第3章-操作系统安全技巧.ppt

第3章 安全机制 3.1 硬件安全机制 3.2 标识与鉴别 3.3 存取控制 3.4 最小特权管理 3.5 可信通路 3.6 安全审计 3.7 UNIX/Linux的安全机制 3.8 本章小结 3.9 习题 操作系统是连接硬件与其他应用软件之间的桥梁，它提供的安全服务有内存保护、文件保护、普通实体保护（对实体的一般存取控制）、访问鉴别（用户身份鉴别）等。 一个操作系统的安全性可以从如下几方面加以考虑。 (1) 物理上分离。要求进程使用不同的物理实体。例如将不同的打印机设置成具有不同的安全级别。 (2) 时间上分离。具有不同安全要求的进程在不同的时间运行。 (3) 逻辑上分离。操作系统通过限制程序的存取，使得程序不能存取其允许范围外的实体，从而使用户感觉自己的操作是在没有其他进程的情况下独立进行。 (4) 密码上分离。进程以一种其他进程不可知的方式隐藏数据及计算。 当然两种或多种分离形式的结合也是可能的。所列出的分离策略基本上是按其实现复杂度递增及所提供的安全性递减的次序列出的。然而前两种方法是非常直接且将导致资源利用率严重下降的方法。因此为了提高操作系统的性能，要求必须移去操作系统保护的这些沉重包袱，并且允许具有不同安全需求的进程并发执行。 操作系统安全的主要目标是: ● 依据系统安全策略对用户的操作进行存取控制，防止用户对计算机资源的非法存取（窃取、篡改和破坏）； ● 标识系统中的用户并进行身份鉴别； ● 监督系统运行的安全性； ● 保证系统自身的安全性和完整性。 为了实现这些目标，需要建立相应的安全机制，包括硬件安全机制、标识与鉴别、存取控制、最小特权管理、可信通路、安全审计等。 3.1 硬件安全机制 绝大多数实现操作系统安全的硬件机制也是传统操作系统所要求的。优秀的硬件保护性能是高效、可靠的操作系统的基础。计算机硬件安全的目标是保证其自身的可靠性并为系统提供基本安全机制。其中基本安全机制包括存储保护、运行保护、I/O保护等。 3.1.1 存储保护 对于一个安全操作系统，存储保护是一个最基本的要求，这主要是指保护用户在存储器中的数据。保护单元为存储器中的最小数据范围，可为字、字块、页面或段。保护单元越小，则存储保护精度越高。对于代表单个用户，在内存中一次运行一个进程的系统，存储保护机制应该防止用户程序对操作系统的影响。在允许多道程序并发运行的多任务操作系统中，还进一步要求存储保护机制对进程的存储区域实行互相隔离。 存储保护与存储器管理是紧密相关的，存储保护负责保证系统各个任务之间互不干扰；存储器管理则是为了更有效地利用存储空间。 1. 存储器管理的基本概念 1) 虚地址空间 一个进程的运行需要一个“私有的”存储空间，进程的程序与数据都存于该空间中，这个空间不包括该进程通过I/O指令访问的辅存空间（磁带、磁盘等）。在这个进程地址空间中，每一个字都有一个固定的虚地址（并不是目标的物理地址，但每一个虚地址均可映射成一个物理地址），进程通过这个虚地址访问这个字。大多数系统都支持某种类型的虚存方式，这种虚存方式使得一个字的物理定位是可变的，在每次调度该进程时，它的物理地址可能不同。 2) 段 在绝大部分系统中，一个进程的虚地址空间至少要被分成两部分或称两个段: 一个用于用户程序与数据，称为用户空间；另一个用于操作系统，称为系统空间。两者的隔离是静态的，也是比较简单的。驻留在内存中的操作系统可以由所有进程共享。虽然有些系统允许各进程共享一些物理页，但用户间是彼此隔离的。最灵活的分段虚存方式是: 允许一个进程拥有许多段，这些段中的任何一个都可以由其他进程共享。 2. 内存管理的访问控制 当系统的地址空间分为两个段时（系统段与用户段），应禁止在用户模式下运行的非特权进程向系统段进行写操作，而在系统模式下运行时，则允许进程对所有的虚存空间进行读写操作。用户模式到系统模式的转换应由一个特殊的指令完成，该指令将限制进程只能对部分系统空间进程进行访问。这些访问限制一般是由硬件根据该进程的特权模式实施的，但从系统灵活性的角度看，还是希望由系统软件精确地说明对该进程而言: 系统空间的哪一页是可读的，哪一页是可写的。 在计算机系统提供透明的内存管理之前，访问判决是基于物理页号的识别。每个物理页号都被加上一个称为密钥的秘密信息；系统只允许拥有该密钥的进程访问该物理页，同时利用一些访问控制信息指明该页是可读的还是可写的。每个进程相应地分配一个密钥，该密钥由操作系统装入进程的状态字中。每次执行进程访问内存的操作时，由硬件对该密钥进行检验，只有当进程的密钥与内存物理页的密钥相匹配，并且相应的访问控制信息与该物理页的读写模式相匹配时，才允许该进程访问该页内存，否则禁止访问。 这种对物理页附加密钥的方法是比较烦琐的。 采用基于描述符的地址解释