第11章-操作系统的安全性资料ppt课件

《第11章-操作系统的安全性资料ppt课件》由会员分享，可在线阅读，更多相关《第11章-操作系统的安全性资料ppt课件（83页珍藏版）》请在装配图网上搜索。

1、经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用1第第11章章 操作系统的安全性操作系统的安全性清华大学清华大学本章知识点：本章知识点：11.1安全性概述安全性概述 11.2安全保护机制安全保护机制 11.3病毒及其防御病毒及其防御 11.4加密技术加密技术 11.5安全操作系统的设计安全操作系统的设计 11.6系统举例（略）系统举例（略）经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用211.1 安全性概述安全性概述 11.1.1

2、 安全性的内涵安全性的内涵1.安全性 系统的安全性包括以下几方面的内容：保护系统内的各种资源免遭自然与人为的破坏；估计到操作系统存在的各种威胁，以及它存在的特殊问题；开发与实施卓有成效的安全策略，尽可能减少系统所面临的各种风险；准备适当的应急措施，使系统在遭到破坏或攻击时能尽快恢复正常；定期检查各种安全管理措施的实施情况。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用311.1.1 安全性的内涵安全性的内涵不同的计算机操作系统有不同的安全要求，但总的来说系统应具有如下特性：(1)保密性(Security)(2)

3、完整性(Integrity)(3)可用性(Availability)经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用411.1.1 安全性的内涵安全性的内涵2.对计算机系统安全性的主要威胁对计算机系统安全性的威胁主要来自以下3个方面：(1)偶然无意(2)自然灾害(3)人为攻击前两个方面是被动的，也可以说是偶然发生的，人们主要是采取一定的预防措施来避免它们的发生。而对于第三个方面则必须加强系统的安全性来防范。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品

4、的价款或接受服务的费用511.1.2 操作系统的安全性操作系统的安全性 1.操作系统的安全性操作系统的安全性是计算机系统安全性的关键。一个操作系统应具有如下功能：用户身份鉴别。内存保护。文件及I/O设备存取控制。对一般实体进行分配与存取控制，并对其实行一定的控制与保护。共享约束。在考虑操作系统安全机制的同时，也要确保系统用户享有公平的服务，而不出现永久的等待服务；还要确保操作系统为进程同步与异步通信提供及时的响应。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用611.1.2 操作系统的安全性操作系统的安全性 传

5、统操作系统中的安全机制：经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用711.1.2 操作系统的安全性操作系统的安全性Saltzer,J.和Schroeder,M.曾提出了保密安全操作系统设计的原则：最小权限。机制的经济性。开放式设计。完整的策划。权限分离。最少通用机制。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用811.1.2 操作系统的安全性操作系统的安全性2.操作系统的安全保护 操作系统的安全方法可以从隔离、分层、内核三

6、个方面来考虑。在隔离的问题上，Rushby和Randel指出，应该从如下几个方面考虑：物理分离。时间分离。逻辑分离。密码分离。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用911.1.2 操作系统的安全性操作系统的安全性一个操作系统可以在任何层次上提供如下保护：无保护。隔离。完全共享和无共享。存取权限的保护。权能共享的保护。实体的使用限制。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用1011.1.3 操作系统的安全性级别操作系

7、统的安全性级别美国国防部把计算机系统的安全从低到高分为4等(D、C、B、A)和8级(D1、C1、C3、B1、B2、B3、A1、A2)，从最低级(D1)开始，随着级别的提高，系统的可信度也随之增加，风险也逐渐减少。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用1111.1.3操作系统的安全性级别操作系统的安全性级别1.D等最低保护等级这一等只有一个级别D1，又叫安全保护欠缺级，列入该级别说明整个系统都是不可信任的，它不对用户进行身份验证，任何人都可以使用计算机系统中的任何资源，不受任何限制，并且硬件系统和操作系统

8、非常容易被攻破。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用1211.1.3操作系统的安全性级别操作系统的安全性级别2.C等自主保护等级 这一等分为两个级别(C1和C2)，它主要提供选择保护（需要知道选择什么）：C1级称为自主安全保护级。它支持用户标识与验证、自主型的访问控制和系统安全测试；它要求硬件本身具备一定的安全保护能力，并且要求用户在使用系统之前一定要先通过身份验证。C2级称为受控安全保护级，它更加完善了自主型存取控制和审计功能。C2级针对C1级的不足之处做了相应的补充与修改，增加了用户权限级别，经营

9、者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用1311.1.3操作系统的安全性级别操作系统的安全性级别3.B等强制保护等级这一等分为3个级别(B1、B2、B3)，它检查对象的所有访问并执行安全策略，因此要求客体必须保留敏感标记，可信计算机利用它去施加强制访问控制保护。B1级为标记安全保护级。它的控制特点包括非形式化安全策略模型，指定型的存取控制和数据标记，并能解决测试中发现的问题。B2级为结构化保护级。它的控制特点包括形式化安全策略模型(有文件描述)，并兼有自主型与指定型的存取控制，同时加强了验证机制，使系统能够抵

10、抗攻击。B3级为安全域级。它满足访问监控要求，能够进行充分的分析和测试，并且实现了扩展审计机制。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用1411.1.3操作系统的安全性级别操作系统的安全性级别4.A等验证保护等级 它使用形式化安全验证方法，保证使用强制访问控制和自主访问控制的系统，能有效地保护该系统存储和处理秘密信息和其他敏感信息。A等又分为两级(A1、A2)。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用1511.2 安

11、全保护机制安全保护机制本节将从进程支持、内存及地址保护、存取控制、文件保护和用户身份鉴别等方面介绍操作系统的安全保护机制。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用1611.2.1 进程支持进程支持 对操作系统安全性的基本要求是，当受控路径执行信息交换操作时，系统能够使各个用户彼此隔离。所有现代操作系统都支持一个进程代理一个用户的概念，并且在分时和多道程序运行的系统中，每个用户在自己的权限内都可能会有几个同时运行的进程。由于多道程序运行是多用户操作系统安全性的中心问题，所以进程的快速转换是非常重要的。经营者

12、提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用1711.2.1 进程支持进程支持 为描述和控制进程的活动，系统为每个进程定义了一个数据结构，即进程控制块PCB，系统创建一个进程的同时就为它设置了一个进程控制块，用它去对进程进行控制和管理，进程任务完成了，系统回收其PCB，该进程就消亡了。系统将通过PCB而感知相应的进程，进程控制块PCB是进程存在的惟一标志。进程控制块PCB包含了进程的描述信息和控制信息。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款

13、或接受服务的费用1811.2.2 内存及地址保护内存及地址保护 多道程序中的一个最明显的问题是防止一道程序在存储和运行时影响到其他程序。操作系统可以在硬件中有效使用硬保护机制进行存储器的安全保护。现在最常用的是界址、界限寄存器、重定位、特征位、分段、分页和段页式机制。1.界址 最简单的内存保护机制是将系统所用的存储空间和用户空间分开。界址则是将用户限制在地址范围的一侧的方法。在这种方法中，界址被预先定义为内存地址，以便操作系统驻留在界址的一边而用户使用另一边的空间。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用

14、1911.2.2 内存及地址保护内存及地址保护固定界址：可变界址寄存器：地址0内存操作系统用户空间NN+1硬件地址限制地址范围地址0内存操作系统用户空间NN+1界址寄存器地址范围N+1经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用2011.2.2 内存及地址保护内存及地址保护2.重定位 我们可以将系统实际赋给程序的内存起始地址的值作为一个常数重定位因子。先将程序的起始地址视为0（这时程序内的每个地址的值实际上就是相对于起始地址的偏移值），在把程序真正装入到内存时再将常数重定位因子加到程序内的每个地址上，使得程序

15、执行时所涉及的所有和实际地址有关的地址都相应得到改变，这个过程，我们称之为重定位(Relocation)。界址寄存器可以作为硬件重定位设备。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用2111.2.2 内存及地址保护内存及地址保护3.基址/界限寄存器 在两个或多个用户情况下，任何一方都不能预先知道程序将被装入到内存的什么地址去执行，系统通过重定位寄存器提供的基址来解决这一问题。程序中所有的地址都是起始于基地址（程序在内存中的起始地址）的位移，由此可见，基地址寄存器提供了向下的界限，而向上的地址界限由谁来提供呢

16、？系统引进了界限寄存器，其内容作为向上的地址界限。于是每个程序的地址被强制在基址之上，界限地址之下。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用2211.2.2 内存及地址保护内存及地址保护基址/界限寄存器对：两对基址/界限寄存器：内存操作系统用户空间 ANN+1PP+1用户空间 B用户空间 CQQ+1基址寄存器械N+1界限寄存器P+1 地址 内存 程序基址寄存器 操作系统 程序界限寄存器 用户 A 程序 空间 数据基址寄存器 用户 B 数据 空间 用户 A 数据 用户程序 数据界限寄存器 空间 和 数据 用

17、户 C 程序 空间 空间 用户 C 数据 空间 用户 B 程序 空间经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用2311.2.2 内存及地址保护内存及地址保护4.特征位结构 下面介绍内存地址保护的另一种方法使用特征位结构，即在机器内存的每个字中都有一个或多个附加位表示该字的存取权限，这些存取位仅能被特权指令（操作系统指令）设置。在程序状态字中同样设置特征位，每次指令存取该单元时都对这些位进行检查，仅当两者的特征位相匹配时才允许访问，否则产生保护中断。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加

18、赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用2411.2.2 内存及地址保护内存及地址保护5.分段、分页和段页式 程序可以被划分为许多具有不同存取权限的块，每块具有一个逻辑实体，可以是一个过程代码或是一个数组的数据等等。从逻辑上讲，程序员将程序看做一系列段的集合，段可以分别重定位，允许将任何段放在任何可用的内存单元内。操作系统通过在段表中查找段名以确定其实际的内存地址，用户程序并不知道也无需知道程序所使用的实际内存地址。这种地址隐藏的意义：其一，操作系统可以将任何段移到任何内存单元中。其二，若段当前未使用的话，可以将其移出主内存，并存入辅存中，这样可以让出存储空间。其

19、三，每个地址引用都经由操作系统处理，以保证系统行使其安全保护检查的职责。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用2511.2.2 内存及地址保护内存及地址保护 和程序分段相对应的是分页。从保护的角度来看，分页可能有一个严重的缺陷，它和分段不同，分段有可能将不同的段赋予不同的保护权限(如只读或只执行)，可以在地址转换中很方便地解决保护问题，而使用分页由于没有必要将页中的项看做整体，因此，不可能将页中的所有信息置为同一属性。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿

20、的金额为消费者购买商品的价款或接受服务的费用2611.2.3 存取控制存取控制在计算机系统中，安全机制的主要目的是存取控制，它包含3个方面的内容：授权，即确定可给予哪些主体存取实体的权力；确定存取权限；实施存取权限。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用2711.2.3 存取控制存取控制 存取控制实现以实体保护为目标，内存保护是实体保护的特殊情况。随着多道程序概念的提出，可共享实体种类及数目在不断增加，需要保护的实体也不断地扩充。存取控制机制对实体保护实现的具体过程是检查每个存取，拒绝超越存取权限的行为

21、，并防止撤权后对实体的再次存取；实施最小权限原则，其含义是主体为完成某些任务必须具有的最小的实体存取权限，并且不能对额外信息进行存取；存取验证除了检查是否存取外，还应检查在实体上所进行的活动是否适当。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用2811.2.3 存取控制存取控制下面将进一步讨论几种一般实体的保护机制。1.目录 用目录机制实现实体保护是一种简单的保护工作方式。这像文件目录一样，每个文件有一个惟一的文件主，它拥有大多数存取权限，并且还可以对文件授权、撤权。为了防止伪造存取文件，系统不允许任何用户对

22、文件目录执行写操作。因此，只能通过文件主命令控制下的操作系统来维护所有的文件目录，用户可以通过系统进行合理的目录操作，但禁止用户直接对目录存取。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用2911.2.3 存取控制存取控制目录控制表：用 户1 目 录 表 文 件文 件 名存 取 权 限文 件 指 针文 件1O R W文 件2O X文 件3R文 件4O R W 用 户2 目 录 表文 件 名存 取 权 限文 件 指 针文 件1R文 件2R W文 件3O R W经营者提供商品或者服务有欺诈行为的，应当按照消费者的

23、要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用3011.2.3 存取控制存取控制2.存取控制表 存取控制表是用来记录所有可存取该实体的主体和存取方式的一类数据结构。每个实体都对应一张存取控制表，表中列出所有的可存取该实体的主体和存取方式。这和目录表是不同的，目录表是由每个主体建立的，而存取控制表则是由每个实体建立的。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用3111.2.3 存取控制存取控制存取控制表：目 录 存 取 控 制 表 文 件文 件存 取 控 制 表指 针文 件1文

24、 件2用 户权 限AO W RBRCR WARBO R WCR W文件1文件2经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用3211.2.3 存取控制存取控制3.存取控制矩阵 将目录看做是单个主体能存取的实体表，而将存取表看做是记录能存取单个实体的主体表。如果将存取控制表用另一种形式表示，则可以形成一张行用于表示主体，列表示实体的存取矩阵，每个记录则表示该主体对实体的存取权限集。这样的存取控制矩阵是个稀疏矩阵，大多数主体对大多数实体并无存取权限，它可被表示为一个三维向量主体，实体，权限。经营者提供商品或者服务有

25、欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用3311.2.3 存取控制存取控制4.权能 所谓权能，其原理是主体可以建立新的实体并指定在这些实体上所允许的操作。权能是一张不可伪造的标志或凭证，它提供主体对某一实体的特定权限，其中也包括了允许主体对客体存取的具体类型以及其它特殊操作类型。系统不是直接将此凭证发给用户，而是由操作系统以用户的名义拥有所有凭证。只有在通过操作系统发特定请求时，用户才建立权能。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用341

26、1.2.3 存取控制存取控制5.面向过程的存取控制 存取控制的目标是，同时控制对某一实体的存取主体和存取方式。对大多数操作系统来说，对读和写的存取控制相对简单一些，但对更为复杂的控制则很难实现。借助于面向过程的保护，即借助一个对实体进行存取控制的过程(例如，对操作系统所提供的用户身份的鉴定)，在实体周围形成一个保护层，达到仅允许特定存取之目的。过程可以通过可信任接口请求存取实体是面向过程的保护所具有的特性，。在实际操作系统中采用存取控制时，需要在它的简单性和功能性之间权衡。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服

27、务的费用3511.2.4 文件保护文件保护 文件系统是操作系统的又一个重要部分，文件系统的结构体现了操作系统的特点，也极大地影响操作系统的性能，是操作系统设计中的基础与难点。对文件系统的安全保护机制分为对文件系统本身和对文件存储载体的安全保护。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用3611.2.4 文件保护文件保护1基本保护 所有多用户操作系统都必须提供最小的文件保护机制，以防止用户有意或无意对系统文件和其他用户文件的存取或修改，这是最基本的保护。随着用户数目增多，保护模式的复杂性也随之增加。经营者提供

28、商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用3711.2.4 文件保护文件保护2全部/无保护 在最初的操作系统中，文件被默认为是公用的，任何用户都可以读、修改或删除属于其他用户的文件，这是一种基于信任的保护原则，对某些敏感的特定文件，一般借助于口令的方式进行文件的保护，将口令用于控制所有存取(读、写、删除)，或仅控制写及删除存取，这种干预是通过系统操作员来完成的。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用3811.2.4 文件保护文

29、件保护3组保护 组保护主要用于标识一组具有某些相同特性的用户。通常的做法是，将系统中所有用户分为3类：普通用户、可信用户、其他用户。所有授权的用户都被分为组，共享是选择组的基础，一个组可以是一些在一个相同项目上工作的成员、部门、班级或单个用户，组中成员具有相同的兴趣并且假定和组中其他成员共享文件，一个用户不能属于多个组。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用3911.2.4 文件保护文件保护4.单许可保护单许可保护是指允许用户对单个文件进行保护，或者进行临时权限设置。下面介绍具体方法：(1)口令保护机制

30、用户将口令赋给一个文件，对该文件的存取只限于提供正确口令的用户，口令可用于任何存取或是只用于修改。文件口令同样也带来口令丢失、泄露、取消等问题。(2)临时获得许可权UNIX操作系统提供了另一种许可模式，它将基本保护设为3个层次：文件主，同组用户，其他用户。其中重要的是设置用户标识SUID许可。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用4011.2.4 文件保护文件保护5单实体及单用户的保护 针对上面描述的保护模式存在的限制，将单许可保护方式进行扩展，就形成了单实体及单用户保护。利用存取控制表或存取控制矩阵可

31、以提供非常灵活的保护方式。但是它也存在着缺点，由于允许一个用户赋予其它不同用户存取不同数据集的权利，每一个新加入用户的特殊存取权都必须由其它相应用户指定。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用4111.2.5 用户身份鉴别用户身份鉴别操作系统的许多保护措施都是基于鉴别系统中合法用户的，身份鉴别是操作系统中很重要的一个方面，也是用户获得权限的关键。现在最常见的用户身份鉴别机制是口令。1.使用口令(1)口令的使用 口令是计算机和用户双方知道的某个关键字，是一个需要严加保护的对象，它作为一个确认符号串只能由用

32、户和操作系统本身识别。口令是相互认可的编码单词，并保证只被用户和系统知道。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用4211.2.5 用户身份鉴别用户身份鉴别(2)口令的安全性由于口令所包含的信息位很少，因此，它作为一种保护是很有限的，下面介绍几种保证口令安全性的方法：使穷举攻击不可行。搜索单个特定口令并不需要尝试所有这些口令，如果口令分布均匀，则查找任何特定的口令的期望搜索次数为口令数目的一半，所以在选择口令时，应尽量使口令分布不均匀。限制明文系统口令表的存取。加密口令文件。经营者提供商品或者服务有欺诈行

33、为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用4311.2.5 用户身份鉴别用户身份鉴别(3)口令的挑选准则合适的口令应该是让人难以猜到的，对口令的选择有如下准则：增加组成口令的字符种类，加长口令 避免使用常规名称、术语和单词，尽量选择不太规范的单词。定期更换口令，也可以使用一次性口令。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用4411.2.5 用户身份鉴别用户身份鉴别(4)身份鉴定的缺陷在口令身份鉴定中，若攻击者对口令拥有者熟悉，那么其通过猜测、询问、

34、窃取等手段得到用户口令的可能性将大大增加。考虑到这种情况，口令的真实性需要有更令人信服的证据。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用4511.2.5 用户身份鉴别用户身份鉴别2.其他身份鉴别机制有些物理设备可以用来辅助身份鉴别，这些物理设备包括笔迹鉴别器、声音识别器及视网膜识别器。这些都是利用不可伪造的用户生理特征去鉴别用户的。尽管这些设备很昂贵且还处于实验阶段，但在极端保密的环境下仍然十分有用。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品

35、的价款或接受服务的费用4611.3 病毒及其防御病毒及其防御11.3.1 病毒概述病毒概述1.病毒的特点计算机病毒(简称病毒)是一种可传染其他程序的程序，病毒主要有如下的特点：病毒是一段可执行程序，但它不是一种独立的可执行程序，其具有依附性。仅当它依附在系统内某个合法的可执行程序上时方可执行。病毒具有传染性。病毒具有潜伏性。计算机病毒往往是先潜伏下来，等条件满足时才触发它，并且这种潜伏性使病毒的威力大为增强。病毒具有破坏性。病毒具有针对性。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用4711.3.1 病毒概述

36、病毒概述2.病毒的结构 病毒大多由3部分组成：引导模块、传染模块和表现模块。病毒的引导模块负责将病毒引导到内存，对相应的存储空间实施保护，以防止被其他程序覆盖，并且修改一些必要的系统参数，为激活病毒做准备。病毒的传染模块负责将病毒传染给其他计算机程序。它是整个病毒程序的核心，由两部分组成：一部分判断是否具备传染条件，另一部分具体实施传染。病毒的表现模块也分为两部分：一是病毒触发条件判断部分，另一是病毒的具体表现部分。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用4811.3.1 病毒概述病毒概述3.病毒的分类按

37、照病毒的特点，可以有很多分类方法：按攻击机种分类，可以分为攻击IBM PC机及其兼容机的病毒，攻击MACINTOSH系列机的病毒和攻击UNIX操作系统的病毒和攻击各种大、中、小型计算机和工作站的病毒。按链接方式分类，可以分为操作系统病毒，源码病毒，入侵型病毒和外壳型病毒。按寄生方式分类，可以分为寄生在磁盘的引导区和寄生在可执行文件中的病毒。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用4911.3.2 病毒的防御机制病毒的防御机制1病毒的作用机理病毒的作用机理和过程：首先检查是否符合感染条件，若符合，就由传染模

38、块对系统进行感染。如不需要感染，就跳过感染过程去执行下面的指令，即判断触发条件是否满足。如果不满足，就去执行正常的系统命令，如果满足，病毒的表现模块就会运行起来，产生一系列的症状。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用5011.3.2 病毒的防御机制病毒的防御机制病毒的工作过程：实 施 感 染实 施 表 现 激 活感 染 条 件 满 足 否?是是否触 发 条 件 满 足 否?执 行 正 常 程 序否病 毒经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者

39、购买商品的价款或接受服务的费用5111.3.2 病毒的防御机制病毒的防御机制 2操作系统与病毒传染性的关系 病毒之所以对计算机系统构成威胁，主要是由于它的传染性，而病毒的传染性主要与操作系统有关。病毒在不同系统之间传播，一个比较普遍的途径是经过磁盘传染。病毒嵌入某个合法程序隐藏起来，当这个合法程序被存入磁盘时，病毒也就随之被复制到了磁盘。由于这个向磁盘存储的过程一般是通过操作系统的磁盘操作功能来完成的，不同操作系统的磁盘操作功能并不相同，所以一般情况下，针对某中操作系统的病毒不能感染其它互不兼容的操作系统。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的

40、金额为消费者购买商品的价款或接受服务的费用5211.3.2 病毒的防御机制病毒的防御机制3病毒的防御机制 病毒的防御机制是针对病毒的运行特征而采取的层层设防、级级设防措施。病毒防御措施通常将系统的存取控制、实体保护等安全机制结合起来，通过专门的防御程序模块为计算机建立病毒的免疫系统和报警系统。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用5311.3.2 病毒的防御机制病毒的防御机制针对病毒的各种攻击，病毒防御机制以下方式：存储映像，保护操作系统关键数据结构在内存中的映像。数据备份，类似于映像，主要是针对文件和

41、存储结构。修改许可，是一种认证机制，在用户操作环境下，每当出现对文件或关键结构的写操作时，都提示用户要求确认。区域保护，是借助禁止许可机制，对关键数据区、系统参数区、系统内核禁止写操作。动态检疫，是一种主动防御机制，可以与病毒检测软件配合，发现病毒的随机攻击。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用5411.3.3 特洛伊木马程序及其防御特洛伊木马程序及其防御1.特洛伊木马 特洛伊木马是一段程序，也是一种特殊的病毒，表面上在进行合法操作，实际上却进行非法操作，受骗者是程序的用户，能入侵者是这段程序的开发者

42、。特洛伊木马程序能成功入侵的关键是入侵者要写一段程序，从表面看来它应当完成某些有趣的或有用的合法功能，以诱导受骗者自己去主动运行这段程序，实际上程序在私下进行非法行为，这样的行动方式就不会引起用户的怀疑。最后，入侵者还要能以某种方式获取他所需的信息。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用5511.3.3 特洛伊木马程序及其防御特洛伊木马程序及其防御2对特洛伊木马的防御 想防止特洛伊木马的破坏，必须依赖于一些强制手段。过程控制、系统控制、强制控制和检查软件商的软件等措施都可以降低特洛伊木马攻击成功的可能性

43、，但是，以上技术都存在局限性。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用5611.3.3 特洛伊木马程序及其防御特洛伊木马程序及其防御3特洛伊木马与隐蔽信道 特洛伊木马程序攻击系统的一个关键标志，是通过一个合法的信息信道进行非法通信。虽然强制访问控制技术能够防止利用这种信道进行非法通信，但是，一个系统往往还允许进程之间利用许多其他途径进行通信，而这些途径通常是不用于通信的，并且也不受强制访问控制的保护，人们称这些通道为隐蔽信息信道，即隐蔽信道。它也可称作泄露路径，因为信息可以经过它在不经意中泄露出去，比较严

44、重的情况是由特洛伊木马程序通过这种信道而产生的信息泄露。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用5711.4 加密技术加密技术 加密技术在计算机安全中得到了广泛的应用。加密就是用数学方法来重新组织数据，使得除了合法的接收者外，任何其他人想获得正确的原信息变的非常困难。加密可通过编码或密码进行。本节仅讨论加密技术，首先讨论加密的传统方法，然后讨论一种公开密钥加密方法，最后介绍密钥的管理。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服

45、务的费用5811.4.1 传统加密方法传统加密方法1传统加密过程传统加密过程就是把明文信息利用某种加密算法加以编码以防止未授权的访问，从而实现其保密的过程。密钥明文用户A加密算法密文解密算法明文用户B经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用5911.4.1 传统加密方法传统加密方法2数据加密标准(DES)使用得最广的加密方法是基于数据加密标准(DES)的方法，DES是由美国国家标准局(NBS)在1977年研制的一种数据加密、解密的标准方法。在DES中，数据被分为64位一组，每组使用56位的密钥来加密。解密

46、时使用相同的步骤和相同的密钥。DES的应用越来越广泛。但DES的安全性也引起争议，主要是密钥的长度，有些人认为太短。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用6011.4.2 公开密钥加密方法公开密钥加密方法 传统加密的一个主要困难是要以一种保密的方式来分配密钥。对这一点最彻底的解决方法就是不分配密钥，也就是采用公开密钥加密,它是在1976年被首次提出的。B 的公开密钥明文用户 A加密算法密文解密算法明文用户 BB 的私有密钥经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加

47、赔偿的金额为消费者购买商品的价款或接受服务的费用6111.4.2 公开密钥加密方法公开密钥加密方法在传统加密方法中，加密和解密所用的密钥是相同的，这并不是一个必要条件，有可能设计出一个算法用一个密钥加密，用另一个不同的但有联系的密钥来解密；另外也有可能设计出一个算法，即使已知加密算法和加密密钥也无法确定解密密钥。这种方法需要以下技术支持：在网中每个端系统的两个节点间产生一对密钥，用来实现对它们间传送的消息加密、解密。每个端系统都将加密密钥公开，解密密钥设为接收方私有。如果A要向B发送消息，A就用B的公开密钥加密消息。当B收到消息时，就用其私有密钥解密。由于私有密钥只有B自己拥有，因此,没有其他

48、接收者可以解密出密文。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用6211.4.2 公开密钥加密方法公开密钥加密方法 公开密钥加密解决了密钥的分配问题，所有人都可以访问公开密钥，私有密钥在本地产生，不需分配。只要系统控制其私有密钥，就可以保证输入通信的安全性。系统可以随时变更私有密钥即与之配套的公开密钥。与传统加密相比，公开密钥加密的一个主要缺点是算法比较复杂。因此，在硬件的规模和耗费相当时，公开密钥加密的效率较低。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为

49、消费者购买商品的价款或接受服务的费用6311.4.3 密钥的管理密钥的管理 如果用传统加密方法加密，则两个主体必须有相同的密钥，并且密钥受到保护，以免被其他人访问。另外，如果密钥被攻击者知道了，就要改变密钥以减少泄露的数据量。因此，加密系统的强度与密钥分配技术有关。密钥分配是指在两个交换数据的主体间传送密钥而不让其他人知道的方法。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用6411.4.3 密钥的管理密钥的管理对于两个实体A和B，实现密钥分配的方法有多种：由A来选择密钥，传送给B。由第三者选择密钥，传送给A和

50、B。如果A和B先后用了同一个密钥，则由一个主体将新密钥传送给另一个。如果A和B都与C有加密链接，则C可在加密链上向A和B传送密钥。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用6511.4.3 密钥的管理密钥的管理端到端及链路加密:主 机主 机E3E3主 机链 路 加 密L EL EL EL ES w i t c hS w i t c h主 机两 者 兼 有L EL EL EL ES w i t c hE3E3主 机主 机端 到 端 加 密包 头用 户 数 据包 流LE 为 链 路 加 密E3为 端 到 端 加

51、 密经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用6611.4.3 密钥的管理密钥的管理网络交叉的端到端加密:主机发送包请求连接 前端缓存包，向ACC要段密钥 ACC同意请求，向KDC发命令 KDC将段密钥分布到两个前端 发送缓存包主 机FEPACCFEPKDCFEPFEP主 机FEP=前端处理机ACC=存取控制中心KDC=密钥分配中心经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用6711.5 安全操作系统的设计安全操作系统的设

52、计 操作系统负责管理系统内一切软件和硬件资源，因此其往往成为攻击的目标。所以在设计操作系统时安全性也成为考虑的一个重点。从设计者的角度来看，安全操作系统的开发要经历如下3个阶段：第一是模型化阶段；第二是设计阶段；第三是实现阶段。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用6811.5.1 安全模型安全模型 安全模型用来描述计算机系统和用户的安全特性，是对现实社会中一种系统安全需求的抽象描述。一个计算机系统要达到安全应有3个要求：保密性、完整性和可用性。计算机安全模型设计的目的有两个：一是模型要能在确保其自身的

53、保密性和完整性的基础上，确定一个保密系统应采取的策略；二是要能通过对抽象模型的研究使人们了解到对系统的保护特性。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用6911.5.1 安全模型安全模型1.单层模型在这种安全模式中，存取策略为每个用户和实体简单地指定权限，即用户将对实体的存取策略简单地设置为“允许”或“禁止”。实现这种模式有两种不同的表达方法。(1)监督程序模型监督程序是用户之间的通道，用户通过调用监督程序对某一实体进行特定的存取。监督程序响应用户的请求，依据其存取控制信息决定是否准许存取。监督程序存取允

54、许控制信息存取拒绝请求请求用户经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用7011.5.1 安全模型安全模型监督程序的实现虽然很容易，但存在着两个缺陷：由于监督程序进程被频繁地调用，它将耗用大量资源。它仅能对直接存取进行控制，无法控制间接存取。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用7111.5.1 安全模型安全模型(2)信息流模型为了弥补监督程序的缺点，提出了信息流模型，它的作用类似于一个智能筛选程序，它对与允许存取的

55、特定实体有关的所有信息进行监控。过滤敏感数据过滤/传输请求请求请求用户过滤/传输请求经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用7211.5.1 安全模型安全模型2.多层网络模型 在前面的两个模型中，安全概念中只具有二元性：实体有敏感或不敏感，用户有授权存取或未授权存取。然而，实际应用中通常需要为实体及用户考虑更多的敏感层次。安全网络模型突破了二元敏感性，以适应那些在不同敏感层次上并行处理信息的系统。安全网络模型是一种广义的操作系统安全模型，其元素形成一种网络数学结构，它要满足军队安全需要和对保密信息级别的处

56、理要求。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用7311.5.1 安全模型安全模型 隔离组，一种描述信息主体对象的数据结构，被用来施行“Need-To-Know”约束。每块分类信息都和一个或多个隔离组有关。级别；隔离组组合叫信息的分类。网格也是一种数学结构，其元素在关系运算符操作下的。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用7411.5.1 安全模型安全模型综上所述，研究计算机的安全模型有两个目的：第一，确定一个保密

57、系统应采取的策略，例如，Bell-LaPadula模型和Biba模型能表示为达到保密性或完整性需强加的特定条件；第二，对对象模型的研究将使我们了解到保护系统的特性，这些特性都是保护系统的设计者应知道的。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用7511.5.2 安全操作系统的设计策略安全操作系统的设计策略 操作系统的设计是非常复杂的，因为它要考虑以下诸多方面：处理并发任务，处理中断以及进行低层文本切换操作等等。在实现基本功能同时，还要兼顾效率，降低资源消耗，提高用户存取速度。如果再考虑安全因素，则更增加了系

58、统设计的难度。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用7611.5.2 安全操作系统的设计策略安全操作系统的设计策略1.通用操作系统安全设计的原则 在通用操作系统中，除了前面讲述的内存保护、文件保护、存取控制和用户身份鉴别外，还需考虑共享约束、公平服务保证、进程间的通信与同步。可以说，安全功能遍及整个操作系统的设计和结构中。安全操作系统的设计存在一个有趣的特点：一方面，必须在设计了操作系统的一个部分之后考虑它的安全性，检查它所强制或提供的安全性尺度；另一方面，安全性又必须成为操作系统初始设计的一部分，在开

59、始设计系统时就统筹考虑。这个特点也是人们进行操作系统安全设计时必须遵循的原则。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用7711.5.2 安全操作系统的设计策略安全操作系统的设计策略2.几种实现操作系统安全的方法基于前面讲过的操作系统的设计原则，下面将介绍操作系统在安全方面成功实现的方法，即考虑隔离，内核化的设计，分层结构等。(1)分离/隔离 将一个进程和其他进程分离的方法有4个：物理分离、暂时分离、密码分离和逻辑分离。虚拟存储空间最初是为提供编址和内存管理的灵活性而设计的，实际上它同时也提供了一种安全的机

60、制。如果将虚存概念扩充，系统将物理设备以及文件等等资源都逻辑化，使得用户可以以某种直观方式来操作，而操作的具体实现则交给操作系统，这就形成了所谓虚拟机的隔离方式。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用7811.5.2 安全操作系统的设计策略安全操作系统的设计策略(2)内核机制 内核是操作系统中完成最低层功能的部分，在标准的操作系统中，内核实现的操作包含了进程调度、同步、通信、信息传递及中断处理。另外，在内核中加入了用户程序和操作系统资源之间的一个接口层。内核的存在并不能保证它包括所有的安全功能。安全内核

61、的设计和使用在某种程度上依赖于设计的方法。可以将安全内核设计为操作系统的附加部分，即先设计内核，再在其中加入安全功能；或是将其作为整个操作系统的基本部分，先设计安全内核功能，在设计内核其他部分。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用7911.5.2 安全操作系统的设计策略安全操作系统的设计策略 对于前一种方法，必须在每个这样的模块中加入和安全有关的功能，这种加入可能会破坏已有系统的模块化特性，而且使加入安全功能后的内核安全验证变得很困难。于是，设计者可能会设法从已实现的操作系统中分离出安全功能，将所有安

62、全功能交给单独的安全内核统一监督实行，因此，有了第二种方法。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用8011.5.2 安全操作系统的设计策略安全操作系统的设计策略 第二种方法是先设计安全内核，再以它为前提设计操作系统，这是一种更为合理的方法。安全内核必须保证每个区域的保密性和完整性，并管理如下4种基本的相互作用：进程激活。运行区域切换。内存保护。I/O操作。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用8111.5.2 安

63、全操作系统的设计策略安全操作系统的设计策略(3)分层结构 前面讲过，基于内核的操作系统由4层组成：硬件、内核、操作系统及用户。每层都由子层及其本身组成。安全操作系统的设计思想可以用一系列同心圆予以描述，其中最敏感的操作位于最内层，越靠近圆心的进程可信度越高。硬件安全功 能调度、同步存储共 享文件系 统、设备 分配实用功 能系统软 件用户界 面经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用8211.5.2 安全操作系统的设计策略安全操作系统的设计策略 (4)环结构 如果将上述的分层描述成围绕系统硬件的环，则可构成

64、一种称为环的运行保护模式。每个运行进程在特定的环区域上运行。可信度高的进程则在编号较小的环区域上操作，环是重叠的，即运行在环I上的进程包括了所有环J的权限，其中JI，环的编号越小，进程能存取的资源则越多，操作所要求的保护也就越少。每个数据区或过程称为段，段由3个编号保护，B1，B2，B3，其中B1B2B3。这3个编号B1，B2，B3叫做环域；B1，B2叫做存取域，B2，B3叫做调用域或调用点。从B1到B2的环集合上的进程能自由存取段，大于B2小于B3的环集合上的进程则仅能在特定的入口点调用该段。经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用83The end.Thanks!