第七章操作系统的安全与保护 电子信息学院 2010 年 9 月

第七章 操作系统的安全与保护 7.1 安全性概述 7.2 安全策略 7.3 安全模型 7.4 安全机制 7.5 安全操作系统设计和开发 7.6 Linux 安全机制 7.7 Windows 2003 安全机制

7.1 安全性概述  什么是计算机系统的安全性 ?  影响计算机系统安全性的因素 ?  安全性和可靠性  操作系统安全性的主要内容 1) 安全策略： 2) 安全模型： 3) 安全机制：

操作系统面临的安全威胁  硬件  软件  数据  网络和通信线路

7.2 安全策略 安全需求和安全策略 访问支持策略 访问控制策略

7.2.1 安全需求和安全策略 1 安全需求和策略 1) 机密性 2) 完整性 3) 可记帐性 4) 可用性

安全策略 什么是安全策略： 用于授权使用其计算机及信息资源的规 则，即有关管理、保护、分配和发布系 统资源及敏感信息的规定和实施细则， 一个系统可有一个或多个安全策略，其 目的是使安全需求得到保障。 安全策略分成两类： 1) 军事安全策略 2) 商业安全策略

2 可信计算基 (1) 引用监视程序工作原理 操作系统内核 操作系统内核 应用 进程 资源 引用控制 数据库 可信计算基 TCB 引用监视程序 用户空间 内核空间 所有系统调用 必须经过安全 检查

可信计算基 (2)  安全功能模块 TSF  安全功能策略 TSP  TSF 实现

7.2.2 访问支持策略  访问支持策略的作用 1 标识与鉴别 1) 用户标识 2) 用户鉴别 2 可记帐性 3 确切保证和连续保护 4 客体重用 5 隐蔽信道分析 6 可信路径和可信恢复

用作身份标识和鉴别的三类信息  用户知道的信息  用户拥有的东西  用户的生物特征

7.2.3 访问控制策略 1 访问控制属性 (1)  与访问控制策略相关的因素有： 主体、客体和主客体属性 1) 主体： 普通用户 信息属主 系统管理员

访问控制属性 (2) 2) 客体： (1) 一般客体， (2) 设备客体， (3) 特殊客体。

访问控制属性 (3) 3) 主客体属性：属性又称敏感标记  主体属性： (1) 用户 ID/ 用户组 ID (2) 用户访问许可级别 (3) 用户需知属性 (4) 角色 (5) 权能列表

访问控制属性 (4)  客体属性 : (1) 敏感性标记 (2) 访问控制列表  外部状态  数据内容和上下文环境

4) 用户与主体绑定  应用进程是固定为某特定用户服务的， 它在运行中代表该用户对客体资源进行 访问，其权限应与所代表的用户相同， 这一点可通过用户与主体绑定实现。  系统进程是动态地为所有用户提供服务 的，当应用进程进行系统调用时，它开 始执行内核函数，这时系统进程代表该 用户在执行，运行在核心态，拥有操作 系统权限。

2 自主访问控制策略  自主访问控制策略  自主访问控制工具  自主访问控制策略的缺点

3 强制访问控制策略  在强制访问控制机制下，系统内的 每个主体被赋予许可标记或访问标 记，以表示他对敏感性客体的访问 许可级别；  系统内的每个客体被赋予敏感性标 记，以反映该客体的安全级别。  安全系统通过比较主、客体的相应 标记来决定是否授予一个主体对客 体的访问权限。

7.3 安全模型 安全模型概述 几种安全模型简介

7.3.1 安全模型概述  什么是安全模型 ?  安全模型分类 ?  形式化开发途径 。  非形式化开发途径 。

状态机模型开发步骤  定义与安全有关的状态变量。  定义安全状态需满足的条件。  定义状态转移函数。  证明转移函数能够维持安全状态。  定义初始状态。  依据安全状态的定义，证明初始状 态是安全的。

7.3.2 几种安全模型简介 1 基于访问控制矩阵的安全模型 1)Lampson 访问控制矩阵模型 2)Graham-Denning 模型 3)Harrison-Ruzzo-Ullman 模型 2 基于格的安全模型 1)Bell-LaPadula 模型 2)D.Denning 信息流模型

BLP 多级安全模型  什么是 BLP 模型 ?  BLP 模型的安全策略 ? 1) 自主安全策略 2) 强制安全策略

BLP 模型两条基本规则 (1) 简单安全规则：主体对客体进行读访问的必要 条件是主体的安全级支配客体的安全级，即主体 的安全级别不小于客体的保密级别，主体的范畴 集包含客体的全部范畴，或者说主体只能向下读， 不能向上读。如将军可阅读中校的文件，但反之 不允许。 (2)* 特性规则：主体对客体进行写访问的必要条 件是客体的安全级支配主体的安全级，即客体的 保密级别不小于主体的保密级别，客体的范畴集 包含主体的全部范畴，或者说主体只能向上写， 不能向下写。如中校可发消息给将军的信箱告知 情况，但反之不允许。

Bell-LaPadula 多级安全模型 5 E 6 3 C 4 D B 2 1 A 安全 等级 写 读 主体客体

7.4 安全机制 硬件安全机制 认证机制 授权机制 加密机制 审计机制

7.4.1 硬件安全机制 1 主存保护 1) 不支持虚拟主存的系统 (1) 下界和上界寄存器法 (2) 基址和限长寄存器法 (3) 主存块的锁与进程的钥匙配 对法

钥匙和主存锁 主存锁 0110 块 1101 块 0101 块 0110 块 PSW 的其余部分 钥匙 进程

2) 支持虚拟存储器的系统  虚存隔离技术  分页虚拟存储管理  分段虚拟存储管理  段页式虚拟存储管理

Windows 分页虚存管理 1) 区分内核模式页面和用户模式页面：内核模 式页面仅在核心态执行时才可访问，且仅用于 系统的数据结构，用户只能通过适当的内核函 数方可对其访问； 2) 区分页面类型： Win32 API 区分页面访问模式 - 不可访问、只读、读写、只能执行、执行和读、 执行和读写。任何其他模式对页面的访问都会 造成违法； 3) 进程地址空间页面状态：有三种 - 空闲、保留 和提交，被记录在对应页表项中。一个空闲页 面是指尚未分配给进程的无效页面，任何访问 试图都会产生无效页号错误；访问保留或提交 页面可能会造成不同类型的缺页中断处理。

3) 沙盒技术  什么是沙盒技术 ?  Java 可定制的沙盒安全模型。

2 运行保护 用户 空间 用户 空间 系统 空间 系统 空间 应用进程 系统进程 处理器模式扩展操作系统的访问权限 运行在 内户态 运行在 核心态 不可执 行 特权指 令 不可执 行 特权指 令 可执行 特权指 令 可执行 特权指 令

VAX/VMS 操作系统利用处理器的 四种模式  内核 (kernel) 态：执行操作系统内核，包括主 存管理、中断处理、 I/O 操作等   执行 (executive) 态：执行操作系统系统调用， 如文件操作等。   监管 (supervisor) 态：执行操作系统其余系统 调用，如应答用户请求。   用户 (user) 态：执行应用程序，如编译、编辑、 链接等实用程序和各种应用程序。

3 I/O 保护  文件映射 I/O 和 I/O 指令。  I/O 保护原理