《北理工戴林11操作系统的安全概要》由会员分享,可在线阅读,更多相关《北理工戴林11操作系统的安全概要(51页珍藏版)》请在金锄头文库上搜索。
1、1第第1111章章操作系统的安全操作系统的安全主要内容主要内容n安全性概述n安全机制n安全操作系统的设计n主流操作系统的安全性安全性概述安全性概述 v操作系统是一组面向机器和用户的程序,充当着用户程序与计算机硬件之间的接口,负责提供用户与计算机系统的交互界面和环境,其目的是最大限度地、高效地、合理地使用计算机资源,同时对系统的所有资源(软件和硬件资源)进行管理。v计算机操作系统的安全主要是利用安全手段防止操作系统本身被破坏,防止非法用户对计算机资源(如软件、硬件、时间、空间、数据、服务等资源)的窃取。操作系统不安全主要是由操作系统的系统设计带来的“破绽”引发的。操作系统的安全方法操作系统的安全
2、方法v操作系统的安全性可以建立如下的安全策略,这些策略按照其实现复杂度递增和提供安全性递减的次序排列为:物理分离:在物理设备或部件一级进行隔离,使不同的进程使用不同的物理对象。时间分离:对不同安全要求的进程分配不同的运行时间段,允许高级别的进程独占计算机进行运算。逻辑分离:多个用户进程可同时运行,但限定程序存取范围,使进程彼此间不相互干扰。加密分离:进程以一种其他进程不了解的方式加密其数据和计算,使对其他进程不可见。4操作系统的安全方法操作系统的安全方法v操作系统可以在任何层次上提供保护,一个特定的操作系统也可能为不同的实体、用户或者环境提供不同层次的保护措施。无保护:它适合于敏感进程运行于独
3、立的时间环境。隔离保护:并发运行的进程彼此不会感觉到对方的存在,也不会影响干扰对方,每一进程具有自己的地址空间、数据、文件及其他实体。共享或非共享保护。在这种保护形式中,实体分为公有或私有实体两类。任何进程都可以访问公有实体,而只有实体的所有者能访问私有实体。5存取权限保护。操作系统借助于某种数据结构,在特定用户和特定实体上实施存取控制,检查每次存取的有效性,保证只有授权的存取行为发生。权能共享保护。它是存取权限共享的扩展,操作系统为实体动态地建立共享权限,共享的程度依赖于用户或主体、计算环境和实体本身。实体使用限制保护。它不仅限制对实体的存取,也限制存取后对实体的使用。6安全操作系统的发展安
4、全操作系统的发展v奠基时期v食谱时期v多政策时期v动态政策时期7 操作系统安全机制操作系统安全机制v一、内存保护机制1 界址、重定位与限界 这是最简单的内存保护机制,它是将操作系统所用存储空间与用户空间分开,并将每个用户限制在他自己的地址范围中。80n+1n+1 p内存内存内存FROSmaxFencea) 固定界址b) 可变界址c) 界限寄存器对maxmax00BR1BR2OSOSnnnn+1n+1n+1用户A用户Bpp+1用户程序用户程序操作系统安全机制操作系统安全机制2 特征位 内存的每个字中有一个或者多个附加位作为该字的存取权限,附加特征位只能由操作系统的特权指令设置,而指令存取时都对这
5、些位进行测试。3 分段与分页v分段存储管理方式v分页存储管理方式v段页式存储管理方式9操作系统安全机制操作系统安全机制v二、文件保护机制一般性有无保护成组保护单独许可保护v三、用户鉴别机制用户识别用户识别是一对多的搜索和发现过程。识别的安全问题一般是基于知识、财产、特征等识别项或者它们的组合来考虑的。用户验证用户验证是“一对一”的过程。通过一对一的声明、提问、应答,能够证实我们不曾相识的、自称为某人的人是真实的。10操作系统安全机制操作系统安全机制身份鉴别机制必须基于计算机系统和人双方都能够认可的鉴别媒体和知识。v口令v多重鉴别机制v登录应答机制v辅助身份鉴别11操作系统安全机制操作系统安全机
6、制v四、存取控制机制存取控制机制对保护实体实现如下目标:v设置存取权限设置存取权限:为每一主体设定对某一实体的存取权限,具有授权和撤权功能。v检查每次存取检查每次存取:超越存取权限的行为被认为是非法存取,予以拒绝、阻塞或告警,并防止撤权后对实体的再次存取。v允许最小权限允许最小权限:最小权限原则限定了主体为完成某些任务必须具有的最小数目的实体存取权限,除此之外,不能进行额外的信息存取。v存取验证存取验证:除了检查是否存取外,应检查在实体上所进行的活动是否是适当的,是正常的存取还是非正常的存取。12操作系统安全机制操作系统安全机制v一般实体的存取控制机制:目录控制表存取控制表与控制矩阵权能面向过
7、程的存取控制13操作系统安全机制操作系统安全机制v五、恶意程序防御机制恶意程序是所有含有特殊目的、非法进入计算机系统并待机运行、能给系统或者网络带来严重干扰和破坏的程序。v独立运行类(细菌和蠕虫)v需要宿主类(病毒和特洛依木马)恶意程序防御机制包含:v病毒防御机制v病毒检测与消除检测的正确是清除的基础14安全操作系统设计安全操作系统设计v要开发安全系统,必须建立系统的安全模型。v安全模型 (Security Model) 用来描述计算系统和用户的安全特性,是对现实社会中一种系统安全需求的抽象描述。其过程是:用自然语言描述应用环境的安全需求特性,再用数学工具进行形式化描述。由于存取是计算系统安全
8、需求的核心,存取控制则是这些模型的基础。通过对抽象模型的研究,了解保护系统的特性,如可判定性或不可判定性15安全操作系统模型分类安全操作系统模型分类v单层模型:单层模型是最简单的二元敏感安全模型,是体现有限型访问控制的模型。在单层模型中,用户对实体的存取策略简单地设置为“允许”或者“禁止”(“是”与“非”)。实现这种存取控制的最简单模型是监督程序,它是用户和实体间的通道,监督程序对每个被监督的存取进行检查,决定是否准许存取。为弥补监督程序方式的不足,提出了信息流模型,即信息的流向控制。16安全操作系统模型分类安全操作系统模型分类v多层“格”模型多层“格”模型把用户(主体)和信息(客体)按密级和
9、类别划分,以数学结构“格”组织用户和信息。、信息密级从低到高分为:公开级、秘密级、机密级和绝密级。类别是根据工作范围或工作项目划分的范围,描述了信息的主体对象,类别之间可互不相关,也可交错、重叠或包含。对敏感信息的存取通常采用许可证机制。它表示某个用户可以存取特定敏感级别(密级)以上的信息,以及该信息所属的特定类别。在操作系统中将许可证按照 的组合方式设定。17安全操作系统模型分类安全操作系统模型分类vBell-La Padula模型是最早和最常用的适用于军事安全策略的操作系统多级安全模型,其目标是详细说明计算机的多级安全操作规则。BLP模型中,将主体定义为能发起行为的实体,如进程;将客体定义
10、为被动的主体行为的承担者,如文件、目录、数据;将主体对客体的访问分为:只读、读写、只写、执行、控制等访问模式,控制是指主体用来授予或撤销另一主体对某客体的访问权限的能力。 18BLPBLP模型的安全策略模型的安全策略v包括:自主安全策略和强制安全策略,前者使用一个访问矩阵表示,其中,第i行第j列的元素Mij 表示主体Si对客体Oj的所有允许的访问模式,主体只能按在访问矩阵中被授予对客体的访问权限对客体进行访问;v后者包括简单安全特性和安全性星特性,系统对所有主体和客体都分配一个访问类属性,包括主体和客体的密级和范畴,系统通过比较主体和客体的访问类属性控制主体对客体的访问。 BLPBLP模型两条
11、基本规则模型两条基本规则v1)简单安全特性规则 一个主体对客体进行读访问的必要条件是主体的安全级支配客体的安全级、即主体的安全级别不小于客体的保密级别,主体的范畴集包含客体的全部范畴,或者说主体只能向下读,不能向上读。v2)安全性星特性规则 一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级、即客体的保密级别不小于主体的保密级别,客体的范畴集包含主体的全部范畴,或者说主体只能向上写,不能向下写。多级安全规则多级安全规则v R违反规则1公开进程机密进程机密文件公开文件WWRRRWW违反规则2控制原理控制原理v信息流模型是存取控制模型的一种变形,它不检查主体对客体的存取,而是试图控制
12、从一个客体到另一个客体的信息传输过程,根据两个客体的安全属性来决定是否允许当前操作的执行。隐蔽信道的核心是低安全级主体对高安全级主体所产生的信息的间接存取,信息流分析能保证操作系统在对敏感信息存取时,不会把数据泄露给调用者。保护机制结构和设计原则保护机制结构和设计原则v(1) 机制经济性(economy)原则v(2) 失败-保险(fail-safe)默认原则v(3) 完全仲裁原则:v(4) 开放式设计原则v(5) 特权分离原则v(6) 最小特权原则v(7) 最少公共机制原则v(8) 心理可接受性原则安全操作系统的设计方法安全操作系统的设计方法v隔离设计:基于最少通用机制的方法;v内核化设计:基
13、于最少权限及经济性原则的方法;v分层结构设计:基于开放式设计及完全检查原则的方法。240123最可信进程运行区域最不可信进程运行区域硬件 安全操作系统的可信度验证安全操作系统的可信度验证v可信度验证方法1.1.形式化验证形式化验证2.2.非形式化确认非形式化确认3.3.系统入侵分析系统入侵分析验证提供了操作系统正确性方面最有说服力的依据,不同的测试方法可以证明一个系统在一定程度上是可信的,一个系统在一定程度上是可信的,但可信程度并非但可信程度并非 100%100%。25安全操作系统评价标准安全操作系统评价标准v美国可信计算机安全评估标准(TCSEC)TCSEC (Trusted Compute
14、r System Evaluation Criteria)是第一个有关信息安全评估的标准,由美国国防部于1983年公布,该准则最初只是军用标准,后来扩展至民用领域。TCSEC 提供D、C1、C2、B1、B2、B3 和A1 等七个等级的可信系统评价标准,每个等级对应有确定的安全特性需求和保障需求,高等级的需求建立在低等级的需求的基础之上26TCSEC TCSEC 的构成与等级结构的构成与等级结构27安全操作系统评价标准安全操作系统评价标准v国内的安全操作系统评估标准为了适应信息安全发展的需要,我国也制定了计算机信息系统等级划分准则:信息技术安全性评估准则GB/T 18336 2001。该准则将操
15、作系统安全分为五个级别,分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。五个级别对操作系统具备的安全功能有不同的要求。28操作系统的五个级别操作系统的五个级别安全策略用户自主保护级系统审计保护级安全标计保护级结构化保护级访问验证保护级自主访问控制身份鉴别数据完整性*客体重用审计强制访问控制标记隐蔽信道分析可信路径可信恢复29安全安全Xenix Xenix 系统的开发系统的开发v1986 和1987 年,IBM 公司的V.D. Gligor 等发表了安全Xenix 系统的设计与开发成果。安全Xenix 是以Xenix 为原型的实验型安全操作系统,属于Unix类
16、的安全操作系统,它要实现的是TCSEC 标准B2-A1级的安全要求。v系统开发方法和保障目标:开发方法划分为仿真法和改造/增强法两种方式保障目标:v(1) 系统设计与BLP 模型之间的一致性;v(2) 实现的安全功能的测试;v(3) 软件配置管理工具的开发。30安全安全Xenix Xenix 系统的开发系统的开发v访问控制方式按照BLP 模型实现访问控制,主体是进程,客体是进程、文件、特别文件(设备)、目录、管道、信号量、共享内存段和消息。访问权限有read、write、execute 和null。v安全等级的确定安全Xenix 的强制访问控制的安全判断以进程的当前安全等级、客体的安全等级和访
17、问权限为依据。进程的当前安全等级(CPL)在创建进程时确定,在进程的整个生存期内保持不变。31安全安全Xenix Xenix 系统的开发系统的开发v安全注意键与可信路径安全Xenix 的可信通路(trusted path)是以安全注意键(SAK:Secure Attention Key)为基础实现的。SAK 是由终端驱动程序检测到的键的一个特殊组合。每当系统识别到用户在一个终端上键入的SAK,便终止对应到该终端的所有用户进程,启动可信的会话过程。v特权用户对系统的管理功能进行分割,设立可信系统程序员、系统安全管理员、系统帐户管理员和系统安全审计员等特权用户,通过不同的操作环境和操作界面限定各特
18、权用户的特权。32System V/MLS System V/MLS 系统的开发系统的开发v1988 年,AT&T Bell 实验室的C.W. Flink II 和J.D. Weiss 发表了System V/MLS 系统的设计与开发成果。System V/MLS 是以AT&T 的Unix SystemV 为原型的多级安全操作系统,以TCSEC 标准的安全等级B 为设计目标。v系统按照BLP 模型提供多级安全性支持,主体是进程,客体包括文件、目录、i-节点、进程间通信(IPC)结构和进程。33System V/MLS System V/MLS 系统的开发系统的开发v安全标记机制设计Unix S
19、ystem V 提供owner/group/others 方式的保护机制,支持用户组的概念,用户组由组标识(GID)表示。v多级安全性实现方法通过在内核中加入多级安全性(MLS)模块实现对多级安全性的支持。MLS模块是内核中可删除、可替换的独立模块,负责解释安全等级标记的含义和多级安全性控制规则,实现强制访问控制判定。在原系统的与访问判定有关的内核函数中插入调用MLS 模块的命令,实现原有内核机制与MLS 机制的连接。34安全安全操作系统设计技术操作系统设计技术v1隔离技术v将系统中的一个用户(进程)与其他用户(进程)隔离开来是安全性的基本要求,有四种办法实现:v物理分离,v时间分离,v密码分
20、离,v逻辑分离。 隔离机制的设计方法隔离机制的设计方法v(1) 多虚拟存储空间v(2) 多虚拟机系统虚机器操作系统虚机器操作系统v 物理计算机系统 CP控制程序I/O设备 文件 存储器 处理器虚机器操作系统虚拟计算机系统虚机器操作系统虚拟计算机系统虚机器操作系统虚拟计算机系统2 2安全内核安全内核v 核 (kernel)、 又 称 内 核 (nucleus)或 核 心(Core),在传统或标准的操作系统中,它实现内层的低级功能,如进程通信、同步机制、中断处理及基本的内存管理。v 安全内核(Security kernel)是通过控制对系统资源的访问来实现基本安全规程的操作系统内核中相对独立的一部
21、分程序,它在硬件和操作系统功能模块之间提供安全接口,凡是与安全有关的功能和机制都必须被隔离在安全内核之中。安全内核设计和实现基本原则安全内核设计和实现基本原则v(1)完整性。v(2)隔离性。 v(3)可验证性。 3 3 分分层设计v 最不可信代码最可信代码用户认证模块用户接口子模块用户ID查找子模块认证数据修改子模块认证数据比较子模块图 7-18 不同层中实现的认证模块4 4环结构环结构vMULTICS操作系统用环结构(ring structure)实现安全保护,这是分层设计的进一步发展,指定各个进程所具有的访问权,共设计了8个环,4个用于操作系统,4个用于应用程序。 环界标环界标v n210
22、只读正常调用(可信访问)指定入口点访问(可信访问)b1b2b3访问环界表访问环界表/门扩展对程序调用的环界标解释对程序调用的环界标解释v n210可被运行于p级(b1pb2)的 任 何过程调用在指定点,仅当主调用程序级别p(b2pb3)时可调用b1b2b3访 问 环界表访问环界表/门扩展pb3的过程无法访问 对数据访问的环界标的解释对数据访问的环界标的解释v n210P级进程只读访问(0pb1)P级 进 程 访 问(b1pb2)仅对P级进程的一个拷贝访问(b2pb3)b1b2b3访问环界表访问环界表/门扩展安全安全操作系统安全机制的实现操作系统安全机制的实现 v P1ownreadwriteP
23、2readP3readnullfile1客体file1的ACL主体主体P1P1的的CLCLv file1ownreadwritefile2readfile3writenullP12 2强制访问控制的实现强制访问控制的实现v(1)安全标签的实现v 基于多级安全策略,系统的访问控制机制的实现要基于以下内容:v 1)对每个客体赋予一敏感性标签,此标签标明系统用来保护此信息的安全程度(级别)。v 2)对每个用户进程(主体)赋予一许可标签,此标签用来指定此进程的可信程度(基于用户),系统通过基于进程(主体)的许可标签和信息(客体)的敏感性标签来判定一进程是否拥有对该信息相应的访问权限。v 3)保证所有的
24、输入、输出的信息系统都能够正确地标记反映其安全级别的敏感性标签。基于多级安全策略的安全标签基于多级安全策略的安全标签实现要点实现要点v类别部分:由于类别部分反映出来的是一种等级 关 系 , 故 又 称 之 为 安 全 等 级(hierarchies)或密级,在安全类别中密级按线性顺序排列,例如,公开秘密机密绝密,在实现时以数字从小到大依次递增表示其安全等级。v范畴部分:范畴部分是无等级概念的元素组成的,表示一清晰的信息领域。其无等级是指不存 在 一 范 畴 “大 于 ”另 一 范 畴 , 不 能 说“engineering”大于或小于“R&D”,两个范畴之间互相独立且无序,但两个范畴集之间的关
25、系有包含、被包含或无关;在实现中范畴用数字代表,范畴集是数字的集合表示。两个安全标签之间存在四种关系两个安全标签之间存在四种关系v A支配B:当且仅当A的安全等级大于等于B的安全等级, A的范畴包含B的范畴、即B的范畴是A的范畴的一个子集。v B支配A:当且仅当B的安全等级大于等于A的安全等级,B的范畴包含 A的范畴、即A的范畴是B的范畴的一个子集。v A等于B:当且仅当A的安全等级等于B的安全等级,A的范畴中的任何一项也是B的范畴中的一项,反之亦然。也即A支配B,B支配A。v A与B无关:A线安全级的范畴集不包含B的安全级的范畴集,同时B的安全级的范畴不包含A的安全级的范畴。(2)(2)基于
26、安全标签的强制访问控制基于安全标签的强制访问控制v 安全系统控制主体对客体的访问基于它们的安全标签的,故应设计标签比较算法,用来判断安全级标签的支配关系,以决定主体对客体的访问权限。一个进程(主体)要想访问客体,其许可标签必须具备:v1)若想要对客体具有写访问权限,主体的安全级别密级+范畴必须被客体的安全级别支配、即主体安全等级客体安全等级,主体的范畴客体的范畴)。v2)若想要对客体具有读权限,主体的安全级别安全等级+范畴必须支配客体的安全级别(主体安全等级客体安全等级,主体的范畴客体的范畴)。v 如果进程(主体)不能够满足上面的任何一条要求,则不能够访问客体。 基于安全标签的强制访问控制基于安全标签的强制访问控制v 进程A许可标签:secret:a、b、c进程B许可标签:top secret:a、b、c进程C许可标签:top secret:d、e、f进程B许可标签:confidential: a、 b、cFilex敏感性标签:secret:a、b、c写许可读许可读许可写拒绝写拒绝读拒绝读拒绝写许可
