第7章 操作系统安全要点课件.ppt

第7章 操作系统安全,安全体系结构,操作系统是最底层软件系统,其安全性直接影响并决定了计算机的安全性能。 操作系统安全是信息系统安全的最基本、最基础的安全要素。操作系统的任何安全脆弱性和安全漏洞，必然导致信息系统的整体安全脆弱性。操作系统的任何功能性变化，都可导致信息系统安全脆弱性分布情况的变化。从软件角度来看，确保信息系统安全的第一要事便是采取措施保证操作系统安全。在目前的操作系统中,对安全机制的设计不尽完善,存在较多的安全漏洞隐患。面对黑客的盛行,网络攻击的日益频繁,运用的技术愈加先进,计算机操作系统的安全显得尤为重要。,安全体系结构的安全服务,认证我不认识你! - 你是谁？我怎么相信你就是你? - 要是别人冒充你怎么办?访问控制授权我能干什么? - 我有什么权利?你能干这个,不能干那个.保密性我与你说话时,别人能不能偷听?完整性收到的传真不太清楚?传送过程中别人篡改过没有?防抵赖我收到货后,不想付款,想抵赖,怎么样?我将钱寄给你后,你不给发货,想抵赖,如何?,操作系统安全,身份认证,提纲,单机状态下身份认证基于口令的认证方式基于智能卡的认证方式基于生物特征的认证方式,认证的概念,认证是一个过程，通过这个过程，一个实体向另一个实体证明了某种声称的属性。,身份认证,身份认证，用来确定用户在系统中的身份的真实性，包括用户的标识和鉴别，是用户进入系统后的第一道防线。用户标识是指用户登录注册在信息系统中的身份标识（ID），代表用户的身份信息。鉴别是验证某些事物的过程。,身份认证的基本途径,基于你所知道的（What you know ）知识、口令、密码基于你所拥有的（What you have ）身份证、信用卡、密钥、智能卡等基于你的个人特征（What you are）指纹，笔迹，声音，手型，脸型，视网膜，虹膜双因素(双因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统)、多因素认证,身份认证的基本模型,申请者（Claimant）验证者（Verifier）认证信息AI（Authentication Information）可信第三方(Trusted Third Party),申请AI,验证AI,常用的身份认证技术/协议,简单口令认证质询/响应认证一次性口令认证（OTP）电子令牌基于U盾的身份认证基于生物特征的身份认证,基于口令的身份认证,用户名/口令认证技术是最简单、最普遍的身份识别技术各类系统的登录等。口令具有共享秘密的属性，只有用户和系统知道。例如，用户把他的用户名和口令送服务器，服务器操作系统鉴别该用户。口令有时由用户选择，有时由系统分配。通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户口令，若口令与用户文件中的相匹配，用户即可进入访问。口令有多种，如一次性口令；还有基于时间的口令,基于口令的身份认证,用户名/口令具有实现简单的优点，但存在以下安全缺点：大多数系统的口令是明文传送到验证服务器的，容易被截获。口令维护的成本较高。为保证安全性，口令应当经常更换。另外为避免对口令的字典攻击，口令应当保证一定的长度，并且尽量采用随机的字符。但缺点是难于记忆。口令容易在输入的时候被攻击者偷窥，而且用户无法及时发现。 简单和安全是互相矛盾的两个因素,口令保护技术,对口令的使用,存储和更新进行控制控制口令显示信息限制注册失败次数: 3次或6次定期更新口令避免重复使用最小长度:68个字符用户被锁-系统生成口令:随机性更好,创建强健的口令,在创建安全口令的时候，最好能遵循以下准则：不要做以下的事：不要只使用单词或数字 决不要在口令中只使用单词或数字。 某些不安全口令包括： 8675309 juan hackme不要使用现成词汇 像名称、词典中的词汇、甚至电视剧或小说中的用语，即使在两端使用数字，都应该避免使用。 某些不安全口令包括： John1 DS-9 mentat123,创建强健的口令,不要使用外语中的词汇 口令破译程序经常使用多种语言的词典来检查其词汇列表。依赖外语来达到保护口令的目的通常不起作用。 不要使用黑客术语 如果你以为在口令中使用黑客术语 又称 L337 (LEET) 就会与众不同，请再三思。许多词汇列表都包含了 LEET 式术语。 不要使用个人信息 千万不要使用个人信息。如果攻击者知道你的身份，推导出你所用口令的任务就会变得非常容易。以下是你在创建口令时应该避免使用的信息类型。 某些不安全口令包括： 你的名字 宠物的名字 家庭成员的名字生日 你的电话号码或邮政编码,创建强健的口令,不要倒转现存词汇 优秀的口令破译者总是倒转常用词汇，因此倒转薄弱口令并不会使它更安全。 不要笔录你的口令 决不要把口令写在纸上。把它牢记在心才更为安全。 不要在所有机器上都使用同样的口令 在每个机器上使用不同的口令是及其重要的。这样，如果一个系统泄密了，所有其它系统都不会立即受到威胁。 做以下的事：,创建强健的口令,口令长度至少为八个字符 口令越长越好。混和大小写字母 Linux 区分大小写，因此混和大小写会增加口令的强健程度。 混和字母和数字 在口令中添加数字，特别是在中间添加（不只在开头和结尾处）能够加强口令的强健性。 包括字母和数字以外的字符 &、$、和 之类的特殊字符可以极大地增强口令的强健性。挑选一个你可以记住的口令 如果你记不住你的口令，那么它再好也没有用；使用简写或其它记忆方法来帮助你记忆口令。,安全口令创建方法,想出一个可记忆的短语，如： over the river and through the woods, to grandmothers house we go.然后只引用第一个字母而把它变成简写（包括标点）。otrattw,tghwg.把简写中的字母替换成数字和符号来增加其复杂性。例如，用 7 来替换 t，用 来替换 a： o7r77w,7ghwg.至少把一个字母变成大写来增加其复杂性，如 H。o7r77w,7gHwg.最后，永远不要在任何系统上使用以上的口令范例。,口令攻击的种类,网络数据流窃听。由于认证信息要通过网络传递，并且很多认证系统的口令是未经加密的明文，攻击者通过窃听网络数据，就很容易分辨出某种特定系统的认证数据，并提取出用户名和口令。认证信息截取/重放(Record/Replay) 有的系统会将认证信息进行简单加密后进行传输，如果攻击者无法用第一种方式推算出密码，可以使用截取/重放方式。,安全的口令认证技术-动态口令,动态口令: 一般采用双运算因子的计算方式，也就是加密算法的输入值有两个数值，其一为用户密钥、另一为变动因子.由于用户密钥为固定数值，因此变动因子必须不断变动才可以算出不断变动的动态密码。服务器及动态口令系统必须随时保持相同的变动因子，才能算出相同的动态密码,基于智能卡认证方式,基于智能卡的认证可提供双重认证，即你所拥有的东西认证（您的智能卡）和你所知道的东西认证（您的PIN代码）智能卡提高硬件保护措施和加密算法，可以利用这些功能加强安全性能。当前比较常用的是基于USB接口的智能卡，UKEY.UKey是一种通过USB (通用串行总线接口)直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备。UKey的设计小巧精致、携带方便UKey自身所具备的存贮器可以用来存储一些个人信息或证书，UKey的内部密码算法可以为数据传输提供安全的管道，UKey是适用于单机或网络应用的安全防护产品。,生理特征介绍,每个人所具有的唯一生理特征指纹，视网膜，声音，虹膜、语音、面部、签名等指纹一些曲线和分叉以及一些非常微小的特征；提取指纹中的一些特征并且存储这些特征信息：节省资源，快速查询；手掌、手型 手掌有折痕，起皱，还有凹槽；还包括每个手指的指纹 ；人手的形状（手的长度，宽度和手指）表示了手的几何特征,生理特征介绍（续）,视网膜扫描 扫描眼球后方的视网膜上面的血管的图案； 虹膜扫描 虹膜是眼睛中位于瞳孔周围的一圈彩色的部分；虹膜有其独有的图案，分叉，颜色，环状，光环以及皱褶；语音识别 记录时说几个不同的单词，然后识别系统将这些单词混杂在一起，让他再次读出给出的一系列单词。面部扫描 人都有不同的骨骼结构，鼻梁，眼眶，额头和下颚形状。,指纹识别,历史悠久考古证实，公元前年到公元前年，指纹作为身份鉴别已在古中国和古叙利亚使用。从那时出土的粘土陶器上留有的陶艺匠人的指纹，纸稿上印有的起草者的大拇指指纹，古城市的房屋留下的砖匠一对大拇指指纹的印记中可以看出，指纹认证已被应用于当时社会的许多领域里。 世纪初，科学发现了至今仍被承认的指纹的两个重要特征，即两个不同手指的指纹纹脊的式样不同，和指纹纹脊的式样终生不改变。这个有关指纹唯一性和终身不变性的研究成果在指纹鉴别犯罪中得到正式应用。世纪末到世纪初，阿根廷、苏格兰等国相继将指纹识别技术应用于罪犯鉴别。 最初的指纹识别采用手工方法，即将指纹卡片存放在指纹库中，需要时在指纹库中人工查找由指纹专家比对指纹卡。世纪年代后，人们利用计算机代替了效率低、投入高的手工方式来处理指纹，个人电脑和光学扫描仪成为指纹取像工具。年代后期，低价位取像设备的出现，为个人身份识别技术的发展提供了舞台。,指纹识别,读取指纹图像,提取特征,保存数据和比较,第一代指纹识别系统，属于光学识别系统，光学指纹识别系统由于光不能穿透皮肤表层（死性皮肤层），所以只能够扫描手指皮肤的表面，或者扫描到死性皮肤层，但不能深入真皮层。 在这种情况下，手指表面的干净程度，直接影响到识别的效果。如果，用户手指上粘了较多的灰尘，可能就会出现识别出错的情况。并且，如果人们按照手指，做一个指纹手模，也可能通过识别系统，对于用户而言，这具有不安全性。 第二代指纹识别系统，采用了电容传感器技术，并采用了小信号来创建山脉状指纹图像的半导体设备。指纹识别器的电容传感器发出电子信号，电子信号将穿过手指的表面和死性皮肤层，而达到手指皮肤的活体层（真皮层），直接读取指纹图案，从而大大提高了系统的安全性。,模板 1K,已保存模板 1K,访问控制,访问控制的基本概念,什么是访问控制访问控制的基本模型访问控制和其他安全机制的关系,什么是访问控制,访问控制是网络安全防范和保护的主要核心策略，它的主要任务是保证网络资源不被非法使用和访问。访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。它是对信息系统资源进行保护的重要措施，也是计算机系统最重要和最基础的安全机制。,访问控制的基本概念,主体(Subject)主体是一个主动的实体，它提出对资源访问请求。如用户，程序，进程等。客体(Object )含有被访问资源的被动实体，如网络、计算机、数据库、文件、目录、计算机程序、 外设、网络。授权(Authorization)对资源的使用，读、写、修改、删除等操作，例如访问存储器；访问文件、目录、外设；访问数据库；访问一个网站。,访问控制的基本概念,访问可以被描述为一个三元组 (s, a, o)主体，发起者 : Subject，Initiator客体，目标 : Object, Target访问操作 : Access,Object,Read/Write/Exec,访问控制模型,访问控制执行功能,访问控制决策功能,客体,主体的访问控制信息,主体,客体的访问控制信息,访问控制政策规则,上下文信息(如时间，地址等),决策请求,决策,访问请求,提交访问,访问控制的基本概念,访问控制信息（ACI）的表示主体访问控制属性客体访问控制属性访问控制政策规则授权（Authorization）怎样把访问控制属性信息分配给主体或客体如何浏览、修改、回收访问控制权限访问控制功能的实施控制实施部件如何获得实体的访问控制信息怎样执行,访问控制矩阵,访问控制机制可以用一个三元组来表示（S,O,M）主体的集合 S=s1,s2,sm客体的集合 O=o1,o2,on所有操作的集合 A=R, W, E, 访问控制矩阵 M= S O 2A,访问控制矩阵,矩阵的的i行Si表示了主体si对所有客体的操作权限，称为主体si的能力表(Capability List)矩阵的第j列Oj表示客体oj允许所有主体的操作，称为oj的访问控制表（ACL）,能力表（Capability List）,能力表与主体关联，规定主体所能访问的客体和权限。从能力表得到一个主体所有的访问权限，很容易从能力表浏览一个客体所允许的访问控制权限，很困难,O1RW,O2R,O5RWE,Si,访问控制表(Access Control List),访问控制表与客体关联，规定能够访问它的主体和权限由于主体数量一般比客体少得多而且容易分组，授权管理相对简单得到一个客体所有的访问权限，很容易浏览一个主体的所有访问权限，很困难,S1RW,S2R,S5RWE,Oj,访问控制与其他安全机制的关系,身份认证身份认证是访问控制的前提保密性限制用户对数据的访问(读取操作),可以实现数据保密服务完整性限制用户对数据的修改(写操作), 实现数据完整性保护可用性限制用户对资源的使用量，保证系统的可用性,访问控制政策模型,自主型访问控制(DAC)强制型访问控制(MAC)基于角色的访问控制(RBAC),访问控制的一般策略,自主型访问控制政策,Discretionary Access Control , DAC每个客体有一个属主，属主可以按照自己的意愿把客体的访问控制权限授予其他主体DAC是一种分布式授权管理的模式控制灵活，易于管理，是目前应用最为普遍的访问控制政策,自主型访问控制(DAC),无法控制信息流动信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B, 从而使不具备对O访问权限的B可访问O。特洛伊木马的威胁 特洛伊木马（Trojan）是一段计算机程序，它附在合法的程序中，执行一些非法操作而不被用户发现,一个用户能读取某些数据，然后他就可以把这些数据转发给其他原本没有这一权限的人。这是因为，自主访问控制策略本身没有对已经具有权限的用户如何使用和传播信息强加任何限制。但在强制策略系统中，高安全等级数据传播到低安全等级是受到限制的。在自主访问控制策略环境中，为了保证安全，默认参考设置是拒绝访问，以提高信息的安全性。,访问许可,访问许可与访问模式描述了主体对客体所具有的控制权与访问权.访问许可定义了改变访问模式的能力或向其它主体传送这种能力的能力.访问模式则指明主体对客体可进行何种形式的特定的访问操作:读写运行.,访问许可(Access Permission),(1)等级型的(Hierarchical)(2)有主型的(Owner) 对每个客体设置一个拥有者(通常是客体的生成者).拥有者是唯一有权修改客体访问控制表的主体,拥有者对其客体具有全部控制权.(3)自由型的(Laissez-faire),最高领导(系统操作员),部门领导,部门领导,科组领导,科组领导,科组领导,科组领导,成员,成员,成员,成员,成员,成员,成员,成员,访问模式Access Mode,系统支持的最基本的保护客体:文件,对文件的访问模式设置如下: （1）读-拷贝(Read-copy) （2）写-删除（write-delete） （3）运行(Execute) （4）无效(Null),基于个人的策略,根据哪些用户可对一个目标实施哪一种行为的列表来表示。等价于用一个目标的访问矩阵列来描述,基于组的策略,一组用户对于一个目标具有同样的访问许可。是基于身份的策略的另一种情形相当于，把访问矩阵中多个行压缩为一个行。实际使用时先定义组的成员对用户组授权同一个组可以被重复使用组的成员可以改变,强制型访问控制（MAC）,Mandatory Access ControlMAC是一种多级访问控制策略，它的主要特点是系统对访问主体和受控对象实行强制访问控制，系统事先给访问主体和受控对象分配不同的安全级别属性，在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对象每个主体和客体分配一个固定的安全级别，只有系统管理员才可以修改普密秘密机密绝密只有在主体和客体的安全级别满足一定规则时，才允许访问,多级安全系统,多级安全系统将信息资源按照安全属性分级考虑，安全类别有两种类型一种是有层次的安全级别（Hierarchical Classification），分为TS，S，C，RS，U五级：绝密级别（Top Secret），秘密级别（Secret），机密级别（Confidential），限制级别（Restricted）和无级别级（Unclassified）另一种是无层次的安全级别，不对主体和客体按照安全类别分类，只是给出客体接受访问时可以使用的规则和管理者。,自主/强制访问的问题,自主访问控制配置的粒度小配置的工作量大，效率低强制访问控制配置的粒度大缺乏灵活性,基于角色的策略,与现代的商业环境相结合的产物基于角色的访问控制是一个复合的规则，可以被认为是IBAC（Intention Based Access Control，IBAC ）和RBAC (Role-Based Access Control )的变体。一个身份被分配给一个被授权的组。起源于UNIX系统或别的操作系统中组的概念,RBAC模型,RBAC模型(Role-Based Access Control )的基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。在很多实际应用中，用户并不是可以访问的客体信息资源的所有者（这些信息属于企业或公司），这样的话，访问控制应该基于员工的职务而不是基于员工在哪个组或是谁是信息的所有者，即访问控制是由各个用户在部门中所担任的角色来确定的，例如，一个学校可以有教工、老师、学生和其他管理人员等角色。,角色的定义,每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作RBAC从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色相联系，这点与传统的MAC和DAC将权限直接授予用户的方式不同；通过给用户分配合适的角色，让用户与访问权限相联系。角色成为访问控制中访问主体和受控对象之间的一座桥梁。角色与组的区别组：一组用户的集合角色：一组用户的集合 + 一组操作权限的集合,角色的特点,角色可以看作是一组操作的集合，不同的角色具有不同的操作集，这些操作集由系统管理员分配给角色。在下面的实例中，我们假设Tch1，Tch2，Tch3Tchi是对应的教师，Stud1，Stud 2，Stud3 Studj是相应的学生，Mng1，Mng 2，Mng 3Mngk是教务处管理人员，老师的权限为TchMN=查询成绩、上传所教课程的成绩；学生的权限为Stud MN=查询成绩、反映意见；教务管理人员的权限为MngMN=查询、修改成绩、打印成绩清单。那么，依据角色的不同，每个主体只能执行自己所制定的访问功能。用户在一定的部门中具有一定的角色，其所执行的操作与其所扮演的角色的职能相匹配，这正是基于角色的访问控制（RBAC）的根本特征，即：依据RBAC策略，系统定义了各种角色，每种角色可以完成一定的职能，不同的用户根据其职能和责任被赋予相应的角色，一旦某个用户成为某角色的成员，则此用户可以完成该角色所具有的职能。,角色的特点,系统管理员负责授予用户各种角色的成员资格或撤消某用户具有的某个角色。例如学校新进一名教师Tchx，那么系统管理员只需将Tchx添加到教师这一角色的成员中即可，而无需对访问控制列表做改动。同一个用户可以是多个角色的成员，即同一个用户可以扮演多种角色，比如一个用户可以是老师，同时也可以作为进修的学生。同样，一个角色可以拥有多个用户成员，这与现实是一致的，一个人可以在同一部门中担任多种职务，而且担任相同职务的可能不止一人。因此RBAC提供了一种描述用户和权限之间的多对多关系,RBAC与传统访问控制的差别,增加一层间接性带来了灵活性,RBAC的优势,便于授权管理，如系统管理员需要修改系统设置等内容时，必须有几个不同角色的用户到场方能操作，从而保证了安全性。便于根据工作需要分级，如企业财务部门与非财务部门的员工对企业财务的访问权就可由财务人员这个角色来区分。便于赋于最小特权，如即使用户被赋于高级身份时也未必一定要使用，以便减少损失。只有必要时方能拥有特权。便于任务分担，不同的角色完成不同的任务。便于文件分级管理，文件本身也可分为不同的角色，如信件、账单等，由不同角色的用户拥有。,授权的管理,授权的管理决定谁能被授权修改允许的访问 强制访问控制的授权管理自主访问控制的授权管理角色访问控制的授权管理,强制访问控制的授权管理,在强制访问控制中，允许的访问控制完全是根据主体和客体的安全级别决定。其中主体（用户、进程）的安全级别是由系统安全管理员赋予用户，而客体的安全级别则由系统根据创建它们的用户的安全级别决定。因此，强制访问控制的管理策略是比较简单的，只有安全管理员能够改变主体和客体的安全级别。,自主访问控制的授权管理,集中式管理：只单个的管理者或组对用户进行访问控制授权和授权撤消。分级式管理：一个中心管理者把管理责任分配给其它管理员，这些管理员再对用户进行访问授权和授权撤消。分级式管理可以根据组织结构而实行。所属权管理：如果一个用户是一个客体的所有者，则该用户可以对其它用户访问该客体进行授权访问和授权撤消。协作式管理：对于特定系统资源的访问不能有单个用户授权决定，而必须要其它用户的协作授权决定。分散式管理：在分散管理中，客体所有者可以把管理权限授权给其他用户。,角色访问控制的授权管理,角色访问控制提供了类似自由访问控制的许多管理策略。而且，管理权限的委托代理是角色访问控制管理的重要特点，在以上的两种访问控制的管理策略中都不存在。,安全策略的实施原则,安全策略的制定实施也是围绕主体、客体和安全控制规则集三者之间的关系展开的。（1） 最小特权原则：最小特权原则是指主体执行操作时，按照主体所需权利的最小化原则分配给主体权力。最小特权原则的优点是最大限度地限制了主体实施授权行为，可以避免来自突发事件、错误和未授权用主体的危险。也就是说，为了达到一定目的，主体必须执行一定操作，但他只能做他所被允许做的，其它除外。（2） 最小泄漏原则：最小泄漏原则是指主体执行任务时，按照主体所需要知道的信息最小化的原则分配给主体权力。（3） 多级安全策略：多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密（TS）、秘密（S）、机密（C）、限制（RS）和无级别（U）五级来划分。多级安全策略的优点是避免敏感信息的扩散。具有安全级别的信息资源，只有安全级别比他高的主体才能够访问。,