第5章行程概念與應用.ppt

第13章 安全與保密機制 13.1 概述 13.2 存取控制的矩陣模型 13.3 資訊流的格陣模型 13.4 信息加密 13.5 執行域 13.6 安全核心 13.7 稽核 13.8 作業系統的安全等級 第13章 安全與保密機制 電腦系統的安全與保密是當今電腦應用中最重要的問題之一。作業系統應當提供什麼樣的安全與保密機制以及如何實現它們。這種機制是電腦網路、資料庫系統的安全與保密的基礎。 13.1 概 述 所謂“系統安全”包括三個方面，即安全性、完整性與保密性。 (1) 安全性(security) 1.系統邊界與安全防線。建立一個安全的系統，十分重要的問題是要對系統的邊界有一個清晰的理解，並要保證系統在受到威脅時能夠保護自己。 2.識別與確證。必須有識別使用者的手段，才能防止非法使用者或冒名使用者進入電腦系統，例如使用者密碼技術。 3.可信系統。大多數情況下，作業系統本身是可信，而使用者程式與應用程式是不可信的。 4.存取控制。安全機制最基本的任務。 5.稽核追蹤(auditing trail)。在一個電腦系統中，稽核追蹤對使用何種系統資源、使用時間、如何使用以及由哪個使用等問題提供了完備的記錄，以備非法事件發生後能夠有效地追查。 (2) 完整性(integrity)技術是保護電腦系統內軟體與資料不被非法刪改的一種技術手段，它分為軟體完整性與資料完整性。 (3) 保密性(privacy)是電腦系統安全中最容易被人理解的一個方面，它主要利用密碼學理論對消息進行加密處理，達到保密要求。 13.2 存取控制的矩陣模型 存取控制機制可用一個三元組(S，O，A)來表示。稱(S，O，A)為系統的保護狀態，狀態的變化相應地就是三元組的變化，變化可由一套指令來完成。這些指令由一系列改變矩陣A的基本操作來說明(如圖13-1)。 存取控制是一個消極的過程，它只能由作業系統來叫用才對使用者的存取操作作出相應的回應：可以或者不可以。存取控制分為自主的和強制的兩種，下面分別介紹。 13.2.1 自主存取控制 自主存取控制基於對主體或主體所屬的主體群組的識別來限制對客體的存取。自主是指主體能夠自主地(也可能是間接的)將存取權或存取權的某個子集授予其他主體。 基於行的自主存取控制方法是在每個主體上都附加一個該主體可存取的客體的明細表。根據表中資訊的不同又可分為3種形式。 （1）Ｋ權限表(capabilities list) （2）Ｌ首碼表(prefix list) （3）Ｍ密碼(password) 13.2.2 強制存取控制 前面介紹的自主存取控制技術有一個最主要的缺點，就是不能有效地抵抗電腦病毒的攻擊。在自主存取控制技術中，某一合法使用者可任意執行一段程式來修改該使用者擁有的檔存取控制資訊，而作業系統無法區別這種修改是使用者自己的合法操作還是電腦病毒的非法操作。 下面介紹兩種強制措施： (1)限制存取控制的靈活性。可以構造一個系統，它的存取控制機制不提供非特權子常式介面。在這個系統中，使用者修改存取控制資訊的唯一途徑是請求一個特權系統的功能呼叫。該功能依據使用者終端輸入的資訊而不是靠另一個程式提供的資訊來修改存取控制資訊。 (2)限制程式設計。只要系統允許使用者自己設計程式，就沒有什麼方法能夠防止使用者編寫電腦病毒並引誘其他使用者使用它。 不過在這裏請特別注意，對於一個電腦網路來講，某個沒有程式設計能力的系統可能會收到另一個具有程式設計能力的系統發出的含有電腦病毒的程式。 13.3 資訊流的格陣模型 存取控制負責對實體本身的安全管理，但並不監控實體間資訊的流動。許多與資訊洩露有關的問題不是因為存取控制本身不完善，而是缺乏對資訊流動的保護。為解決這個問題，相應地就出現了資訊流控制(information flow control)以監管資訊可以流通的有效路徑。資訊流控制是對存取控制的重要補充，在一個完備的保護系統中，兩者缺一不可。 13.3.1 格陣模型 採用D.E.Denning格陣模型來描述資訊流控制，這種格陣模型是Bell LaPadula模型的擴展。格陣模型用來描述資訊流的通道與流動策略，並不反映資訊從一個實體流向另一個實體的含義是什麼。從本質上說，資訊流系統是由格陣結構流動策略、狀態和狀態變數構成的。 (1)資訊流動策略。資訊流動策略定義為一個格陣(SC，≒)，其中SC是安全類(security classes)的一個有限集，而“≒”則表示SC中，類間的二元偏序關係。安全類對應於不相交的資訊類別，它可以包含(但不局限於)諸如“安全等級”與“安全類別”之類的概念。 (2)資訊狀態。一個系統中的資訊狀態(i