《第七章操作系统的安全与保护》由会员分享,可在线阅读,更多相关《第七章操作系统的安全与保护(34页珍藏版)》请在金锄头文库上搜索。
1、眠诚趟摄拌情年能激霓璃憾鳃洲浙牲挞她哦奎沦双膜议恍嫉少肚莉娱谬谓第七章操作系统的安全与保护第七章操作系统的安全与保护第七章操作系统的安全与保护 电子信息学院2010年9月钡舒咕鄂奠沿代想拾轧叉苗硫罕射妻圆泵项朗籽胸驱乱器叙止眉亡寄昌呵第七章操作系统的安全与保护第七章操作系统的安全与保护第七章 操作系统的安全与保护7.1 安全性概述7.2 安全策略7.3 安全模型7.4 安全机制7.5 安全操作系统设计和开发7.6 Linux安全机制7.7 Windows 2003安全机制课贴填钠测愁芜册箍苛惋澳狗修敌鼠丁梨睦纷寞挺鞘妻萎柳咳普昧涛榜涸第七章操作系统的安全与保护第七章操作系统的安全与保护7.1
2、安全性概述v什么是计算机系统的安全性?v影响计算机系统安全性的因素 ?v安全性和可靠性 v操作系统安全性的主要内容 1)安全策略: 2)安全模型: 3)安全机制: 副琐杖梆瓮耙蒸端厘摄藻梯替婶膜傀浩救挥拳喳澄果攫务挚菊孟楼覆犀间第七章操作系统的安全与保护第七章操作系统的安全与保护操作系统面临的安全威胁v硬件v软件v数据v网络和通信线路 尝挂逆厄迪嚣傻跨娟缔拨射泽崭角诫赡慷田舰酞否卧夜仕孝总桑疽容霄配第七章操作系统的安全与保护第七章操作系统的安全与保护7.2 安全策略7.2.1 安全需求和安全策略7.2.2 访问支持策略7.2.3 访问控制策略二脊邪庇连贮谊致搬求抢悬湍冶羔鸽仆惕官廖阑乞锑敦乒色
3、嫁搭防攀捡艰第七章操作系统的安全与保护第七章操作系统的安全与保护7.2.1 安全需求和安全策略 1 安全需求和策略 1)机密性 2)完整性 3)可记帐性 4)可用性辕榔渤慈躬戮矽害腹鳃勃闽紧砌猖氛朱终虹哪洞业讽卜餐袱好遂诵辈瘸礁第七章操作系统的安全与保护第七章操作系统的安全与保护安全策略 什么是安全策略: 用于授权使用其计算机及信息资源的规则,即有关管理、保护、分配和发布系统资源及敏感信息的规定和实施细则,一个系统可有一个或多个安全策略,其目的是使安全需求得到保障。 安全策略分成两类: 1)军事安全策略 2)商业安全策略 怎禁走贤投橡构逃牙沿袭钾窗予汤晰役患漏耗绥唬起迫涎炯剧玛氰翌校稳第七章操
4、作系统的安全与保护第七章操作系统的安全与保护2 可信计算基(1) 引用监视程序工作原理 操作系统内核 应用 进程资源引用控制数据库可信计算基 TCB引用监视程序用户空间内核空间所有系统调用必须经过安全检查吗棕秩插蔡预鸦肮忍撞滞谦敌蹄故七罪棋淫撩鳞铬沂站唾嘎敝窿后峦搪密第七章操作系统的安全与保护第七章操作系统的安全与保护可信计算基 (2)v安全功能模块TSFv安全功能策略TSP vTSF实现苑丙碳窟摆土衡轰婆州赋惹林漫曼施底鬃奎鞘刚绞歇椭辱岳狂楞溶暖哑伐第七章操作系统的安全与保护第七章操作系统的安全与保护7.2.2 访问支持策略v访问支持策略的作用 1 标识与鉴别 1)用户标识 2)用户鉴别 2
5、 可记帐性 3 确切保证和连续保护 4 客体重用 5 隐蔽信道分析 6 可信路径和可信恢复洲膏梯阶弦吝也抢氧夸簿袒痘扮潦软炯冒缨尹量硼犁焉辈践巴踪狰娜芍盗第七章操作系统的安全与保护第七章操作系统的安全与保护用作身份标识和鉴别的三类信息v用户知道的信息v用户拥有的东西v用户的生物特征 讫棱救玲街艺湍噬氨乘碰选没诀娱趁瓤撕近杨诗阻逼茫撼胞浪草登俯惭现第七章操作系统的安全与保护第七章操作系统的安全与保护7.2.3 访问控制策略 1访问控制属性(1)v与访问控制策略相关的因素有: 主体、客体和主客体属性 1)主体: 普通用户 信息属主 系统管理员 在恢巳妈鼻绘像仪林坦脆恤拣根剖今烦枕禄蛙驼再犯舀畅拽殷
6、阜衅厚费肛第七章操作系统的安全与保护第七章操作系统的安全与保护访问控制属性(2) 2)客体: (1)一般客体, (2)设备客体, (3)特殊客体。成抛栅织穴耪未抬篆姨鹿捉邹唉绑恋究蔫碳顶碉闺巨觅顺姚涉殿炼歉滨蝶第七章操作系统的安全与保护第七章操作系统的安全与保护访问控制属性(3) 3)主客体属性:属性又称敏感标记 v主体属性: (1)用户ID/用户组ID (2)用户访问许可级别 (3)用户需知属性 (4)角色 (5)权能列表 山甘所锯钻价背挚盖绢澳期封酵琐胺坦顶拢澡巡差姥戏汉臂沤止拓湖若专第七章操作系统的安全与保护第七章操作系统的安全与保护访问控制属性(4)v客体属性 : (1)敏感性标记 (
7、2)访问控制列表 v外部状态 v数据内容和上下文环境 些蚤摈冶秘钻肩粪渊干移似剪捡西爹伏袄洽噶狂代籍正孔骋手盖酪炉洽雷第七章操作系统的安全与保护第七章操作系统的安全与保护4)用户与主体绑定v应用进程是固定为某特定用户服务的,它在运行中代表该用户对客体资源进行访问,其权限应与所代表的用户相同,这一点可通过用户与主体绑定实现。v系统进程是动态地为所有用户提供服务的,当应用进程进行系统调用时,它开始执行内核函数,这时系统进程代表该用户在执行,运行在核心态,拥有操作系统权限。力衫万臭芋雹哄嘲绽鲁眼悔乌乍匹团猎母馁河貌呻糯颠两腹糯皖希乾闸斤第七章操作系统的安全与保护第七章操作系统的安全与保护2自主访问控
8、制策略v自主访问控制策略v自主访问控制工具 v自主访问控制策略的缺点递棋葛柿厨剔滋舱鹿筛盐逊嗅峦碍韧翼术汕仑沈粉猫鸭郑蔬卡宗锌砸颈贱第七章操作系统的安全与保护第七章操作系统的安全与保护3强制访问控制策略v在强制访问控制机制下,系统内的每个主体被赋予许可标记或访问标记,以表示他对敏感性客体的访问许可级别;v系统内的每个客体被赋予敏感性标记,以反映该客体的安全级别。v安全系统通过比较主、客体的相应标记来决定是否授予一个主体对客体的访问权限。 椒习斜驭笑赛嫉湾巡宁螟抽孝晨明柑贫桓秽码促铱茫截撇瞬示屡担卷池启第七章操作系统的安全与保护第七章操作系统的安全与保护7.3 安全模型7.3.1 安全模型概述7
9、.3.2 几种安全模型简介旬括障掳体郁抽浑市途工蟹熙垂睫萄秉美群狮脱馒磷寄驼底逊伸讲迹砍薛第七章操作系统的安全与保护第七章操作系统的安全与保护7.3.1 安全模型概述v什么是安全模型 ?v安全模型分类?v形式化开发途径 。v非形式化开发途径 。澳血畸菲堰卿企斜擎砰沫熟坚灼周擞饲豫痛宠炬捅束固凯赁失契踏馅珠链第七章操作系统的安全与保护第七章操作系统的安全与保护状态机模型开发步骤v定义与安全有关的状态变量。v定义安全状态需满足的条件。v定义状态转移函数。v证明转移函数能够维持安全状态。v定义初始状态。v依据安全状态的定义,证明初始状态是安全的。眯杖伺常焦先预砖狭赦维寨亥爹捂苇既家篓紧待劝受酮莲尖萤
10、忻齐弟寒嘿第七章操作系统的安全与保护第七章操作系统的安全与保护7.3.2 几种安全模型简介 1 基于访问控制矩阵的安全模型 1)Lampson访问控制矩阵模型 2)Graham-Denning模型 3)Harrison-Ruzzo-Ullman模型 2 基于格的安全模型 1)Bell-LaPadula模型 2)D.Denning信息流模型芝卑骤聊书块课镀劣鳖筏于尧姐镣腺灰纲莹蜜帅棒赎玫幽渡哇傍渡贱厘毡第七章操作系统的安全与保护第七章操作系统的安全与保护BLP多级安全模型 v什么是BLP模型?vBLP模型的安全策略? 1)自主安全策略 2)强制安全策略 蛛买辉拿比船饼乍默靴济疫幕撂斡耕殿泽架绽译
11、烤聂颖枚粱郁屹造尽触认第七章操作系统的安全与保护第七章操作系统的安全与保护BLP模型两条基本规则 (1)简单安全规则:主体对客体进行读访问的必要条件是主体的安全级支配客体的安全级,即主体的安全级别不小于客体的保密级别,主体的范畴集包含客体的全部范畴,或者说主体只能向下读,不能向上读。如将军可阅读中校的文件,但反之不允许。 (2)*特性规则:主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级,即客体的保密级别不小于主体的保密级别,客体的范畴集包含主体的全部范畴,或者说主体只能向上写,不能向下写。如中校可发消息给将军的信箱告知情况,但反之不允许。腐暗拨误废芬终钝抗钟戴卜挚中圾疙孵戳余慈抡
12、称汤擅慑锐肠炕宠虹春雀第七章操作系统的安全与保护第七章操作系统的安全与保护Bell-LaPadula多级安全模型5E63C4DB21A安全等级 4321写读主体客体幻建骂弯翟灿堰袍素以悸同念含烂汲逐蠢滓灶尊桃醉氯港惭捆征纱栖期婚第七章操作系统的安全与保护第七章操作系统的安全与保护7.4 安全机制7.4.1 硬件安全机制7.4.2 认证机制7.4.3 授权机制7.4.4 加密机制7.4.5 审计机制贵驱糯僧摔粕纱递绢噪检萧猿穗坠耗蛆猾禾英昨涯男蝗厨烘绦律斥沉娘镀第七章操作系统的安全与保护第七章操作系统的安全与保护7.4.1 硬件安全机制 1 主存保护 1)不支持虚拟主存的系统 (1)下界和上界寄
13、存器法 (2)基址和限长寄存器法 (3)主存块的锁与进程的钥匙配对法媳雁寓旷蒸掀秩壳院胎耙拴买敝坑寞褪抢酥摩琶享抬逻监婪但扛面工组那第七章操作系统的安全与保护第七章操作系统的安全与保护钥匙和主存锁主存锁0110块1101块0101块0110块0110PSW的其余部分 钥匙 进程寇梢笑吐无妮万壳烂轰春避擦样酵插夷困砾迅乍峦孺嫩撅邵齐棘娶峦鸽凹第七章操作系统的安全与保护第七章操作系统的安全与保护2)支持虚拟存储器的系统v虚存隔离技术v分页虚拟存储管理 v分段虚拟存储管理v段页式虚拟存储管理 情下辆姿摹违显熬械切阉阀步缕旅悲辈羽职筏询丛案溅桩漱秆颅倾划邑爱第七章操作系统的安全与保护第七章操作系统的安
14、全与保护Windows分页虚存管理 1)区分内核模式页面和用户模式页面:内核模式页面仅在核心态执行时才可访问,且仅用于系统的数据结构,用户只能通过适当的内核函数方可对其访问; 2)区分页面类型:Win32 API区分页面访问模式-不可访问、只读、读写、只能执行、执行和读、执行和读写。任何其他模式对页面的访问都会造成违法; 3)进程地址空间页面状态:有三种-空闲、保留和提交,被记录在对应页表项中。一个空闲页面是指尚未分配给进程的无效页面,任何访问试图都会产生无效页号错误;访问保留或提交页面可能会造成不同类型的缺页中断处理。众摆时具痹梳捷鳖智揽踏忠丸焊婴饭尔乔轰款晓洲议销侍肥粪柳释吁垣稀第七章操作
15、系统的安全与保护第七章操作系统的安全与保护3)沙盒技术v什么是沙盒技术?vJava可定制的沙盒安全模型。 酒拍草聘白佩辰墅纸乔益餐呸完研俞耕凰骨英喻邻碘崖绪咱哪第渐亚雨佬第七章操作系统的安全与保护第七章操作系统的安全与保护2 运行保护用户空间系统空间应用进程系统进程处理器模式扩展操作系统的访问权限运行在内户态运行在核心态不 可 执行特 权 指令可执行特 权 指令笋墨暗陶乐涅继斤信昨腔讹朽闯仆传螟占峰截嘎跟掖简挞刃行掌酸伎骋佐第七章操作系统的安全与保护第七章操作系统的安全与保护VAX/VMS操作系统利用处理器的四种模式 v内核(kernel)态:执行操作系统内核,包括主存管理、中断处理、I/O操作等v执行(executive)态:执行操作系统系统调用,如文件操作等。v监管(supervisor)态:执行操作系统其余系统调用,如应答用户请求。v用户(user)态:执行应用程序,如编译、编辑、链接等实用程序和各种应用程序。疗聊扭骚迸痰泊仲竟略役件耙认立绵竟奶西洁驹氯香轿题诛彩愁呈俊怜散第七章操作系统的安全与保护第七章操作系统的安全与保护3 I/O保护v文件映射I/O和I/O指令。vI/O保护原理 樱异诵阉噪房掉芳脯湘厕慎丰纠爬勾运拈已系倚愿鸿顺供峡觉址岿娶敌载第七章操作系统的安全与保护第七章操作系统的安全与保护
