内容提要 ≥5.1操作系统可信计算基的构成 ≥52操作系统的安全机制 ≥53Win2000/XP系统的安全机制简介 2/103
2/103 内容提要 5.1 操作系统可信计算基的构成 5.2 操作系统的安全机制 5.3 Win2000/XP系统的安全机制简介
51操作系统可信计算基的构成 ≥操作系统是对软件、硬件资源进行调度控制和信 息产生、传递、处理的平台,其安全性属于系统级 安全范畴 操作系统是其它一切安全机制的基础,是信息系统安全 的必要条件,很多安全问题都源于操作系统的安全漏洞 操作系统的安全主要体现在身份认证、访问控制 和信息流控制等方面。 访问控制决定了用户对系统资源访问权限,是操作系统 安全的核心技术 3/103
3/103 5.1 操作系统可信计算基的构成 操作系统是对软件、硬件资源进行调度控制和信 息产生、传递、处理的平台,其安全性属于系统级 安全范畴 ⚫ 操作系统是其它一切安全机制的基础,是信息系统安全 的必要条件,很多安全问题都源于操作系统的安全漏洞 操作系统的安全主要体现在身份认证、访问控制 和信息流控制等方面。 ⚫ 访问控制决定了用户对系统资源访问权限,是操作系统 安全的核心技术
心51操作系统可信计算基的构成 ≥构成操作系统可信计算基的核心是参照监视器 1参照监视器 是一种抽象的概念,是访问控制的基础 参照监视器依据访问控制数据库中的规则,验证主体对 客体的每一次访问,按规则支持或禁止访问,并将成功 与否的访问按照策略要求存入审计系统中 访问控制数 据库 主体参照监视器客体 审计文件 4/103
4/103 5.1 操作系统可信计算基的构成 构成操作系统可信计算基的核心是参照监视器 1.参照监视器 ⚫ 是一种抽象的概念,是访问控制的基础 ⚫ 参照监视器依据访问控制数据库中的规则,验证主体对 客体的每一次访问,按规则支持或禁止访问,并将成功 与否的访问按照策略要求存入审计系统中 访问控制数 据库 参照监视器 审计文件 主体 客体
51操作系统可信计算基的构成 2安全内核 ●安全内核是实现参照监视器概念的一种技术,是 指系统中与安全性实现有关的部分,包括: 引用验证机制、访问控制机制、授权机制和授权管理 机制等 一般的,人们趋向把安全内核与参照监视器等同 起来 安全内核实际上可以看成一个更小的操作系统, 具备了操作系统的全部能力 5/103
5/103 5.1 操作系统可信计算基的构成 2. 安全内核 ⚫ 安全内核是实现参照监视器概念的一种技术,是 指系统中与安全性实现有关的部分,包括: ⚫ 引用验证机制、访问控制机制、授权机制和授权管理 机制等 ⚫ 一般的,人们趋向把安全内核与参照监视器等同 起来 ⚫ 安全内核实际上可以看成一个更小的操作系统, 具备了操作系统的全部能力
51操作系统可信计算基的构成 3.安全内核在实现上有两种情况 1)安全内核与其它功能部分完全一体的操作系统 用户 系统外部 系统接口 安全无关的 (不可信) 应用程序 安全周界外部 安全周界接口 操作系统 安全相关的 硬件接口 (可信的) 安全周界内部 硬件平台 图5.2安全与其它功能一体化的操作系统的地位 6/103
6/103 5.1操作系统可信计算基的构成 3. 安全内核在实现上有两种情况 ⚫ 1)安全内核与其它功能部分完全一体的操作系统 系统接口 应用程序 操作系统 硬件平台 安全周界接口 安全相关的 硬件接口 (可信的) 安全周界内部 安全无关的 (不可信) 安全周界外部 系统外部 用户 图5.2 安全与其它功能一体化的操作系统的地位
心51操作系统可信计算基的构成 3.安全内核在实现上有两种情况 2)安全内核是操作系统的一部分 安全内核由硬件和介于硬件和操作系统之间的一层软件组成。 安全内核的软件和硬件认为是可信的,处于安全周界的内部,但 操作系统和应用程序均处于安全周界之外。 用户 系统外部 系统接口 安全无关的 应用程序 (不可信) 操作系统接口 安全周界外部操作系统的其他部分 内核接口 安全相关的 操作系统中安全内核 (可信的) 硬件接口 安全周界内部 硬件平台 7/103 图5.3操作系统中的安全内核的地位
7/103 3. 安全内核在实现上有两种情况 ⚫ 2)安全内核是操作系统的一部分 ⚫ 安全内核由硬件和介于硬件和操作系统之间的一层软件组成。 ⚫ 安全内核的软件和硬件认为是可信的,处于安全周界的内部,但 操作系统和应用程序均处于安全周界之外。 系统接口 应用程序 操作系统中安全内核 硬件平台 操作系统接口 硬件接口 安全相关的 (可信的) 安全周界内部 安全无关的 (不可信) 安全周界外部 系统外部 用户 图5.3 操作系统中的安全内核的地位 操作系统的其他部分 内核接口 5.1操作系统可信计算基的构成
多52操作系统的安全机制 ●操作系统安全的目标 标识系统中的用户并进行身份鉴别 依据系统安全策略对用户的操作进行存取控制 监督系统运行的安全 保证系统自身的安全性和完整性 为了实现操作系统安全的目标,需要建立相应的 安全机制,包括: ●隔离控制、硬件保护、用户认证、访问控制等 8/103
8/103 5.2 操作系统的安全机制 操作系统安全的目标 ⚫ 标识系统中的用户并进行身份鉴别 ⚫ 依据系统安全策略对用户的操作进行存取控制 ⚫ 监督系统运行的安全 ⚫ 保证系统自身的安全性和完整性 为了实现操作系统安全的目标,需要建立相应的 安全机制,包括: ⚫ 隔离控制、硬件保护、用户认证、访问控制等
521隔离机制 ≥隔离机制是解决进程控制、内存保护的有效方法 1.隔离控制的方法有四种: ①物理隔离。在物理设备或部件一级进行隔离,使不同 的用户程序使用不同的物理对象。 如不同安全级别的用户分配不同的打印机,恃殊用户保 密级运算可以在cPU一级进行隔离,使用专用的cPU 运算 ②时间隔离。对不同安全要求的用户进程分配不同的运 行时间段。 °对于用户运算高密级信息时,甚至独占计算机进行运
9/103 5.2.1 隔离机制 隔离机制是解决进程控制、内存保护的有效方法 1.隔离控制的方法有四种: ① 物理隔离。在物理设备或部件一级进行隔离,使不同 的用户程序使用不同的物理对象。 ⚫ 如不同安全级别的用户分配不同的打印机,特殊用户保 密级运算可以在CPU一级进行隔离,使用专用的CPU 运算 ② 时间隔离。对不同安全要求的用户进程分配不同的运 行时间段。 ⚫ 对于用户运算高密级信息时,甚至独占计算机进行运算
521隔离机制 ③逻辑隔离。多个用户进程可以同时运行,但相互之间感 觉不到其他用户进程的存在 这是因为操作系统限定各进程的运行区域,不允许进程访问其他未 被允许的区域。 ●④加密隔离。进程把自己的数据和计算活动隐蔽起来,使 他们对于其他进程是不可见的 对用户的口令信息或文件数据以密码形式存储,使其他用户无法访 问,也是加密隔离控制措施。 这几种隔离措施实现的复杂性是还步递增的,而它们的安全 性则是逐步递减的 前两种方法的安全性是比较高的,但会降低硬件资源的利用 率。后两种隔离方法主要依赖操作系统的功能实现。 10/103
10/103 ③ 逻辑隔离。多个用户进程可以同时运行,但相互之间感 觉不到其他用户进程的存在 ⚫ 这是因为操作系统限定各进程的运行区域,不允许进程访问其他未 被允许的区域。 ④ 加密隔离。进程把自己的数据和计算活动隐蔽起来,使 他们对于其他进程是不可见的 ⚫ 对用户的口令信息或文件数据以密码形式存储,使其他用户无法访 问,也是加密隔离控制措施。 这几种隔离措施实现的复杂性是逐步递增的,而它们的安全 性则是逐步递减的. 前两种方法的安全性是比较高的,但会降低硬件资源的利用 率。后两种隔离方法主要依赖操作系统的功能实现。 5.2.1隔离机制
522硬件的保护机制 计算机硬件的安全目标是保证其自身的可靠性并为 系统提供基本的安全机制。主要包括:存储器保护、 运行保护、输入/输出保护等 存储器保护 保护用户在存储器中的数据的安全 具体要求 防止用户对操作系统的影响 各用户进程应相互隔离 应禁止用户模式下对系统段进行写操作 11/103
11/103 5.2.2 硬件的保护机制 计算机硬件的安全目标是保证其自身的可靠性并为 系统提供基本的安全机制。主要包括:存储器保护、 运行保护、输入/输出保护等 1. 存储器保护 ⚫ 保护用户在存储器中的数据的安全 ⚫ 具体要求 ⚫ 防止用户对操作系统的影响 ⚫ 各用户进程应相互隔离 ⚫ 应禁止用户模式下对系统段进行写操作