操作系统的保护和安全

第11章

操作系统保护与安全1第1页基本概念保护（或称内在保护）是指一个控制程序、进程或用户对计算机系统资源访问机制。该机制由操作系统内部采取。2第2页基本概念安全是对系统完整性和系统数据安全可信度衡量。还需要考虑系统运行外部环境。3第3页保护4第4页保护当信息保留在计算机系统中，需要保护其安全，使之不受物理损坏（可靠性）和非法访问（保护）。可靠性通常是由文件备份来提供。保护能够有各种方法。对于小、单用户系统，能够经过使用软盘、CDs（把它们锁在安全地方）来提供保护。5第5页保护在多用户系统中，需要其它机制。需要是对文件控制访问。实现控制访问几个机制密码

访问控制列表对各种用户分类文件许可6第6页保护每种机制都有优点和缺点，适合用于特定应用。小计算机系统（只为少数几个研究组员使用）不需要提供大型企业级计算机（用于研究、商务和其它人事活动）一样保护类型。7第7页保护“保护在计算机系统中饰演角色是：为加强资源使用控制策略提供一个机制。”策略决定了做什么。机制决定了怎样做。为了适应性（弹性），从机制中分离出策略是很主要（策略可能会伴随位置和时间而改变）。8第8页保护域要保护什么？软件对象（文件、程序等）硬件对象（CPU、内存、磁盘和其它设备）保护域

指定了进程能够访问资源。一个进程只在一个保护域内操作。9第9页保护域一个保护域是一个访问权限集合。每一个访问权限是一个有序对：<对象名，权限集合>权限集合表示在该对象上能够执行什么操作。如写到打印机、读或写文件、在CPU上执行。一个进程在所给域中操作只能访问该域所列出对象，只能使用为每个对象所指定权限。10第10页进程支持对操作系统安全性基本要求是，当受控路径执行信息交换操作时，系统能够使各个用户彼此隔离。全部当代操作系统都支持一个进程代理一个用户概念，而且在分时和多道程序运行系统中，每个用户在自己权限内都可能会有几个同时运行进程。因为多道程序运行是多用户操作系统安全性中心问题，所以进程快速转换是非常主要。11第11页进程支持为描述和控制进程活动，系统为每个进程定义了一个数据结构，即进程控制块PCB，系统创建一个进程同时就为它设置了一个进程控制块，用它去对进程进行控制和管理，进程任务完成了，系统回收其PCB，该进程就消亡了。系统将经过PCB而感知对应进程，进程控制块PCB是进程存在惟一标志。进程控制块PCB包含了进程描述信息和控制信息。12第12页内存及地址保护多道程序中一个最显著问题是预防一道程序在存放和运行时影响到其它程序。操作系统能够在硬件中有效使用硬保护机制进行存放器安全保护。现在最惯用是界址、界限存放器、重定位、特征位、分段、分页和段页式机制。

1.界址最简单内存保护机制是将系统所用存放空间和用户空间分开。界址则是将用户限制在地址范围一侧方法。在这种方法中，界址被预先定义为内存地址，方便操作系统驻留在界址一边而用户使用另一边空间。13第13页内存及地址保护固定界址：可变界址存放器：

14第14页内存及地址保护

2.重定位我们能够将系统实际赋给程序内存起始地址值作为一个常数重定位因子。先将程序起始地址视为0（这时程序内每个地址值实际上就是相对于起始地址偏移值），在把程序真正装入到内存时再将常数重定位因子加到程序内每个地址上，使得程序执行时所包括全部和实际地址相关地址都对应得到改变，这个过程，我们称之为重定位(Relocation)。界址存放器能够作为硬件重定位设备。15第15页内存及地址保护

3.基址/界限存放器在两个或多个用户情况下，任何一方都不能预先知道程序将被装入到内存什么地址去执行，系统经过重定位存放器提供基址来处理这一问题。程序中全部地址都是起始于基地址（程序在内存中起始地址）位移，由此可见，基地址存放器提供了向下界限，而向上地址界限由谁来提供呢？系统引进了界限存放器，其内容作为向上地址界限。于是每个程序地址被强制在基址之上，界限地址之下。16第16页内存及地址保护基址/界限存放器对：两对基址/界限存放器：17第17页内存及地址保护

4.特征位结构下面介绍内存地址保护另一个方法——使用特征位结构，即在机器内存每个字中都有一个或多个附加位表示该字存取权限，这些存取位仅能被特权指令（操作系统指令）设置。在程序状态字中一样设置特征位，每次指令存取该单元时都对这些位进行检验，仅当二者特征位相匹配时才允许访问，不然产生保护中止。18第18页内存及地址保护

5.分段、分页和段页式程序能够被划分为许多含有不一样存取权限块，每块含有一个逻辑实体，能够是一个过程代码或是一个数组数据等等。从逻辑上讲，程序员将程序看做一系列段集合，段能够分别重定位，允许将任何段放在任何可用内存单元内。操作系统经过在段表中查找段名以确定其实际内存地址，用户程序并不知道也无需知道程序所使用实际内存地址。这种地址隐藏意义：其一，操作系统能够将任何段移到任何内存单元中。其二，若段当前未使用话，能够将其移出主内存，并存入辅存中，这么能够让出存放空间。其三，每个地址引用都经由操作系统处理，以确保系统行使其安全保护检验职责。19第19页内存及地址保护和程序分段相对应是分页。从保护角度来看，分页可能有一个严重缺点，它和分段不一样，分段有可能将不一样段赋予不一样保护权限(如只读或只执行)，能够在地址转换中很方便地处理保护问题，而使用分页因为没有必要将页中项看做整体，所以，不可能将页中全部信息置为同一属性。20第20页文件保护--访问类型访问类型读–从文件中读写–对文件写或改写执行–将文件装入内存并执行它。添加–将新信息添加到文件尾部。删除–删除文件并释放它所占据空间。列表清单–列出文件名称和属性。其它操作，比如文件复制是基于上面列出一些基本操作来实现。21第21页文件保护--文件密码每个文件关联一个密码假如每个文件关联一个单独密码，那么需要多少密码呢？为全部文件用一个密码，那么一旦密码被发觉全部文件都能够访问。TOPS-20(forDEC’sPDP机器)允许用户为目录而不是文件关联一个密码。MSWindows文件共享–在网络环境中设置一个密码以让其它用户共享PC上一个目录。22第22页文件保护--访问控制列表让访问依赖于用户身份每个文件或目录关联一个访问列表，以给定每个用户名及其所允许访问类型。23第23页文件保护--访问控制列表在VMS上实现在Unix上为非通用（存在许可系统以提供合理保护）开销：假如允许每个用户都能读文件，那么必须列出全部含有读访问权限用户--控制列表很大。24第24页文件保护--文件许可为了精简访问列表，许多系统为每个文件采取了三种用户类型。拥有者，组，其它组必须经过超级用户建立为每个文件目录项附加上一组许可。即文件或目录：可读、可写、可执行25第25页文件保护--文件许可然而，对于这种保护方案，假如一个文件用户类型为“其它”，文件许可属于为“可读”，那么无法阻止他人读文件。26第26页文件保护--

Unix文件许可-rwxrwxrwxafileuser(owner)groupother(world)fileugo27第27页文件保护--

Unix文件许可-rwxr--r--user(you)groupother(world)file你建立某个文件28第28页文件保护--

Unix文件许可drwxr-xr-xuser(you)groupother(world)directory你建立某个目录29第29页文件保护--

Unix目录许可读–能够列出存放在该目录中全部文件名称。写–用户被允许建立或移动该目录中文件。执行–用户能够“经过”该目录搜索子目录。30第30页文件保护--

Unix文件许可-r--------user(root)group(sys)other(world)file/etc/shadow

（影子文件）31第31页文件保护--访问（存取）矩阵

一组访问权限能够看成一个矩阵。矩阵提供了一个指定保护策略方法。D1D2D3D4读F1F2F3打印机读打印读执行读、写读、写对象保护域(F1,F2,F3:文件)32第32页安全33第33页备份与恢复34第34页备份因为磁盘有时会犯错，所以从磁盘上备份数据到其它存放设备（软盘、磁带、光盘）上是十分主要。大企业经典备份方案（下一张幻灯片）存放成永久备份并远离计算机假如

火灾

摧毁了计算机试验室…35第35页一个经典备份计划第1天：完全备份–从磁盘上复制全部文件到备份介质。第2天：复制自第一天后改变文件到另一个备份介质。这是增量备份。第3天：复制自第二天后改变全部文件到另一个备份介质。……第N天：复制自第N-1天后改变全部文件到另一个备份介质。然后回到第一天备份上并重复。要不时地进行完全备份以永远保留。36第36页验证假如用户帐户能够很轻易地被未经授权人员访问，那么内部保护是没有用。一个主要安全问题是验证，应该怎样确定一个用户身份是否真实呢？最惯用方法是使用用户名（标识符）和密码（验证码）。用户身份决定了他们访问计算机资源级别。资源：CPU（计算时间）、文件、外部设备等。37第37页Unix验证详细资料存放在

/etc/passwd文件中传统格式是：用户名加密密码（现在存放在

/etc/shadow文件中）用户ID(UID)组ID(GID)用户全名主目录登录shelltgray:qU48usgPj5m::260:TonyGray:/u/soc/tgray:/bin/csh38第38页密码加密绝大多数系统为了提升安全性采取加密密码。密码不以明文存放。在Unix中，输入密码被加密并与/etc/shadow（影子）文件中密码条目比较。影子文件仅超级用户可读。39第39页Unix影子文件（权限）-r--------超级用户同组用户其它用户文件/etc/shadow

文件（权限）40第40页密码脆弱一面加密密码是难以破解比如，Unix系统为加密密码采取一个单向（不可逆）数学函数。然而，假如用户选择密码不好比如，用户名或自己喜爱车名。41第41页密码脆弱一面在过去，黑客能够获取（其它用户可读）密码文件（/etc/passwd），并给字典中全部单词加密，再将加密结果和密码文件中密码做比较。42第42页密码脆弱一面有两种常见猜测密码方法。第一个，入侵者（人或程序）掌握了目标用户相关信息。第二种，使用暴力：一个由十进制数组成长度为4位密码只有10000种可能。平均5000次命中一个密码（一个程序可能只花5秒钟就能够猜出一个4位纯数字密码）。43第43页密码脆弱一面可见监视在用户登录时，入侵者视线能够越过用户肩膀偷窥用户密码（偷窥）。电子监视网络监视器将让入侵者看到全部在网络上传输数据（嗅探），包含密码。数据加密处理了这个问题。44第44页密码脆弱一面一些系统强迫用户使用极难记忆或是很长密码。这可能迫使用户将密码统计下来，这比允许使用简单密码系统更不安全。用户选择密码经常很轻易被猜中（比如，宠物狗名字）。45第45页密码密码不要用：用户名字或宠物名…轻易与用户相关联任何东西。字典中单词上面任何一个颠倒。46第46页密码密码要：有足够长度（不过有些系统有限制长度）。用混有数字、特定字符组合。用一些对自己轻易记住，不过对他人又难以猜到数字、字符组合。用输入较快数字、特定字符组合。不要统计下密码。不时改变密码。47第47页其它密码机制产生密码一个好方法：用一个轻易记忆短语中每个单词第一个字母。比如：MmniHKW.Mymother’snameisHelenKateWilliams.在密码输入屡次错误后，帐户封锁。密码老化并强制改变不过用户可能只准备两个密码，并在这两个密码之间切换。预防密码重用统计用户用过N个密码，并禁止它们重用。48第48页其它密码机制一次性密码：用一个算法作为一个密码。比如，计算机选择一个随机整数12，并通知用户。加密算法是：1+2+2+0=5（假定当前日期是某月20号）所以用户对计算机响应是5计算机用相同算法计算得到该数

5

，那么访问被允许。（这里“5”是一次性密码，因为下次就不一样了！）这里加密算法是计算机系统与用户约定、保密。49第49页其它密码机制下一次：计算机选择另一个随机整数120加密算法：1+2+0+2+1=6（假定日期为某月21号）所以用户对计算机响应一定是

6计算机用相同算法计算得到该数

6

，那么访问被允许。50第50页程序威胁51第51页特洛伊木马特洛伊木马：一个伪装成正常应用程序程序。比如，一个声称能让你摆脱计算机病毒但却把计算机病毒引入你计算机程序。另一个例子，是为获取密码而伪造登录程序（演示示例）。特洛伊木马不会自我复制。52第52页后门后门在应用程序中有意留下、只有编程者自