1、1 1第十二章 保 護(hù) 和 安 全第十二章第十二章 保保 護(hù)護(hù) 和和 安安 全全12.1 安全環(huán)境12.2 數(shù)據(jù)加密技術(shù)12.3 用戶驗(yàn)證12.4 來自系統(tǒng)內(nèi)部的攻擊12.5 來自系統(tǒng)外部的攻擊12.6 可信系統(tǒng)(Trusted System)習(xí)題2 2第十二章 保 護(hù) 和 安 全12.1 安 全 環(huán) 境由于社會(huì)的復(fù)雜性和某些事物的不可預(yù)知性，使得計(jì)算機(jī)系統(tǒng)的環(huán)境往往是不安全的。為此，必須對我們的工作環(huán)境采取“保護(hù)”措施，使之變成為一個(gè)“安全”環(huán)境。“保護(hù)”和“安全”是有不同含意的兩個(gè)術(shù)語?？梢园选氨Ｗo(hù)”定義為：對攻擊、入侵和損害系統(tǒng)等的行為進(jìn)行防御或監(jiān)視?！鞍踩笔菍ο到y(tǒng)完整性和數(shù)據(jù)安全性的

2、可信度的衡量。 3 3第十二章 保 護(hù) 和 安 全12.1.1實(shí)現(xiàn)“安全環(huán)境”的主要目標(biāo)和面臨的威脅1. 數(shù)據(jù)機(jī)密性(data secrecy)數(shù)據(jù)機(jī)密性是指將機(jī)密的數(shù)據(jù)置于保密狀態(tài)，僅允許被授權(quán)用戶訪問系統(tǒng)中的信息，以避免數(shù)據(jù)暴露。更確切地說，系統(tǒng)必須保證用戶的數(shù)據(jù)，僅供被授權(quán)用戶閱讀，而不允許未經(jīng)授權(quán)的用戶閱讀，以保證數(shù)據(jù)的保密性。4 4第十二章 保 護(hù) 和 安 全2. 數(shù)據(jù)完整性(data integrity)完整性是指對數(shù)據(jù)或資源的可信賴程度，包括數(shù)據(jù)的完整性(信息內(nèi)容)和來源的完整性(數(shù)據(jù)來源)，通常用于表述防止不當(dāng)或未經(jīng)授權(quán)的修改。信息的來源可能會(huì)涉及信息的準(zhǔn)確性和可信性，以及人們

3、對此信息的信任程度，因此這種可信性也是系統(tǒng)正確運(yùn)行的關(guān)鍵。此外，還必須能保持系統(tǒng)中數(shù)據(jù)的一致性。 5 5第十二章 保 護(hù) 和 安 全3. 系統(tǒng)可用性(system availability)可用性是指能保證計(jì)算機(jī)中的資源供授權(quán)用戶隨時(shí)訪問，系統(tǒng)不會(huì)拒絕服務(wù)。更明確地說，授權(quán)用戶的正常請求能及時(shí)、正確、安全地得到服務(wù)或響應(yīng)。而攻擊者為了達(dá)到使系統(tǒng)拒絕的目的，可能通過“修改”合法用戶名字的方法，將他變?yōu)榉欠ㄓ脩?，使系統(tǒng)拒絕向該合法用戶提供服務(wù)。此外，拒絕服務(wù)還可能由硬件故障引起，如磁盤故障、電源掉電等，也可能由軟件故障引起。6 6第十二章 保 護(hù) 和 安 全12.1.2 系統(tǒng)安全的特征1. 多面性

4、 在大型系統(tǒng)中通常存在著多個(gè)風(fēng)險(xiǎn)點(diǎn)，在這些風(fēng)險(xiǎn)點(diǎn)應(yīng)從三方面采取措施加以防范：(1) 物理安全(2) 邏輯安全(3) 安全管理7 7第十二章 保 護(hù) 和 安 全2. 動(dòng)態(tài)性由于信息技術(shù)不斷發(fā)展和攻擊手段層出不窮，使系統(tǒng)的安全問題呈現(xiàn)出以下的動(dòng)態(tài)性：(1) 信息的時(shí)效性。(2) 攻擊手段的不斷翻新。8 8第十二章 保 護(hù) 和 安 全3. 層次性大型系統(tǒng)的安全問題是一個(gè)相當(dāng)復(fù)雜的問題，因此必需采用系統(tǒng)工程的方法解決。為了簡化系統(tǒng)安全的復(fù)雜性，系統(tǒng)安全通常采用層次-模塊化結(jié)構(gòu)方法：首先將系統(tǒng)安全問題劃分為若干個(gè)安全主題(功能模塊)，作為最高層；然后再將其中每一個(gè)安全主題功能模塊分成若干個(gè)安全子功能模塊

5、，作為次高層；此后再進(jìn)一步將一個(gè)安全子功能模塊分為若干安全孫功能模塊，作為第三層；其最低一層是一組最小可選擇的安全功能模塊，用多個(gè)層次的安全功能模塊來覆蓋整個(gè)系統(tǒng)安全的各個(gè)方面。9 9第十二章 保 護(hù) 和 安 全4. 適度性當(dāng)前幾乎所有的單位在實(shí)現(xiàn)系統(tǒng)安全工程時(shí)，都遵循了適度安全準(zhǔn)則，即根據(jù)實(shí)際需要提供適度的安全目標(biāo)加以實(shí)現(xiàn)。這是因?yàn)椋?1) 由于系統(tǒng)安全的多面性，使對安全問題的全面覆蓋基本上不可能實(shí)現(xiàn)；(2) 實(shí)現(xiàn)全覆蓋所需的成本也是難以令人接受的；(3) 由于系統(tǒng)安全的動(dòng)態(tài)性，即使當(dāng)時(shí)實(shí)現(xiàn)了安全問題的全覆蓋，隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展，企業(yè)規(guī)模的不斷擴(kuò)大，必然很快就會(huì)出現(xiàn)新的問題。10 10

6、第十二章 保 護(hù) 和 安 全12.1.3 計(jì)算機(jī)安全的分類1. CC的由來對一個(gè)安全產(chǎn)品(系統(tǒng))進(jìn)行評估，是件十分復(fù)雜的事，需要有一個(gè)能被廣泛接受的評估標(biāo)準(zhǔn)。 11 11第十二章 保 護(hù) 和 安 全2. 計(jì)算機(jī)安全的分類在“可信任計(jì)算機(jī)系統(tǒng)評價(jià)標(biāo)準(zhǔn)”中將計(jì)算機(jī)系統(tǒng)的安全程度劃分為：D、C、B、A四類。共分為D、C1、C2、B1、B2、B3和A1七個(gè)等級。(1) D類，(2) C1級。(3) C2級。(4) B1級。 (5) B2級。 (6) B3級。(7) A1級。12 12第十二章 保 護(hù) 和 安 全12.2 數(shù)據(jù)加密技術(shù) 12.2.1數(shù)據(jù)加密原理加密是一種密寫科學(xué)，用于把系統(tǒng)中的數(shù)據(jù)(稱為

7、明文)轉(zhuǎn)換為密文。使攻擊者即使截獲到被加密的數(shù)據(jù)，也無法了解數(shù)據(jù)的內(nèi)容，從而有效地保護(hù)了系統(tǒng)中信息的安全性。數(shù)據(jù)加密技術(shù)包括：數(shù)據(jù)加密、數(shù)據(jù)解密、數(shù)字簽名、簽名識別以及數(shù)字證明等。 13 13第十二章 保 護(hù) 和 安 全1. 數(shù)據(jù)加密模型早在幾千年前，人類就已經(jīng)有了通信保密的思想，并先后出現(xiàn)了易位法和置換法等加密方法。但直至進(jìn)入20世紀(jì)60年代，由于科學(xué)技術(shù)的發(fā)展，才使密碼學(xué)的研究進(jìn)入了一個(gè)新的發(fā)展時(shí)期。計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，尤其是Internet廣泛深入的應(yīng)用，又推動(dòng)了數(shù)據(jù)加密技術(shù)的迅速發(fā)展。14 14第十二章 保 護(hù) 和 安 全圖12-1數(shù)據(jù)加密模型15 15第十二章 保 護(hù) 和 安 全2.

8、基本加密方法1) 易位法易位法是按照一定的規(guī)則，重新安排明文中的比特或字符的順序來形成密文，而字符本身保持不變。按易位單位的不同，又可分成比特易位和字符易位兩種。 16 16第十二章 保 護(hù) 和 安 全圖12-2按字符易位加密算法17 17第十二章 保 護(hù) 和 安 全2) 置換法置換法是按照一定的規(guī)則，用一個(gè)字符去置換(替代)另一個(gè)字符來形成密文。最早由朱葉斯凱撒(Julius caeser)提出的算法非常簡單，它是將字母a、b、c、x、y、z循環(huán)右移三位后，即利用d置換a，用e置換b等。凱撒算法的推廣是移動(dòng)K位。單純移動(dòng)K位的置換算法很容易被破譯，比較好的置換算法是進(jìn)行映像。18 18第十二

9、章 保 護(hù) 和 安 全圖12-326個(gè)字母的映像19 19第十二章 保 護(hù) 和 安 全12.2.2 對稱加密算法與非對稱加密算法1. 對稱加密算法在對稱加密算法中，在加密算法和解密算法之間存在著一定的相依關(guān)系，即加密和解密算法往往使用相同的密鑰；或者在知道了加密密鑰Ke后，就很容易推導(dǎo)出解密密鑰Kd。最有代表性的對稱加密算法是數(shù)據(jù)加密標(biāo)準(zhǔn)DES(Data Eneryption Standard)。ISO現(xiàn)在已將DES作為數(shù)據(jù)加密標(biāo)準(zhǔn)。 2020第十二章 保 護(hù) 和 安 全2. 非對稱加密算法非對稱加密算法的加密密鑰Ke和解密密鑰Kd不同，而且難以從Ke推導(dǎo)出Kd來，故而可將其中的一個(gè)密鑰公開而

10、成為公開密鑰，故該算法也可稱為公開密鑰算法。每個(gè)用戶保存一對密鑰，每個(gè)人的公開密鑰都對外公開。假如某用戶要與另一用戶通信，他可用公開密鑰對數(shù)據(jù)進(jìn)行加密，而收信者則用自己的私用密鑰進(jìn)行解密。這樣就可以保證信息不會(huì)外泄。 21 21第十二章 保 護(hù) 和 安 全12.2.3數(shù)字簽名和數(shù)字證明書1. 數(shù)字簽名在金融和商業(yè)等系統(tǒng)中，許多業(yè)務(wù)都要求在單據(jù)上簽名或加蓋印章，以證實(shí)其真實(shí)性，備日后查驗(yàn)。在利用計(jì)算機(jī)網(wǎng)絡(luò)傳送報(bào)文時(shí)，可將公開密鑰法用于電子(數(shù)字)簽名，來代替?zhèn)鹘y(tǒng)的簽名。而為使數(shù)字簽名能代替?zhèn)鹘y(tǒng)的簽名，必須滿足下述三個(gè)條件：(1) 接收者能夠核實(shí)發(fā)送者對報(bào)文的簽名。(2) 發(fā)送者事后不能抵賴其對報(bào)

11、文的簽名。(3) 接收者無法偽造對報(bào)文的簽名。2222第十二章 保 護(hù) 和 安 全1) 簡單數(shù)字簽名在這種數(shù)字簽名方式中，發(fā)送者A可使用私用密鑰Kda對明文P進(jìn)行加密，形成DKda(P)后傳送給接收者B。B可利用A的公開密鑰Kea對DKda(P)進(jìn)行解密，得到EKea(DKda(P)=P，如圖12-4(a)所示。2323第十二章 保 護(hù) 和 安 全圖12-4數(shù)字簽名示意圖2424第十二章 保 護(hù) 和 安 全2) 保密數(shù)字簽名為了實(shí)現(xiàn)在發(fā)送者A和接收者B之間的保密數(shù)字簽名，要求A和B都具有密鑰，再按照圖12-4(b)所示的方法進(jìn)行加密和解密：(1) 發(fā)送者A可用自己的私用密鑰Kda對明文P加密，

12、得到密文DKda(P)。(2) A再用B的公開密鑰Keb對DKda(P)進(jìn)行加密，得到EKeb(DKda(P)后送B。(3) B收到后，先用私用密鑰Kdb進(jìn)行解密，即DKdb(EKeb(DKda(P)=DKda(P)。(4) B再用A的公開密鑰Kea對DKda(P)進(jìn)行解密，得到EKea(DKda(P)=P。2525第十二章 保 護(hù) 和 安 全2. 數(shù)字證明書(Certificate)雖然可以利用公開密鑰方法進(jìn)行數(shù)字簽名，但事實(shí)上又無法證明公開密鑰的持有者是合法的持有者。為此，必須有一個(gè)大家都信得過的認(rèn)證機(jī)構(gòu)CA(Certification Authority)，由該機(jī)構(gòu)為公開密鑰發(fā)放一份公開

13、密鑰證明書，該公開密鑰證明書又稱為數(shù)字證明書，用于證明通信請求者的身份。 2626第十二章 保 護(hù) 和 安 全12.3用 戶 驗(yàn) 證驗(yàn)證又稱為識別或認(rèn)證。當(dāng)用戶要登錄一臺多用戶計(jì)算機(jī)時(shí)，操作系統(tǒng)將對該用戶進(jìn)行驗(yàn)證(Authentication)，這一過程稱為用戶驗(yàn)證。用戶驗(yàn)證的目的在于確定被驗(yàn)證的對象(包括人和事)是否真實(shí)，即確認(rèn)“你是否是你所聲稱的你”，以防止入侵者進(jìn)行假冒、篡改等。通常利用驗(yàn)證技術(shù)作為保障網(wǎng)絡(luò)安全的第一道防線。2727第十二章 保 護(hù) 和 安 全12.3.1使用口令驗(yàn)證 1. 口令用戶要上機(jī)時(shí)系統(tǒng)首先要求用戶輸入用戶名。登錄程序利用該名字去查找一張用戶注冊表，若從中找到匹配

14、的用戶名后，再要求用戶輸入口令，如果輸入的口令也與注冊表中的口令一致，系統(tǒng)便認(rèn)為該用戶是合法用戶，允許該用戶進(jìn)入系統(tǒng)；否則將拒絕該用戶登錄。2828第十二章 保 護(hù) 和 安 全2. 提高口令安全性的方法 攻擊者可通過多種方式來獲取用戶登錄名和口令，其中最常用的方式是直接猜出用戶所使用的口令。為提高口令的安全性，必須能防止攻擊者猜出口令。為此，口令機(jī)制通常應(yīng)滿足以下幾點(diǎn)要求：(1) 口令應(yīng)適當(dāng)長。(2) 應(yīng)采用多種字符。(3) 自動(dòng)斷開連接。(4) 回送顯示的安全性。(5) 記錄和報(bào)告。2929第十二章 保 護(hù) 和 安 全3. 一次性口令(One time Password)為了防止口令外泄，用

15、戶應(yīng)當(dāng)經(jīng)常改變口令，一種極端的情況是采用一次性口令機(jī)制，即口令被使用一次后就換另一個(gè)口令。在采用該機(jī)制時(shí)，用戶必須給系統(tǒng)提供一張口令表，其中記錄有其使用的口令序列。系統(tǒng)為該表設(shè)置一指針，用于指示下次用戶登錄時(shí)所應(yīng)使用的口令。 3030第十二章 保 護(hù) 和 安 全4. 口令文件通常在口令機(jī)制中都配置有一份口令文件，用于保存合法用戶的口令和與用戶的特權(quán)。該文件的安全性至關(guān)重要，一旦攻擊者訪問了該文件，將使整個(gè)計(jì)算機(jī)系統(tǒng)無安全性可言。保證口令文件安全性最有效的方法是利用加密技術(shù)，其中一個(gè)行之有效的方法是選擇一個(gè)函數(shù)來對口令進(jìn)行加密。該函數(shù)f(x)具有這樣的特性：在給定了x值后，很容易算出f(x)；然

16、而，如果給定了f(x)值，卻不能算出x的值。利用f(x)函數(shù)去加密所有的口令，再將加密后的口令存入口令文件中。 31 31第十二章 保 護(hù) 和 安 全圖12-5對加密口令的驗(yàn)證方法3232第十二章 保 護(hù) 和 安 全5. 挑戰(zhàn)響應(yīng)驗(yàn)證在該方法中，由用戶自己選擇一個(gè)算法，算法可以很簡單也可較復(fù)雜，如X2，并將該算法告知服務(wù)器。每當(dāng)用戶登錄時(shí)，服務(wù)器就給用戶發(fā)來一個(gè)隨機(jī)數(shù)，如12，用戶收到后，按所選算法對該數(shù)據(jù)進(jìn)行平方運(yùn)算，得到144，并用它作為口令。服務(wù)器再將所收到的口令與自己計(jì)算(利用X2算法)的結(jié)果進(jìn)行比較，如相同便允許用戶上機(jī)，否則拒絕用戶登錄。由于該方法所使用的口令不是一個(gè)固定數(shù)據(jù)，而是

17、基于服務(wù)器隨機(jī)產(chǎn)生的數(shù)再經(jīng)過計(jì)算得到的，因此令攻擊難于猜測。如果再頻繁地改變算法就更為安全。3333第十二章 保 護(hù) 和 安 全12.3.2基于物理標(biāo)志的驗(yàn)證技術(shù) 1. 基于磁卡的驗(yàn)證技術(shù)目前廣泛使用的銀行現(xiàn)金卡、公交卡等，都普遍采用磁卡。這是一塊其大小和名片相仿的塑料卡，在其上貼有含若干條磁道的磁條。一般在磁條上有三條磁道，每條磁道可用來記錄不同數(shù)量的數(shù)據(jù)。如果在磁條上記錄了用戶名、用戶密碼、賬號和金額，這就是銀行卡；而如果在磁條上記錄的是有關(guān)用戶的信息，該卡便可作為識別用戶身份的物理標(biāo)志。3434第十二章 保 護(hù) 和 安 全2. 基于IC卡的驗(yàn)證技術(shù)在外觀上IC卡與磁卡并無明顯差異，但在I

18、C卡中可裝入CPU和存儲(chǔ)器芯片，使該卡具有一定的智能，故又稱智能卡。IC卡中的CPU用于對內(nèi)部數(shù)據(jù)的訪問和與外部數(shù)據(jù)進(jìn)行交換，還可用加密算法對數(shù)據(jù)進(jìn)行處理，這使IC卡比磁卡具有更強(qiáng)的防偽性和保密性，因而IC卡正在逐步取代磁卡。根據(jù)卡中裝入芯片的不同，可把IC卡分為以下三種類型：(1) 存儲(chǔ)器卡。(2) 微處理器卡。(3) 密碼卡。 3535第十二章 保 護(hù) 和 安 全12.3.3生物識別驗(yàn)證技術(shù)1. 常用于身份識別的生理標(biāo)志被選用的生理標(biāo)志應(yīng)具有這樣三個(gè)條件： 足夠的可變性，系統(tǒng)可根據(jù)它來區(qū)別成千上萬的不同用戶； 應(yīng)保持穩(wěn)定，不會(huì)經(jīng)常發(fā)生變化； 不易被偽裝。 3636第十二章 保 護(hù) 和 安

19、全下面介紹幾種常用的生理標(biāo)志。(1) 指紋。(2) 眼紋。(3) 聲音。(4) 人臉。 3737第十二章 保 護(hù) 和 安 全2. 生物識別系統(tǒng)的組成1) 對生物識別系統(tǒng)的要求要設(shè)計(jì)出一個(gè)非常實(shí)用的生物識別系統(tǒng)必須滿足三方面的要求：(1) 性能需求。(2) 易于被用戶接受。(3) 成本合理。3838第十二章 保 護(hù) 和 安 全2) 生物識別系統(tǒng)的組成生物識別系統(tǒng)通常是由如下三部分組成的：(1) 生物特征采集器。(2) 注冊部分。(3) 識別部分。3939第十二章 保 護(hù) 和 安 全3. 指紋識別系統(tǒng)20世紀(jì)80年代指紋自動(dòng)識別系統(tǒng)雖已在許多國家使用，但體積較大。直至90年代中期，隨著VLSI的迅

20、速發(fā)展，才使指紋識別系統(tǒng)小型化，使該技術(shù)進(jìn)入了廣泛應(yīng)用的階段。(1) 指紋采集傳感器。(2) 指紋識別系統(tǒng)。4040第十二章 保 護(hù) 和 安 全12.4 來自系統(tǒng)內(nèi)部的攻擊 攻擊者對計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊的方法有多種，可將之分為兩大類：內(nèi)部攻擊和外部攻擊。內(nèi)部攻擊一般是指攻擊來自系統(tǒng)內(nèi)部。它又可進(jìn)一步分為兩類：(1) 以合法用戶身份直接進(jìn)行攻擊。(2) 通過代理功能進(jìn)行間接攻擊。41 41第十二章 保 護(hù) 和 安 全12.4.1 早期常采用的攻擊方式 我們先介紹常用的內(nèi)部攻擊方式。在設(shè)計(jì)操作系統(tǒng)時(shí)必須了解這些攻擊方式，并采取必要的防范措施。(1) 竊取尚未清除的有用信息。 (2) 通過非法的系統(tǒng)調(diào)

21、用攪亂系統(tǒng)。(3) 使系統(tǒng)自己封殺校驗(yàn)口令程序。 (4) 嘗試許多在明文規(guī)定中不允許做的操作。(5) 在OS中增添陷阱門。 (6) 騙取口令。4242第十二章 保 護(hù) 和 安 全12.4.2 邏輯炸彈和陷阱門 近年來更流行利用惡意軟件進(jìn)行攻擊的攻擊方式。所謂惡意軟件(malware)，是指攻擊者專門編制的一種程序，用來造成破壞。它們通常偽裝成合法軟件，或隱藏在合法軟件中，使人們難以發(fā)現(xiàn)。有些惡意軟件還可以通過各種方式傳播到其它計(jì)算機(jī)中。依據(jù)惡意軟件是否能獨(dú)立運(yùn)行可將它分為兩類：(1) 獨(dú)立運(yùn)行類(2) 寄生類4343第十二章 保 護(hù) 和 安 全1. 邏輯炸彈(logic bomb)1) 邏輯炸

22、彈實(shí)例邏輯炸彈是較早出現(xiàn)的一種惡意軟件，它最初出自于某公司的程序員，是為了應(yīng)對他可能被突然解雇，而預(yù)先秘密放入OS中的一個(gè)破壞程序(邏輯炸彈)。只要程序員每天輸入口令，該程序就不會(huì)發(fā)作。但如果程序員在事前未被警告，就突然被解雇時(shí)，在第二天(或第二周)由于得不到口令，邏輯炸彈就會(huì)引爆執(zhí)行一段帶破壞性的程序，這段程序通常會(huì)使正常運(yùn)行的程序中斷，隨機(jī)刪除文件，或破壞硬盤上的所有文件，甚至于引發(fā)系統(tǒng)崩潰。4444第十二章 保 護(hù) 和 安 全2) 邏輯炸彈爆炸的條件每當(dāng)所寄生的應(yīng)用程序運(yùn)行時(shí)，就會(huì)運(yùn)行邏輯炸彈程序，它會(huì)檢查所設(shè)置的爆炸條件是否滿足，如滿足就引發(fā)爆炸；否則繼續(xù)等待。觸發(fā)邏輯炸彈爆炸的條件有

23、很多，較常用的有：(1) 時(shí)間觸發(fā)(2) 事件觸發(fā)(3) 計(jì)數(shù)器觸發(fā)4545第十二章 保 護(hù) 和 安 全2. 陷阱門(trap door)1) 陷阱門的基本概念通常，當(dāng)程序員在開發(fā)一個(gè)程序時(shí)，都要通過一個(gè)驗(yàn)證過程。為了方便對程序的調(diào)試，程序員希望獲得特殊的權(quán)限，以避免必需的驗(yàn)證。陷阱門其實(shí)就是一段代碼，是進(jìn)入一個(gè)程序的隱蔽入口點(diǎn)。有此陷阱門，程序員可以不經(jīng)過安全檢查即可對程序進(jìn)行訪問，也就是說，程序員通過陷阱門可跳過正常的驗(yàn)證過程。長期以來，程序員一直利用陷阱門來調(diào)試程序并未出現(xiàn)什么問題。但如果被懷有惡意的人用于未授權(quán)的訪問，陷阱門便構(gòu)成了對系統(tǒng)安全的嚴(yán)重威脅。4646第十二章 保 護(hù) 和 安

24、 全2) 陷阱門實(shí)例我們通過一個(gè)簡單的例子來說明陷阱門。正常的登錄程序代碼如圖12-6(a)所示，該程序最后兩句的含意是，僅當(dāng)輸入的用戶名和口令都正確時(shí)，才算用戶登錄成功。但如果我們將該程序的最后一條語句稍作修改，得到如圖12-6(b)所示的登錄程序代碼，此時(shí)最后兩句的含意已改變?yōu)椋寒?dāng)輸入的用戶名和口令都正確時(shí)，或者使用登錄名為“zzzzz”時(shí)，無論用什么口令，都能成功登錄上機(jī)。4747第十二章 保 護(hù) 和 安 全圖12-6 陷阱門實(shí)例4848第十二章 保 護(hù) 和 安 全12.4.3 特洛伊木馬和登錄欺騙 1. 特洛伊木馬(trojan horses)的基本概念特洛伊木馬是指一種惡意軟件，它是

25、一個(gè)嵌入到有用程序中的、隱蔽的、危害安全的程序。當(dāng)該程序執(zhí)行時(shí)會(huì)引發(fā)隱蔽代碼執(zhí)行，產(chǎn)生難以預(yù)期的后果。 4949第十二章 保 護(hù) 和 安 全2. 特洛伊木馬實(shí)例編寫特洛伊木馬程序的人，將其隱藏在一個(gè)新游戲程序中，并將該游戲程序送給某計(jì)算機(jī)系統(tǒng)的系統(tǒng)操作員。操作員在玩新游戲程序時(shí)，前臺確實(shí)是在玩游戲，但隱藏在后臺運(yùn)行的特洛伊木馬程序卻將系統(tǒng)中的口令文件復(fù)制到該駭客的文件中。雖然口令文件是系統(tǒng)中非常保密的文件，但操作員在游戲時(shí)是在高特權(quán)模式下運(yùn)行的，特洛伊木馬就繼承了系統(tǒng)操作員的高特權(quán)，因此它就能夠訪問口令文件。 5050第十二章 保 護(hù) 和 安 全3. 登錄欺騙(login spoofing)

26、我們以UNIX系統(tǒng)為例來說明登錄欺騙。攻擊者為了進(jìn)行登錄欺騙，寫了一個(gè)欺騙登錄程序，該程序同樣會(huì)在屏幕顯示Login:，用于欺騙其他用戶進(jìn)行登錄。當(dāng)有一用戶輸入登錄名后，欺騙登錄程序也要求它輸入口令。然后卻把剛輸入的登錄名和口令寫入一份事先準(zhǔn)備好的文件中，并發(fā)出信號以請求結(jié)束shell程序，于是欺騙登錄程序退出登錄，同時(shí)也去觸發(fā)真正的登錄程序。在屏幕上又顯示出“Login:”，此時(shí)真正的登錄程序開始工作。對用戶而言，他自然以為是自己輸入發(fā)生了錯(cuò)誤，系統(tǒng)要求重新輸入。51 51第十二章 保 護(hù) 和 安 全12.4.4 緩沖區(qū)溢出 由于C語言編譯器存在著某些漏洞，如它對數(shù)組不進(jìn)行邊界檢查。例如下面

27、的代碼是不合法的，數(shù)組范圍是1024，而所包含的數(shù)字卻有12000個(gè)。然而在編譯時(shí)卻未對此檢查，攻擊者可以利用此漏洞來進(jìn)行攻擊。int i;char C1024;i=12000;ci=0;5252第十二章 保 護(hù) 和 安 全圖12-7 緩沖區(qū)溢出前后的情況5353第十二章 保 護(hù) 和 安 全12.5 來自系統(tǒng)外部的攻擊12.5.1 病毒、蠕蟲和移動(dòng)代碼 當(dāng)前最嚴(yán)重的外來威脅是病毒、蠕蟲和移動(dòng)代碼等。其中尤其是病毒和蠕蟲，天天都在威脅著系統(tǒng)的安全，以致在廣播、電視中，都不得不經(jīng)常發(fā)布病毒和蠕蟲的警告消息。5454第十二章 保 護(hù) 和 安 全1. 病毒(viruses)計(jì)算機(jī)病毒是一段程序，它能把

28、自己附加在其它程序之中，并不斷地自我復(fù)制，然后去感染其它程序，它能由被感染的程序和系統(tǒng)傳播出去。一般的病毒程序并不長，用C語言編寫的病毒程序通常不超過一頁。稱這段程序?yàn)椴《?，是因?yàn)樗浅Ｏ裆飳W(xué)上的病毒：它能自我生成成千上萬的與原始病毒相同的復(fù)制品，并將它們傳播到各處。計(jì)算機(jī)病毒也可在系統(tǒng)中復(fù)制出千千萬萬個(gè)與它自身一樣的病毒，并把它傳播到各個(gè)系統(tǒng)中去。5555第十二章 保 護(hù) 和 安 全2. 蠕蟲(worms) 蠕蟲與病毒相似，也能進(jìn)行自我復(fù)制，并可傳染給其它程序，給系統(tǒng)帶來有害的影響，都屬于惡意軟件。但它與病毒有所區(qū)別，其一是：蠕蟲本身是一個(gè)完整的程序，能作為一個(gè)獨(dú)立的進(jìn)程運(yùn)行，因而它不需要

29、寄生在其它程序上。再者，蠕蟲的傳播性沒有病毒的強(qiáng)。因?yàn)槿湎x必須先找到OS或其它軟件的缺陷，作為“易于攻破的薄弱環(huán)節(jié)”，然后才能借助于它們進(jìn)行傳播，如果該缺陷已被修復(fù)，蠕蟲自然會(huì)因“無從下手”而無法傳播。5656第十二章 保 護(hù) 和 安 全3. 移動(dòng)代碼 1) 移動(dòng)代碼簡述在因特網(wǎng)上，如果能在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行代碼，便認(rèn)為系統(tǒng)具有遠(yuǎn)程執(zhí)行功能。如果一個(gè)程序在運(yùn)行時(shí)，能在不同機(jī)器之間來回遷移，那么該程序就被稱為移動(dòng)代碼。 5757第十二章 保 護(hù) 和 安 全2) 移動(dòng)代碼的安全運(yùn)行如果在一個(gè)用戶程序中包含了移動(dòng)代碼，當(dāng)為該用戶程序建立進(jìn)程后，該移動(dòng)代碼將占用該進(jìn)程的內(nèi)存空間，并作為合法用戶的一部分運(yùn)

30、行，擁有用戶的訪問權(quán)限。 5858第十二章 保 護(hù) 和 安 全3) 防范移動(dòng)代碼的方法沙盒法沙盒法的基本思想是采用隔離方法。具體做法是把虛擬地址空間，分為若干個(gè)相同大小的區(qū)域，每個(gè)區(qū)域稱為一個(gè)沙盒。 5959第十二章 保 護(hù) 和 安 全4) 防范移動(dòng)代碼的方法解釋法解釋法是對移動(dòng)代碼的運(yùn)行采取解釋執(zhí)行方式。解釋執(zhí)行的好處是，每一條語句在執(zhí)行前都經(jīng)解釋器檢查，特別是對移動(dòng)代碼所發(fā)出的系統(tǒng)調(diào)用進(jìn)行檢查。若移動(dòng)代碼是可信的(來自本地硬盤)，就按正常情況進(jìn)行處理；否則(如來自因特網(wǎng))，就將它放入沙盒中來限制它的運(yùn)行。 6060第十二章 保 護(hù) 和 安 全12.5.2 計(jì)算機(jī)病毒特征和類型 1. 計(jì)算機(jī)

31、病毒的特征 計(jì)算機(jī)病毒與一般的程序相比，顯現(xiàn)出以下四個(gè)明顯的特征：(1) 寄生性。(2) 傳染性。(3) 隱蔽性。 (4) 破壞性。61 61第十二章 保 護(hù) 和 安 全2. 計(jì)算機(jī)病毒的類型 (1) 文件型病毒。 (2) 內(nèi)存駐留病毒。 (3) 引導(dǎo)扇區(qū)病毒。 (4) 宏病毒。 (5) 電子郵件病毒。 6262第十二章 保 護(hù) 和 安 全圖12-8 病毒附加在文件中的情況6363第十二章 保 護(hù) 和 安 全12.5.3 病毒的隱藏方式 1. 偽裝當(dāng)病毒附加到正常文件后會(huì)使被感染文件發(fā)生變化，為了逃避檢測，病毒將把自己偽裝起來，使被感染過的文件與原有文件一樣。常見的偽裝方式有兩種：(1) 通過

32、壓縮法偽裝。 (2) 通過修改日期或時(shí)間來偽裝。 6464第十二章 保 護(hù) 和 安 全圖12-9 病毒偽裝示意圖6565第十二章 保 護(hù) 和 安 全2. 隱藏為了逃避反病毒軟件的檢測，病毒自然應(yīng)隱藏在一個(gè)不易檢查到的地方。當(dāng)前常采用的隱藏方法有以下幾種：(1) 隱藏于目錄和注冊表空間。(2) 隱藏于程序的頁內(nèi)零頭里。(3) 更改用于磁盤分配的數(shù)據(jù)結(jié)構(gòu)。(4) 更改壞扇區(qū)列表。6666第十二章 保 護(hù) 和 安 全3. 多形態(tài)多形態(tài)病毒在進(jìn)行病毒復(fù)制時(shí)采用了較為復(fù)雜的技術(shù)，使所產(chǎn)生的病毒在功能上是相同的，但形態(tài)各異，病毒的形態(tài)少者數(shù)十種，多則成千上萬，然后將這些病毒附加到其它尚未感染的文件上。常用

33、的產(chǎn)生多態(tài)病毒的方法有：(1) 插入多余的指令。(2) 對病毒程序進(jìn)行加密。6767第十二章 保 護(hù) 和 安 全12.5.4 病毒的預(yù)防和檢測1. 病毒的預(yù)防用戶可用哪些方法來預(yù)防病毒呢? 下面列出若干方法和建議供參考。(1) 對于重要的軟件和數(shù)據(jù)，應(yīng)當(dāng)定期備份到外部存儲(chǔ)介質(zhì)上，這是確保數(shù)據(jù)不丟失的最佳方法，當(dāng)發(fā)現(xiàn)病毒后可用該備份來取代被感染的文件。(2) 使用具有高安全性的OS，這樣的OS具有許多安全保護(hù)措施來保障系統(tǒng)的安全，使病毒不能感染到系統(tǒng)代碼。6868第十二章 保 護(hù) 和 安 全(3) 使用正版軟件，應(yīng)當(dāng)知道，從網(wǎng)上Web站點(diǎn)下載軟件的做法是十分冒險(xiǎn)的，即使是必須下載的，也要使用最新

34、的防病毒軟件，防范病毒的入侵。(4) 購買性能優(yōu)良的反病毒軟件，按照規(guī)定要求使用，并定期升級。(5) 對于來歷不明的電子郵件不要輕易打開。(6) 要定期檢查硬盤及U盤，用反病毒軟件來清除其中的病毒。6969第十二章 保 護(hù) 和 安 全2. 基于病毒數(shù)據(jù)庫的病毒檢測方法通過被感染文件的長度或者日期和時(shí)間的改變來發(fā)現(xiàn)病毒的方法在早期還可奏效，而現(xiàn)在這種檢測方法雖然很難再有效，但偽裝病毒還是難于逃避基于病毒數(shù)據(jù)庫的病毒檢測方法的檢查，該方法描述如下：(1) 建立病毒數(shù)據(jù)庫。(2) 掃描硬盤上的可執(zhí)行文件。7070第十二章 保 護(hù) 和 安 全3. 完整性檢測方法完整性檢測程序首先掃描硬盤，檢查是否有病

35、毒，當(dāng)確信硬盤“干凈”時(shí)，才正式工作。這種方法首先計(jì)算每個(gè)文件的檢查和，然后再計(jì)算目錄中所有相關(guān)文件的檢查和，將所有檢查和寫入一個(gè)檢查和文件中。在檢測病毒時(shí)，完整性檢測程序?qū)⒅匦掠?jì)算所有文件的檢查和，并分別與原來文件的檢查和進(jìn)行比較，若不匹配，就表明該文件已被感染上病毒。當(dāng)病毒制造者了解該方法后，它也可以計(jì)算已感染病毒文件的檢查和，用它來代替檢查和文件中的正常值。 71 71第十二章 保 護(hù) 和 安 全12.6 可信系統(tǒng)(Trusted System)12.6.1 訪問矩陣模型和信息流控制模型 建立可信系統(tǒng)的最佳途徑是保持系統(tǒng)的簡單性。然而系統(tǒng)設(shè)計(jì)者認(rèn)為，用戶總是希望系統(tǒng)具有強(qiáng)大的功能和優(yōu)良的

36、性能。這樣，致使所設(shè)計(jì)出的OS存在許多安全隱患。有些組織特別是軍事部門，他們因?yàn)楦匾曄到y(tǒng)的安全性，決心要建立一個(gè)可信系統(tǒng)，為此應(yīng)在OS核心中構(gòu)建一個(gè)安全模型，模型要非常簡單以確保模型的安全性。7272第十二章 保 護(hù) 和 安 全1. 安全策略對系統(tǒng)安全而言，安全策略是根據(jù)系統(tǒng)對安全的需求所定義的一組規(guī)則及相應(yīng)的描述。該規(guī)則決定了對系統(tǒng)中數(shù)據(jù)進(jìn)行保護(hù)的規(guī)則和規(guī)定每一個(gè)用戶權(quán)限的規(guī)則，如哪些數(shù)據(jù)只允許系統(tǒng)管理員閱讀和修改；又如哪些數(shù)據(jù)只允許財(cái)務(wù)部門人員訪問等。安全機(jī)制是指用于執(zhí)行安全策略時(shí)所必須遵循的規(guī)定和方法。7373第十二章 保 護(hù) 和 安 全2. 安全模型安全模型用于精確描述系統(tǒng)的安全需求

37、和策略。因此安全模型首先應(yīng)當(dāng)是精確的、同時(shí)也應(yīng)當(dāng)是簡單和容易理解的，而且不涉及安全功能的具體實(shí)現(xiàn)細(xì)節(jié)。安全模型能精確地描述系統(tǒng)功能，這樣就能幫助人們盡可能地堵住所有的安全漏洞。通常在OS設(shè)計(jì)時(shí)，系統(tǒng)的功能描述用于指導(dǎo)系統(tǒng)功能的實(shí)現(xiàn)，而安全模型則指導(dǎo)與系統(tǒng)安全有關(guān)的功能實(shí)現(xiàn)?，F(xiàn)在已有幾種安全模型，其中比較實(shí)用的是訪問矩陣模型和信息流控制模型。7474第十二章 保 護(hù) 和 安 全3. 訪問矩陣模型訪問矩陣模型也稱為保護(hù)矩陣，系統(tǒng)中的每一個(gè)主體(用戶)都擁有矩陣中的一行，每一個(gè)客體都擁有矩陣中的一列?？腕w可以是程序、文件或設(shè)備。矩陣中的交叉項(xiàng)用于表示某主體對某客體的存取權(quán)限集。保護(hù)矩陣決定在任何域中

38、的進(jìn)程可以執(zhí)行的操作，它是由系統(tǒng)強(qiáng)制執(zhí)行的，而不是被管理者授權(quán)的操作。 7575第十二章 保 護(hù) 和 安 全4. 信息流控制(information flow control)模型許多信息的泄密并非源于訪問控制自身的問題，而是因?yàn)槲磳ο到y(tǒng)中的信息流動(dòng)進(jìn)行限制。為此在一個(gè)完善的保護(hù)系統(tǒng)中，還增加了一個(gè)信息流控制模型。它是對訪問矩陣模型的補(bǔ)充，用于監(jiān)管信息在系統(tǒng)中流通的有效路徑，控制信息流從一個(gè)實(shí)體沿著安全途徑流向另一實(shí)體。 7676第十二章 保 護(hù) 和 安 全在該模型中對信息的流動(dòng)做出如下兩項(xiàng)規(guī)定：(1) 不能上讀。(2) 不能下寫。 7777第十二章 保 護(hù) 和 安 全圖12-10 Bell-

39、La Padula 模型7878第十二章 保 護(hù) 和 安 全12.6.2 可信計(jì)算基TCB(Trusted Computing Base) 1. 可信計(jì)算基的功能一個(gè)典型的可信計(jì)算基在硬件方面與一般計(jì)算機(jī)系統(tǒng)相似，只是少了些不影響安全性的I/O設(shè)備；在TCB中應(yīng)配置OS最核心的功能，如進(jìn)程創(chuàng)建、進(jìn)程切換、內(nèi)存映射以及部分文件管理和設(shè)備管理功能。 7979第十二章 保 護(hù) 和 安 全圖12-11 可信任計(jì)算基TCB8080第十二章 保 護(hù) 和 安 全 2. 安全核心數(shù)據(jù)庫為了對用戶的訪問進(jìn)行安全控制，在TCB中配置了一個(gè)安全核心數(shù)據(jù)庫。在數(shù)據(jù)庫內(nèi)放入許多與安全有關(guān)的信息。其中最主要的是如下兩個(gè)控

40、制模型：(1) 訪問控制模型，用于實(shí)現(xiàn)對用戶訪問文件的控制，其中列出了每個(gè)主體的訪問權(quán)限和每個(gè)對象的保護(hù)屬性。(2) 信息流控制模型，用于控制信息流從一個(gè)實(shí)體沿著安全的途經(jīng)流向另一個(gè)實(shí)體。81 81第十二章 保 護(hù) 和 安 全3. 訪問監(jiān)視器訪問監(jiān)視器是TCB中的一個(gè)重要組成部分，它基于主體和被訪問對象的安全參數(shù)來控制主體對該對象的訪問，實(shí)現(xiàn)有效的安全接入控制。訪問監(jiān)視器與安全核心數(shù)據(jù)庫相連接，如圖12-11所示。訪問監(jiān)視器具有以下特性：(1) 完全仲裁。(2) 隔離。(3) 可證實(shí)性。8282第十二章 保 護(hù) 和 安 全12.6.3 設(shè)計(jì)安全操作系統(tǒng)的原則 1. 微內(nèi)核原則我們這里所說的微內(nèi)

41、核(通常將它們稱為安全內(nèi)核)，與前面所說的微內(nèi)核有著某些相似之處，主要表現(xiàn)為：首先它們都非常小，易于保證它們的正確性；其次它們都采用了策略與機(jī)制分離原則，即僅將機(jī)制部分放入安全內(nèi)核中，而將策略部分放在內(nèi)核的外面。8383第十二章 保 護(hù) 和 安 全2. 策略與機(jī)制分離原則前面提到了策略與機(jī)制的分離原則。在設(shè)計(jì)安全內(nèi)核時(shí)同樣應(yīng)當(dāng)采用策略與機(jī)制分離原則，以減小安全內(nèi)核的大小和增加系統(tǒng)的靈活性。安全策略規(guī)定系統(tǒng)要達(dá)到的特定安全目標(biāo)是由設(shè)計(jì)者或管理員來確定的，應(yīng)將它放在安全內(nèi)核外部。機(jī)制是完成特定安全策略的方法，由一組具體實(shí)現(xiàn)保護(hù)功能的軟件或硬件實(shí)現(xiàn)，應(yīng)將它放入安全內(nèi)核中。8484第十二章 保 護(hù) 和 安 全3. 安全入口原則在通常的微內(nèi)核中，都采用了C/S模式，微內(nèi)核與所有的服務(wù)器之間都存在著接口，因此