桌面操作系统平台的安全性

桌面操作系统平台的安全性
张建宇〔19908065〕
1.引言
在安全层次模型中，桌面操作系统的安全性属于系统级安全的范畴。

桌面操作系统向上为文件、名目、网络和群件系统等提供底层的安全保证平台。

桌面操作系统中的安全缺陷和安全漏洞，往往会造成严峻的后果。

因此，安全机制是桌面操作系统的一个重要组成部分；平台的安全级别是对其性能进行评估的一个重要指标。

本文将结合Linux、Windows NT 4.x中具体的安全策略，阐述桌面操作系统中常见的安全问题、安全性设计的要紧原那么和安全服务的要紧内容。

2.桌面操作系统中常见的安全问题
对提供网络服务的系统平台来说，安全性问题要紧表达在网络通信安全、网络非法入侵等方面。

然而，桌面操作系统所面对的安全问题和任务那么不大一样。

关于桌面操作系统的安全，要紧考虑的有如下几个：
A.恶意程序的威逼。

包括病毒、逻辑炸弹、后门、特洛伊木马等等。

B.不合法使用。

包括合法用户在未授权使用某些数据、资源或程序的情形
下越过系统的安全检查而越权访问；或者尽管属合法授权，但有意或无
意地错误使用某些功能而导致重要信息失密。

C.恶意入侵者。

他们的要紧目的是窃取数据和非法修改系统。

其手段之一
是窃取合法用户的口令，在合法身份的爱护下进行非法操作；其手段之
二便是利用操作系统的某些合法但不为系统治理员和合法用户所熟知的
操作指令。

D.应用程序的安全性。

系统应监督应用程序使用数据或资源权限的合法性。

程序的执行还应该采纳〝最小特权〞原那么，即程序应按照它能做事的
最小权限运行，否那么就有可能被人利用。

E.数据的安全性。

隐秘数据假如没有储存在安全的空间内，或者数据的加
密处理不够规范和健壮，也可能带来安全问题。

A项涉及到病毒预防和病毒防治的问题，E 项那么与数据加密相关，本文不做讨论。

B项和D项与系统的访问操纵机制有关，C项那么对应于系统的用户治理和用户身份认证机制，是本文讨论的重点。

3.安全性设计的原那么
针对桌面操作系统平台的安全性设计，Saltzer 和 Schroeder 提出了一些差不多原那么：
●系统设计必须公布。

认为入侵者由于不明白系统的工作原理而会减少入
侵可能性的方法是错误的，如此只能困惑治理者。

●默认情形应是拒绝访问。

合法访问被拒绝的情形比未授权访问被承诺的
情形更容易获知。

●检查操作的当前授权信息。

系统不应只检查访问是否承诺，然后只依照
第一次的检查结果而不理会后续的操作。

●为每个进程给予可能的最小权限。

每个进程只应当具备完成其特定功能
的最小权限。

●爱护机制必须简单、一致并建立到系统底层。

系统的安全性和系统的正
确性一样，不应当是一种附加特性，而必须建立到系统底层而成为系统
固有的特性。

●方案必须是心理上可接收的。

假如用户感受到为爱护自己的文件而必须
做这做那的话，用户就会有厌烦心理，同时可能因侥幸心理而可不能利
用所提供的方案爱护数据。

4.桌面操作系统的安全服务
与提供网络服务的系统不同，桌面操作系统的安全服务要紧包括如下两个方面：
●用户治理的安全性。

第一，是用户帐号的治理。

通常对用户帐号进行分组治理，同时这种分组治理应该是针对安全性问题而考虑的分组。

也确实是说，应该依照不同的安全级别将用户分为假设干等级，每一等级的用户只能访问与其等级相对应的系统资源和数据，执行指定范畴的程序。

其次，是用户口令的加密机制。

用户口令的加密算法必须有足够的安全强度，用户的口令存放必须安全，不能被轻易窃取。

最后，是认证机制。

身份认证必须强有力，在用户登录时，与系统的交互过程必须有安全爱护，可不能被第三方干扰或截取。

认证机制是用户安全治理的重点。

●访问操纵。

访问操纵实质上是对资源使用的限制，它决定主体是否被授权对客体执行某种操作。

它依靠于鉴别使主体合法化，并将组成员关系和特权与主体联系起来。

只有经授权的用户，才承诺访问特定的网络资源。

用户访问系统资源或执行程序时，系统应该先进行进行合法性检查，没有得到授权的用户的访问或执行要求将被拒绝。

系统还要对访问或执行的过程进行监控，防止用户越权。

程序的执行也应该受到监控。

程序执行应遵循〝最小〞特权原那么，程序不能越权调用执行另外一些与本程序执行无关的程序，专门是某些重要的系统调用；也不能越权访问无关的重要资源。

5.用户身份认证
用户身份认证通常采纳帐号/密码的方案。

用户提供正确的帐号和密码后，系统才能确认他的合法身份。

不同的系统内部采纳的认证机制和过程一样是不同的。

Linux的登录过程相对比较简单。

Windows NT采纳的是NT LAN Manager 〔或NTLM, 建立于1988年〕安全技术进行身份认证。

下面以Linux的认证过程为例。

通过终端登录Linux的过程描述如下：
●init 确保为每个终端连接〔或虚拟终端〕运行一个 getty 程序。

●getty 监听对应的终端并等待用户预备登录。

●getty 输出一条欢迎信息〔储存在 /etc/issue 中〕，并提示用户输入用
户名，最后运行 login 程序。

●login 以用户作为参数，提示用户输入密码。

●假如用户名和密码相匹配，那么 login 程序为该用户启动 shell。

否那
么，login 程序退出，进程终止。

● init 程序注意到 login 进程已终止，那么会再次为该终端启动 getty。

在上述过程中，唯独的新进程是 init 利用 fork 系统调用建立的进程，而getty 和 login 仅仅利用 exec 系统调用替换了正在运行的进程。

由于其后建立的进程均是由 shell 建立的子进程，这些子进程将继承 shell 的安全性属性，包括 uid 和 gid。

Linux在文本文件 /etc/passwd〔密码文件〕中储存差不多的用户数据库，其中列出了系统中的所有用户及其相关信息。

默认情形下，系统在该文件中储存加密后的密码。

因为系统中的任何用户均能够读取该文件的内容，因此，所有人均能够读取任意一个用户的密码字段，即 passwd 文件每行的第二个字段。

尽管密码是加密储存的，然而，所有密码均是能够破译的，专门是简单的密码，更能够不花大量时刻就能够破译。

许多 Linux 系统利用影象密码以幸免在密码文件中储存加密的密码，它们将密码储存在单独的 /etc/shadow 文件中，只有 root 才能读取该文件，而/etc/passwd 文件只在第二个字段中包含专门的标记。

帐号/密码的认证方案普遍存在着安全的隐患和不足之处：
●认证过程的安全爱护不够健壮，登录的步骤没有做集成和封装，暴露在
外，容易受到恶意入侵者或系统内特洛伊木马的干扰或者截取。

●密码的存放与访问没有严格的安全爱护。

比如，Linux 系统中全部用户
信息，包括加密后的口令信息一样储存于 /etc/passwd 文件中，而该文
件的默认访问许但是任何用户均可读，因此，任何可能获得该文件副本
的人，就有可能获得系统所有用户的列表，进而破译其密码。

●认证机制与访问操纵机制不能专门好地相互配合和衔接，使得通过认证
的合法用户进行有意或无意的非法操作的机会大大增加。

例如能够物理
上访问Windows NT机器的任何人，可能利用NTRecover、Winternal
Software 的 NTLocksmith等工具程序来获得Administrator级别的访
问权。

为此，Windows 2000对身份认证机制做了重大的改进，引入了新的认证协议。

Window 2000除了为向下兼容提供了对NTLM验证协议的支持以外〔作为桌面平台使用时〕,还增加了KerberosV5和TLS作为分布式的安全性协议。

它支持对smart cards的使用,这提供了在密码基础之上的一种交互式的登录。

Smart cards支持密码系统和对私有密钥和证书的安全储备。

Kerberos客户端的运行时刻是通过一个基于SSPI的安全性接口来实现的,客户Kerberos验证过程的初始化集成到了WinLogon单一登录的结构中。

6.访问操纵
系统中的访问操纵通常通过定义对象爱护域来实现。

爱护域是指一组〔对象、权限〕对，每个〔对象，权限〕对指定了一个对象以及能够在那个对象上执行的操作子集。

爱护域能够相互交叉。

进程在执行过程中，能够依照情形在不同的爱护域中切换，不同的系统对切换规那么的定义不同。

针对爱护域的爱护机制，最常见的属访问操纵列表〔Access Control Lists，ACL〕。

在 ACL 中，每个对象具有一个关联列表，该列表定义了所有可能访问该
对象的爱护域，以及给予这些爱护域的访问权限。

如下所示，假定我们有四个用户：user1、user2,、dev1、 dev2，分别属于 users 组和 devs 组，系统中的文件
〕权限，减号代表拒绝对应的权限，星号代表所有的用户或组。

Linux 和 Windows NT 均采纳 ACL机制爱护系统对象，但它们在实施上有些差别。

那个地点我们以Windows NT的访问操纵机制为例。

6.1.Windows NT 的访问操纵模型
当用户登录到 Windows NT 系统时，和 UNIX 系统类似，Windows NT 也使用帐号/密码机制验证用户身份。

假如系统承诺用户登录，那么安全性子系统将建立一个初始进程，并创建一个访问令牌，其中包含有安全性标识符〔SID〕，该标识符可在系统中唯独标识一个用户。

初始进程建立了其他进程之后，这些进程将继承初始进程的访问令牌。

访问令牌有两个目的：
●访问令牌储存有全部的安全性信息，可加速访问验证过程。

当某个用户
进程要访问某个对象时，安全性子系统可利用与该进程相关的访问令牌
判定用户的访问权限。

●因为每个进程均有一个与之相关联的访问令牌，因此，每个进程也能够
在不阻碍其他代表该用户运行的进程的情形下，在某种可承诺的范畴内
修改进程的安全性特点。

Windows NT 初始时禁止所有的用户可能拥有的特权，而当进程需要某个特权时，才打开相应的特权。

由于 Windows NT 的进程均有一个自己的访问令牌，其中包含有用户的特权信息，因此，进程所打开的特权只在当前进程内有效，而可不能阻碍其他进程。

这种治理方法的优点的比较明显的，但也会造成对系统性能的负面阻碍。

为了实现进程间的安全性访问，Windows NT 采纳了安全性描述符。

安全性描述符的要紧组成部分是访问操纵列表，访问操纵列表指定了不同的用户和用户组对某个对象的访问权限。

当某个进程要访问一个对象时，进程的 SID 将和对象的访问操纵列表比较，决定是否运行访问该对象。

以下图给出了访问令牌、安全标识符、安全性描述符以及访问操纵列表之间的关系。

访问令牌中包含有用户的安全标识符、用户所在组的安全标识符以及相应的访问权限。

Windows NT 在内部利用用户安全标识符，以及组安全标识符唯独标识用户或组。

系统在每次建立新的用户或组时，建立唯独的用户或组安全标识符。

Windows NT 的 ACL 由 ACE 〔访问操纵项〕组成，每个 ACE 标识用户或组对某个对象的访问许可或拒绝。

ACL 第一列出拒绝访问的 ACE，然后才是承诺访问的 ACE。

当 Windows NT 依照进程的存取令牌确定访问许可时，依据如下规那么：
A.从 ACL 的顶部开始，检查每项 ACE，看 ACE 是否显式拒绝了进程的访
问要求，或者拒绝了用户所在组的访问要求。

B.连续检查，看是否进程所要求的访问类型差不多显式地授予用户，或授
予用户所在的组。

C.对 ACL 中的每项 ACE 重复 A，B 步骤，直到遇到拒绝访问，或直到累
计所有要求的许可均被满足为止。

D.假如关于某个要求的访问许可，在 ACL 中既没有授权，也没有拒绝，那
么拒绝访问。

当 Windows NT 判定是否授予某个进程对指定对象的访问要求时，一样通过如下步骤：
A.进程用要求的许可打开对象。

例如，用户以读写方式打开文件。

B.系统利用与该进程相关联的访问令牌和对象的 ACL 比较，以判定是否承
诺用户利用要求的许可打开对象。

C.假如授权许可，系统将为对象建立一个句柄，并建立一个授权许可表。

这些句柄和授权许可表返回到进程中，并在进程的对象表中存放。

D.Windows NT 只在打开对象时才检查 ACL。

在打开的对象上随后进行的操
作，按照在 C 中储存的对象权限表进行，而不是每次均和 ACL 比较，
这要紧是出于性能考虑。

由于授权许可表只反映了打开对象时的对象安
全描述符状态，在关闭这一对象之前，进程对该对象的访问一直沿用最
初的授权许可表，因此，在关闭之前的对象 ACL 的变化，可不能阻碍关
闭之前的操作。

7.总结
桌面操作系统的安全机制要紧表达在身份认证和访问操纵两个方面。

身份认证是要保证合法的用户使用系统，防止非法侵入。

访问操纵是要保证授权和受控
地访问和使用系统资源。

常用的桌面操作系统有Linux 和Windows NT。

Linux 作为UNIX克隆，采纳的是 UNIX在安全性方面成功的技术，是经受了近 20 年考查的技术。

尽管有一些安全漏洞，但因为设计上的开放性，这些漏洞能够在专门快的时刻内发觉并得到解决方案。

相比起来，尽管 Windows NT采纳的ACL 技术更加复杂和严密，但因为其密码加密步骤过于简单，它的密码容易被破解。

安全性设计上的不公布性，也导致可能有许多安全漏洞尚未发觉。

将要公布的Windows 2000系统，采纳了专门多新的认证技术和协议，访问操纵也设计得更加安全和灵活。

然而，庞大的Windows 2000系统的安全机制是否确实健壮可靠，还需要经受时刻的考查。

参考资料：
● :// /
● :// isbase /
●魏永明郑翔：«学用 Linux 和 Windows NT»
●«中国运算机世界报»1998年第10期，Michael Moeller / 李海译：«用NT
5.0来爱护你的业务»。