操作系統(tǒng)的保護(hù)和安全

第11章

操作系統(tǒng)保護(hù)與安全1第1頁基本概念保護(hù)（或稱內(nèi)在保護(hù)）是指一個(gè)控制程序、進(jìn)程或用戶對計(jì)算機(jī)系統(tǒng)資源訪問機(jī)制。該機(jī)制由操作系統(tǒng)內(nèi)部采取。2第2頁基本概念安全是對系統(tǒng)完整性和系統(tǒng)數(shù)據(jù)安全可信度衡量。還需要考慮系統(tǒng)運(yùn)行外部環(huán)境。3第3頁保護(hù)4第4頁保護(hù)當(dāng)信息保留在計(jì)算機(jī)系統(tǒng)中，需要保護(hù)其安全，使之不受物理損壞（可靠性）和非法訪問（保護(hù)）?？煽啃酝ǔＪ怯晌募浞輥硖峁?。保護(hù)能夠有各種方法。對于小、單用戶系統(tǒng)，能夠經(jīng)過使用軟盤、CDs（把它們鎖在安全地方）來提供保護(hù)。5第5頁保護(hù)在多用戶系統(tǒng)中，需要其它機(jī)制。需要是對文件控制訪問。實(shí)現(xiàn)控制訪問幾個(gè)機(jī)制密碼

訪問控制列表對各種用戶分類文件許可6第6頁保護(hù)每種機(jī)制都有優(yōu)點(diǎn)和缺點(diǎn)，適合用于特定應(yīng)用。小計(jì)算機(jī)系統(tǒng)（只為少數(shù)幾個(gè)研究組員使用）不需要提供大型企業(yè)級計(jì)算機(jī)（用于研究、商務(wù)和其它人事活動(dòng)）一樣保護(hù)類型。7第7頁保護(hù)“保護(hù)在計(jì)算機(jī)系統(tǒng)中飾演角色是：為加強(qiáng)資源使用控制策略提供一個(gè)機(jī)制。”策略決定了做什么。機(jī)制決定了怎樣做。為了適應(yīng)性（彈性），從機(jī)制中分離出策略是很主要（策略可能會伴隨位置和時(shí)間而改變）。8第8頁保護(hù)域要保護(hù)什么？軟件對象（文件、程序等）硬件對象（CPU、內(nèi)存、磁盤和其它設(shè)備）保護(hù)域

指定了進(jìn)程能夠訪問資源。一個(gè)進(jìn)程只在一個(gè)保護(hù)域內(nèi)操作。9第9頁保護(hù)域一個(gè)保護(hù)域是一個(gè)訪問權(quán)限集合。每一個(gè)訪問權(quán)限是一個(gè)有序?qū)Γ?lt;對象名，權(quán)限集合>權(quán)限集合表示在該對象上能夠執(zhí)行什么操作。如寫到打印機(jī)、讀或?qū)懳募?、在CPU上執(zhí)行。一個(gè)進(jìn)程在所給域中操作只能訪問該域所列出對象，只能使用為每個(gè)對象所指定權(quán)限。10第10頁進(jìn)程支持對操作系統(tǒng)安全性基本要求是，當(dāng)受控路徑執(zhí)行信息交換操作時(shí)，系統(tǒng)能夠使各個(gè)用戶彼此隔離。全部當(dāng)代操作系統(tǒng)都支持一個(gè)進(jìn)程代理一個(gè)用戶概念，而且在分時(shí)和多道程序運(yùn)行系統(tǒng)中，每個(gè)用戶在自己權(quán)限內(nèi)都可能會有幾個(gè)同時(shí)運(yùn)行進(jìn)程。因?yàn)槎嗟莱绦蜻\(yùn)行是多用戶操作系統(tǒng)安全性中心問題，所以進(jìn)程快速轉(zhuǎn)換是非常主要。11第11頁進(jìn)程支持為描述和控制進(jìn)程活動(dòng)，系統(tǒng)為每個(gè)進(jìn)程定義了一個(gè)數(shù)據(jù)結(jié)構(gòu)，即進(jìn)程控制塊PCB，系統(tǒng)創(chuàng)建一個(gè)進(jìn)程同時(shí)就為它設(shè)置了一個(gè)進(jìn)程控制塊，用它去對進(jìn)程進(jìn)行控制和管理，進(jìn)程任務(wù)完成了，系統(tǒng)回收其PCB，該進(jìn)程就消亡了。系統(tǒng)將經(jīng)過PCB而感知對應(yīng)進(jìn)程，進(jìn)程控制塊PCB是進(jìn)程存在惟一標(biāo)志。進(jìn)程控制塊PCB包含了進(jìn)程描述信息和控制信息。12第12頁內(nèi)存及地址保護(hù)多道程序中一個(gè)最顯著問題是預(yù)防一道程序在存放和運(yùn)行時(shí)影響到其它程序。操作系統(tǒng)能夠在硬件中有效使用硬保護(hù)機(jī)制進(jìn)行存放器安全保護(hù)?，F(xiàn)在最慣用是界址、界限存放器、重定位、特征位、分段、分頁和段頁式機(jī)制。

1.界址最簡單內(nèi)存保護(hù)機(jī)制是將系統(tǒng)所用存放空間和用戶空間分開。界址則是將用戶限制在地址范圍一側(cè)方法。在這種方法中，界址被預(yù)先定義為內(nèi)存地址，方便操作系統(tǒng)駐留在界址一邊而用戶使用另一邊空間。13第13頁內(nèi)存及地址保護(hù)固定界址：可變界址存放器：

14第14頁內(nèi)存及地址保護(hù)

2.重定位我們能夠?qū)⑾到y(tǒng)實(shí)際賦給程序內(nèi)存起始地址值作為一個(gè)常數(shù)重定位因子。先將程序起始地址視為0（這時(shí)程序內(nèi)每個(gè)地址值實(shí)際上就是相對于起始地址偏移值），在把程序真正裝入到內(nèi)存時(shí)再將常數(shù)重定位因子加到程序內(nèi)每個(gè)地址上，使得程序執(zhí)行時(shí)所包括全部和實(shí)際地址相關(guān)地址都對應(yīng)得到改變，這個(gè)過程，我們稱之為重定位(Relocation)。界址存放器能夠作為硬件重定位設(shè)備。15第15頁內(nèi)存及地址保護(hù)

3.基址/界限存放器在兩個(gè)或多個(gè)用戶情況下，任何一方都不能預(yù)先知道程序?qū)⒈谎b入到內(nèi)存什么地址去執(zhí)行，系統(tǒng)經(jīng)過重定位存放器提供基址來處理這一問題。程序中全部地址都是起始于基地址（程序在內(nèi)存中起始地址）位移，由此可見，基地址存放器提供了向下界限，而向上地址界限由誰來提供呢？系統(tǒng)引進(jìn)了界限存放器，其內(nèi)容作為向上地址界限。于是每個(gè)程序地址被強(qiáng)制在基址之上，界限地址之下。16第16頁內(nèi)存及地址保護(hù)基址/界限存放器對：兩對基址/界限存放器：17第17頁內(nèi)存及地址保護(hù)

4.特征位結(jié)構(gòu)下面介紹內(nèi)存地址保護(hù)另一個(gè)方法——使用特征位結(jié)構(gòu)，即在機(jī)器內(nèi)存每個(gè)字中都有一個(gè)或多個(gè)附加位表示該字存取權(quán)限，這些存取位僅能被特權(quán)指令（操作系統(tǒng)指令）設(shè)置。在程序狀態(tài)字中一樣設(shè)置特征位，每次指令存取該單元時(shí)都對這些位進(jìn)行檢驗(yàn)，僅當(dāng)二者特征位相匹配時(shí)才允許訪問，不然產(chǎn)生保護(hù)中止。18第18頁內(nèi)存及地址保護(hù)

5.分段、分頁和段頁式程序能夠被劃分為許多含有不一樣存取權(quán)限塊，每塊含有一個(gè)邏輯實(shí)體，能夠是一個(gè)過程代碼或是一個(gè)數(shù)組數(shù)據(jù)等等。從邏輯上講，程序員將程序看做一系列段集合，段能夠分別重定位，允許將任何段放在任何可用內(nèi)存單元內(nèi)。操作系統(tǒng)經(jīng)過在段表中查找段名以確定其實(shí)際內(nèi)存地址，用戶程序并不知道也無需知道程序所使用實(shí)際內(nèi)存地址。這種地址隱藏意義：其一，操作系統(tǒng)能夠?qū)⑷魏味我频饺魏蝺?nèi)存單元中。其二，若段當(dāng)前未使用話，能夠?qū)⑵湟瞥鲋鲀?nèi)存，并存入輔存中，這么能夠讓出存放空間。其三，每個(gè)地址引用都經(jīng)由操作系統(tǒng)處理，以確保系統(tǒng)行使其安全保護(hù)檢驗(yàn)職責(zé)。19第19頁內(nèi)存及地址保護(hù)和程序分段相對應(yīng)是分頁。從保護(hù)角度來看，分頁可能有一個(gè)嚴(yán)重缺點(diǎn)，它和分段不一樣，分段有可能將不一樣段賦予不一樣保護(hù)權(quán)限(如只讀或只執(zhí)行)，能夠在地址轉(zhuǎn)換中很方便地處理保護(hù)問題，而使用分頁因?yàn)闆]有必要將頁中項(xiàng)看做整體，所以，不可能將頁中全部信息置為同一屬性。20第20頁文件保護(hù)--訪問類型訪問類型讀–從文件中讀寫–對文件寫或改寫執(zhí)行–將文件裝入內(nèi)存并執(zhí)行它。添加–將新信息添加到文件尾部。刪除–刪除文件并釋放它所占據(jù)空間。列表清單–列出文件名稱和屬性。其它操作，比如文件復(fù)制是基于上面列出一些基本操作來實(shí)現(xiàn)。21第21頁文件保護(hù)--文件密碼每個(gè)文件關(guān)聯(lián)一個(gè)密碼假如每個(gè)文件關(guān)聯(lián)一個(gè)單獨(dú)密碼，那么需要多少密碼呢？為全部文件用一個(gè)密碼，那么一旦密碼被發(fā)覺全部文件都能夠訪問。TOPS-20(forDEC’sPDP機(jī)器)允許用戶為目錄而不是文件關(guān)聯(lián)一個(gè)密碼。MSWindows文件共享–在網(wǎng)絡(luò)環(huán)境中設(shè)置一個(gè)密碼以讓其它用戶共享PC上一個(gè)目錄。22第22頁文件保護(hù)--訪問控制列表讓訪問依賴于用戶身份每個(gè)文件或目錄關(guān)聯(lián)一個(gè)訪問列表，以給定每個(gè)用戶名及其所允許訪問類型。23第23頁文件保護(hù)--訪問控制列表在VMS上實(shí)現(xiàn)在Unix上為非通用（存在許可系統(tǒng)以提供合理保護(hù)）開銷：假如允許每個(gè)用戶都能讀文件，那么必須列出全部含有讀訪問權(quán)限用戶--控制列表很大。24第24頁文件保護(hù)--文件許可為了精簡訪問列表，許多系統(tǒng)為每個(gè)文件采取了三種用戶類型。擁有者，組，其它組必須經(jīng)過超級用戶建立為每個(gè)文件目錄項(xiàng)附加上一組許可。即文件或目錄：可讀、可寫、可執(zhí)行25第25頁文件保護(hù)--文件許可然而，對于這種保護(hù)方案，假如一個(gè)文件用戶類型為“其它”，文件許可屬于為“可讀”，那么無法阻止他人讀文件。26第26頁文件保護(hù)--

Unix文件許可-rwxrwxrwxafileuser(owner)groupother(world)fileugo27第27頁文件保護(hù)--

Unix文件許可-rwxr--r--user(you)groupother(world)file你建立某個(gè)文件28第28頁文件保護(hù)--

Unix文件許可drwxr-xr-xuser(you)groupother(world)directory你建立某個(gè)目錄29第29頁文件保護(hù)--

Unix目錄許可讀–能夠列出存放在該目錄中全部文件名稱。寫–用戶被允許建立或移動(dòng)該目錄中文件。執(zhí)行–用戶能夠“經(jīng)過”該目錄搜索子目錄。30第30頁文件保護(hù)--

Unix文件許可-r--------user(root)group(sys)other(world)file/etc/shadow

（影子文件）31第31頁文件保護(hù)--訪問（存?。┚仃?/p>

一組訪問權(quán)限能夠看成一個(gè)矩陣。矩陣提供了一個(gè)指定保護(hù)策略方法。D1D2D3D4讀F1F2F3打印機(jī)讀打印讀執(zhí)行讀、寫讀、寫對象保護(hù)域(F1,F2,F3:文件)32第32頁安全33第33頁備份與恢復(fù)34第34頁備份因?yàn)榇疟P有時(shí)會犯錯(cuò)，所以從磁盤上備份數(shù)據(jù)到其它存放設(shè)備（軟盤、磁帶、光盤）上是十分主要。大企業(yè)經(jīng)典備份方案（下一張幻燈片）存放成永久備份并遠(yuǎn)離計(jì)算機(jī)假如

火災(zāi)

摧毀了計(jì)算機(jī)試驗(yàn)室…35第35頁一個(gè)經(jīng)典備份計(jì)劃第1天：完全備份–從磁盤上復(fù)制全部文件到備份介質(zhì)。第2天：復(fù)制自第一天后改變文件到另一個(gè)備份介質(zhì)。這是增量備份。第3天：復(fù)制自第二天后改變?nèi)课募搅硪粋€(gè)備份介質(zhì)?！贜天：復(fù)制自第N-1天后改變?nèi)课募搅硪粋€(gè)備份介質(zhì)。然后回到第一天備份上并重復(fù)。要不時(shí)地進(jìn)行完全備份以永遠(yuǎn)保留。36第36頁驗(yàn)證假如用戶帳戶能夠很輕易地被未經(jīng)授權(quán)人員訪問，那么內(nèi)部保護(hù)是沒有用。一個(gè)主要安全問題是驗(yàn)證，應(yīng)該怎樣確定一個(gè)用戶身份是否真實(shí)呢？最慣用方法是使用用戶名（標(biāo)識符）和密碼（驗(yàn)證碼）。用戶身份決定了他們訪問計(jì)算機(jī)資源級別。資源：CPU（計(jì)算時(shí)間）、文件、外部設(shè)備等。37第37頁Unix驗(yàn)證詳細(xì)資料存放在

/etc/passwd文件中傳統(tǒng)格式是：用戶名加密密碼（現(xiàn)在存放在

/etc/shadow文件中）用戶ID(UID)組ID(GID)用戶全名主目錄登錄shelltgray:qU48usgPj5m::260:TonyGray:/u/soc/tgray:/bin/csh38第38頁密碼加密絕大多數(shù)系統(tǒng)為了提升安全性采取加密密碼。密碼不以明文存放。在Unix中，輸入密碼被加密并與/etc/shadow（影子）文件中密碼條目比較。影子文件僅超級用戶可讀。39第39頁Unix影子文件（權(quán)限）-r--------超級用戶同組用戶其它用戶文件/etc/shadow

文件（權(quán)限）40第40頁密碼脆弱一面加密密碼是難以破解比如，Unix系統(tǒng)為加密密碼采取一個(gè)單向（不可逆）數(shù)學(xué)函數(shù)。然而，假如用戶選擇密碼不好比如，用戶名或自己喜愛車名。41第41頁密碼脆弱一面在過去，黑客能夠獲?。ㄆ渌脩艨勺x）密碼文件（/etc/passwd），并給字典中全部單詞加密，再將加密結(jié)果和密碼文件中密碼做比較。42第42頁密碼脆弱一面有兩種常見猜測密碼方法。第一個(gè)，入侵者（人或程序）掌握了目標(biāo)用戶相關(guān)信息。第二種，使用暴力：一個(gè)由十進(jìn)制數(shù)組成長度為4位密碼只有10000種可能。平均5000次命中一個(gè)密碼（一個(gè)程序可能只花5秒鐘就能夠猜出一個(gè)4位純數(shù)字密碼）。43第43頁密碼脆弱一面可見監(jiān)視在用戶登錄時(shí)，入侵者視線能夠越過用戶肩膀偷窺用戶密碼（偷窺）。電子監(jiān)視網(wǎng)絡(luò)監(jiān)視器將讓入侵者看到全部在網(wǎng)絡(luò)上傳輸數(shù)據(jù)（嗅探），包含密碼。數(shù)據(jù)加密處理了這個(gè)問題。44第44頁密碼脆弱一面一些系統(tǒng)強(qiáng)迫用戶使用極難記憶或是很長密碼。這可能迫使用戶將密碼統(tǒng)計(jì)下來，這比允許使用簡單密碼系統(tǒng)更不安全。用戶選擇密碼經(jīng)常很輕易被猜中（比如，寵物狗名字）。45第45頁密碼密碼不要用：用戶名字或?qū)櫸锩p易與用戶相關(guān)聯(lián)任何東西。字典中單詞上面任何一個(gè)顛倒。46第46頁密碼密碼要：有足夠長度（不過有些系統(tǒng)有限制長度）。用混有數(shù)字、特定字符組合。用一些對自己輕易記住，不過對他人又難以猜到數(shù)字、字符組合。用輸入較快數(shù)字、特定字符組合。不要統(tǒng)計(jì)下密碼。不時(shí)改變密碼。47第47頁其它密碼機(jī)制產(chǎn)生密碼一個(gè)好方法：用一個(gè)輕易記憶短語中每個(gè)單詞第一個(gè)字母。比如：MmniHKW.Mymother’snameisHelenKateWilliams.在密碼輸入屢次錯(cuò)誤后，帳戶封鎖。密碼老化并強(qiáng)制改變不過用戶可能只準(zhǔn)備兩個(gè)密碼，并在這兩個(gè)密碼之間切換。預(yù)防密碼重用統(tǒng)計(jì)用戶用過N個(gè)密碼，并禁止它們重用。48第48頁其它密碼機(jī)制一次性密碼：用一個(gè)算法作為一個(gè)密碼。比如，計(jì)算機(jī)選擇一個(gè)隨機(jī)整數(shù)12，并通知用戶。加密算法是：1+2+2+0=5（假定當(dāng)前日期是某月20號）所以用戶對計(jì)算機(jī)響應(yīng)是5計(jì)算機(jī)用相同算法計(jì)算得到該數(shù)

5

，那么訪問被允許。（這里“5”是一次性密碼，因?yàn)橄麓尉筒灰粯恿耍。┻@里加密算法是計(jì)算機(jī)系統(tǒng)與用戶約定、保密。49第49頁其它密碼機(jī)制下一次：計(jì)算機(jī)選擇另一個(gè)隨機(jī)整數(shù)120加密算法：1+2+0+2+1=6（假定日期為某月21號）所以用戶對計(jì)算機(jī)響應(yīng)一定是

6計(jì)算機(jī)用相同算法計(jì)算得到該數(shù)

6

，那么訪問被允許。50第50頁程序威脅51第51頁特洛伊木馬特洛伊木馬：一個(gè)偽裝成正常應(yīng)用程序程序。比如，一個(gè)聲稱能讓你擺脫計(jì)算機(jī)病毒但卻把計(jì)算機(jī)病毒引入你計(jì)算機(jī)程序。另一個(gè)例子，是為獲取密碼而偽造登錄程序（演示示例）。特洛伊木馬不會自我復(fù)制。52第52頁后門后門在應(yīng)用程序中有意留下、只有編程者自