【文章內(nèi)容簡(jiǎn)介】 進(jìn)程的整個(gè)虛擬內(nèi)存。若函數(shù)是不可信的，如 Inter上下載的程序 (很可能帶有特洛伊木馬 )，這種不受限制的訪問是不允許的，會(huì)給系統(tǒng)造成嚴(yán)重威脅。為了限制不可信程序造成潛在損害的范圍，系統(tǒng)可限制特權(quán)為調(diào)用進(jìn)程所具有的授權(quán)的一小部分特權(quán)，通常稱這種縮小訪問后的環(huán)境為 “ 沙盒 ” 。 2運(yùn)行保護(hù) ? 安全操作系統(tǒng)很重要的一點(diǎn)是進(jìn)行分層設(shè)計(jì)，而運(yùn)行域正是一種基于保護(hù)環(huán)的層次等級(jí)式結(jié)構(gòu)。運(yùn)行域是進(jìn)程運(yùn)行的區(qū)域，最內(nèi)層具有最小環(huán)號(hào)的環(huán)擁有最高特權(quán)，最外層具有最大環(huán)號(hào)的環(huán)擁有最小特權(quán)，一般的系統(tǒng)不少于 3至 4個(gè)環(huán)。 處理器模式擴(kuò)展了操作系統(tǒng)的訪問權(quán)限 ? 用戶 空間 系統(tǒng) 空間 用戶進(jìn)程 系統(tǒng)進(jìn)程 運(yùn)行在內(nèi)戶態(tài) 運(yùn)行在核心態(tài) 不可執(zhí)行特權(quán)指令 可執(zhí)行 特權(quán)指令 VAX/VMS操作系統(tǒng)的四種模式構(gòu)成保護(hù)環(huán) ? 處理器模式?jīng)Q定了：指令執(zhí)行特權(quán) 、 即處理器當(dāng)前可執(zhí)行的指令系統(tǒng)子集；隨當(dāng)前模式而增減的存儲(chǔ)訪問特權(quán) 、 即當(dāng)前指令可以存取的虛擬內(nèi)存的位臵 。 ? 內(nèi)核 (kernel)態(tài) 。 執(zhí)行 VMS操作系統(tǒng)的內(nèi)核 ，包括內(nèi)存管理 、 中斷處理 、 I/O操作等 。 ? 執(zhí)行 (executive)態(tài) 。 執(zhí)行操作系統(tǒng)的各種系統(tǒng)調(diào)用 ， 如文件操作等 。 ? 監(jiān)管 (supervisor)態(tài) 。 執(zhí)行操作系統(tǒng)其余系統(tǒng)調(diào)用 ， 如應(yīng)答用戶請(qǐng)求 。 ? 用戶 (user)態(tài) 。 執(zhí)行用戶程序 ， 如編譯 、 編輯 、鏈接 、 排錯(cuò)等實(shí)用程序和各種應(yīng)用程序 。 3 I/O保護(hù) ? CPU與計(jì)算機(jī)系統(tǒng)相連接的各種外圍設(shè)備通信時(shí) ， 必須讀寫設(shè)備控制器提供的各種寄存器 ， 對(duì)這類寄存器的訪問可采用兩種途徑：內(nèi)存映射接口和 I/O指令(集 )。 認(rèn)證機(jī)制 ? 1用戶身份的標(biāo)識(shí)與鑒別 ? 認(rèn)證機(jī)制主要包括標(biāo)識(shí)與鑒別， ? 標(biāo)識(shí)就是操作系統(tǒng)識(shí)別用戶的身份，并把它轉(zhuǎn)換為系統(tǒng)內(nèi)部識(shí)別碼 —用戶標(biāo)識(shí)符，它是惟一的且不能被偽造，以防止一個(gè)用戶冒充另一個(gè)用戶。 ? 將用戶標(biāo)識(shí)符與用戶聯(lián)系的過程稱鑒別，該過程主要用于識(shí)別用戶的真實(shí)身份，該操作需要用戶具有能夠證明其身份的特殊信息，且這些信息是秘密的和獨(dú)一無二的，任何其他用戶都不會(huì)擁有。 多級(jí)安全操作系統(tǒng)認(rèn)證過程 ? 不但要完成一般的用戶管理和登錄 ， 如檢查登錄的用戶名和口令 、 賦予用戶的惟一標(biāo)識(shí)用戶 ID和組 ID， 還要核對(duì)用戶申請(qǐng)的安全級(jí) 、 計(jì)算特權(quán)集 、 審計(jì)屏蔽碼 。 檢查用戶安全級(jí)就是檢驗(yàn)其本次申請(qǐng)的安全級(jí)是否在系統(tǒng)安全文件檔案中定義的該用戶安全級(jí)范圍之內(nèi) 。 2 UNIX/Linux系統(tǒng)標(biāo)識(shí)和鑒別 ? 系統(tǒng)的 /etc/passwd文件含有全部系統(tǒng)掌握的關(guān)于每個(gè)用戶的登錄信息，加密后的口令存于 /etc/shadow文件中，口令文件包含：用戶登錄名、加密過的口令、口令時(shí)限、用戶號(hào) uid、用戶組號(hào) gid、用戶注釋、用戶主目錄和用戶使用的 shell程序。 3 Kerberos網(wǎng)絡(luò)身份認(rèn)證 ? 2b 2a 3b 3a 1b 1a 客戶機(jī) A 認(rèn)證服務(wù)器 (AS) 應(yīng)用服務(wù)器 B 圖 75 Kerberos 體系結(jié)構(gòu) 票證頒發(fā)服務(wù)器 (TGS) 密鑰分發(fā)中心 (KDC) 口令 KAT+tg_ticket AUTTGS+tg_ticket KAB+sg_ticket AUTB+sg_ticket KAB+結(jié)果 授權(quán)機(jī)制 ? 1權(quán)授機(jī)制的功能 ? 經(jīng)典的計(jì)算機(jī)系統(tǒng)兩種機(jī)制的關(guān)鍵點(diǎn)，當(dāng)一個(gè)用戶試圖訪問計(jì)算機(jī)系統(tǒng)時(shí)，認(rèn)證機(jī)制首先標(biāo)識(shí)與鑒別用戶身份用戶進(jìn)入系統(tǒng)后，再由授權(quán)機(jī)制檢查其是否擁有使用本機(jī)資源的權(quán)限及有多大的訪問權(quán)限。 ? 授權(quán)機(jī)制的功能是授權(quán)和存取控制 ， 其任務(wù)是： ? 授權(quán) ， 確定給予哪些主體存取哪些客體的權(quán)力 。 ? 確定存取權(quán)限 ， 通常有：讀 、 寫 、 執(zhí)行 、 刪除 、追加等存取方式 。 ? 實(shí)施存取權(quán)限 。 認(rèn)證和授權(quán) ? 用戶 1 認(rèn)證機(jī)制 授權(quán)機(jī)制 主體 1 主體 1可訪問的資源 計(jì)算機(jī)系統(tǒng) 主體 2 用戶 2 主體 主體 2可訪問的資源 安全系統(tǒng)模型 ? 安全策略 訪問監(jiān)控器 訪問權(quán)限 授權(quán)機(jī)制 主體 客體 O S 2 自主存取控制機(jī)制 ? 是用來決定一個(gè)用戶是否有權(quán)訪問一些特定客體的一類訪問約束機(jī)制 ，這種機(jī)制下 ， 資源屬主可以按照自已的意愿精確指定系統(tǒng)中的其他用戶對(duì)其資源的訪問權(quán) 、 故稱自主存取控制 。 (3)基于行的自主存取控制機(jī)制 ? 在每個(gè)主體上都附加一個(gè)該主體可訪問的客體明細(xì)表 ， 根據(jù)表中信息的不同又可分成 3種： 權(quán)能表 ? 進(jìn)程 ID1的 CL： 文件 X(rw)。 程序 Y(r)。 進(jìn)程 IDn的 CL： 內(nèi)存段 Z(rw)。 程序 Y(rx)。 …… 2)前綴表 ? 對(duì)每個(gè)主體賦予前綴 (Profiles)表 ， 它包含受保護(hù)的客體名和主體對(duì)它的訪問權(quán)限 ， 每當(dāng)主體訪問某客體時(shí) ， 自主存取控制機(jī)制將檢查主體的前綴是否具有它所請(qǐng)求的訪問權(quán) 。 3)口令表 (Passwords List) ? 在基于口令表的自主存取控制機(jī)制中，每個(gè)客體都有一個(gè)口令，主體在對(duì)客體訪問前，必須向安全系統(tǒng)提供該客體的口令，如果正確便允許訪問。 (1)基于列的自主存取控制機(jī)制 ? 存取控制表 ACL(Access Control List)是十分有效的自主訪問控制機(jī)制，被許多系統(tǒng)采用。此機(jī)制如下實(shí)現(xiàn)，在每個(gè)客體上都附加一個(gè)可訪問它的主體的明細(xì)表，表示存取控制矩陣，表中的每一項(xiàng)都包括主體的身份和主體對(duì)該客體的訪問權(quán)限。 ACL和優(yōu)化 ACL ? PID1,rx PID2,rw PID3,x PID4,rwx …… 客體 Y (a)存取控制表 文件 X PID1 GROUP5 rwx * GROUP5 x PID3 * * * r (b)優(yōu)化的存取控制表 (3)自主存取控制機(jī)制實(shí)現(xiàn)舉例 1)“擁有者 /同組同戶 /其他用戶 ” 模式 2)“存取控制表 ACL”和 “ 擁有者 /同組同戶 /其他用戶 ” 結(jié)合模式 在安全操作系統(tǒng) UNIX ， 采用 “ 存取控制表 ACL”和 “ 擁有者 /同組同戶 /其他用戶 ” 結(jié)合的實(shí)現(xiàn)方法 ，ACL只對(duì)于 “ 擁有者 /同組同戶 /其他用戶 ” 無法分組的用戶才使用 。 3 強(qiáng)制存取控制機(jī)制 ? 強(qiáng)制存取控制用于將系統(tǒng)中的信息分密級(jí)和范疇進(jìn)行管理 ， 保證每個(gè)用戶只能夠訪問那些被標(biāo)明能夠由他訪問的信息的一種訪問約束機(jī)制 。 ? 系統(tǒng)中每個(gè)主體 (進(jìn)程 )， 每個(gè)客體 (文件 、 消息隊(duì)列 、 信號(hào)量集 、 共享存儲(chǔ)區(qū)等 )都被賦予相應(yīng)的安全屬性 ， 這些安全屬性不能改變 ， 它由安全系統(tǒng) (包括安全管理員 )自動(dòng)地按嚴(yán)格的規(guī)則設(shè)臵 ， 而不是像存取控制表那樣由用戶或用戶程序直接或間接修改 。 實(shí)現(xiàn)多級(jí)安全訪問控制機(jī)制 ? 必須對(duì)系統(tǒng)的主體和客體分別賦予與其身份相對(duì)稱的安全屬性的外在表示 安全標(biāo)簽，它有兩部分組成： {安全類別：范疇 } (1) 安全類別 —有等級(jí)的分類 安全級(jí)別：也稱密級(jí)，系統(tǒng)用來保護(hù)信息 (客體 )的安全程度。 ? 敏感性標(biāo)簽：客體的安全級(jí)別的外在表示，系統(tǒng)利用此敏感性標(biāo)簽來判定一進(jìn)程是否擁有對(duì)此客體的訪問權(quán)限。 ? 許可級(jí)別：進(jìn)程 （ 主體 ） 的安全級(jí)別 ， 用來判定此進(jìn)程對(duì)信息的訪問程度 。 許可標(biāo)簽：進(jìn)程的安全級(jí)別的外在表示 ， 系統(tǒng)利用進(jìn)程的安全級(jí)別來判定此進(jìn)程是否擁有對(duì)要訪問的信息的相應(yīng)權(quán)限 。 (2) 范疇 —無等級(jí)概念 ? 范疇是該安全級(jí)別信息所涉及的部門 。 公司內(nèi)可以建立信息安全類別 ? Confidential Restricted(技術(shù)信息 )、 ? Restricted(內(nèi)部信息 ) ? Unrestricted(公開信息 )； ? 軍事部門的信息安全類別 ? Top Secret(絕密 )、 Secret(秘密 )、Confidential(機(jī)密 )和 Unclassified(公開 )。 公司內(nèi)的范疇 ? Accounting(財(cái)務(wù)部 )、 Marketing(市場(chǎng)部 )、Advertising(廣告部 )、 Engineering(工程部 )和Reserchamp。Development(研發(fā)部 )。 ? 在公司內(nèi) ， 財(cái)務(wù)部經(jīng)理與市場(chǎng)部經(jīng)理雖然級(jí)別相同 （ 都是經(jīng)理 ） ， 但由于兩人分屬不同部門（ 財(cái)務(wù)部負(fù)責(zé)財(cái)務(wù) ， 市場(chǎng)部負(fù)責(zé)市場(chǎng) ） ， 從而 ，分屬兩個(gè)不同的范疇 （ Accounting 、Marketing） ， 故市場(chǎng)部經(jīng)理是不能夠訪問財(cái)務(wù)部經(jīng)理的信息的 。 4特殊授權(quán)機(jī)制 —最小特權(quán)原理 ? 為了使系統(tǒng)能正常運(yùn)行，系統(tǒng)中的某些進(jìn)程，如安全管理員、網(wǎng)絡(luò)管理員和系統(tǒng)操作員，需要具有一些可違反安全策略的操作能力，定義一個(gè)特權(quán)就是定義一個(gè)可違反系統(tǒng)安全策略的操作能力。 ? 必須實(shí)行最小特權(quán) (Least Privilege Principle)原理。 最小特權(quán)原理 ? 指：系統(tǒng)中的每個(gè)主體只能擁有與其操作相符的必須的最小特權(quán)集，特別是不應(yīng)給超級(jí)用戶超過執(zhí)行任務(wù)所需特權(quán)以外的特權(quán)。 POSIX中指出要想在系統(tǒng)獲得安全性方面達(dá)到合理的保障程度，必須嚴(yán)格地實(shí)施最小特權(quán)原理。 超級(jí)用戶的特權(quán)劃分 ? 使每個(gè)特權(quán)用戶僅具有完成其任務(wù)所需的特權(quán) ， 就能以此減