1、操作系统原理操作系统原理Principle of Operating System 精品课程精品课程第第7 7章章 操作系统安全与保护操作系统安全与保护 7.1 7.1 安全安全 7.2 7.2 保护保护 7.3 7.3 入侵者入侵者 7.4 7.4 恶意软件恶意软件 7.5 7.5 实例:实例:WindowsWindows安全机制安全机制本章主要内本章主要内容容兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第1页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 安全和保护在当代计算机系统中主要性日益增加,系统中用户全部文件都存放在
2、计算机存放设备中,而存放设备在全部用户间是共享。这意味着,一个用户所拥有文件可能会被另一个用户读写。系统中有些文件是共享文件,有些文件是独享文件。那么操作系统怎样来建立一个环境,使得用户能够选择保持信息私有或者与其它用户共享呢?这就是操作系统中安全与保护机制任务。当计算机被连接到网络中并与其它计算机连接时,保持私有信息会愈加困难。当信息经过网络传递时以及当信息存放在存放设备上时都应该受到保护。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第2页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程第第7 7章章 操作系统安全与保护操作系统
3、安全与保护 7.1 7.1 安全安全 7.2 7.2 保护保护 7.3 7.3 入侵者入侵者 7.4 7.4 恶意软件恶意软件 7.5 7.5 实例:实例:WindowsWindows安全机制安全机制兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第3页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 伴随越来越多个人生活信息被编码并保留到计算机中,我们身份信息也潜在地可能被其它用户所访问。除了个人信息外,商业和政府部门关键信息也存放在计算机上,这些信息必须能够被拥有它和依赖它用户使用,不过不能被未授权组织或用户访问。除了保护信息外,
4、保护和安全另一个方面是确保属于个人或组织计算机资源不能被未授权个人或组织访问。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第4页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 安全问题 安全威胁 安全目标 操作系统安全 兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第5页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 计算机系统安全问题大致可分为恶意性恶意性和意外意外性性两种类型。所谓恶意性安全问题是指未经许可对敏感信息读取、破坏或使系统服务失效。在网络化时代,这类
5、问题占极大百分比,可能会引发金融上损失、犯罪以及对个人或国家安全危害。所谓意外性安全问题是指因为硬件错误、系统或软件错误以及自然灾害造成安全问题。这种意外性安全问题可能直接造成损失,也可能为恶意破坏留下可乘之机。安全问题安全问题兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第6页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 计算机系统本身也存在着许多固有脆弱性,表现在以下几个方面:数据可访问性。存放数据密度高,存放介质脆弱。电磁波辐射泄露与破坏。通信网络可能泄密,并易于受到攻击。安全问题安全问题兰州理工大学计算机与通信学院兰州理
6、工大学计算机与通信学院第7页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 对计算机系统和网络通信四项安全要求:机密性(Confidentiality)。要求计算机系统中信息只能由被授权者进行要求范围内访问。完整性(Integrity)。要求计算机系统中信息只能被授权用户修改。可用性(Availability)。预防非法独占资源。真实性(Authenticity)。要求计算机系统能证实用户身份,预防非法用户侵入系统,以及确认数据起源真实性。安全威胁安全威胁兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第8页操作系统原理操作系统原理
7、Principle of Operating System 精品课程精品课程安全威胁安全威胁 计算机或网络系统在安全性上受到四种普通威胁:切断。系统资源被破坏过变得不可用或不能用。这是对可用性威胁。截取。未经授权用户、程序或计算机系统取得了对某资源访问。这是对机密性威胁。篡改。未经授权用户不但取得了对某资源访问,而且进行篡改。这是对完整性攻击。伪造。未经授权用户将伪造对象插入到系统中。这是对正当性威胁。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第9页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程信息源端信息目端(a)正常信息流
8、(b)切断(c)截取(d)篡改(e)伪造安全威胁安全威胁兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第10页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程操作系统安全威胁操作系统安全威胁 针对操作系统安全主要威胁:入侵者 入侵者表现为两种形式:被动入侵者和主动入侵者。包含:普通用户随意浏览、内部人员窥视、尝试非法获取利益者、商业或军事间谍。恶意程序 恶意程序是指非法进入计算机系统并能给系统带来破坏和干扰一类程序。恶意程序包含病毒和蠕虫、逻辑炸弹、特洛伊木马以及天窗等,普通我们把这些恶意程序都用病毒一词来代表。数据意外受损 除了恶
9、意入侵造成威胁外,有价值信息也会意外受损。造成数据意外受损原因有:自然灾害、意外故障、人为攻击。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第11页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程普通来说,一个计算机系统安全目标应包含以下几个方面:安全性安全性 安全性是一个整体概念,包含了系统硬件安全、软件安全、数据安全,也包含了系统运行安全。安全又分为外部安全外部安全和内部安全内部安全。外部安全包含:物理安全、人事安全和过程安全。内部安全指在计算机系统软件、硬件中提供保护机制来到达安全要求。内部安全保护机制尽管是有效,但仍需与适
10、当外部安全控制相配合,应该相辅相成,交替使用。人们花了很大力气用于营造计算机系统外部安全与内部安全。不过,有一点不容忽略,那就是预防非法用户入侵,尤其要防范冒名顶替者假冒正当授权用户非法访问计算机系统各种资源。安全目标安全目标兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第12页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 完整性完整性 完整性是保护计算机内软件和数据不被非法删改或受意外事件破坏一个技术伎俩。它能够分为软件完整软件完整性性与数据完整性数据完整性两方面内容。软件完整性软件完整性:在软件设计阶段含有不良品质程序员能够
11、对软件进行别有专心改动,他能够在软件中留下一个陷阱或后门以备未来在一定条件下对系统进行攻击。所以,选择值得信任软件设计者是一个非常主要问题。同时也更需要采取软件测试工具来检验软件完整性,并确保这些软件处于安全环境之外时不能被轻易地修改。装有微程序ROM部件也有可能被攻击并对它进行修改。安全目标安全目标兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第13页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 数据完整性数据完整性:所谓数据完整性是指在计算机系统中存放或是在计算机系统间传输数据不被非法删改或受意外事件破坏。数据完整性被破坏通
12、常有以下几个原因:a)系统误操作。如系统软件故障,强电磁场干扰等。b)应用程序错误。因为偶然或意外原因,应用程序破坏了数据完整性。c)存放介质破坏。因为存放介质硬损伤,使得存放在介质中数据完整性受到了破坏。d)人为破坏。是一个主动性攻击与破坏。安全目标安全目标兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第14页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 保密性保密性 保密性是计算机系统安全一个主要方面,它是指操作系统利用各种技术伎俩对信息进行处理来预防非法入侵、预防信息泄漏。另外,为确保系统安全而采取安全办法本身也必不可少地
13、需要加以保护,如口令表、访问控制表等。这类信息是非常敏感,它们不应被非法读取或删改。安全目标安全目标兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第15页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程操作系统安全机制操作系统安全机制 身份认证机制:是安全操作系统应具备最基本功效,是用户欲进入系统访问资源或网络中通信双方在进行数据传输之前实施审查和证实身份操作。因而,身份认证机制成为大多数保护机制基础。身份认证可分为两种:内部内部和外部外部身份认证。授权机制:确认用户或进程只有在系统许可某种使用时才能够使用计算机资源。授权机制依赖于
14、安全认证机制而存在。操作系统安全操作系统安全兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第16页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程操作系统安全操作系统安全经经典典计计算算机机系系统统授授权权访访问问外部访问认证访问认证访问认证访问认证进程资源进程内部兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第17页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程操作系统安全操作系统安全 加密机制:将信息编码成像密文一样难解形式技术,加密关键在于高效地建立从根本上不可能
15、被未授权用户解密加密算法,以提升信息系统及数据安全性和保密性,预防保密数据被窃取与泄密。数据加密技术可分为两类:一类是数据传输加密技术,目标是对网络传输中数据流加密,又分成链路加密和端加密;另一类是数据存放加密技术,目标是预防系统中存放数据泄密,又分成密文存放和存取控制。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第18页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 审计机制:审计(auditing)作为一个事后追踪伎俩来确保系统安全性,是确保系统安全性而实施一个技术办法,也是对付计算机犯罪者们利器。审计就是对包括系统安全性操
16、作做完整统计,以备有违反系统安全规则事件发生后能有效地追查事件发生地点、时间、类型、过程、结果和包括用户。必须实时统计事件类型有:识别和确认机制(如注册和退出)、对资源访问(如打开文件)、删除对象(如删除文件)、计算机管理员所做操作(如修改口令)等。审计过程是一个独立过程,应把它与操作系统其它功效隔开来,严格限制未经授权用户不得访问。审计与报警功效相结合,安全效果会更加好。操作系统安全操作系统安全兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第19页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程操作系统安全设计标准操作系统安全设计
17、标准 应该公开系统设计方案。不提供缺省访问控制。时刻检验当前权限。给每个进程尽可能小权限。安全保护机制应该简单、一致,并深入到系统最底层。所选安全架构应该是心理上能够接收。除了标准,几十年来极为宝贵经验是:设计应该尽设计应该尽可能简单可能简单。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第20页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程第第7 7章章 操作系统安全与保护操作系统安全与保护 7.1 7.1 安全安全 7.2 7.2 保护保护 7.3 7.3 入侵者入侵者 7.4 7.4 恶意软件恶意软件 7.5 7.5 实例:
18、实例:WindowsWindows安全机制安全机制兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第21页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 操作系统中进程必须加以保护,使其免受其它进程活动干扰。为此,系统采取了各种机制确保只有从操作系统中取得了恰当授权进程才能够操作对应文件、内存段、处理器和其它资源。保护是指一个控制程序、进程或用户对计算机系统资源进行访问机制。这个机制必须为加强控制提供一个规格说明方法和一个强制执行方法。保护在一个计算机系统中饰演角色是为加强资源使用控制策略提供一个机制,能够经过各种路径建立这些策略。
19、有些已经固化在系统设计中,有些会在系统管理中说明。还有一些由个人用户定义,以保护他们自己文件和程序。一个保护系统必须有一定弹性,能够强制执行各种可向他申明策略。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第22页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 操作系统保护层次 内存放器保护 面向用户访问控制 面向数据访问控制兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第23页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 操作系统可能在以下层次提供保护:无保护。当
20、敏感过程是在独立时间内运行时,不需要保护。隔离。共享或不共享。经过访问限制共享。含有动态能力共享。限制对象使用。操作系统保护层次兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第24页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程内存放器保护 在多道程序设计环境中,保护内存放器是最主要,假如一个进程能够不经意地写到另一个进程存放空间,则后一个进程就可能会不正确地执行。各个进程存放空间分离可经过虚存方法来实现,分段、分页,或二者结合,提供了管理主存一个有效方法。假如进程完全隔离,则操作系统必须确保每个段或页只能由所属进程来控制和存取。
21、假如允许共享,则相同段或页可能出现在不止一个表中。这种类型共享在一个支持分段或支持分段与分页相结合系统中最轻易实现。在纯粹分页环境下,因为存放器结构对用户透明,要想区分两种类型存放器就十分困难。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第25页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程面向用户访问控制 在数据处理系统中访问控制所采取方法有两类:与用户相关和与数据相关。在共享服务器上,用户访问控制最普遍技术是用户登录,这需要一个用户标识符(ID)和一个口令。这种ID/口令系统是用户访问控制一个很差不可靠用户控制方法。用户可能
22、会忘记他们口令,而且会有意或无意地泄露其口令。黑客们在猜测特殊用户ID(如系统管理员ID)方面变得越来越老练。用户存取控制问题在通信网络中更主要,因为登录会谈必须经过通信媒体进行,所以窃听是一个潜在威胁。必须采取有效网络安全办法。在分布式环境中用户访问控制能够是集中式,也能够是分散式。在许多网络中,可能要使用两级网络控制。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第26页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程面向数据访问控制 在成功登录以后,用户有权访问一台或一组计算机及应用信息,对于数据库中存有机密数据系统来说,这还
23、是不够。经过用户访问控制过程,系统要对用户进行验证。有一个权限表与每个用户相关,指明用户被许可正当操作和文件访问,操作系统就能够基于用户权限表进行访问控制。然而数据库管理系统必须控制对特定统计甚至统计一些部分存取。尽管操作系统可能授权给一个用户存取文件或使用一个应用,在这之后不再有深入安全性检验。但数据库管理系统必须针对每个独立访问企图做出决定,该决定将不但取决于用户身份,而且取决于被访问特定部分数据,甚至取决于已公开给用户信息。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第27页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程
24、文件或数据库管理系统采取访问控制一个通用模型是访问矩阵(Access Matrix),该模型基本要素:主体(Subject)。能够访问对象实体。普通地,主体概念等同于进程。任何用户或应用程序获取一个对象访问实际上是经过一个代表该用户或应用程序进程进行。客体(Object)。被访问对象,如文件、文件某部分、程序、设备以及存放器段。访问权(Access Authority)。主体对客体访问方式。如读、写、执行、删除等。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第28页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程第第7 7章章 操
25、作系统安全与保护操作系统安全与保护 7.1 7.1 安全安全 7.2 7.2 保护保护 7.3 7.3 入侵者入侵者 7.4 7.4 恶意软件恶意软件 7.5 7.5 实例:实例:WindowsWindows安全机制安全机制兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第29页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 两种最引人注目标安全威胁之一是入侵者(另一个是病毒),普通称为黑客或计算机窃贼。入侵者有以下三种类型:伪装者(masquerader)违法行为者(misfeasor)秘密用户(clandestine user)
26、兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第30页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 入侵技术 口令保护 入侵检测 兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第31页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 入侵技术入侵技术 入侵技术主要有拒绝服务攻击拒绝服务攻击和口令攻击口令攻击两大类。拒绝服务攻击拒绝服务攻击(Denial of Service,DoS)是一个最悠久也是最常见攻击形式。严格来说,拒绝服务攻击并不是某一个详细攻击方式,而是攻
27、击所表现出来结果,最终使得目标系统因遭受某种程度破坏而不能继续提供正常服务,甚至造成物理上瘫痪或瓦解。详细操作方法是各种多样,能够是单一伎俩,也能够是各种方式组合利用,其结果都是一样,即正当用户无法访问所需信息。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第32页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 通常拒绝服务攻击可分为两种类型:第一个是使一个系统或网络瘫痪。如攻击者发送一些非法数据或数据包,就能够使得系统死机或重新开启。本质上是攻击者进行了一次拒绝服务攻击,因为没有些人能够使用资源。以攻击者角度来看,攻击简单之处于
28、于能够只发送少许数据包就使一个系统无法访问。第二种攻击是向系统或网络发送大量信息,使系统或网络不能响应。进行这种攻击时,攻击者必须连续地向系统发送数据包。比如Smurf 攻击即洪水ping 攻击,该攻击向一个子网广播地址发一个带有特定请求(如ICMP 回应请求)包,而且将源地址伪装成想要攻击主机地址。子网上全部主机都回应广播包请求而向被攻击主机发包,使该主机无法响应从而拒绝其它服务。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第33页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程口令攻击口令攻击 攻击者攻击目标时经常把破译用户口
29、令作为攻击开始。只要攻击者能猜测或者确定用户口令,他就能取得机器或者网络访问权,并能访问到正当用户能访问到任何资源。取得普通用户账号方法很多,如:利用目标主机Finger功效:当用Finger命令查询时,主机系统会将保留用户资料(如用户名、登录时间等)显示在终端或计算机上;利用目标主机X.500服务:有些主机没相关闭X.500目录查询服务,也给攻击者提供了取得信息一条简易路径;从电子邮件地址中搜集:有些用户电子邮件地址常会透露其在目标主机上账号。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第34页操作系统原理操作系统原理Principle of Operating System 精
30、品课程精品课程 对策:预防和检测对策:预防和检测 预防是一个含有挑战性安全目标,在任何时候都是一场困难战斗。困难发生主要是防卫者必须尝试防御全部可能攻击,而攻击者却能够自由地去发觉防御步骤中最微弱步骤,并在该点实施攻击。检测关心是发觉攻击,不论是攻击成功之前还是之后。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第35页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程口令保护口令保护 入侵者目标是取得对系统访问,或者提升他访问系统特权范围。普通来说,这需要入侵者取得已被保护信息。在多数情况下,这种信息形式是用户口令。经过获取一些其它
31、用户口令,入侵者能够登录到系统中并行使该正当用户所含有全部特权。经典情况下,系统必须维护一个文件,该文件将每个已经授权用户与一个口令关联起来。口令是计算机和用户双方都知道某个“关键字”,是一个需要严加保护对象,它作为一个确认符号串只能对用户和操作系统本身识别。不过假如这个文件未经保护地进行存放,则入侵者将很轻易获取对它访问并得到口令。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第36页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 口令文件保护可采取以下两种方式之一:单向加密:系统存放仅仅是加密形式用户口令。当用户提交一个口令时
32、,系统对该口令加密并与存放值相比较。实际上,系统通常执行一个单向变换(不可逆),使用该口令生成一个用于加密功效密钥,并产生一个固定长度输出。访问控制:对口令文件访问权限局限于非常少几个账号。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第37页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程加密技术 数据自身安全涉及数据传输安全和存储安全两个方面。数据传输安全主要经过加密伎俩对需要在不一样主机上传递数据进行加密处理,以防止通信线路上窃听、泄漏、篡改和破坏。数据存储安全一方面可以利用数据库等数据管理系统多级保护机制,其次也可以对数据进
33、行加密后再进行存储。事实上,数据安全底层基础技术就是加解密技术,它是保证数据不被非法泄露伎俩,在计算机安全中有着广泛应用。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第38页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 加密是一个编码数据方法,使入侵者难以了解数据内容,在授权用户使用时,解码数据,使其返回原始格式。加密也是用数学方法重新组织数据过程,这么做使得任何非法接收者不可能轻易取得正确信息。加密能够经过编码系统来实现,所谓编码就是用事先约定好表或字典将消息或消息一部分替换成无意义词或词组。也能够经过密码来实现加密,所谓密
34、码就是用一个加密算法将消息转化为不可了解密文。有三种可用加密方法加密方法:编码编码、替换和转置替换和转置。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第39页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 依据加密密钥使用和布署,可将加密技术分为两种类型:对称加密对称加密和非对称加密非对称加密。对称加密对称加密也称单密钥加密。在20世纪70年代后期非对称加密出现以前,只有这一个加密技术。至今它依然是使用最为广泛加密方法。明文输出密文传输明文输入加密算法解密算法共享密钥共享密钥兰州理工大学计算机与通信学院兰州理工大学计算机与通信学
35、院第40页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 为了安全使用对称加密方法,有以下两点要求:需要一个强壮加密算法。最少,要求即使有些人知道了该算法,而且已经得到了一个或多个密文,也无法解密出密文或计算出密钥。信息发送者和接收者必须以安全方式取得并保留共享密钥。一旦密钥被他人截获,后果可想而知。数据加密标准(DES,Data Encryption Standard)中定义了最惯用对称加密方法,1977年被美国国家标准局接纳。该标准中算法本身被称为数据加密算法(DEA)。和任何对称加密算法一样,DES加密函数有两个输入(明文和密钥)。D
36、ES要求明文必须是64位,密钥则必须是56位。比较长明文被划分成以64位为单位小块进行加密。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第41页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程非对称加密非对称加密 公钥加密是非对称加密方法最主要存在形式于1976年由Diffie和HellMan首次公开提出。公钥加密算法基于数据函数,而不是简单位模式操作。更主要是,公钥加密体系是不对称,它采取两个独立密钥。明文输出密文传输明文输入加密算法解密算法用户A私钥用户A公钥兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第42页操作
37、系统原理操作系统原理Principle of Operating System 精品课程精品课程 公钥与私钥:在公钥加密体系中,需要对密钥,一个被称为公钥,另一个被称为私钥。应注意是,公钥是对其它用户公开,而私钥只有用户自己知道。这两个密钥一个用于加密,另一个用于解密。依据应用背景不一样,加密算法既可能使用公钥,也可能使用私钥;解密算法也一样。公钥加密体系惯用于数字署名。RSA算法是Rivest、Shamir和Adleman于1977年开发,并以这三名创始者姓名首字母命名。作为第一个公钥方案,RSA方法从那时起就占据着公钥加密体系最高统治地位,并被广泛接收。RSA加密包括到模数运算,其理论依据
38、是单向函数有效地使用了两个素数乘积,为了确定反向函数,入侵者必须找出乘积两个因子,找出这两个素数是一项非常艰巨计算任务。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第43页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程访问控制访问控制 预防口令攻击一个方法是不让攻击者访问口令文件。假如加了密文件口令部分只能被特权用户所访问,则不知道特权用户口令攻击者是不能读到该文件。因为计算机系统中大量信息都是以文件形式出现,所以对信息施加保护表现为对文件访问在实际上受到控制。访问控制是在身份识别基础上,依据身份对提出资源访问请求加以控制。在访
39、问控制中,对访问必须进行控制资源称为客体,而对客体进行访问活动资源称为主体。主体即访问发起者,通常为进程、程序或用户。客体包含各种资源,如文件、设备、信号量等。访问控制中第三个元素是保护规则,它定义了主体与客体可能相互作用路径。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第44页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 普通对客体访问控制机制有两种:一个是自主访问控制,一个是强制访问控制。自主访问控制自主访问控制 所谓自主访问控制是指由客体拥有者或含有指定特权用户来制订系统一些参数以确定哪些用户能够访问而且以什么样方式来访
40、问他们客体。它是一个最为普遍访问控制技术,在这种方式中用户含有自主决定权。访问控制矩阵是一个稀疏矩阵,大多数元素为空元素。空元素将会造成存放空间浪费,而且查找某个元素会消耗大量时间。所以,实际上经常是基于矩阵行或列来表示访问控制信息。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第45页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 基于行自主访问控制基于行自主访问控制 所谓基于行自主访问控制就是指在每个主体上都附加一个该主体可访问客体详细情况说明表。常见基于行自主访问控制有权限字以及前缀表等方式。权限字是一张不可伪造标志或凭证,
41、它提供给主体对客体特定权限。主体能够建立新客体并指定在这些客体上允许操作。操作系统以用户名义拥有全部凭证,系统不是直接将凭证发给用户,而是仅当用户经过操作系统发出特定请求时才为用户建立权限字。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第46页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 前缀表包含客体名和主体对它访问权限。前缀表原理是:当系统中某个主体请求访问某个客体时,访问控制机制将检验主体前缀是否含有它所请求访问权。这种方式存在三个不足之处:一是主体前缀大小有限制;二是当生成一个新客体或改变和撤消某个客体访问权时,会包括
42、许多主体前缀更新,需要进行大量工作;三是不便确定可访问某客体全部主体。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第47页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 基于列自主访问控制基于列自主访问控制 所谓基于列访问控制就是指在每个客体上都附加一份可访问它主体详细情况说明表。基于列访问控制有两种方式:保护位和存取控制表。保护位对全部主体、主体组以及客体拥有者要求了一个访问模式集合。主体组是含有相同特点主体集合。一个主体能够同时属于多个主体组。但某个时刻,一个主体只能属于一个活动主体组。兰州理工大学计算机与通信学院兰州理工大
43、学计算机与通信学院第48页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 存取控制表能够决定任何一个特定主体是否可对某个客体进行访问。每个客体都对应一张存取控制表,表中列出全部可访问该客体主体和访问方式。比如,某个文件存取控制表能够存放在该文件文件说明中,通常包含内容有:能够访问该文件用户身份,文件主或是用户组,以及文件主或用户组组员对此文件访问权限。假如采取用户组或通配符概念,则存取控制表不会很长。当前,存取控制表方式是自主访问控制实现中比很好一个方法。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第49页操作系统原理操作系统原
44、理Principle of Operating System 精品课程精品课程自主访问控制访问许可自主访问控制访问许可 访问许可允许主体对客体存取控制表进行修改,所以利用访问许可能够实现对自主访问控制机制控制。这种控制有三种类型:等级型、拥有型和自由型等级型、拥有型和自由型。等级型等级型是将对客体存取控制表修改能力划分等级,组成一个树型结构,其中系统管理员是树根,它含有修改全部客体存取控制表权限,而且含有向其它主体分配对客体存取控制表进行修改权利。上一级主体能够对下一级主体分配对应客体存取控制表修改权和对修改权分配权。最低一级主体不含有访问许可,即它们不含有对客体存取控制表修改权。而含有访问许
45、可主体能够授予自己对许可修改客体任何访问模式访问权。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第50页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 拥有型拥有型是指客体拥有者含有对客体全部控制权,同时它也是对客体有修改权唯一主体。客体拥有者含有对其客体访问许可,并能够授予或撤消其它主体对客体任何一个访问模式,但客体拥有者不含有将其对客体控制权分配给其它主体能力。自由型自由型是指客体生成者能够将它对其客体控制权分配给其它主体,而且还能够使其它主体也含有这种分配能力。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第51
46、页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 强制访问控制 自主访问控制是确保系统资源不被非法访问一个有效方法。但在自主访问控制中,正当用户能够修改该用户所拥有客体存取控制表,此时操作系统无法区分这是用户自己正当操作还是非法操作或是恶意攻击。为了填补这个不足,引入了一个更强有力控制方法就是强制访问控制。所谓强制访问控制是指由系统来决定一个用户是否能够访问某个客体。这个安全属性是强制性要求,任何主体包含客体拥有者也不能对其进行修改。系统经过比较主体和客体安全属性来确定一个用户是否含有对某个客体访问权力。强制访问控制普通有两种方法:限制访问
47、控制和限制系统功效。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第52页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 在使用限制访问控制方法系统中,主体只有经过请求特权系统调用来修改客体存取控制表。而这个调用功效依据是经过用户终端输入信息,不是依靠别程序信息来修改存取控制表。在使用限制系统功效系统中,必要时系统自动实施对系统一些功效限制。比如,共享是计算机系统优点,但也带来问题,所以要限制共享文件。当然共享文件是不可能完全限制。再如,专用系统能够禁止用户编程,这么能够预防一些非法攻击。不过假如该专用系统连接在网络中,黑客还是有
48、可能攻入这种专用系统。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第53页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程访问控制方式缺点缺点:很多系统对非预期闯进是敏感。一旦某个攻击者经过某种方式获取了访问权,他就可能希望得到大量口令方便对不一样登录使用不一样账号来降低被检测到危险。或者含有某账号用户还可能希望得到另一个用户账号去访问特权数据或对系统采取破坏活动。保护中意外事故可能使口令文件可读,这么就会危及全部账号安全。有些用户含有位于其它保护域中其它机器上账号,而且他们使用相同口令。这么,假如口令在某台机器上被任何人读到,则
49、另一台机器也可能会受到威胁。所以,更有效策略是强迫用户选择不易被猜出口令。所以,更有效策略是强迫用户选择不易被猜出口令。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第54页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程口令选择策略口令选择策略 选择口令目标是在排除那些轻易猜测口令同时能让用户选择一个轻易记忆口令。口令选择策略惯用有以下四种:用户教育 计算机生成口令 反应性口令检测 前摄性口令检测 兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第55页操作系统原理操作系统原理Principle of Operating
50、System 精品课程精品课程入侵检测入侵检测 最好入侵防护系统也不可防止地会失败。系统第二道防线就是入侵检测,这也已经成为近年来许多研究焦点。入侵检测定义为:识别针对计算机或网络资源恶意企图和行为,并对此做出反应过程。入侵检测是对入侵发觉,用于入侵检测软硬件组合称为入侵检测系统(Intrusion Detection System,IDS),它经过搜集并分析计算机系统和网络相关数据来检测入侵行为。兰州理工大学计算机与通信学院兰州理工大学计算机与通信学院第56页操作系统原理操作系统原理Principle of Operating System 精品课程精品课程 分为两类:异常入侵检测异常入侵检
