将窃取的信息以加密的方式传给攻击者
11.4.3 安全策略
口令管理
初始口令
当为给一个用户建立户头时, 为其规定一个登录 口令
关卡口令
在某些关键目录、关键文件等设置口令, 可以防 止非授权的用户对其进行访问, 达到保护的目的
主副口令
即设置两个口令: 一个为主口令, 另外一个为副 口令. 主副口令分别由两个不同的用户掌握, 仅 当二者都在场时才能成功对答通过
传播，使其它文件感染上该病毒； 破坏，具体破坏动作多种多样，如删除系统
文件 .
5. 病毒(virus)
病毒的４个特性
寄生性：依附某一合法程序(通常为可执行 程序)，该合法程序的执行将触发病毒代码
潜伏性：等待触发条件满足时，激发表现模 块
传染性：把病毒模块复制给其他未感染文件 破坏性：删除文件, 破坏系统等．
加密
加密的思想是伪装信息，使局外人不可 理解信息的真正含义
安全性取决于对密钥的管理 加密保护可以防止信息被截取(interception) 不能防止信息被篡改(modification)
加密
加密和解密原理
KE
KD
C=E(P,KE)
P
E
D
P=D(C,KD)
一个加密系统可由五元组定义：S={P,C,K,E,D}, 其中P为明文 空间，C为密文空间，K为密钥空间，E为加密算法，D为解密算 法.
2.特洛伊木马(Trojan Horse)
特洛伊木马是嵌入于某合法程序中的秘密 例程，合法程序的执行将导致秘密例程的 执行，是具有伪装的攻击程序 .
例如
甲欲得到乙的文件F, 因无权限不能直接访问， 便编写一个游戏程序G并邀请乙玩，乙运行G， 这确实是一个游戏程序，但在后台G将F发送 给甲，达到了文件窃取的目的
备份与恢复
抗御信息破坏(disruption)的安全措施
导致信息破坏的原因可能是人为的，如文件被非法 删除；
也可能是自然原因造成的，如存储介质失效、自然 灾害等；
系统操作员必须定期地对系统中的重要数据进行转 储.
11.4.4 可信系统
在安全领域, 人们多谈可信系统, 而不是 安全系统
可信系统的规格比安全系统更高 可信系统的核心是最小的可信计算基
Password generation: 第一代口令为p1=fn(s) ; 第二代口令为p2=fn-1(s) ; 第三代口令为p3=fn-2(s) ; ... 第n代口令为pn=f(s) .
一次性口令
主机初始化
P0=f(P1)和n记在password file中
第一次登录 :
主机响应n , 远程用户输入口令s, 在客户端计算出p1=fn(s)并
分析证实
Windows95/98都存在后门
4. 隐蔽通道(covert channel)
Lampson于1973年提出
并非用于通讯的通道称为隐蔽通道． 不受安全策略控制，违反安全策略的信息泄
露途径
5. 病毒(virus)
病毒不是一个独立的程序，而是寄生于 某一合法程序(通常是一个可执行程序) 上的一段代码 ，其危害包括两个方面：
传送给主机 ,
主机计算出p0=f(p1)并将其与password file中 的p0相比较 .
如果相同登录成功，主机用p1取代password file 中的p0, 并将n减1 .
一次性口令
第二次登录 :
主机响应n-1 ,
远程用户输入口令s, 在客户端计算出p2=fn-1(s)并
传送给主机 ,
主机计算出p1=f(p2)并将其与password 文件中的 p1相比较 .
如果相同登录成功，主机用p2取代password 文件 中的p1, 并将n减1 .
特点
抗截取
用户每次输入的口令 不变, 都是s
11.4.2 程序威胁
恶意程序
寄生程序 独立程序
逻辑炸弹 特洛伊木马 陷阱门 隐蔽通道 病毒
复制 细菌 蠕虫 间谍软件
1. 逻辑炸弹(logic bomb)
逻辑炸弹是隐藏在合法程序中可以被某种 条件触发而执行某种破坏性动作的代码
软件开发者可以采用这种手段制约使用者， 以达到某种目的 ,
逻辑炸弹程序的设计是容易的，一般编程人 员都能实现，但要伪装得好、不易被发现， 则需要一定的设计技巧和编程经验 .
5. 病毒(virus)
病毒类型
文件型病毒：可执行文件，可处于文件前部、后部 或中间某处，通过文件头处的跳转指令转到病毒代 码
内存驻留病毒：文件一旦执行，占据内存空间 引导扇区病毒：开机时借助导引过程进入系统 宏病毒：利用Word提供的宏功能，将病毒插入到带
宏的doc文件中，由于宏允许包含任何程序，这样宏 病毒可做任何事情 电子邮件病毒：嵌入到附件中的word宏病毒，打开 时病毒被激活。
按上述方法, 对每个猜测的口令需要附加 12位的salt, 增加4096种可能性, 大大 增加了破解难度.
一次性口令(one time password)
原理 基于单向函数 y=f(x) 给定x，可以很容易地计算y ; 给定y，从计算上来说不可能求得x ; 用户首先选定一个保密口令s，同时指定一个整数n（ 口令使用次数）
阻断某些协议通过
允许http协议通过 阻断finger等可能导致蠕虫攻击的协议通过
通常
将internet定义为不可信域 内部局域网定义为安全域 介于二者之间的域定义为非军事化区
允许
因特网到非军事化区的连接, 由局域网到因特网的连接
不允许
因特网到局域网的连接 非军事化区到局域网的连接
通过各种渠道获取某待攻击系统的passwd文 件或shadow文件
(离线)对口令词典中的每个口令, 运行加密算 法(如crypt(3)算法), 得到加密后的口令,并与 passwd或shadow中的加密口令逐一进行比 较, 如有相同则猜中.
Brute force 成功率不可低估!
UNIX口令与password guessing
11.4 操作系统安全(Security)
安全威胁(Types of Security Threats) 身份认证(Authentication) 程序威胁(Program Threats) 威胁监测(Threat Monitoring) 可信系统(Trusted System)
威胁类型
Linux /etc/shadow UNIX /etc/passwd
加密函数易于计算但难于取反
口令的选取
推荐选取原则
混合使用字母(大小写)、数字 . 采用一个熟悉句字中出现的单词的首字母，
如MfnisB (My Father’s Name is Bob) .
UNIX口令
UNIX系统在加密之前对口令拼加“salt”
CPU资源 内存资源 磁盘空间
7. 蠕虫(worm)
危害：
复制和传播，通过自身复制消耗系统资源， 在网上从一个计算机传播到另一个计算机；
除利用spawn复制和传播外，可能伴随执行 不期望的动作.
8. 间谍软件(spyware)
独立程序
负责监视系统和用户活动，窃取敏感信息，
用户名 密码 银行卡号 信用卡号等
salt是随机产生的长度为12bit的附加位，将
其与口令s（56bit）串接在一起，然后对其
结果再运行crypt(3)算法，加密后的结果连 同salt一起保存在passwd文件中
UNIX口令载入
User-id
User-id salt
Epsw(s,salt)
salt 12bit
password 56 bit
Passwd文件
crypt(3) 10chars
UNIX口令验证
User-id
User-id salt Epsw(s,salt)
password
crypt(3)
Passwd文件

compare
口令猜测(password guessing)
收集可能的口令, 形成口令词典;
此项工作可增量式完成, 不断丰富
2. 特洛伊木马
防止特洛伊木马
增强权限检查和控制，如限制存取灵活性 提高自我防范意识，慎重使用来历不明的软
件
3. 后门(陷阱门，trapdoor)
后门是程序中绕过例行检查的入口
这种非正常入口在程序开发过程中普遍存在， 一旦系统发布所有后门均应关闭
后门一般有两种情况
忘记关闭 有意保留
11.4.3 可信系统
可信系统结构
进程
所有系统调用
用 户
空
间
系
访问监视器
统
TCB 操作系统核心
空 间
阻断
source
destination
截取
source
destination
篡改
source
destination
伪造
11.4.1闯入与身份认证
身份认证最常用的手段是口令 . 口令加密后存储到系统的Password文件
中
用户口令在帐户建立时连同登录名字一起记 载在系统password 文件中
压缩病毒的感染过程
CV
压缩
④
解压 ②
P1
③ P1’
CV 压缩 解压
P2
P2’ ①
感染程序
被感染程序
6. 细菌(bacteria)
独立程序, 消耗系统资源 .
进程复制
eg. System call fork, spaw, etc.
文件复制
make new bacteria file
细菌可以指数级别增长 ，消耗
防火墙(firewall)
防火墙是网络上分离可信系统(trusted system)与非可信系统(un-trusted system)的常用方法