操作系統(tǒng)的保護與安全

1、第11章操作系統(tǒng)的保護與安全2基本概念n保護（或稱內(nèi)在保護）是指一種控制程序、進程或用戶對計算機系統(tǒng)資源的訪問機制。n該機制由操作系統(tǒng)內(nèi)部采用。3基本概念n安全是對系統(tǒng)完整性和系統(tǒng)數(shù)據(jù)安全的可信度的衡量。n還需要考慮系統(tǒng)運行的外部環(huán)境。保護5保護n當信息保存在計算機系統(tǒng)中，需要保護其安全，使之不受物理損壞（可靠性）和非法訪問（保護）。n可靠性通常是由文件備份來提供的。n保護可以有多種方法。對于小的、單用戶系統(tǒng)，可以通過使用軟盤、 cds （把它們鎖在安全的地方）來提供保護。6保護n在多用戶系統(tǒng)中，需要其它的機制。n需要的是對文件的控制訪問。n實現(xiàn)控制訪問的幾種機制n密碼 n訪問控制列表n對各種

2、用戶分類的文件許可7保護n每種機制都有優(yōu)點和缺點，適用于特定的應(yīng)用。n小計算機系統(tǒng)（只為少數(shù)幾個研究成員使用的）不需要提供大型企業(yè)級計算機（用于研究、商務(wù)和其他人事活動）一樣的保護類型。8保護n“保護在計算機系統(tǒng)中扮演的角色是：為加強資源使用的控制策略提供一種機制?！眓策略決定了做什么。n機制決定了怎樣做。n為了適應(yīng)性（彈性），從機制中分離出策略是很重要的（策略可能會隨著位置和時間而改變）。9保護域n要保護什么？n軟件對象（文件、程序等）n硬件對象（cpu、內(nèi)存、磁盤和其他設(shè)備）n保護域 指定了進程可以訪問的資源。n一個進程只在一個保護域內(nèi)操作。10保護域n一個保護域是一個訪問權(quán)限的集合。n每

3、一個訪問權(quán)限是一個有序?qū)Γ簄n權(quán)限集合表示在該對象上可以執(zhí)行什么操作。如寫到打印機、讀或?qū)懳募?、?cpu 上執(zhí)行。n一個進程在所給域中的操作只能訪問該域所列出的對象，只能使用為每個對象所指定的權(quán)限。11進程支持n對操作系統(tǒng)安全性的基本要求是，當受控路徑執(zhí)行信息交換操作時，系統(tǒng)能夠使各個用戶彼此隔離。n所有現(xiàn)代操作系統(tǒng)都支持一個進程代理一個用戶的概念，并且在分時和多道程序運行的系統(tǒng)中，每個用戶在自己的權(quán)限內(nèi)都可能會有幾個同時運行的進程。n由于多道程序運行是多用戶操作系統(tǒng)安全性的中心問題，所以進程的快速轉(zhuǎn)換是非常重要的。 12進程支持n為描述和控制進程的活動，系統(tǒng)為每個進程定義了一個數(shù)據(jù)結(jié)構(gòu)，即

4、進程控制塊pcb，系統(tǒng)創(chuàng)建一個進程的同時就為它設(shè)置了一個進程控制塊，用它去對進程進行控制和管理，進程任務(wù)完成了，系統(tǒng)回收其pcb，該進程就消亡了。n系統(tǒng)將通過pcb而感知相應(yīng)的進程，進程控制塊pcb是進程存在的惟一標志。n進程控制塊pcb包含了進程的描述信息和控制信息。13內(nèi)存及地址保護n多道程序中的一個最明顯的問題是防止一道程序在存儲和運行時影響到其他程序。操作系統(tǒng)可以在硬件中有效使用硬保護機制進行存儲器的安全保護。n現(xiàn)在最常用的是界址、界限寄存器、重定位、特征位、分段、分頁和段頁式機制。1. 界址n最簡單的內(nèi)存保護機制是將系統(tǒng)所用的存儲空間和用戶空間分開。n界址則是將用戶限制在地址范圍的一

5、側(cè)的方法。在這種方法中，界址被預(yù)先定義為內(nèi)存地址，以便操作系統(tǒng)駐留在界址的一邊而用戶使用另一邊的空間。 14內(nèi)存及地址保護固定界址：可變界址寄存器： 地址0內(nèi)存操作系統(tǒng)用戶空間nn+1硬件地址限制地址范圍地址0內(nèi)存操作系統(tǒng)用戶空間nn+1界址寄存器地址范圍n+115內(nèi)存及地址保護2. 重定位n我們可以將系統(tǒng)實際賦給程序的內(nèi)存起始地址的值作為一個常數(shù)重定位因子。n先將程序的起始地址視為0（這時程序內(nèi)的每個地址的值實際上就是相對于起始地址的偏移值），在把程序真正裝入到內(nèi)存時再將常數(shù)重定位因子加到程序內(nèi)的每個地址上，使得程序執(zhí)行時所涉及的所有和實際地址有關(guān)的地址都相應(yīng)得到改變，這個過程，我們稱之為重

6、定位(relocation)。n界址寄存器可以作為硬件重定位設(shè)備。16內(nèi)存及地址保護3. 基址/界限寄存器n在兩個或多個用戶情況下，任何一方都不能預(yù)先知道程序?qū)⒈谎b入到內(nèi)存的什么地址去執(zhí)行，系統(tǒng)通過重定位寄存器提供的基址來解決這一問題。n程序中所有的地址都是起始于基地址（程序在內(nèi)存中的起始地址）的位移，由此可見，基地址寄存器提供了向下的界限，而向上的地址界限由誰來提供呢？系統(tǒng)引進了界限寄存器，其內(nèi)容作為向上的地址界限。于是每個程序的地址被強制在基址之上，界限地址之下。 17內(nèi)存及地址保護基址/界限寄存器對： 兩對基址/界限寄存器 ：內(nèi)存操作系統(tǒng)用戶空間 ann+1pp+1用戶空間 b用戶空間

7、cqq+1基址寄存器械n+1界限寄存器p+1 地址 內(nèi)存 程序基址寄存器 操作系統(tǒng) 程序界限寄存器 用戶 a 程序 空間 數(shù)據(jù)基址寄存器 用戶 b 數(shù)據(jù) 空間 用戶 a 數(shù)據(jù) 用戶程序 數(shù)據(jù)界限寄存器 空間 和 數(shù)據(jù) 用戶 c 程序 空間 空間 用戶 c 數(shù)據(jù) 空間 用戶 b 程序 空間18內(nèi)存及地址保護4. 特征位結(jié)構(gòu)n下面介紹內(nèi)存地址保護的另一種方法使用特征位結(jié)構(gòu)，即在機器內(nèi)存的每個字中都有一個或多個附加位表示該字的存取權(quán)限，這些存取位僅能被特權(quán)指令（操作系統(tǒng)指令）設(shè)置。n在程序狀態(tài)字中同樣設(shè)置特征位，每次指令存取該單元時都對這些位進行檢查，僅當兩者的特征位相匹配時才允許訪問，否則產(chǎn)生保護

8、中斷。19內(nèi)存及地址保護5. 分段、分頁和段頁式n程序可以被劃分為許多具有不同存取權(quán)限的塊，每塊具有一個邏輯實體，可以是一個過程代碼或是一個數(shù)組的數(shù)據(jù)等等。n從邏輯上講，程序員將程序看做一系列段的集合，段可以分別重定位，允許將任何段放在任何可用的內(nèi)存單元內(nèi)。操作系統(tǒng)通過在段表中查找段名以確定其實際的內(nèi)存地址，用戶程序并不知道也無需知道程序所使用的實際內(nèi)存地址。這種地址隱藏的意義：n其一，操作系統(tǒng)可以將任何段移到任何內(nèi)存單元中。n其二，若段當前未使用的話，可以將其移出主內(nèi)存，并存入輔存中，這樣可以讓出存儲空間。n其三，每個地址引用都經(jīng)由操作系統(tǒng)處理，以保證系統(tǒng)行使其安全保護檢查的職責。20內(nèi)存及

9、地址保護n和程序分段相對應(yīng)的是分頁。n從保護的角度來看，分頁可能有一個嚴重的缺陷，它和分段不同，分段有可能將不同的段賦予不同的保護權(quán)限(如只讀或只執(zhí)行)，可以在地址轉(zhuǎn)換中很方便地解決保護問題，而使用分頁由于沒有必要將頁中的項看做整體，因此，不可能將頁中的所有信息置為同一屬性。21文件保護-訪問類型n訪問類型n讀 從文件中讀n寫 對文件寫或改寫n執(zhí)行 將文件裝入內(nèi)存并執(zhí)行它。n添加 將新信息添加到文件尾部。n刪除 刪除文件并釋放它所占據(jù)的空間。n列表清單 列出文件名稱和屬性。n其它操作，例如文件的復(fù)制是基于上面列出的某些基本操作來實現(xiàn)的。22文件保護-文件密碼n每個文件關(guān)聯(lián)一個密碼n如果每個文件

10、關(guān)聯(lián)一個單獨的密碼，那么需要多少密碼呢？n為所有的文件用一個密碼，那么一旦密碼被發(fā)現(xiàn)所有的文件都可以訪問。ntops-20 (for decs pdp 機器) 允許用戶為目錄而不是文件關(guān)聯(lián)一個密碼。nms windows 文件共享 在網(wǎng)絡(luò)環(huán)境中設(shè)置一個密碼以讓其他用戶共享 pc 上的一個目錄。23文件保護-訪問控制列表n讓訪問依賴于用戶的身份n每個文件或目錄關(guān)聯(lián)一個訪問列表，以給定每個用戶名及其所允許的訪問類型。24文件保護-訪問控制列表n在 vms 上實現(xiàn)n在 unix 上為非通用的（存在許可系統(tǒng)以提供合理的保護）n開銷：如果允許每個用戶都能讀文件，那么必須列出所有具有讀訪問權(quán)限的用戶-控制

11、列表很大 。25文件保護-文件許可n為了精簡訪問列表，許多系統(tǒng)為每個文件采用了三種用戶類型。n擁有者，組，其他n組必須通過超級用戶建立n為每個文件的目錄項附加上一組許可。n即文件或目錄：可讀、可寫、可執(zhí)行26文件保護-文件許可n然而，對于這種保護方案，如果一個文件的用戶類型為“其他”，文件許可屬于為“可讀”，那么無法阻止別人讀文件。27文件保護- unix文件許可28文件保護- unix文件許可n你建立的某個文件29文件保護- unix文件許可n你建立的某個目錄30文件保護- unix 目錄許可n讀 可以列出存儲在該目錄中所有的文件名稱。n寫 用戶被允許建立或移動該目錄中的文件。n執(zhí)行 用戶可

12、以“通過”該目錄搜索子目錄。31文件保護- unix文件許可n/etc/shadow （影子文件）32文件保護-訪問（存?。┚仃?n一組訪問權(quán)限可以看成一個矩陣。n矩陣提供了一個指定保護策略的方法。安全34備份與恢復(fù)35備份n由于磁盤有時會出錯，所以從磁盤上備份數(shù)據(jù)到其它存儲設(shè)備（軟盤、磁帶、光盤）上是十分重要的。n大公司的典型備份方案（下一張幻燈片）n存儲成永久的備份并遠離計算機n如果 火災(zāi)火災(zāi) 摧毀了計算機實驗室 36一個典型的備份計劃n第 1 天：完全備份 從磁盤上復(fù)制所有的文件到備份介質(zhì)。n第 2 天：復(fù)制自第一天后改變的文件到另一個備份介質(zhì)。這是增量備份。n第 3 天：復(fù)制自第二天后

13、改變的所有文件到另一個備份介質(zhì)。n n第 n 天：復(fù)制自第 n-1 天后改變的所有文件到另一個備份介質(zhì)。然后回到第一天備份上并重復(fù)。n要不時地進行完全備份以永遠保存。37驗證n如果用戶帳戶可以很容易地被未經(jīng)授權(quán)的人員訪問，那么內(nèi)部保護是沒有用。n一個主要的安全問題是驗證，應(yīng)該怎樣確定一個用戶的身份是否真實呢？n最常用的方法是使用用戶名（標識符）和密碼（驗證碼）。n用戶的身份決定了他們訪問計算機資源的級別。n資源：cpu （計算時間）、文件、外部設(shè)備等。38unix 驗證n詳細資料存儲在 /etc/passwd 文件中n傳統(tǒng)的格式是：n用戶名n加密密碼（現(xiàn)在存儲在 /etc/shadow 文件中

14、）n用戶 id (uid)n組 id (gid)n用戶全名n主目錄n登錄 shell39密碼加密n絕大多數(shù)系統(tǒng)為了提高安全性采用加密密碼。n密碼不以明文存儲。n在 unix 中，輸入的密碼被加密并與/etc/shadow （影子）文件中的密碼條目比較。n影子文件僅超級用戶可讀。40unix 影子文件（權(quán)限）n/etc/shadow 文件（權(quán)限）41密碼脆弱的一面n加密的密碼是難以破解的n例如，unix 系統(tǒng)為加密密碼采用一種單向（不可逆）的數(shù)學(xué)函數(shù)。n然而，如果用戶選擇的密碼不好用戶選擇的密碼不好n例如，用戶名或自己喜愛的車名。42密碼脆弱的一面n在過去，黑客可以獲?。ㄆ渌脩艨勺x）密碼文件（

15、 /etc/passwd ），并給字典中的所有單詞加密，再將加密結(jié)果和密碼文件中的密碼做比較。43密碼脆弱的一面n有兩種常見的猜測密碼的方法。n第一種，入侵者（人或程序）掌握了目標用戶的有關(guān)信息。n第二種，使用暴力：一個由十進制數(shù)組成的長度為 4 位的密碼只有 10000 種可能。平均 5000 次命中一個密碼（一個程序可能只花 5 秒鐘就可以猜出一個 4 位的純數(shù)字密碼）。44密碼脆弱的一面n可見的監(jiān)視n在用戶登錄時，入侵者的視線可以越過用戶的肩膀偷窺用戶密碼（偷窺）。n電子的監(jiān)視n網(wǎng)絡(luò)監(jiān)視器將讓入侵者看到所有在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)（嗅探），包括密碼。n數(shù)據(jù)加密解決了這個問題。45密碼脆弱的一面

16、n某些系統(tǒng)強迫用戶使用很難記憶的或是很長的密碼。n這可能迫使用戶將密碼記錄下來，這比允許使用簡單密碼的系統(tǒng)更不安全。n用戶選擇的密碼常常很容易被猜中（例如，寵物狗的名字）。46密碼n密碼不要用：密碼不要用：n用戶名字或?qū)櫸锩?n容易與用戶相關(guān)聯(lián)的任何東西。n字典中的單詞n上面任何一個的顛倒。47密碼n密碼要：密碼要：n有足夠長度（但是有些系統(tǒng)有限制長度）。n用混有數(shù)字、特定字符的組合。n用一些對自己容易記住，但是對別人又難以猜到的數(shù)字、字符組合。n用輸入較快的數(shù)字、特定字符的組合。n不要記錄下密碼。n不時改變密碼。48其他密碼機制n產(chǎn)生密碼的一種好方法：用一個容易記憶的短語中每個單詞的第一個字

17、母。例如：nmmnihkw.nmy mothers name is helen kate williams.n在密碼輸入多次錯誤后，帳戶封鎖。n密碼老化并強制改變n但是用戶可能只準備兩個密碼，并在這兩個密碼之間切換。n防止密碼重用n記錄用戶用過的 n 個密碼，并禁止它們重用。49其他密碼機制n一次性密碼：用一個算法作為一個密碼。n例如，計算機選擇一個隨機的整數(shù) 12，并告知用戶。n加密算法是：1+2+2+0 = 5 （假定當前日期是某月的 20 號）n所以用戶對計算機的響應(yīng)是 5n計算機用相同的算法計算得到該數(shù) 5 ，那么訪問被允許。n（這里 “5” 是一次性密碼，因為下次就不同了！）n這里加

18、密算法是計算機系統(tǒng)與用戶約定的、保密的。50其他密碼機制n下一次：計算機選擇另一個隨機整數(shù) 120n加密算法： 1+2+0+2+1 = 6 （假定日期為某月的 21 號）n所以用戶對計算機的響應(yīng)一定是 6n計算機用相同的算法計算得到該數(shù) 6 ，那么訪問被允許。程序威脅52特洛伊木馬n特洛伊木馬：一種偽裝成正常應(yīng)用程序的程序。n例如，一種聲稱能讓你擺脫計算機病毒但卻把計算機病毒引入你計算機的程序。n另一個例子，是為獲取密碼而偽造的登錄程序（演示示例）。n特洛伊木馬不會自我復(fù)制。53后門n后門n在應(yīng)用程序中故意留下的、只有編程者自己能夠使用的漏洞，要發(fā)現(xiàn)它必須檢查所有的源代碼！n例如，一種總是可以接受特殊用戶名和密碼的登錄方案。n此外還有棧和緩沖區(qū)溢出問題（演示示例）。54蠕蟲n絕大多數(shù)操作系統(tǒng)都為進程提供了產(chǎn)生其他進程的方法。n蠕蟲n是一種利用繁殖（spawn）機制進行自我復(fù)制，直到耗盡系統(tǒng)資源的程序。55病毒n病毒n是一個內(nèi)嵌到合法程序中的代碼段，會修改和毀壞文件、導(dǎo)致系統(tǒng)崩潰和程序出錯。n蠕蟲是一個獨立而完整的程序。n病毒通常通過用戶從網(wǎng)絡(luò)下載程序而傳播。n一般在多用戶計算機中，操作系統(tǒng)不能允許寫可執(zhí)行程序，因此病毒對它危害要小一些。56