操作系统安全与保护.ppt

第七章操作系统的安全与保护,电子信息学院2010年9月,第七章 操作系统的安全与保护,7.1 安全性概述7.2 安全策略7.3 安全模型7.4 安全机制7.5 安全操作系统设计和开发7.6 Linux安全机制7.7 Windows 2003安全机制,7.1 安全性概述,什么是计算机系统的安全性?影响计算机系统安全性的因素?安全性和可靠性 操作系统安全性的主要内容 1)安全策略：2)安全模型：3)安全机制：,操作系统面临的安全威胁,硬件软件数据网络和通信线路,7.2 安全策略,7.2.1 安全需求和安全策略7.2.2 访问支持策略7.2.3 访问控制策略,7.2.1 安全需求和安全策略,1 安全需求和策略 1)机密性 2)完整性 3)可记帐性 4)可用性,安全策略,什么是安全策略：用于授权使用其计算机及信息资源的规则，即有关管理、保护、分配和发布系统资源及敏感信息的规定和实施细则，一个系统可有一个或多个安全策略，其目的是使安全需求得到保障。安全策略分成两类：1)军事安全策略 2)商业安全策略,2 可信计算基(1),可信计算基(2),安全功能模块TSF安全功能策略TSP TSF实现,7.2.2 访问支持策略,访问支持策略的作用 1 标识与鉴别 1)用户标识 2)用户鉴别 2 可记帐性 3 确切保证和连续保护 4 客体重用 5 隐蔽信道分析 6 可信路径和可信恢复,用作身份标识和鉴别的三类信息,用户知道的信息用户拥有的东西用户的生物特征,7.2.3 访问控制策略,1访问控制属性(1)与访问控制策略相关的因素有：主体、客体和主客体属性 1)主体：普通用户 信息属主 系统管理员,访问控制属性(2),2)客体：(1)一般客体，(2)设备客体，(3)特殊客体。,访问控制属性(3),3)主客体属性：属性又称敏感标记 主体属性：(1)用户ID/用户组ID(2)用户访问许可级别(3)用户需知属性(4)角色(5)权能列表,访问控制属性(4),客体属性:(1)敏感性标记(2)访问控制列表 外部状态 数据内容和上下文环境,4)用户与主体绑定,应用进程是固定为某特定用户服务的，它在运行中代表该用户对客体资源进行访问，其权限应与所代表的用户相同，这一点可通过用户与主体绑定实现。系统进程是动态地为所有用户提供服务的，当应用进程进行系统调用时，它开始执行内核函数，这时系统进程代表该用户在执行，运行在核心态，拥有操作系统权限。,2自主访问控制策略,自主访问控制策略自主访问控制工具 自主访问控制策略的缺点,3强制访问控制策略,在强制访问控制机制下，系统内的每个主体被赋予许可标记或访问标记，以表示他对敏感性客体的访问许可级别；系统内的每个客体被赋予敏感性标记，以反映该客体的安全级别。安全系统通过比较主、客体的相应标记来决定是否授予一个主体对客体的访问权限。,7.3 安全模型,7.3.1 安全模型概述7.3.2 几种安全模型简介,7.3.1 安全模型概述,什么是安全模型?安全模型分类?形式化开发途径。非形式化开发途径。,状态机模型开发步骤,定义与安全有关的状态变量。定义安全状态需满足的条件。定义状态转移函数。证明转移函数能够维持安全状态。定义初始状态。依据安全状态的定义，证明初始状态是安全的。,7.3.2 几种安全模型简介,1 基于访问控制矩阵的安全模型 1)Lampson访问控制矩阵模型 2)Graham-Denning模型 3)Harrison-Ruzzo-Ullman模型 2 基于格的安全模型 1)Bell-LaPadula模型 2)D.Denning信息流模型,BLP多级安全模型,什么是BLP模型?BLP模型的安全策略?1)自主安全策略 2)强制安全策略,BLP模型两条基本规则,(1)简单安全规则：主体对客体进行读访问的必要条件是主体的安全级支配客体的安全级，即主体的安全级别不小于客体的保密级别，主体的范畴集包含客体的全部范畴，或者说主体只能向下读，不能向上读。如将军可阅读中校的文件，但反之不允许。(2)*特性规则：主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级，即客体的保密级别不小于主体的保密级别，客体的范畴集包含主体的全部范畴，或者说主体只能向上写，不能向下写。如中校可发消息给将军的信箱告知情况，但反之不允许。,Bell-LaPadula多级安全模型,7.4 安全机制,7.4.1 硬件安全机制7.4.2 认证机制7.4.3 授权机制7.4.4 加密机制7.4.5 审计机制,7.4.1 硬件安全机制,1 主存保护 1)不支持虚拟主存的系统(1)下界和上界寄存器法(2)基址和限长寄存器法(3)主存块的锁与进程的钥匙配对法,钥匙和主存锁,2)支持虚拟存储器的系统,虚存隔离技术分页虚拟存储管理 分段虚拟存储管理段页式虚拟存储管理,Windows分页虚存管理,1)区分内核模式页面和用户模式页面：内核模式页面仅在核心态执行时才可访问，且仅用于系统的数据结构，用户只能通过适当的内核函数方可对其访问；2)区分页面类型：Win32 API区分页面访问模式-不可访问、只读、读写、只能执行、执行和读、执行和读写。任何其他模式对页面的访问都会造成违法；3)进程地址空间页面状态：有三种-空闲、保留和提交，被记录在对应页表项中。一个空闲页面是指尚未分配给进程的无效页面，任何访问试图都会产生无效页号错误；访问保留或提交页面可能会造成不同类型的缺页中断处理。,3)沙盒技术,什么是沙盒技术?Java可定制的沙盒安全模型。,2 运行保护,VAX/VMS操作系统利用处理器的四种模式,内核(kernel)态：执行操作系统内核，包括主存管理、中断处理、I/O操作等执行(executive)态：执行操作系统系统调用，如文件操作等。监管(supervisor)态：执行操作系统其余系统调用，如应答用户请求。用户(user)态：执行应用程序，如编译、编辑、链接等实用程序和各种应用程序。,3 I/O保护,文件映射I/O和I/O指令。I/O保护原理,