第4章操作系統(tǒng)安全

1、1,第8章 操作系統(tǒng)安全,2,本章主要內(nèi)容,操作系統(tǒng)的安全問題 存儲器保護 用戶認證 訪問控制 Windows 2000(XP)系統(tǒng)的安全機制,3,8.1 操作系統(tǒng)的安全問題,操作系統(tǒng)安全的重要性 操作系統(tǒng)的安全是整個計算機系統(tǒng)安全的基礎，沒有操作系統(tǒng)安全，就不可能真正解決數(shù)據(jù)庫安全、網(wǎng)絡安全和其他應用軟件的安全問題。,4,（4）在多用戶操作系統(tǒng)中，各用戶程序執(zhí)行過程中相互間會產(chǎn)生不良影響，用戶之間會相

2、互干擾。,操作系統(tǒng)面臨的安全威脅,（1）惡意用戶,（2）惡意破壞系統(tǒng)資源或系統(tǒng)的正常運行，危害計算機系統(tǒng)的可用性,（3）破壞系統(tǒng)完成指定的功能,5,·保證系統(tǒng)自身的安全性和完整性。,操作系統(tǒng)安全的目標,·標識系統(tǒng)中的用戶并進行身份鑒別；,依據(jù)系統(tǒng)安全策略對用戶的操作進行存取控制，防止用戶對計算機資源的非法存??；,·監(jiān)督系統(tǒng)運行的安全；,6,為了實現(xiàn)操作系統(tǒng)安全的目標，需要建立相應的安全機制，包括隔離控制、存

3、儲器保護、用戶認證、訪問控制等。,7,隔離控制的方法有四種：,② 時間隔離。對不同安全要求的用戶進程分配不同的運行時間段。對于用戶運算高密級信息時，甚至獨占計算機進行運算。,① 物理隔離。在物理設備或部件一級進行隔離，使不同的用戶程序使用不同的物理對象。,8,③ 邏輯隔離。多個用戶進程可以同時運行，但相互之間感覺不到其他用戶進程的存在，這是因為操作系統(tǒng)限定各進程的運行區(qū)域，不允許進程訪問其他未被允許的區(qū)域。,9,④加密隔離。

4、進程把自己的數(shù)據(jù)和計算活動隱蔽起來，使他們對于其他進程是不可見的，對用戶的口令信息或文件數(shù)據(jù)以密碼形式存儲，使其他用戶無法訪問，也是加密隔離控制措施。,10,這幾種隔離措施實現(xiàn)的復雜性是逐步遞增的,而它們的安全性則是逐步遞減的.,隔離措施復雜性？安全性？,11,系統(tǒng)提供的保護方式,① 無保護方式。當處理高密級數(shù)據(jù)的程序（又稱敏感程序）在單獨的時間內(nèi)運行時，使用無保護的系統(tǒng)是合適的。,② 隔離保護方式。當操作系統(tǒng)提供隔離機制時，可以使

5、并行運行的進程彼此感覺不到對方的存在。每個進程都有自己的內(nèi)存空間、文件和其他資源。操作系統(tǒng)必須控制運行中每個進程不得訪問其他進程的資源。,12,③ 共享或獨占保護方式。用戶資源（或稱客體）是否可以共享由用戶自己說明，凡被該用戶指定為共享的客體，其他用戶都可以訪問，而被指定為私有的客體，則只能被該用戶自己獨占使用。,13,通過對其他用戶訪問進行限制來保護用戶的某些客體。,④ 受限共享保護方式。,根據(jù)需要為各用戶分配不同的訪問控制條

6、件，可以把這些訪問控制信息存儲在某種數(shù)據(jù)結(jié)構(gòu)（如表格）中，以便操作系統(tǒng)對指定客體進行訪問控制。,14,這種方式是受限共享保護方式的推廣，用戶被賦予訪問客體的某種能力,能力代表一種訪問權(quán)利。該保護方式允許動態(tài)創(chuàng)建客體的共享權(quán)，用戶的進程共享客體的能力取決于客體的擁有者或主體本身，取決于計算的內(nèi)容，也取決于客體本身。,⑤ 按能力共享保護方式。,15,這種保護方式不限制對客體的訪問，而是限制訪問后對客體的使用，例如允許讀，但不允許復制；或

7、者只讀不許修改等限制。,⑥ 限制對客體的使用。,16,上述六種對客體的保護是按實現(xiàn)的難度遞增順序排列的，他們對客體的保護能力也是越來越強的。一個功能較強的操作系統(tǒng)應該能夠?qū)Σ煌目腕w、不同的用戶和不同的情況提供不同安全級別的保護功能。,6種實現(xiàn)難度如何？保護能力如何？,17,8.2 存儲器保護,內(nèi)存儲器是操作系統(tǒng)中的共享資源，即使對于單用戶的個人計算機，內(nèi)存也是被用戶程序與系統(tǒng)程序所共享，在多道環(huán)境下更是被多個進程所共享。為了防

8、止共享失去控制和產(chǎn)生不安全問題，對內(nèi)存進行保護是必要的。,18,內(nèi)存儲器是操作系統(tǒng)中的共享資源,內(nèi)存被用戶程序與系統(tǒng)程序所共享,在多道環(huán)境下更是被多個進程所共享。,內(nèi)存的特點？,19,內(nèi)存保護的目的是：,防止對內(nèi)存的未授權(quán)訪問；,防止對內(nèi)存的錯誤讀寫，如向只讀單元寫；,防止用戶的不當操作破壞內(nèi)存數(shù)據(jù)區(qū)、程序區(qū)或系統(tǒng)區(qū)；,多道程序環(huán)境下，防止不同用戶的內(nèi)存區(qū)域互不影響；,將用戶與內(nèi)存隔離，不讓用戶知道數(shù)據(jù)或程序在內(nèi)存中的具體位置；,20,

9、常用的內(nèi)存保護技術(shù),有單用戶內(nèi)存保護技術(shù),多道程序的保護技術(shù),分段與分頁保護技術(shù),和內(nèi)存標記保護法,21,8.2.1 單用戶內(nèi)存保護問題 可以利用地址界限寄存器在內(nèi)存中規(guī)定一條區(qū)域邊界（一個內(nèi)存地址），用戶程序運行時不能跨越這個地址。利用該寄存器也可以實現(xiàn)程序重定位功能，可以指定用戶程序的裝入地址。,22,內(nèi)存,,界限寄存器,,,,單用戶內(nèi)存保護,,用戶區(qū),,系統(tǒng)區(qū),23,8.2.2 多道程序的保護 單用戶內(nèi)存保護存在的問題：

10、利用一個基址寄存器無法使這些用戶程序分隔在不同內(nèi)存區(qū)運行 。解決辦法：再增加一個寄存器保存用戶程序的上邊界地址。,24,如果使用多對基址和邊界寄存器，還可以把用戶的可讀寫數(shù)據(jù)區(qū)與只讀數(shù)據(jù)區(qū)和程序區(qū)互相隔離，這種方法可以防止程序自身的訪問錯誤。例如，可以防止向程序區(qū)或只讀數(shù)據(jù)區(qū)寫訪問。,25,系統(tǒng)區(qū) 程序R內(nèi)存區(qū) 程序S內(nèi)存區(qū) 程序T內(nèi)存區(qū),,,,,基地址寄存器,邊界址寄存器,,,多道程

11、序的保護,26,多對基址與邊界寄存器技術(shù)的問題：只能保護數(shù)據(jù)區(qū)不被其他用戶程序訪問，不能控制自身程序?qū)ν粋€數(shù)據(jù)區(qū)內(nèi)單元有選擇的讀或?qū)憽?例如，一個程序中若沒有數(shù)組越界溢出檢查，當向該數(shù)組區(qū)寫入時就有可能越界到其他數(shù)據(jù)單元，甚至越界到程序代碼區(qū)（這就是緩沖區(qū)溢出的一種情況），而代碼區(qū)是嚴格禁止寫的。,8.2.3 標記保護法,27,解決方法：按其內(nèi)容要求進行保護，例如有的單元只讀，讀/寫、或僅執(zhí)行（代碼單元）等不同要求，可以在每個內(nèi)存

12、字單元中專用幾個比特來標記該字單元的屬性。 除了標記讀、寫、執(zhí)行等屬性外，還可以標記該單元的數(shù)據(jù)類型，如數(shù)據(jù)、字符、地址、指針或未定義等。,28,加標記的內(nèi)存,,其中E表示執(zhí)行，R表示讀，W表示寫，OR表示只讀。,29,8.2.4 分段與分頁技術(shù) 對于稍微復雜一些的用戶程序，通常按功能劃分成若干個模塊（過程）。每個模塊有自己的數(shù)據(jù)區(qū)，各模塊之間也可能有共享數(shù)據(jù)區(qū)。各用戶程序之間也可能有共享模塊或共享數(shù)據(jù)區(qū)。

13、 這些模塊或數(shù)據(jù)區(qū)有著不同的訪問屬性和安全要求，使用上述各種保護技術(shù)很難滿足這些要求。,30,分段技術(shù)的作用 分段技術(shù)就是試圖解決較大程序的裝入、調(diào)度、運行和安全保護等問題的一種技術(shù)。 分段以模塊（過程或子程序）為單位。 采用分段技術(shù)，用戶不知道他的程序?qū)嶋H使用的內(nèi)存物理地址。這種隱藏對保護用戶代碼與數(shù)據(jù)的安全是極有好處的。,31,分段技術(shù)的優(yōu)點：,（1）在段表中除了與段名對應的段號及段基址外，還可

14、以增加必要的訪問控制信息，對于任何企圖訪問某個段的操作，操作系統(tǒng)和硬件都可以進行檢查。,（2）分段技術(shù)幾乎可以實現(xiàn)對程序的不同片段分別保護的目標。根據(jù)各段敏感性要求，為各段劃分安全級，并提供不同的保護措施。,32,（3）分段技術(shù)的保護功能可以檢查每一次對內(nèi)存訪問是否合法，可以讓保護粒度達到數(shù)據(jù)項級。,（4）可以為了實施保護而檢查每一次地址訪問。,（5）還可以避免允許用戶直接指定內(nèi)存地址或段區(qū)所帶來的安全問題，也可以讓多個用戶用不同的權(quán)限

15、訪問一個段。,分段技術(shù)的優(yōu)點續(xù)：,33,段的管理方式存在的問題與困難（1）由于各段的長度不相同，對內(nèi)存管理造成了困難，容易產(chǎn)生內(nèi)存“碎片”。 這是一個很大的安全漏洞。,34,（2）在許多情況下（如段內(nèi)部包含動態(tài)數(shù)據(jù)結(jié)構(gòu)）要求在使用段方式時允許段的尺寸可以增大。 為了保證安全起見，要求系統(tǒng)檢查所產(chǎn)生的地址，驗證其是否超出所訪問的段的末端。,段的管理方式存在的問題與困難續(xù)：,35,（3）段名不易在指令中編碼，由操作系統(tǒng)查名字

16、表的速度也會很慢。解決的辦法是由編譯器把段名轉(zhuǎn)化為數(shù)字，并建立一張數(shù)字與段名之間的對照表。 但這又為段的共享帶來麻煩，因為每個調(diào)用者都必須知道該段的編號。,段的管理方式存在的問題與困難續(xù)：,36,分段與分頁的問題與作用 為了解決分段可能產(chǎn)生的內(nèi)存碎片問題，引入了分頁技術(shù)。分頁是把目標程序與內(nèi)存都劃分成相同大小的片段，這些片段就稱為“頁”。 分頁技術(shù)解決了碎片問題，但損失了分段技術(shù)的安全功能。 由于段

17、具有邏輯上的完整意義，而頁則沒有這樣的意義，程序員可以為段規(guī)定某些安全控制要求，但卻無法指定各頁的訪問控制要求。,37,系統(tǒng)還可以為每個物理頁分配一個密碼，只允許擁有相同密碼的進程訪問該頁，該密碼由操作系統(tǒng)裝入進程的狀態(tài)字中，由硬件對進程的密碼進行檢驗。這種安全機制有效地保護了虛擬存儲器的安全。,38,8.3 用戶認證,用戶認證的任務是確認當前正在試圖登錄進入系統(tǒng)的用戶就是賬戶數(shù)據(jù)庫中記錄的那個用戶。,認證用戶的方法一般有三種：（1

18、）要求輸入一些保密信息，如用戶的姓名、通行字或加密密鑰等； （2）稍微復雜一些鑒別方法，如詢問—應答系統(tǒng)、采用物理識別設備（如訪問卡、鑰匙或令牌標記）等方法；（3）利用用戶生物特征，如指紋、聲音、視網(wǎng)膜等識別技術(shù)對用戶進行唯一的識別。,39,8.3.1 口令認證方法 口令是一種容易實現(xiàn)并有效地只讓授權(quán)用戶進入系統(tǒng)的方法?？诹钍怯脩襞c操作系統(tǒng)之間交換的信物。用戶想使用系統(tǒng)，首先必須通過系統(tǒng)管理員向系統(tǒng)登錄，在系統(tǒng)中建立一

19、個用戶賬號，賬號中存放用戶的名字(或標識)和口令。用戶輸入的用戶名和口令必須和存放在系統(tǒng)中的賬戶/口令文件中的相關信息一致才能進入系統(tǒng)。沒有一個有效的口令，入侵者要闖入計算機系統(tǒng)是很困難的。,40,破解口令是黑客們攻擊系統(tǒng)的常用手段，那些僅由數(shù)字組成、或僅由字母組成、或僅由兩、三個字符組成、或名字縮寫、或常用單詞、生日、日期、電話號碼、用戶喜歡的寵物名、節(jié)目名等易猜的字符串作為口令是很容易被破解的。這些類型的口令都不是安全有效的，常被稱

20、為弱口令。,41,選取口令應遵循以下規(guī)則： ①擴大口令字符空間 口令的字符空間不要僅限于26個大寫字母，要擴大到包括26個小寫字母和10個數(shù)字，使字符空間可達到62個之多。 在UNIX系統(tǒng)中，還把其他一些特殊符號（如+、—、*、/、%、#、等）也作為口令的字符空間，因此其口令的安全性更高。,42,,② 選擇長口令 選擇長口令可以增加破解的時間。假定字符空間是26個字母，如果已知口令的長度不超

21、過3，則可能的口令有26+26*26+26*26*26=18278個。若每毫秒驗證一個口令，只需要18多秒鐘就可以檢驗所有口令。,43,,③ 選用無規(guī)律的口令 不要使用自己的名字、熟悉的或名人的名字作為口令，不要選擇寵物名或各種單詞作為口令，因為這種類型的口令往往是破解者首先破解的對象，由于它們的數(shù)量有限(常用英文詞匯量只不過15萬左右)，對計算機來說不是一件困難的事情。假定按每毫秒窮舉一個英文單詞的速度計算，15萬個單詞也

22、僅僅需要150秒鐘時間。,44,,④口令要自己記憶 為了安全起見，再復雜的口令都應該自己記憶。,45,,⑤口令更換 有時口令已經(jīng)泄露了，但擁有者卻不知道，還在繼續(xù)使用。為了避免這種情況發(fā)生，比較好的辦法是定期更換口令。Windows NT和UNIX系統(tǒng)都支持定期更換口令的功能。,46,,⑥多個口令 一般來說，登錄名或用戶名是與某個私人口令相聯(lián)系的。盡管如此，在有更高安全要求的系統(tǒng)上還

23、采用多個口令的安全措施。其中包括系統(tǒng)口令，它允許用戶訪問指定的終端或系統(tǒng)，這是在正常登錄過程之后的額外的訪問控制層。也可以是對撥號訪問或訪問某些敏感程序或文件而要求的額外口令。,47,,⑦系統(tǒng)生成口令 可以由計算機為用戶生成口令，UNIX系統(tǒng)就有這種功能。口令生成軟件可以按前面討論的許多原則為用戶生成口令，由系統(tǒng)生成的口令一般很難記憶，有時會迫使用戶寫到紙上，造成了不安全因素。,48,對口令的控制 除了以上

24、各種安全措施外，有的系統(tǒng)對使用口令進行訪問還采取更嚴格的控制，通常有以下一些措施： ◇登錄時間限制◇系統(tǒng)消息◇限制登錄次數(shù)◇最后一次登錄 ◇盡量減少會話透露的信息 ◇增加認證的信息量,49,8.3.2 其他認證方法（1）詢問—響應系統(tǒng)：本質(zhì)上是一個密碼系統(tǒng)，其中主機發(fā)送消息m，用戶用E（m）來回答。雖然消息m 及其加密形式都可能被截獲（通過觀察或線路截聽），但這種泄露不會暴露加密算法。詢問—響應系統(tǒng)提示用戶，要求每次注

25、冊都給出不同的回答。,50,詢問—響應系統(tǒng)有兩個缺陷： （1）雖然竊取者不能憑一次截獲的明文消息與其對應的密文就推斷出該系統(tǒng)的加密函數(shù)，但是若截取的該加密系統(tǒng)的的明文或密文越多，截獲者越有可能攻破該加密系統(tǒng)。解決的辦法是采取更強有力的加密系統(tǒng)，這就意味著需要系統(tǒng)具有更加復雜的功能，但對用戶用手計算或記憶增加了很大難度。,51,,（2）老消息再現(xiàn)的可能性。詢問—回答系統(tǒng)可能用于讓用戶相信主機系統(tǒng)的可信性，防止被一個偽裝的注冊程序騙取自己

26、的口令。用戶希望主機能夠發(fā)出一個密碼信息，供用戶判斷主機的真假。,52,（2）通行短語：另外一種簡單而又保密的鑒別方案是通行短語，它是一種更長的口令的變形。通行短語等價于有鑒別能力的口令。,53,,通行短語也可以用于可變的詢問—響應系統(tǒng)，系統(tǒng)和用戶之間可以約定許多互相知道的秘密信息，如有關用戶個人經(jīng)歷、愛好、家庭、個人特征等方面的信息，每當用戶向系統(tǒng)登錄時，詢問—響應系統(tǒng)便隨機從這些信息中挑出幾個向用戶詢問，在用戶給出正確回答和系統(tǒng)提問

27、內(nèi)容在事先約定范圍內(nèi)的情況下，雙方可以互相取得信任。,54,8.4 訪問控制,訪問控制的基本目標都是防止非法用戶進入系統(tǒng)和合法用戶對系統(tǒng)資源的非法使用。為了達到這個目標，訪問控制常以用戶身份認證為前提，在此基礎上實施各種訪問控制策略來控制和規(guī)范合法用戶在系統(tǒng)中的行為。,55,8.4.1 訪問控制模型1．訪問控制的三要素,（1）主體(Subject)：訪問操作的主動發(fā)起者，但不一定是動作的執(zhí)行者。,（2）客體(Object)：通常是

28、指信息的載體或從其他主體或客體接收信息的實體。,（3）安全訪問規(guī)則：用以確定一個主體是否對某個客體擁有某種訪問權(quán)力。,56,2．基本的訪問控制模型 （1）訪問控制矩陣(ACM，Access Control Matrix)：基本思想就是將所有的訪問控制信息存儲在一個矩陣中集中管理。當前的訪問控制模型一般都是在它的基礎上建立起來的。,57,（2）訪問目錄表：這種訪問控制機制實際上按訪問控制矩陣的行實施對系統(tǒng)中客體的訪問控制。,58,文件

29、名,權(quán)限,C,客體 (文件),,,,,,,用戶A目錄,用戶B目錄,,,,,C,D,ORW,RW,B,RW,,,,,,,A,B,C,ORW,OX,R,D,A,B,O：OwnerR：ReadW：WriteX：Execute,訪問目錄表機制,59,訪問目錄表機制容易實現(xiàn)，但存在三個問題需要解決：①共享客體的控制。凡是允許用戶訪問的客體，都應該把它的名字存入該用戶的訪問目錄表內(nèi)，共享客體也應該存入該目錄表中。存在的問題是，如果共享的

30、客體太多（如子程序庫），用戶的目錄表將會很長，增加了處理時間。,60,②訪問權(quán)的收回問題。在實際情況中，甲乙兩人之間可能有信任關系，文件A的擁有者甲可以把該文件的某些權(quán)限傳遞給用戶乙，當甲用戶想從乙用戶收回該訪問權(quán)時，只要從乙的目錄表中刪除該文件名即可。在許多操作系統(tǒng)中都支持這種信任關系。但是若允許信任關系傳遞，則給目錄表的管理帶來麻煩。假設乙用戶在把文件A的訪問權(quán)又傳遞給丙用戶，當甲用戶希望收回所有用戶對文件A的訪問權(quán)時，甲可能不知

31、道這種情況，解決的辦法是搜索所有用戶的目錄表，如果系統(tǒng)中用戶數(shù)量較大，將要花費很多時間。,61,③多重許可權(quán)問題。多重許可權(quán)問題是由文件重名問題引起的。假定乙用戶的目錄表中已經(jīng)有一個文件A，甲用戶也有一個文件A，但這兩個文件A的內(nèi)容不同。如果甲信任乙，第一次把自己A文件的部分訪問權(quán)傳遞給乙，為了不重名，甲的文件A被改名為H后存入到乙的目錄表中，乙可能會忘記自己目錄表中的H就是甲的A文件，于是又向甲申請A文件的訪問權(quán)，甲可能對乙更加信任

32、，就把文件A更高的訪問權(quán)授予乙，于是造成乙用戶對甲的文件A有多重訪問權(quán)的問題，產(chǎn)生客體安全管理的混亂，而且可能產(chǎn)生矛盾。,62,（3）訪問控制表ACL ACL表保護機制實際上是按矩陣的列實施對系統(tǒng)中客體的訪問控制的。訪問目錄表和訪問控制表分別將訪問控制設施設置在用戶端和客體端，這兩種控制方式需要管理的表項的總數(shù)量是相同的，它們的差別在于管理共享客體的方法上，訪問控制表技術(shù)易于實現(xiàn)對這些共享客體的管理。,63,,,,,,,,,,

33、,,,客體,FILE1,FILE2,PRG1,HELP,,,USER-C,R,ACL表,USER-B,USER-C,USER-A,ORW,RW,ORW,,,,USER-A,USER-D,OX,X,,,,,,USER-A,USER-B,USER-C,USER-D,R,R,RW,O,O：WONERR：READW：WRITEX：EXCUTE,客體目錄,,,,,FILE1,FILE2,PRG1,HELP,,訪問控制表機制,64,（4）能力

34、機制 能力（Capability）機制就是可以滿足這些要求更高的訪問控制機制。主體具有的能力是一種權(quán)證，類似一個“入場卷”它是操作系統(tǒng)賦予主體訪問客體的許可權(quán)限，它是一種不可偽造的標記。能力是在用戶向系統(tǒng)登錄時，由操作系統(tǒng)賦予的一種權(quán)限標記，用戶憑借該標記對客體進行許可的訪問。,65,能力可以實現(xiàn)復雜的訪問控制機制。假設主體對客體的能力包括“轉(zhuǎn)授”（或“傳播”）的訪問權(quán)限，具有這種能力主體可以把自己的能力拷貝傳遞給其他主體。

35、這種能力可以用表格描述，“轉(zhuǎn)授”權(quán)限是其中的一個表項。一個具有“轉(zhuǎn)授”能力的主體可以把這個權(quán)限傳遞給其他主體，其他主體也可以再傳遞給第三者。具有轉(zhuǎn)授能力的主體可以把“轉(zhuǎn)授”權(quán)限從能力表中刪除，進而限制這種能力的進一步傳播。,66,能力機制需要結(jié)合訪問控制表（或訪問控制矩陣）技術(shù)實現(xiàn)，當一個過程要求訪問新客體的時候，操作系統(tǒng)首先查詢訪問控制表，確認該過程是否有權(quán)訪問該客體，若有，操作系統(tǒng)就要為該過程創(chuàng)立一個訪問該客體的能力。為了安全起見

36、，能力應該存儲在用戶程序訪問不到的區(qū)域中，這需要用到前面介紹的內(nèi)存保護技術(shù)。在執(zhí)行期間，只有當前運行過程訪問的那些客體的能力有效，這一限制可以有效提高操作系統(tǒng)對客體訪問檢查的速度。,67,（5）面向過程的訪問控制 面向過程的訪問控制是指在主體訪問客體的過程中對主體的訪問操作進行監(jiān)視與限制。例如，對于只有讀權(quán)的主體，就要控制它不能對客體進行修改。要實現(xiàn)面向過程的訪問控制就要建立一個對客體訪問進行控制的過程，該過程能夠自己進行用

37、戶認證，以此加強操作系統(tǒng)的基本認證能力。,68,訪問目錄表、訪問控制表、訪問控制矩陣、能力和面向過程的控制等五種對客體的訪問控制機制的實現(xiàn)復雜性是逐步遞增的。實現(xiàn)能力機制需要必須對每次訪問進行檢查，而訪問目錄表方式實現(xiàn)比較容易，它只需要在主體對客體第一次訪問時進行檢查。實現(xiàn)復雜的保護方式提高了系統(tǒng)的安全性，但降低了系統(tǒng)響應速度。安全與效率之間需要平衡。,69,有的系統(tǒng)中實現(xiàn)的保護子系統(tǒng)機制就是面向過程的訪問控制的典型例子。一個保護子系統(tǒng)

38、可以看作是由一個過程集合和受保護的數(shù)據(jù)客體組成的，這些成分都包含在該子系統(tǒng)的私有域中。只有保護子系統(tǒng)中的過程可以對子系統(tǒng)中的數(shù)據(jù)客體進行訪問操作，子系統(tǒng)外只有被指定的主體可以在指定的入口點調(diào)用子系統(tǒng)中的過程。,70,在子系統(tǒng)中的數(shù)據(jù)文件是受保護的對象，子系統(tǒng)中的過程是用來管理受保護對象的，并按用戶要求實施對這些客體的訪問控制。外部進程只能通過調(diào)用管理程序?qū)ψ酉到y(tǒng)內(nèi)部的客體進行訪問操作。,71,8.4.2 文件的保護機制,文件系統(tǒng)是任何

39、一個操作系統(tǒng)的最重要的組成部分。由于用戶交由計算機處理的數(shù)據(jù)（其中有的是敏感數(shù)據(jù)）和系統(tǒng)安全機制的信息都是用文件的形式保存的，因此文件的保護是非常重要的。本節(jié)介紹幾種文件保護機制，每一種有它的特點與不足。通過了解這些文件保護機制，可以知道哪些保護方式更為安全，為選擇安全可靠的操作系統(tǒng)提供依據(jù)。,72,8.4.2.2 基礎保護,任何一個多用戶系統(tǒng)都必須提供最低限度的文件保護功能，防止用戶有意或無意訪問、修改和破壞其他用戶的文件。,73,

40、（1）全-或-無保護 全-或-無保護建筑于對用戶信賴的基礎上，假定用戶不會去讀或修改別人的文件，只會訪問自己有權(quán)訪問的文件，并且假定用戶只知道其有合法訪問權(quán)的文件名。因此對文件一般不設保護，默認文件是公開的。實際上，對文件是沒有保護的，任何一個用戶都可以讀、修改甚至刪除其他用戶的文件。對于某些敏感文件，系統(tǒng)管理員可以使用通行字保護它們，通行字可以控制對該文件的一切訪問（讀、寫或更新），或只控制對其他用戶有影響的訪問操作（如寫、更新）

41、。使用通行字機制在每次對文件開始訪問的時候，操作員都需要進行干預。,74,主要存在以下問題：,以信任為基礎的安全機制是不可靠的。如果操作系統(tǒng)的用戶少，相互之間都比較熟悉，且相互利益也不沖突，各人也沒有敏感文件需要保存，這種安全機制還是可以使用的。但對于用戶眾多的大系統(tǒng)而言，各用戶之間也不熟悉，不存在相互信賴的基礎。如果某個文件只希望一部分人可以訪問，由于采用了“要么對所有用戶都是公開的，要么對所有用戶都是有保護的”安全機制，這一要求無

42、法實現(xiàn)。,75,這種安全機制更適合于批處理系統(tǒng)，而不適用于分時系統(tǒng)。在批處理的環(huán)境下可以把有相同興趣的用戶安排在同一批進行處理，全-或-無的保護方式可以滿足這種處理方式對文件的保護要求，各批用戶之間沒有機會交互信息。在分時系統(tǒng)中用戶需要交互信息，用戶選擇計算的時間可能就是為了向另一個用戶傳遞結(jié)果，如果被保護的文件不允許被某些用戶訪問，在分時系統(tǒng)下無法按這種保護方式進行控制。,76,由于這種安全機制需要操作員干預，既麻煩又降低了操作系統(tǒng)的

43、效率，影響了這種保護方式的廣泛使用。需要向用戶提供系統(tǒng)所有文件的列表，幫助用戶回憶他們需要對哪些文件負責，這種文件管理方式比較落后。,77,（2）分組保護,根據(jù)上述情況，全-或-無保護方式主要問題是不能滿足不同利益用戶對文件的保護要求。分組保護方式可以解決這個問題。在分組方案中， 可以根據(jù)某種共同性把用戶劃分在一個組中，例如需要共享是一個常見的分組理由。,78,系統(tǒng)中的用戶分為三類：（單個）用戶（User）、用戶組（Group）和全部

44、（World），分組時要求每個用戶只能分在一個組中，同一個組中的用戶對文件有相同的需求，一般具有相同訪問權(quán)。例如，在創(chuàng)立文件時，文件主可以為自己授予最高的權(quán)限（如讀、寫、執(zhí)行、刪除），為某個組的用戶授予讀寫權(quán)利，對其他所有一般用戶僅授予讀的權(quán)利。分組保護技術(shù)在UNIX、VAX VM等操作系統(tǒng)中使用。分組方案便于系統(tǒng)管理員對用戶群的管理，所以該方案在新型操作系統(tǒng)（如NT、LINUX等）被廣泛采用。,79,分組保護機制的實現(xiàn)并不困難，由于引

45、入組的概念，需要用用戶和組這兩個標識符標識一個用戶。這兩個標識符存放在為每個文件設立的文件目錄項中，當用戶注冊的時候，操作系統(tǒng)就可以得到它們。當用戶要求訪問該文件時，操作系統(tǒng)可以檢查該用戶的組標識符與該文件的組標識符是否相同，相同就允許訪問。,80,該方案還存在以下問題：,組的隸屬關系：分組不允許一個用戶同屬兩個組，否則會引起訪問權(quán)限的混亂。例如，假如一個用戶同屬于兩個組，如果這個用戶所在的一個組對某個文件具有讀權(quán)，那么該用戶所在的另一

46、個組對該文件是否也具有讀權(quán)？如果一個組內(nèi)的用戶對某個文件有不同的訪問權(quán)，上述實現(xiàn)分組的方法就無法進行控制，解決這些問題只能一人一組。,81,多重賬戶：為了克服一人一組帶來的限制，可以允許用戶建立多個賬戶，在不同的組里使用不同的賬號，代表不同的用戶。假設用戶甲有兩個賬號，一個是甲1，一個是甲2，他們分配在兩個組內(nèi)。甲1開發(fā)的任何文件、程序，甲2只能享受非甲1組的一般用戶的訪問權(quán)限。這種方法雖然可以允許一人多組，但會使賬戶文件變長，增加了管

47、理的難度，對用戶也不方便。,82,有限的共享：文件要么只能在組內(nèi)共享，要么只能為全部用戶共享。無法以文件為基礎區(qū)分出一個文件的共享者，但這是用戶希望的共享管理方式。,83,8.4.2.3 單獨許可權(quán),（1） 文件通行字為了控制用戶對指定文件的訪問，可以為該文件設置一個通行字。當用戶訪問這個文件的時候必須提供正確的通行字。通行字可以用于控制對文件的各種訪問，或僅控制對文件的某一種訪問，如控制對文件的修改。,84,利用通行字的方法可以實

48、現(xiàn)把用戶按文件分組的目的。通行字的管理與維護還存在一些麻煩，無論通行字丟失或者泄漏都需要由操作員干預，去掉文件的舊通行字，換成新的通行字；為了撤消某個用戶的文件訪問權(quán)，也必須更換文件的通行字。更換通信字后，還要把新通行字告訴所有與該文件有關的所有用戶。,85,（2）臨時許可證UNIX系統(tǒng)中除了基本的分組保護方案外，還增加了一種新的許可權(quán)方法，這種許可權(quán)稱為設置用戶標識符（Set UserID——SUID）和設置組標識符（Set Gro

49、upID­——SGID）。用戶ID與組ID的設置能力是通過setuid與setgid兩個系統(tǒng)調(diào)用功能和文件的setuid與setgid兩個訪問控制位實現(xiàn)的。利用該功能，用戶可以建立維護專用信息的特定保護程序，其他用戶如果希望訪問這些專用信息就必須運行其特定保護程序。,86,可靠的UNIX系統(tǒng)定義了若干“受保護子系統(tǒng)”，每一個子系統(tǒng)都是由一組專用信息（文件、數(shù)據(jù)庫）、一些相關設備以及維護這些信息的工具與命令組成。這些受保護子系統(tǒng)

50、利用SUID/SGID機制來保護其專用信息和設備不受非法訪問。例如，系統(tǒng)的通行字文件是系統(tǒng)的敏感信息，一般規(guī)定只允許系統(tǒng)管理員修改通行字，但也提供功能讓個別用戶自己修改通行字。用戶甲可以用SUID機制建立改變通行字的保護程序，當普通用戶執(zhí)行它時，該保護程序可以按用戶甲規(guī)定的方式修改通行字文件。,87,8.4.2.4 指定保護,指定保護方式是指允許用戶為任何文件建立一張訪問控制表（ACL），指定誰有權(quán)訪問該文件，每個人有什么樣的訪問權(quán)。

51、這都是符合自主訪問控制原則要求的。在VAX VMS/SE 操作系統(tǒng)中提供了這種保護功能。在分組保護系統(tǒng)中限定每個用戶只能屬于某一個組，利用指定保護方式，系統(tǒng)管理員可以通過定義一個“一般標識符”來建立一個新的組。,88,假設甲、乙、丙、丁四個用戶原先分屬四個不同的組，現(xiàn)因項目開發(fā)需要，要求成立一個新組。系統(tǒng)管理員可以定義一個新的一般標識符ITEM，讓它只包括這四個人，用戶可以允許在一般標識符下的人訪問一個文件，但不允許這四個用戶所在組的其

52、他人訪問這個文件。,89,8.4.3 新型訪問控制 1．基于任務的訪問控制(TBAC) 該模型的基本思想是：授予給用戶的訪問權(quán)限，不僅僅依賴主體、客體，還依賴于主體當前執(zhí)行的任務及任務的狀態(tài)。當任務處于活動狀態(tài)時，主體擁有訪問權(quán)限；一旦任務被掛起，主體擁有的訪問權(quán)限就被凍結(jié)；如果任務恢復執(zhí)行，主體將重新?lián)碛性L問權(quán)限；任務處于終止狀態(tài)時，主體擁有的權(quán)限馬上被撤銷。,90,2．基于對象的訪問控制(OBAC) 控制策略

53、和控制規(guī)則是基于對象訪問控制系統(tǒng)的核心所在，在OBAC模型中，將訪問控制列表與受控對象或受控對象的屬性相關聯(lián)，并將訪問控制選項設計成為用戶、組或角色及其對應權(quán)限的集合；同時允許對策略和規(guī)則進行重用、繼承和派生操作。,91,8.5 Windows 2000(XP)系統(tǒng)的安全機制,Windows 2000(XP)操作系統(tǒng)就是建立在一套完整的安全機制上的，因而任何一個機構(gòu)，在使用Windows 2000(XP)前都必須指定它們的安全策略。

54、 在使用Windows 2000(XP)操作系統(tǒng)時，一定要熟悉它的登錄驗證、訪問控制、安全策略等安全保護機制，這樣才能降低遭受威脅和攻擊的風險。,92,8.5.1 Windows系統(tǒng)的安全子系統(tǒng)1．Windows系統(tǒng)的安全組件·自主訪問控制(Discretion Access Control)·對象重用(Object Reuse) ·強制登錄(Mandatory log on)·

55、;對象的訪問控制(Control of Access to Object),93,2．Windows安全子系統(tǒng)安全子系統(tǒng)包括以下部分：·Winlogon·Graphical Identification and Authentication DLL (GINA)·Local Security Authority(LSA)·Security Support Provider Interfa

56、ce(SSPI)·Authentication Packages·Security Support Providers·Netlogon Service·Security Account Manager(SAM),94,,,95,8.5.2 用戶賬戶管理1．用戶賬戶 在Windows2000(XP)中，訪問控制依賴于系統(tǒng)能夠惟一地識別出每個用戶。用戶賬戶(User Accoun

57、t)提供了這種惟一性。2．組 除用戶帳戶外，Windows 2000(XP)還提供組帳戶?？墒褂媒M帳戶對同類用戶授予權(quán)限以簡化帳戶管理。如果用戶是可訪問某個資源的一個組中的成員，則該特定用戶也可訪問這一資源。因此，若要使某個用戶能訪問各種工作相關的資源，只需將該用戶加入正確的組。,96,3．本地賬戶和域賬戶 本地賬戶，即存儲在計算機SAM中的用戶賬戶和安全組。獨立的計算機和工作組中的計算機都只使用本地賬戶。工作

58、組中的每臺計算機只維護含有該臺計算機本地賬戶的自己SAM。本地賬戶只允許用戶登錄到存儲其賬戶的計算機，并且只允許訪問該計算機上的資源。,97,Windows 2000還提供了域的概念進行網(wǎng)絡訪問控制，即允許或拒絕某個主機或用戶連接到其他主機的能力。域賬戶存儲在一個稱為域控制器的中央計算機上。如果一臺計算機加入了一個域(域是至少有一臺運行Windows 2000 Server的計算機，并且將它作為一臺域控制器進行工作的網(wǎng)絡)，則應使用域賬

59、戶進行登錄。,98,8.5.3 登錄驗證1．驗證機制 Windows 2000(XP)安全系統(tǒng)包括了三種不同的身份驗證協(xié)議來進行加密：（1）NTLM(與Windows NT 4.0系統(tǒng)兼容) （2）Kerberos V5（3）公鑰證書,99,2．登錄及身份驗證過程成功的登錄過程要經(jīng)過以下4個步驟：①Windows 2000的Winlogon過程給出一個對話框，要求回答一個用戶名和口令。②Winlogon將用戶名和

60、口令傳遞給LSA(Local Security Authority，本地安全權(quán)威)，LSA決定該登錄應該在本地計算機還使網(wǎng)絡上進行身份驗證。,100,③如果是本地登錄，LSA會查詢SAM數(shù)據(jù)庫，以確定用戶名和口令是否屬于授權(quán)的系統(tǒng)用戶。如果用戶名和密碼合法，SAM把該用戶的SID以及該用戶所屬的所有組的SID返回給LSA。LSA使用這些信息創(chuàng)建一個訪問令牌(Access Token)，每當用戶請求訪問一個受保護資源時，LSA就會將訪問令

61、牌顯示出來以代表用戶的“標記”。④Winlogon啟動系統(tǒng)，該用戶的訪問令牌就成了用戶進程在Windows 2000系統(tǒng)中的通行證。,101,8.5.4 系統(tǒng)訪問控制1．訪問控制方案（1）訪問令牌 （2）安全描述符（3）訪問控制表2．活動目錄(Active Directory) 活動目錄包括兩個方面：目錄和與目錄相關的服務。目錄是存儲各種對象的一個物理上的容器；而目錄服務是使目錄中所有信息和資源發(fā)揮作

62、用的服務,102,8.5.5 Windows 2000 安全策略1．密碼策略 2．鎖定策略3．審核策略4．用戶權(quán)力指派5．安全選項6．裝載自定義安全模板,103,8.5.6 Windows 2000 操作系統(tǒng)安全檢查表1．安裝最新的系統(tǒng)補丁(Service Pack)與更新(Hotfix)程序2．為Administrator賬號指定安全的口令3．把Administrator帳號重新命名4．禁用或刪除不必要的帳號5．