組長度為64位，這個長度大到足以防止分析破譯，但又小到足以方便使用。,(

51、2)公開密鑰算法,又稱非對稱密碼算法，是這樣設(shè)計的：用作加密的密鑰不同于用作解密的密鑰，而且解密密鑰不能根據(jù)加密密鑰計算出來。之所以稱公開密鑰算法，是因為加密密鑰可以公開、即其他人能用加密密鑰來加密信息，但只有用相應(yīng)的解密密鑰才能解密信息，因此，加密密鑰叫做“公開密鑰”，解密密鑰叫做“私人密鑰”。,2基本的加解密算法,基本的加解密方法只有兩種：代替密碼和換位密碼。密碼算法在早期是基于字符，現(xiàn)在則基于字位進行代替和換位。 (1) 代替

52、密碼1)簡單代替密碼： 2) 多名碼代替密碼：3) 多字母代替密碼：4) 多表代替密碼：,(2) 換位密碼,,3計算機密碼算法,(1) 數(shù)據(jù)加密標準 DES(Data Encryption Standard)是最通用的計算機加密算法，它是美國和國際標準，用于政府和商業(yè)應(yīng)用，這是一種對稱算法，加密和解密密鑰是相同的，70年代中期由美國IBM公司開發(fā)出來的，DES這套加密方法至今仍被公認是安全的。,(2) RSA(Rivest ，

53、Shamir ，Adleman ),是最流行的公開密鑰算法，已成為事實上的國際標準，能被用作加密和數(shù)字簽名。DES屬于傳統(tǒng)加密算法，要求加解密的密鑰是相同的(對稱的)，加密者必須用非常安全的方法把密鑰送給解密者。如果通過計算機網(wǎng)絡(luò)來傳送密鑰，則密鑰又有泄密的可能。解決這一問題的最徹底的辦法是不分配密鑰，這種方法就是公開密鑰法。要求密鑰是對稱的，并不是一個必要條件，可以設(shè)計出一個算法，加密用一個密鑰，而解密用有聯(lián)系的另一個密鑰。,基本技術(shù)

54、,·網(wǎng)中每個節(jié)點都產(chǎn)生一對密鑰，用來對它接收的消息加密和解密。·每個系統(tǒng)都把加密密鑰放在公共的文件中，這是公開密鑰，另一個設(shè)為私有的，稱私有密鑰。·若A要向B發(fā)送消息，它就用B的公開密鑰加密消息。·當B收到消息時，就用私鑰解密。由于只有B知道其私鑰，于是沒有其他接收者可以解出消息。公開密鑰法的主要缺點是算法復(fù)雜，開銷大、效率低。,(3)數(shù)字簽名算法DSA(Digital Signat

55、ure Algorithm),是另一種公開密鑰算法，但僅用作數(shù)字簽名。,4數(shù)字簽名,(1)簡單的數(shù)字簽名 1)發(fā)送者A可使用私有解密密鑰對明文進行加密，形成的密文傳送給接收者B。2)B可利用A的公開加密密鑰對所得密文進行解密，便得到明文。因為，除了A之外，誰也不具有解密密鑰，因此，也只有A才能送出用他的解密密鑰加密過的密文。3)如果A要抵賴，只需出示他的解密密鑰加密過的密文，使其無法抵賴。,(2)保密數(shù)字簽名,上述方法解決數(shù)字

56、簽名，但不能達到保密的目的，因為任何人都能接收密文，并可用A的公開加密密鑰對所得密文進行解密。為了使A所傳送的密文只讓B接收，可按下面步驟進行：1)發(fā)送者A可使用私有解密密鑰對明文進行加密，得到密文1，2)A再用B的公開加密密鑰對密文1進行加密，得到密文2再傳送給B，3)B收到后，先用自己的私有密鑰對密文2進行解密，得到了密文1，4)B再利用A的公開加密密鑰對所得密文1進行解密，于是得到了明文。,5 網(wǎng)絡(luò)加密,防止網(wǎng)絡(luò)資源被竊

57、取、泄漏、篡改和被破壞的最好方法是網(wǎng)絡(luò)加密，那么，要決定加密什么，在網(wǎng)絡(luò)中何處加密?通常有兩種網(wǎng)絡(luò)加密技術(shù)：鏈-鏈加密和端-端加密。·鏈-鏈加密 ·端-端加密 ·鏈-鏈加密和端-端加密的組合,7.4.5 審記機制,審計(auditing)就是對系統(tǒng)中有關(guān)安全的活動進行完整記錄、檢查及審核。作為一種事后追蹤手段來保證系統(tǒng)的安全性，是對系統(tǒng)安全性實施的一種技術(shù)措施，也是對付計算機犯罪者們的利器。其目的是

58、檢測和阻止非法用戶侵入系統(tǒng)，顯示合法用戶的誤操作，進行事故發(fā)生前的預(yù)測和報警，提供事故發(fā)生后分析處理的依據(jù)，如違反系統(tǒng)安全規(guī)則的事件發(fā)生的地點、時間、類型、過程、結(jié)果和涉及的主體、客體及其安全級別。,審計內(nèi)容和設(shè)施,1審計事件 2審計記錄和審計日志,3審計機制的實現(xiàn),實現(xiàn)審計機制，首先要解決系統(tǒng)中所有安全相關(guān)的事件都能被審計到，操作系統(tǒng)的用戶接口主要是系統(tǒng)調(diào)用，也就是說，當用戶請求系統(tǒng)服務(wù)時，必定使用系統(tǒng)調(diào)用。因此，把系統(tǒng)調(diào)用的總?cè)肟?/p>

59、的位置稱作審計點，在這兒增加審計控制，就可成功地審計系統(tǒng)調(diào)用，也就全面地審計了系統(tǒng)中所有使用內(nèi)核服務(wù)的事件。,7.4.6防火墻,1防火墻的功能(1)訪問控制 (2)網(wǎng)絡(luò)安全事件審計和報警 (3)其他功能,防火墻,,2防火墻技術(shù),目前常用的防火墻技術(shù)主要有：(1)包過濾型技術(shù)(2)代理服務(wù)技術(shù)(3)自適應(yīng)代理技術(shù),7.5安全操作系統(tǒng)的設(shè)計和開發(fā),7.5.1 安全操作系統(tǒng)結(jié)構(gòu)和設(shè)計原則 1開放系統(tǒng)設(shè)計： 2 機制的經(jīng)濟性：

60、 3 最小特權(quán): 4嚴密的訪問控制機制： 5基于“許可”的模式： 6 特權(quán)分離： 7 避免信息流潛在通道： 8 便于使用：,安全操作系統(tǒng)一般結(jié)構(gòu),,7.5.2 安全操作系統(tǒng)的開發(fā),,1安全操作系統(tǒng)一般開發(fā)方法,(1)虛擬機系統(tǒng)： (2)改進/增強法： (3)仿真法：,安全操作系統(tǒng)的開發(fā)過程,,2安全操作系統(tǒng)的研究和發(fā)展,BLP機密性安全模型首次成功地應(yīng)用于Multics Lampson的主體、客體與訪問矩陣，隱蔽通道

61、等概念；Anderson的參照監(jiān)視器、引用驗證機制、授權(quán)機制、安全內(nèi)核和安全建模 KSOS、Secure UNIX；計算機安全評價標準《可信計算機系統(tǒng)評價標準(TCSEC)》(又稱橘皮書)； LINUS Ⅳ， Secure Xenix ，Secure Xenix System ⅴ/MLS ，ASOS(Army Secure Operating System)、Flask、OSF/1、UNIX SVR4.1ES、DTOS、SE-

62、Linux、STOP、VMM,3安全功能和安全保證,安全操作系統(tǒng)的開發(fā)，應(yīng)從安全功能(Security Function)和安全保證(Security Assurance)兩方面實施，安全功能主要說明一個操作系統(tǒng)所實現(xiàn)的安全策略和安全機制符合評價準則中哪一級的功能要求，安全保證(保障)是通過一定的方法保證操作系統(tǒng)所提供的安全功能確實達到了指定的功能要求，能夠確保系統(tǒng)的安全性。,安全功能包括10個安全元素,標識與鑒別、自主訪問控制、標

63、記、強制訪問控制、客體重用、審計、數(shù)據(jù)完整性、可信路徑、隱蔽信道分析和可信恢復(fù)。在通用操作系統(tǒng)中，TCB可以包含多個安全功能TSF(Trusted Security Function) 模塊，每一個TSF實現(xiàn)一個安全功能策略TSP(Trusted Security Policy)，這些TSP共同構(gòu)成了安全域，以防止不可信主體的干擾和篡改。,安全保證有3個方面,(1)TCB自身安全保護，包括TSF模塊、資源利用、TCB訪問等。(2)TC

64、B設(shè)計和實現(xiàn)，包括配置管理、分發(fā)和操作、開發(fā)、指導性文檔、生命周期支持、測試、脆弱性評定等。(3)TCB安全管理。,7.5.3 安全操作系統(tǒng)設(shè)計技術(shù),1隔離技術(shù)將系統(tǒng)中的一個用戶(進程)與其他用戶(進程)隔離開來是安全性的基本要求，有四種辦法實現(xiàn)：物理分離，時間分離，密碼分離,邏輯分離。,隔離機制的設(shè)計方法,(1)    多虛擬存儲空間(2)    多虛擬機系統(tǒng),

65、虛機器操作系統(tǒng),,,2安全內(nèi)核,核(kernel)、又稱內(nèi)核(nucleus)或核心(Core)，在傳統(tǒng)或標準的操作系統(tǒng)中，它實現(xiàn)內(nèi)層的低級功能，如進程通信、同步機制、中斷處理及基本的內(nèi)存管理。 安全內(nèi)核(Security kernel)是通過控制對系統(tǒng)資源的訪問來實現(xiàn)基本安全規(guī)程的操作系統(tǒng)內(nèi)核中相對獨立的一部分程序，它在硬件和操作系統(tǒng)功能模塊之間提供安全接口，凡是與安全有關(guān)的功能和機制都必須被隔離在安全內(nèi)核之中。,安全內(nèi)核設(shè)計和實

66、現(xiàn)基本原則,(1)完整性。(2)隔離性。 (3)可驗證性。,3 分層設(shè)計,,4環(huán)結(jié)構(gòu),MULTICS操作系統(tǒng)用環(huán)結(jié)構(gòu)（ring structure）實現(xiàn)安全保護，這是分層設(shè)計的進一步發(fā)展，指定各個進程所具有的訪問權(quán)，共設(shè)計了8個環(huán)，4個用于操作系統(tǒng)，4個用于應(yīng)用程序。,環(huán)界標,,對程序調(diào)用的環(huán)界標解釋,,對數(shù)據(jù)訪問的環(huán)界標的解釋,,,,7.5.4 安全操作系統(tǒng)安全機制的實現(xiàn),,主體P1的CL,,2  強制訪問控制

67、的實現(xiàn),(1)安全標簽的實現(xiàn) 基于多級安全策略，系統(tǒng)的訪問控制機制的實現(xiàn)要基于以下內(nèi)容： 1）對每個客體賦予一敏感性標簽，此標簽標明系統(tǒng)用來保護此信息的安全程度（級別）。 2）對每個用戶進程（主體）賦予一許可標簽，此標簽用來指定此進程的可信程度（基于用戶），系統(tǒng)通過基于進程（主體）的許可標簽和信息（客體）的敏感性標簽來判定一進程是否擁有對該信息相應(yīng)的訪問權(quán)限。 3）保證所有的輸入、輸出的信息系統(tǒng)都能夠正確

68、地標記反映其安全級別的敏感性標簽。,基于多級安全策略的安全標簽實現(xiàn)要點,·類別部分：由于類別部分反映出來的是一種等級關(guān)系，故又稱之為安全等級（hierarchies）或密級，在安全類別中密級按線性順序排列，例如，公開<秘密<機密<絕密，在實現(xiàn)時以數(shù)字從小到大依次遞增表示其安全等級。·范疇部分：范疇部分是無等級概念的元素組成的，表示一清晰的信息領(lǐng)域。其無等級是指不存在一范疇“大于”另一范疇，不能說“

69、engineering”大于或小于“R&D”，兩個范疇之間互相獨立且無序，但兩個范疇集之間的關(guān)系有包含、被包含或無關(guān)；在實現(xiàn)中范疇用數(shù)字代表，范疇集是數(shù)字的集合表示。,兩個安全標簽之間存在四種關(guān)系,·A支配B：當且僅當A的安全等級大于等于B的安全等級， A的范疇包含B的范疇、即B的范疇是A的范疇的一個子集。 ·B支配A：當且僅當B的安全等級大于等于A的安全等級，B的范疇包含 A的范疇、即A的范疇是B的