操作系统：10第十一章 操作系统管理（2）

1、威胁类型威胁类型n 阻断阻断(interruption) 系统资产被毁损或变成不可用、不能用系统资产被毁损或变成不可用、不能用; n 截取截取(interception) 非授权方得到系统资产非授权方得到系统资产, 如盗取保密数据如盗取保密数据;n 篡改篡改(modification) 系统数据被非授权者改变系统数据被非授权者改变;n 伪造伪造(fabrication) 非授权者将假对象加入系统。非授权者将假对象加入系统。 威胁类型图示威胁类型图示: :阻断sourcedestination截取sourcedestination篡改sourcedestinationsourcedestinat

2、ion伪造11.4.1 闯入与身份认证闯入与身份认证 n 身份认证最常用的手段是口令身份认证最常用的手段是口令;n 口令加密后存储到系统口令加密后存储到系统Password文件中文件中l 用户口令在帐户建立时连同登录名字用户口令在帐户建立时连同登录名字 一起记载在系统一起记载在系统password 文件中文件中 nLinux /etc/shadownUNIX /etc/passwdl 加密函数易于计算但难于取反。加密函数易于计算但难于取反。n 推荐选取原则推荐选取原则 l 混合使用字母混合使用字母(大小写大小写)、数字、数字 .l 采用一个熟悉句字中出现的单词的首字母采用一个熟悉句字中出现的单

3、词的首字母, 如如MfnisB (My Fathers Name is Bob) .口令的选取口令的选取11.4.1 闯入与身份认证闯入与身份认证(Cont.) n UNIX口令口令: UNIX系统在加密之前对口令拼加系统在加密之前对口令拼加“salt” ; salt是随机产生的长度为是随机产生的长度为 12 bit 的附加位的附加位, 将其与口令将其与口令 s (56bit)串接在一起串接在一起; 然后对其结果再运行然后对其结果再运行crypt(3)算法算法, 加密后的结果连同加密后的结果连同salt一起一起 保存在保存在passwd文件中。文件中。11.4.1 闯入与身份认证闯入与身份认证

4、(Cont.) 11 chars crypt(3)saltpassword12bit56 bitUser-id salt Epsw(s,salt)User-idUNIX口令载入口令载入 11.4.1 闯入与身份认证闯入与身份认证(Cont.) Password文件文件User-id salt Epsw(s,salt) User-id crypt(3)passwordcompareUNIX口令验证口令验证 11.4.1 闯入与身份认证闯入与身份认证(Cont.) n 基于单向函数基于单向函数 y=f(x), 给定给定x, 很容易地计算很容易地计算y ; 给定给定y, 从计算上不可能求得从计算上不

5、可能求得x。n 用户首先选定一个保密口令用户首先选定一个保密口令s , 同时指定一个整数同时指定一个整数n ;n Password generation: 第一代口令为第一代口令为p1=f n (s) ; 第二代口令为第二代口令为p2=f n-1(s) ; . 第第 n 代口令为代口令为pn= f ( s ) .一次性口令一次性口令11.4.1 闯入与身份认证闯入与身份认证(Cont.) 一一次次性性口口令令登登录录及及口口令令验验证证远端用户远端用户主机主机注册：S，nPassword 文件：P0= f n+1(S), nS, n第一次登录：S；P1=f n (S)P= f (P1);P=P

6、0? 则: P1 ，n-1第二次登录：S；P2=f n-1 (S)P= f (P2);P=P1? 则: P2 ， n-2第 i 次登录：S；Pi=f n-(i-1) (S)P= f (Pi);P=Pi-1? 则: Pi ，n-i第 n 次登录：S；Pn=f n-(n-1) (S)P= f (Pn);P=Pn-1? 则: Pn ，0P1P2PiPn11.4.1 闯入与身份认证闯入与身份认证(Cont.) 每每次次口口令令不不同，同，抗抗截截取取11.4.2 程序威胁程序威胁 独立程序独立程序寄生程序寄生程序 病毒病毒陷阱门陷阱门逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马细菌细菌蠕虫蠕虫复制复制恶意程序

7、恶意程序逻辑炸弹逻辑炸弹: 逻辑炸弹是逻辑炸弹是隐藏在合法程序中隐藏在合法程序中 可以被可以被某种条件触发某种条件触发而而 执行执行某种破坏性动作某种破坏性动作的程序。的程序。 n 软件开发者可以采用这种手段制约使用者软件开发者可以采用这种手段制约使用者, 以达到某种目的以达到某种目的 ;n 逻辑炸弹程序的设计是容易的逻辑炸弹程序的设计是容易的, 一般编程人员都能实现一般编程人员都能实现, 但要伪装得好、不易被发现但要伪装得好、不易被发现, 则需要一定的设计技巧和编程经验。则需要一定的设计技巧和编程经验。11.4.2 程序威胁程序威胁(Cont.) n 特洛伊木马特洛伊木马: 嵌入于某合法程序

8、中的秘密例程嵌入于某合法程序中的秘密例程; 合法程序的执行将导致秘密例程的执行合法程序的执行将导致秘密例程的执行; 具有伪装的攻击程序。具有伪装的攻击程序。例如例如: 乙欲得到甲的文件乙欲得到甲的文件F, 因无权限不能直接访问因无权限不能直接访问, 便编写一个游戏程序便编写一个游戏程序G并邀请甲玩并邀请甲玩;甲运行甲运行G, 这确实是一个游戏程序这确实是一个游戏程序, 但在后台但在后台G将将F复制复制 到乙用户的目录下到乙用户的目录下, 达到了文件窃取的目的达到了文件窃取的目的。11.4.2 程序威胁程序威胁(Cont.) n 防止特洛伊木马防止特洛伊木马 l增强权限检查和控制增强权限检查和控

9、制, 如限制存取灵活性如限制存取灵活性; l提高自我防范意识提高自我防范意识, 慎重使用来历不明的软件。慎重使用来历不明的软件。后门后门(trapdoor): 是程序中绕过例行检查的入口是程序中绕过例行检查的入口;是系统安全的严重隐患。是系统安全的严重隐患。n 这种非正常入口在程序开发过程中普遍存在这种非正常入口在程序开发过程中普遍存在;n 一旦系统发布所有后门均应关闭一旦系统发布所有后门均应关闭n 后门一般有两种情况后门一般有两种情况 l忘记关闭忘记关闭;l有意保留。有意保留。11.4.2 程序威胁程序威胁(Cont.) 细菌细菌(bacteria) n 消耗系统资源消耗系统资源l进程复制进

10、程复制: System call fork , spaw , etc.l文件复制文件复制: make new bacteria filel细菌可以指数级别增长细菌可以指数级别增长, 消耗消耗 n CPU资源资源 n 内存资源内存资源n 磁盘空间磁盘空间 11.4.2 程序威胁程序威胁(Cont.) 病毒病毒(virus) n 病毒不是一个独立的程序病毒不是一个独立的程序;n 寄生于某一合法程序寄生于某一合法程序(通常是一个可执行程序通常是一个可执行程序)上的一段代码。上的一段代码。n 危害：危害： l传播传播: 使其它文件感染上该病毒使其它文件感染上该病毒;l破坏破坏: 如删除系统文件。如删除

11、系统文件。11.4.2 程序威胁程序威胁(Cont.) n 压缩病毒的感染过程压缩病毒的感染过程P1P1CVP2CVP211.4.2 程序威胁程序威胁(Cont.) n 危害：危害：l 复制和传播复制和传播: 通过自身复制消耗系统资源通过自身复制消耗系统资源, 在网上从一个计算机传播到另一个计算机在网上从一个计算机传播到另一个计算机;l 除利用除利用spawn复制和传播外复制和传播外, 可能伴随执行不期望的动作可能伴随执行不期望的动作。蠕虫蠕虫(worm)11.4.2 程序威胁程序威胁(Cont.) 11.4.3 安全策略安全策略n 口令管理口令管理 l初始口令初始口令 当为给一个用户建立户头

12、时当为给一个用户建立户头时, 为其规定一个登录口令为其规定一个登录口令; l关卡口令关卡口令 在某些关键目录、关键文件等设置口令在某些关键目录、关键文件等设置口令, 可以防止非授权的用户对其进行访问可以防止非授权的用户对其进行访问, 达到保护的目的。达到保护的目的。 l主副口令主副口令 即设置两个口令即设置两个口令: 一个为主口令一个为主口令, 另外一个为副口令另外一个为副口令. 主副口令分别由两个不同的用户掌握主副口令分别由两个不同的用户掌握; 仅当二者都在场时才能成功对答通过。仅当二者都在场时才能成功对答通过。防火墙防火墙(firewall) n 防火墙是网络上分离可信系统防火墙是网络上分

13、离可信系统(trusted system)与非可信系统与非可信系统(un-trusted system)的常用方法的常用方法;n 介于可靠系统与非可靠系统之间的一台计算机介于可靠系统与非可靠系统之间的一台计算机或一个路由器构成或一个路由器构成;n 作用作用 l限制两个不同安全域之间的相互访问限制两个不同安全域之间的相互访问; l动态监视和记录所有连接。动态监视和记录所有连接。11.4.3 安全策略安全策略加密加密思想思想: 伪装信息伪装信息, 使局外人不可理解信息的真正含义。使局外人不可理解信息的真正含义。n 安全性取决于对密钥的管理安全性取决于对密钥的管理; n 加密保护可以防止信息被截取加

14、密保护可以防止信息被截取(interception);n 不能防止信息被篡改不能防止信息被篡改(modification)。11.4.3 安全策略安全策略n 加密和解密原理加密和解密原理 EDC=E(P,KE)PP=D(C,KD)KEKD11.4.3 安全策略安全策略一个加密系统可由五元组定义：一个加密系统可由五元组定义：S=P,C,K,E,D, 其中其中P为明文空间，为明文空间，C为密文空间，为密文空间，K为密钥空间，为密钥空间，E为加密算法，为加密算法，D为解密算法为解密算法. 审计审计(auditing) n 审计作为事后追踪的手段来保证系统安全审计作为事后追踪的手段来保证系统安全; ;

15、n 审计将涉及系统安全的操作记录在系统监听日志审计将涉及系统安全的操作记录在系统监听日志( (audit log) )中中; ;n 以便在发生安全问题后对违反系统安全规则的事以便在发生安全问题后对违反系统安全规则的事件能够有效地追查事件发生时间、地点与过程件能够有效地追查事件发生时间、地点与过程。11.4.3 安全策略安全策略n 审计记录的事件审计记录的事件 l 使用识别和认证机制使用识别和认证机制(如注册过程如注册过程);l 将某客体引入某个用户的地址空间将某客体引入某个用户的地址空间 (如打开文件如打开文件);l 删除客体删除客体;l 系统管理员和安全管理员执行的操作。系统管理员和安全管理

16、员执行的操作。11.4.3 安全策略安全策略n 审计的事件包括审计的事件包括:l对系统资源的访问对系统资源的访问;l使用某种特权对系统资源进行访问使用某种特权对系统资源进行访问;l注册注册/退出操作退出操作;l修改系统或用户口令修改系统或用户口令;l不成功的登录操作。不成功的登录操作。 11.4.3 安全策略安全策略备份与恢复备份与恢复 抗御信息破坏抗御信息破坏(disruption)的安全措施的安全措施n 导致信息破坏的原因可能是人为的导致信息破坏的原因可能是人为的, 如文件被非法删除如文件被非法删除;n 也可能是自然原因造成的也可能是自然原因造成的, 如存储介质失效、自然灾害等如存储介质失效、自然灾害等;n 系统操作员必须定期地系统操作员必须定期地 对系统中的重要数据进行转储对系统中的重要数据进行转储. 11.4.3 安全策略安全策略11.4.4 可信系统可信系统n 可信系统的核心是最小的可信计算基可信系统的核心是最小的可信计算基; (Trusted Computing Base，TCB)n TCB由强制实施所有安全规则的硬件和软件构成由强制实施所有安全规则的硬件和软件构成n TCB组成组成 l绝大多数硬件绝大多数硬件(I/O设备除外设备除外, 因为它们不影响安全性因