Download
1 / 34
340 likes | 511 Views
第七章操作系统的安全与保护. 电子信息学院 2010 年 9 月. 第七章 操作系统的安全与保护. 7.1 安全性概述 7.2 安全策略 7.3 安全模型 7.4 安全机制 7.5 安全操作系统设计和开发 7.6 Linux 安全机制 7.7 Windows 2003 安全机制. 7.1 安全性概述. 什么是计算机系统的安全性 ? 影响计算机系统安全性的因素 ? 安全性和可靠性 操作系统安全性的主要内容 1) 安全策略: 2) 安全模型: 3) 安全机制:. 操作系统面临的安全威胁. 硬件 软件 数据 网络和通信线路.
E N D
第七章操作系统的安全与保护 电子信息学院 2010年9月
第七章 操作系统的安全与保护 7.1 安全性概述 7.2 安全策略 7.3 安全模型 7.4 安全机制 7.5 安全操作系统设计和开发 7.6 Linux安全机制 7.7 Windows 2003安全机制
7.1 安全性概述 • 什么是计算机系统的安全性? • 影响计算机系统安全性的因素 ? • 安全性和可靠性 • 操作系统安全性的主要内容 1)安全策略: 2)安全模型: 3)安全机制:
操作系统面临的安全威胁 • 硬件 • 软件 • 数据 • 网络和通信线路
7.2 安全策略 7.2.1 安全需求和安全策略 7.2.2 访问支持策略 7.2.3 访问控制策略
7.2.1 安全需求和安全策略 1 安全需求和策略 1)机密性 2)完整性 3)可记帐性 4)可用性
安全策略 什么是安全策略: 用于授权使用其计算机及信息资源的规则,即有关管理、保护、分配和发布系统资源及敏感信息的规定和实施细则,一个系统可有一个或多个安全策略,其目的是使安全需求得到保障。 安全策略分成两类: 1)军事安全策略 2)商业安全策略
操作系统内核 应用 进程 所有系统调用必须经过安全检查 用户空间 引用监视程序 资源 引用控制数据库 • 可信计算基 • TCB 内核空间 引用监视程序工作原理 2 可信计算基(1)
可信计算基 (2) • 安全功能模块TSF • 安全功能策略TSP • TSF实现
7.2.2 访问支持策略 • 访问支持策略的作用 1 标识与鉴别 1)用户标识 2)用户鉴别 2 可记帐性 3 确切保证和连续保护 4 客体重用 5 隐蔽信道分析 6 可信路径和可信恢复
用作身份标识和鉴别的三类信息 • 用户知道的信息 • 用户拥有的东西 • 用户的生物特征
7.2.3 访问控制策略 1访问控制属性(1) • 与访问控制策略相关的因素有: 主体、客体和主客体属性 1)主体: 普通用户 信息属主 系统管理员
访问控制属性(2) 2)客体: (1)一般客体, (2)设备客体, (3)特殊客体。
访问控制属性(3) 3)主客体属性:属性又称敏感标记 • 主体属性: (1)用户ID/用户组ID (2)用户访问许可级别 (3)用户需知属性 (4)角色 (5)权能列表
访问控制属性(4) • 客体属性 : (1)敏感性标记 (2)访问控制列表 • 外部状态 • 数据内容和上下文环境
4)用户与主体绑定 • 应用进程是固定为某特定用户服务的,它在运行中代表该用户对客体资源进行访问,其权限应与所代表的用户相同,这一点可通过用户与主体绑定实现。 • 系统进程是动态地为所有用户提供服务的,当应用进程进行系统调用时,它开始执行内核函数,这时系统进程代表该用户在执行,运行在核心态,拥有操作系统权限。
2自主访问控制策略 • 自主访问控制策略 • 自主访问控制工具 • 自主访问控制策略的缺点
3强制访问控制策略 • 在强制访问控制机制下,系统内的每个主体被赋予许可标记或访问标记,以表示他对敏感性客体的访问许可级别; • 系统内的每个客体被赋予敏感性标记,以反映该客体的安全级别。 • 安全系统通过比较主、客体的相应标记来决定是否授予一个主体对客体的访问权限。
7.3 安全模型 7.3.1 安全模型概述 7.3.2 几种安全模型简介
7.3.1 安全模型概述 • 什么是安全模型 ? • 安全模型分类? • 形式化开发途径 。 • 非形式化开发途径 。
状态机模型开发步骤 • 定义与安全有关的状态变量。 • 定义安全状态需满足的条件。 • 定义状态转移函数。 • 证明转移函数能够维持安全状态。 • 定义初始状态。 • 依据安全状态的定义,证明初始状态是安全的。
7.3.2 几种安全模型简介 1 基于访问控制矩阵的安全模型 1)Lampson访问控制矩阵模型 2)Graham-Denning模型 3)Harrison-Ruzzo-Ullman模型 2 基于格的安全模型 1)Bell-LaPadula模型 2)D.Denning信息流模型
BLP多级安全模型 • 什么是BLP模型? • BLP模型的安全策略? 1)自主安全策略 2)强制安全策略
BLP模型两条基本规则 (1)简单安全规则:主体对客体进行读访问的必要条件是主体的安全级支配客体的安全级,即主体的安全级别不小于客体的保密级别,主体的范畴集包含客体的全部范畴,或者说主体只能向下读,不能向上读。如将军可阅读中校的文件,但反之不允许。 (2)*特性规则:主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级,即客体的保密级别不小于主体的保密级别,客体的范畴集包含主体的全部范畴,或者说主体只能向上写,不能向下写。如中校可发消息给将军的信箱告知情况,但反之不允许。
安全 等级 4 5 3 E C 6 4 3 主体 客体 B 2 2 读 D 1 1 A 写 Bell-LaPadula多级安全模型
7.4 安全机制 7.4.1 硬件安全机制 7.4.2 认证机制 7.4.3 授权机制 7.4.4 加密机制 7.4.5 审计机制
7.4.1 硬件安全机制 1 主存保护 1)不支持虚拟主存的系统 (1)下界和上界寄存器法 (2)基址和限长寄存器法 (3)主存块的锁与进程的钥匙配对法
主存锁 PSW的其余部分 钥匙 0110 块 0110 1101 块 进程 0101 块 0110 块 钥匙和主存锁
2)支持虚拟存储器的系统 • 虚存隔离技术 • 分页虚拟存储管理 • 分段虚拟存储管理 • 段页式虚拟存储管理
Windows分页虚存管理 1)区分内核模式页面和用户模式页面:内核模式页面仅在核心态执行时才可访问,且仅用于系统的数据结构,用户只能通过适当的内核函数方可对其访问; 2)区分页面类型:Win32 API区分页面访问模式-不可访问、只读、读写、只能执行、执行和读、执行和读写。任何其他模式对页面的访问都会造成违法; 3)进程地址空间页面状态:有三种-空闲、保留和提交,被记录在对应页表项中。一个空闲页面是指尚未分配给进程的无效页面,任何访问试图都会产生无效页号错误;访问保留或提交页面可能会造成不同类型的缺页中断处理。
3)沙盒技术 • 什么是沙盒技术? • Java可定制的沙盒安全模型。
运行在内户态 用户 空间 运行在核心态 应用进程 系统进程 不可执行 特权指令 系统 空间 可执行 特权指令 处理器模式扩展操作系统的访问权限 2 运行保护
VAX/VMS操作系统利用处理器的四种模式 • 内核(kernel)态:执行操作系统内核,包括主存管理、中断处理、I/O操作等 • 执行(executive)态:执行操作系统系统调用,如文件操作等。 • 监管(supervisor)态:执行操作系统其余系统调用,如应答用户请求。 • 用户(user)态:执行应用程序,如编译、编辑、链接等实用程序和各种应用程序。
3 I/O保护 • 文件映射I/O和I/O指令。 • I/O保护原理
