操作系统安全 ppt课件

网教院培训课程：信息系统安全 第五章 操作系统安全 内容提要 ? 5.1 操作系统可信计算基的构成 ? 5.2 操作系统的安全机制 ? 5.3 Win2000/XP 系统的安全机制简介 2/103 5.1 操作系统可信计算基的构成 ? 操作系统是对软件、硬件资源进行调度控制和信息产生、传递、处理的平台, , 其 安全性属于系统级安全范畴 ? 操作系统 是其它一切 安全机制 的基础，是信息系统安全的必要条件， 很多安全问题都源于操作系统的安全漏洞 ? 操作系统的安全主要体现在身份认证、访问控制和信息流控制等方面。 ? 访问控制决定了用户对系统资源访问权限，是操作系统安全的核心技术 3/103 5.1 操作系统可信计算基的构成 ? 构成操作系统可信计算基的核心是 参照监视器 ? 1. 参照监视器 ? 是一种抽象的概念，是访问控制的基础 ? 参照监视器依据访问控制数据库中的规则，验证主体对客体的每一次访问，按规则支持或禁止访问，并将成功与否的访问按照策略要求存入审计系统中 访问控制数据库参照监视器审计文件主体 客体4/103 5.1 操作系统可信计算基的构成 ? 2. 安全内核 ? 安全内核是实现参照监视器概念的一种技术，是指系统中与安全性实现有关的部分，包括： ? 引用验证机制、访问控制机制、授权机制和授权管理机制等 ? 一般的，人们趋向把安全内核与参照监视器等同起来 ? 安全内核实际上可以看成一个更小的操作系统，具备了操作系统的全部能力 5/103 5.1 操作系统可信计算基的构成 ? 3. 安全内核 在实现上有两种情况 ? 1 ）安全内核与其它功能部分完全一体的操作系统 系统接口应用程序操作系统硬件平台安全周界接口硬件接口安全相关的( ( 可信的) )安全周界内部安全无关的( ( 不可信) )安全周界外部系统外部用户图5 5. . 2 安全与其它功能一体化的操作系统的地位6/103 ? 3. 安全内核 在实现上有两种情况 ? 2 ）安全内核是操作系统的一部分 ? 安全内核由 硬件 和 介于硬件和操作系统之间的一层软件 组成。

? 安全内核的软件和硬件认为是可信的，处于安全周界的内部，但操作系统和应用程序均处于安全周界之外。 系统接口应用程序操作系统中安全内核硬件平台操作系统接口硬件接口安全相关的( ( 可信的) )安全周界内部安全无关的( ( 不可信) )安全周界外部系统外部用户图5 5. . 3 操作系统中的安全内核的地位操作系统的其他部分内核接口5.1 操作系统可信计算基的构成 7/103 5.2 操作系统的安全机制 ? 操作系统安全的目标 ? 标识系统中的用户并进行身份鉴别 ? 依据系统安全策略对用户的操作进行存取控制 ? 监督系统运行的安全 ? 保证系统自身的安全性和完整性 ? 为了实现操作系统安全的目标，需要建立相应的安全机制，包括： ? 隔离控制、硬件保护、用户认证、访问控制等 8/103 5.2.1 隔离机制 ? 隔离机制是解决进程控制、内存保护的有效方法 ? 1. 隔离控制的方法有四种： ? ① 物理隔离。 在物理设备或部件一级进行隔离，使不同的用户程序使用不同的物理对象。 ? 如不同安全级别的用户分配不同的打印机，特殊用户保密级运算可以在CPU 一级进行隔离，使用专用的CPU运算 ? ② 时间隔离。

对不同安全要求的用户进程分配不同的运行时间段。 ? 对于用户运算高密级信息时，甚至独占计算机进行运算 9/103 ? ③ 逻辑隔离。 多个用户进程可以同时运行，但相互之间感觉不到其他用户进程的存在 ? 这是因为操作系统限定各进程的运行区域，不允许进程访问其他未被允许的区域。 ? ④ 加密隔离。 进程把自己的数据和计算活动隐蔽起来，使他们对于其他进程是不可见的 ? 对用户的口令信息或文件数据以密码形式存储，使其他用户无法访问，也是加密隔离控制措施。 ? 这几种隔离措施实现的复杂性是逐步递增的， 而它们的 安全性则是逐步递减的. . ? 前两种方法的安全性是比较高的，但会降低硬件资源的利用率。后两种隔离方法主要依赖操作系统的功能实现。 5.2.1 隔离机制 10/103 5.2.2 硬件的保护机制 ? 计算机硬件的安全目标是保证其自身的可靠性并为系统提供基本的安全机制。主要包括：存储器保护、运行保护、输入/ / 输出保护等 ? 1. 存储器保护 ? 保护用户在存储器中的数据的安全 ? 具体要求 ? 防止用户对操作系统的影响 ? 各用户进程应相互隔离 ? 应禁止用户模式下对系统段进行写操作 11/103 ? (1) 单用户内存保护问题 ? 用户程序运行时不能跨越地址界限寄存器（基址寄存器） ? 无法分隔不同用户的程序 系统区用户区 （内存） 界限寄存器 单用户内存保护 5.2.2 硬件的保护机制 12/103 ? (2) 多道程序的保护 ? 在基址寄存器基础上再增加一个寄存器保存用户程序的上边界地址 ? 使用多对基址和边界寄存器，还可把用户的可读写数据区与只读数据区和程序区互相隔离 5.2.2 硬件的保护机制 多道程序的保护 系统区 程序R 内存区 程序S 内存区 程序T 内存区 基地址寄存器 边界址寄存器 基地址寄存器2 边界址寄存器2 13/103 ? (3) 标记保护法 ? 能对每个存储单元按其内容要求进行保护 ，例如有的单元只读，读/ / 写、或仅执行（代码单元）等不同要求，可以在每个内存字单元中专用几个比特来标记该字单元的属性。

? 其中E 表示执行，R 表示读，W 表示写，OR 表示只读 5.2.2 硬件的保护机制 加标记的内存 E代码 E代码 E代码 E代码 RW数据 OR数据 ………………..14/103 ? (4) 分段与分页技术 ? 稍微复杂一些的用户程序，通常按功能划分成若干个模块（过程），以模块为单位对程序进行分段，可以实现对程序的不同片段分别保护的目标 ? 但各段长度不同，个别段还有尺寸要求增大的要求，内存管理困难 ? 分页是 把目标程序与内存都划分成相同大小的片段 ，解决了碎片问题，但没有像段那样完整的意义 无法指定各页的访问控制要求 ? 将分页与分段技术结合起来使用 ? 由程序员按计算逻辑把程序划分为段，再由操作系统把段划分为页 ? 属于相同段的页还可用密码保护，只有拥有正确的密钥才能访问页 5.2.2 硬件的保护机制 15/103 ? 2. 运行保护 ? 基本要求是：在进程运行的区域内( ( 运行域) ) 实行不同的安全等级的保护机制 。图 (a) 所示的是一个两域( ( 两环) ) 的运行保护，图 (b) 是多域情况下的运行保护。 ? 两环系统的目的是隔离系统运行域与用户运行域 。

(a) 中大写字母表示系统运行域，小写表示用户的运行域W R X w r x c物理地址图( (a a) 两环情况下的运行保护R R 7 用户程序R R 6 用户程序R R 5 用户程序R R 4 用户程序R R 3 系统应用程序R R 2 操作系统R R 1 操作系统R R 0 内核图( (b b) 多环情况下的运行保护5.2.2 硬件的保护机制 16/103 ? 3.I/O 保护 ? I/O 操作不是从系统中读，就是向系统中写，所以 对I/O 保护的应该是对读写的访问控制 。 I/O 介质输出访问控制最简单的方式是 将设备看作一个客体 。 ? 4. 最小特权管理 ? 特权：可违反安全策略的操作能力 ? 管理的基本思想： 不应该给用户超过执行任务所需要的特权以外的特权 。 ? 如 将超级用户特权划分为一级粒度更细小的特权 。以减少各种特权用户的权力 ? 系统管理员SSO ，审计员AUD ，操作员OP ，安全操作员SOP ， 网络管理员 (NET) 5.2.2 硬件的保护机制 17/103 ? 5. 安全审计的实现 ? 在操作系统的安全内核内部和外部均设臵相关的 审计点 ，当用户请示系统服务时，必须经过系统调用，如果 能够找到系统调用的总入口( ( 审计点) ) 增加审计控制 ，就成功地完成了审计。

图5 5. . 3 操作系统中审计机制的实现审计相关系统调用审计点循环缓冲区 审计点审计点内核审计进程磁盘文件核内 核外5.2.2 硬件的保护机制 18/103 5.2.3 用户鉴别与口令 ? 用户认证( ( 鉴别) ) 的任务是确认当前正在试图登录进入系统的用户就是账户数据库中记录的那个用户。认证用户的方法一般有三种： ? （1 1 ）要求输入一些保密信息，如用户的姓名、通行字或加密密钥等 ? （2 2 ）利用用户生物特征，如指纹、声音、视网膜等识别技术对用户进行唯一的识别。 ? （3 3 ）稍微复杂一些鉴别方法，如询问 — 应答系统、采用物理识别设备（如访问卡、钥匙或令牌标记）等方法 19/103 ? 口令认证方法 ? 口令是一种 容易实现 的用户鉴别方法， 破解口令是黑客们攻击系统的常用手段。在实际环境中弱口令比较常见 ? 口令的种类 ? 鉴别和认证系统用户应该包含输入用户名和口令两个步骤。 ? 口令有三种类型 ? 静态口令 是具有或没有有效期限制 可以重用的一般口令 。无论是用户自行创建还是系统自动创建，传统（静态）口令都难以记忆。 ? 动态口令 可以由口令产生设备随时或者根据用户要求更改。

一次性（动态）口令只能使用一次。 ? 认知口令( 类似于密保问题) 使用基于事实或基于选项的认知数据做为用户认证的基础。认知口令依赖于个人的知识和经验。实现认知口令认证用户可能会花费更多的时间和金钱。只有用户知晓的认知问答的例子，如提示性问题等，认知口令容易记忆而且难以猜测 5.2.3 用户鉴别与口令 20/103 ? 是系统安全防护的核心技术 ? 常规系统都采用DAC+ 少量的MAC ? 访问控制表使用居多 ? 具体技术原理参考第二章的内容 5.2.4 访问控制 21/103 5.3 Win2000(XP) 系统的安全机制简介 ? Windows 2000(XP) 操作系统是 建立在一套完整的安全机制上的 ， 因而任何一个机构，在使用 Windows 2000(XP) 前都必须指定它们的安全策略。 ? 这些 策略详细说明该机构对登录机制、访问控制、信息保护及审核的要求 。用户必须熟知这些机制才能达到安全 22/103 ? 1 1 ． Windows 系统的安全组件 ， 包括以下内容 ? 自主访问控制 (Discretion Access Control) ? 允许对象所有者控制谁被允许访问该对象以及访问的方式 ? 客体重用 (Object Reuse) ? 当资源( ( 内存 、 磁盘等) ) 被某应用访问时 ， Windows 禁止所有的系统应用访问该资源? 强制登录 (Mandatory log on) ? 要求所有用户必须登陆 ， 通过认证后才可以访问资源 ? 审计 (auditing) ? 在控制用户访问资源的同时 ， 对这些访问做了相应的记录 ? 客体的访问控制 (Control of Access to Object) ? 不允许直接访问系统的某些资源 ， 必须是该资源允许被访问 ， 然后是用户或应用通过第一次认证后再访问 5.3 Win2000(XP) 系统的安全机制简介 23/103 Winlogon GINA LSA SSPI Authentication Packages Security Surpport Provider Security Account Management Netlogon 安全支持提供者的接口 提供登录接口 加载GINA ，监视认证顺序 本地安全权威，加载认证包 支持额外的验证机制 管理用户账号和口令，以及用户证书的数据库 为网络认证建立安全通道 提供真正的用户校验 5.3 Win2000(XP) 系统的安全机制简介 2 ．Windows 安全子系统 可用指纹、虹膜等代替 令牌 策略 账号 权限 信任关系 24/103 ? 1) Winlogon and GINA ? Winlogon 调用 GINA DLL ，并监视安全认证序列。

? GINA DLL 提供一个交互式界面为用户登陆提供认证请求 ? GINA DLL 被设计成一个独立的模块，可用指纹、虹膜等更强的认证方式替换之 ? Winlogon 在注册表中查找\ \ HKLM\ \ Software\ \ Microsoft\ \ Windows NT\ \ Current Version\ \ Winlogon ， ? 如果存在 GINA DLL 键， Winlogon 将使用这个 DLL ? 这可以使用户额外配臵的 GINA ，比如指纹读取 ? 如果不存在该键， Winlogon 将使用默认值 MSGINA.DLL 5.3 Win2000(XP) 系统的安全机制简介 25/103 ? 2) 本地安全权威 ? LSA 是一个被保护的子系统，负责以下任务：调用所有的认证包安全系统ppt，检查注册表下\ \ HKLM\ \ SYSTEM\ \ CurrentControlSet\ \ Control \ \ LSA 下 AuthenticationPackages 下的值，并调用该 DLL 进行认证 (MSV_1.DLL) 。在 4.0 版本中， Windows NT 会寻找\ \ HKLM\ \ SYSTEM\ \ CurrentControlSet\ \ Control\ \ LSA 下所有存在的 SecurityPackages 值并调用 5.3 Win2000(XP) 系统的安全机制简介 26/103 ? 本地安全权威的功能和作用 ? 重新找回本地组的 SIDs 和用户的权限。

? 创建用户的访问令牌 ? 管理本地安装的服务所使用的服务帐号 ? 存储和映射用户权限 ? 管理审核的策略和设臵 ? 管理信任关系 ? 3 3 ）安全支持提供者的接口 ? 微软的该接口很简单地遵循 RFC2743 和 RFC2744 的定义，提供一些安全服务的 API 为应用程序和服务提供请求安全的认证连接的方法 5.3 Win2000(XP) 系统的安全机制简介 27/103 ? 4) 认证包 ? 可以为真实用户提供认证。通过 GINADLL 上的可信认证后，认证包返回用户的 SIDs 给 LSA ，然后将其放在用户的访问令牌中。 ? 5) 安全支持提供者 ? 是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下， Windows NT 安装了以下三种。 ? Msnsspc.dll ：微软网络挑战－响应认证模块 ? Mspsscpc.dll ：分布式密码认证挑战－响应模块，也可在微软网络中使用 ? Schannel.dll ：该认证模块使用某些证书方式经常在使用 SSL 和 PCT(private communication technology) 协议通信的时候用到 5.3 Win2000(XP) 系统的安全机制简介 28/103 ? 6) 网络登...

（编辑：云计算网_宿迁站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!