(7)操作系统安全机制一

乔微博 · 发表于 2022-3-26 10:38:07

操作系统的安全性表现

物理上分离：要求进程使用不同的物理实体
时间上分离：具有不同安全要求进程在不同时间运行
逻辑上分离：要求进程不能访问其允许范围外的实体
密码上分离：要求进程隐蔽数据及计算
操作系统安全的主要目标
依据系统安全策略对用户的操作进行访问控制，防止用户对计算机资源的非法访问（窃取、篡改和破坏）；
标识系统中的用户和进行身份鉴别；
监督系统运行时的安全性；
保证系统自身的安全性和完整性。
必要的安全机制
硬件安全机制
访问控制机制：自主访问控制、安全标记与强制访问控制、客体重用
可追究机制：标识与鉴别、可信路径、安全审计
连续保护机制：系统完整性、隐蔽通道分析、最小特权管理、可信恢复
第一节硬件安全

基本安全机制，包括：存储保护、运行保护、I/O保护
一、存储安全
1.虚地址空间
存储进程的程序与数据的专用地址空间
由硬件实现虚-实地址转换/映射
2.请求式页面调度
操作系统建立一个作用于整个进程虚拟存储器的页面描述表,并在描述符中设置一个”ON DISK”标志,以指示那些页面不在物理存储器中, 此时要求进行中断页处理(整个进程用一个页表)
3.分段虚拟存储
典型二段方案：分为用户空间与系统空间
可变长分段与请求页面调度结合(每个进程的段数不同,每个段都有一个可变长的页面描述表)
二、运行保护
基于保护环的等级域机制：
1.执行域：涉及内容为：执行方式、状态以及范围。域是分层的。
2.保护环：分层图的图形像一组同心的环。环的编号越小，特权越高。
3.安全概念：保护每一环免遭其他环的影响，并允许每层环有效地控制该环及更低特权环上的应用程序。
三、IO保护
I/O硬件保护机制：
I/O是只能由操作系统执行的一种特权操作.
I/O介质输出访问控制最简单的方式是将设备看成客体，仿佛它们都处于安全边界外。
由于所有的I/O不是向设备写数据就是从设备接收数据，所以一个进行I/O操作的进程必须受到对设备的读/写两种访问控制。
因此，设备到介质间的路径可以不受什么约束，而处理器到设备间的路径则需要施以一定的读/写访问控制
第二节自主访问控制机制

计算机系统安全机制的主要目的是访问控制, 它包括三个任务:
（1）授权：确定哪些主体有权访问哪些客体
（2）确定访问权限(读、写、执行、删除、追加等存取方式的组合)
（3）实施访问权限
一、自主访问控制概述
文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的访问权。
定义：自主访问控制是基于客体所属用户/组身份，以及需知原则来约束对客体的访问的一种手段。这种控制是自主的意义在于：具有特定访问权限的一个主体能够将该权限（直接或间接地）传递给另一个主体。
二、DAC分类
基于行的访问控制矩阵信息：连接可访问客体到指定用户。
基于列的访问控制矩阵信息：连接用户列表到指定的客体。
1.     基于行的自主存取控制机制：
①     能力表（capability list）
对于每个用户，系统有一个能力表。要采用硬件、软件或加密技术对系统的能力表进行保护，防止非法修改。能力的两个基本属性是: 它们可以从一个访问主体传递给另一个主体，且未经操作系统TCB的允许，拥有某些能力的访问主体不能修改或者伪造任何能力。
不足：即使一个简单的“谁能存取该文件？”的问题，也要花费系统大量时间从每个用户的能力表中寻找。
②前缀表（profiles）
对每个主体赋予的前缀表，包括受保护客体名和主体对它的访问权限。当主体要访问某客体时，自主存取控制机制将检查主体的前缀是否具有它所请求的访问权。
不足: （1）访问权的撤消和客体的删除一般都是比较困难的，因为系统必须能够检测每个主体的前缀；（2）对于一个可访问许多客体的主体，它的前缀量将非常大，很难管理；（3）如果不采用全路径，客体命名必须惟一，否则难以管理。
②   口令： password-based accesscontrol mechanisms
如果对每个客体，每个主体都拥有它自己独有的口令（类似能力表）每个客体都相应地有一个读/写口令，主体在对客体进行访问前，必须向操作系统提供该客体的口令。正确，才可以访问该客体。
2. 基于列的自主存取控制机制
在每个客体上都附加一个主体明细表，表示存取控制矩阵。表中的每一项都包括主体的身份和主体对该客体的访问权限。
方法一，“拥有者/同组用户/其他用户” 模式
Owner（前三位）此客体的拥有者对它的访问权限；
Group（中间三位）    owner同组用户对此客体的访问权限；
Other（最后三位）     其他用户对此客体的访问权限；
方法二 ACL和“拥有者/同组用户/其他用户”相结合模式
方法：仅对“拥有者/同组/其他用户”无法分组的用户使用ACL
优点：保持与原系统的兼容性，且控制粒度细化到单个用户
第三节强制访问控制机制（MAC）

在DAC控制下，以某个用户身份运行的程序可以任意地修改该用户所拥有文件的访问控制信息，而操作系统无法区分修改信息的是一个合法用户还是一个木马。尽管系统可以对拥有特权的特定程序修改访问控制信息的能力进行限制，但同时会失去灵活性。实际上，在DAC控制下并没有办法防止木马通过共享客体(shared objects)-比如文件、消息和共享内存等，把消息从一个进程传给另一个进程。
木马是一段计算机程序，表面上在执行合法功能，实际上却完成了用户不曾料到的非法功能。受骗者是程序的用户，入侵者是这段程序的开发者。木马必须具有以下功能才能成功地入侵：
（1）入侵者要写一段程序进行非法操作，其行为方式不会引起用户的怀疑
（2）必须设计出某种策略诱使受骗者接受这段程序
（3）必须使受骗者运行该程序
（4）入侵者必须有某种手段回收由木马发作为他带来的利益
一、MAC可以在一定程度上阻止木马
主要体现在：
（1）为每个主体(subjects)和客体(objects)赋予安全属性(security attributes),这些属性不像自主访问控制属性那样可以随意改变。（2）系统通过比较主体和客体的安全属性来决定该主体能否以期望的方式访问该客体。反之，如果系统判定拥有某一安全属性的主体不能访问某个客体，那么任何人（包括客体的拥有者）也不能使它访问该客体。从这种意义上讲，是“强制”的。（3）以某个用户身份运行的进程不能改变该用户本身及该用户所拥有客体的安全属性，所以简单地通过允许其他用户来访问一个文件不会泄露文件的内容。（4）可以阻止进程创建共享文件，避免利用这些共享文件将敏感信息传递给另一个进程。
二多级安全的思想
1.起源：上世纪60年代末期，美国国防部研究保护计算机中机密信息的新方式；
2.多级安全的概念:(1)将文件按不同的密级(classification)进行分类，将用户按许可级(clearance)分类；(2)要想合法地获得信息，用户所具有的许可级别必须大于或等于信息的密级；
3多级安全系统的主要目标是:实施强制机密性安全策略,确保信息不会被无意泄露。
4.军事安全策略，也称多级安全策略，主要防止用户获得他不应获得的密级较高的信息，策略中主客体的许可级/密级等统称为安全级（security label），由两方面构成：保密级别（sensitive level/hierarchical level）例如，分为unclassified，confidential，secret，topsecret等级别。注意：保密级之间的关系属于线性排列，即: “unclassified  /proc/sys/kernel/sysrq 。使用可信路径将终止其他所有进程对该终端的访问，因此防止其他进程欺骗该可信登陆进程。
7.
8.     安全注意键在Windows NT系统中被称为SAS（Secure Attention Sequence），默认为“Ctrl-Alt-Del”组合。整个可信路径机制作为WinLogon的子功能来实现。
Local Security Authority（LSA）：系统的主要安全功能管理及维护进程。
Security Accounts Manager（SAM）：负责管理系统用户帐号数据库的安全组件
Security Reference Monitor（SRM）：安全引用监控器
Microsoft Verification Package（MSV）：负责用户鉴别功能的具体软件包
第七节安全审计

1.概念：审计活动就是对系统中安全相关行为进行记录(recording), 检查(examining) 和审核(reviewing)。目的：检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。意义：审计员可从审计追踪中获得详细、可靠的信息，为系统事故原因的查询、定位，事故发生前的预测、报警以及事故发生后的实时处理提供证据。
2.审计事件，是系统审计用户操作的最基本单位。比如：创建文件的事件creat，涉及如下系统调用：
open(“file1”,O_CREATE,mode)
creat(“file1”,mode)
所以， creat事件就在用户调用上述系统调用时由核心审计下来。
3.审计事件可分为主体审计事件和客体审计事件两大类：
主体审计事件：进程代表特定的用户请求系统服务、利用系统资源完成特定的任务，是系统中的活动主体。审计系统必须记录系统中所有执行安全相关活动的主体，这类审计事件即主体审计事件。
客体审计事件：操作系统中的客体是指文件、消息、信号量、共享区等，客体审计事件关注的是对安全攸关的系统客体(或文件) 进行的存取活动。
4.划分标准：从主体（用户和代表用户的进程）角度上看，系统要记录用户进行的一些活动，每个用户有自己的待审计事件集，称为用户事件标准。有些事件与系统安全性关系非常大，任何时候都不应免于审计，为固定事件集。
从客体对象角度，先定义关于某对象的哪些操作事件要求被审计，即包含客体对象的审计事件标准，再确定待审计客体的MAC安全级范围。

5主体审计事件：主体审计事件比如：exec,fork, mount, reboot, setgid, setuid, link, unlink, ……
主体审计记录中主要包括如下信息：（1）事件的类型、事件的成功与失败（2）主体审计事件所对应的进程标识pid （3）该进程对应的程序映像名称image（4）进程的真实用户/用户组标识ruid/rgid, 进程的有效用户/用户组标识euid/egid （5）进程当前的安全级sclass

6.客体审计事件：从操作系统安全的角度考虑，有一类主体安全活动与客体紧密相关。安全标准要求必须从客体的角度出发，记录这类事件。因此，这类操作即要产生主体审计记录，也要产生对应的客体审计记录。比如：chmod, chown, create, fcntl, ioctl, ……
客体审计记录必须记录：（1）客体的全路径（2）客体的属主/用户组uid/gid（3）客体的安全级
6.     审计保护：
审计系统必须保证：
审计系统进行了正确的设置，使系统能够记录下所有必要的行为及行为属性
在审计追踪纪录产生之后，要避免这些纪录被恶意的破坏、修改和删除。
有效保证措施：
审计职责隔离（审计员从系统管理员分离出来）
审计数据的安全保护（特定的策略）
7.     审计点：用户程序与操作系统的惟一接口是系统调用，也就是说当用户请求系统服务时，必须经过系统调用。因此，在系统调用的入口处（称作审计点）增加审计控制，就可以成功地审计系统调用，也就成功地审计了系统中所有使用内核服务的事件。当发生可审计事件时，要在审计点调用审计函数并向审计进程发消息，由审计进程完成审计信息的缓冲、存贮、归档工作
8.

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

账号		自动登录	找回密码
密码			立即注册

(7)操作系统安全机制一

本帖子中包含更多资源