信息安全原理與實(shí)踐-第二版13-操作系統(tǒng)和安全課件

1、1信息安全原理與實(shí)踐美Mark Stamp著Information Security: Principles and Practice, 2nd Edition張 戈譯第13章 操作系統(tǒng)和安全213.1 引言本章主要內(nèi)容現(xiàn)代操作系統(tǒng)都會(huì)具有的安全相關(guān)的基本功能 可信操作系統(tǒng)下一代安全基313.2 操作系統(tǒng)的安全功能操作系統(tǒng)必須處置潛在的安全問題，無論這些問題是源于偶發(fā)事件，還是作為某個(gè)惡意攻擊的一部分出現(xiàn)的?，F(xiàn)代操作系統(tǒng)的設(shè)計(jì)都是面向多用戶環(huán)境以及多任務(wù)操作模式。因此，即使在最不濟(jì)的情況下，操作系統(tǒng)也必須處理隔離控制、內(nèi)存保護(hù)以及訪問控制等。下面就這三個(gè)主題中的每一個(gè)進(jìn)行簡(jiǎn)略討論。隔離控制內(nèi)存

2、保護(hù)訪問控制413.2.1 隔離控制對(duì)于現(xiàn)代操作系統(tǒng)，最為基礎(chǔ)的安全性議題就是實(shí)現(xiàn)隔離的問題。也就是說，操作系統(tǒng)必須保持用戶和進(jìn)程之間彼此相互隔離。 幾種不同的隔離方式：物理隔離用戶被限制在相互獨(dú)立的設(shè)備中。這種方式提供了一種很強(qiáng)的隔離形式，但是也常常顯得不切實(shí)際。時(shí)間隔離進(jìn)程就是根據(jù)時(shí)間進(jìn)行隔離的。這種隔離消除了許多由于并發(fā)而衍生的問題，并且簡(jiǎn)化了操作系統(tǒng)的管理任務(wù)。不過，這會(huì)帶來一些性能方面的損失。邏輯隔離舉個(gè)例子，每一個(gè)進(jìn)程可能都會(huì)被分配屬于自己的“沙箱”。進(jìn)程在沙箱之內(nèi)可以自由地做幾乎任何事情，但是在沙箱之外，可能幾乎什么都做不了。加密隔離加密技術(shù)可以用于使信息變得對(duì)外界而言難以理解。

3、513.2.2 內(nèi)存保護(hù)操作系統(tǒng)必須解決的另一個(gè)基本問題就是內(nèi)存保護(hù)，這包括對(duì)操作系統(tǒng)自身使用的內(nèi)存空間的保護(hù)，也包括對(duì)用戶進(jìn)程內(nèi)存空間的保護(hù)。邊界(fence)，或者叫做界地址(fence address)，就是用于內(nèi)存保護(hù)的一種選擇。它可以使動(dòng)態(tài)的，也可以是靜態(tài)的?；刂芳拇嫫?base registers) 和范圍寄存器(bounds registers) ：這些寄存器中包含了某個(gè)特定用戶(或進(jìn)程)空間的低位地址和高位地址的界限。內(nèi)存保護(hù)標(biāo)記(tagging)則為每一個(gè)獨(dú)立的地址指定保護(hù)方式。 通過利用地址空間的標(biāo)記段(tagging sections)來替換每個(gè)獨(dú)立地址的保護(hù)標(biāo)記，可以

4、降低這樣的性能負(fù)荷。最常用的內(nèi)存保護(hù)方法是分段(segmentation)和分頁(yè)(paging)。 6分段是將內(nèi)存分割成不同的邏輯單元，然后，再將適當(dāng)?shù)脑L問控制策略施加到各個(gè)段上。分段的優(yōu)點(diǎn)任何段都可以被置于任意的內(nèi)存位置只要內(nèi)存空間足夠大，可以容納得下即可。操作系統(tǒng)利用值對(duì)來實(shí)現(xiàn)對(duì)段的跟蹤。段可以被移動(dòng)到內(nèi)存中的不同位置，也可以方便地移進(jìn)和移出內(nèi)存。 缺點(diǎn)：段的尺寸是變化的。 7分頁(yè)與分段類似，除了所有的段都是固定長(zhǎng)度之外 。對(duì)于分頁(yè)，使用形如的值對(duì)來訪問特定的頁(yè)。相對(duì)于分段，分頁(yè)的優(yōu)勢(shì)包括避免了內(nèi)存碎片、改進(jìn)了性能以及再也不用擔(dān)心變長(zhǎng)尺寸帶來的困擾。缺點(diǎn)則是，一般來說對(duì)于頁(yè)而言并沒有邏輯上

5、的統(tǒng)一性，這就使得要決定將適當(dāng)?shù)脑L問控制應(yīng)用到給定的頁(yè)上時(shí)，難度會(huì)更大。 813.2.3 訪問控制操作系統(tǒng)是訪問控制最終的執(zhí)行者。對(duì)于攻擊行為來說，操作系統(tǒng)之所以會(huì)成為如此備受關(guān)照的目標(biāo)，這就是其中的原因之一。一次針對(duì)操作系統(tǒng)的成功攻擊，可以有效地將在更高層面構(gòu)筑的任何防護(hù)措施變得形同虛設(shè)。 913.3 可信操作系統(tǒng)系統(tǒng)之所以被稱為可信的，是因?yàn)榭梢砸蕾囅到y(tǒng)來追求安全性。 信任和安全是有所區(qū)別的。信任意味著依靠和信賴，也就是說，信任是二元選擇要么信任，要么不信任。另一方面，安全則是對(duì)特定機(jī)制的有效性的一次判斷。關(guān)于安全的判定，應(yīng)該是相對(duì)于清晰明確的策略或陳述而言。安全依賴于信任。 在任何通用良

6、好的安全性原則的列表中，都很可能會(huì)包含下面這些內(nèi)容：最小權(quán)限(例如低水印原則)、簡(jiǎn)單、開放設(shè)計(jì)(諸如Kerckhoffs原則等)、完全仲裁、白名單(相對(duì)于黑名單而言)、隔離性以及易于使用等。 1013.3.1 MAC、DAC以及其他在可信操作系統(tǒng)中，有某些特定的安全性措施是為我們所喜聞樂見的，這些措施包括強(qiáng)制性訪問控制(mandatory access control)、自主性訪問控制(discretionary access control)、對(duì)象重用保護(hù)(object reuse protection)、完全仲裁(complete mediation)、可信路徑(trusted path)

7、以及日志記錄等。 11強(qiáng)制性訪問控制(mandatory access control)也可以稱為MAC，是一種不受對(duì)象所有者控制的訪問策略。 自主性訪問控制(discretionary access control)，也可以稱為DAC，是指由對(duì)象所有者決定的訪問控制型。如果將DAC和MAC都應(yīng)用到對(duì)象上，那么MAC則相對(duì)更“強(qiáng)勢(shì)”。另一方面，如果DAC施加的訪問控制要比MAC更加嚴(yán)格，那么將由DAC策略決定訪問控制的結(jié)果?？尚挪僮飨到y(tǒng)必須也能夠防止信息從一個(gè)用戶向另一個(gè)用戶泄露。任何操作系統(tǒng)都會(huì)使用某些形式的內(nèi)存保護(hù)和訪問控制，但對(duì)于可信操作系統(tǒng)，我們需要更加強(qiáng)大的保護(hù)能力。 磁記憶(mag

8、netic remanence) 即便在存儲(chǔ)空間被新的數(shù)據(jù)覆蓋了之后，之前存儲(chǔ)數(shù)據(jù)的微弱映像有時(shí)候也能夠被讀取出來。為了減少這種情況發(fā)生的可能性，DoD專門制定了相應(yīng)的指導(dǎo)原則，要求必須以不同的位模式對(duì)存儲(chǔ)空間進(jìn)行反復(fù)覆蓋，之后才可以認(rèn)為相關(guān)操作是安全的，從而允許另一個(gè)進(jìn)程有權(quán)限對(duì)該內(nèi)存空間進(jìn)行訪問。 1213.3.2 可信路徑當(dāng)你在系統(tǒng)登錄提示符之后輸入自己的口令時(shí)，對(duì)于這個(gè)口令都發(fā)生了些什么呢？你如何才能夠確保軟件并沒有作惡，諸如將口令寫入文件中，隨后再將文件以郵件方式發(fā)送給Trudy呢？這就是可信路徑 ！在理想情況下，可信操作系統(tǒng)將會(huì)為可信路徑提供強(qiáng)有力的擔(dān)保。果真如此的話，其中的一個(gè)好

9、處就是，我們可以對(duì)一臺(tái)PC上的數(shù)字簽名樹立起信心。 操作系統(tǒng)也要負(fù)責(zé)記錄與安全相關(guān)的事件。這種類型的信息對(duì)于檢測(cè)攻擊行為和進(jìn)行事后分析都是非常必要的。 1313.3.3 可信計(jì)算基所謂內(nèi)核(kernel)，就是操作系統(tǒng)中最底層的那部分。內(nèi)核負(fù)責(zé)同步、進(jìn)程間通信、消息傳遞、中斷處理，如此等等。所謂安全內(nèi)核(security kernel)，就是指內(nèi)核中專門處理安全性的那部分。對(duì)于針對(duì)操作系統(tǒng)的攻擊，主要?jiǎng)訖C(jī)之一就是攻擊者可以借此潛入更高層面的安全功能之下，進(jìn)而繞過這些相應(yīng)的安全特性。通過將盡可能多的安全功能置于操作系統(tǒng)的最底層，就有可能令攻擊者更加難以潛入這些功能之下。引用監(jiān)視器(referen

10、ce monitor)就是安全內(nèi)核中專門處理訪問控制的部分。引用監(jiān)視器協(xié)調(diào)控制主體和客體之間的訪問行為。 14可信計(jì)算基(trusted computing base)，簡(jiǎn)稱為TCB，就是在操作系統(tǒng)中我們賴以實(shí)施安全性的一切設(shè)施。我們對(duì)安全的定義意味著，即使TCB之外的一切都被破壞了，我們的可信操作系統(tǒng)也仍然是安全的。理想情況下，TCB應(yīng)該將所有的安全功能聚集到可識(shí)別的層次中。 15TCB包含我們賴以實(shí)施安全性的操作系統(tǒng)中的一切。即便TCB之外的任何設(shè)施遭到破壞，我們也仍然是安全的；但是如果TCB中的任何設(shè)施遭到破壞，那么安全性很可能就會(huì)化為泡影。 13.4 下一代安全計(jì)算基微軟公司的下一代安

11、全計(jì)算基，簡(jiǎn)稱NGSCB。這個(gè)項(xiàng)目最初被指定作為“Longhorn”操作系統(tǒng)(也就是Windows Vista操作系統(tǒng))的一部分。但是，看起來NGSCB的大部分特性直到以后的版本發(fā)布時(shí)也沒有出現(xiàn)。NGSCB被設(shè)計(jì)用于和特定的硬件協(xié)同工作，特定硬件由可信計(jì)算組織（ 簡(jiǎn)稱TCG ）負(fù)責(zé)開發(fā)。NGSCB就是Windows操作系統(tǒng)中將要與TCG的硬件實(shí)現(xiàn)對(duì)接的那部分。 TCG/NGSCB計(jì)劃的潛在目標(biāo)是要在開放的PC平臺(tái)上面提供某些封閉系統(tǒng)所具備的優(yōu)點(diǎn)。TCG計(jì)劃是要提供防篡改的硬件，并期望將來有一天這些硬件能夠成為PC平臺(tái)上的標(biāo)準(zhǔn)。 為了充分利用這個(gè)特殊的硬件，PC將需要具備兩個(gè)操作系統(tǒng)自身的常規(guī)操

12、作系統(tǒng)，以及特殊的專門用來處理TCG硬件的可信操作系統(tǒng)。而NGSCB就是這個(gè)可信操作系統(tǒng)的微軟版本。 16根據(jù)微軟的說法，NGSCB的設(shè)計(jì)目標(biāo)是雙重的。首先是提供高度的擔(dān)保責(zé)任，即用戶可以由此樹立起高度的信心，相信NGSCB將會(huì)正確運(yùn)行，即便當(dāng)其處在攻擊之下時(shí)也無需擔(dān)心。其次就是提供認(rèn)證操作。 NGSCB的高階架構(gòu)圖解：1713.4.1 NGSCB特性組NGSCB包含以下4個(gè)主要“特性組”：強(qiáng)進(jìn)程隔離(strong process isolation)防止進(jìn)程之間彼此相互干擾。密封存儲(chǔ)(sealed storage)防篡改硬件，可以用于安全地存儲(chǔ)秘密信息(更確切地說，就是密鑰)。安全路徑(se

13、cure path)提供受保護(hù)的路徑，用于出入鼠標(biāo)、鍵盤以及監(jiān)視器等。證明(attestation)允許對(duì)“某些要素”安全地進(jìn)行認(rèn)證。證明(attestation)機(jī)制允許TCB可以通過NCA安全地獲得擴(kuò)展。所有這4個(gè)特性組都主要著眼于防范惡意代碼方面。181. 進(jìn)程隔離進(jìn)程隔離是通過所謂的“保護(hù)內(nèi)存”方式強(qiáng)制實(shí)施的。無論如何，可信操作系統(tǒng)(Nexus)必須獲得保護(hù)以防范非可信操作系統(tǒng)，此外還有BIOS、設(shè)備驅(qū)動(dòng)程序以及其他一些可能被用于向其發(fā)動(dòng)攻擊的低級(jí)操作行為。保護(hù)內(nèi)存實(shí)際上是提供了此類保護(hù)能力的內(nèi)存保護(hù)方案的名稱。進(jìn)程隔離同樣也會(huì)應(yīng)用到NCA。對(duì)于不信任的任何軟件，NCA都必須確保自身與

14、它們隔離。2. 密封存儲(chǔ)密封存儲(chǔ)中包含秘密信息，秘密信息很可能就是密鑰。如果軟件X想要訪問秘密信息，這時(shí)就如同執(zhí)行完整性檢測(cè)，需要計(jì)算X的哈希值。秘密信息的機(jī)密性能夠獲得保護(hù)，是因?yàn)樗鼈冎荒苡煽尚跑浖碓L問，而秘密信息的完整性能夠有保證，則是因?yàn)樗鼈凂v留在密封存儲(chǔ)中。193. 安全路徑關(guān)于安全路徑特性的各種細(xì)節(jié)，也都比較模棱兩可。有人認(rèn)為，對(duì)于輸入來說，從鍵盤至Nexus的路徑，以及從鼠標(biāo)到Nexus的路徑都是“安全的”但是究竟是如何實(shí)現(xiàn)這種安全卻不完全清楚。顯而易見，利用數(shù)字簽名可以使得Nexus能夠?qū)?shù)據(jù)的完整性進(jìn)行驗(yàn)證。4. 證明在NGSCB中，最富創(chuàng)新性的特性就是證明，這個(gè)特性可以提供

15、支持，用于對(duì)“某些要素”的安全認(rèn)證，諸如外部設(shè)備、服務(wù)以及最重要的軟件等。這是獨(dú)立于用戶身份認(rèn)證的特性。TCB可以通過NCA的證明特性獲得擴(kuò)展。 證明特性使用公開密鑰加密方案，那就必須交換證書。又因?yàn)楣_密鑰暴露了用戶的身份，所以在這種方案中無法獲得匿名性。為了保護(hù)匿名性，NGSCB提供了相應(yīng)的支持，用于可信的第三方(Trusted Third Party，TTP)。TTP負(fù)責(zé)驗(yàn)證簽名并為此提供擔(dān)保。通過這種方式，匿名性能夠得以保留雖然TTP將會(huì)知道這個(gè)簽名者的身份。 2013.4.2 引人入勝的NGSCB應(yīng)用TCG/NGSCB都會(huì)帶來什么好處呢？ 假設(shè)Alice在她的計(jì)算機(jī)上敲入了一個(gè)文檔。

16、那么她可以隨后將該文檔移至RHS-側(cè)(可信空間中)，再仔細(xì)地閱讀這個(gè)文檔。然后，在將這個(gè)文檔移回到(不可信的)LHS一側(cè)之前，她先對(duì)該文檔執(zhí)行數(shù)字簽名。通過這種方式，Alice就能夠?qū)λ龑?shí)際簽署的簽名有十足信心。在如今的非NGSCB計(jì)算機(jī)上，這幾乎是不可能的。NGSCB的第二個(gè)用武之地就是DRM。其中，NGSCB解決的基本問題就是對(duì)秘密信息或密鑰進(jìn)行保護(hù)。 GSCB的安全路徑特性也能夠防止特定的DRM攻擊行為。 NBSCB也允許對(duì)用戶的身份進(jìn)行主動(dòng)鑒別。 2113.4.3 關(guān)于NGSCB的非議微軟堅(jiān)決宣稱用戶可以掌控一切，因?yàn)橛脩艨梢詻Q定如下所有事項(xiàng)：哪個(gè)Nexus(如果有多個(gè)的話)將在系統(tǒng)中運(yùn)行。可以允許哪些NCA在系統(tǒng)中運(yùn)行?？梢栽试S哪些NCA對(duì)系統(tǒng)進(jìn)行鑒別。關(guān)于NGSCB有許多的批評(píng)和質(zhì)疑，但是這里我們只考慮其中的兩點(diǎn)。第一點(diǎn)異議來自Ross Anderson：當(dāng)NGSCB被應(yīng)用時(shí)，數(shù)字對(duì)象就可以被其創(chuàng)建者控制，而不是由當(dāng)前駐留的計(jì)算機(jī)的用戶來控制。第二點(diǎn)異議來自于Clark Thomborso