操作系統(tǒng)課件：10第十一章 操作系統(tǒng)管理1

1、威脅類型阻斷(interruption) 系統(tǒng)資產(chǎn)被毀損或變成不可用、不能用; 截取(interception) 非授權(quán)方得到系統(tǒng)資產(chǎn), 如盜取保密數(shù)據(jù);篡改(modification) 系統(tǒng)數(shù)據(jù)被非授權(quán)者改變;偽造(fabrication) 非授權(quán)者將假對象加入系統(tǒng)。 11.4 操作系統(tǒng)安全(Security)威脅類型圖示:阻斷sourcedestination截取sourcedestination篡改sourcedestinationsourcedestination偽造11.4 操作系統(tǒng)安全(Cont.)11.4.1 闖入與身份認證 身份認證最常用的手段是口令;口令加密后存儲到系統(tǒng)Pas

2、sword文件中 用戶口令在帳戶建立時連同登錄名字 一起記載在系統(tǒng)password 文件中 Linux /etc/shadowUNIX /etc/passwd 加密函數(shù)易于計算但難于取反。推薦選取原則 混合使用字母(大小寫)、數(shù)字 . 采用一個熟悉句字中出現(xiàn)的單詞的首字母, 如MfnisB (My Fathers Name is Bob) .口令的選取11.4.1 闖入與身份認證(Cont.) UNIX口令: UNIX系統(tǒng)在加密之前對口令拼加“salt” ; salt是隨機產(chǎn)生的長度為 12 bit 的附加位, 將其與口令 s (56bit: 密碼中前8個字符的低7位) 串接在一起; 然后對其

3、結(jié)果再運行crypt(3)算法, 加密后的結(jié)果連同salt一起 保存在passwd文件中。11.4.1 闖入與身份認證(Cont.) 13 chars crypt(3)saltpassword12bit56 bitUser-id salt Epsw(s,salt)User-idUNIX口令載入 11.4.1 闖入與身份認證(Cont.) Password文件User-id salt Epsw(s,salt) User-id crypt(3)passwordcompareUNIX口令驗證 11.4.1 闖入與身份認證(Cont.) 基于單向函數(shù) y=f(x), 給定x, 很容易地計算y ; 給定

4、y, 從計算上不可能求得x。 用戶首先選定一個保密口令s , 同時指定一個整數(shù)n ; Password generation: 第一代口令為p1=f n (s) ; 第二代口令為p2=f n-1(s) ; . 第 n 代口令為pn= f ( s ) .一次性口令11.4.1 闖入與身份認證(Cont.) 一次性口令登錄的口令驗證主機初始化: P0=f(P1)和n記在password file中 第一次登錄 : 主機響應(yīng)n; 遠程用戶輸入口令s, 在客戶端計算出p1=f n (s)并傳送給主機; 主機計算出p0=f(p1)并將其 與password file中的p0相比較; 如果相同登錄成功,

5、主機用p1取代password file中的p0 , 并將n 減1 .11.4.1 闖入與身份認證(Cont.) 第二次登錄 :主機響應(yīng)n-1;遠程用戶輸入口令s , 在客戶端計算出p2=fn-1(s)并傳送給主機;主機計算出p1=f(p2)并將其 與password 文件中的p1相比較 . 如果相同登錄成功, 主機用p2取代password 文件中的p1, 并將 n 減1 . .第 i 次登錄: 主機存放f n-i+2(s), 用戶f n-i+1(s);特點: 抗截取11.4.1 闖入與身份認證(Cont.) 11.4.2 程序威脅 獨立程序寄生程序 病毒陷阱門邏輯炸彈特洛伊木馬細菌蠕蟲復制

6、惡意程序邏輯炸彈: 邏輯炸彈是隱藏在合法程序中 可以被某種條件觸發(fā)而 執(zhí)行某種破壞性動作的程序。 軟件開發(fā)者可以采用這種手段制約使用者, 以達到某種目的 ; 邏輯炸彈程序的設(shè)計是容易的, 一般編程人員都能實現(xiàn), 但要偽裝得好、不易被發(fā)現(xiàn), 則需要一定的設(shè)計技巧和編程經(jīng)驗。11.4.2 程序威脅(Cont.) 特洛伊木馬: 嵌入于某合法程序中的秘密例程; 合法程序的執(zhí)行將導致秘密例程的執(zhí)行; 具有偽裝的攻擊程序。例如: 甲欲得到乙的文件F, 因無權(quán)限不能直接訪問, 便編寫一個游戲程序G并邀請甲玩;甲運行G, 這確實是一個游戲程序, 但在后臺G將F復制 到乙用戶的目錄下, 達到了文件竊取的目的。1

7、1.4.2 程序威脅(Cont.) 防止特洛伊木馬 增強權(quán)限檢查和控制, 如限制存取靈活性; 提高自我防范意識, 慎重使用來歷不明的軟件。后門(trapdoor): 是程序中繞過例行檢查的入口;是系統(tǒng)安全的嚴重隱患。這種非正常入口在程序開發(fā)過程中普遍存在;一旦系統(tǒng)發(fā)布所有后門均應(yīng)關(guān)閉后門一般有兩種情況 忘記關(guān)閉;有意保留。11.4.2 程序威脅(Cont.) 細菌(bacteria) 消耗系統(tǒng)資源進程復制: System call fork , spaw , etc.文件復制: make new bacteria file細菌可以指數(shù)級別增長, 消耗 CPU資源 內(nèi)存資源 磁盤空間 11.4.

8、2 程序威脅(Cont.) 病毒(virus) 病毒不是一個獨立的程序;寄生于某一合法程序(通常是一個可執(zhí)行程序)上的一段代碼。危害： 傳播: 使其它文件感染上該病毒;破壞: 如刪除系統(tǒng)文件。11.4.2 程序威脅(Cont.) 壓縮病毒的感染過程P1P1CVP2CVP211.4.2 程序威脅(Cont.) 危害： 復制和傳播: 通過自身復制消耗系統(tǒng)資源, 在網(wǎng)上從一個計算機傳播到另一個計算機; 除利用spawn復制和傳播外, 可能伴隨執(zhí)行不期望的動作。蠕蟲(worm)11.4.2 程序威脅(Cont.) 11.4.3 安全策略口令管理 初始口令 當為給一個用戶建立戶頭時, 為其規(guī)定一個登錄口

9、令; 關(guān)卡口令 在某些關(guān)鍵目錄、關(guān)鍵文件等設(shè)置口令, 可以防止非授權(quán)的用戶對其進行訪問, 達到保護的目的。 主副口令 即設(shè)置兩個口令: 一個為主口令, 另外一個為副口令. 主副口令分別由兩個不同的用戶掌握; 僅當二者都在場時才能成功對答通過。防火墻(firewall) 防火墻是網(wǎng)絡(luò)上分離可信系統(tǒng)(trusted system)與非可信系統(tǒng)(un-trusted system)的常用方法;介于可靠系統(tǒng)與非可靠系統(tǒng)之間的一臺計算機或一個路由器構(gòu)成;作用 限制兩個不同安全域之間的相互訪問; 動態(tài)監(jiān)視和記錄所有連接。11.4.3 安全策略加密思想: 偽裝信息, 使局外人不可理解信息的真正含義。安全性取

10、決于對密鑰的管理; 加密保護可以防止信息被截取(interception);不能防止信息被篡改(modification)。11.4.3 安全策略加密和解密原理 EDC=E(P,KE)PP=D(C,KD)KEKD11.4.3 安全策略一個加密系統(tǒng)可由五元組定義：S=P,C,K,E,D, 其中P為明文空間，C為密文空間，K為密鑰空間，E為加密算法，D為解密算法. 審計(auditing) 審計作為事后追蹤的手段來保證系統(tǒng)安全;審計將涉及系統(tǒng)安全的操作記錄在系統(tǒng)監(jiān)聽日志(audit log)中;以便在發(fā)生安全問題后對違反系統(tǒng)安全規(guī)則的事件能夠有效地追查事件發(fā)生時間、地點與過程。11.4.3 安全策

11、略審計記錄的事件 使用識別和認證機制(如注冊過程); 將某客體引入某個用戶的地址空間 (如打開文件); 刪除客體; 系統(tǒng)管理員和安全管理員執(zhí)行的操作。11.4.3 安全策略審計的事件包括:對系統(tǒng)資源的訪問;使用某種特權(quán)對系統(tǒng)資源進行訪問;注冊/退出操作;修改系統(tǒng)或用戶口令;不成功的登錄操作。 11.4.3 安全策略備份與恢復 抗御信息破壞(disruption)的安全措施導致信息破壞的原因可能是人為的, 如文件被非法刪除;也可能是自然原因造成的, 如存儲介質(zhì)失效、自然災(zāi)害等;系統(tǒng)操作員必須定期地 對系統(tǒng)中的重要數(shù)據(jù)進行轉(zhuǎn)儲. 11.4.3 安全策略11.4.4 可信系統(tǒng)可信系統(tǒng)的核心是最小的可信計算基; (Trusted Computing Base，TCB)TCB由強制實施所有安全規(guī)則的硬件和軟件構(gòu)成TCB組成 絕大多數(shù)硬