第七章操作系统的安全与保护

1、第七章操作系统的安全与保护 电子信息学院 2010年9月 第七章 操作系统的安全与保护 7.1 安全性概述 7.2 安全策略 7.3 安全模型 7.4 安全机制 7.5 安全操作系统设计和开发 7.6 Linux安全机制 7.7 Windows 2003安全机制 7.1 安全性概述 v什么是计算机系统的安全性? v影响计算机系统安全性的因素 ? v安全性和可靠性 v操作系统安全性的主要内容 1)安全策略： 2)安全模型： 3)安全机制： 操作系统面临的安全威胁 v硬件 v软件 v数据 v网络和通信线路 7.2 安全策略 7.2.1 安全需求和安全策略 7.2.2 访问支持策略 7.2.3 访问

2、控制策略 7.2.1 安全需求和安全策略 1 安全需求和策略 1)机密性 2)完整性 3)可记帐性 4)可用性 安全策略 什么是安全策略： 用于授权使用其计算机及信息资源的规 则，即有关管理、保护、分配和发布系 统资源及敏感信息的规定和实施细则， 一个系统可有一个或多个安全策略，其 目的是使安全需求得到保障。 安全策略分成两类： 1)军事安全策略 2)商业安全策略 2 可信计算基(1) 引用监视程序工作原理 操作系统内核 应用 进程 资源 引用控制 数据库 可信计算基 TCB 引用监视程序 用户空间 内核空间 所有系统调用 必须经过安全 检查 可信计算基 (2) v安全功能模块TSF v安全功

3、能策略TSP vTSF实现 7.2.2 访问支持策略 v访问支持策略的作用 1 标识与鉴别 1)用户标识 2)用户鉴别 2 可记帐性 3 确切保证和连续保护 4 客体重用 5 隐蔽信道分析 6 可信路径和可信恢复 用作身份标识和鉴别的三类信息 v用户知道的信息 v用户拥有的东西 v用户的生物特征 7.2.3 访问控制策略 1访问控制属性(1) v与访问控制策略相关的因素有： 主体、客体和主客体属性 1)主体： 普通用户 信息属主 系统管理员 访问控制属性(2) 2)客体： (1)一般客体， (2)设备客体， (3)特殊客体。 访问控制属性(3) 3)主客体属性：属性又称敏感标记 v主体属性：

4、(1)用户ID/用户组ID (2)用户访问许可级别 (3)用户需知属性 (4)角色 (5)权能列表 访问控制属性(4) v客体属性 : (1)敏感性标记 (2)访问控制列表 v外部状态 v数据内容和上下文环境 4)用户与主体绑定 v应用进程是固定为某特定用户服务的， 它在运行中代表该用户对客体资源进行 访问，其权限应与所代表的用户相同， 这一点可通过用户与主体绑定实现。 v系统进程是动态地为所有用户提供服务 的，当应用进程进行系统调用时，它开 始执行内核函数，这时系统进程代表该 用户在执行，运行在核心态，拥有操作 系统权限。 2自主访问控制策略 v自主访问控制策略 v自主访问控制工具 v自主访

5、问控制策略的缺点 3强制访问控制策略 v在强制访问控制机制下，系统内的 每个主体被赋予许可标记或访问标 记，以表示他对敏感性客体的访问 许可级别； v系统内的每个客体被赋予敏感性标 记，以反映该客体的安全级别。 v安全系统通过比较主、客体的相应 标记来决定是否授予一个主体对客 体的访问权限。 7.3 安全模型 7.3.1 安全模型概述 7.3.2 几种安全模型简介 7.3.1 安全模型概述 v什么是安全模型 ? v安全模型分类? v形式化开发途径 。 v非形式化开发途径 。 状态机模型开发步骤 v定义与安全有关的状态变量。 v定义安全状态需满足的条件。 v定义状态转移函数。 v证明转移函数能够

6、维持安全状态。 v定义初始状态。 v依据安全状态的定义，证明初始状 态是安全的。 7.3.2 几种安全模型简介 1 基于访问控制矩阵的安全模型 1)Lampson访问控制矩阵模型 2)Graham-Denning模型 3)Harrison-Ruzzo-Ullman模型 2 基于格的安全模型 1)Bell-LaPadula模型 2)D.Denning信息流模型 BLP多级安全模型 v什么是BLP模型? vBLP模型的安全策略? 1)自主安全策略 2)强制安全策略 BLP模型两条基本规则 (1)简单安全规则：主体对客体进行读访问的必要 条件是主体的安全级支配客体的安全级，即主体 的安全级别不小于客

7、体的保密级别，主体的范畴 集包含客体的全部范畴，或者说主体只能向下读， 不能向上读。如将军可阅读中校的文件，但反之 不允许。 (2)*特性规则：主体对客体进行写访问的必要条 件是客体的安全级支配主体的安全级，即客体的 保密级别不小于主体的保密级别，客体的范畴集 包含主体的全部范畴，或者说主体只能向上写， 不能向下写。如中校可发消息给将军的信箱告知 情况，但反之不允许。 Bell-LaPadula多级安全模型 5E6 3C4D B2 1A 安全 等级 4 3 2 1 写 读 主体客体 7.4 安全机制 7.4.1 硬件安全机制 7.4.2 认证机制 7.4.3 授权机制 7.4.4 加密机制 7

8、.4.5 审计机制 7.4.1 硬件安全机制 1 主存保护 1)不支持虚拟主存的系统 (1)下界和上界寄存器法 (2)基址和限长寄存器法 (3)主存块的锁与进程的钥匙配 对法 钥匙和主存锁 主存锁 0110 块 1101 块 0101 块 0110 块 0110 PSW的其余部分 钥匙 进程 2)支持虚拟存储器的系统 v虚存隔离技术 v分页虚拟存储管理 v分段虚拟存储管理 v段页式虚拟存储管理 Windows分页虚存管理 1)区分内核模式页面和用户模式页面：内核模 式页面仅在核心态执行时才可访问，且仅用于 系统的数据结构，用户只能通过适当的内核函 数方可对其访问； 2)区分页面类型：Win32

9、 API区分页面访问模式 -不可访问、只读、读写、只能执行、执行和读、 执行和读写。任何其他模式对页面的访问都会 造成违法； 3)进程地址空间页面状态：有三种-空闲、保留 和提交，被记录在对应页表项中。一个空闲页 面是指尚未分配给进程的无效页面，任何访问 试图都会产生无效页号错误；访问保留或提交 页面可能会造成不同类型的缺页中断处理。 3)沙盒技术 v什么是沙盒技术? vJava可定制的沙盒安全模型。 2 运行保护 用户 空间 系统 空间 应用进程 系统进程 处理器模式扩展操作系统的访问权限 运行在 内户态 运行在 核心态 不 可 执 行 特 权 指 令 可执行 特 权 指 令 VAX/VMS操作系统利用处理器的 四种模式 v内核(kernel)态：执行操作系统内核，包括主 存管理、中断处理、I/O操作等 v执行(e