操作系统安全与虚拟化技术解析

42、讨论使用与对象关联的访问列表来实现访问矩阵的优缺点。

• 优点 ：
• 能够实现复杂的访问方法
• 可轻松扩展以定义列表和默认访问权限集

• 还可结合通用的所有者、组和全局访问控制方案，实现更细粒度的访问控制

• 缺点 ：

• 列表长度可能较长，构建列表可能繁琐且无意义，尤其是在事先不知道系统用户列表的情况下
• 目录项大小会变为可变，导致空间管理更复杂

43、描述如果允许 Java 程序直接更改其栈帧的注释，Java 保护模型将如何受到损害。

如果 Java 程序能直接更改其栈帧的注释，栈检查机制将失效。

栈检查是 Java 保护的重要机制，通过检查栈帧注释判断是否允许访问受保护资源。

若程序可随意更改注释，就能绕过权限检查，非法访问受保护资源，破坏 Java 保护模型的类型安全和访问控制，使类能随意访问内存、绕过访问限制，无法有效封装和保护数据与方法。

44、最小特权原则如何有助于创建保护系统？

• 遵循最小特权原则的操作系统会实现其功能、程序、系统调用和数据结构，使组件的故障或受损造成的损害最小。
• 它可防止用户获得最大权限并访问整个系统，提供系统调用和服务，允许编写具有细粒度访问控制的应用程序。
• 提供在需要时启用特权、不需要时禁用特权的机制。
• 创建所有特权功能访问的审计跟踪。
• 管理用户时，为每个用户创建单独账户，仅赋予其所需的特权。
• 计算机可限制运行特定服务、在特定时间通过特定服务访问特定远程主机。
• 通常通过启用或禁用每个服务以及使用访问控制列表来实现这些限制，有助于产生更安全的计算环境。

45、实施最小特权原则的系统为何仍会出现导致安全违规的保护失败情况？

例如，Windows 2000 核心有复杂保护方案但仍有许多安全漏洞。相比之下，Solaris 虽为历史上保护设计较少的 UNIX 变体，却相对安全。差异原因可能是 Windows 2000 代码行数和服务更多，需保护的内容更多；也可能是其保护方案不完整或保护了操作系统错误的方面，使其他区域易受攻击。

46、通过采用更好的编程方法或使用特殊的硬件支持，可以避免缓冲区溢出攻击。请讨论这些解决方案。

更安全的编程与硬件支持

更好的编程方法

程序员应避免编写存在漏洞的代码，例如对输入字段进行边界检查，以防止攻击者发送超出程序预期的数据，从而避免因数据溢出缓冲区而导致的攻击。

特殊的硬件支持

部分CPU具备相关特性，可禁止在内存的栈部分执行代码：

• Sun的SPARC芯片 ：新版本支持相关设置， Solaris 的新版本也启用了该功能。
• AMD和Intel x86芯片 ：新版本包含 NX（No-eXecute） 特性，通过在CPU的页表中使用新位标记关联页面为不可执行，防止指令从该页面读取并执行。

随着此特性的普及， 缓冲区溢出攻击将大幅减少 。

47、将“盐值”（salt）与用户提供的密码一起使用的目的是什么？“盐值”应存储在哪里，以及如何使用？

盐值在密码加密中的作用

使用“盐值”与用户密码结合的目的是增加密码加密的安全性，防止攻击者通过字典攻击等方式轻易破解密码。

“盐值”存储在密码文件中。使用方式为：

• 用户密码与“盐值”结合
• 通过单向转换函数进行编码后存储在密码文件中

验证过程为：

• 当用户输入密码时，该密码会与存储在密码文件中的“盐值”重新组合
• 并通过相同的单向转换函数进行处理
• 若结果与密码文件中的内容匹配，则密码被接受

48、所有密码列表都保存在操作系统中。因此，如果用户设法读取此列表，密码保护将失效。请提出一种避免此问题的方案。（提示：使用不同的内部和外部表示。）

可以采用类似 UNIX 系统使用的安全哈希方案。系统包含一个极难（理想情况下无法）逆向但易于计算的函数。用该函数对所有密码进行编码，只存储编码后的密码。当用户输入密码时，对其进行哈希处理并与存储的编码密码进行比较。即便存储的编码密码被看到，也无法解码，从而无法确定原始密码。

此外，还可在哈希算法中加入“盐值”（随机数），确保相同的明文密码产生不同的哈希值，使字典攻击无效。

同时，将哈希后的密码条目存储在只有超级用户可读的文件中，比较哈希值的程序以 root 用户权限运行，其他用户无法读取该文件。

49、请支持或反对对小罗伯特·莫里斯因创建和执行互联网蠕虫而作出的司法判决。

支持判决的理由：

• 从攻击复杂性来看，蠕虫的释放和传播范围不太可能是无意的。
• 程序精心设计以掩盖踪迹并抵制阻止其传播的努力。
• 虽未包含破坏系统的代码，但已造成了巨大损失，如1988年UNIX系统受影响，导致系统和系统管理员时间损失达数百万美元。
• 因此对其定罪和处罚是合理的。

反对判决的理由：

• 程序中没有旨在破坏或摧毁运行系统的代码。
• 可推测其初衷可能并非造成严重危害。
• 将其行为视为一个出了差错的无害恶作剧也有一定道理。
• 因此司法量刑可能过重。

50、列出银行计算机系统的六个安全问题。对于列表中的每个项目，说明该问题与物理、人员还是操作系统安全相关。

1. 服务器机房被盗或被破坏，涉及物理安全。
2. 员工因受贿让他人使用其系统访问权限，涉及人员安全。
3. 员工被钓鱼邮件骗取登录信息，涉及人员安全。
4. 系统中运行的失控进程导致服务拒绝攻击，涉及操作系统安全。
5. 查询服务时密码泄露，涉及操作系统安全。
6. 网络数据传输被拦截，涉及网络安全，因题目要求对应三类，勉强可归为操作系统安全范畴（因网络数据传输与系统运行相关）。

51、比较对称加密和非对称加密方案，并讨论分布式系统在何种情况下会使用其中一种或另一种。

## 加密技术对比

### 对称加密

- 加密和解密使用**相同密钥**，需保护密钥的**保密性**。
- 例如：美国民用常用的**DES算法**，是一种块加密。
- 缺点：
  - 使用同一密钥加密**大量数据**易受攻击。
  - **DES**目前对很多应用已不安全。
- 密钥分发方式：
  - 可**直接在双方**之间进行。
  - 或通过**可信第三方**进行。
- 挑战：
  - 传统方法**扩展性差**。
  - 用户与多用户通信时，需**多个密钥**并**频繁更换**。

### 非对称加密

- 密钥可**公开交换**。