北理工-戴林-11操作系統(tǒng)的安全

1、1第第1111章章操作系統(tǒng)的安全操作系統(tǒng)的安全主要內(nèi)容主要內(nèi)容n安全性概述n安全機制n安全操作系統(tǒng)的設計n主流操作系統(tǒng)的安全性安全性概述安全性概述 v操作系統(tǒng)是一組面向機器和用戶的程序，充當著用戶程序與計算機硬件之間的接口，負責提供用戶與計算機系統(tǒng)的交互界面和環(huán)境，其目的是最大限度地、高效地、合理地使用計算機資源，同時對系統(tǒng)的所有資源（軟件和硬件資源）進行管理。v計算機操作系統(tǒng)的安全主要是利用安全手段防止操作系統(tǒng)本身被破壞，防止非法用戶對計算機資源 (如軟件、硬件、時間、空間、數(shù)據(jù)、服務等資源) 的竊取。操作系統(tǒng)不安全主要是由操作系統(tǒng)的系統(tǒng)設計帶來的“破綻”引發(fā)的。操作系統(tǒng)的安全方法操作系統(tǒng)的

2、安全方法v操作系統(tǒng)的安全性可以建立如下的安全策略，這些策略按照其實現(xiàn)復雜度遞增和提供安全性遞減的次序排列為：物理分離：在物理設備或部件一級進行隔離，使不同的進程使用不同的物理對象。時間分離：對不同安全要求的進程分配不同的運行時間段，允許高級別的進程獨占計算機進行運算。邏輯分離：多個用戶進程可同時運行，但限定程序存取范圍，使進程彼此間不相互干擾。加密分離：進程以一種其他進程不了解的方式加密其數(shù)據(jù)和計算，使對其他進程不可見。4操作系統(tǒng)的安全方法操作系統(tǒng)的安全方法v操作系統(tǒng)可以在任何層次上提供保護，一個特定的操作系統(tǒng)也可能為不同的實體、用戶或者環(huán)境提供不同層次的保護措施。無保護：它適合于敏感進程運行

3、于獨立的時間環(huán)境。隔離保護：并發(fā)運行的進程彼此不會感覺到對方的存在，也不會影響干擾對方，每一進程具有自己的地址空間、數(shù)據(jù)、文件及其他實體。共享或非共享保護。在這種保護形式中，實體分為公有或私有實體兩類。任何進程都可以訪問公有實體，而只有實體的所有者能訪問私有實體。5存取權限保護。操作系統(tǒng)借助于某種數(shù)據(jù)結(jié)構，在特定用戶和特定實體上實施存取控制，檢查每次存取的有效性，保證只有授權的存取行為發(fā)生。權能共享保護。它是存取權限共享的擴展，操作系統(tǒng)為實體動態(tài)地建立共享權限，共享的程度依賴于用戶或主體、計算環(huán)境和實體本身。實體使用限制保護。它不僅限制對實體的存取，也限制存取后對實體的使用。6安全操作系統(tǒng)的發(fā)

4、展安全操作系統(tǒng)的發(fā)展v奠基時期v食譜時期v多政策時期v動態(tài)政策時期7 操作系統(tǒng)安全機制操作系統(tǒng)安全機制v一、內(nèi)存保護機制1 界址、重定位與限界 這是最簡單的內(nèi)存保護機制，它是將操作系統(tǒng)所用存儲空間與用戶空間分開，并將每個用戶限制在他自己的地址范圍中。80n+1n+1 p內(nèi)存內(nèi)存內(nèi)存FROSmaxFencea) 固定界址b) 可變界址c) 界限寄存器對maxmax00BR1BR2OSOSnnnn+1n+1n+1用戶A用戶Bpp+1用戶程序用戶程序操作系統(tǒng)安全機制操作系統(tǒng)安全機制2 特征位 內(nèi)存的每個字中有一個或者多個附加位作為該字的存取權限，附加特征位只能由操作系統(tǒng)的特權指令設置，而指令存取時都

5、對這些位進行測試。3 分段與分頁v分段存儲管理方式v分頁存儲管理方式v段頁式存儲管理方式9操作系統(tǒng)安全機制操作系統(tǒng)安全機制v二、文件保護機制一般性有無保護成組保護單獨許可保護v三、用戶鑒別機制用戶識別用戶識別是一對多的搜索和發(fā)現(xiàn)過程。識別的安全問題一般是基于知識、財產(chǎn)、特征等識別項或者它們的組合來考慮的。用戶驗證用戶驗證是“一對一”的過程。通過一對一的聲明、提問、應答，能夠證實我們不曾相識的、自稱為某人的人是真實的。10操作系統(tǒng)安全機制操作系統(tǒng)安全機制身份鑒別機制必須基于計算機系統(tǒng)和人雙方都能夠認可的鑒別媒體和知識。v口令v多重鑒別機制v登錄應答機制v輔助身份鑒別11操作系統(tǒng)安全機制操作系統(tǒng)安

6、全機制v四、存取控制機制存取控制機制對保護實體實現(xiàn)如下目標：v設置存取權限設置存取權限：為每一主體設定對某一實體的存取權限，具有授權和撤權功能。v檢查每次存取檢查每次存取：超越存取權限的行為被認為是非法存取，予以拒絕、阻塞或告警，并防止撤權后對實體的再次存取。v允許最小權限允許最小權限：最小權限原則限定了主體為完成某些任務必須具有的最小數(shù)目的實體存取權限，除此之外，不能進行額外的信息存取。v存取驗證存取驗證：除了檢查是否存取外，應檢查在實體上所進行的活動是否是適當?shù)?，是正常的存取還是非正常的存取。12操作系統(tǒng)安全機制操作系統(tǒng)安全機制v一般實體的存取控制機制：目錄控制表存取控制表與控制矩陣權能面

7、向過程的存取控制13操作系統(tǒng)安全機制操作系統(tǒng)安全機制v五、惡意程序防御機制惡意程序是所有含有特殊目的、非法進入計算機系統(tǒng)并待機運行、能給系統(tǒng)或者網(wǎng)絡帶來嚴重干擾和破壞的程序。v獨立運行類（細菌和蠕蟲）v需要宿主類（病毒和特洛依木馬）惡意程序防御機制包含：v病毒防御機制v病毒檢測與消除檢測的正確是清除的基礎14安全操作系統(tǒng)設計安全操作系統(tǒng)設計v要開發(fā)安全系統(tǒng)，必須建立系統(tǒng)的安全模型。v安全模型 (Security Model) 用來描述計算系統(tǒng)和用戶的安全特性，是對現(xiàn)實社會中一種系統(tǒng)安全需求的抽象描述。其過程是：用自然語言描述應用環(huán)境的安全需求特性，再用數(shù)學工具進行形式化描述。由于存取是計算系統(tǒng)

8、安全需求的核心，存取控制則是這些模型的基礎。通過對抽象模型的研究，了解保護系統(tǒng)的特性，如可判定性或不可判定性15安全操作系統(tǒng)模型分類安全操作系統(tǒng)模型分類v單層模型：單層模型是最簡單的二元敏感安全模型，是體現(xiàn)有限型訪問控制的模型。在單層模型中，用戶對實體的存取策略簡單地設置為“允許”或者“禁止”（“是”與“非”）。實現(xiàn)這種存取控制的最簡單模型是監(jiān)督程序，它是用戶和實體間的通道，監(jiān)督程序?qū)γ總€被監(jiān)督的存取進行檢查，決定是否準許存取。為彌補監(jiān)督程序方式的不足，提出了信息流模型，即信息的流向控制。16安全操作系統(tǒng)模型分類安全操作系統(tǒng)模型分類v多層“格”模型多層“格”模型把用戶（主體）和信息（客體）按密

9、級和類別劃分，以數(shù)學結(jié)構“格”組織用戶和信息。、信息密級從低到高分為：公開級、秘密級、機密級和絕密級。類別是根據(jù)工作范圍或工作項目劃分的范圍，描述了信息的主體對象，類別之間可互不相關，也可交錯、重疊或包含。對敏感信息的存取通常采用許可證機制。它表示某個用戶可以存取特定敏感級別（密級）以上的信息，以及該信息所屬的特定類別。在操作系統(tǒng)中將許可證按照 的組合方式設定。17安全操作系統(tǒng)模型分類安全操作系統(tǒng)模型分類vBell-La Padula模型是最早和最常用的適用于軍事安全策略的操作系統(tǒng)多級安全模型，其目標是詳細說明計算機的多級安全操作規(guī)則。BLP模型中，將主體定義為能發(fā)起行為的實體，如進程；將客體

10、定義為被動的主體行為的承擔者，如文件、目錄、數(shù)據(jù)；將主體對客體的訪問分為：只讀、讀寫、只寫、執(zhí)行、控制等訪問模式，控制是指主體用來授予或撤銷另一主體對某客體的訪問權限的能力。 18BLPBLP模型的安全策略模型的安全策略v包括：自主安全策略和強制安全策略，前者使用一個訪問矩陣表示，其中，第i行第j列的元素Mij 表示主體Si對客體Oj的所有允許的訪問模式，主體只能按在訪問矩陣中被授予對客體的訪問權限對客體進行訪問；v后者包括簡單安全特性和安全性星特性，系統(tǒng)對所有主體和客體都分配一個訪問類屬性，包括主體和客體的密級和范疇，系統(tǒng)通過比較主體和客體的訪問類屬性控制主體對客體的訪問。 BLPBLP模型

11、兩條基本規(guī)則模型兩條基本規(guī)則v1)簡單安全特性規(guī)則 一個主體對客體進行讀訪問的必要條件是主體的安全級支配客體的安全級、即主體的安全級別不小于客體的保密級別，主體的范疇集包含客體的全部范疇，或者說主體只能向下讀，不能向上讀。v2)安全性星特性規(guī)則 一個主體對客體進行寫訪問的必要條件是客體的安全級支配主體的安全級、即客體的保密級別不小于主體的保密級別，客體的范疇集包含主體的全部范疇，或者說主體只能向上寫，不能向下寫。多級安全規(guī)則多級安全規(guī)則v R違反規(guī)則1公開進程機密進程機密文件公開文件WWRRRWW違反規(guī)則2控制原理控制原理v信息流模型是存取控制模型的一種變形，它不檢查主體對客體的存取，而是試圖

12、控制從一個客體到另一個客體的信息傳輸過程，根據(jù)兩個客體的安全屬性來決定是否允許當前操作的執(zhí)行。隱蔽信道的核心是低安全級主體對高安全級主體所產(chǎn)生的信息的間接存取，信息流分析能保證操作系統(tǒng)在對敏感信息存取時，不會把數(shù)據(jù)泄露給調(diào)用者。保護機制結(jié)構和設計原則保護機制結(jié)構和設計原則v(1) 機制經(jīng)濟性（economy）原則v(2) 失敗-保險（fail-safe）默認原則v(3) 完全仲裁原則：v(4) 開放式設計原則v(5) 特權分離原則v(6) 最小特權原則v(7) 最少公共機制原則v(8) 心理可接受性原則安全操作系統(tǒng)的設計方法安全操作系統(tǒng)的設計方法v隔離設計：基于最少通用機制的方法；v內(nèi)核化設計

13、：基于最少權限及經(jīng)濟性原則的方法；v分層結(jié)構設計：基于開放式設計及完全檢查原則的方法。240123最可信進程運行區(qū)域最不可信進程運行區(qū)域硬件 安全操作系統(tǒng)的可信度驗證安全操作系統(tǒng)的可信度驗證v可信度驗證方法1.1.形式化驗證形式化驗證2.2.非形式化確認非形式化確認3.3.系統(tǒng)入侵分析系統(tǒng)入侵分析驗證提供了操作系統(tǒng)正確性方面最有說服力的依據(jù)，不同的測試方法可以證明一個系統(tǒng)在一定程度上是可信的一個系統(tǒng)在一定程度上是可信的，但可信程度并非，但可信程度并非 100% 100%。25安全操作系統(tǒng)評價標準安全操作系統(tǒng)評價標準v美國可信計算機安全評估標準(TCSEC)TCSEC (Trusted Comp

14、uter System Evaluation Criteria)是第一個有關信息安全評估的標準，由美國國防部于1983年公布，該準則最初只是軍用標準，后來擴展至民用領域。TCSEC 提供D、C1、C2、B1、B2、B3 和A1 等七個等級的可信系統(tǒng)評價標準，每個等級對應有確定的安全特性需求和保障需求，高等級的需求建立在低等級的需求的基礎之上26TCSEC TCSEC 的構成與等級結(jié)構的構成與等級結(jié)構27安全操作系統(tǒng)評價標準安全操作系統(tǒng)評價標準v國內(nèi)的安全操作系統(tǒng)評估標準為了適應信息安全發(fā)展的需要，我國也制定了計算機信息系統(tǒng)等級劃分準則：信息技術安全性評估準則GB/T 18336 2001。該準

15、則將操作系統(tǒng)安全分為五個級別，分別是用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構化保護級和訪問驗證保護級。五個級別對操作系統(tǒng)具備的安全功能有不同的要求。28操作系統(tǒng)的五個級別操作系統(tǒng)的五個級別安全策略用戶自主保護級系統(tǒng)審計保護級安全標計保護級結(jié)構化保護級訪問驗證保護級自主訪問控制身份鑒別數(shù)據(jù)完整性*客體重用審計強制訪問控制標記隱蔽信道分析可信路徑可信恢復29安全安全Xenix Xenix 系統(tǒng)的開發(fā)系統(tǒng)的開發(fā)v1986 和1987 年，IBM 公司的V.D. Gligor 等發(fā)表了安全Xenix 系統(tǒng)的設計與開發(fā)成果。安全Xenix 是以Xenix 為原型的實驗型安全操作系統(tǒng)，屬于Un

16、ix類的安全操作系統(tǒng)，它要實現(xiàn)的是TCSEC 標準B2-A1級的安全要求。v系統(tǒng)開發(fā)方法和保障目標：開發(fā)方法劃分為仿真法和改造/增強法兩種方式保障目標：v(1) 系統(tǒng)設計與BLP 模型之間的一致性；v(2) 實現(xiàn)的安全功能的測試；v(3) 軟件配置管理工具的開發(fā)。30安全安全Xenix Xenix 系統(tǒng)的開發(fā)系統(tǒng)的開發(fā)v訪問控制方式按照BLP 模型實現(xiàn)訪問控制，主體是進程，客體是進程、文件、特別文件（設備）、目錄、管道、信號量、共享內(nèi)存段和消息。訪問權限有read、write、execute 和null。v安全等級的確定安全Xenix 的強制訪問控制的安全判斷以進程的當前安全等級、客體的安全等

17、級和訪問權限為依據(jù)。進程的當前安全等級（CPL）在創(chuàng)建進程時確定，在進程的整個生存期內(nèi)保持不變。31安全安全Xenix Xenix 系統(tǒng)的開發(fā)系統(tǒng)的開發(fā)v安全注意鍵與可信路徑安全Xenix 的可信通路（trusted path）是以安全注意鍵（SAK：Secure Attention Key）為基礎實現(xiàn)的。SAK 是由終端驅(qū)動程序檢測到的鍵的一個特殊組合。每當系統(tǒng)識別到用戶在一個終端上鍵入的SAK，便終止對應到該終端的所有用戶進程，啟動可信的會話過程。v特權用戶對系統(tǒng)的管理功能進行分割，設立可信系統(tǒng)程序員、系統(tǒng)安全管理員、系統(tǒng)帳戶管理員和系統(tǒng)安全審計員等特權用戶，通過不同的操作環(huán)境和操作界面限

18、定各特權用戶的特權。32System V/MLS System V/MLS 系統(tǒng)的開發(fā)系統(tǒng)的開發(fā)v1988 年，AT&T Bell 實驗室的C.W. Flink II 和J.D. Weiss 發(fā)表了System V/MLS 系統(tǒng)的設計與開發(fā)成果。System V/MLS 是以AT&T 的Unix SystemV 為原型的多級安全操作系統(tǒng)，以TCSEC 標準的安全等級B 為設計目標。v系統(tǒng)按照BLP 模型提供多級安全性支持，主體是進程，客體包括文件、目錄、i-節(jié)點、進程間通信（IPC）結(jié)構和進程。33System V/MLS System V/MLS 系統(tǒng)的開發(fā)系統(tǒng)的開發(fā)v安全標

19、記機制設計Unix System V 提供owner/group/others 方式的保護機制，支持用戶組的概念，用戶組由組標識（GID）表示。v多級安全性實現(xiàn)方法通過在內(nèi)核中加入多級安全性（MLS）模塊實現(xiàn)對多級安全性的支持。MLS模塊是內(nèi)核中可刪除、可替換的獨立模塊，負責解釋安全等級標記的含義和多級安全性控制規(guī)則，實現(xiàn)強制訪問控制判定。在原系統(tǒng)的與訪問判定有關的內(nèi)核函數(shù)中插入調(diào)用MLS 模塊的命令，實現(xiàn)原有內(nèi)核機制與MLS 機制的連接。34安全操作系統(tǒng)設計技術安全操作系統(tǒng)設計技術v1隔離技術v將系統(tǒng)中的一個用戶(進程)與其他用戶(進程)隔離開來是安全性的基本要求，有四種辦法實現(xiàn)：v物理分離

20、，v時間分離，v密碼分離,v邏輯分離。 隔離機制的設計方法隔離機制的設計方法v(1) 多虛擬存儲空間v(2) 多虛擬機系統(tǒng)虛機器操作系統(tǒng)虛機器操作系統(tǒng)v 物理計算機系統(tǒng) CP控制程序I/O設備 文件 存儲器 處理器虛機器操作系統(tǒng)虛擬計算機系統(tǒng)虛機器操作系統(tǒng)虛擬計算機系統(tǒng)虛機器操作系統(tǒng)虛擬計算機系統(tǒng)2 2安全內(nèi)核安全內(nèi)核v 核(kernel)、又稱內(nèi)核(nucleus)或核心(Core)，在傳統(tǒng)或標準的操作系統(tǒng)中，它實現(xiàn)內(nèi)層的低級功能，如進程通信、同步機制、中斷處理及基本的內(nèi)存管理。v 安全內(nèi)核(Security kernel)是通過控制對系統(tǒng)資源的訪問來實現(xiàn)基本安全規(guī)程的操作系統(tǒng)內(nèi)核中相對獨立

21、的一部分程序，它在硬件和操作系統(tǒng)功能模塊之間提供安全接口，凡是與安全有關的功能和機制都必須被隔離在安全內(nèi)核之中。安全內(nèi)核設計和實現(xiàn)基本原則安全內(nèi)核設計和實現(xiàn)基本原則v(1)完整性。v(2)隔離性。 v(3)可驗證性。 3 3 分層設計分層設計v 最不可信代碼最可信代碼用戶認證模塊用戶接口子模塊用戶ID查找子模塊認證數(shù)據(jù)修改子模塊認證數(shù)據(jù)比較子模塊圖 7-18 不同層中實現(xiàn)的認證模塊4 4環(huán)結(jié)構環(huán)結(jié)構vMULTICS操作系統(tǒng)用環(huán)結(jié)構（ring structure）實現(xiàn)安全保護，這是分層設計的進一步發(fā)展，指定各個進程所具有的訪問權，共設計了8個環(huán)，4個用于操作系統(tǒng)，4個用于應用程序。 環(huán)界標環(huán)界標

22、v n210只讀正常調(diào)用(可信訪問)指定入口點訪問(可信訪問)b1b2b3訪問環(huán)界表訪問環(huán)界表/門擴展對程序調(diào)用的環(huán)界標解釋對程序調(diào)用的環(huán)界標解釋v n210可被運行于p級(b1pb2)的任何過程調(diào)用在指定點，僅當主調(diào)用程序級別p(b2pb3)時可調(diào)用b1b2b3訪 問 環(huán)界表訪問環(huán)界表/門擴展pb3的過程無法訪問 對數(shù)據(jù)訪問的環(huán)界標的解釋對數(shù)據(jù)訪問的環(huán)界標的解釋v n210P級進程只讀訪問(0pb1)P 級 進 程 訪 問(b1pb2)僅對P級進程的一個拷貝訪問(b2pb3)b1b2b3訪問環(huán)界表訪問環(huán)界表/門擴展安全操作系統(tǒng)安全機制的實現(xiàn)安全操作系統(tǒng)安全機制的實現(xiàn) v P1ownreadw

23、riteP2readP3readnullfile1客體file1的ACL主體主體P1P1的的CLCLv file1ownreadwritefile2readfile3writenullP12 2 強制訪問控制的實現(xiàn)強制訪問控制的實現(xiàn)v(1)安全標簽的實現(xiàn)v 基于多級安全策略，系統(tǒng)的訪問控制機制的實現(xiàn)要基于以下內(nèi)容：v 1）對每個客體賦予一敏感性標簽，此標簽標明系統(tǒng)用來保護此信息的安全程度（級別）。v 2）對每個用戶進程（主體）賦予一許可標簽，此標簽用來指定此進程的可信程度（基于用戶），系統(tǒng)通過基于進程（主體）的許可標簽和信息（客體）的敏感性標簽來判定一進程是否擁有對該信息相應的訪問權限。v 3）保證所有的輸入、輸出的信息系統(tǒng)都能夠正確地標記反映其安全級別的敏感性標簽?；诙嗉壈踩呗缘陌踩珮撕灮诙嗉壈踩呗缘陌踩珮撕瀸崿F(xiàn)要點實現(xiàn)要點v類別部分：由于類別部分反映出來的是一種等級關系，故又稱之為安全等級（hierarchies）或密級，在安全類別中密級按線性順序排列，例如，公開秘密機密絕密，在實現(xiàn)時以數(shù)字從小到大依次遞增表示其安全等級。v范疇部分：范疇部分是無等級概念的元素組成的，表示一清晰的信息領域。其無等級是指不存 在 一 范 疇 “ 大 于 ” 另 一 范 疇 ， 不 能 說“engineerin