操作系统安全 .ppt
《操作系统安全 .ppt》由会员分享,可在线阅读,更多相关《操作系统安全 .ppt(103页珍藏版)》请在三一文库上搜索。
1、第五章 操作系统安全,内容提要,5.1 操作系统可信计算基的构成 5.2 操作系统的安全机制 5.3 Win2000/XP系统的安全机制简介,5.1 操作系统可信计算基的构成,操作系统是对软件、硬件资源进行调度控制和信息产生、传递、处理的平台,其安全性属于系统级安全范畴 操作系统是其它一切安全机制的基础,是信息系统安全的必要条件,很多安全问题都源于操作系统的安全漏洞 操作系统的安全主要体现在身份认证、访问控制和信息流控制等方面。 访问控制决定了用户对系统资源访问权限,是操作系统安全的核心技术,5.1 操作系统可信计算基的构成,构成操作系统可信计算基的核心是参照监视器 1.参照监视器 是一种抽象
2、的概念,是访问控制的基础 参照监视器依据访问控制数据库中的规则,验证主体对客体的每一次访问,按规则支持或禁止访问,并将成功与否的访问按照策略要求存入审计系统中,5.1 操作系统可信计算基的构成,2. 安全内核 安全内核是实现参照监视器概念的一种技术,是指系统中与安全性实现有关的部分,包括: 引用验证机制、访问控制机制、授权机制和授权管理机制等 一般的,人们趋向把安全内核与参照监视器等同起来 安全内核实际上可以看成一个更小的操作系统,具备了操作系统的全部能力,5.1操作系统可信计算基的构成,3. 安全内核在实现上有两种情况 1)安全内核与其它功能部分完全一体的操作系统,3. 安全内核在实现上有两
3、种情况 2)安全内核是操作系统的一部分 安全内核由硬件和介于硬件和操作系统之间的一层软件组成。 安全内核的软件和硬件认为是可信的,处于安全周界的内部,但操作系统和应用程序均处于安全周界之外。,5.1操作系统可信计算基的构成,5.2 操作系统的安全机制,操作系统安全的目标 标识系统中的用户并进行身份鉴别 依据系统安全策略对用户的操作进行存取控制 监督系统运行的安全 保证系统自身的安全性和完整性 为了实现操作系统安全的目标,需要建立相应的安全机制,包括: 隔离控制、硬件保护、用户认证、访问控制等,5.2.1 隔离机制,隔离机制是解决进程控制、内存保护的有效方法 1.隔离控制的方法有四种: 物理隔离
4、。在物理设备或部件一级进行隔离,使不同的用户程序使用不同的物理对象。 如不同安全级别的用户分配不同的打印机,特殊用户保密级运算可以在CPU一级进行隔离,使用专用的CPU运算 时间隔离。对不同安全要求的用户进程分配不同的运行时间段。 对于用户运算高密级信息时,甚至独占计算机进行运算, 逻辑隔离。多个用户进程可以同时运行,但相互之间感觉不到其他用户进程的存在 这是因为操作系统限定各进程的运行区域,不允许进程访问其他未被允许的区域。 加密隔离。进程把自己的数据和计算活动隐蔽起来,使他们对于其他进程是不可见的 对用户的口令信息或文件数据以密码形式存储,使其他用户无法访问,也是加密隔离控制措施。 这几种
5、隔离措施实现的复杂性是逐步递增的,而它们的安全性则是逐步递减的. 前两种方法的安全性是比较高的,但会降低硬件资源的利用率。后两种隔离方法主要依赖操作系统的功能实现。,5.2.1隔离机制,5.2.2 硬件的保护机制,计算机硬件的安全目标是保证其自身的可靠性并为系统提供基本的安全机制。主要包括:存储器保护、运行保护、输入/输出保护等 1. 存储器保护 保护用户在存储器中的数据的安全 具体要求 防止用户对操作系统的影响 各用户进程应相互隔离 应禁止用户模式下对系统段进行写操作,(1)单用户内存保护问题 用户程序运行时不能跨越地址界限寄存器(基址寄存器) 无法分隔不同用户的程序,单用户内存保护,5.2
6、.2 硬件的保护机制,(2)多道程序的保护 在基址寄存器基础上再增加一个寄存器保存用户程序的上边界地址 使用多对基址和边界寄存器,还可把用户的可读写数据区与只读数据区和程序区互相隔离,5.2.2 硬件的保护机制,多道程序的保护,(3) 标记保护法 能对每个存储单元按其内容要求进行保护,例如有的单元只读,读/写、或仅执行(代码单元)等不同要求,可以在每个内存字单元中专用几个比特来标记该字单元的属性。 其中E表示执行,R表示读,W表示写,OR表示只读,5.2.2 硬件的保护机制,加标记的内存,(4) 分段与分页技术 稍微复杂一些的用户程序,通常按功能划分成若干个模块(过程),以模块为单位对程序进行
7、分段,可以实现对程序的不同片段分别保护的目标 但各段长度不同,个别段还有尺寸要求增大的要求,内存管理困难 分页是把目标程序与内存都划分成相同大小的片段,解决了碎片问题,但没有像段那样完整的意义无法指定各页的访问控制要求 将分页与分段技术结合起来使用 由程序员按计算逻辑把程序划分为段,再由操作系统把段划分为页 属于相同段的页还可用密码保护,只有拥有正确的密钥才能访问页,5.2.2 硬件的保护机制,2.运行保护 基本要求是:在进程运行的区域内(运行域)实行不同的安全等级的保护机制。图(a)所示的是一个两域(两环)的运行保护,图(b)是多域情况下的运行保护。 两环系统的目的是隔离系统运行域与用户运行
8、域。(a)中大写字母表示系统运行域,小写表示用户的运行域,5.2.2 硬件的保护机制,3.I/O保护 I/O操作不是从系统中读,就是向系统中写,所以对I/O保护的应该是对读写的访问控制。 I/O介质输出访问控制最简单的方式是将设备看作一个客体。 4.最小特权管理 特权:可违反安全策略的操作能力 管理的基本思想:不应该给用户超过执行任务所需要的特权以外的特权。 如将超级用户特权划分为一级粒度更细小的特权。以减少各种特权用户的权力 系统管理员SSO,审计员AUD,操作员OP,安全操作员SOP,网络管理员(NET),5.2.2 硬件的保护机制,5.安全审计的实现 在操作系统的安全内核内部和外部均设置
9、相关的审计点,当用户请示系统服务时,必须经过系统调用,如果能够找到系统调用的总入口(审计点)增加审计控制,就成功地完成了审计。,5.2.2 硬件的保护机制,5.2.3 用户鉴别与口令,用户认证(鉴别)的任务是确认当前正在试图登录进入系统的用户就是账户数据库中记录的那个用户。认证用户的方法一般有三种: (1)要求输入一些保密信息,如用户的姓名、通行字或加密密钥等 (2)利用用户生物特征,如指纹、声音、视网膜等识别技术对用户进行唯一的识别。 (3)稍微复杂一些鉴别方法,如询问应答系统、采用物理识别设备(如访问卡、钥匙或令牌标记)等方法,口令认证方法 口令是一种容易实现的用户鉴别方法,破解口令是黑客
10、们攻击系统的常用手段。在实际环境中弱口令比较常见 口令的种类 鉴别和认证系统用户应该包含输入用户名和口令两个步骤。 口令有三种类型 静态口令是具有或没有有效期限制可以重用的一般口令。无论是用户自行创建还是系统自动创建,传统(静态)口令都难以记忆。 动态口令可以由口令产生设备随时或者根据用户要求更改。一次性(动态)口令只能使用一次。 认知口令(类似于密保问题)使用基于事实或基于选项的认知数据做为用户认证的基础。认知口令依赖于个人的知识和经验。实现认知口令认证用户可能会花费更多的时间和金钱。只有用户知晓的认知问答的例子,如提示性问题等,认知口令容易记忆而且难以猜测,5.2.3 用户鉴别与口令,是系
11、统安全防护的核心技术 常规系统都采用DAC+少量的MAC 访问控制表使用居多 具体技术原理参考第二章的内容,5.2.4 访问控制,5.3 Win2000(XP)系统的安全机制简介,Windows 2000(XP)操作系统是建立在一套完整的安全机制上的,因而任何一个机构,在使用Windows 2000(XP)前都必须指定它们的安全策略。 这些策略详细说明该机构对登录机制、访问控制、信息保护及审核的要求。用户必须熟知这些机制才能达到安全,1Windows系统的安全组件,包括以下内容 自主访问控制(Discretion Access Control) 允许对象所有者控制谁被允许访问该对象以及访问的方
12、式 客体重用(Object Reuse) 当资源(内存、磁盘等)被某应用访问时,Windows禁止所有的系统应用访问该资源 强制登录(Mandatory log on) 要求所有用户必须登陆,通过认证后才可以访问资源 审计(auditing) 在控制用户访问资源的同时,对这些访问做了相应的记录 客体的访问控制(Control of Access to Object) 不允许直接访问系统的某些资源,必须是该资源允许被访问,然后是用户或应用通过第一次认证后再访问,5.3 Win2000(XP)系统的安全机制简介,Winlogon,GINA,LSA,SSPI,Authentication Packa
13、ges,Security Surpport Provider,Security Account Management,Netlogon,安全支持提供者的接口,提供登录接口,加载GINA,监视认证顺序,本地安全权威,加载认证包,支持额外的验证机制,管理用户账号和口令,以及用户证书的数据库,为网络认证建立安全通道,提供真正的用户校验,5.3 Win2000(XP)系统的安全机制简介,2Windows安全子系统,可用指纹、虹膜等代替,令牌 策略 账号 权限 信任关系,1) Winlogon and GINA Winlogon调用GINA DLL,并监视安全认证序列。 GINA DLL提供一个交互式界
14、面为用户登陆提供认证请求 GINA DLL被设计成一个独立的模块,可用指纹、虹膜等更强的认证方式替换之 Winlogon在注册表中查找HKLMSoftwareMicrosoftWindows NTCurrent VersionWinlogon, 如果存在GINA DLL键,Winlogon将使用这个DLL 这可以使用户额外配置的GINA,比如指纹读取 如果不存在该键,Winlogon将使用默认值MSGINA.DLL,5.3 Win2000(XP)系统的安全机制简介,2)本地安全权威 LSA是一个被保护的子系统,负责以下任务:调用所有的认证包,检查注册表下HKLMSYSTEMCurrentCon
15、trolSetControl LSA下AuthenticationPackages下的值,并调用该DLL进行认证(MSV_1.DLL)。在4.0版本中,Windows NT会寻找HKLMSYSTEMCurrentControlSetControlLSA下所有存在的SecurityPackages值并调用,5.3 Win2000(XP)系统的安全机制简介,本地安全权威的功能和作用 重新找回本地组的SIDs和用户的权限。 创建用户的访问令牌 管理本地安装的服务所使用的服务帐号 存储和映射用户权限 管理审核的策略和设置 管理信任关系 3)安全支持提供者的接口 微软的该接口很简单地遵循RFC2743和
16、RFC2744的定义,提供一些安全服务的API为应用程序和服务提供请求安全的认证连接的方法,5.3 Win2000(XP)系统的安全机制简介,4) 认证包 可以为真实用户提供认证。通过GINADLL上的可信认证后,认证包返回用户的SIDs给LSA,然后将其放在用户的访问令牌中。 5) 安全支持提供者 是以驱动的形式安装的,能够实现一些附加的安全机制,默认情况下,Windows NT安装了以下三种。 Msnsspc.dll:微软网络挑战响应认证模块 Mspsscpc.dll:分布式密码认证挑战响应模块,也可在微软网络中使用 Schannel.dll:该认证模块使用某些证书方式经常在使用SSL和P
17、CT(private communication technology)协议通信的时候用到,5.3 Win2000(XP)系统的安全机制简介,6)网络登录 Netlogon服务必须在通过认证后建立一个安全通道。要实现这个目标,必须通过安全通道与域中的域控制器建立连接,然后,再通过安全的通道传递用户的口令,在域的域控制器上响应请求后,重新取回用户的SIDs和用户权限 7)安全帐户管理器 是用来保存用户帐号和口令的数据库。保存了注册表中HKLMSecuritySam中的一部分内容。不同的域有不同的SAM,在域复制的过程中,SAM包将会被复制 查看注册表的命令,在命令行上键入regedit,5.3
18、Win2000(XP)系统的安全机制简介,主讲教师:董庆宽 研究方向:密码学与信息安全 Email : 手 机:15339021227,网教院培训课程:信息系统安全,第六章 网络安全,内容提要,6.1 OSI开放系统互联安全体系结构 6.3.1 Kerberos协议应用层安全协议标准 6.3.2 SSL协议传输层与应用层之间 6.3.3 IPSec协议网络层标准,该结构即著名的ISO/OSI安全体系结构。 OSI安全体系结构是一个普遍适用的安全体系结构,其核心内容是保证异构计算机系统进程与进程之间远距离交换信息的安全 它是国际标准化组织ISO于1989年在对OSI开放系统互联环境的安全性进行深
19、入研究的基础上提出的ISO-7498-2(开放系统互联安全体系结构)和RFC2401/4301 (Internet安全体系结构),即IPSec) ISO-7498-2是七层协议之上的信息安全体系结构,解决互联网络安全问题,6.1 开放系统互联安全体系结构概述,OSI安全体系结构的基本思想是: 为了全面而准确地满足一个开放系统的安全需求,必须在七个层次中提供必需的安全服务、安全机制和技术管理,以及它们在系统上的合理部署和关系配置。 该体系结构具体提出 设计安全信息系统的基础架构中应该包含的五类安全服务(安全功能); 能够对这五类安全服务提供支持的八类安全机制和五种普遍安全机制; 三种OSI安全管
20、理方式 该体系还将这些服务和机制与七层协议进行映射,6.1 开放系统互联安全体系结构概述,作为网络协议安全体系架构,主要针对的是数据安全,所以提供的五个安全服务也都是针对数据的,6.1 开放系统互联安全体系结构概述,各层安全协议详图,6.2 Kerberos协议,这个过程可以通过如下的例子来理解 把西电网络看成一个提供网页、邮件、FTP、数据库等多个服务的网络 有一个认证中心在网络中心,负责对每一个用户的登陆认证 每一个西电用户都在认证中心注册了自己的账号 有一个票据服务器也在网络中心,用于对每一种服务的接入授权。用户必须持有认证中心颁发的票据才能访问票据服务器,6.2 Kerberos协议,
21、用户Alice想要访问西电的FTP服务器,则采用如下步骤 (1)如果Alice还未登陆系统,则首先向认证中心认证,完成登陆认证。并请求访问票据许可服务器,认证中心在检验了用户身份后发给Alice一个访问票据许可服务器的票据,如果已经登陆则不需此步骤 (2)如果Alice要访问一个服务,如FTP,但还没有被授权访问,则将认证中心的票据及要访问的服务提交给票据许可服务器,认证后票据许可服务器发给Alice一个服务许可票据,用于访问FTP服务器,如果已经有有效票据则不需此步骤。 (3)Alice要访问FTP服务,在每次会话建立前,将服务许可票据提交给FTP服务器,验证后即可访问资源,6.2 Kerb
22、eros协议,6.3 安全套接字层SSL协议,SSL(Security Socket Layer)是Netscape公司于1996年推出的基于Web应用的安全协议,它为网络应用层的通信提供了认证、数据保密和数据完整性的服务,较好地解决了Internet上数据安全传输的问题。 SSL的主要目的是为网络环境中两个通信应用进程(Client与Server)之间提供一个安全通道。 目前已推出2.0和3.0版本 采用公钥密码体制和X.509数字证书技术,进行实体身份认证和会话密钥协商 采用对称密码算法加密 当前流行的客户端软件(Netcape Navigater,IE)、绝大多数服务器应用(Netsca
23、pe, Microsoft, Apache,Oracle,NSCA)以及证书授权(CA)如VeriSign等都支持SSL,SSL提供的面向连接的安全性的三个基本性质: 连接是秘密的(所有C/S间的数据都对称加密) 可认证的(基于公钥的认证) 可靠的(消息的MAC认证),6.3 安全套接字层SSL协议,主讲教师:董庆宽 研究方向:密码学与信息安全 Email : 手 机:15339021227,网教院培训课程:信息系统安全,第七章 应用安全,内容提要,7.1 应用系统中的安全问题概述 7.2 Web安全 7.3 数据库安全,7.1 应用系统中的安全问题概述,应用层是信息系统直接面向用户的层面,保
24、证应用层面的安全应该说是信息系统的最终目的。 应用层安全主要是两方面: 一是系统提供服务的安全 二是相关数据的安全 与之相关的是系统应用软件本身的安全和数据的安全,7.1 应用系统中的安全问题概述,应用系统的安全威胁 恶意代码是最普遍的威胁;黑客(详见1.3节) 在应用系统中,组织为完成自身的业务战略,必然要开发相应的应用软件,独立系统的应用软件的脆弱性可能会表现在三个方面: 软件开发过程中的安全问题 软件的漏洞 管理方面的安全问题,7.1 应用系统中的安全问题概述,1. 软件开发过程的安全问题 (1)开发过程的管理。开发过程主要存在的安全问题有:在开发过程中会泄漏甲方的一些信息;将开发好的软
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 操作系统安全 操作系统 安全
链接地址:https://www.31doc.com/p-3611765.html