操作系统课件 第十章 操作系统管理(2)

访问监视器 TCB 操作系统核心
�
消耗系统资源 .
– 进程复制 eg. System call fork, spaw, etc. – 文件复制 make new bacteria file – 细菌可以指数级别增长 ,消耗 CPU资源 内存资源 磁盘空间
病毒( 病毒(virus)
病毒不是一个独立的程序,而是寄生于 某一合法程序(通常是一个可执行程序)上 的一段代码 ,其危害包括两个方面:
– TCB由强制实施所有安全规则的硬件和软件构成 TCB – TCB组成
绝大多数硬件(I/O设备除外,因为它们不影响安全性); 操作系统核心中的一部分; 其它具有特权用户权限的用户程序(例如UNIX系统中的 setuid的root程序).
10.4.3 可信系统
可信系统结构
进程
所有系统调用
用 户 空 间 系 统 空 间
备份与恢复
抗御信息破坏(disruption)的安全措施
– 导致信息破坏的愿意可能是人为的,如文件被非法
删除; – 也可能是自然原因造成的,如存储介质失效,自然 灾害等; – 系统操作员必须定期地对系统中的重要数据进行转 储.
10.4.3 可信系统
可信系统的核心是最小的可信计算基 (Trusted Computing Base,TCB)
– 传播,使其它文件感染上该病毒; – 破坏,具体破坏动作多种多样,如删除系统
文件 .
压缩病毒的感染过程
CV ④ P1 ③ P1' ② P2 P2' ① CV
蠕虫(worm) 蠕虫(worm)
危害:
–复制和传播,通过自身复制消耗系统资源,
在网上从一个计算机传播到另一个计算机; –除利用spawn复制和传播外,可能伴随执行 不期望的动作.
载在系统password 文件中
Linux /etc/shadow UNIX /etc/passwd
–加密函数易于计算但难于取反
即若s为口令,f(s)而非s本身被存在password 文件中,这里f 为单向加密函数, 易于计算但难于取反.
口令的选取
推荐选取原则
–混合使用字母(大小写),数字 . –采用一个熟悉句字中出现的单词的首字母,
10.4 操作系统安全(Security) 操作系统安全(Security)
安全威胁(Types of Security Threats) 身份认证(Authentication) 程序威胁(Program Threats) 威胁监测(Threat Monitoring) 可信系统(Trusted System)
如MfnisB (My Father's Name is Bob) .
UNIX口令 UNIX口令
UNIX系统在加密之前对口令拼加"salt"
– salt是随机产生的长度为12bit的附加位,将其
与口令s(56bit)串接在一起,然后对其结果 再运行crypt(3)算法,加密后的结果连同salt 一起保存在passwd文件中
威胁类型
source
destination
source
destination
阻断
截取
source
destination
source
destination
篡改
伪造
10.4.1闯入与身份认证 10.4.1闯入与身份认证
身份认证最常用的手段是口令 . 口令加密后存储到系统的Password文件中
–用户口令在帐户建立时连同登录名字一起记
威胁类型
操作系统的安全威胁来自如下方面: ● 用户不负责任:指用户有意或无意地造成明显的破坏, 比如,将帐号交给其他人使用,口令选取过于随意,一个被 授权存取某些文件的用户复制一份关键的文件去卖钱. ● 用户刺探:指用户盗用没有受到充分保护的系统部分. 某些用户认为能够获得对禁止的系统部分的访问权是一个智 力挑战, 于是就与系统开玩笑. 他们的动机有的并无恶意, 有的 则是盗窃数据, 甚至破坏数据. ● 用户侵入:指用户冲破安全控制以获得对于系统的访问 权限, 如窃取了系统操作员的名头及口令后以系统操作员的身 分登录系统, 进行越权操作.
一次性口令
– 第二次登录 : 主机响应n-1 , 远程用户输入口令s, 在客户端计算出p2=fn-1(s)并传送 给主机 , 主机计算出p1=f(p2)并将其与password 文件中的p1相 比较 . 如果相同登录成功,主机用p2取代password 文件中 的p1, 并将n减1 .
10.4.2 程序威胁
原理 基于单向函数 y=f(x) 给定x,可以很容易地计算y ; 从计算上来说不可能求得x ; 用户首先选定一个保密口令s,同时指定一个整数n( s n 口令使用次数) Password generation: 第一代口令为p1=fn(s) ; 第二代口令为p2=fn-1(s) ; ... 第n代口令为pn=f(s) .
陷阱门 逻辑炸弹 特洛伊木马 细菌 蠕虫 复制 病毒
独立程序 恶意程序 寄生程序
逻辑炸弹
逻辑炸弹是隐藏在合法程序中可以被某种 条件触发而执行某种破坏性动作的程序
– 软件开发者可以采用这种手段制约使用者,
以达到某种目的 , – 逻辑炸弹程序的设计是容易的,一般编程人 员都能实现,但要伪装得好,不易被发现, 则需要一定的设计技巧和编程经验 .
10.4.3 安全策略
口令管理
–初始口令 当为给一个用户建立户头时, 为其规定一个登录 口令 –关卡口令 在某些关键目录,关键文件等设置口令, 可以防 止非授权的用户对其进行访问, 达到保护的目的 –主副口令 即设置两个口令: 一个为主口令, 另外一个为副口 令. 主副口令分别由两个不同的用户掌握, 仅当二 者都在场时才能成功对答通过
威胁类型
对安rruption)
系统资产被毁损或变成不可用,不能用
– 截取(interception) 非授权方得到系统资产,如盗取保密数据 – 篡改(modification) 系统数据被非授权者改变 – 伪造(fabrication) 非授权者将假对象加入系统
防火墙(firewall) 防火墙(firewall)
防火墙是网络上分离可信系统(trusted system)与非可信系统(un-trusted system) 的常用方法
–介于可靠系统与非可靠系统之间的一台计算
机或一个路由器构成 –作用
限制两个不同安全域之间的相互访问 动态监视和记录所有连接
加密
特洛伊木马
特洛伊木马是嵌入于某合法程序中的秘密 例程,合法程序的执行将导致秘密例程的 执行,是具有伪装的攻击程序 . 例如
乙欲得到甲的文件F, 因无权限不能直接访问, 便编写一个游戏程序G并邀请甲玩,甲运行G, 这确实是一个游戏程序,但在后台G将F复制 到乙用户的目录下,达到了文件窃取的目的
特洛伊木马
一次性口令
– 主机初始化 P0=f(P1)和n记在password file中 – 第一次登录 : 主机响应n , 远程用户输入口令s, 在客户端计算出p1=fn(s)并传 送给主机 , 主机计算出p0=f(p1)并将其与password file中的p0相 比较 . 如果相同登录成功,主机用p1取代password file中 的p0, 并将n减1 .
审计记录的事件
– 使用识别和认证机制(如注册过程); – 将某客体引入某个用户的地址空间(如打开文件); – 删除客体; – 系统管理员和安全管理员执行的操作.
审计(auditing) 审计(auditing)
审计的事件包括:
– 对系统资源的访问; – 使用某种特权对系统资源进行访问; – 注册/退出操作; – 修改系统或用户口令; – 不成功的登录操作.
UNIX口令载入
salt User-id User-id salt Epsw(s,salt) 12bit password 56 bit
crypt(3)
10chars
UNIX口令验证
User-id
User-id salt
Epsw(s,salt)
password
crypt(3)
compare
一次性口令
审计(auditing) 审计(auditing)
审计作为事后追踪的手段来保证系统安全
– 审计将涉及系统安全的操作记录在系统监听日志
(audit log)中 – 以便在发生安全问题后对违反系统安全规则的事件能 够有效地追查事件发生时间,地点与过程
审计(auditing) 审计(auditing)
加密的思想是伪装信息,使局外人不可 理解信息的真正含义
–安全性取决于对密钥的管理 –加密保护可以防止信息被截取(interception) –不能防止信息被篡改(modification)
加密
加密和解密原理
KE C=E(P,KE) P E D P=D(C,KD) KD
一个加密系统可由五元组定义:S={P,C,K,E,D}, 其中P为明文空 间,C为密文空间,K为密钥空间,E为加密算法,D为解密算法.
防止特洛伊木马
– 增强权限检查和控制,如限制存取灵活性 – 提高自我防范意识,慎重使用来历不明的软
件
后门( 后门(trapdoor)
后门是程序中绕过例行检查的入口
– 这种非正常入口在程序开发过程中普遍存在,
一旦系统发布所有后门均应关闭
后门一般有两种情况
– 忘记关闭 – 有意保留
细菌( 细菌(bacteria)