操作系统概念 安全/Security 第十四章笔记

2018年1月4日
08:06

写在前面

本笔记仅仅是本人在上课时的一些随手记录，并不完整也不完全正确。

如有错误，请在评论中或直接联系我指正，谢谢！

原始文件下载：(mht)(pdf)

1. Safety

2. Security

包含十四、十五章

系统安全的基本概念

内容

数据机密性

• 将几米的数据置于保密状态，仅允许被授权的用户访问计算机系统中的信息

数据完整性

• 指未经授权的用户不能擅自修改系统中所保存的信息,且能保持系统中的数据一致性。(建立、删除、增加、修改)

系统可用性

• 指授权用户的正常请求能及时、正确、安全地得到服务或相应

性质

多面性——在较大规模的系统中都存在着多个风险点：物理安全、逻辑安全、安全管理三方面的内容

动态性——信息的有效性、攻击手段不断变化

层次性——涉及诸多方面、且相当复杂的问题，因此需要采用系统工程的方法来解决，通常也采用层次化方法

适度性——根据实际需要，提供适度的安全目标加以实现，全面覆盖难于实现

安全威胁的类型

假冒(Masquerading)用户身份

• 也称为身份攻击

• 指用户身份被非法窃取，亦即攻击者伪装成一个合法用户，利用安全体制所允许的操作去破坏系统安全

• 在网络环境下，假冒者又可分为发方假冒的收方假冒两种

• 用户在进行通信或交易之前，必须对发方和收方的身份进行认证

数据截取(Data Interception)

• 未经核准通过非正当途径截取网络中的文件和数据，由此造成网络信息的泄漏

• 街区方式可以是直接中电话线上窃听，也可以是利用计算机和相应的软件来截取信息

拒绝服务(Denial of Server DOS)

• 未经主管部门的许可，而拒绝接收一些用户对网络中的资源进行访问

修改(Modification)信息

• 未经核准的用户不仅可能从系统中截获信息，而且还可以修改数据包中的信息，比如，可以修改数据包中的协议控制信息，使该数据包被传送到非指定的目标。

伪造(Fabrication)信息

• 将编造的虚假信息送入计算机，或者在某些文件中增加一些虚假的记录，这同样会威胁到系统中数据的完整性

否认(Repudiation)操作

• 又称为抵赖，是指某人不承认自己曾经做过的事情。（在发出一条消息后又否认这条消息）

中断(Interruption)传输

• 指系统中因某资源被破坏而造成信息传输的中断

• 中断可能由硬件故障引起，如磁盘故障、电源掉电和通信线路断开等；也可能由软件故障引起

通信量分析(Traffic Analysis)

• 通过窃听手段窃取在线路中传输的信息，再考察数据包中的协议控制信息，可以了解到通信者的身份、地址；

• 通过研究数据包的长度和通信频度，攻击者可以了解到所交换数据的性质

##数据加密技术

发展

经典密码学

1949年，信息论的创始人香农 (C.E. Shannon) 提出了数据加密的必要性

模型组成

四部分：

• 明文(plain text)——准备加密的文本，明文P

• 密文(cipher text)——加密后的文本，密文Y

• 加密（解密）算法E(D)——用于实现从明文（密文）到密文（明文）转换的公式、规则或程序

• 密钥K——密钥是加密和解密算法中的关键参数

类型

对称性分类

• 对称加密算法

• 非对称加密算法

所变换铭文的单位分类

• 序列加密算法

• 分组加密算法

对称加密算法与非对称加密算法

对称加密算法

• DES(Data Encryption Standard) (IBM 1971-1972)

• 加密和解密使用的密钥相同

非对称加密算法

• 对数据进行加密和解密时，使用不同的密钥（公私钥）。每个用户都保存一对密钥，公钥对外公开。

• 发信者公钥加密，收信者私钥解密

数字签名和数字证书

数字签名

在利用计算机网络传送报文时，可将公钥用于电子（数字）签名，来代替传统的签名。而为了能使数字签名能够代替传统签名，必须满足以下三个条件：

1. 接收者能够核实发送者对报文的签名

2. 发送者事后不能抵赖其对报文的签名

3. 接收者无法伪造对报文的签名

简单数字签名

• 发送者A可使用私用密钥对明文P进行加密，传送给接收者B。B可利用A的公开密钥进行解密

• 接收者能利用A的公开密钥进行解密，这便证实了发送者对报文的签名

保密数字签名

• 为了实现在发送者A和接收者B之间的保密数字签名，要求A和B都具有密钥

数字证书(Certificate)

• 虽然可以利用公钥发进行数字签名，但事实上又无法证明公钥的持有者是合法的持有者

• 必须要一个可信的认证机构CA (Certification Authority).
  由该机构为公钥发放一份公钥证书，又把该公钥证书称为数字证书，用于证明通信请求者的身份

网络加密技术

• 链路加密——对在网络相邻节点之间通信线路上传输的数据进行加密

• 端-端加密

  • 在源主机或前端机FEP中的高层（从传输层到应用层）对所传输的数据进行加密

  • 在物理信道上和中间节点中，报文的正文始终是密文，直至信息到达目标主机才被翻译

认证技术

基于口令的身份认证

• 当一个用户要登陆某台计算机时，操作系统通常都要认证用户的身份

• 利用口令来确认认证用户的身份

基本要求

• 长度适中

  • 通常的口令是由一串字母和数字组成。如果口令太短，则很容易被攻击者猜中。

  • 如果使用较长的口令，可以显著地增加猜中一个口令的时间

• 自动断开连接

  • 为了给攻击者猜中口令增加难度，在口令机制中引入自动断开连接的功能，即只允许用户输入有限次数地不正确口令

  • 如果不正确次数超过一定量，系统则自动断开此连接

• 隐蔽回送显示

  • 在用户输入口令时，登陆程序不应将该口令回送到屏幕上显示

• 记录和报告

  • 记录所有用户登陆进入系统和退出系统的时间

  • 也用来记录和报告攻击者非法猜测口令的企图，以及所发生地于安全性有关的其他不轨行为，这样便能及时发现有人在对系统的安全性进行攻击

一次性口令

• 为了把由于口令泄露所造成的损失减到最小，用户应当经常改变口令

口令文件

• 配置有一份口令文件，用于保存合法用户的口令和与口令相联系的特权

• 经常利用加密技术，选择一个函数来对口令进行加密

尽量对口令进行加密是一个很好的方法，但它也不是绝对的安全可靠。其主要威胁来自于两个方面：

1. 当攻击者已掌握了口令的解密密钥时，就可用它来破译口令

2. 利用加密程序来破译口令，如果运行加密程序的计算机速度足够快，则通常只要几个小时便可破译口令

因此，口令文件需要妥善保管。

基于物理标志的认证技术

基于磁卡的认证技术

• 在磁条中存储用户信息

• 通常在磁卡认证的基础上，增加口令机制

基于IC卡的认证技术

• IC卡是集成电路卡的英文缩写

• IC卡中可装入CPU和存储器芯片，使该卡具有一定的智能

基于生物标志的认证技术

指纹

视网膜

• 眼纹

• 信息量远比指纹复杂，信息需要256个字节编码

声音

• 即使在强干扰的环境下，也能很好地分辨出每个人的语音

• 基本方法：对一个人说好的语音进行分析，利用声音特征制作成语音口令系统

手指长度

基于公钥的认证技术

访问控制技术

访问权

• 为了对系统中的对象加以保护，应由系统来控制进程对对象的访问

• 把一个进程能对某对象执行操作的权力称为访问权 (Assess
  Right)。每个访问权可以用一个有序对（对象名，权集）表示，例如，某进程有对文件F1执行读和写操作的权力，这时，可将该进程的访问权表示成(F1,{R/W})。

保护域

• 为了对系统中的资源进行保护而引入了保护域的概念，保护域简称为“域”。

• “域”是进程对一组对象访问权的集合，进程只能在指定域内执行操作，这样，“域”也就规定了进程所能访问的对象和能执行的操作。

• 例如：两个域中运行的进程都能使用打印机

• 对象Printer 1同时出现在域2和域3中

进程和域间的联系方式

静态

• 在进程和域之间，可以一一对应，即一个进程只联系着一个域

• 在进程的整个生命期中，其可用资源是固定的，我们把这种域称为“静态域”

动态

• 进程和域之间，可以是一对多的关系，一个进程可以对应多个域

• 在此情况下，可将进程的运行分为若干个阶段，其每个阶段联系着一个域，这样便可根据运行的实际需要，来搞定在进程运行的每个阶段中所能访问的对象

• 把这种一对多的联系方式称为动态联系方式，在采用这种方式的系统中，应增设保护域切换功能，以使进程能在不同的运行阶段，中一个保护域切换到另一个保护域

访问矩阵

• 可以利用一个矩阵来描述系统的访问控制，并把该矩阵称为访问矩阵 (Access Matrix)

• 访问矩阵中的行代表域，列代表对象，矩阵中的每一项是由一组访问权组成的

• 因为对象已由列显式地定义，故可以只写出访问权而不必写出是哪个对象的访问权，每一项访问权定义了在域Di中执行的进程能对对象Qj所施加的操作集。

• 访问矩阵中的访问权，通常是由资源的拥有着或者管理者所决定的

• 当用户创建一个新文件时，创建者便是拥有者，系统在访问矩阵中为新文件增加一列，由用户决定在该列地某个项中应具有哪些访问权

• 当用户删除此文件时，系统也要相应地在访问矩阵中将该文件对应的列撤销

计算机病毒

计算机病毒的定义

• 计算机病毒是一段程序，它能不断地进行复制和感染其它的程序，无需人为介入便能够由被感染的程序和系统传播出去

• 一般地病毒并不长。对于用C语言编写的病毒程序，通常不超过一页，经编译后小于2KB；用汇编语言编写的病毒程序则更小，可以小到只有几十到几百个字节

危害

• 占用系统空间

• 占用处理机时间

• 对文件造成破坏

• 使机器运行异常

产生的原因

• 显示自己的能力

• 恶意报复

• 恶意攻击

• 出错程序

特征

• 寄生性

• 传染性

• 隐蔽性

• 破坏性

类型

• 文件型病毒：主动攻击型感染和执行时感染

• 内存驻留病毒

• 引导扇区病毒

• 宏病毒

• 电子邮件病毒

隐藏方式

• 伪装：利用文件长度发生改变来发现病毒。设计者为了隐藏病毒，通过有所技术，使感染上病毒的文件的长度与原有文件的长度一致

• 隐藏：病毒程序的设计者常把病毒隐藏在一个不易检查到的地方

• 多形态

防火墙技术

用于实现防火墙功能的技术可分为两类

• 包过滤技术：基于该技术所构建的防火墙简单、价廉

• 代理服务技术：基于该技术所构建的防火墙安全可靠

两者之间有很强的互补性，因而经常同时采用这两种防火墙技术来保障网络安全

包过滤技术

基本原理

• 置于Intranet的适当位置，通常在路由器和服务器中

• 对进出Intranet的所有数据包按照指定的过滤规则进行检查，仅对符合指定规则的数据包才准予通行，否则将之抛弃。

优缺点

• 有效灵活

• 简单易行

• 不能防止假冒

• 只在网络层和传输层实现

• 缺乏可审核性

• 不能防止来自内部人员造成的威胁

代理服务技术

基本原理

设置一个代理服务器，并将外部网(Internet)与内部网之间的连接分为两段

• 一段是从Internet上的主机引到代理服务器

• 另一段是由代理服务器连到内部网中的某一个主机（服务器）

每当主机请求时，总被送到代理服务器，并在其中通过安全检查后，再由代理服务器与内部网中的应用服务器建立连接

所有的Internet上的主机对内部网中应用服务器的访问，都被送到代理服务器，由后者去代替在Internet上的相应主机，对Intranet的应用服务器进行访问

Internet主机对Intranet应用服务器的访问，置于代理服务器的安全控制之下，使其无法了解到Intranet的结构和运行情况

应用层网关的类型

代理服务技术时利用一个应用层网关作为代理服务器的

应用层网关可分为三种类型：

• 双穴主机网关

• 屏蔽主机网关

• 屏蔽子网网关

三种都要有一台主机，通常称为“桥头堡主机”(Bastion Host),
它起着防火墙的作用，也起着Internet与Intranet之间的隔离作用

优缺点

• 屏蔽被保护网

• 对数据流的监控

• 实现复杂

• 需要特定的硬件支持

• 增加服务延迟

规则检查防火墙

• 集包过滤防火墙和应用级网关这两种防火墙技术的优点

• 包过滤防火墙：在网络层上通过检查IP地址等手段，过滤掉对Intranet进行访问的非法数据包

• 应用级网关：对服务的类型和服务信息的内容进行检查，过滤掉其中的非法访问

• 性能更好。为进一步提高性能，增加了用于保障网络安全的新功能

增加三种认证方法

• 用户认证——用于对用户的访问权限进行认证

• 客户认证——对用户客户机IP地址进行认证

• 会晤认证——审查是否允许在访问者和被访问服务器之间建立直接的连接

内容安全检查

• 为网络中的每个计算机站点进行病毒检查

• 为电子邮件服务提供安全控制的机制，该机制可以隐藏Intranet的结构和用户的真实身份等

• 基于FTP命令的内容安全控制，以禁止用户使用这些命令

数据加密

在防火墙中提供了多种加密方案，保障Intranet中信息的安全

负载均衡

在多个服务器之间实现负载的均衡，避免出现忙闲不均的现象