操作系統(tǒng)的保護與安全

第11章

操作系統(tǒng)的保護與安全1基本概念保護（或稱內(nèi)在保護）是指一種控制程序、進程或用戶對計算機系統(tǒng)資源的訪問機制。該機制由操作系統(tǒng)內(nèi)部采用。2基本概念安全是對系統(tǒng)完整性和系統(tǒng)數(shù)據(jù)安全的可信度的衡量。還需要考慮系統(tǒng)運行的外部環(huán)境。3保護4保護當(dāng)信息保存在計算機系統(tǒng)中，需要保護其安全，使之不受物理損壞（可靠性）和非法訪問（保護）?？煽啃酝ǔＪ怯晌募浞輥硖峁┑摹１Ｗo可以有多種方法。對于小的、單用戶系統(tǒng)，可以通過使用軟盤、CDs（把它們鎖在安全的地方）來提供保護。5保護在多用戶系統(tǒng)中，需要其它的機制。需要的是對文件的控制訪問。實現(xiàn)控制訪問的幾種機制密碼

訪問控制列表對各種用戶分類的文件許可6保護每種機制都有優(yōu)點和缺點，適用于特定的應(yīng)用。小計算機系統(tǒng)（只為少數(shù)幾個研究成員使用的）不需要提供大型企業(yè)級計算機（用于研究、商務(wù)和其他人事活動）一樣的保護類型。7保護“保護在計算機系統(tǒng)中扮演的角色是：為加強資源使用的控制策略提供一種機制?！辈呗詻Q定了做什么。機制決定了怎樣做。為了適應(yīng)性（彈性），從機制中分離出策略是很重要的（策略可能會隨著位置和時間而改變）。8保護域要保護什么？軟件對象（文件、程序等）硬件對象（CPU、內(nèi)存、磁盤和其他設(shè)備）保護域

指定了進程可以訪問的資源。一個進程只在一個保護域內(nèi)操作。9保護域域一個保護域域是一個個訪問權(quán)權(quán)限的集合合。每一個個訪問權(quán)權(quán)限是一個個有序序?qū)Γ海?lt;對象名名，權(quán)權(quán)限集集合>權(quán)限集集合表表示在在該對對象上上可以以執(zhí)行行什么么操作。如寫寫到打打印機機、讀讀或?qū)憣懳募⒃谠贑PU上執(zhí)行行。一個進進程在在所給給域中中的操操作只只能訪訪問該該域所所列出出的對象，只能能使用用為每每個對對象所所指定定的權(quán)限。10進程支支持對操作作系統(tǒng)統(tǒng)安全全性的的基本本要求求是，，當(dāng)受受控路路徑執(zhí)執(zhí)行信信息交交換操操作時時，系系統(tǒng)能能夠使使各個用用戶彼彼此隔隔離。所有現(xiàn)現(xiàn)代操操作系系統(tǒng)都都支持持一個個進程程代理理一個個用戶戶的概概念，，并且且在分分時和和多道道程序序運行行的系系統(tǒng)中中，每每個用用戶在在自己己的權(quán)權(quán)限內(nèi)內(nèi)都可可能會會有幾幾個同同時運運行的的進程程。由于多多道程程序運運行是是多用用戶操操作系系統(tǒng)安安全性性的中中心問問題，，所以以進程程的快快速轉(zhuǎn)轉(zhuǎn)換是是非常常重要要的。。11進程支支持為描述述和控控制進進程的的活動動，系系統(tǒng)為為每個個進程程定義義了一一個數(shù)數(shù)據(jù)結(jié)結(jié)構(gòu)，，即進進程控控制塊塊PCB，系統(tǒng)統(tǒng)創(chuàng)建建一個個進程程的同同時就就為它它設(shè)置置了一一個進進程控控制塊塊，用用它去去對進進程進進行控控制和和管理理，進進程任任務(wù)完完成了了，系系統(tǒng)回回收其其PCB，該進進程就就消亡亡了。。系統(tǒng)將將通過過PCB而感知知相應(yīng)應(yīng)的進進程，，進程程控制制塊PCB是進程程存在在的惟惟一標(biāo)標(biāo)志。。進程控控制塊塊PCB包含了了進程程的描描述信信息和和控制制信息息。12內(nèi)存及及地址址保護護多道程程序中中的一一個最最明顯顯的問問題是是防止止一道道程序序在存存儲和和運行行時影影響到到其他他程序序。操操作系系統(tǒng)可可以在在硬件件中有有效使使用硬硬保護護機制制進行行存儲儲器的的安全全保護護?，F(xiàn)在最最常用用的是是界址址、界界限寄寄存器器、重重定位位、特特征位位、分分段、、分頁頁和段段頁式式機制制。1.界址最簡單的內(nèi)內(nèi)存保護機機制是將系系統(tǒng)所用的的存儲空間間和用戶空空間分開。。界址則是將將用戶限制制在地址范范圍的一側(cè)側(cè)的方法。。在這種方方法中，界界址被預(yù)先先定義為內(nèi)內(nèi)存地址，，以便操作作系統(tǒng)駐留留在界址的的一邊而用用戶使用另另一邊的空空間。13內(nèi)存及地址址保護固定界址：：可變界址寄寄存器：14內(nèi)存及地址址保護2.重定位我們可以將將系統(tǒng)實際際賦給程序序的內(nèi)存起起始地址的的值作為一一個常數(shù)重重定位因子子。先將程序的的起始地址址視為0（這時程序序內(nèi)的每個個地址的值值實際上就就是相對于于起始地址址的偏移值值），在把把程序真正正裝入到內(nèi)內(nèi)存時再將將常數(shù)重定定位因子加加到程序內(nèi)內(nèi)的每個地地址上，使使得程序執(zhí)執(zhí)行時所涉涉及的所有有和實際地地址有關(guān)的的地址都相相應(yīng)得到改改變，這個個過程，我我們稱之為為重定位(Relocation)。界址寄存器器可以作為為硬件重定定位設(shè)備。。15內(nèi)存及地址址保護3.基址/界限寄存器器在兩個或多多個用戶情情況下，任任何一方都都不能預(yù)先先知道程序序?qū)⒈谎b入入到內(nèi)存的的什么地址址去執(zhí)行，，系統(tǒng)通過過重定位寄寄存器提供供的基址來來解決這一一問題。程序中所有有的地址都都是起始于于基地址（（程序在內(nèi)內(nèi)存中的起起始地址））的位移，，由此可見見，基地址址寄存器提提供了向下下的界限，，而向上的的地址界限限由誰來提提供呢？系系統(tǒng)引進了了界限寄存存器，其內(nèi)內(nèi)容作為向向上的地址址界限。于于是每個程程序的地址址被強制在在基址之上上，界限地地址之下。。16內(nèi)存及地址址保護基址/界限寄存器器對：兩對基址/界限寄存器器：17內(nèi)存及地址址保護4.特征位結(jié)構(gòu)構(gòu)下面介紹內(nèi)內(nèi)存地址保保護的另一一種方法——使用特征位位結(jié)構(gòu)，即即在機器內(nèi)內(nèi)存的每個個字中都有有一個或多多個附加位位表示該字字的存取權(quán)權(quán)限，這些些存取位僅僅能被特權(quán)權(quán)指令（操操作系統(tǒng)指指令）設(shè)置置。在程序狀態(tài)態(tài)字中同樣樣設(shè)置特征征位，每次次指令存取取該單元時時都對這些些位進行檢檢查，僅當(dāng)當(dāng)兩者的特特征位相匹匹配時才允允許訪問，，否則產(chǎn)生生保護中斷斷。18內(nèi)存及地址址保護5.分段、分頁頁和段頁式式程序可以被被劃分為許許多具有不不同存取權(quán)權(quán)限的塊，，每塊具有有一個邏輯輯實體，可可以是一個個過程代碼碼或是一個個數(shù)組的數(shù)數(shù)據(jù)等等。。從邏輯上講講，程序員員將程序看看做一系列列段的集合合，段可以以分別重定定位，允許許將任何段段放在任何何可用的內(nèi)內(nèi)存單元內(nèi)內(nèi)。操作系系統(tǒng)通過在在段表中查查找段名以以確定其實實際的內(nèi)存存地址，用用戶程序并并不知道也也無需知道道程序所使使用的實際際內(nèi)存地址址。這種地地址隱藏的的意義：其一，操作作系統(tǒng)可以以將任何段段移到任何何內(nèi)存單元元中。其二，若段段當(dāng)前未使使用的話，，可以將其其移出主內(nèi)內(nèi)存，并存存入輔存中中，這樣可可以讓出存存儲空間。。其三，每個個地址引用用都經(jīng)由操操作系統(tǒng)處處理，以保保證系統(tǒng)行行使其安全全保護檢查查的職責(zé)。。19內(nèi)存及地址址保護和程序分段段相對應(yīng)的的是分頁。。從保護的角角度來看，，分頁可能能有一個嚴嚴重的缺陷陷，它和分分段不同，，分段有可可能將不同同的段賦予予不同的保保護權(quán)限(如只讀或只只執(zhí)行)，可以在地地址轉(zhuǎn)換中中很方便地地解決保護護問題，而而使用分頁頁由于沒有有必要將頁頁中的項看看做整體，，因此，不不可能將頁頁中的所有有信息置為為同一屬性性。20文件保護--訪問類型訪問類型讀–從文件中讀讀寫–對文件寫或或改寫執(zhí)行–將文件裝入入內(nèi)存并執(zhí)執(zhí)行它。添加–將新信息添添加到文件件尾部。刪除–刪除文件并并釋放它所所占據(jù)的空空間。列表清單–列出文件名名稱和屬性性。其它操作，，例如文件件的復(fù)制是基于上面面列出的某某些基本操操作來實現(xiàn)現(xiàn)的。21文件保護--文件密碼每個文件關(guān)聯(lián)一個密碼如果每個文文件關(guān)聯(lián)一一個單獨的的密碼，那那么需要多多少密碼呢呢？為所有的文文件用一個個密碼，那那么一旦密密碼被發(fā)現(xiàn)現(xiàn)所有的文文件都可以以訪問。TOPS-20(forDEC’’sPDP機器)允許用戶為為目錄而不是是文件關(guān)聯(lián)聯(lián)一個密碼碼。MSWindows文件共享––在網(wǎng)網(wǎng)絡(luò)環(huán)境中中設(shè)置一個個密碼以讓讓其他用戶戶共享PC上的一個目目錄。22文件保護--訪問控制列列表讓訪問依賴賴于用戶的的身份每個文件或或目錄關(guān)聯(lián)聯(lián)一個訪問列表，以給定每每個用戶名名及其所允允許的訪問問類型。23文件保護--訪問控制列列表在VMS上實現(xiàn)在Unix上為非通用用的（存在在許可系統(tǒng)統(tǒng)以提供合合理的保護護）開銷：如果果允許每個個用戶都能能讀文件，，那么必須須列出所有有具有讀訪訪問權(quán)限的的用戶--控制列表很很大。24文件件保保護護--文件件許許可可為了了精精簡簡訪訪問問列列表表，，許許多多系系統(tǒng)統(tǒng)為為每每個個文文件件采采用用了了三三種種用用戶戶類類型型。。擁有有者者，，組組，，其其他他組必必須須通通過過超超級級用用戶戶建建立立為每每個個文文件件的的目目錄錄項項附附加加上上一一組組許許可可。。即文文件件或或目目錄錄：：可可讀讀、、可可寫寫、、可可執(zhí)執(zhí)行行25文件件保保護護--文件件許許可可然而而，，對對于于這這種種保保護護方方案案，，如如果果一一個個文文件件的的用用戶戶類類型型為為““其其他他””，，文文件件許許可可屬屬于于為為““可可讀讀””，，那那么么無法法阻阻止止別別人人讀文文件件。。26文件件保保護護--Unix文件件許許可可-rwxrwxrwxafileuser(owner)groupother(world)fileugo27文件件保保護護--Unix文件件許許可可-rwxr--r--user(you)groupother(world)file你建建立立的的某某個個文文件件28文件件保保護護--Unix文件件許許可可drwxr-xr-xuser(you)groupother(world)directory你建建立立的的某某個個目目錄錄29文件件保保護護--Unix目錄錄許許可可讀–可以以列列出出存存儲儲在在該該目目錄錄中中所所有有的的文文件件名名稱稱。。寫–用戶戶被被允允許許建建立立或或移移動動該該目目錄錄中中的的文文件件。。執(zhí)行行–用戶戶可可以以““通通過過””該該目目錄錄搜搜索索子子目目錄錄。。30文件件保保護護--Unix文件件許許可可-r--------user(root)group(sys)other(world)file/etc/shadow（影子子文文件件））31文件件保保護護--訪問問（（存存取?。┚鼐仃囮囈唤M組訪訪問問權(quán)權(quán)限限可可以以看看成成一一個個矩陣陣。矩陣陣提供供了了一一個個指指定定保保護護策策略略的的方方法法。。D1D2D3D4讀F1F2F3打印機讀打印讀執(zhí)行讀、寫讀、寫對象象保護護域(F1,F2,F3:文件件)32安全全33備份份與與恢恢復(fù)復(fù)34備份份由于于磁磁盤盤有有時時會會出出錯錯，，所所以以從從磁磁盤盤上上備備份份數(shù)數(shù)據(jù)據(jù)到到其其它它存存儲儲設(shè)設(shè)備備（（軟軟盤盤、、磁磁帶帶、、光光盤盤））上上是是十十分分重重要要的的。。大公公司司的的典典型型備備份份方方案案（（下一一張張幻幻燈燈片片）存儲儲成成永永久久的的備備份份并并遠離離計算算機機如果果火災(zāi)災(zāi)摧毀毀了了計計算算機機實實驗驗室室…35一個個典典型型的的備備份份計計劃劃第1天：：完全全備備份份–從磁磁盤盤上上復(fù)復(fù)制制所所有有的的文文件件到到備備份份介介質(zhì)質(zhì)。。第2天天：：復(fù)復(fù)制制自自第第一一天天后后改改變變的的文文件件到到另另一一個個備備份份介介質(zhì)質(zhì)。。這這是是增量備份。第3天：復(fù)制自第第二天后改變變的所有文件件到另一個備備份介質(zhì)。……第N天：復(fù)制自第第N-1天后改變的所所有文件到另另一個備份介介質(zhì)。然后回回到第一天備備份上并重復(fù)復(fù)。要不時地進行行完全備份以以永遠保存。。36驗證如果用戶帳戶戶可以很容易易地被未經(jīng)授授權(quán)的人員訪訪問，那么內(nèi)內(nèi)部保護是沒沒有用。一個主要的安安全問題是驗驗證，應(yīng)該怎怎樣確定一個個用戶的身份份是否真實呢呢？最常用的方法法是使用用戶戶名（標(biāo)識符符）和密碼（（驗證碼）。。用戶的身份決決定了他們訪訪問計算機資資源的級別。。資源：CPU（計算時間）、、文件、外部部設(shè)備等。37Unix驗驗證詳細資料存儲儲在/etc/passwd文件中傳統(tǒng)的格式是是：用戶名加密密碼（現(xiàn)在存儲在/etc/shadow文件中）用戶ID(UID)組ID(GID)用戶全名主目錄登錄shelltgray:qU48usgPj5m:2000:260:TonyGray:/u/soc/tgray:/bin/csh38密碼加密絕大多數(shù)系統(tǒng)統(tǒng)為了提高安安全性采用加加密密碼。密碼不以明文文存儲。在Unix中，輸入的密密碼被加密并并與/etc/shadow（影子）文件件中的密碼條條目比較。影子文件僅超超級用戶可讀讀。39Unix影子文件（權(quán)權(quán)限）-r--------超級用戶同組用戶其他用戶文件/etc/shadow文件（權(quán)限））40密碼脆弱的一一面加密的密碼是是難以破解的的例如，Unix系統(tǒng)為加密密密碼采用一種種單向（不可逆）的的數(shù)學(xué)函數(shù)。。然而，如果用戶選擇的密密碼不好例如，用戶名名或自己喜愛愛的車名。41密碼脆弱的一一面在過去，黑客客可以獲?。ǎㄆ渌脩艨煽勺x）密碼文文件（/etc/passwd），并給字典典中的所有單單詞加密，再再將加密結(jié)果果和密碼文件件中的密碼做做比較。42密碼脆弱的一一面有兩種常見的的猜測密碼的的方法。第一種，入侵侵者（人或程程序）掌握了了目標(biāo)用戶的的有關(guān)信息。。第二種，使用用暴力：一個個由十進制數(shù)數(shù)組成的長度度為4位位的密碼只有有10000種可能能。平均5000次次命中一個密密碼（一個程程序可能只花花5秒鐘鐘就可以猜出出一個4位位的純數(shù)字字密碼）。43密碼脆弱的一一面可見的監(jiān)視在用戶登錄時時，入侵者的的視線可以越越過用戶的肩肩膀偷窺用戶戶密碼（偷窺）。電子的監(jiān)視網(wǎng)絡(luò)監(jiān)視器將將讓入侵者看看到所有在網(wǎng)網(wǎng)絡(luò)上傳輸?shù)牡臄?shù)據(jù)（嗅探），包括密碼碼。數(shù)據(jù)加密解決決了這個問題題。44密碼脆弱的一一面某些系統(tǒng)強迫迫用戶使用很很難記憶的或或是很長的密密碼。這可能迫使用用戶將密碼記記錄下來，這這比允許使用用簡單密碼的的系統(tǒng)更不安安全。用戶選擇的密密碼常常很容容易被猜中（（例如，寵物物狗的名字））。45密碼密碼不要用：：用戶名字或?qū)檶櫸锩菀着c用戶相相關(guān)聯(lián)的任何何東西。字典中的單詞詞上面任何一個個的顛倒。46密碼密碼要：有足夠長度（（但是有些系系統(tǒng)有限制長長度）。用混有數(shù)字、、特定字符的的組合。用一些對自己己容易記住，，但是對別人人又難以猜到到的數(shù)字、字字符組合。用輸入較快的的數(shù)字、特定定字符的組合合。不要記錄下密密碼。不時改變密碼碼。47其他密碼機制制產(chǎn)生密碼的一一種好方法：：用一個容易易記憶的短語語中每個單詞詞的第一個字字母。例如：：MmniHKW.Mymother’’snameisHelenKateWilliams.在密密碼碼輸輸入入多多次次錯錯誤誤后后，，帳帳戶戶封封鎖鎖。。密碼碼老老化化并并強強制制改改變變但是是用用戶戶可可能能只只準(zhǔn)準(zhǔn)備備兩兩個個密密碼碼，，并并在在這這兩兩個個密密碼碼之之間間切切換換。。防止止密密碼碼重重用用記錄錄用用戶戶用用過過的的N個密密碼碼，，并并禁禁止止它它們們重重用用。。48其他他密密碼碼機機制制一次次性性密密碼碼：：用用一一個個算法法作為為一一個個密密碼碼。。例如如，，計計算算機機選選擇擇一一個個隨隨機機的的整整數(shù)數(shù)12，，并并告告知知用用戶戶。。加密密算算法法是：：1+2+2+0=5（假定定當(dāng)當(dāng)前前日日期期是是某某月月的的20號號））所以以用用戶戶對對計計算算機機的的響響應(yīng)應(yīng)是是5計算算機機用用相相同同的的算算法法計計算算得得到到該該數(shù)數(shù)5，那么么訪訪問問被被允允許許。。（這里里“5””是一一次次性性密密碼碼，，因因為為下下次次就就不不同同了了?。。┻@里里加加密密算算法法是是計計算算機機系系統(tǒng)統(tǒng)與與用用戶戶約約定定的的、、保保密密的的。。49其他他密密碼碼機機制制下一一次次：：計計算算機機選選擇擇另另一一個個隨隨機機整整數(shù)數(shù)120加密密算算法法：1+2+0+2+1=6（假定定日日期期為為某某月月的的21號號））所以以用用戶戶對對計計算算機機的的響響應(yīng)應(yīng)一一定定是是6計算算機機用用相相同同的的算算法法計計算算得得到到該該數(shù)數(shù)6，那么么訪訪問問被被允允許許。。50程序序威威脅脅51特洛洛伊伊木木馬馬特洛洛伊伊木木馬馬：：一一種種偽偽裝裝成成正正常常應(yīng)應(yīng)用用程程序序的的程程序序。。例如如，，一一種種聲聲稱稱能能讓讓你你擺擺脫脫計計算算機機病病毒毒但但卻卻把把計計算算機機病病毒毒引引入入你你計計算算機機的的程程序序。。另一一個個例例子子，，是是為為獲獲取取密密碼碼而而偽造造的的登登錄錄程程序序（演演示示示示例例））。。特洛洛伊伊木木馬馬不不會會自自我我復(fù)復(fù)制制。。52后門門后門門在應(yīng)應(yīng)用用程程序序中中故故意意留留下下的的、、只只有有編編程程者者自自己己能能夠夠使使用用的的漏漏洞洞，，要要發(fā)發(fā)現(xiàn)現(xiàn)它它必必須須檢檢查查所所有有的的源源代代碼碼！！例如如，，一一種種總總是是可可以以接接受受特特殊殊用用戶戶名名和和密密碼碼的的登登錄錄方方案案。。此外外還還有有棧棧和和緩緩沖沖區(qū)區(qū)溢溢出出問問題題（（演演示示示示例例））。。53蠕蟲蟲絕大大多多數(shù)數(shù)操操作作系系統(tǒng)統(tǒng)都都為為進進程程提提供供了了產(chǎn)產(chǎn)生生其其他他進進程程的的方方法法。。蠕蟲蟲是一一種種利利用用繁繁殖殖（（spawn）機機制制進進行行自自我我復(fù)復(fù)制制，，直直到到耗耗盡盡系系統(tǒng)統(tǒng)資資源源的的程程序序。。54病毒毒病毒毒是一一個個內(nèi)內(nèi)嵌嵌到到合合法法程