操作系统安全性

身份鉴别服务器 ②
证书 客户ID 会话密钥 会话密钥
7.2.4 加密
加密是将信息编码成像密文一样难解形式的技 术，在现代计算机系统中，加密的重要性在迅 速增加。在通过网络互连的计算机系统中，想 要提供一种信息不可达的机制是困难的。因此， 信息被加密成若不解密则其信息内容就不可见 的形式。加密的关键处在要能高效地建立从根 本上不可能被未授权用户解密的加密算法。后 面我们将对现代加密手段进行详细描述。
7.2.2 身份鉴别机制
身份鉴别机制是大多数保护机制的基础。身份 鉴别分为内部和外部身份鉴别两种。外部身份 鉴别涉及验证某用户是否是其宣称的。例如， 某用户用一个用户名登录了某系统，此系统的 基本外部身份鉴别机制将进行检查以证实此用 户的登录确实是预想中拥有此用户名的用户。 最简单的外部验证是赋予每个账号一个口令， 账号可能是广为人知的，例如，它可能被用作 一个电子邮件地址，而口令则对使用此账号的 人员保密，此口令作为一个实体只能被此账号 的拥有者或系统管理员改变。操作系统机制支 持这种验证来确保不存在通过某些隐蔽的方式 绕过验证机制的可能。
CH7 操作系统安全性
首先，操作系统是一个共享资源系统，支持多用户同时 共享一套计算机系统的资源，有资源共享就需要有资源 保护，涉及到种种安全性问题；
其次，随着计算机网络的迅速发展，客户机要访问服务 器，一台计算机要传送数据给另一台计算机，于是就需 要有网络安全和数据信息的保护；
另外，在应用系统中，主要依赖数据厍来存储大量信息， 它是各个部门十分重要的一种资源，数据库中的数据会 被广泛应用，特别是在网络环境中的数据库，这就提出 了信息系统——数据库的安全性问题；
最简单的伪装事例是多人合用一个合法的用 户名及口令。系统现在不能区分这些伪装成 一个人的人们，所以它不能为他们提供安全 保证。
另一更严重的伪装发生在某授权用户把用户 名和口令遗留在公共地点或用户名早就为人 所知，而口令又被被人轻易猜出的情况下。 一旦知道远程系统某用户登录名，某计算机 就可利用此用户名与另一台计算机初始化一 段对话模拟出一次合法的远程登录对话，然 后，伪装的计算机与验证进程建立起连接， 然后，迅速地、系统性地对已知用户名尝试 多个不同的口令。当验证进程检测到反复的 密码提供错误时，它可侦测到这种闯入尝试 从而在这种错误达到一定次数时终止这次连 接。但是，伪装的机器稍后将可重新建立并 继续搜寻此登录名的密码。
口令很容易泄密，可要求用户定期修改口令， 以进一步保证系统的安全性。
7.1.1.2 用户级安全管理
用户级安全管理，是为了给用户文件分配文件 “访问权限”而设计的。用户对文件访问权限 的大小，是根据用户分类、需求和文件属性来 分配的。例如，Unix中，将用户分成三类：文 件主、授权用户和一般用户。 已经在系统中登录过的用户都具有指定的文件 访问权限，访问权限决定了用户对哪些文件能 执行哪些操作。当对某用户赋予其访问指定目 录的权限时，他便具有了对该目录下的所有子 目录和文件的访问权。通常，对文件可以定义 的访问权限有：建立、删除、打开、读、写、 查询和修改。
7.3身份鉴别
7.3.1 用户身份鉴别 用户标识符和口令的组合被广泛用于操作系统来
进行用户身份鉴别。 操作系统还可以使用附加手段来确认某用户是否
是其宣称的。这些手段也许会涉及到类似于银 行允许用户通过电话传送资金这一技术。用户 可能会被要求提供除密码外的附加信息，这些 视策略中授予用户的权限而定。 现代操作系统甚至会采用指纹或眼球扫描技术等 手段。
7.1.1.3 文件级安全管理
文件级安全性是通过系统管理员或文件 主对文件属性的设置，来控制用户对文 件的访问。通常可对文件置以下属性： 执行、隐含、修改、索引、只读、写 、 共享等。
7.1.2 通信网络安全管理
网络操作系统必须采用多种安全措施和手段，其主要有：
l用户身份验证和对等实体鉴别：远程录入用户的口令应当加密， 密钥必须每次变更以防被人截获后冒名顶替。网络环境下，一个用 户向另一个用户发送数据，发主必须鉴别收方是否确定是他要发给 信息的人，收方也必须判别所发来的信息是否确定是由发送者个人 发来，这就是对等体鉴别。
7.1 安全性概述
从信息安全性的角度出发，安全性的实 现包括下面几个层次。
7.1.1.1 系统级安全管理
系统级安全管理的任务是不允许未经核准的用 户进入系统，从而也就防止了他人非法使用系 统的资源。主要采用的手段有： l注册 系统设置一张注册表，登录了注册用户 名和口令等信息，使系统管理员能掌握进入系 统的用户的情况，并保证用户各在系统中的唯 一性。 l登录 用户每次使用时，都要进行登录，通 过核对用户名和口令，核查该用户的合法性。 同时也可根据用户占用资源情况进行收费。
内部身份鉴别机制确保某进程不能表现 为除了它自身以外的进程。若没有内部 验证，某用户可以创建一个看上去属于 另一用户的进程。从而，即使是最高效 的外部验证机制也会因为把这个用户的 伪造进程看成另一个合法用户的进程而 被轻易地绕过。
7.2.3 授权机制
授权机制确认用户或进程只有在策略许 可某种使用时才能够使用计算机的实体 （例如资源）。授权机制依赖于安全的 验证机制的存在。
在此协议中，身份鉴别服务器必须是可信 的，因为它拥有一份客户机证明的安全复 件，它知道如何进行只有客户机才能解密 的信息加密方法，还可以创建一个独特的 会话密钥来代表客户机和服务器间的会话。 因为身份鉴别服务器能够为客户机和服务 器加密信息，它可提供给客户机一个“容 器”---含有客户机不可读但可传送给服 务器的信息的证书。这类似于拥有一张背 面印有代表账号数字的条形码的信用卡， 你事实上根本不能从条形码中读出什么， 但当你把此卡提交给一台自动柜员机（服 务器）时，柜员机可从条形码中读出你的 账号。信用卡就是一张拥有加密账号数字 的令牌（虽然它没有会话密钥）。
计算机病毒的防治不外乎三个 方面：
一是病毒的预防，指采取措施保护传染对象不 受病毒的传染； 二是病毒的发现，指不能有效预防病毒入侵时， 应该尽早根据计算机系统中产生的种种蛛丝马 迹发现病毒的存在，以便消除它； 三是病毒的消除，有专门的杀毒工具，如 Vsafe、MSAV、Kill等，用来杀毒和解毒，使系 统恢复正常。
信息安全是指保护信息以防止未授权者对 信息的恶意访问、泄漏、修改和破坏，从 而导致信息的不可靠或被破坏。它可以用 CIA来表示，机密性（Confidentiality）定义 了哪些系统资源不能被未授权用户访问； 完整性（Integrity）决定了信息不能被未授 权的来源所替代或遭到改变和破坏；可用 性（Availability）防止非法独占资源，每当 用户需要并有权访问时，总能访问到所需 的信息资源。
l访问控制：除了网络中主机上要有存取访问控制外，应当将访问 控制扩展到通信子网，应对哪些网络用户可访问哪些本地资源，以 及哪些本地用户可访问哪些网络资源进行控制。
l数据完整性：防止信息的非法重发，以及传送过程中的篡改、替 换、删除等，要保证数据由一台主机送出，经网络链络到达另一台 主机时完全相同。
l加密：加密后的信息即使被人截取，也不易被人读懂和了解，这 是存取访问控制的补充手段。
7.3.2 网络中的身份鉴别
7.3.3 Kerberos网络身份鉴别
Kerberos是一套可用于验证一个用不可 靠网络中的计算机进入另一台计算机的 网络协议。
在 Kerberos 中 ， 它 假 设 在 一 台 计 算 机 （客户机）上的进程利用网络通信希望 占有另一台计算机（服务器）上进程的 服 务 。 Kerberos 提 供 一 台 身 份 鉴 别 服 务 器及协议来允许客户机和服务器传送验 证消息到特定会话段中的协助进程中。 在协议中遵守以下步骤（图示见图7-2）：
信息系统的安全性可用4A的完善程度来衡量， 即 用 户 身 份 验 证 （ Authentication ） 、 授 权 （ Authorization ） 、 审 计 （ Audit ） 和 保 证 （Assurance）。用户身份验证是指在用户获 取信息、访问系统资源之前对其身份的标识进
行确定和验证，以保证用户自身的合法性；授
7.2 安全性和保护的基本机制
7.2.1 策略与机制 在操作系统中要强调机制和策略的区别。
机制 是用于为实现任何不同种类策略提供工具的组件的 集合。
策略 则是特定的指定实现某项确定目标方法的策略。例 如，除了交换信息外，某种特殊的通讯策略不允许两个 进程分享资源。支持此策略的通讯机制就需要支持消息 传送，可能是通过把一个进程地址空间内的信息复制到 另一进程的方法。在另一种情况下，某必须的页面机制 可能支持不同的替换算法策略。一个系统的安全策略制 订了对本组织人员和非本组织人员资源的共享方式。机 制是系统提供用于强制执行策略的特定步骤和工具。
l防抵赖：防止收发信息双方抵赖纠纷。收方收到信息，他要确保 发方不能否认曾向他发过信息，并要确保发方不否认收方收到的信 息是未被篡改过的原样信息。发方也会要求收方不能在收到信息后 抵赖或否认。
l 审计：审计用户对本地主机的使用，还应审计网络运行情况。
网络系统安全保障的实现方法分两大类： 一类是以防火墙技术为代表的防卫型网 络安全保障系统。它是通过对网络作拓 扑结果和服务类型上进行隔离，在网络 边界上建立相应的网络通信监控系统， 来达到保障网络安全的目的。实现防火 墙所用的主要技术有：数据包过滤、应 用网关和代理服务来自百度文库(Proxy Server)等。
权是指使不同的用户能用各自的权限合法地访
问他们可使用的信息及系统资源；审计是对各
种安全性事件的检查、跟踪和记录；保证的作
用是在意外故障乃至灾难中信息资源不被破坏 与丢失。
病毒
计算机病毒是一个能够通过修改程序， 并把自身的复制品包括在内去“传染” 其它程序的一种程序。 计算病毒具有破坏性、隐蔽性、传染性、 和表现性等特性
另一类是建立在数据加密和用户授权确认机制上 的开放型网络安全保障系统。这类技术的特征是 利用数据加密技术来保护网络系统中包括用户数 据在内的所有数据流，只有指定用户或网络设备 才能解译加密数据，从而在不对网络环境作特殊 要求的前提下从根本上解决网络安全性问题。数 据加密技术可分为三类：对称型加密、不对称型 加密和不可逆加密。对称型加密使用单个密钥对 数据进行加密或解密，计算量小、加密效率高， 但密钥管理困难，使用成本高，保安性能差。不 对称加密也称公用密钥算法，它采用公用和私有 二个密钥，只有二者搭配使用才能完成加解密过 程。不可逆加密算法的特征是加密过程不需要密 钥，经过加密的数据无法被解密，只有同样的输 入数据，经过同样的不可逆加密算法才能得到相 同的加密数据。但其加密计算工作量大，仅适用 于数据量有限的场合。
访问授权
进程 机器Y
访问授权 进程
机器X
访问授权
资源
访问授权
内部 外部
对交互式计算机，通常的做法是为系统 保存一个所有授权用户的登录账号纪录。 一个可证明他（她）身份的用户便有权 使用计算机，正如图7-1所示，登录进某 机器的用户若正试图登录另一台远程机 器的话，他必须先被授权使用本地机器。 远程机器可能会使用另一种形式的授权 进程。
最后,计算机安全性中的一个特殊问题是计算机病毒， 需要采用措施预防、发现、解除它。上述计算机安全性 问题大部份要求操作系统来保证，所以操作系统的安全 性是计算机系统安全性的基础。
按照ISO通过的“信息技术安全评价通用准则” 关于 操作系统、数据库这类系统的安全等级从低到高分为 七个级别：
l D 最低安全性 l C1 自主存取控制 l C2 较完善的自主存取控制、审计 l B1 强制存取控制 l B2 良好的结构化设计、形式化安全模型 l B3 全面的访问控制、可信恢复 l A1 形式化认证 目前流行的几个操作系统的安全性分别为： DOS ： D 级 ； Windos NT 和 Saloris ： C2 级 ； OSF/1：B1级；Unix Ware 2.1：B2级。