《第4章操作系统安全概要》由会员分享,可在线阅读,更多相关《第4章操作系统安全概要(111页珍藏版)》请在金锄头文库上搜索。
1、2019/10/29,计算机系统安全原理与技术,1,第4章 操作系统安全,2019/10/29,计算机系统安全原理与技术,2,本章主要内容,操作系统的安全问题 存储器保护 用户认证 访问控制 Windows 2000(XP)系统的安全机制,2019/10/29,计算机系统安全原理与技术,3,4.1 操作系统的安全问题,操作系统安全的重要性 操作系统的安全是整个计算机系统安全的基础,没有操作系统安全,就不可能真正解决数据库安全、网络安全和其他应用软件的安全问题。,2019/10/29,计算机系统安全原理与技术,4,操作系统面临的安全威胁 (1)恶意用户 (2)恶意破坏系统资源或系统的正常运行,危
2、害计算机系统的可用性 (3)破坏系统完成指定的功能 (4)在多用户操作系统中,各用户程序执行过程中相互间会产生不良影响,用户之间会相互干扰。,2019/10/29,计算机系统安全原理与技术,5,操作系统安全的目标 标识系统中的用户并进行身份鉴别; 依据系统安全策略对用户的操作进行存取控制,防止用户对计算机资源的非法存取; 监督系统运行的安全; 保证系统自身的安全性和完整性。,2019/10/29,计算机系统安全原理与技术,6,为了实现操作系统安全的目标,需要建立相应的安全机制 包括: 隔离控制 存储器保护 用户认证 访问控制等 下面先介绍隔离控制,其它安全机制在后面介绍。,2019/10/29
3、,计算机系统安全原理与技术,7,隔离控制的方法有四种:, 物理隔离。在物理设备或部件一级进行隔离,使不同的用户程序使用不同的物理对象。 时间隔离。对不同安全要求的用户进程分配不同的运行时间段。对于用户运算高密级信息时,甚至独占计算机进行运算。,2019/10/29,计算机系统安全原理与技术,8, 逻辑隔离。多个用户进程可以同时运行,但相互之间感觉不到其他用户进程的存在,这是因为操作系统限定各进程的运行区域,不允许进程访问其他未被允许的区域。 加密隔离。进程把自己的数据和计算活动隐蔽起来,使他们对于其他进程是不可见的,对用户的口令信息或文件数据以密码形式存储,使其他用户无法访问,也是加密隔离控制
4、措施。,2019/10/29,计算机系统安全原理与技术,9,这几种隔离措施实现的复杂性是逐步递增的,而它们的安全性则是逐步递减的. 前两种方法的安全性是比较高的,但会降低硬件资源的利用率。后两种隔离方法主要依赖操作系统的功能实现。,2019/10/29,计算机系统安全原理与技术,10,4.2 存储器保护,内存储器是操作系统中的共享资源,即使对于单用户的个人计算机,内存也是被用户程序与系统程序所共享,在多道环境下更是被多个进程所共享。为了防止共享失去控制和产生不安全问题,对内存进行保护是必要的。,内存储器是操作系统中的共享资源, 内存被用户程序与系统程序所共享 在多道环境下更是被多个进程所共享。
5、,2019/10/29,计算机系统安全原理与技术,11,内存保护的目的是:,防止对内存的未授权访问; 防止对内存的错误读写,如向只读单元写; 防止用户的不当操作破坏内存数据区、程序区或系统区; 多道程序环境下,防止不同用户的内存区域互不影响; 将用户与内存隔离,不让用户知道数据或程序在内存中的具体位置;,2019/10/29,计算机系统安全原理与技术,12,常用的内存保护技术 (取决于内存储技术),单用户内存保护技术 多道程序的保护技术 分段与分页保护技术 内存标记保护法,2019/10/29,计算机系统安全原理与技术,13,4.2.1 单用户内存保护问题 可以利用地址界限寄存器在内存中规定一
6、条区域边界(一个内存地址),用户程序运行时不能跨越这个地址。利用该寄存器也可以实现程序重定位功能,可以指定用户程序的装入地址。,2019/10/29,计算机系统安全原理与技术,14,系统区 用户区 (内存),界限寄存器,单用户内存保护,利用地址界限寄存器,2019/10/29,计算机系统安全原理与技术,15,4.2.2 多道程序的保护 单用户内存保护存在的问题:利用一个基址寄存器无法使把这些用户程序分隔在不同内存区运行 。 解决办法:再增加一个寄存器保存用户程序的上边界地址。 硬件系统将自动检查程序代码所访问的地址是否在基址与上边界之间,若不在则报错。 用这种办法可以把程序完整地封闭在上下两个
7、边界地址空间中,可以有效地防止一个用户程序访问甚至修改另一个用户的内存。,2019/10/29,计算机系统安全原理与技术,16,如果使用多对基址和边界寄存器,还可以把用户的可读写数据区与只读数据区和程序区互相隔离,这种方法可以防止程序自身的访问错误。例如,可以防止向程序区或只读数据区写访问。,2019/10/29,计算机系统安全原理与技术,17,系统区 程序R内存区 程序S内存区 程序T内存区,基地址寄存器,边界址寄存器,多道程序的保护,2019/10/29,计算机系统安全原理与技术,18,4.2.3 标记保护法 基址与边界寄存器技术的问题:只能保护数据区不被其他用户程序访问,不能控制自身程序
8、对同一个数据区内单元有选择的读或写。 例如,一个程序中若没有数组越界溢出检查,当向该数组区写入时就有可能越界到其他数据单元,甚至越界到程序代码区(这就是缓冲区溢出的一种情况),而代码区是严格禁止写的。,2019/10/29,计算机系统安全原理与技术,19,解决方法:为了能对每个存储单元按其内容要求进行保护,例如有的单元只读,读/写、或仅执行(代码单元)等不同要求,可以在每个内存单元中专用几个比特来标记该单元的属性。 除了标记读、写、执行等属性外,还可以标记该单元的数据类型,如数据、字符、地址、指针或未定义等。,2019/10/29,计算机系统安全原理与技术,20,内存加标记,其中E表示执行,R
9、表示读,W表示写,OR表示只读。,2019/10/29,计算机系统安全原理与技术,21,4.2.4 分段与分页技术 对于稍微复杂一些的用户程序,通常按功能划分成若干个模块(过程)。每个模块有自己的数据区,各模块之间也可能有共享数据区。各用户程序之间也可能有共享模块或共享数据区。 这些模块或数据区有着不同的访问属性和安全要求,使用上述各种保护技术很难满足这些要求。,2019/10/29,计算机系统安全原理与技术,22,分段技术的作用 分段技术就是试图解决较大程序的装入、调度、运行和安全保护等问题的一种技术。 分段以模块(过程或子程序)为单位。 采用分段技术,用户不知道他的程序实际使用的内存物理地
10、址。这种隐藏对保护用户代码与数据的安全是极有好处的。,2019/10/29,计算机系统安全原理与技术,23,分段技术的优点: (1)在段表中除了与段名对应的段号及段基址外,还可以增加必要的访问控制信息,对于任何企图访问某个段的操作,操作系统和硬件都可以进行检查。 (2)分段技术几乎可以实现对程序的不同片段分别保护的目标。根据各段敏感性要求,为各段划分安全级,并提供不同的保护措施。,2019/10/29,计算机系统安全原理与技术,24,(3)分段技术的保护功能可以检查每一次对内存访问是否合法,可以让保护粒度达到数据项级。 (4)可以为了实施保护而检查每一次地址访问。 (5)还可以避免允许用户直接
11、指定内存地址或段区所带来的安全问题,也可以让多个用户用不同的权限访问一个段。,2019/10/29,计算机系统安全原理与技术,25,段的管理方式存在的问题与困难 (1)由于各段的长度不相同,对内存管理造成了困难,容易产生内存“碎片”。 (2)保护方面的困难与段的大小有关。对于尺寸较小的段A(如1K字节长),程序可能产生一个有效的段访问参照,但却超过了该段的末端边界。这是一个很大的安全漏洞。,2019/10/29,计算机系统安全原理与技术,26,(3)在许多情况下(如段内部包含动态数据结构)要求在使用段方式时允许段的尺寸可以增大。为了保证安全起见,要求系统检查所产生的地址,验证其是否超出所访问的
12、段的末端。 (4)段名不易在指令中编码,由操作系统查名字表的速度也会很慢。解决的办法是由编译器把段名转化为数字,并建立一张数字与段名之间的对照表。但这又为段的共享带来麻烦,因为每个调用者都必须知道该段的编号。,2019/10/29,计算机系统安全原理与技术,27,分段与分页的问题与作用 为了解决分段可能产生的内存碎片问题,引入了分页技术。分页是把目标程序与内存都划分成相同大小的片段,这些片段就称为“页”。 分页技术解决了碎片问题,但损失了分段技术的安全功能。 由于段具有逻辑上的完整意义,而页则没有这样的意义,程序员可以为段规定某些安全控制要求,但却无法指定各页的访问控制要求。,2019/10/
13、29,计算机系统安全原理与技术,28,虚拟存储器 将分页与分段技术结合起来使用,由程序员按计算逻辑把程序划分为段,再由操作系统把段划分为页。 操作系统同时管理段表与页表,完成地址映射任务和页面的调进调出,并使同一段内的各页具有相同安全管理要求。,2019/10/29,计算机系统安全原理与技术,29,虚拟存储器 系统还可以为每个物理页分配一个密码,只允许拥有相同密码的进程访问该页,该密码由操作系统装入进程的状态字中,由硬件对进程的密码进行检验。这种安全机制有效地保护了虚拟存储器的安全。,2019/10/29,计算机系统安全原理与技术,30,4.3 用户认证,用户认证的任务是确认当前正在试图登录进
14、入系统的用户就是账户数据库中记录的那个用户。认证用户的方法一般有三种: (1)要求输入一些保密信息,如用户的姓名、通行字或加密密钥等; (2)稍微复杂一些鉴别方法,如询问应答系统、采用物理识别设备(如访问卡、钥匙或令牌标记)等方法; (3)利用用户生物特征,如指纹、声音、视网膜等识别技术对用户进行唯一的识别。,2019/10/29,计算机系统安全原理与技术,31,4.3.1 口令认证方法 口令是一种容易实现并有效地只让授权用户进入系统的方法。 口令是用户与操作系统之间交换的信物。用户想使用系统,首先必须通过系统管理员向系统登录,在系统中建立一个用户账号,账号中存放用户的名字(或标识)和口令。用
15、户输入的用户名和口令必须和存放在系统中的账户/口令文件中的相关信息一致才能进入系统。没有一个有效的口令,入侵者要闯入计算机系统是很困难的。,2019/10/29,计算机系统安全原理与技术,32,破解口令是黑客们攻击系统的常用手段,那些仅由数字组成、或仅由字母组成、或仅由两、三个字符组成、或名字缩写、或常用单词、生日、日期、电话号码、用户喜欢的宠物名、节目名等易猜的字符串作为口令是很容易被破解的。这些类型的口令都不是安全有效的,常被称为弱口令。,2019/10/29,计算机系统安全原理与技术,33,选取口令应遵循以下规则: 扩大口令字符空间 口令的字符空间不要仅限于26个大写字母,要扩大到包括2
16、6个小写字母和10个数字,使字符空间可达到62个之多。 在UNIX系统中,还把其他一些特殊符号(如+、*、/、%、#、等)也作为口令的字符空间,因此其口令的安全性更高。,2019/10/29,计算机系统安全原理与技术,34, 选择长口令 选择长口令可以增加破解的时间。假定字符空间是26个字母,如果已知口令的长度不超过3,则可能的口令有26+26*26+26*26*26=18278个。若每毫秒验证一个口令,只需要18多秒钟就可以检验所有口令。,2019/10/29,计算机系统安全原理与技术,35, 选用无规律的口令 不要使用自己的名字、熟悉的或名人的名字作为口令,不要选择宠物名或各种单词作为口令,因为这种类型的口令往往是破解者首先破解的对象,由于它们的数量有限(常用英文词汇量只不过15万左右),对计算机来说不是一件困难的事情。 假定按每毫秒穷举一个英文单词的速度计算,15万个单词也仅仅需要150秒钟时间。,2019/10/29,计算机系统安全原理与技术,36,口令要自己记忆 为了安全起见,再复杂的口令都应该自己记忆。 口令更换
