1、第4章 通用操作系统保护本章要点r 通用操作系统的保护特性:存储保护、文件保护和执行环境保护r 对象访问控制r 用户鉴别 操作系统有两个目标:控制共享访问控制共享访问、实现实现允许这种访问的接口允许这种访问的接口。在这种目标下,操作系统功能可以分为以下几类:(1)访问控制 (2)认证与信任管理 (3)管理信息流 (4)审计和完整性保护 所有这些活动都与安全有关。对于一个支持多道程序的操作系统,操作系统设计者提供了包括存储保护、文件保护、对象的一般访问控制和鉴别等方法,来保护计算免受其他用户无意或恶意的干扰。本章仅以两类操作系统为例:Microsoft Windows NT,2000,XP,20
2、03 Server,和 Vista;Unix,Linux,和它们的变化版本。4.1 保护对象和保护方法 4.1.1 历史回顾 第一代操作系统是一种简单的设备执行执行器器(executive),其设计目的是协助各位程序员完成各自的工作,以及平稳地实现用户之间的切换。执行器要求每个时刻只有一个程序员执行程序。多道程序操作系统也称为监控器监控器(monitor),用以监督每个程序的执行。监控器充当了主动的角色,只要用户的请求与系统要求一致,监控器就主动控制计算机系统把资源分配给用户。4.1.2 保护对象 事实上,多道程序的出现意味着需要保护计算机系统的几个方面:(1)内存 (2)可共享的I/O设备,
3、比如磁盘 (3)可连续复用的I/O设备,例如打印机和磁带驱动器 (4)网络 (5)可共享的程序或子程序 (6)可共享的数据4.1.3 操作系统的安全方法 最基本的保护是分离控制分离控制(separation):保持一个用户的对象独立于其他用户。在操作系统中分离控制主要有以下4种方式:(1)物理分离物理分离:指不同的进程使用不同的物理对象。(2)时间分离时间分离:指有着不同安全要求的进程,在不同时间执行。(3)逻辑分离逻辑分离:使程序不能访问许可域之外的对象,这样用户感觉好象在没有其他进程的情况下执行自己的进程。(4)密码分离密码分离:进程对其数据和计算加密,使其他进程无法理解。4.1.3 操作
4、系统的安全方法(续)操作系统也提供了一些共享的保护路线:(1)不保护不保护:当敏感进程在不同时间运行时是恰当的。(2)隔离隔离:当操作系统提供隔离时,各个进程并发运行,相互之间感觉不到其他进程的存在。(3)共享一切或不共享共享一切或不共享:对象所有者宣布对象是公有或私有。(4)访问限制共享访问限制共享:通过访问限制保护,操作系统检查用户对象的访问是否是允许的。操作系统充当了用户和被访问对象之间的守卫,确保只能进行已授权的访问。(5)访问权能共享访问权能共享:这种保护形式扩展了访问限制共享的概念,它允许动态产生对对象的共享权限。(6)对象的限制使用对象的限制使用:这种保护形式不仅限制了对对象的访
5、问,并同时限制了获得访问后的使用情况。4.1.3 操作系统的安全方法(续)可以在各种级别实现访问控制:比特、字节、记录、文件或卷。我们关心控制粒度控制粒度(granularity)。被控制对象的粒度越大,这种控制越容易实现。然而,这样一来操作系统给用户的访问权限就将多于用户本身的需求。4.2 内存及地址保护 4.2.1 界地址 界地址界地址(fence)是一个预定义的内存地址,设置了用户的内存区界限。图 4.1 固定界地址 4.2.1 界地址(续)另一种方法是使用硬件寄存器,称为界地址界地址寄存器寄存器(fence register),用于存放操作系统的尾址。图 4.2 可变界地址寄存器#界地
6、址寄存器只是单向保护操作系统。4.2.2 重定位 重定位重定位(relocation)是假定程序地址开始于地址0,然后改变所有地址以反映程序在内存中的实际地址。重定位因子重定位因子(relocation factor)是分配给程序的内存首地址。界地址寄存器可以是硬件重定位设备。界地址寄存器的内容加上程序的相对地址,不但可以重定位,而且可以控制用户访问操作系统空间。4.2.3 基址/范围寄存器 可变界地址寄存器通常称为基地址寄存器基地址寄存器(base register)。范围寄存器范围寄存器(bounds register)用于存放上界地址限制。图 4.3 基址/范围寄存器对#改变两个寄存器的
7、地址称为上下文转换(context switch)4.2.3 基址/范围寄存器(续)用户可能不慎将数据存储在指令存储区中。可以使用两对寄存器来解决这一问题,一对用于界定程序指令,另一对用于界定存储数据空间。这似乎鼓励使用更多对寄存器对,但两对已经是计算机设计的界限。超过这一数量每条代码需要明确向操作系统指明寄存器对。图 4.4 两对基址/范围寄存器4.2.4 标记结构 使用基址/范围寄存器保护只能提供全部数据的保护,而有时用户只希望保护部分数据。此外,有时还希望实现对数据段和程序段的共享。一种解决办法是使用标记标记结结构构(tagged architecture),机器内存的每个字节都有一个或
8、几个额外的比特用来表示该单元访问权限,这些访问比特由操作系统特权指令设置,每次指令访问某存储区时,都对这些比特进行权限检查。4.2.4 标记结构(续)图 4.5 标记结构示例4.2.4 标记结构(续)少数操作系统采用了这种保护技术。Burroughs B6500-7500系统用了3个比特标记区分数据字(3种类型)、说明符(指针)和控制字(堆栈指针和地址控制字)。IBM操作系统/38用标记来控制完整性和访问。在一组连续的地址上应用标记是使用标记的一种推广形式,如128或256字节。是否使用标记结构与代码的兼容性有关。标记结构通常要求从根本上改变操作系统的所有实际代码,这个要求可能因代价昂贵而不可
9、行。随着内存价格下降,标记结构实现变得可行了。4.2.5 分段式 分段分段(segmentation),即将一个程序分成几块的简单方法。每一块是一个逻辑单元,表现为一组有关联的代码或数据。分段允许程序分成有不同访问权限的几部分。各段使用对段内数据项和代码寻址。各段可以分别重定位,并且允许把各段分别放在任何可用的内存中。4.2.5 分段式(续)图4.6 分段的逻辑和物理表示4.2.5 分段式(续)操作系统必须维护一个包括段名和段在内存中实际地址的表。以便进程确定数据和代码在内存中的实际地址。考虑效率,通常每个正在执行的进程有一个操作系统的段地址表段地址表(segment address tabl
10、e)。如果有两个进程共享访问同一个分段,它们段地址表里就有相同的段名和地址。4.2.5 分段式(续)图 4.7 段地址转换4.2.5 分段式(续)用户程序不知道其使用的实际内存地址,通过程序可以访问任何数据与程序。地址隐藏给操作系统带来了三个好处:(1)操作系统可以将任意分段放置或移动到任意位置,甚至在程序开始执行后,都可以这样做。操作系统只要不断更新新分段地址表即可。(2)可将当前不使用的分段换出主内存(并可存储在辅助存储器中)。(3)每个地址引用都将传递给操作系统,所以为了保护内存,操作系统可以检查每个地址引用。4.2.5 分段式(续)操作系统可以把分段和其保护等级联系起来,并同时使用硬件
11、和操作系统检查每次对段的访问,以实现对不同安全级别段的不同保护。分段可以提供如下安全特性:(1)为了保护,可检查每个地址引用 (2)可为不同级别的数据项指派不同的保护级别 (3)两个或两个以上用户可共享同一个段,但可以有不同的访问权限 (4)用户不能产生地址或访问未经许可的段 4.2.5 分段式(续)分段式的缺点在于:(1)各段有特定的大小,但程序通过段名和偏移量产生的引用却可以超出段的范围。这个问题在编译和装入程序时不能被阻止,这是因为,为了有效使用分段,要求在程序执行过程中能增加段的大小。因此,分段的安全实现要求检查产生的地址不超过当前段的边界。(2)分段的效率存在两方面的问题:段名在指令
12、中不便于编码;操作系统在段表中查找段名速度可能很慢。因此,编译程序时,段名被转换数字,同时,编译器还维持一个联系数字和真正段名的映射。这为两个进程共享一个分段带来了麻烦。(3)内存碎片问题。4.2.6 分页式 用户程序的地址空间被划分为若干个大小相等的区域,称为页页(page);并且内存空间也分成与页相同大小的存储块,称为页帧页帧(page frame)。分页式的地址结构包含两个部分。图 4.8 页地址转换#页寻址不存在超页问题,偏移量超过某个页边界时,将导致页号部分进位。4.2.6 分页式(续)分段方式中程序员了解各段,但是,分页方式中,程序员可以忽略页的范围。分页方式中页不是逻辑单位,仅表
13、示程序中相邻的若干字节。如果考虑保护,这种变化就存在问题。段的信息为逻辑单位,方便设定不同的保护权限,地址转换时可以处理这种变化。但在分页方式中,页内每一项不必是逻辑单位。因此,就不可能对一页中的所有值建立一种等级的保护。4.2.7 段页式 综合分段和分页系统的优点可以形成段页式系统。IBM 390系列、Multics操作系统都采用了这种方式。程序员先将程序分成逻辑段,每段再分成固定大小的若干页。这种方式保留了段的逻辑单元并允许有不同保护级别,但需要额外的地址转换。可以增加硬件来改善实现效率。4.2.7 段页式(续)图 4.9 段页式4.3 一般对象的访问控制 在多道程序环境下,内存保护只是对
14、象保护对象保护的一种特殊情形,需要保护的对象包括:内存、辅助存储设备上的文件或数据、内存中正在执行的程序、文件目录、硬件设备、数据结构、操作系统中的表、指令集特别是特权指令集、口令和用户鉴别机制、保护机制本身等。随着对象数量的增多,对所有访问集中授权显然不够,而且访问权限也不能简单限制为只读,只写或只执行。我们用用户或主体来描述对一般对象的访问。用户和主体用户和主体可以是使用计算机程序的人、程序员、另一个对象或需要使用这个对象的其他事件。4.3 一般对象的访问控制(续)保护对象有几点补充要求:(1)检查每次访问检查每次访问:可以撤消用户对于对象的访问权限,这需要用户每次访问都进行检查。(2)执
15、行执行最小特权最小特权:主体应该只访问完成特定任务所必须的对象,即使访问了额外的信息对主体没有影响,主体也不应当执行这样的访问。(3)检查允许用法检查允许用法:访问能力仅决定可或不可访问,但是,检查对访问对象的操作是否合法同样重要。4.3.1 目录 简单的保护对象的方法是使用如同文件目录一样的保护机制。每个用户有一个文件目录,该目录用于记录用户可以访问的文件。当然不允许用户写文件目录,而由操作系统来维护所有文件目录。读、写和执行是共享文件的访问权,另外一个权限“所有者”归文件所有者,允许其对用户进行授予或撤消访问权限。4.3.1 目录(续)图 4.10 访问目录4.3.1 目录(续)为每个用户
16、维护一张文件目录列表,虽然比较易于实现,但也存在几个困难之处:(1)如果所有用户都可以访问的共享对象很多,将造成列表很大。在用户访问目录中,每个即使不用的共享对象也要占一个表项,十分浪费,而删除共享对象也必须反映到每个用户目录中。4.3.1 目录(续)(2)另一个难点是撤消访问权限撤消访问权限(revocation of access)。如果用户A授予用户B可读文件F的权限,F的权限将记入用户B的访问目录中。暗示用户A和用户B存在信任关系。当然,用户A也可以撤消用户B对文件F的权限。但是如果用户A要撤消所有用户对文件F的权限,这项工作在大系统中开销很大。此外,用户B可能将文件F的权限转交给了其
17、他用户,造成用户A不知道存在其他用户有权访问文件F,而无法撤消,这在网络操作系统中尤其严重。4.3.1 目录(续)(3)再一个困难与文件别名有关。所有者A和B可能分别有同名的两个不同文件F,并且允许用户S访问这两个文件。显然,用户S的文件目录不能包含文件名相同但针对不同文件的两个表项。一个方法是把文件的所有者名字包含在文件名内,如A:F(或B:F)。另一个办法是允许用户S在它的文件目录中用另外一个唯一的名字替文件F。这样,用户A的文件F可能被用户S称为文件Q。用户可能之后忘记文件Q就是用户A的文件F,再次向用户A请求访问文件F,用户A可能更信任用户S比起初赋予更多权限,这样用户S就有了对文件F
18、的两种不同访问权限,导致不一致的多种访问许可。4.3.1 目录(续)图 4.11 两种访问路径4.3.2 访问控制列表 每个对象都有一个访问控制列表访问控制列表(access control list),其中包含欲访问该对象的所有主体,以及主体具有的权限。访问控制列表包含默认表项,它表示所有用户可以访问该对象。特殊用户可以显式说明访问权限,而其他用户则可以有一组默认访问权限。在这种结构下,公共文件或程序可以被系统所有的潜在用户访问,而不需要在每个用户各自的访问目录为该对象增加表项。4.3.2 访问控制列表(续)图4.12 访问控制列表4.3.2 访问控制列表(续)Multics操作系统采用了这
19、种形式的访问控制列表,列表中每个用户有三种保护类:用户指一个特定主体;组将相同利益主体组织在一起;分隔区限制了不信任的对象,在一个分隔区中运行的程序未经许可不能访问另一个分隔区的对象。4.3.2 访问控制列表(续)用户Adams登录时,其身份是在分组Dec1及分隔区Art2的用户。在会话中允许该用户访问的对象需要在访问控制列表中包含Adams-Dec1-Art2。这种保护不实用,用户Adams不能生成一般的文件用于所有会话。共享对象、可接受的组和分隔区都需要明确列出Adams。解决办法是引入通配符*(wild card),它表示任意用户(或任意组或任意分隔区),例如,Adams-*-Art2。
20、访问控制列表可以按顺序组织,包含“*”的用户排列在所有说明了名字表项的后面。在查找规则中,所有显示给定了名字的表总是比表项中的任意位置包含通配符的表项先检查,而最后一项用户可能是*-*-*,定义所有不指明用户的权限。4.3.3 访问控制矩阵 访问控制矩阵访问控制矩阵(access control matrix)是一张表格,每行代表一个主体,每一列代表一个对象,表中的每个元素表示访问权限。一般说来,访问控制矩阵是一个稀疏矩阵。因此,访问控制矩阵也可以用的三元组表示。表 4.1 访问控制矩阵 4.3.4 访问权能 访问权能访问权能(capability),是一种不可伪造的标签(ticket),代表
21、对某个对象有某种类型的访问权限。使标签不可伪造的一个方法是不直接将它交给用户,而由操作系统代管。只有用户向操作系统发出特殊请求时,才能生成访问权能。另一个方法是,使用访问控制机制的密钥加密包含合法用户身份的访问权能证。访问权能将部分保护对象的负担交给用户,对于对象的可能访问权限包括转移或传播,每个访问权能都对应一个许可的访问权限类型列表,如果具有转移权限,用户才可以将对象的访问权转给第三方。4.3.4 访问权能(续)考虑一个进程执行时,它运行在一个域域(domain)或本地名字空间本地名字空间(local name space)中。域是进程要访问对象的集合。图 4.13 进程执行域4.3.4
22、访问权能(续)而调用子程序时,需要传递一些子程序需要访问的对象,主程序可以只传递部分对象访问权限给子程序,子程序也可以拥有主程序没有的其他对象访问权。因为每个访问权能仅对应一个对象,访问权能的集合定义了域。当进程调用子程序时,操作系统形成一个目前程序所有访问权能堆栈,之后为子程序产生一个新的访问权能。4.3.4 访问权能(续)图 4.14 将对象传递给一个主体4.3.4 访问权能(续)访问权能的几点说明:(1)在操作上,访问权能是跟踪执行主体对于对象的访问权限的直接方法,可以用一张全面的表来备份访问权能。一个进程需要使用新对象时,由操作系统检查决定是否赋予新的权能。(2)访问权能必须保存在普通
23、用户不可访问的内存区,可以存储在用户表不能引用的内存段,或用标记结构机制将访问权能标识为保护的数据结构。(3)在执行期间,只有被当前进程访问过的对象的权能会被保持可用状态,这可以改善访问对象时检查速度。(4)访问权能可以撤消,撤消后的访问权能不允许包含任何访问权限。访问权能表用指针形成活动访问权能链,方便动态管理。4.3.5 Kerberos Kerberos实现了通过访问权能(称为票据)的鉴别与访问授权,票据使用对称加密技术保证了安全性。Kerberos具有两个系统鉴别鉴别服务器服务器(AS,authentication server)和票据授权票据授权服务器服务器(TGS,ticket-g
24、ranting server)。它们都是密钥分发中心密钥分发中心(KDC,key distribution center)的一部分。Kerberos实现了单点登录单点登录(single sign-on),即用户只需要登录一次,其后用户被允许的所有需要授权的活动都不需要反复登录。4.3.5 Kerberos(续)如果用户需要在不同的域中访问资源,只要这两个域之间建立了授权,用户都可直接访问而不需要在不同的系统间登录。Kerberos实现了本地与远程鉴别和带共享密钥系统的授权,实际上,每个用户的口令被作为加密密钥使用。4.3.6 面向程序的访问控制 面向程序面向程序(procedure-orien
25、ted)的保护,即用程序来控制访问的对象(例如,通过执行它的用户鉴别来加强操作系统提供的基本保护)。也就是说,程序在对象周围形成保护层,只准许指定的访问。程序可以确保只有通过可信界面可信界面才能访问对象。例如,合法用户表只允许三个程序访问该表:增加用户程序,删除用户程序以及检查程序。增加用户程序、删除用户程序可以使用检查机制以确保对它们的调用是合法的。4.3.6 面向程序的访问控制(续)由于只有对象控制程序知道被保护的对象,所以面向程序的保护方法实现了信息隐藏信息隐藏的原则。当然,保护的程度是以效率为代价的。保护机制提供的灵活性越大,为此付出的代价也越多。安全科学中,在简单性和功能性之间寻求平
26、衡需要做出不断的努力。4.3.7 基于角色的访问控制 某些用户(如系统管理员)具有某种特权,而其他用户(普通用户或客人)具有低一些的权限。基于角色的访问控制基于角色的访问控制(role-based access control)可以将权限与分组联系在一起。根据职责的改变,用户的访问控制也相应改变,系统管理员不必为该用户重新选择适合的访问权限。4.4 文件保护机制 4.4.1 基本保护形式 保证用户之间不能相互恶意或无意地访问或修改文件。随着用户的增多,这种保护方法的复杂度也增大了。完全保护或完全不保护完全保护或完全不保护 文件被默认为公共文件,这里假定用户只知道他们有权访问的文件名。口令保护被
27、认为是保护操作系统最有价值的方法。有两种方法执行:口令用于控制所有的访问(读、写或删除),所有文件完全由系统管理员控制;口令仅控制写、删除两种访问,因为只有这两种行为会影响其他用户。4.4.1 基本保护形式(续)这种完全保护或完全不保护有几个原因不切实际:缺乏信任缺乏信任:假定用户值得信任是不合理的。过于粗糙过于粗糙:即使确定了一批可信任的用户,也没有简单方法只允许这些用户访问。共享的出现共享的出现:这种保护更适合于批处理环境。在共享使用环境下,用户需要与其他用户交互使用文件与程序。复杂性复杂性:因为文件保护需要机制干涉,降低了操作系统的性能。文件列表文件列表:通常一些程序可以创建包含所有文件
28、的列表。因此,用户不可能一点都不知道系统中驻留文件情况。4.4.1 基本保护形式(续)组保护组保护 重点集中在识别有公共联系的用户组上。典型的UNIX+实现是,主体世界被划分为三个等级:用户、相互信任的用户组和其余用户。我们可以将之简称为用户、用户组和全体用户。Windows NT+系列使用的分组是:系统管理员、有权用户、用户和客人。所有授权用户被分成不同的组。用户组成员是基于共享需求而组合起来的,可以与其他成员共享文件。一个用户只能属于一个组。4.4.1 基本保护形式(续)当用户创建一个文件时,可以定义用户本身、组内成员以及组外用户的访问权限。通常,访问权限来自一个有限集合,比如更新、读-执
29、行、读、写-创建-删除。用户组保护的主要优点就是易于实现。尽管这种保护方案弥补了完全保护或完全不保护方法的某些不足,但是也带来了一些新的麻烦。组的从属性组的从属性:一个用户不能属于两个组。4.4.1 基本保护形式(续)多重身份多重身份:为克服一个成员只能从属一个组的限制,允许一定数量的人有多个帐号,也就是允许一个用户有多个用户身份。多重身份导致了帐号的增加、文件冗余、对共同文件的有限保护,以及用户使用不方便的问题。所有组所有组:为了避免多重身份,用户可以在访问执行期间属于多个组的成员。限制共享限制共享:用户希望根据每个文件的情况识别共享文件的伙伴。4.4.2 单独许可 将单个文件与访问许可联系
30、起来时,还可以有更简单的保护实现方法。持久许可持久许可 持久许可持久许可(persistent permission)通常是使用一个名称和令牌,通过访问控制列表,决定可以访问的资源。这种方法的困难之处在于,将某用户从一个控制列表中删除很容易,但找到针对该用户的所有控制,并删除他的权限,则非常复杂。4.4.2 单独许可(续)获得临时许可获得临时许可 UNIX+操作系统提供了一个许可方案,方案基于:用户/组/全局。UNIX的设计者增加了一种 set userid(suid)的访问许可。如果对一个文件的保护设置为执行保护设置为执行,则文件的保护级别是文件所有者而不是不是文件的执行者。由于普通用户只能
31、在规定的方式下执行系统功能,所以采用这种机制便于实现系统功能。利用suid的特点,系统可以拥有一个口令修改程序,通过它可以完全访问系统的口令表。4.4.3 每个对象和每个用户的保护 文件保护方法的最基本的限制是要求能够产生有意义的用户组,组内的用户对一个或多个数据集有相似的访问权限。前面提到的访问控制表和访问控制矩阵虽然灵活,但如果某个用户允许很多用户分别对许多不同的数据集进行访问,则该用户必须详细说明每个数据集应该被哪个用户访问。当增加一个新用户时,所有相关的用户必须详细说明该用户的访问权限。4.5 用户鉴别 操作系统提供的大部分保护都是以知道用户身份为基础的。生活中有许多鉴别手段,包括文件
32、、声音识别、指纹和视网膜匹配等可信的识别方法。但是在计算机技术中鉴别工具的选择有许多的局限性,而且安全性可能更差。大多数计算机系统的鉴别需要依赖计算系统和用户都知道的某些知识。鉴别机制使用下列三种性质中的某种性质来确认用户的身份:(1)用户已知的事情用户已知的事情:如口令、PIN数字、口令短语等。(2)用户拥有的东西用户拥有的东西:如身份徽章、物理钥匙、驾驶执照等。(3)用户身体的一些特征用户身体的一些特征:以用户物理特征为鉴别的基础,称为生物特征鉴别生物特征鉴别(biometrics),如指纹、人的声音、相貌等。#两种或更多方式结合起来能形成更稳妥的鉴别服务。生物特征鉴别推进困难的原因:用户
33、的接受程度不高。Prabhakar等列出了生物特征鉴别与隐私有关的三类情况:(1)不可预计的功能范畴不可预计的功能范畴:鉴别不仅仅是授权,还可能具有其他附加的功能。(2)不可预计的应用范畴不可预计的应用范畴:鉴别例程识别客体。例如鉴别例程可以识别出一个客体是否使用的假姓名。(3)隐藏的身份识别隐藏的身份识别:不必通过识别或鉴别就可以识别一个客体。4.5.1 口令鉴别 口令口令(password)是用户和计算机都知道的一个“单词”。口令保护可以提供一个相对安全的系统,但是人们对口令的不恰当使用可能降低安全保护的质量。这里我们将主要讨论口令攻击、选择口令的标准和口令的鉴别方法。4.5.1 口令鉴别
34、(续)口令实际上是相互达成一致的字码,并假定只有用户和系统知道这个字码。口令可以由用户选择也可以是系统分配。口令格式和长度各个操作系统会有所不同。口令也存在一些问题:丢失丢失:根据口令的实现方法,没有人能找回原来的口令。使用使用:每次访问文件,都要求提供口令,这种方式非常不方便。泄露泄露:如果口令泄露给非授权个体,则文件就可能被非法访问。更改口令需要通知所有合法用户。撤消撤消:为了撤消一个用户对文件的访问权限,需要更 改口令,将引起与泄露口令相同的问题。4.5.2 附加的鉴别信息 除用户名和口令之外,可能还需要授权用户的其他信息来用于鉴别。如Adams工作于会计部门,他允许的登录办公计算机的时
35、间可以是周一至五的上午8:00至下午5:00。这样做的好处在于:(1)阻止外界的某个人试图假冒Adams。这种尝试由于时间或访问端不符合而以失败告终。(2)阻止Adams本人试图在家或在周末访问系统,访问不允许使用的资源或偷偷地干不能公开的事情。副作用:使系统复杂化。4.5.2 附加的鉴别信息(续)使用附加的鉴别信息称为多因素鉴别多因素鉴别(multifactor authentication)。两种形式的鉴别称为两因素鉴别两因素鉴别(two-factor authentication),通常认为比一种形式的鉴别好,因为一般地说这样的鉴别安全性更强。但随之而来的是复杂度增加。4.5.3 口令攻
36、击有几种方法可以确定用户口令:(1)尝试所有可能的口令(2)尝试经常使用的口令(3)尝试一个用户可能的口令(4)查找系统口令表(5)询问用户#困难程度依次降低,成功可能性依次降低 4.5.3 口令攻击(续)松懈的系统松懈的系统 假设一个对系统一无所知的入侵者,如下登录设计不好:WELCOME TO THE XYZ COMPUTING SYSTEMS ENTER USER NAME:adams INVALID USER NAMEUNKNOWN USER ENTER USER NAME:4.5.3 口令攻击(续)改进的设计为:WELCOME TO THE XYZ COMPUTING SYSTEMS
37、 ENTER USER NAME:adams ENTER PASSWORD:john INVALID ACCESS ENTER USER NAME:4.5.3 口令攻击(续)更好的设计为:ENTER USER NAME:adams ENTER PASSWORD:john INVALID ACCESS ENTER USER NAME:adams ENTER PASSWORD:johnq WELCOME TO THE XYZ COMPUTING SYSTEMS 4.5.3 口令攻击(续)穷举法攻击穷举法攻击 在穷举法攻击穷举法攻击(exhaustive attack)或暴力攻击暴力攻击(brute
38、 force attack)中,攻击者通过某种自动的方式尝试所有可能的口令。当然,可能口令的数量取决于特定计算系统的实现情况。搜索特定的口令不需要尝试所有口令,而只需要测试到正确口令为止。如果口令均匀分布,只需要测试一半的口令。4.5.3 口令攻击(续)很可能的口令很可能的口令 大多数用户都会选择短的,常见的,容易拼写或发音的单词作为口令。攻击者在搜索口令时意识到这一特点,并有效利用它。许多计算系统都带有拼写检验程序,用于检查文件中拼写错误和印刷错误,通常这些程序包含最常用的单词在线词典,以这些词作为搜索集合,通常需要的时间非常短。4.5.3 口令攻击(续)与用户有关的可能口令与用户有关的可能
39、口令 一般情况下,用户会选择自己认为有意义的字符作为口令,例如,配偶、孩子、兄弟姐妹、宠物、街道等的名字作为口令,如果加以限制,这个口令集合实际非常小,可以非常快地完成对这个集合的口令正确性验证。因此,口令保护在理论上很强大,但在实践中常常变得很脆弱。4.5.3 口令攻击(续)Morris和Thompson报道了他们收集的许多用户的口令统计规律。表 4.2 实际口令的分布 统计人数统计人数百分率百分率口令形式口令形式150.5%单个ASCII字符722%两个ASCII字符46414%三个ASCII字符47714%4个字母70621%5个字母(全部是大写或小写)60518%6个小写字母49215
40、%字典中的单词或人名283186%以上各类的合计4.5.3 口令攻击(续)图 4.15 用户选择的口令#在口令选择方面的进步非常有限4.5.3 口令攻击(续)Knight和Hartley依次排列了攻击者在测试口令时可能使用的12个步骤:(1)没有口令 (2)和用户ID相同 (3)是用户的名字或来源于用户的名字 (4)普通的单词列表加普通的名字和模式 (5)学生用字典 (6)完整的英语单词列表 (7)非英语国家的常用字典 4.5.3 口令攻击(续)(8)使用大小写和替代字符的学生用字典(9)包含大小写和替代字符的完整英语字典(10)包含大小写和替代字符的非英语字典(11)暴力攻击所有的小写字母字
41、符(12)暴力攻击所有的字符4.5.3 口令攻击(续)明文系统口令表明文系统口令表 口令表是一个包括用户身份和相应口令的两列表格。可以用多种不同的安全方法来隐藏口令表,以避免无关用户发现。可以用强访问控制方法限制对操作系统的访问以保护口令表。但是在一些系统中,有n+1个用户知道口令表,n个常规用户和1个操作系统,并且操作系统的所有模块没有区别对待,都有访问所有信息的特权。这使攻击者潜在可能利用操作系统的缺陷访问口令表。更好的方法是只有必要的操作系统模块才可以访问口令表。4.5.3 口令攻击(续)如果口令以明文方式存储,攻击者也可以在适当时间通过遍历内存中的所有内容,找到可能为口令表的文件。攻击
42、者利用系统备份也可以获得口令表。为了从系统错误中恢复,系统管理员会周期性地把文件备份到一些介质上以保证存储安全。如果普通用户可以访问系统备份,就可能获得系统备份的口令表,该表可能包含仍然有效的口令。还有可能泄露口令表的情况是其在磁盘上复 制以便保存。4.5.3 口令攻击(续)加密口令文件加密口令文件 保护口令表的简单办法是:加密。用传统加密技术,既可以隐藏整个口令表,也可以隐藏口令表的口令部分。接受用户输入的口令后,系统对口令表中的口令进行解密,然后相互比较。但这种方法的缺点在于可以在主存中以明文的方式获取用户的口令。4.5.3 口令攻击(续)另一种方法是使用单向函数加密技术。口令表经过单向函
43、数计算后存储。当用户输入口令时,计算它的单向函数值,看是否与存储值相等。UNIX操作系统就使用这种访问控制机制,所有用户可以读存储的口令表。总是有可能两个人选择相同的口令值,UNIX+操作系统通过扩展口令来绕过这个弱点,称为salt。salt是包含系统时间和进程标识符组成的12个比特。salt对于每个用户唯一,且公开,这样即使用户选择相同的口令pw,由于单向函数计算的输入是(pw+salt),所以输出也不会相等。#对于口令文件的保护与口令提供的保护具有相同的重要性。4.5.3 口令攻击(续)轻率的用户轻率的用户 一种简单的方法是直接获得口令。人们经常把口令输入身边的终端机中,或是写在卡片上放在
44、抽屉里,特别是用户有几个帐号的时候。分担工作或共享数据时,试图共享口令也比共享文件更危险。4.5.4 口令选择标准 尽管口令应用有诸多不尽如人意之处,但可以预计在未来一段时间内还将继续使用。其难度应该适合环境的安全需要。我们可以对口令的使用做如下总结:(1)用所有字符而不是只用用所有字符而不是只用A Z:应该包含大小写和数字。(2)选择长口令选择长口令:选择的口令越长,被识破的可能就越小。(3)避免实际的名字或单词避免实际的名字或单词:字母的随机组合的数量远远多于单词数量。4.5.4 口令选择标准(续)(4)选择一个看似无意义的口令选择一个看似无意义的口令:口令的选择为双重约束。为了容易记住,
45、需要选择对用户具有特别意义的口令,而这又不能让其他人猜出其意义。如,2Brn2B代表“to be or not to be”,但像I10veu已经被收入字典了。(5)有规律地更改口令有规律地更改口令:即使没有口令面临威胁的证据,也要定期更改口令。(6)不要写下口令不要写下口令:实践表明当拥有多个帐户口令时,设置相同口令或者使用不安全但好记的口令要比将口令记录在一个保护妥当的表上更危险,但是在用户自身安全面临考验的时候除外。(7)不要告诉任何人不要告诉任何人:最容易的攻击是使用社会工社会工程学程学(social engineering)。4.5.4 口令选择标准(续)一些系统提供了无字面意义但可
46、发音的口令。例如,VAX VMS系统随机产生5个口令供用户选择其中一个。但这样产生的口令也容易出错,如,发音为bliptab和blaptib、blabtip易混淆。一些学者发现口令短语比口令字有更好的安全强度。有些系统鼓励用户有规律的改变口令。如一个系统规定30天更改一次口令,可以到了30天后用户第一次登录时,要求用户修改口令。有时系统要求周期性更改口令,用户可以选择两个口令交替使用,为防止这种情况,Windows 2000系统可以拒绝接受最近k次使用过的口令。4.5.4 口令选择标准(续)一次性口令一次性口令 一次性口令一次性口令(one-time password)只能使用一次,以后不再有
47、效。用户使用一个静态的数学函数,而不是一个静态的短语。用户使用这个数学函数计算并把函数值返回给系统进行认证。这样的系统又称为挑战挑战-响应响应系统(challenge-response system)。Lamport 一次口令方案就是此类方案。4.5.4 口令选择标准(续)。给发送消息表示用户:其中,:处理如下操作:次身份识别,第协议消息。开始计数为用户。真实的传给保证最初分享的数据。个次数需重新选择一个避免重放攻击,超过这为定义许可的鉴别次数。或如固定常量是单向函数。开始。令由秘密的用户一次性的建立过程证明自己。用序列的一次口令向摘要:用户一次口令基于单向函数的BXAXBA)(BA 1.(2
48、)1ABB)(1.3)()1000100(1.2)A 1.1)(.(1)BALamport 0wHwiAtiiiwHwwttHwitiAt协议协议4.5.4 口令选择标准(续)。次验证需要的,并保存下一接收口令,令若检验成功,则。满足:,且接收的口令效验。,并将其传给完成的计算中保存的中间值本身或从起先可以由的设备计算执行如下操作:证明自己,为了在会话协议执行续一次口令基于单向函数的iAAiiiAtitiwiiwwHwiiwHwwHwi1B)(B(3.2)B)()(A(3.1)A.(3)(Lamport1 协议协议4.5.4 口令选择标准(续)一次性口令使得中途截取口令变得毫无用处。但是人们能
49、够记忆的算法程度有限,因而一次口令的实用性受到限制。口令生成设备,可以实现更复杂的函数,价格合理的这类设备已有好几种型号了。4.5.5 鉴别过程 在鉴别过程中,如果用户错误输入口令,一般的系统会允许其继续输入直到正确口令为止。一些系统可能会故意延长执行时间,阻止攻击者搜索口令。另一些系统会在几次登录失败后,断开与用户的连接。更安全的系统中,可能会因为用户错误输入指定次数而将用户帐户锁住。只有系统管理员才能恢复其帐号。这样系统管理员可以识别出成为攻击者目标的账号。4.5.5 鉴别过程(续)修复鉴别过程中的缺陷修复鉴别过程中的缺陷 口令被认为是鉴别用户身份的最基本或第一手证据,如果对输入口令产生怀
50、疑,系统可以要求更多令人信服的证明。可以采取:增加另一轮口令确认或挑战-响应协议,实现第二层保护。如果有物理设备辅助可以实现更强的挑战-响应协议。4.5.5 鉴别过程(续)另一个问题是假扮登录界面问题。前面的讨论都是用户向系统的单向鉴别过程。攻击者也可能编写出与登录程序完全相同的程序来,在目标系统上建立假扮登录界面,等待无辜受害者输入身份与口令信息,之后以看似正常的方式结束会话。为防止这种攻击,用户必须确保每次使用系统时都要重新初始化。而有些计算机系统则通过网络进行访问连接,所以不可能重新初始化。因此,用户对计算机系统也必须保持审慎态度。在相信系统是安全之前不应该输入任何机密数据。当然,在设计