操作系统教程：保护的基本机制、策略与模型

7.6保护的基本机制、策略

与模型

7.6.1机制、策略与模型7.6.2身份认证机制7.6.3授权机制7.6.4加密机制7.6.5审计机制7.6.1机制、策略与模型(1)

•操作系统中强调把策略（policy）与机制（mechanism）明确分开。

•策略规定要达到的特定目标，如安全范围内将决定什么时候去完成什么样的信息保护任务？

•机制是用于强制执行策略，完成任务和特定目标的方法、步骤和工具。即如何实现保护，是一组实现不同种类保护方案的算法和代码的集合。保护的基本机制、策略与模型(2)

策略：某种特殊通信策略不允许两个进程共享资源。机制：支持此通信策略需要消息传送，把一个进程地址空间内的信息复制到另一进程。保护的基本机制、策略与模型(3)策略：某学院计算机系本科生实验室中的计算机只能给已注册的本科生使用。机制：需要学生证和计算机系的班级列表。保护的基本机制、策略与模型(4)

•安全策略是对系统的安全需求，以及如何设计和实现安全控制有一个清晰的、全面的理解和描述。

•安全模型的目的就是精确的描述系统的安全需求和策略。

•安全模型的特点：

1、安全模型的规则

•

一个系统不如所希望的那样安全原因：一是安全控制中有漏洞，二是安全定义有缺陷。

•第一个问题是软件可靠性问题，可以通过与设计技术相关的软件工程手段克服。第二个问题，是定义系统做什么的问题。形式或非形式的开发模型

四种规范化系统开发的途径

•

安全模型与系统功能描述。•

系统的功能描述指导系统功能的实现，而安全模型指导与安全有关的系统功能的实现。2安全模型的实际应用

安全模型的类型和特点(2)

信息流模型•

是访问矩阵模型的一个补充。不校验主体对客体的访问模式，而是监管信息可以流通的有效路径，控制从一个实体流向另一个实体的信息流，控制是根据两个实体的安全属性强制实行的。格阵模型是一种信息流控制模型，可以用来描述信息流的通道与信息流动策略。安全模型的类型和特点(3)

非相干模型模型中各个主体在不同的域中运行以防止它以某种违反系统安全性的方式干扰其他主体。Honeywell公司将它用在SecureAdaTarget的研究项目中。4状态机模型(1)

•状态机模型

•状态变量

•状态转移函数状态机模型(2)

开发状态机安全模型，需要从一个安全的初始状态起，描述模型的元素（变量，函数，规则等）。只要证明初始状态是安全，所有转移函数也是安全的，那么，数学推理就能保证：系统从某个安全状态启动，无论按什么顺序调用系统功能，系统总是保持在安全状态。状态机模型(3)

开发状态机模型步骤：

(1)

定义与安全有关的状态变量。

(2)

定义安全状态需满足的条件。

(3)定义状态转移函数。

(4)

证明转移函数能够维持安全状态。

(5)定义初始状态。

(6)用安全状态的定义证明初始状态是安全的。

一个军事安全策略的例子(1)

区分不同级别，士兵为一般密级、上尉为保密级、上校为机密级、将军为绝密级，他们的文件分别为一般密级、保密级、机密级、绝密级。

一个军事安全策略的例子(2)

上校可看上尉的文件，更可看士兵的文件，但决不能看将军的文件。上尉可告诉上校他所知道的军事情况，当然也可直接报告给将军，但决不能把军事情况透露给士兵，因为普通士兵未被授权。

一个军事安全策略的例子(3)

对多级安全性的通用安全策略必须实施：不向上读进程不能读级别高于它本身的对象，但可读同级或低级对象，例如，机密级进程可读保密级或一般密级的文件，却不能读绝密级文件；不向下写进程不能向低于其本身级别对象写信息，仅能写入同级或更高级别的对象中，例如，保密进程可向机密或绝密文件写信息，却不能写一般密级文件。安全策略演变成抽象安全模型(1)

安全策略策略（a）仅且当用户的许可证级别高于或等于文件的密级时，才可以阅读该文件。策略（b）仅且当用户的许可证级别低于或等于文件的密级时，才可以写该文件。安全策略演变成抽象安全模型(2)

替换

自然语言术语计算机用术语人 主体文件客体许可证级别存取类密级存取类安全策略演变成抽象安全模型(3)

安全策略变形性质（a）仅当主体的存取类高于或等于文件的存取类时，才可以阅读该文件。性质（b）仅当主体的存取类低于或等于文件的存取类时，才可以写该文件。开发一个安全模型的步骤(1)

第一步：定义状态变量

S＝当前主体集合

O＝当前客体集合

sclass(a)=主体s的存取类

oclass(o)=主体o的存取类

A(s,o)=访问模式集合，取下列集合之一｛r｝=如果主体s能够读客体o

｛w｝=如果主体s能够写客体o

｛r,w｝=如果主体s既能够读客体o，又能够写客体o

｛Φ｝=如果主体s既不能读客体o，又不能写客体ocontent（o）=客体o的内容

subj=活动主体开发一个安全模型的步骤(2)

第二步：定义安全状态(不变式)系统是安全的，当且仅当对于所有a∈S，o∈O，有Ifr∈A(s,o),thensclass(s)≥oclass(o)ifw∈A(s,o),thenoclass(s)≥sclass(o)

开发一个安全模型的步骤(3)

第三步：定义转移函数(状态转移函数)Creat_object(o,c)

在存取类中生成客体Set_access(s,o,modes)设置主体s对客体o的存取方式Creat/Change_object(o,c)设置客体o的存取类别为c并建立客体Write_object(o,d)将数据写入contents(o)Copy_object(from,to)复制form内容到to的内容中Append_data(o,d)将数据d加到客体o内容里开发一个安全模型的步骤(4)

第四步：证明转移函数对每个转移函数，要保证它的安全性，必须证明下述定理：不变式＋函数→不变式该定理指出，当且仅当在某个安全状态（满足不变式）下调用该函数操作后，系统仍能维持在安全状态（满足不变式）时，这个转移函数才是安全的。开发一个安全模型的步骤(5)

第五，六步：定义并证明初始状态初始状态是重要的一个环节，如果对初始状态定义的不好或者初始状态的安全性得不到保证，那么，整个系统的安全性也不会有保障。5Bell&LaPadul安全模型(1)

Bell&LaPadul安全模型是目前常使用的模型，目的是将遵守军事安全策略的计算机操作模型化，模型的目的是描述计算机的多级安全操作规则。所以，多级安全的概念往往就被视为BLP模型。Bell&LaPadul安全模型(2)

BLP模型的安全策略包括：强制策略与自主策略。自主策略用访问矩阵表示，它包括读，写，运行，及控制等存取模式。强制策略通过比较主体与客体的存取类属性来控制主体对客体的访问。当对主体分配存取权时，系统不仅要进行自主校验还要进行强制校验。Bell&LaPadul安全模型(3)

BLP模型定义一个存取类结构，它包括密级与一个类别集合，并且在存取类之间建立了一个偏序关系，称为“支配”。采用数学记号可将支配操作简单记做“≥”。“Ａ支配Ｂ”记做“Ａ≥Ｂ”。用等号“＝”来表达传统上的意义，即“Ａ＝Ｂ”意指Ａ与Ｂ的存取类是相同的。Bell&LaPadul安全模型(4)

“≥”操作描述了存取类的一种偏序关系，它有如下数学性质：

•自反性Ａ≥Ａ

•反对称性如果Ａ≥Ｂ并且Ｂ≥Ａ，那么Ａ＝Ｂ

•传递性如果Ａ≥Ｂ并且Ｂ≥Ｃ，那么Ａ≥ＣBell&LaPadul安全模型(5)

除定义偏序关系，再加入两个性质，使存取类集成为一个格。给定任意两个存取类Ａ与Ｂ：

•在由Ａ与Ｂ支配的所有存取类的集合中，存在唯一的最大下界，它受集合中所有其他存取类的支配。

•在由Ａ与Ｂ支配的所有存取类的集合中，存在唯一的最小上界，它支配集合中所有其他存取类。

Bell&LaPadul安全模型(6)

BLP模型有20个转移函数或称操作规则，函数可分成三种类型：

•修改访问矩阵。

•请求并获得对某一客体的访问权。

•生成与删除客体。这些函数都经过了证明，它们能够使系统维持在安全状态。

6安全操作系统的设计(1)

(1)基本设计原则

操作系统执行与安全性有关的几个功能：

•用户认证。

•存储器保护。

•文件和I/O设备的访问控制。

•对一般目标的定位和访问控制。

•共享的实施。

•保证公平服务。安全操作系统的设计(2)

Saltzer和Schroeder设计安全操作系统原则：1系统设计公开。2不可访问应该是缺省属性。3检查当前权限。4给每个进程赋予一个最小的可能权限。5保护机制要力求简单一致，嵌入到系统的底层。6采取的保护方案必须可以接受。(2)分离（隔离）

有四种办法将一个用户(进程)与其他用户(进程)分离开：

•物理分离，

•时间分离，

•密码分离，

•逻辑分离。(3)核(1)

•核是操作系统的一部分，也称为内核或核心。完成低级功能。在标准的操作系统设计中，核实现同步，进程间通信，及中断处理等操作。

核(2)

•安全核负责实现整个操作系统的安全机制。安全核在硬件，操作系统，计算系统的其他部分之间提供安全接口。一般而言，安全核包含在操作系统核内。(4)分层设计和环结构

•核化的计算机系统至少由四层组成：硬件，核，操作系统，用户。其中每一层本身可能包含一些子层。

•环结构是分层设计的改进和具体化。7.6.2身份认证机制(1)

•身份认证机制是保护机制的基础。身份认证分为内部和外部身份认证两种。

•外部身份认证：涉及验证某用户是否是其宣称的，此系统的基本外部身份认证机制将进行检查以证实此用户的登录确实是预想中拥有此用户名的用户。

身份认证机制(2)

•内部身份认证机制：确保某进程不能表现为除了它自身以外的进程。

身份认证机制(3)

1、用户身份认证

•操作系统需要验证这些用户确实是他们所宣称的，这就是用户身份认证。

•用户标识符和口令的组合被广泛来进行用户身份认证。

身份认证机制(4)

2、网络中的身份认证

•现代网络认证机制

•网络认证机制防病毒

身份认证机制(5)

3、Kerberos网络身份认证(1)

Kerberos网络认证系统适用于“C/S”模式的开放式网络认证服务。经中央认证服务器，对其他服务器提供认证用户的服务，同时也对用户提供认证其他服务器的服务。

身份认证机制(6)

Kerberos网络身份认证(2)

Kerberos有如下需求：

•安全：

•可靠：

•透明：

•可伸缩：

身份认证机制(7)

Kerberos网络身份认证(3)

身份认证机制(8)

Kerberos网络身份认证(4)

Kerberos会话的步骤：步骤1：请求服务器进程的证书。步骤2：返回令牌和会话密钥。步骤3：解密令牌和会话密钥，保留拷贝以便验证信息。步骤4：验证请求，生成请求服务许可票据。步骤5：将票据和鉴别符发往服务器。步骤6：解密以获取证明和会话密钥的安全复件。7.6.3授权机制(1)

•授权机制确认用户或进程只有在策略许可某种使用时才能够使用计算机的实体（资源）。

•授权机制依赖于安全的认证机制。首先验证用户的身份，然后再检查其是否拥有使用本计算机的权限。授权机制(2)

授权机制(3)

一旦某用户被授权使用某机器，此机器的操作系统将代表该用户分配一个执行进程。在登录验证完毕后，用户将可自由使用命令行解释器（shell）进程来使用任意的资源。授权机制(4)

内部访问授权是管理共享资源工作的一部分。保护进程的资源，不被其他进程的行为改变。进程A拥有资源W，X，Y，Z，其中某些资源与其他进程共享，例如，进程B对W有读取权限，而C对W有写的权限，B对Y有写权限，而C对Y无任何权限，C对X可读，B对X无任何权限，并且A对Z有私有的所有权限。授权机制(5)

进程Ｂ进程Ｃ资源Ｗ资源Ｙ资源Ｘ资源Ｚ授权机制(6)

对保护问题的分类：共享参数：限制：分配权限：资源保护模型(1)

一个保护系统由一套指定保护策略的主体、对象和规则构成，它体现了通过系统保护状态定义的主体的可访问性。系统要保证为每次对象的调用都检查保护状态。资源保护模型(2)

一个保护系统

策略保护状态状态传送规则主体对象ＸS

保护状态可抽象为访问矩阵。访问矩阵A[S，O]中的每个元素是一个主体S对对象O可进行的访问操作。矩阵A的第i行表示主体Si

对对象的操作权限集，矩阵第j列表示对象Oj允许主体可进行的操作权限集。资源保护模型(3)

访问控制机制用三元组(S、α、O)表示，称(S、α、O)为系统的保护状态，状态的变化就是三元组的变化，它由系统提供一套操作来完成。资源保护模型(4)

资源保护模型(5)

访问矩阵保护机制可用于执行许多不同的安全策略。例如，设某简单系统是如下构成的：

subjects={S1，S2，S3}objects=subjects∪{F1，F2，D1，D2}F1和F2表示文件，D1、D2表示设备。一个系统保护状态访问矩阵，每个主体对其自身有控制权。S1对S2有阻止、唤醒和占有的特权，对S3有占有的特权。文件F1可被S1进行读*和写*。S2是F1的所有者，S3对F1有删除权。资源保护模型(6)

保护状态

保护状态的改变

保护系统用策略规则来控制用于切换保护状态的手段，可通过选用在矩阵中出现的访问类型和定义一套保护状态转换规则来定义策略。可用Graham和Denning的规则来阐明可传送于主体间的权限。内部授权的实现

保护模型实现策略：访问矩阵并不是保护状态的唯一可能，但是大多数实现的基石。访问矩阵必须存在某种安全的中间存储媒体上并只可被选定进程进行读写。设计的目标是通过保护检查序列化所有的访问，这种序列化将确认当前的保护状态可用于使此次访问生效。

保护检查器和访问矩阵的实现(1)

保护域与状态隔离(1)

•对计算机系统设置不同工作状态，两态模式常称：管态和目态。

•运行在管态下的程序比运行在目态下的程序有更多的访问权，达到保护系统程序或其他用户程序的目的。

•计算机处理器可工作在多种状态下，也有提供保护环设施，都能进行状态隔离。保护检查器和访问矩阵的实现(2)

保护域与状态隔离(2)

内核态执行态监管态用户态保护检查器和访问矩阵的实现(3)

保护域与状态隔离(3)

假设保护系统有N个保护环构成，在这些环中，R0到Rs支持操作系统域，而Rs+1到Rn-1则被应用程序使用。保护检查器和访问矩阵的实现(4)

保护域与状态隔离(4)

i<j表示Ri比Rj拥有更多的权限。内核中最关键的部分在环R0中运行。重要的操作系统层运行在R1中，以此类推。最安全的用户程序层运行在环Rs+1中，越次要安全的程序运行在越往外的环中。

空间隔离•

用户进程的内存空间可通过虚拟存储技术实现保护，分页、分段或段页式，提供有效的内存隔离。•

操作系统确保每个页面或每个段只被其所属进程或授权进程访问。•

隔离技术能保证系统程序和用户程序的安全性。保护检查器和访问矩阵的实现(4)保护检查器和访问矩阵的实现(5)

访问控制表和权能表(1)

实现访问矩阵可用两种方法来分解：文件X存取控制表：进程A(读、写)程序Y存取控制表：进程A(读)；进程B(读、执行)内存段Z存取控制表：进程B(读、写)；进程C(读)

存取控制表进程A的权能表：文件X(读、写)；程序Y(读)进程B的权能表：内存段Z(读、写)；程序Y(读、执行)

权能表保护检查器和访问矩阵的实现(6)

(1)访问控制表(1)

•把访问矩阵按列向量分解并存储称为“访问控制表”ACL（AccessControlList），每个向量存储为受保护对象（客体）的列表，在任何主体想访问对象的时刻，对象检查器只需简单地查询列表。保护检查器和访问矩阵的实现(7)

访问控制表(2)

•访问控制表列出用户和他们所允许对所有可存取对象的存取权。访问控制表可使用缺省值，表示没有显式具有某权限的用户享有缺省的权限。保护检查器和访问矩阵的实现(7)

(2)权能表(1)

•把访问矩阵按行分解并存储称为“权能表”(CapabilityList)，它按主体来设立，记录了授权给该主体对客体及操作的访问和执行权限。

•一旦某主体执行一个访问，保护系统检查列表查看此主体是否拥有权能访问指定的客体。保护检查器和访问矩阵的实现(8)

权能表(2)用户有许多权能，并可把权能转移给别人。它引起比存取控制表更严重的安全性问题。权能包括两部分，对象名和访问权。

保护检查器和访问矩阵的实现(9)

权能表(3)(1)具体对象的权能，如：读、写、执行等(2)用于全部对象的权能，主要有：复制权能复制对象删除权能删除对象保护检查器和访问矩阵的实现(10)

内存锁和钥匙(1)

内存锁和钥匙一种较弱的ACL形式。可分配的内存单元可以是一个分区，一个页或一个段上使用内存锁。每个块可分配一个k位的锁的值且每个进程的描述符都包含一个k位的钥匙设置。当一个内存块被分配给一个进程时，就设定一个和进程钥匙一样的锁。

保护检查器和访问矩阵的实现(11)

内存锁和钥匙(2)

锁0110块1101块0101块0110块0110钥进程保护检查器和访问矩阵的实现(11)

内存锁和钥匙(3)

IBMSystem/370系列机器操作系统采用锁和钥匙方法提供存储保护机制的例子主存被分成2KB大小的存储块每块由硬件另外设置7位的存储控制PSW设存储控制键字段（密钥）访问主存或DMA执行页面I/O时，核对钥键匹配情况

7.6.4加密机制(1)

加密是将信息编码成像密文一样难解形式的技术，加密的关键处在要能高效地建立从根本上不可能被未授权用户解密的加密算法。加密机制(2)

定义一个加密函数（算法）encrypt和一个解密函数decrypt，

decrypt（key’，encrypt（key，plaintext））=plaintext加密机制(3)

数据加密模型明文P密文P明文P加密算法E解密算法D加密密钥key解密密钥key’

密码系统提供下列功能：秘密性：鉴别性：完整性：防抵赖：加密机制(4)

加密机制(5)

密码体制的分类(1)

（１）根据密码算法使用的加密密钥和解密密钥是否相同，能否由加密过程推导出解密过程，分为对称密码体制（单钥密码体制，秘密密钥体制，对称密钥密码体制）和非对称密码体制（双钥密码体制，公开密钥体制，非对称密钥密码体制）。加密机制(6)

密码体制的分类(2)

（２）根据密码算法对明文信息的加密方式，可分为序列密码体制和分组密码体制。（３）按照加密过程中是否注入了客观随机因素，可分为确定型密码体制和概率型密码体制。（４）按照是否能进行可逆的加密变换，有可以分为单向函数密码体制和双向变换密码体制。加密机制(7)

基本的加解密算法(1)

(1)易位法通过重新排列明文中各个字符的位置来形成密文，而字符本身不变。按字符易位时，先设计一个密钥，用它对明文进行易位而形成密文。在密钥中的字符不允许重复，明文按密钥来排序。加密机制(8)

基本的加解密算法(2)

MEGABUCK74

512

83

6P

l

ease

trAnsfero

ne

m

illi

o

ndo

llar

s

to

mySwi

ssBanka

c

count

six

t

wotw

oab

c

d明文PleasetransferonemilliondollarstomySwissBankaccountsixtwotwo…密文AFLLSKSOSELAWAIATOOSSCTCLNMANTESILYNTWRNNTSOWDPAEDOBNO…按字符易位加密法加密机制(9)

基本的加解密算法(3)

(2)置换法将明文中字母按英文字母表的顺序依次向后移三位生成新的替代字母。这样一来，house就变成了KRXVH，让人认不出来。单纯移动k位置换法很容易被破译，比较好的置换法是进行映像。例如，把26个英文字母映像到26个字母的域中。利用映像，可将house变成为qifsb。加密机制(10)

基本的加解密算法(4)

abcde

fghi

j

klmno

pq

rstuvwx

yz

………zxcvbnmqwertyu

i

opasdf

gh

jkl加密机制(11)

对称密钥法和公开密钥法(1)

(1)对称密钥法

数据加密标准DES(DataEncrryptionStandard)是一种对称密钥加密方法，由IBM公司开发出来，被美国国家标准局公布为数据加密标准的一种分组加密法。DES属于分组加密法，其每次加密或解密的分组大小均为64位，所以，DES没有密文扩充的问题。无论明文或密文，当其数据大于64位时，只要将明/密文中每64位当成一个分组而加以切割，再对每一个分组做加密或解密即可。加密机制(12)

对称密钥法和公开密钥法(2)

DES的加密过程可分成四步：1)对64位明文段进行初始易位处理，2)使用56位密钥进行16次迭代处理，3)对迭代的64位结果进行左32位与右32位位置互易，4)进行初始易位的逆变换。加密机制(13)

对称密钥法和公开密钥法(3)

(2)公开密钥法

•传统加密算法缺点

•公开密钥法：设计一个算法，加密用一个密钥，而解密用有联系的另一个密钥。另外也可能设计出一个算法，即使知道加密算法和加密密钥也无法确定解密密钥。加密机制(14)

对称密钥法和公开密钥法(4)

公开密钥法基本技术如下：

•网中每个节点都产生一对密钥，用来对它接收的消息加密和解密。

•每个系统都把加密密钥放在公共文件中，这是公开密钥，另一个设为私有的，称私有密钥。

•若A向B发送消息，就用B的公开密钥加密消息。

•当B收到消息时，就用