第4章操作系統(tǒng)安全

1、1,第8章 操作系統(tǒng)安全,2,本章主要內(nèi)容,操作系統(tǒng)的安全問題 存儲(chǔ)器保護(hù) 用戶認(rèn)證 訪問控制 Windows 2000(XP)系統(tǒng)的安全機(jī)制,3,8.1 操作系統(tǒng)的安全問題,操作系統(tǒng)安全的重要性 操作系統(tǒng)的安全是整個(gè)計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)，沒有操作系統(tǒng)安全，就不可能真正解決數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全和其他應(yīng)用軟件的安全問題。,4,（4）在多用戶操作系統(tǒng)中，各用戶程序執(zhí)行過程中相互間會(huì)產(chǎn)生不良影響，用戶之間會(huì)相

2、互干擾。,操作系統(tǒng)面臨的安全威脅,（1）惡意用戶,（2）惡意破壞系統(tǒng)資源或系統(tǒng)的正常運(yùn)行，危害計(jì)算機(jī)系統(tǒng)的可用性,（3）破壞系統(tǒng)完成指定的功能,5,·保證系統(tǒng)自身的安全性和完整性。,操作系統(tǒng)安全的目標(biāo),·標(biāo)識(shí)系統(tǒng)中的用戶并進(jìn)行身份鑒別；,依據(jù)系統(tǒng)安全策略對(duì)用戶的操作進(jìn)行存取控制，防止用戶對(duì)計(jì)算機(jī)資源的非法存??；,·監(jiān)督系統(tǒng)運(yùn)行的安全；,6,為了實(shí)現(xiàn)操作系統(tǒng)安全的目標(biāo)，需要建立相應(yīng)的安全機(jī)制，包括隔離控制、存

3、儲(chǔ)器保護(hù)、用戶認(rèn)證、訪問控制等。,7,隔離控制的方法有四種：,② 時(shí)間隔離。對(duì)不同安全要求的用戶進(jìn)程分配不同的運(yùn)行時(shí)間段。對(duì)于用戶運(yùn)算高密級(jí)信息時(shí)，甚至獨(dú)占計(jì)算機(jī)進(jìn)行運(yùn)算。,① 物理隔離。在物理設(shè)備或部件一級(jí)進(jìn)行隔離，使不同的用戶程序使用不同的物理對(duì)象。,8,③ 邏輯隔離。多個(gè)用戶進(jìn)程可以同時(shí)運(yùn)行，但相互之間感覺不到其他用戶進(jìn)程的存在，這是因?yàn)椴僮飨到y(tǒng)限定各進(jìn)程的運(yùn)行區(qū)域，不允許進(jìn)程訪問其他未被允許的區(qū)域。,9,④加密隔離。

4、進(jìn)程把自己的數(shù)據(jù)和計(jì)算活動(dòng)隱蔽起來，使他們對(duì)于其他進(jìn)程是不可見的，對(duì)用戶的口令信息或文件數(shù)據(jù)以密碼形式存儲(chǔ)，使其他用戶無法訪問，也是加密隔離控制措施。,10,這幾種隔離措施實(shí)現(xiàn)的復(fù)雜性是逐步遞增的,而它們的安全性則是逐步遞減的.,隔離措施復(fù)雜性？安全性？,11,系統(tǒng)提供的保護(hù)方式,① 無保護(hù)方式。當(dāng)處理高密級(jí)數(shù)據(jù)的程序（又稱敏感程序）在單獨(dú)的時(shí)間內(nèi)運(yùn)行時(shí)，使用無保護(hù)的系統(tǒng)是合適的。,② 隔離保護(hù)方式。當(dāng)操作系統(tǒng)提供隔離機(jī)制時(shí)，可以使

5、并行運(yùn)行的進(jìn)程彼此感覺不到對(duì)方的存在。每個(gè)進(jìn)程都有自己的內(nèi)存空間、文件和其他資源。操作系統(tǒng)必須控制運(yùn)行中每個(gè)進(jìn)程不得訪問其他進(jìn)程的資源。,12,③ 共享或獨(dú)占保護(hù)方式。用戶資源（或稱客體）是否可以共享由用戶自己說明，凡被該用戶指定為共享的客體，其他用戶都可以訪問，而被指定為私有的客體，則只能被該用戶自己獨(dú)占使用。,13,通過對(duì)其他用戶訪問進(jìn)行限制來保護(hù)用戶的某些客體。,④ 受限共享保護(hù)方式。,根據(jù)需要為各用戶分配不同的訪問控制條

6、件，可以把這些訪問控制信息存儲(chǔ)在某種數(shù)據(jù)結(jié)構(gòu)（如表格）中，以便操作系統(tǒng)對(duì)指定客體進(jìn)行訪問控制。,14,這種方式是受限共享保護(hù)方式的推廣，用戶被賦予訪問客體的某種能力,能力代表一種訪問權(quán)利。該保護(hù)方式允許動(dòng)態(tài)創(chuàng)建客體的共享權(quán)，用戶的進(jìn)程共享客體的能力取決于客體的擁有者或主體本身，取決于計(jì)算的內(nèi)容，也取決于客體本身。,⑤ 按能力共享保護(hù)方式。,15,這種保護(hù)方式不限制對(duì)客體的訪問，而是限制訪問后對(duì)客體的使用，例如允許讀，但不允許復(fù)制；或

7、者只讀不許修改等限制。,⑥ 限制對(duì)客體的使用。,16,上述六種對(duì)客體的保護(hù)是按實(shí)現(xiàn)的難度遞增順序排列的，他們對(duì)客體的保護(hù)能力也是越來越強(qiáng)的。一個(gè)功能較強(qiáng)的操作系統(tǒng)應(yīng)該能夠?qū)Σ煌目腕w、不同的用戶和不同的情況提供不同安全級(jí)別的保護(hù)功能。,6種實(shí)現(xiàn)難度如何？保護(hù)能力如何？,17,8.2 存儲(chǔ)器保護(hù),內(nèi)存儲(chǔ)器是操作系統(tǒng)中的共享資源，即使對(duì)于單用戶的個(gè)人計(jì)算機(jī)，內(nèi)存也是被用戶程序與系統(tǒng)程序所共享，在多道環(huán)境下更是被多個(gè)進(jìn)程所共享。為了防

8、止共享失去控制和產(chǎn)生不安全問題，對(duì)內(nèi)存進(jìn)行保護(hù)是必要的。,18,內(nèi)存儲(chǔ)器是操作系統(tǒng)中的共享資源,內(nèi)存被用戶程序與系統(tǒng)程序所共享,在多道環(huán)境下更是被多個(gè)進(jìn)程所共享。,內(nèi)存的特點(diǎn)？,19,內(nèi)存保護(hù)的目的是：,防止對(duì)內(nèi)存的未授權(quán)訪問；,防止對(duì)內(nèi)存的錯(cuò)誤讀寫，如向只讀單元寫；,防止用戶的不當(dāng)操作破壞內(nèi)存數(shù)據(jù)區(qū)、程序區(qū)或系統(tǒng)區(qū)；,多道程序環(huán)境下，防止不同用戶的內(nèi)存區(qū)域互不影響；,將用戶與內(nèi)存隔離，不讓用戶知道數(shù)據(jù)或程序在內(nèi)存中的具體位置；,20,

9、常用的內(nèi)存保護(hù)技術(shù),有單用戶內(nèi)存保護(hù)技術(shù),多道程序的保護(hù)技術(shù),分段與分頁保護(hù)技術(shù),和內(nèi)存標(biāo)記保護(hù)法,21,8.2.1 單用戶內(nèi)存保護(hù)問題 可以利用地址界限寄存器在內(nèi)存中規(guī)定一條區(qū)域邊界（一個(gè)內(nèi)存地址），用戶程序運(yùn)行時(shí)不能跨越這個(gè)地址。利用該寄存器也可以實(shí)現(xiàn)程序重定位功能，可以指定用戶程序的裝入地址。,22,內(nèi)存,,界限寄存器,,,,單用戶內(nèi)存保護(hù),,用戶區(qū),,系統(tǒng)區(qū),23,8.2.2 多道程序的保護(hù) 單用戶內(nèi)存保護(hù)存在的問題：

10、利用一個(gè)基址寄存器無法使這些用戶程序分隔在不同內(nèi)存區(qū)運(yùn)行 。解決辦法：再增加一個(gè)寄存器保存用戶程序的上邊界地址。,24,如果使用多對(duì)基址和邊界寄存器，還可以把用戶的可讀寫數(shù)據(jù)區(qū)與只讀數(shù)據(jù)區(qū)和程序區(qū)互相隔離，這種方法可以防止程序自身的訪問錯(cuò)誤。例如，可以防止向程序區(qū)或只讀數(shù)據(jù)區(qū)寫訪問。,25,系統(tǒng)區(qū) 程序R內(nèi)存區(qū) 程序S內(nèi)存區(qū) 程序T內(nèi)存區(qū),,,,,基地址寄存器,邊界址寄存器,,,多道程

11、序的保護(hù),26,多對(duì)基址與邊界寄存器技術(shù)的問題：只能保護(hù)數(shù)據(jù)區(qū)不被其他用戶程序訪問，不能控制自身程序?qū)ν粋€(gè)數(shù)據(jù)區(qū)內(nèi)單元有選擇的讀或?qū)憽?例如，一個(gè)程序中若沒有數(shù)組越界溢出檢查，當(dāng)向該數(shù)組區(qū)寫入時(shí)就有可能越界到其他數(shù)據(jù)單元，甚至越界到程序代碼區(qū)（這就是緩沖區(qū)溢出的一種情況），而代碼區(qū)是嚴(yán)格禁止寫的。,8.2.3 標(biāo)記保護(hù)法,27,解決方法：按其內(nèi)容要求進(jìn)行保護(hù)，例如有的單元只讀，讀/寫、或僅執(zhí)行（代碼單元）等不同要求，可以在每個(gè)內(nèi)存

12、字單元中專用幾個(gè)比特來標(biāo)記該字單元的屬性。 除了標(biāo)記讀、寫、執(zhí)行等屬性外，還可以標(biāo)記該單元的數(shù)據(jù)類型，如數(shù)據(jù)、字符、地址、指針或未定義等。,28,加標(biāo)記的內(nèi)存,,其中E表示執(zhí)行，R表示讀，W表示寫，OR表示只讀。,29,8.2.4 分段與分頁技術(shù) 對(duì)于稍微復(fù)雜一些的用戶程序，通常按功能劃分成若干個(gè)模塊（過程）。每個(gè)模塊有自己的數(shù)據(jù)區(qū)，各模塊之間也可能有共享數(shù)據(jù)區(qū)。各用戶程序之間也可能有共享模塊或共享數(shù)據(jù)區(qū)。

13、 這些模塊或數(shù)據(jù)區(qū)有著不同的訪問屬性和安全要求，使用上述各種保護(hù)技術(shù)很難滿足這些要求。,30,分段技術(shù)的作用 分段技術(shù)就是試圖解決較大程序的裝入、調(diào)度、運(yùn)行和安全保護(hù)等問題的一種技術(shù)。 分段以模塊（過程或子程序）為單位。 采用分段技術(shù)，用戶不知道他的程序?qū)嶋H使用的內(nèi)存物理地址。這種隱藏對(duì)保護(hù)用戶代碼與數(shù)據(jù)的安全是極有好處的。,31,分段技術(shù)的優(yōu)點(diǎn)：,（1）在段表中除了與段名對(duì)應(yīng)的段號(hào)及段基址外，還可

14、以增加必要的訪問控制信息，對(duì)于任何企圖訪問某個(gè)段的操作，操作系統(tǒng)和硬件都可以進(jìn)行檢查。,（2）分段技術(shù)幾乎可以實(shí)現(xiàn)對(duì)程序的不同片段分別保護(hù)的目標(biāo)。根據(jù)各段敏感性要求，為各段劃分安全級(jí)，并提供不同的保護(hù)措施。,32,（3）分段技術(shù)的保護(hù)功能可以檢查每一次對(duì)內(nèi)存訪問是否合法，可以讓保護(hù)粒度達(dá)到數(shù)據(jù)項(xiàng)級(jí)。,（4）可以為了實(shí)施保護(hù)而檢查每一次地址訪問。,（5）還可以避免允許用戶直接指定內(nèi)存地址或段區(qū)所帶來的安全問題，也可以讓多個(gè)用戶用不同的權(quán)限

15、訪問一個(gè)段。,分段技術(shù)的優(yōu)點(diǎn)續(xù)：,33,段的管理方式存在的問題與困難（1）由于各段的長度不相同，對(duì)內(nèi)存管理造成了困難，容易產(chǎn)生內(nèi)存“碎片”。 這是一個(gè)很大的安全漏洞。,34,（2）在許多情況下（如段內(nèi)部包含動(dòng)態(tài)數(shù)據(jù)結(jié)構(gòu)）要求在使用段方式時(shí)允許段的尺寸可以增大。 為了保證安全起見，要求系統(tǒng)檢查所產(chǎn)生的地址，驗(yàn)證其是否超出所訪問的段的末端。,段的管理方式存在的問題與困難續(xù)：,35,（3）段名不易在指令中編碼，由操作系統(tǒng)查名字

16、表的速度也會(huì)很慢。解決的辦法是由編譯器把段名轉(zhuǎn)化為數(shù)字，并建立一張數(shù)字與段名之間的對(duì)照表。 但這又為段的共享帶來麻煩，因?yàn)槊總€(gè)調(diào)用者都必須知道該段的編號(hào)。,段的管理方式存在的問題與困難續(xù)：,36,分段與分頁的問題與作用 為了解決分段可能產(chǎn)生的內(nèi)存碎片問題，引入了分頁技術(shù)。分頁是把目標(biāo)程序與內(nèi)存都劃分成相同大小的片段，這些片段就稱為“頁”。 分頁技術(shù)解決了碎片問題，但損失了分段技術(shù)的安全功能。 由于段

17、具有邏輯上的完整意義，而頁則沒有這樣的意義，程序員可以為段規(guī)定某些安全控制要求，但卻無法指定各頁的訪問控制要求。,37,系統(tǒng)還可以為每個(gè)物理頁分配一個(gè)密碼，只允許擁有相同密碼的進(jìn)程訪問該頁，該密碼由操作系統(tǒng)裝入進(jìn)程的狀態(tài)字中，由硬件對(duì)進(jìn)程的密碼進(jìn)行檢驗(yàn)。這種安全機(jī)制有效地保護(hù)了虛擬存儲(chǔ)器的安全。,38,8.3 用戶認(rèn)證,用戶認(rèn)證的任務(wù)是確認(rèn)當(dāng)前正在試圖登錄進(jìn)入系統(tǒng)的用戶就是賬戶數(shù)據(jù)庫中記錄的那個(gè)用戶。,認(rèn)證用戶的方法一般有三種：（1

18、）要求輸入一些保密信息，如用戶的姓名、通行字或加密密鑰等； （2）稍微復(fù)雜一些鑒別方法，如詢問—應(yīng)答系統(tǒng)、采用物理識(shí)別設(shè)備（如訪問卡、鑰匙或令牌標(biāo)記）等方法；（3）利用用戶生物特征，如指紋、聲音、視網(wǎng)膜等識(shí)別技術(shù)對(duì)用戶進(jìn)行唯一的識(shí)別。,39,8.3.1 口令認(rèn)證方法 口令是一種容易實(shí)現(xiàn)并有效地只讓授權(quán)用戶進(jìn)入系統(tǒng)的方法?？诹钍怯脩襞c操作系統(tǒng)之間交換的信物。用戶想使用系統(tǒng)，首先必須通過系統(tǒng)管理員向系統(tǒng)登錄，在系統(tǒng)中建立一

19、個(gè)用戶賬號(hào)，賬號(hào)中存放用戶的名字(或標(biāo)識(shí))和口令。用戶輸入的用戶名和口令必須和存放在系統(tǒng)中的賬戶/口令文件中的相關(guān)信息一致才能進(jìn)入系統(tǒng)。沒有一個(gè)有效的口令，入侵者要闖入計(jì)算機(jī)系統(tǒng)是很困難的。,40,破解口令是黑客們攻擊系統(tǒng)的常用手段，那些僅由數(shù)字組成、或僅由字母組成、或僅由兩、三個(gè)字符組成、或名字縮寫、或常用單詞、生日、日期、電話號(hào)碼、用戶喜歡的寵物名、節(jié)目名等易猜的字符串作為口令是很容易被破解的。這些類型的口令都不是安全有效的，常被稱

20、為弱口令。,41,選取口令應(yīng)遵循以下規(guī)則： ①擴(kuò)大口令字符空間 口令的字符空間不要僅限于26個(gè)大寫字母，要擴(kuò)大到包括26個(gè)小寫字母和10個(gè)數(shù)字，使字符空間可達(dá)到62個(gè)之多。 在UNIX系統(tǒng)中，還把其他一些特殊符號(hào)（如+、—、*、/、%、#、等）也作為口令的字符空間，因此其口令的安全性更高。,42,,② 選擇長口令 選擇長口令可以增加破解的時(shí)間。假定字符空間是26個(gè)字母，如果已知口令的長度不超

21、過3，則可能的口令有26+26*26+26*26*26=18278個(gè)。若每毫秒驗(yàn)證一個(gè)口令，只需要18多秒鐘就可以檢驗(yàn)所有口令。,43,,③ 選用無規(guī)律的口令 不要使用自己的名字、熟悉的或名人的名字作為口令，不要選擇寵物名或各種單詞作為口令，因?yàn)檫@種類型的口令往往是破解者首先破解的對(duì)象，由于它們的數(shù)量有限(常用英文詞匯量只不過15萬左右)，對(duì)計(jì)算機(jī)來說不是一件困難的事情。假定按每毫秒窮舉一個(gè)英文單詞的速度計(jì)算，15萬個(gè)單詞也

22、僅僅需要150秒鐘時(shí)間。,44,,④口令要自己記憶 為了安全起見，再復(fù)雜的口令都應(yīng)該自己記憶。,45,,⑤口令更換 有時(shí)口令已經(jīng)泄露了，但擁有者卻不知道，還在繼續(xù)使用。為了避免這種情況發(fā)生，比較好的辦法是定期更換口令。Windows NT和UNIX系統(tǒng)都支持定期更換口令的功能。,46,,⑥多個(gè)口令 一般來說，登錄名或用戶名是與某個(gè)私人口令相聯(lián)系的。盡管如此，在有更高安全要求的系統(tǒng)上還

23、采用多個(gè)口令的安全措施。其中包括系統(tǒng)口令，它允許用戶訪問指定的終端或系統(tǒng)，這是在正常登錄過程之后的額外的訪問控制層。也可以是對(duì)撥號(hào)訪問或訪問某些敏感程序或文件而要求的額外口令。,47,,⑦系統(tǒng)生成口令 可以由計(jì)算機(jī)為用戶生成口令，UNIX系統(tǒng)就有這種功能?？诹钌绍浖梢园辞懊嬗懻摰脑S多原則為用戶生成口令，由系統(tǒng)生成的口令一般很難記憶，有時(shí)會(huì)迫使用戶寫到紙上，造成了不安全因素。,48,對(duì)口令的控制 除了以上

24、各種安全措施外，有的系統(tǒng)對(duì)使用口令進(jìn)行訪問還采取更嚴(yán)格的控制，通常有以下一些措施： ◇登錄時(shí)間限制◇系統(tǒng)消息◇限制登錄次數(shù)◇最后一次登錄 ◇盡量減少會(huì)話透露的信息 ◇增加認(rèn)證的信息量,49,8.3.2 其他認(rèn)證方法（1）詢問—響應(yīng)系統(tǒng)：本質(zhì)上是一個(gè)密碼系統(tǒng)，其中主機(jī)發(fā)送消息m，用戶用E（m）來回答。雖然消息m 及其加密形式都可能被截獲（通過觀察或線路截聽），但這種泄露不會(huì)暴露加密算法。詢問—響應(yīng)系統(tǒng)提示用戶，要求每次注

25、冊(cè)都給出不同的回答。,50,詢問—響應(yīng)系統(tǒng)有兩個(gè)缺陷： （1）雖然竊取者不能憑一次截獲的明文消息與其對(duì)應(yīng)的密文就推斷出該系統(tǒng)的加密函數(shù)，但是若截取的該加密系統(tǒng)的的明文或密文越多，截獲者越有可能攻破該加密系統(tǒng)。解決的辦法是采取更強(qiáng)有力的加密系統(tǒng)，這就意味著需要系統(tǒng)具有更加復(fù)雜的功能，但對(duì)用戶用手計(jì)算或記憶增加了很大難度。,51,,（2）老消息再現(xiàn)的可能性。詢問—回答系統(tǒng)可能用于讓用戶相信主機(jī)系統(tǒng)的可信性，防止被一個(gè)偽裝的注冊(cè)程序騙取自己

26、的口令。用戶希望主機(jī)能夠發(fā)出一個(gè)密碼信息，供用戶判斷主機(jī)的真假。,52,（2）通行短語：另外一種簡單而又保密的鑒別方案是通行短語，它是一種更長的口令的變形。通行短語等價(jià)于有鑒別能力的口令。,53,,通行短語也可以用于可變的詢問—響應(yīng)系統(tǒng)，系統(tǒng)和用戶之間可以約定許多互相知道的秘密信息，如有關(guān)用戶個(gè)人經(jīng)歷、愛好、家庭、個(gè)人特征等方面的信息，每當(dāng)用戶向系統(tǒng)登錄時(shí)，詢問—響應(yīng)系統(tǒng)便隨機(jī)從這些信息中挑出幾個(gè)向用戶詢問，在用戶給出正確回答和系統(tǒng)提問

27、內(nèi)容在事先約定范圍內(nèi)的情況下，雙方可以互相取得信任。,54,8.4 訪問控制,訪問控制的基本目標(biāo)都是防止非法用戶進(jìn)入系統(tǒng)和合法用戶對(duì)系統(tǒng)資源的非法使用。為了達(dá)到這個(gè)目標(biāo)，訪問控制常以用戶身份認(rèn)證為前提，在此基礎(chǔ)上實(shí)施各種訪問控制策略來控制和規(guī)范合法用戶在系統(tǒng)中的行為。,55,8.4.1 訪問控制模型1．訪問控制的三要素,（1）主體(Subject)：訪問操作的主動(dòng)發(fā)起者，但不一定是動(dòng)作的執(zhí)行者。,（2）客體(Object)：通常是

28、指信息的載體或從其他主體或客體接收信息的實(shí)體。,（3）安全訪問規(guī)則：用以確定一個(gè)主體是否對(duì)某個(gè)客體擁有某種訪問權(quán)力。,56,2．基本的訪問控制模型 （1）訪問控制矩陣(ACM，Access Control Matrix)：基本思想就是將所有的訪問控制信息存儲(chǔ)在一個(gè)矩陣中集中管理。當(dāng)前的訪問控制模型一般都是在它的基礎(chǔ)上建立起來的。,57,（2）訪問目錄表：這種訪問控制機(jī)制實(shí)際上按訪問控制矩陣的行實(shí)施對(duì)系統(tǒng)中客體的訪問控制。,58,文件

29、名,權(quán)限,C,客體 (文件),,,,,,,用戶A目錄,用戶B目錄,,,,,C,D,ORW,RW,B,RW,,,,,,,A,B,C,ORW,OX,R,D,A,B,O：OwnerR：ReadW：WriteX：Execute,訪問目錄表機(jī)制,59,訪問目錄表機(jī)制容易實(shí)現(xiàn)，但存在三個(gè)問題需要解決：①共享客體的控制。凡是允許用戶訪問的客體，都應(yīng)該把它的名字存入該用戶的訪問目錄表內(nèi)，共享客體也應(yīng)該存入該目錄表中。存在的問題是，如果共享的

30、客體太多（如子程序庫），用戶的目錄表將會(huì)很長，增加了處理時(shí)間。,60,②訪問權(quán)的收回問題。在實(shí)際情況中，甲乙兩人之間可能有信任關(guān)系，文件A的擁有者甲可以把該文件的某些權(quán)限傳遞給用戶乙，當(dāng)甲用戶想從乙用戶收回該訪問權(quán)時(shí)，只要從乙的目錄表中刪除該文件名即可。在許多操作系統(tǒng)中都支持這種信任關(guān)系。但是若允許信任關(guān)系傳遞，則給目錄表的管理帶來麻煩。假設(shè)乙用戶在把文件A的訪問權(quán)又傳遞給丙用戶，當(dāng)甲用戶希望收回所有用戶對(duì)文件A的訪問權(quán)時(shí)，甲可能不知

31、道這種情況，解決的辦法是搜索所有用戶的目錄表，如果系統(tǒng)中用戶數(shù)量較大，將要花費(fèi)很多時(shí)間。,61,③多重許可權(quán)問題。多重許可權(quán)問題是由文件重名問題引起的。假定乙用戶的目錄表中已經(jīng)有一個(gè)文件A，甲用戶也有一個(gè)文件A，但這兩個(gè)文件A的內(nèi)容不同。如果甲信任乙，第一次把自己A文件的部分訪問權(quán)傳遞給乙，為了不重名，甲的文件A被改名為H后存入到乙的目錄表中，乙可能會(huì)忘記自己目錄表中的H就是甲的A文件，于是又向甲申請(qǐng)A文件的訪問權(quán)，甲可能對(duì)乙更加信任

32、，就把文件A更高的訪問權(quán)授予乙，于是造成乙用戶對(duì)甲的文件A有多重訪問權(quán)的問題，產(chǎn)生客體安全管理的混亂，而且可能產(chǎn)生矛盾。,62,（3）訪問控制表ACL ACL表保護(hù)機(jī)制實(shí)際上是按矩陣的列實(shí)施對(duì)系統(tǒng)中客體的訪問控制的。訪問目錄表和訪問控制表分別將訪問控制設(shè)施設(shè)置在用戶端和客體端，這兩種控制方式需要管理的表項(xiàng)的總數(shù)量是相同的，它們的差別在于管理共享客體的方法上，訪問控制表技術(shù)易于實(shí)現(xiàn)對(duì)這些共享客體的管理。,63,,,,,,,,,,

33、,,,客體,FILE1,FILE2,PRG1,HELP,,,USER-C,R,ACL表,USER-B,USER-C,USER-A,ORW,RW,ORW,,,,USER-A,USER-D,OX,X,,,,,,USER-A,USER-B,USER-C,USER-D,R,R,RW,O,O：WONERR：READW：WRITEX：EXCUTE,客體目錄,,,,,FILE1,FILE2,PRG1,HELP,,訪問控制表機(jī)制,64,（4）能力

34、機(jī)制 能力（Capability）機(jī)制就是可以滿足這些要求更高的訪問控制機(jī)制。主體具有的能力是一種權(quán)證，類似一個(gè)“入場卷”它是操作系統(tǒng)賦予主體訪問客體的許可權(quán)限，它是一種不可偽造的標(biāo)記。能力是在用戶向系統(tǒng)登錄時(shí)，由操作系統(tǒng)賦予的一種權(quán)限標(biāo)記，用戶憑借該標(biāo)記對(duì)客體進(jìn)行許可的訪問。,65,能力可以實(shí)現(xiàn)復(fù)雜的訪問控制機(jī)制。假設(shè)主體對(duì)客體的能力包括“轉(zhuǎn)授”（或“傳播”）的訪問權(quán)限，具有這種能力主體可以把自己的能力拷貝傳遞給其他主體。

35、這種能力可以用表格描述，“轉(zhuǎn)授”權(quán)限是其中的一個(gè)表項(xiàng)。一個(gè)具有“轉(zhuǎn)授”能力的主體可以把這個(gè)權(quán)限傳遞給其他主體，其他主體也可以再傳遞給第三者。具有轉(zhuǎn)授能力的主體可以把“轉(zhuǎn)授”權(quán)限從能力表中刪除，進(jìn)而限制這種能力的進(jìn)一步傳播。,66,能力機(jī)制需要結(jié)合訪問控制表（或訪問控制矩陣）技術(shù)實(shí)現(xiàn)，當(dāng)一個(gè)過程要求訪問新客體的時(shí)候，操作系統(tǒng)首先查詢?cè)L問控制表，確認(rèn)該過程是否有權(quán)訪問該客體，若有，操作系統(tǒng)就要為該過程創(chuàng)立一個(gè)訪問該客體的能力。為了安全起見

36、，能力應(yīng)該存儲(chǔ)在用戶程序訪問不到的區(qū)域中，這需要用到前面介紹的內(nèi)存保護(hù)技術(shù)。在執(zhí)行期間，只有當(dāng)前運(yùn)行過程訪問的那些客體的能力有效，這一限制可以有效提高操作系統(tǒng)對(duì)客體訪問檢查的速度。,67,（5）面向過程的訪問控制 面向過程的訪問控制是指在主體訪問客體的過程中對(duì)主體的訪問操作進(jìn)行監(jiān)視與限制。例如，對(duì)于只有讀權(quán)的主體，就要控制它不能對(duì)客體進(jìn)行修改。要實(shí)現(xiàn)面向過程的訪問控制就要建立一個(gè)對(duì)客體訪問進(jìn)行控制的過程，該過程能夠自己進(jìn)行用

37、戶認(rèn)證，以此加強(qiáng)操作系統(tǒng)的基本認(rèn)證能力。,68,訪問目錄表、訪問控制表、訪問控制矩陣、能力和面向過程的控制等五種對(duì)客體的訪問控制機(jī)制的實(shí)現(xiàn)復(fù)雜性是逐步遞增的。實(shí)現(xiàn)能力機(jī)制需要必須對(duì)每次訪問進(jìn)行檢查，而訪問目錄表方式實(shí)現(xiàn)比較容易，它只需要在主體對(duì)客體第一次訪問時(shí)進(jìn)行檢查。實(shí)現(xiàn)復(fù)雜的保護(hù)方式提高了系統(tǒng)的安全性，但降低了系統(tǒng)響應(yīng)速度。安全與效率之間需要平衡。,69,有的系統(tǒng)中實(shí)現(xiàn)的保護(hù)子系統(tǒng)機(jī)制就是面向過程的訪問控制的典型例子。一個(gè)保護(hù)子系統(tǒng)

38、可以看作是由一個(gè)過程集合和受保護(hù)的數(shù)據(jù)客體組成的，這些成分都包含在該子系統(tǒng)的私有域中。只有保護(hù)子系統(tǒng)中的過程可以對(duì)子系統(tǒng)中的數(shù)據(jù)客體進(jìn)行訪問操作，子系統(tǒng)外只有被指定的主體可以在指定的入口點(diǎn)調(diào)用子系統(tǒng)中的過程。,70,在子系統(tǒng)中的數(shù)據(jù)文件是受保護(hù)的對(duì)象，子系統(tǒng)中的過程是用來管理受保護(hù)對(duì)象的，并按用戶要求實(shí)施對(duì)這些客體的訪問控制。外部進(jìn)程只能通過調(diào)用管理程序?qū)ψ酉到y(tǒng)內(nèi)部的客體進(jìn)行訪問操作。,71,8.4.2 文件的保護(hù)機(jī)制,文件系統(tǒng)是任何

39、一個(gè)操作系統(tǒng)的最重要的組成部分。由于用戶交由計(jì)算機(jī)處理的數(shù)據(jù)（其中有的是敏感數(shù)據(jù)）和系統(tǒng)安全機(jī)制的信息都是用文件的形式保存的，因此文件的保護(hù)是非常重要的。本節(jié)介紹幾種文件保護(hù)機(jī)制，每一種有它的特點(diǎn)與不足。通過了解這些文件保護(hù)機(jī)制，可以知道哪些保護(hù)方式更為安全，為選擇安全可靠的操作系統(tǒng)提供依據(jù)。,72,8.4.2.2 基礎(chǔ)保護(hù),任何一個(gè)多用戶系統(tǒng)都必須提供最低限度的文件保護(hù)功能，防止用戶有意或無意訪問、修改和破壞其他用戶的文件。,73,

40、（1）全-或-無保護(hù) 全-或-無保護(hù)建筑于對(duì)用戶信賴的基礎(chǔ)上，假定用戶不會(huì)去讀或修改別人的文件，只會(huì)訪問自己有權(quán)訪問的文件，并且假定用戶只知道其有合法訪問權(quán)的文件名。因此對(duì)文件一般不設(shè)保護(hù)，默認(rèn)文件是公開的。實(shí)際上，對(duì)文件是沒有保護(hù)的，任何一個(gè)用戶都可以讀、修改甚至刪除其他用戶的文件。對(duì)于某些敏感文件，系統(tǒng)管理員可以使用通行字保護(hù)它們，通行字可以控制對(duì)該文件的一切訪問（讀、寫或更新），或只控制對(duì)其他用戶有影響的訪問操作（如寫、更新）

41、。使用通行字機(jī)制在每次對(duì)文件開始訪問的時(shí)候，操作員都需要進(jìn)行干預(yù)。,74,主要存在以下問題：,以信任為基礎(chǔ)的安全機(jī)制是不可靠的。如果操作系統(tǒng)的用戶少，相互之間都比較熟悉，且相互利益也不沖突，各人也沒有敏感文件需要保存，這種安全機(jī)制還是可以使用的。但對(duì)于用戶眾多的大系統(tǒng)而言，各用戶之間也不熟悉，不存在相互信賴的基礎(chǔ)。如果某個(gè)文件只希望一部分人可以訪問，由于采用了“要么對(duì)所有用戶都是公開的，要么對(duì)所有用戶都是有保護(hù)的”安全機(jī)制，這一要求無

42、法實(shí)現(xiàn)。,75,這種安全機(jī)制更適合于批處理系統(tǒng)，而不適用于分時(shí)系統(tǒng)。在批處理的環(huán)境下可以把有相同興趣的用戶安排在同一批進(jìn)行處理，全-或-無的保護(hù)方式可以滿足這種處理方式對(duì)文件的保護(hù)要求，各批用戶之間沒有機(jī)會(huì)交互信息。在分時(shí)系統(tǒng)中用戶需要交互信息，用戶選擇計(jì)算的時(shí)間可能就是為了向另一個(gè)用戶傳遞結(jié)果，如果被保護(hù)的文件不允許被某些用戶訪問，在分時(shí)系統(tǒng)下無法按這種保護(hù)方式進(jìn)行控制。,76,由于這種安全機(jī)制需要操作員干預(yù)，既麻煩又降低了操作系統(tǒng)的

43、效率，影響了這種保護(hù)方式的廣泛使用。需要向用戶提供系統(tǒng)所有文件的列表，幫助用戶回憶他們需要對(duì)哪些文件負(fù)責(zé)，這種文件管理方式比較落后。,77,（2）分組保護(hù),根據(jù)上述情況，全-或-無保護(hù)方式主要問題是不能滿足不同利益用戶對(duì)文件的保護(hù)要求。分組保護(hù)方式可以解決這個(gè)問題。在分組方案中， 可以根據(jù)某種共同性把用戶劃分在一個(gè)組中，例如需要共享是一個(gè)常見的分組理由。,78,系統(tǒng)中的用戶分為三類：（單個(gè)）用戶（User）、用戶組（Group）和全部

44、（World），分組時(shí)要求每個(gè)用戶只能分在一個(gè)組中，同一個(gè)組中的用戶對(duì)文件有相同的需求，一般具有相同訪問權(quán)。例如，在創(chuàng)立文件時(shí)，文件主可以為自己授予最高的權(quán)限（如讀、寫、執(zhí)行、刪除），為某個(gè)組的用戶授予讀寫權(quán)利，對(duì)其他所有一般用戶僅授予讀的權(quán)利。分組保護(hù)技術(shù)在UNIX、VAX VM等操作系統(tǒng)中使用。分組方案便于系統(tǒng)管理員對(duì)用戶群的管理，所以該方案在新型操作系統(tǒng)（如NT、LINUX等）被廣泛采用。,79,分組保護(hù)機(jī)制的實(shí)現(xiàn)并不困難，由于引

45、入組的概念，需要用用戶和組這兩個(gè)標(biāo)識(shí)符標(biāo)識(shí)一個(gè)用戶。這兩個(gè)標(biāo)識(shí)符存放在為每個(gè)文件設(shè)立的文件目錄項(xiàng)中，當(dāng)用戶注冊(cè)的時(shí)候，操作系統(tǒng)就可以得到它們。當(dāng)用戶要求訪問該文件時(shí)，操作系統(tǒng)可以檢查該用戶的組標(biāo)識(shí)符與該文件的組標(biāo)識(shí)符是否相同，相同就允許訪問。,80,該方案還存在以下問題：,組的隸屬關(guān)系：分組不允許一個(gè)用戶同屬兩個(gè)組，否則會(huì)引起訪問權(quán)限的混亂。例如，假如一個(gè)用戶同屬于兩個(gè)組，如果這個(gè)用戶所在的一個(gè)組對(duì)某個(gè)文件具有讀權(quán)，那么該用戶所在的另一

46、個(gè)組對(duì)該文件是否也具有讀權(quán)？如果一個(gè)組內(nèi)的用戶對(duì)某個(gè)文件有不同的訪問權(quán)，上述實(shí)現(xiàn)分組的方法就無法進(jìn)行控制，解決這些問題只能一人一組。,81,多重賬戶：為了克服一人一組帶來的限制，可以允許用戶建立多個(gè)賬戶，在不同的組里使用不同的賬號(hào)，代表不同的用戶。假設(shè)用戶甲有兩個(gè)賬號(hào)，一個(gè)是甲1，一個(gè)是甲2，他們分配在兩個(gè)組內(nèi)。甲1開發(fā)的任何文件、程序，甲2只能享受非甲1組的一般用戶的訪問權(quán)限。這種方法雖然可以允許一人多組，但會(huì)使賬戶文件變長，增加了管

47、理的難度，對(duì)用戶也不方便。,82,有限的共享：文件要么只能在組內(nèi)共享，要么只能為全部用戶共享。無法以文件為基礎(chǔ)區(qū)分出一個(gè)文件的共享者，但這是用戶希望的共享管理方式。,83,8.4.2.3 單獨(dú)許可權(quán),（1） 文件通行字為了控制用戶對(duì)指定文件的訪問，可以為該文件設(shè)置一個(gè)通行字。當(dāng)用戶訪問這個(gè)文件的時(shí)候必須提供正確的通行字。通行字可以用于控制對(duì)文件的各種訪問，或僅控制對(duì)文件的某一種訪問，如控制對(duì)文件的修改。,84,利用通行字的方法可以實(shí)

48、現(xiàn)把用戶按文件分組的目的。通行字的管理與維護(hù)還存在一些麻煩，無論通行字丟失或者泄漏都需要由操作員干預(yù)，去掉文件的舊通行字，換成新的通行字；為了撤消某個(gè)用戶的文件訪問權(quán)，也必須更換文件的通行字。更換通信字后，還要把新通行字告訴所有與該文件有關(guān)的所有用戶。,85,（2）臨時(shí)許可證UNIX系統(tǒng)中除了基本的分組保護(hù)方案外，還增加了一種新的許可權(quán)方法，這種許可權(quán)稱為設(shè)置用戶標(biāo)識(shí)符（Set UserID——SUID）和設(shè)置組標(biāo)識(shí)符（Set Gro

49、upID­——SGID）。用戶ID與組ID的設(shè)置能力是通過setuid與setgid兩個(gè)系統(tǒng)調(diào)用功能和文件的setuid與setgid兩個(gè)訪問控制位實(shí)現(xiàn)的。利用該功能，用戶可以建立維護(hù)專用信息的特定保護(hù)程序，其他用戶如果希望訪問這些專用信息就必須運(yùn)行其特定保護(hù)程序。,86,可靠的UNIX系統(tǒng)定義了若干“受保護(hù)子系統(tǒng)”，每一個(gè)子系統(tǒng)都是由一組專用信息（文件、數(shù)據(jù)庫）、一些相關(guān)設(shè)備以及維護(hù)這些信息的工具與命令組成。這些受保護(hù)子系統(tǒng)

50、利用SUID/SGID機(jī)制來保護(hù)其專用信息和設(shè)備不受非法訪問。例如，系統(tǒng)的通行字文件是系統(tǒng)的敏感信息，一般規(guī)定只允許系統(tǒng)管理員修改通行字，但也提供功能讓個(gè)別用戶自己修改通行字。用戶甲可以用SUID機(jī)制建立改變通行字的保護(hù)程序，當(dāng)普通用戶執(zhí)行它時(shí)，該保護(hù)程序可以按用戶甲規(guī)定的方式修改通行字文件。,87,8.4.2.4 指定保護(hù),指定保護(hù)方式是指允許用戶為任何文件建立一張?jiān)L問控制表（ACL），指定誰有權(quán)訪問該文件，每個(gè)人有什么樣的訪問權(quán)。

51、這都是符合自主訪問控制原則要求的。在VAX VMS/SE 操作系統(tǒng)中提供了這種保護(hù)功能。在分組保護(hù)系統(tǒng)中限定每個(gè)用戶只能屬于某一個(gè)組，利用指定保護(hù)方式，系統(tǒng)管理員可以通過定義一個(gè)“一般標(biāo)識(shí)符”來建立一個(gè)新的組。,88,假設(shè)甲、乙、丙、丁四個(gè)用戶原先分屬四個(gè)不同的組，現(xiàn)因項(xiàng)目開發(fā)需要，要求成立一個(gè)新組。系統(tǒng)管理員可以定義一個(gè)新的一般標(biāo)識(shí)符ITEM，讓它只包括這四個(gè)人，用戶可以允許在一般標(biāo)識(shí)符下的人訪問一個(gè)文件，但不允許這四個(gè)用戶所在組的其

52、他人訪問這個(gè)文件。,89,8.4.3 新型訪問控制 1．基于任務(wù)的訪問控制(TBAC) 該模型的基本思想是：授予給用戶的訪問權(quán)限，不僅僅依賴主體、客體，還依賴于主體當(dāng)前執(zhí)行的任務(wù)及任務(wù)的狀態(tài)。當(dāng)任務(wù)處于活動(dòng)狀態(tài)時(shí)，主體擁有訪問權(quán)限；一旦任務(wù)被掛起，主體擁有的訪問權(quán)限就被凍結(jié)；如果任務(wù)恢復(fù)執(zhí)行，主體將重新?lián)碛性L問權(quán)限；任務(wù)處于終止?fàn)顟B(tài)時(shí)，主體擁有的權(quán)限馬上被撤銷。,90,2．基于對(duì)象的訪問控制(OBAC) 控制策略

53、和控制規(guī)則是基于對(duì)象訪問控制系統(tǒng)的核心所在，在OBAC模型中，將訪問控制列表與受控對(duì)象或受控對(duì)象的屬性相關(guān)聯(lián)，并將訪問控制選項(xiàng)設(shè)計(jì)成為用戶、組或角色及其對(duì)應(yīng)權(quán)限的集合；同時(shí)允許對(duì)策略和規(guī)則進(jìn)行重用、繼承和派生操作。,91,8.5 Windows 2000(XP)系統(tǒng)的安全機(jī)制,Windows 2000(XP)操作系統(tǒng)就是建立在一套完整的安全機(jī)制上的，因而任何一個(gè)機(jī)構(gòu)，在使用Windows 2000(XP)前都必須指定它們的安全策略。

54、 在使用Windows 2000(XP)操作系統(tǒng)時(shí)，一定要熟悉它的登錄驗(yàn)證、訪問控制、安全策略等安全保護(hù)機(jī)制，這樣才能降低遭受威脅和攻擊的風(fēng)險(xiǎn)。,92,8.5.1 Windows系統(tǒng)的安全子系統(tǒng)1．Windows系統(tǒng)的安全組件·自主訪問控制(Discretion Access Control)·對(duì)象重用(Object Reuse) ·強(qiáng)制登錄(Mandatory log on)·

55、;對(duì)象的訪問控制(Control of Access to Object),93,2．Windows安全子系統(tǒng)安全子系統(tǒng)包括以下部分：·Winlogon·Graphical Identification and Authentication DLL (GINA)·Local Security Authority(LSA)·Security Support Provider Interfa

56、ce(SSPI)·Authentication Packages·Security Support Providers·Netlogon Service·Security Account Manager(SAM),94,,,95,8.5.2 用戶賬戶管理1．用戶賬戶 在Windows2000(XP)中，訪問控制依賴于系統(tǒng)能夠惟一地識(shí)別出每個(gè)用戶。用戶賬戶(User Accoun

57、t)提供了這種惟一性。2．組 除用戶帳戶外，Windows 2000(XP)還提供組帳戶?？墒褂媒M帳戶對(duì)同類用戶授予權(quán)限以簡化帳戶管理。如果用戶是可訪問某個(gè)資源的一個(gè)組中的成員，則該特定用戶也可訪問這一資源。因此，若要使某個(gè)用戶能訪問各種工作相關(guān)的資源，只需將該用戶加入正確的組。,96,3．本地賬戶和域賬戶 本地賬戶，即存儲(chǔ)在計(jì)算機(jī)SAM中的用戶賬戶和安全組。獨(dú)立的計(jì)算機(jī)和工作組中的計(jì)算機(jī)都只使用本地賬戶。工作

58、組中的每臺(tái)計(jì)算機(jī)只維護(hù)含有該臺(tái)計(jì)算機(jī)本地賬戶的自己SAM。本地賬戶只允許用戶登錄到存儲(chǔ)其賬戶的計(jì)算機(jī)，并且只允許訪問該計(jì)算機(jī)上的資源。,97,Windows 2000還提供了域的概念進(jìn)行網(wǎng)絡(luò)訪問控制，即允許或拒絕某個(gè)主機(jī)或用戶連接到其他主機(jī)的能力。域賬戶存儲(chǔ)在一個(gè)稱為域控制器的中央計(jì)算機(jī)上。如果一臺(tái)計(jì)算機(jī)加入了一個(gè)域(域是至少有一臺(tái)運(yùn)行Windows 2000 Server的計(jì)算機(jī)，并且將它作為一臺(tái)域控制器進(jìn)行工作的網(wǎng)絡(luò))，則應(yīng)使用域賬

59、戶進(jìn)行登錄。,98,8.5.3 登錄驗(yàn)證1．驗(yàn)證機(jī)制 Windows 2000(XP)安全系統(tǒng)包括了三種不同的身份驗(yàn)證協(xié)議來進(jìn)行加密：（1）NTLM(與Windows NT 4.0系統(tǒng)兼容) （2）Kerberos V5（3）公鑰證書,99,2．登錄及身份驗(yàn)證過程成功的登錄過程要經(jīng)過以下4個(gè)步驟：①Windows 2000的Winlogon過程給出一個(gè)對(duì)話框，要求回答一個(gè)用戶名和口令。②Winlogon將用戶名和

60、口令傳遞給LSA(Local Security Authority，本地安全權(quán)威)，LSA決定該登錄應(yīng)該在本地計(jì)算機(jī)還使網(wǎng)絡(luò)上進(jìn)行身份驗(yàn)證。,100,③如果是本地登錄，LSA會(huì)查詢SAM數(shù)據(jù)庫，以確定用戶名和口令是否屬于授權(quán)的系統(tǒng)用戶。如果用戶名和密碼合法，SAM把該用戶的SID以及該用戶所屬的所有組的SID返回給LSA。LSA使用這些信息創(chuàng)建一個(gè)訪問令牌(Access Token)，每當(dāng)用戶請(qǐng)求訪問一個(gè)受保護(hù)資源時(shí)，LSA就會(huì)將訪問令

61、牌顯示出來以代表用戶的“標(biāo)記”。④Winlogon啟動(dòng)系統(tǒng)，該用戶的訪問令牌就成了用戶進(jìn)程在Windows 2000系統(tǒng)中的通行證。,101,8.5.4 系統(tǒng)訪問控制1．訪問控制方案（1）訪問令牌 （2）安全描述符（3）訪問控制表2．活動(dòng)目錄(Active Directory) 活動(dòng)目錄包括兩個(gè)方面：目錄和與目錄相關(guān)的服務(wù)。目錄是存儲(chǔ)各種對(duì)象的一個(gè)物理上的容器；而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作

62、用的服務(wù),102,8.5.5 Windows 2000 安全策略1．密碼策略 2．鎖定策略3．審核策略4．用戶權(quán)力指派5．安全選項(xiàng)6．裝載自定義安全模板,103,8.5.6 Windows 2000 操作系統(tǒng)安全檢查表1．安裝最新的系統(tǒng)補(bǔ)丁(Service Pack)與更新(Hotfix)程序2．為Administrator賬號(hào)指定安全的口令3．把Administrator帳號(hào)重新命名4．禁用或刪除不必要的帳號(hào)5．