1、操作系统的安全性与 安全操作系统,OS面临的安全性威胁可以分为保密性威胁、完整性威胁和可用性威胁 信息的保密性是指信息的隐藏性,即对非授权用户,这些信息是不可见的。保密性威胁包括信息的非法拦截(嗅探)、木马、后门、间谍软件(spyware)、隐藏通道等 信息的完整性是指信息的可信程度,包括信息内容的完整性和信息来源的完整性。若信息被非法改变,就破坏了信息内容的完整性,使其内容的可信程度受到质疑。信息的来源涉及来源地准确性、可信性,也涉及人们对此信息的信任感。绝大部分病毒都会对信息内容的完整性产生危害 信息的可用性是指对信息或资源的期望使用能力。企图破坏系统可用性的攻击称为拒绝服务攻击,拒绝服务
2、攻击的目的是使计算机或网络无法提供正常的服务。OS可用性威胁的另一来源是软件设计实现中的疏漏。据统计,每千行代码就有5-50个bug,1972年,J.P.Anderson指出,要开发安全OS,首先要建立系统的安全模型。安全模型给出安全系统的形式化定义,正确综合系统的各种因素,包括:系统的使用方式,使用环境的授权定义,共享的信息和资源,共享的类型,以及受控共享的策略等。这些因素构成安全系统的形式化抽象描述,使系统可以被证明是完整的、反应真实环境的、逻辑上能够实现程序的受控执行的。完成安全系统的建模之后,再进行安全核的设计与实现。安全核是系统中与安全性实现相关的部分,包括引用验证机制、访问控制机制
3、、授权机制和授权管理策略等。,安全OS 的设计原则,1975年,J.H.Saltzer 和 M.D.Schroeder提出了安全OS 的八条设计原则: 1.最小特权原则:为使无意或恶意攻击所造成的危害降到最低程度,分配给系统中每个程序和每个用户的特权应该是它们为完成工作所必须享有特权的最小集合 2.机制的经济性原则:安全保护机制的设计应小型化、简单、明晰,以便安全保护系统可经过完备测试或严格验证 3.开放系统设计原则:安全保护机制应该是开放的,应该在公开的环境中设法增强安全保护机制的防御能力 4.完整的存取控制原则:对每个对象的每次访问都必须经过检查,以确认是否已经得到授权,5.失败-保险(f
4、ail-safe)默认原则:在默认情况下,凡未明确授权的访问方式都被视为不允许的访问方式。如果主体欲以该方式进行访问,结果将是失败的,而这对系统是保险的 6.权限分离原则:将一项权限划分成由多个因素决定,仅当所有因素均具备时,才能行使该权限。这使得企图入侵者不会轻易拥有资源的全部存取权 7.最少公共机制原则:把由两个以上用户共用和被多个用户依赖的公共机制的数量减到最少。每个共享机制都可能是一条潜在的用户间的信息通道,应谨慎设计,避免无意中破坏安全性。同时,应保证为所有用户服务的机制能满足每个用户的要求 8.方便使用原则:设计友好的用户接口,尽量方便用户使用,安全操作系统是一个比较新的用词,其定
5、义及用词的使用尚未完全统一。一般称之为“可信操作系统”(Trusted OS)。这是根据1985年美国国防总局所制定的Trusted Computer System Evaluation Criteria (可信计算机系统安全评估准则-TCSEC)里达到B1级以上的操作系统而言,1983年美国国防总局发表了TCSEC第一版,1985年成为正式标准。按TCSEC的基准,如要达到B1级以上的级别,必须实现BLP模型的访问控制功能。也称为强制访问控制(Mandatory Access Control)BLP模型的核心思想是在不同的保密级信息之间,实行“信息不能流向下级”的访问控制。即属于“绝密”信息
6、的用户可以读比自己低一级的“秘密”信息,但属于“秘密”信息的用户不能读比自己高一级的“绝密”文件;有权读“绝密”文件的用户不能对“秘密”以下级别的文件进行写操作。因为,如果允许写,就会发生“绝密”信息泄露到“秘密”的文件里。参见下图:,操作系统安全的级别划分,美国是最早对操作系统的安全进行系统研究并提出测评标准的国家。TCSEC就是基于对操作系统进行安全评估的标准TCSEC将计算机系统的安全性分为D、C、B、A四等七级,依照各类、级的安全要求从低到高,依次是D、C1、C2、B1、B2、B3和A1级 D 级:无任何安全保护,最低安全级别 C1级:自主安全保护(无条件安全保护) C2级:自主访问保
7、护(较完善的自主存取控制DAC) B1级:有标号的安全保护(强制存取控制MAC) B2级:结构化保护(良好的结构化设计、形式化安全模型) B3级:强制安全区域保护(全面的访问控制、可信恢复) A1级:验证设计安全保护 每一级均需评估7个功能类,即配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试、脆弱性评估 根据TCSEC标准,达到B1级标准的操作系统即可称为安全操作系统,我国于1999年9月13日发布、2001年1月1日实施了中华人民共和国国家标准计算机信息系统安全保护等级划分准则(GB17859-1999)(Classified criteria for security p
8、rotection of Computer information system),规定了计算机系统安全保护能力的五个等级,即: 第一级:用户自主保护级 第二级:系统审计保护级 第三级:安全标记保护级 第四级:结构化保护级 第五级:访问验证保护级 实际上,国标中将国外的最低级D级和最高级A1级取消,余下的分为五级。TCSEC中的B1级与这里的第三级对应,除了美国的TCSEC标准外,英国、德国、法国、荷兰等国于1991年共同制定了ITSEC (IT Security Evaluation Criteria)。1993年,由美国、加拿大、英国、法国、荷兰等国把各自的安全评价标准统一起来,制定了CC
9、(Common Criteria)标准,并于1999年成为ISO/IEC15408国际标准,几种操作系统的安全等级,操作系统名称 安全等级 SCO OpenServer C2 OSF/1 B1 Windows NT C2 Saloris C2 DOS D,安全OS的一般结构,用户软件 可信应用软件安全内核安全硬件,安全内核:安全内核是从一般内核中分离出来的,与系统安全控制相关的部分软件,用来控制整个OS的安全操作 可信应用软件由两部分组成:1)系统管理员和操作员进行安全管理所需的应用程序。2)运行具有特权操作的、保障系统正常工作所需的应用程序 安全内核和可信应用软件组成了系统的可信软件,它是可
10、信计算基TCB(Trusted Computing Base)的一部分。系统必须保护可信软件不被修改和破坏 用户软件:由可信软件之外的应用程序组成,可信计算基(TCB)的组成,安全内核:包括引用验证机制、访问控制机制、授权机制和授权管理策略等 具有特权的程序和命令 处理敏感信息的程序,如系统管理命令 与TCB 实施安全策略有关的文件 有关的固件、硬件和设备 保障固件和硬件正确运行的程序和诊断软件等 负责系统管理的人员,近年来,基于开源的安全操作系统的研究相对活跃。如有基于FreeBSD 的Trusted BSD项目。还有以美国国家安全局(NSA)为主开发的基于Linux的SELinux (Se
11、curity-Enhanced Linux)。另外,法国政府也启动了基于Linux的安全操作系统的开发项目,Novell于2006年也推出了AppArmor 相对来说,中国的安全操作系统研究起步比较晚,但也开展了一系列的工作。如中科院计算所研究开发了基于Linux 的安全操作系统LIDS;南京大学开发了基于Linux 的安全操作系统SoftOS;中科院信息安全技术工程研究中心开发了基于Linux 的安全操作系统SecLinux;国防科技大开发了麒麟操作系统等,安全操作系统主要特征,安全操作系统(也称可信操作系统,Trusted Operating Systerms),是指计算机信息系统在自主访
12、问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等十个方面满足相应的安全技术要求安全操作系统不但具有安全特性,还应具有安全保障能力,1. 用户识别和鉴别(User Identification and Authentication)识别是计算机安全的基础。必须能够辨别谁在请求访问一个对象,且必须能够证实这个主体的身份。大部分访问控制,无论是强制的还是自主的,都基于准确的识别。识别分为两个步骤:找出谁是访问者,并证实这个请求者并非他人冒名。即需要先建立一个身份,然后再鉴别或者证实它 安全操作系统需要设计安全的个体识别机制,并且所有个体都必须是独一
13、无二的,2.强制访问控制(MAC,Mandatory Access Control )是指访问控制策略的判决不受一个对象的单个拥有者的控制。由中央授权系统来决定哪些信息可被哪些用户访问,用户自己是不能改变访问权限的。例如在军事安全中,数据的单个拥有者不能决定谁拥有绝密许可,也不能够将对象分类从绝密改为秘密,.自主访问控制(DAC,Discretionary Access Control)留下一些访问控制让对象的拥有者自己决定,或者给那些已被授权控制对象访问的人自己决定MAC和DAC可同时应用于同一个对象。MAC的优先权高于DAC,即在所有具有MAC存取许可的人中,只有通过DAC的人才能真正被允
14、许存取这个对象,.对象重用保护(ORP,Object Reuse Protection),当一个资源被释放后,操作系统允许下一个用户或者程序访问这个资源。但是,必须小心控制可重用的对象,以免他们产生严重的缺陷。例如,创建一个新文件时,通常文件占用的空间来自于磁盘上先前被用过、但现在已被释放的空间,或其他存储设备上的空间。被释放的空间是“脏”的,即它仍然包含先前用户的数据。由于大部分用户在试图读写文件之前都先写文件,新用户的数据就会覆盖先前用户的数据,这样,也就不存在对先前用户信息的不合适泄露。但是,恶意的用户会申请大量的磁盘空间,然后从中获取敏感信息。这种攻击称为对象重用。这种攻击并不限于磁盘
15、,也可能发生在主存、处理器的寄存器和主存储器、其他磁介质或者其他可重用的存储媒介为了防止对象重用泄露,操作系统在允许下一个用户访问之前会清除所有将要重新分配的空间,全面调节(CM,Complete Mediation)为了让强制或者自主访问控制有效,所有的访问必须受到控制。如果攻击者通过内存、外部端口、网络或者隐蔽通道请求访问,那么我们仅仅对文件实施访问控制是不够的。高安全操作系统执行全面调节,即所有的访问都必须经过检查,可信路径(TP, Trusted Path),恶意用户获得不合法访问的一种途径就是“欺骗”用户,使他们认为自己正和一个合法的安全系统通信,而实际上这时候他们键入的内容已经被截
16、获且分析了。如,恶意欺骗者可在用户和合法系统之间安置一个假冒的用户ID和口令系统。当要求用户输入识别信息时,欺骗者就获取了真正用户的ID和口令,然后它就能够使用这些真实的登录数据访问系统。因此,对于关键的操作,如设置口令或者更改访问许可,用户希望能进行无误的通信(称为可信路径),以确保他们只向合法的接收者提供受保护的信息,.可确认性(Accountability)可确认性通常涉及到维护与安全相关的、已发生的事件日志,即列出每一个事件和所有执行过添加、删除或改变操作的用户。显然,需要保护日志记录不被外界访问,并记录下所有与安全相关的事件,.审计日志归并(ALR,Audit Log Reducti
17、on)理论上,审计日志允许对影响系统的保护元素的所有活动进行记录和评估。但在实际应用中,由于其数据量很大且需要进行分析,对审计日志的处理是非常困难的。在大多数安全系统中,只需要在打开或关闭文件(或类似对象)的时候进行审计。一些安全系统实行审计数据精简功能,即用分离工具来精简审计数据的数量,.入侵检测(ID,Intrusion Detection) 是检测安全漏洞的能力,理想的情况下是在它们发生的时候就被检测出来。入侵检测系统构造了正常系统使用的模式,一旦使用出现异常就发出警告,有学者把安全操作系统定义为“具有最小特权,以强制访问控制功能为核心的加强安全性的操作系统”强制访问控制是一种多级访问控
18、制策略,它的主要特点是系统对访问主体和客体实行强制访问控制,系统事先给访问主体和客体分配不同的安全级别属性,在实施访问控制时,系统先对访问主体和客体的安全级别属性进行比较,再决定访问主体能否访问该客体。普通的操作系统采用任意访问控制,系统管理员可以访问任何目录与文件。在安全操作系统里,访问控制策略由安全管理员制定,系统管理员无权干预,参考下图,最小特权是对进程所访问的资源(文件、设备、网络和接口等系统资源)授与必要的最小权限。对用户划分各种角色,各个角色管理相应的资源,如下图所示,安全操作系统SELinux,国外比较有名的商用安全操作系统产品有Sun Microsystems 的Trusted
19、 Solaris 8、HP的HP-UX、Argus Systems Group的PitBull等 比较有名的开源安全操作系统有NAS的SELinux、Novell的AppArmor和LIDS LIDS的基本出发点是保护文件系统、保护进程系统和对核心进行封装,该系统通过权能(capability)机制实现对整个系统的控制,提供访问控制表支持,具有入侵检测和响应功能力 AppArmor基于对目录的保护 SELinux着重于细粒度的标记实施访问控制 AppArmor和LIDS的使用相对简单,但安全级别比SELinux低。SELinux追求完美的安全性,但安全策略设定较复杂 以下仅介绍SELinux的
20、安全机制,SELinux的主要功能,(1)强制访问控制强制访问控制对整个系统实施访问控制,通过“安全策略文件”集中管理。只有安全管理员能对安全策略文件进行设定和变更。例如,在安全策略文件里设定httpd_t领域(进程)对Web网页文件只能读,就算httpd_t 领域的权限被夺取,Web网页也不可能被篡改,(2) TE(类型裁决)对进程授与最小权限在TE里,对各进程分配相应的领域,对各资源(文件、设备、网络和接口等系统资源)分配相应的类型(打上标记),逐一对哪个领域、怎么样访问哪个类型进行定义。完全根据标记进行访问控制,而不是根据路径名实施访问,从而对进程所访问的资源授与必要的最小权限。这样,就
21、算在攻击者获取某进程有关信息的情况下,也可以把受害控制在最低限度,(3) 领域变更 控制和降低子进程的权限当某一领域(进程)启动子进程时,该子进程以另外的领域进行动作,即新的进程不具有像父进程那样大的权限,这样,可以防止子进程升权,(4) RBAC(基于角色的访问控制)对用户授与最低的权限在普通的Linux里,具有root权限的用户可对系统进行任意的操作。但在SELinux里,对包括取得root权限的全部的用户按“角色”来指定任务,如按数据库管理员、WEB管理员等进行访问控制,对系统实行分权管理,并定义各“角色”可使用的进程,(5)日志审计在SELinux里,所有没经过授权、被拒绝的访问记录保
22、留在日志文件里,安全管理员可根据这些记录来判断是否某些程序、进程等的安全策略没有配置好,还是属于非法访问 SELinux通常在几个月内更新一次,分布式系统的不足,软件什么样的OS、语言和应用适合这类系统?用户对分布处理了解多少?在分布处理方面,系统应该做多少?用户又应做多少?为分布式系统开发的软件还很少。 通信网络网络是分布式系统的基础,分布式系统是网络的高级发展形式。而网络方面的故障(带宽、信息丢失、通信延迟、网络负载趋于饱和、网络分割等等),会抵消通过建立分布式系统所获得的大部分优势 安全性若允许用户很方便地存取整个系统,则他们同样也就能很方便地存取与其无关的数据,从而导致对保密数据的访问
23、,破坏了安全性。此外。分布式系统在地域、资源、功能方面地分散性,也带来了系统的安全隐患 性能如何提高系统的响应时间和吞吐量?如何提高系统的利用率?,小结,OS的分类与发展 分布式计算机系统及其特点,多机系统与分布式系统的分类 分布式OS与集中式OS、网络OS的区别 分布式系统的拓扑结构 分布式OS的基本结构与层次划分 设计分布式OS应考虑的一些主要问题 分布式OS的控制策略和分布式算法 分布式进程及其管理 事件定序方法 解决互斥问题的分布式算法(Lamport算法,Ricard算法,Token传递算法),资源管理策略及算法(管理策略,投标、近者优先、分散式) 死锁及其处理方法(集中式、层次式死
24、锁检测算法) 进程通信(消息传递、RPC) 任务分配及负载平衡策略(传递、定位) 容错和可靠性技术 中间件技术 分布式系统的透明性 OS 的安全性,思考题,1.验证Lamports Algorithm算法的正确性,即该算法是否能保证(1)在任何时刻,最多只有一个进程位于临界段(安全性);(2)若位于临界段的进程在有限时间内退出临界段,则其它请求进入临界段的进程总会进入(可用性)。 2.请求驱动式令牌传递方法中,若pi发出request消息后久未获得Token,该怎么处理?若引入时戳,该算法应做何修改? 3.我们讨论了资源管理中的“近者优先”策略,试设计具体实现该策略的算法并进行算法分析。 4.试设计层次式死锁检测方法的具体算法并进行算法分析。 5.分析现有的负载平衡策略或算法,指出它们的不足,并就其中之一给出你的改进方法。 6.试对“合一-阈值”(merge-threshold)启发式任务分配算法进行详细设计,并对其进行时间和空间复杂性分析。,7.何时或在什么情况下构造局部或全局进程等待图才能反映系统的实际情况?在构造局部进程等待图时为什么不同站点提出资源申请时需要时戳? 8.何谓RPC, 如何使调用者正确的绑定被调用者? 9.何谓OS的安全性?对分布式OS而言,必须优先突破的安全技术是哪些。 10.设计和实现分布式 OS 的主要问题或困难是什么?如何解决它们试谈谈你的思路。,
