桌面操作系統(tǒng)平臺的安全性

3桌面操作系統(tǒng)平臺的安全性張建宇〔19908065〕引言在安全層次模型中，桌面操作系統(tǒng)的安全性屬于系統(tǒng)級安全的范疇。桌面操Linux、WindowsNT4.x系統(tǒng)中常見的安全問題、安全性設(shè)計(jì)的主要原則和安全效勞的主要內(nèi)容。桌面操作系統(tǒng)中常見的安全問題對供給網(wǎng)絡(luò)效勞的系統(tǒng)平臺來說，安全性問題主要表達(dá)在網(wǎng)絡(luò)通信安全、網(wǎng)關(guān)于桌面操作系統(tǒng)的安全，主要考慮的有如下幾個(gè)：惡意程序的威逼。包括病毒、規(guī)律炸彈、后門、特洛伊木馬等等。意地錯(cuò)誤使用某些功能而導(dǎo)致重要信息失密。操作指令。程序的執(zhí)行還應(yīng)當(dāng)承受“最小特權(quán)”原則，即程序應(yīng)依據(jù)它能做事的最小權(quán)限運(yùn)行，否則就有可能被人利用。數(shù)據(jù)的安全性。機(jī)密數(shù)據(jù)假設(shè)沒有保存在安全的空間內(nèi)，或者數(shù)據(jù)的加密處理不夠標(biāo)準(zhǔn)和強(qiáng)健，也可能帶來安全問題。E項(xiàng)則與數(shù)據(jù)加密相關(guān)，本文不做爭論。BDC用戶身份認(rèn)證機(jī)制，是本文爭論的重點(diǎn)。安全性設(shè)計(jì)的原則Saltzer和Schroeder提出了一些根本原則：系統(tǒng)設(shè)計(jì)必需公開。認(rèn)為入侵者由于不知道系統(tǒng)的工作原理而會(huì)削減入侵可能性的想法是錯(cuò)誤的，這樣只能迷惑治理者。狀況更簡潔獲知。檢查操作的當(dāng)前授權(quán)信息。系統(tǒng)不應(yīng)只檢查訪問是否允許，然后只依據(jù)第一次的檢查結(jié)果而不理睬后續(xù)的操作。的最小權(quán)限。保護(hù)機(jī)制必需簡潔、全都并建立到系統(tǒng)底層。系統(tǒng)的安全性和系統(tǒng)的正固有的特性。所供給的方案保護(hù)數(shù)據(jù)。桌面操作系統(tǒng)的安全效勞面：用戶治理的安全性。首先，是用戶帳號的治理。通常對用戶帳號進(jìn)展分組治理，并且這種分統(tǒng)資源和數(shù)據(jù)，執(zhí)行指定范圍的程序。強(qiáng)度，用戶的口令存放必需安全，不能被輕易竊取。最終，是認(rèn)證機(jī)制。身份認(rèn)證必需強(qiáng)有力，在用戶登錄時(shí)，與系統(tǒng)的交的重點(diǎn)。訪問掌握。只有經(jīng)授權(quán)的用戶，才允許訪問特定的網(wǎng)絡(luò)資源。用戶訪問系統(tǒng)資源或執(zhí)行程序時(shí)，系統(tǒng)應(yīng)領(lǐng)先進(jìn)展進(jìn)展合法性檢查，沒有得控，防止用戶越權(quán)。程序的執(zhí)行也應(yīng)當(dāng)受到監(jiān)控。程序執(zhí)行應(yīng)遵循“最小”特權(quán)原則，程序不能也不能越權(quán)訪問無關(guān)的重要資源。用戶身份認(rèn)證用戶身份認(rèn)證通常承受帳號/密碼的方案。用戶供給正確的帳號和密碼后，〔或NTLM,1988〕安全技術(shù)進(jìn)展身份認(rèn)證。LinuxLinuxinit確保為每個(gè)終端連接〔或虛擬終端〕運(yùn)行一個(gè)getty程序。getty監(jiān)聽對應(yīng)的終端并等待用戶預(yù)備登錄。getty〔保存在/etc/issue戶名，最終運(yùn)行l(wèi)ogin程序。login以用戶作為參數(shù)，提示用戶輸入密碼。假設(shè)用戶名和密碼相匹配，則loginshell。否則，login程序退出，進(jìn)程終止。init程序留意到login進(jìn)程已終止，則會(huì)再次為該終端啟動(dòng)getty。在上述過程中，唯一的進(jìn)程是initforkgetty和login僅僅利用exec系統(tǒng)調(diào)用替換了正在運(yùn)行的進(jìn)程。由于其后建立的進(jìn)程均是由shellshell的安全性屬性，包括uid和gid。Linux/etc/passwd〔密碼文件〕中保存根本的用戶數(shù)據(jù)庫，其密后的密碼。由于系統(tǒng)中的任何用戶均可以讀取該文件的內(nèi)容，因此，全部人均可以讀取passwd時(shí)間就可以破譯。很多Linux系統(tǒng)利用影象密碼以避開在密碼文件中保存加密的密碼，它們將密碼保存在單獨(dú)的/etc/shadow文件中，只有root才能讀取該文件，而/etc/passwd文件只在其次個(gè)字段中包含特別的標(biāo)記。帳號/密碼的認(rèn)證方案普遍存在著安全的隱患和缺乏之處：認(rèn)證過程的安全保護(hù)不夠強(qiáng)健，登錄的步驟沒有做集成和封裝，暴露在外，簡潔受到惡意入侵者或系統(tǒng)內(nèi)特洛伊木馬的干擾或者截取。密碼的存放與訪問沒有嚴(yán)格的安全保護(hù)。比方，Linux系統(tǒng)中全部用戶/etc/passwd件的默認(rèn)訪問許可是任何用戶均可讀，因此，任何可能獲得該文件副本的人，就有可能獲得系統(tǒng)全部用戶的列表，進(jìn)而破譯其密碼。認(rèn)證機(jī)制與訪問掌握機(jī)制不能很好地相互協(xié)作和連接，使得通過認(rèn)證的合法用戶進(jìn)展有意或無意的非法操作的時(shí)機(jī)大大增加。例如能夠物理問WindowsNT機(jī)器的任何人，可能利用NTRecoverWinternalNTLocksmithAdministrator問權(quán)。為此，Windows2000對身份認(rèn)證機(jī)制做了重大的改進(jìn)引入了的認(rèn)證協(xié)議。Window2000除了為向下兼容供給了對NTLM驗(yàn)證協(xié)議的支持以外〔作為桌面平臺使用時(shí)〕,還增加了KerberosV5和TLS作為分布式的安全性協(xié)議。它支持對smartcards的使用,這供給了在密碼根底之上的一種交互式的登錄。 Smartcards支持密碼系統(tǒng)和對私有密鑰和證書的安全存儲Kerberos客戶端的運(yùn)行時(shí)刻是通過一個(gè)基于SSPI的安全性接口來實(shí)現(xiàn)的,客戶Kerberos驗(yàn)證過程的初始化集成到了WinLogon單一登錄的構(gòu)造中。訪問掌握〔對象、權(quán)限〕對，每個(gè)〔對象，權(quán)限〕對指定了一個(gè)對象以及能夠在這個(gè)對象上執(zhí)行的操作子集。保護(hù)域可以相互穿插。進(jìn)程在執(zhí)行過程中，可以依據(jù)狀況在不同的保護(hù)域中切換，不同的系統(tǒng)對切換規(guī)章的定義不同。AC。在ACL中，每個(gè)對象具有一個(gè)關(guān)聯(lián)列表，該列表定義了全部可能訪問該file1(user1,*,RW-)(user2,*,---)(*,devs,RW-)file2file1(user1,*,RW-)(user2,*,---)(*,devs,RW-)file2(dev1,devs,RWX)(dev2,devs,R-X)(*,users,R--)其中，RWX〔Read、寫入〔Write〕和執(zhí)行〔eXecute〕減號代表拒確定應(yīng)的權(quán)限，星號代表全部的用戶或組。NTACLWindowsNTWindowsNT當(dāng)用戶登錄到WindowsNT系統(tǒng)時(shí)，和UNIX系統(tǒng)類似，WindowsNT也使用帳號/密碼機(jī)制驗(yàn)證用戶身份。假設(shè)系統(tǒng)允許用戶登錄，則安全性子系統(tǒng)將建SID繼承初始進(jìn)程的訪問令牌。訪問令牌有兩個(gè)目的：推斷用戶的訪問權(quán)限。由于每個(gè)進(jìn)程均有一個(gè)與之相關(guān)聯(lián)的訪問令牌，因此，每個(gè)進(jìn)程也可以修改進(jìn)程的安全性特征。WindowsNT初始時(shí)制止全部的用戶可能擁有的特權(quán)，而當(dāng)進(jìn)程需要某個(gè)特權(quán)時(shí)，才翻開相應(yīng)的特權(quán)。由于WindowsNT的負(fù)面影響。WindowsNT承受了安全性描述符。安全性組對某個(gè)對象的訪問權(quán)限。當(dāng)某個(gè)進(jìn)程要訪問一個(gè)對象時(shí)，進(jìn)程的SID將和對象的訪問掌握列表比較，打算是否運(yùn)行訪問該對象。以下圖給出了訪問令牌、安全標(biāo)識符、安全性描述符以及訪問掌握列表之間的關(guān)系。訪問權(quán)限。WindowsNT在內(nèi)部利用用戶安全標(biāo)識符，以及組安全標(biāo)識符唯一標(biāo)WindowsNTACL由ACE〔訪問掌握項(xiàng)〕組成，每個(gè)ACE標(biāo)識用戶或組問的ACE。當(dāng)WindowsNT依據(jù)進(jìn)程的存取令牌確定訪問許可時(shí)，依據(jù)如下規(guī)章：ACLACE，ACE問懇求，或者拒絕了用戶所在組的訪問懇求。用戶所在的組。對ACL中的每項(xiàng)ACE重復(fù)A，B步驟，直到遇到拒絕訪問，或直到累計(jì)全部懇求的許可均被滿足為止。拒絕訪問。NT如下步驟：進(jìn)程用懇求的許可翻開對象。例如，用戶以讀寫方式翻開文件。ACL許用戶利用懇求的許可翻開對象。這些句柄和授權(quán)許可表返回到進(jìn)程中，并在進(jìn)程的對象表中存放。ACL。在翻開的對象上隨后進(jìn)展的操作，依據(jù)在C中保存的對象權(quán)限表進(jìn)展，而不是每次均和ACL比較，這主要是出于性能考慮。由于授權(quán)許可表只反映了翻開對象時(shí)的對象安全描述符狀態(tài)，在關(guān)閉這一對象之前，進(jìn)程對該對象的訪問始終沿用最A(yù)CL之前的操作?？偨Y(jié)地訪問和使用系統(tǒng)資源。Linux和WindowsNT。LinuxUNIXUNIX能夠在很快的時(shí)間內(nèi)覺察并得到解決方案。相比起來，雖然WindowsNTACL技術(shù)更加簡單和嚴(yán)密，但由于其密可能有很多安全漏洞尚未覺察。下表給出了WindowsNT和Linux在安全性機(jī)制上的比較。比較項(xiàng) WindowsNT帳號保存 注冊表Linux文本文件用戶驗(yàn)證 帳號名/密碼密碼處理 不公開帳號名/密碼root可見加密后的密碼〔承受影像密碼時(shí)〕密碼治理 可實(shí)施強(qiáng)制規(guī)章可實(shí)施強(qiáng)制規(guī)章用戶標(biāo)識保護(hù)機(jī)制SID和組完全ACLSID，不行修改uid和gid，可修改壓縮為9個(gè)位的ACL保護(hù)域切換安全設(shè)計(jì)是否公開是有效uid和gid否簡單性比較簡單簡潔有效Windows