第2章-操作系统安全.
《第2章-操作系统安全.》由会员分享,可在线阅读,更多相关《第2章-操作系统安全.(131页珍藏版)》请在文档大全上搜索。
1、第第3章章 安全机制安全机制3.1 硬件安全机制硬件安全机制3.2 标识与鉴别标识与鉴别3.3 存取控制存取控制3.4 最小特权管理最小特权管理3.5 可信通路可信通路3.6 安全审计安全审计3.7 UNIX/Linux的安全机制的安全机制3.8 本章小结本章小结3.9 习题习题操作系统是连接硬件与其他应用软件之间的桥梁,操作系统是连接硬件与其他应用软件之间的桥梁,它提供的安全服务有内存保护、文件保护、普通实它提供的安全服务有内存保护、文件保护、普通实体保护(对实体的一般存取控制)、访问鉴别(用体保护(对实体的一般存取控制)、访问鉴别(用户身份鉴别)等。户身份鉴别)等。一个操作系统的安全性可以
2、从如下几方面加以考虑。一个操作系统的安全性可以从如下几方面加以考虑。(1) 物理上分离。要求进程使用不同的物理实体。物理上分离。要求进程使用不同的物理实体。例如将不同的打印机设置成具有不同的安全级别。例如将不同的打印机设置成具有不同的安全级别。(2) 时间上分离。具有不同安全要求的进程在不同时间上分离。具有不同安全要求的进程在不同的时间运行。的时间运行。(3) 逻辑上分离。操作系统通过限制程序的存取,逻辑上分离。操作系统通过限制程序的存取,使得程序不能存取其允许范围外的实体,从而使用使得程序不能存取其允许范围外的实体,从而使用户感觉自己的操作是在没有其他进程的情况下独立户感觉自己的操作是在没有
3、其他进程的情况下独立进行。进行。(4) 密码上分离。进程以一种其他进程不可知的方密码上分离。进程以一种其他进程不可知的方式隐藏数据及计算。式隐藏数据及计算。当然两种或多种分离形式的结合也是可能的。所列当然两种或多种分离形式的结合也是可能的。所列出的分离策略基本上是按其实现复杂度递增及所提出的分离策略基本上是按其实现复杂度递增及所提供的安全性递减的次序列出的。供的安全性递减的次序列出的。然而前两种方法是然而前两种方法是非常直接且将导致资源利用率严重下降的方法非常直接且将导致资源利用率严重下降的方法。因。因此为了提高操作系统的性能,要求必须移去操作系此为了提高操作系统的性能,要求必须移去操作系统保
4、护的这些沉重包袱,并且允许具有不同安全需统保护的这些沉重包袱,并且允许具有不同安全需求的进程并发执行。求的进程并发执行。操作系统安全的主要目标是操作系统安全的主要目标是: 依据系统安全策略对用户的操作进行存取控制,依据系统安全策略对用户的操作进行存取控制,防止用户对计算机资源的非法存取(窃取、篡改和防止用户对计算机资源的非法存取(窃取、篡改和破坏);破坏); 标识系统中的用户并进行身份鉴别;标识系统中的用户并进行身份鉴别; 监督系统运行的安全性;监督系统运行的安全性; 保证系统自身的安全性和完整性。保证系统自身的安全性和完整性。为了实现这些目标,需要建立相应的安全机制,为了实现这些目标,需要建
5、立相应的安全机制,包包括硬件安全机制、标识与鉴别、存取控制、最小特括硬件安全机制、标识与鉴别、存取控制、最小特权管理、可信通路、安全审计权管理、可信通路、安全审计等。等。绝大多数实现操作系统安全的硬件机制也是传统操绝大多数实现操作系统安全的硬件机制也是传统操作系统所要求的。优秀的硬件保护性能是高效、可作系统所要求的。优秀的硬件保护性能是高效、可靠的操作系统的基础。计算机硬件安全的目标是保靠的操作系统的基础。计算机硬件安全的目标是保证其自身的可靠性并为系统提供基本安全机制。其证其自身的可靠性并为系统提供基本安全机制。其中基本中基本安全机制包括存储保护、运行保护、安全机制包括存储保护、运行保护、I
6、/O保保护护等。等。3.1 硬件安全机制硬件安全机制对于一个安全操作系统,存储保护是一个最基本的对于一个安全操作系统,存储保护是一个最基本的要求,这主要是指保护用户在存储器中的数据。保要求,这主要是指保护用户在存储器中的数据。保护单元为存储器中的最小数据范围,可为字、字块、护单元为存储器中的最小数据范围,可为字、字块、页面或段。保护单元越小,则存储保护精度越高。页面或段。保护单元越小,则存储保护精度越高。对于代表单个用户,在内存中一次运行一个进程的对于代表单个用户,在内存中一次运行一个进程的系统,系统,存储保护机制应该防止用户程序对操作系统存储保护机制应该防止用户程序对操作系统的影响的影响。在
7、允许多道程序并发运行的多任务操作系。在允许多道程序并发运行的多任务操作系统中,统中,还进一步要求存储保护机制对进程的存储区还进一步要求存储保护机制对进程的存储区域实行互相隔离域实行互相隔离。存储保护与存储器管理存储保护与存储器管理是紧密相关的,存储保护负是紧密相关的,存储保护负责保证系统各个任务之间互不干扰;存储器管理则责保证系统各个任务之间互不干扰;存储器管理则是为了更有效地利用存储空间。是为了更有效地利用存储空间。3.1.1 存储保护存储保护1. 存储器管理的基本概念存储器管理的基本概念1) 虚地址空间虚地址空间一个进程的运行需要一个一个进程的运行需要一个“私有的私有的”存储空间,进存储空
8、间,进程的程序与数据都存于该空间中,这个空间不包括程的程序与数据都存于该空间中,这个空间不包括该进程通过该进程通过I/O指令访问的辅存空间(磁带、磁盘指令访问的辅存空间(磁带、磁盘等)。在这个进程地址空间中,每一个字都有一个等)。在这个进程地址空间中,每一个字都有一个固定的虚地址(并不是目标的物理地址,但每一个固定的虚地址(并不是目标的物理地址,但每一个虚地址均可映射成一个物理地址),进程通过这个虚地址均可映射成一个物理地址),进程通过这个虚地址访问这个字。大多数系统都支持某种类型的虚地址访问这个字。大多数系统都支持某种类型的虚存方式,这种虚存方式使得一个字的物理定位是虚存方式,这种虚存方式使
9、得一个字的物理定位是可变的,在每次调度该进程时,它的物理地址可能可变的,在每次调度该进程时,它的物理地址可能不同。不同。2) 段段在绝大部分系统中,一个进程的虚地址空间至少要在绝大部分系统中,一个进程的虚地址空间至少要被分成两部分或称两个段被分成两部分或称两个段: 一个用于用户程序与数一个用于用户程序与数据,称为用户空间;另一个用于操作系统,称为系据,称为用户空间;另一个用于操作系统,称为系统空间统空间。两者的隔离是静态的,也是比较简单的。两者的隔离是静态的,也是比较简单的。驻留在内存中的操作系统可以由所有进程共享驻留在内存中的操作系统可以由所有进程共享。虽。虽然有些系统允许各进程共享一些物理
10、页,但用户间然有些系统允许各进程共享一些物理页,但用户间是彼此隔离的。最灵活的分段虚存方式是是彼此隔离的。最灵活的分段虚存方式是: 允许一允许一个进程拥有许多段,这些段中的任何一个都可以由个进程拥有许多段,这些段中的任何一个都可以由其他进程共享。其他进程共享。2. 内存管理的访问控制内存管理的访问控制当系统的地址空间分为两个段时(系统段与用户当系统的地址空间分为两个段时(系统段与用户段),应禁止在用户模式下运行的非特权进程向系段),应禁止在用户模式下运行的非特权进程向系统段进行写操作,而在系统模式下运行时,则允许统段进行写操作,而在系统模式下运行时,则允许进程对所有的虚存空间进行读写操作。进程
11、对所有的虚存空间进行读写操作。用户模式到用户模式到系统模式的转换应由一个特殊的指令完成,该指令系统模式的转换应由一个特殊的指令完成,该指令将限制进程只能对部分系统空间进程进行访问将限制进程只能对部分系统空间进程进行访问。这。这些访问限制一般是由硬件根据该进程的特权模式实些访问限制一般是由硬件根据该进程的特权模式实施的,但从系统灵活性的角度看,还是希望由系统施的,但从系统灵活性的角度看,还是希望由系统软件精确地说明对该进程而言软件精确地说明对该进程而言: 系统空间的哪一页系统空间的哪一页是可读的,哪一页是可写的。是可读的,哪一页是可写的。在计算机系统提供透明的内存管理之前,在计算机系统提供透明的
