论文部分内容阅读
【摘 要】 本文就桌面操作系统平台安全方面的常见问题、解决方法、安全性设计原则等几方面进行了阐述,对桌面操作系统的安全机制进行了总结。
【关键词】 桌面操作系统;身份认证;访问控制
1.引言
在安全层次模型中,桌面操作系统的安全性属于系统级安全的范畴。桌面操作系统向上为文件、目录、网络和群件系统等提供底层的安全保障平台。桌面操作系统中的安全缺陷和安全漏洞,往往会造成严重的后果。因此,安全机制是桌面操作系统的一个重要组成部分;平台的安全级别是对其性能进行评估的一个重要指标。本文将阐述桌面操作系统中常见的安全问题、安全性设计的主要原则和安全服务的主要内容。
2.桌面操作系统中常见的安全问题
对提供网络服务的系统平台来说,安全性问题主要体现在网络通信安全、网络非法入侵等方面。但是,桌面操作系统所面对的安全问题和任务则不大一样。
關于桌面操作系统的安全,主要考虑的有如下几个:
2.1恶意程序的威胁。包括病毒、逻辑炸弹、后门、特洛伊木马等等。
2.2不合法使用。包括合法用户在未授权使用某些数据、资源或程序的情况下越过系统的安全检查而越权访问;或者虽然属合法授权,但有意或无意地错误使用某些功能而导致重要信息失密。
2.3恶意入侵者。他们的主要目的是窃取数据和非法修改系统。
2.4应用程序的安全性。系统应监督应用程序使用数据或资源权限的合法性。程序的执行还应该采用“最小特权”原则,即程序应按照它能做事的最小权限运行,否则就有可能被人利用。
2.5数据的安全性。机密数据如果没有保存在安全的空间内,或者数据的加密处理不够规范和健壮,也可能带来安全问题。
3.安全性设计的原则
针对桌面操作系统平台的安全性设计,Saltzer和Schroeder提出了一些基本原则:
3.1系统设计必须公开。认为入侵者由于不知道系统的工作原理而会减少入侵可能性的想法是错误的,这样只能迷惑管理者。
3.2默认情况应是拒绝访问。合法访问被拒绝的情况比未授权访问被允许的情况更容易获知。
3.3检查操作的当前授权信息。系统不应只检查访问是否允许,然后只根据第一次的检查结果而不理会后续的操作。
3.4为每个进程赋予可能的最小权限。每个进程只应当具备完成其特定功能的最小权限。
3.5保护机制必须简单、一致并建立到系统底层。系统的安全性和系统的正确性一样,不应当是一种附加特性,而必须建立到系统底层而成为系统固有的特性。
3.6方案必须是心理上可接收的。如果用户感觉到为保护自己的文件而必须做这做那的话,用户就会有厌烦心理,并且可能因侥幸心理而不会利用所提供的方案保护数据。
4.桌面操作系统的安全服务
与提供网络服务的系统不同,桌面操作系统的安全服务主要包括如下两个方面:
4.1用户管理的安全性
首先,是用户帐号的管理。其次,是用户口令的加密机制。用户口令的加密算法必须有足够的安全强度,用户的口令存放必须安全,不能被轻易窃取。最后,是认证机制。
4.2访问控制
访问控制实质上是对资源使用的限制,它决定主体是否被授权对客体执行某种操作。用户访问系统资源或执行程序时,系统应该先进行进行合法性检查,没有得到授权的用户的访问或执行请求将被拒绝。系统还要对访问或执行的过程进行监控,防止用户越权。程序的执行也应该受到监控。程序执行应遵循“最小”特权原则。
5.用户身份认证
用户身份认证通常采用帐号/密码的方案。用户提供正确的帐号和密码后,系统才能确认他的合法身份。不同的系统内部采用的认证机制和过程一般是不同的。
6.访问控制
系统中的访问控制通常通过定义对象保护域来实现。保护域是指一组(对象、权限)对,每个(对象,权限)对指定了一个对象以及能够在这个对象上执行的操作子集。保护域可以相互交叉。进程在执行过程中,可以根据情况在不同的保护域中切换,不同的系统对切换规则的定义不同。
Linux和WindowsNT均采用ACL机制保护系统对象,但它们在实施上有些差别。这里我们以WindowsNT的访问控制机制为例。
6.1.WindowsNT的访问控制模型
当用户登录到WindowsNT系统时,和UNIX系统类似,WindowsNT也使用帐号/密码机制验证用户身份。如果系统允许用户登录,则安全性子系统将建立一个初始进程,并创建一个访问令牌,其中包含有安全性标识符(SID),该标识符可在系统中唯一标识一个用户。初始进程建立了其他进程之后,这些进程将继承初始进程的访问令牌。访问令牌有两个目的:
6.1.1访问令牌保存有全部的安全性信息,可加速访问验证过程。当某个用户进程要访问某个对象时,安全性子系统可利用与该进程相关的访问令牌判断用户的访问权限。
6.1.2因为每个进程均有一个与之相关联的访问令牌,因此,每个进程也可以在不影响其他代表该用户运行的进程的情况下,在某种可允许的范围内修改进程的安全性特征。
WindowsNT初始时禁止所有的用户可能拥有的特权,而当进程需要某个特权时,才打开相应的特权。由于WindowsNT的进程均有一个自己的访问令牌,其中包含有用户的特权信息,因此,进程所打开的特权只在当前进程内有效,而不会影响其他进程。这种管理方法的优点的比较明显的,但也会造成对系统性能的负面影响。
为了实现进程间的安全性访问,WindowsNT采用了安全性描述符。安全性描述符的主要组成部分是访问控制列表,访问控制列表指定了不同的用户和用户组对某个对象的访问权限。当某个进程要访问一个对象时,进程的SID将和对象的访问控制列表比较,决定是否运行访问该对象。
访问令牌中包含有用户的安全标识符、用户所在组的安全标识符以及相应的访问权限。WindowsNT在内部利用用户安全标识符,以及组安全标识符唯一标识用户或组。系统在每次建立新的用户或组时,建立唯一的用户或组安全标识符。
WindowsNT的ACL由ACE(访问控制项)组成,每个ACE标识用户或组对某个对象的访问许可或拒绝。ACL首先列出拒绝访问的ACE,然后才是允许访问的ACE。
7.总结
桌面操作系统的安全机制主要体现在身份认证和访问控制两个方面。身份认证是要保证合法的用户使用系统,防止非法侵入。访问控制是要保证授权和受控地访问和使用系统资源。
常用的桌面操作系统有Linux和WindowsNT。
Linux作为UNIX克隆,采用的是UNIX在安全性方面成功的技术,是经受了近20年考验的技术。尽管有一些安全漏洞,但因为设计上的开放性,这些漏洞能够在很快的时间内发现并得到解决方案。
相比起来,虽然WindowsNT采用的ACL技术更加复杂和严密,但因为其密码加密步骤过于简单,它的密码容易被破解。安全性设计上的不公开性,也导致可能有许多安全漏洞尚未发现。
下表给出了WindowsNT和Linux在安全性机制上的比较。
【关键词】 桌面操作系统;身份认证;访问控制
1.引言
在安全层次模型中,桌面操作系统的安全性属于系统级安全的范畴。桌面操作系统向上为文件、目录、网络和群件系统等提供底层的安全保障平台。桌面操作系统中的安全缺陷和安全漏洞,往往会造成严重的后果。因此,安全机制是桌面操作系统的一个重要组成部分;平台的安全级别是对其性能进行评估的一个重要指标。本文将阐述桌面操作系统中常见的安全问题、安全性设计的主要原则和安全服务的主要内容。
2.桌面操作系统中常见的安全问题
对提供网络服务的系统平台来说,安全性问题主要体现在网络通信安全、网络非法入侵等方面。但是,桌面操作系统所面对的安全问题和任务则不大一样。
關于桌面操作系统的安全,主要考虑的有如下几个:
2.1恶意程序的威胁。包括病毒、逻辑炸弹、后门、特洛伊木马等等。
2.2不合法使用。包括合法用户在未授权使用某些数据、资源或程序的情况下越过系统的安全检查而越权访问;或者虽然属合法授权,但有意或无意地错误使用某些功能而导致重要信息失密。
2.3恶意入侵者。他们的主要目的是窃取数据和非法修改系统。
2.4应用程序的安全性。系统应监督应用程序使用数据或资源权限的合法性。程序的执行还应该采用“最小特权”原则,即程序应按照它能做事的最小权限运行,否则就有可能被人利用。
2.5数据的安全性。机密数据如果没有保存在安全的空间内,或者数据的加密处理不够规范和健壮,也可能带来安全问题。
3.安全性设计的原则
针对桌面操作系统平台的安全性设计,Saltzer和Schroeder提出了一些基本原则:
3.1系统设计必须公开。认为入侵者由于不知道系统的工作原理而会减少入侵可能性的想法是错误的,这样只能迷惑管理者。
3.2默认情况应是拒绝访问。合法访问被拒绝的情况比未授权访问被允许的情况更容易获知。
3.3检查操作的当前授权信息。系统不应只检查访问是否允许,然后只根据第一次的检查结果而不理会后续的操作。
3.4为每个进程赋予可能的最小权限。每个进程只应当具备完成其特定功能的最小权限。
3.5保护机制必须简单、一致并建立到系统底层。系统的安全性和系统的正确性一样,不应当是一种附加特性,而必须建立到系统底层而成为系统固有的特性。
3.6方案必须是心理上可接收的。如果用户感觉到为保护自己的文件而必须做这做那的话,用户就会有厌烦心理,并且可能因侥幸心理而不会利用所提供的方案保护数据。
4.桌面操作系统的安全服务
与提供网络服务的系统不同,桌面操作系统的安全服务主要包括如下两个方面:
4.1用户管理的安全性
首先,是用户帐号的管理。其次,是用户口令的加密机制。用户口令的加密算法必须有足够的安全强度,用户的口令存放必须安全,不能被轻易窃取。最后,是认证机制。
4.2访问控制
访问控制实质上是对资源使用的限制,它决定主体是否被授权对客体执行某种操作。用户访问系统资源或执行程序时,系统应该先进行进行合法性检查,没有得到授权的用户的访问或执行请求将被拒绝。系统还要对访问或执行的过程进行监控,防止用户越权。程序的执行也应该受到监控。程序执行应遵循“最小”特权原则。
5.用户身份认证
用户身份认证通常采用帐号/密码的方案。用户提供正确的帐号和密码后,系统才能确认他的合法身份。不同的系统内部采用的认证机制和过程一般是不同的。
6.访问控制
系统中的访问控制通常通过定义对象保护域来实现。保护域是指一组(对象、权限)对,每个(对象,权限)对指定了一个对象以及能够在这个对象上执行的操作子集。保护域可以相互交叉。进程在执行过程中,可以根据情况在不同的保护域中切换,不同的系统对切换规则的定义不同。
Linux和WindowsNT均采用ACL机制保护系统对象,但它们在实施上有些差别。这里我们以WindowsNT的访问控制机制为例。
6.1.WindowsNT的访问控制模型
当用户登录到WindowsNT系统时,和UNIX系统类似,WindowsNT也使用帐号/密码机制验证用户身份。如果系统允许用户登录,则安全性子系统将建立一个初始进程,并创建一个访问令牌,其中包含有安全性标识符(SID),该标识符可在系统中唯一标识一个用户。初始进程建立了其他进程之后,这些进程将继承初始进程的访问令牌。访问令牌有两个目的:
6.1.1访问令牌保存有全部的安全性信息,可加速访问验证过程。当某个用户进程要访问某个对象时,安全性子系统可利用与该进程相关的访问令牌判断用户的访问权限。
6.1.2因为每个进程均有一个与之相关联的访问令牌,因此,每个进程也可以在不影响其他代表该用户运行的进程的情况下,在某种可允许的范围内修改进程的安全性特征。
WindowsNT初始时禁止所有的用户可能拥有的特权,而当进程需要某个特权时,才打开相应的特权。由于WindowsNT的进程均有一个自己的访问令牌,其中包含有用户的特权信息,因此,进程所打开的特权只在当前进程内有效,而不会影响其他进程。这种管理方法的优点的比较明显的,但也会造成对系统性能的负面影响。
为了实现进程间的安全性访问,WindowsNT采用了安全性描述符。安全性描述符的主要组成部分是访问控制列表,访问控制列表指定了不同的用户和用户组对某个对象的访问权限。当某个进程要访问一个对象时,进程的SID将和对象的访问控制列表比较,决定是否运行访问该对象。
访问令牌中包含有用户的安全标识符、用户所在组的安全标识符以及相应的访问权限。WindowsNT在内部利用用户安全标识符,以及组安全标识符唯一标识用户或组。系统在每次建立新的用户或组时,建立唯一的用户或组安全标识符。
WindowsNT的ACL由ACE(访问控制项)组成,每个ACE标识用户或组对某个对象的访问许可或拒绝。ACL首先列出拒绝访问的ACE,然后才是允许访问的ACE。
7.总结
桌面操作系统的安全机制主要体现在身份认证和访问控制两个方面。身份认证是要保证合法的用户使用系统,防止非法侵入。访问控制是要保证授权和受控地访问和使用系统资源。
常用的桌面操作系统有Linux和WindowsNT。
Linux作为UNIX克隆,采用的是UNIX在安全性方面成功的技术,是经受了近20年考验的技术。尽管有一些安全漏洞,但因为设计上的开放性,这些漏洞能够在很快的时间内发现并得到解决方案。
相比起来,虽然WindowsNT采用的ACL技术更加复杂和严密,但因为其密码加密步骤过于简单,它的密码容易被破解。安全性设计上的不公开性,也导致可能有许多安全漏洞尚未发现。
下表给出了WindowsNT和Linux在安全性机制上的比较。