13 操作系统和安全.ppt

* 第13章 操作系统和安全 LOREM IPSUM DOLOR * 13.1 引言 本章主要内容 现代操作系统都会具有的安全相关的基本功能 可信操作系统 下一代安全基 * 13.2 操作系统的安全功能 操作系统必须处置潜在的安全问题，无论这些问题是源于偶发事件，还是作为某个恶意攻击的一部分出现的。现代操作系统的设计都是面向多用户环境以及多任务操作模式。因此，即使在最不济的情况下，操作系统也必须处理隔离控制、内存保护以及访问控制等。 下面就这三个主题中的每一个进行简略讨论。 隔离控制 内存保护 访问控制 13.2.1 隔离控制 对于现代操作系统，最为基础的安全性议题就是实现隔离的问题。也就是说，操作系统必须保持用户和进程之间彼此相互隔离。 几种不同的隔离方式： 物理隔离——用户被限制在相互独立的设备中。这种方式提供了一种很强的隔离形式，但是也常常显得不切实际。 时间隔离——进程就是根据时间进行隔离的。这种隔离消除了许多由于并发而衍生的问题，并且简化了操作系统的管理任务。不过，这会带来一些性能方面的损失。 逻辑隔离——举个例子，每一个进程可能都会被分配属于自己的“沙箱”。进程在沙箱之内可以自由地做几乎任何事情，但是在沙箱之外，可能几乎什么都做不了。 加密隔离——加密技术可以用于使信息变得对外界而言难以理解。 * 13.2.2 内存保护 操作系统必须解决的另一个基本问题就是内存保护，这包括对操作系统自身使用的内存空间的保护，也包括对用户进程内存空间的保护。 边界(fence)，或者叫做界地址(fence address)，就是用于内存保护的一种选择。它可以使动态的，也可以是静态的。 基地址寄存器(base registers) 和范围寄存器(bounds registers) ：这些寄存器中包含了某个特定用户(或进程)空间的低位地址和高位地址的界限。 内存保护标记(tagging)则为每一个独立的地址指定保护方式。 通过利用地址空间的标记段(tagging sections)来替换每个独立地址的保护标记，可以降低这样的性能负荷。 最常用的内存保护方法是分段(segmentation)和分页(paging)。 * 分段是将内存分割成不同的逻辑单元，然后，再将适当的访问控制策略施加到各个段上。 分段的优点 任何段都可以被置于任意的内存位置——只要内存空间足够大，可以容纳得下即可。操作系统利用segment(段名), offset值对来实现对段的跟踪。 段可以被移动到内存中的不同位置，也可以方便地移进和移出内存。 缺点： 段的尺寸是变化的。 * 分页与分段类似，除了所有的段都是固定长度之外 。 对于分页，使用形如page(页号), off set(偏移量)的值对来访问特定的页。 相对于分段，分页的优势包括避免了内存碎片、改进了性能以及再也不用担心变长尺寸带来的困扰。 缺点则是，一般来说对于页而言并没有逻辑上的统一性，这就使得要决定将适当的访问控制应用到给定的页上时，难度会更大。 * * 13.2.3 访问控制 操作系统是访问控制最终的执行者。对于攻击行为来说，操作系统之所以会成为如此备受关照的目标，这就是其中的原因之一。 一次针对操作系统的成功攻击，可以有效地将在更高层面构筑的任何防护措施变得形同虚设。 * 13.3 可信操作系统 系统之所以被称为可信的，是因为可以依赖系统来追求安全性。 信任和安全是有所区别的。信任意味着依靠和信赖，也就是说，信任是二元选择——要么信任，要么不信任。另一方面，安全则是对特定机制的有效性的一次判断。关于安全的判定，应该是相对于清晰明确的策略或陈述而言。 安全依赖于信任。 在任何通用良好的安全性原则的列表中，都很可能会包含下面这些内容：最小权限(例如低水印原则)、简单、开放设计(诸如Kerckhoffs原则等)、完全仲裁、白名单(相对于黑名单而言)、隔离性以及易于使用等。 13.3.1 MAC、DAC以及其他 在可信操作系统中，有某些特定的安全性措施是为我们所喜闻乐见的，这些措施包括强制性访问控制(mandatory access control)、自主性访问控制(discretionary access control)、对象重用保护(object reuse protection)、完全仲裁(complete mediation)、可信路径(trusted path)以及日志记录等。 * 强制性访问控制(mandatory access control)也可以称为MAC，是一种不受对象所有者控制的访问策略。 自主性访问控制(discretionary access control)，也可以称为DAC，是指由对象所有者决定的访问控制型。 如果将DAC和MAC都应