第6章-信息系統(tǒng)安全與保密技術(shù)-網(wǎng)絡(luò)10

1、1第六章信息系統(tǒng)安全與保密技術(shù)第六章信息系統(tǒng)安全與保密技術(shù) v一一. 基本要求與基本知識(shí)點(diǎn)基本要求與基本知識(shí)點(diǎn)（1）掌握操作系統(tǒng)安全技術(shù)；）掌握操作系統(tǒng)安全技術(shù)；（2）理解）理解Windows NT/2000安全；安全；（3）掌握數(shù)據(jù)庫安全技術(shù)；）掌握數(shù)據(jù)庫安全技術(shù)；（4）理解）理解SQL Server的安全。的安全。v二二. 教學(xué)重點(diǎn)與難點(diǎn)教學(xué)重點(diǎn)與難點(diǎn)（1）操作系統(tǒng)安全與保密；）操作系統(tǒng)安全與保密；（2）Windows NT/2000安全模型；安全模型；（3）數(shù)據(jù)庫安全與保密；）數(shù)據(jù)庫安全與保密；（4）SQL Server的安全體系。的安全體系。v參考資料：參考資料：計(jì)算機(jī)網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)

2、絡(luò)安全鄧亞平，人民郵鄧亞平，人民郵電出版社，電出版社，2004年年9月；月；26.1 操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全技術(shù) 6.1 .1安全操作系統(tǒng)的發(fā)展?fàn)顩r安全操作系統(tǒng)的發(fā)展?fàn)顩rv操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)的重要系統(tǒng)軟件，它能夠操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)的重要系統(tǒng)軟件，它能夠?qū)τ?jì)算機(jī)的硬件和軟件資源實(shí)行統(tǒng)一的管理和控對(duì)計(jì)算機(jī)的硬件和軟件資源實(shí)行統(tǒng)一的管理和控制。各種計(jì)算機(jī)應(yīng)用軟件均運(yùn)行在操作系統(tǒng)提供制。各種計(jì)算機(jī)應(yīng)用軟件均運(yùn)行在操作系統(tǒng)提供的系統(tǒng)平臺(tái)之上，它們通過操作系統(tǒng)完成對(duì)系統(tǒng)的系統(tǒng)平臺(tái)之上，它們通過操作系統(tǒng)完成對(duì)系統(tǒng)中信息的存取和處理。中信息的存取和處理。v因此可以說操作系統(tǒng)的安全是整個(gè)計(jì)算機(jī)系統(tǒng)安因

3、此可以說操作系統(tǒng)的安全是整個(gè)計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)，一旦操作系統(tǒng)的防御被突破，整個(gè)計(jì)全的基礎(chǔ)，一旦操作系統(tǒng)的防御被突破，整個(gè)計(jì)算機(jī)系統(tǒng)將會(huì)受到根本威脅。算機(jī)系統(tǒng)將會(huì)受到根本威脅。3v早在早在20世紀(jì)世紀(jì)60年代，安全操作系統(tǒng)的研究就引年代，安全操作系統(tǒng)的研究就引起了研究機(jī)構(gòu)（尤其是美國軍方）的重視，至今起了研究機(jī)構(gòu)（尤其是美國軍方）的重視，至今人們已經(jīng)在這個(gè)領(lǐng)域付出了幾十年的努力，開展人們已經(jīng)在這個(gè)領(lǐng)域付出了幾十年的努力，開展了大量的工作，取得了豐碩的成果。主要有：了大量的工作，取得了豐碩的成果。主要有：v（1）世界第一個(gè)安全操作系統(tǒng)是）世界第一個(gè)安全操作系統(tǒng)是Adept-50，這，這是一個(gè)分時(shí)

4、系統(tǒng)，可以實(shí)際投入使用，運(yùn)行于是一個(gè)分時(shí)系統(tǒng)，可以實(shí)際投入使用，運(yùn)行于IBM/360硬件平臺(tái)，它以一個(gè)形式化的安全模型硬件平臺(tái)，它以一個(gè)形式化的安全模型-高水標(biāo)模型為基礎(chǔ)，實(shí)現(xiàn)了美國的一個(gè)軍事安高水標(biāo)模型為基礎(chǔ)，實(shí)現(xiàn)了美國的一個(gè)軍事安全系統(tǒng)模型，為給定的安全問題提供了一個(gè)比較全系統(tǒng)模型，為給定的安全問題提供了一個(gè)比較形式化的解決方案。形式化的解決方案。4v（2）1965年，美國貝爾實(shí)驗(yàn)室和麻省理工學(xué)院年，美國貝爾實(shí)驗(yàn)室和麻省理工學(xué)院的的MAC課題組等一起聯(lián)合開發(fā)一個(gè)稱為課題組等一起聯(lián)合開發(fā)一個(gè)稱為Multics的新操作系統(tǒng)，其目標(biāo)是向大的用戶團(tuán)體提供對(duì)的新操作系統(tǒng)，其目標(biāo)是向大的用戶團(tuán)體提供對(duì)

5、計(jì)算機(jī)的同時(shí)訪問，支持強(qiáng)大的計(jì)算能力和數(shù)據(jù)計(jì)算機(jī)的同時(shí)訪問，支持強(qiáng)大的計(jì)算能力和數(shù)據(jù)存儲(chǔ)，并具有很高的安全性。由于存儲(chǔ)，并具有很高的安全性。由于Multics設(shè)計(jì)設(shè)計(jì)的復(fù)雜性和理想性，結(jié)果未能達(dá)到預(yù)期目標(biāo)。雖的復(fù)雜性和理想性，結(jié)果未能達(dá)到預(yù)期目標(biāo)。雖然然Multics未能成功，但它在安全操作系統(tǒng)的研未能成功，但它在安全操作系統(tǒng)的研究方面邁出了重要的一步，為后來的安全操作系究方面邁出了重要的一步，為后來的安全操作系統(tǒng)研究積累了大量經(jīng)驗(yàn)。統(tǒng)研究積累了大量經(jīng)驗(yàn)。5v（3）KSOS（Kernelized Secure Operating System）是美國國防部研究計(jì)劃局）是美國國防部研究計(jì)劃局19

6、77年發(fā)起年發(fā)起的一個(gè)安全操作系統(tǒng)研制項(xiàng)目，目標(biāo)是為的一個(gè)安全操作系統(tǒng)研制項(xiàng)目，目標(biāo)是為PDP-11/70機(jī)器開發(fā)一個(gè)可投放市場的安全操作系統(tǒng)，機(jī)器開發(fā)一個(gè)可投放市場的安全操作系統(tǒng)，系統(tǒng)的要求如下：系統(tǒng)的要求如下： 與貝爾實(shí)驗(yàn)室的與貝爾實(shí)驗(yàn)室的UNIX操作系統(tǒng)兼容；操作系統(tǒng)兼容； 實(shí)現(xiàn)多級(jí)安全性和完整性；實(shí)現(xiàn)多級(jí)安全性和完整性； 正確性可以被證明。正確性可以被證明。v（4）1983年，美國國防部頒布了年，美國國防部頒布了歷史上第一個(gè)歷史上第一個(gè)計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)-可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則則，簡稱，簡稱TCSEC，因其封面為橘黃色而被稱為，因其封面為橘黃色而被

7、稱為橘皮書。橘皮書。1985年，美國國防部對(duì)年，美國國防部對(duì)TCSEC進(jìn)行修訂。進(jìn)行修訂。TCSEC為計(jì)算機(jī)系統(tǒng)的可信程度劃分和評(píng)價(jià)提供為計(jì)算機(jī)系統(tǒng)的可信程度劃分和評(píng)價(jià)提供了準(zhǔn)則，將安全操作系統(tǒng)研究帶入了一個(gè)新階段。了準(zhǔn)則，將安全操作系統(tǒng)研究帶入了一個(gè)新階段。6v（5）OSF/1是開放軟件基金會(huì)于是開放軟件基金會(huì)于1990年推出的一年推出的一個(gè)安全操作系統(tǒng)，被美國國家計(jì)算機(jī)安全中心個(gè)安全操作系統(tǒng)，被美國國家計(jì)算機(jī)安全中心（NCSC）認(rèn)可為符合）認(rèn)可為符合TCSEC的的B1級(jí)，其主要安級(jí)，其主要安全性表現(xiàn)如下：全性表現(xiàn)如下： 系統(tǒng)標(biāo)識(shí)；系統(tǒng)標(biāo)識(shí)； 口令管理；口令管理； 強(qiáng)制存取控制和自主存取控制

8、；強(qiáng)制存取控制和自主存取控制； 審計(jì)。審計(jì)。v（6）UNIX SVR4.1ES是是UI（UNIX國際組織）于國際組織）于1991年推出的一個(gè)安全操作系統(tǒng)，被美國國家計(jì)算年推出的一個(gè)安全操作系統(tǒng)，被美國國家計(jì)算機(jī)安全中心（機(jī)安全中心（NCSC）認(rèn)可為符合）認(rèn)可為符合TCSEC的的B2級(jí)，級(jí)，除除OSF/1外的安全性主要表現(xiàn)如下：外的安全性主要表現(xiàn)如下： 更全面的存取控制；更全面的存取控制； 更小的特權(quán)管理；更小的特權(quán)管理； 可信通路；可信通路； 隱蔽通道分析和處理隱蔽通道分析和處理。7v（7）1997年美國安全計(jì)算公司（年美國安全計(jì)算公司（SCC）和國家）和國家安全局（安全局（NSA）完成了）完

9、成了DTOS（Distributed Trusted Operating System）安全操作系統(tǒng)。）安全操作系統(tǒng)。DTOS原型系統(tǒng)以原型系統(tǒng)以Mach為基礎(chǔ)，具有以下設(shè)計(jì)目為基礎(chǔ)，具有以下設(shè)計(jì)目標(biāo)。標(biāo)。 政策靈活性；政策靈活性； Mach兼容性；兼容性； DTOS內(nèi)核的性能應(yīng)該與內(nèi)核的性能應(yīng)該與Mach內(nèi)核的性能內(nèi)核的性能相近。相近。在安全操作系統(tǒng)的研究方面，我國研究起步比在安全操作系統(tǒng)的研究方面，我國研究起步比較晚，近幾年開展了一系列安全操作系統(tǒng)的研較晚，近幾年開展了一系列安全操作系統(tǒng)的研制工作，通過完成有關(guān)項(xiàng)目，開發(fā)出多種安全制工作，通過完成有關(guān)項(xiàng)目，開發(fā)出多種安全操作系統(tǒng)。操作系統(tǒng)。

10、86.1.2 安全操作系統(tǒng)的設(shè)計(jì)安全操作系統(tǒng)的設(shè)計(jì)v操作系統(tǒng)由于其在整個(gè)計(jì)算機(jī)系統(tǒng)中的地位和作用，操作系統(tǒng)由于其在整個(gè)計(jì)算機(jī)系統(tǒng)中的地位和作用，要要設(shè)計(jì)高度安全性的操作系統(tǒng)非常難設(shè)計(jì)高度安全性的操作系統(tǒng)非常難。操作系統(tǒng)功。操作系統(tǒng)功能復(fù)雜，事務(wù)繁忙，要控制和管理系統(tǒng)中數(shù)據(jù)的存能復(fù)雜，事務(wù)繁忙，要控制和管理系統(tǒng)中數(shù)據(jù)的存取、程序運(yùn)行和外部設(shè)備的工作等，同時(shí)還不得不取、程序運(yùn)行和外部設(shè)備的工作等，同時(shí)還不得不承擔(dān)起整個(gè)計(jì)算機(jī)系統(tǒng)的安全保護(hù)責(zé)任，這就使得承擔(dān)起整個(gè)計(jì)算機(jī)系統(tǒng)的安全保護(hù)責(zé)任，這就使得操作系統(tǒng)的設(shè)計(jì)具有很大的難度。操作系統(tǒng)的設(shè)計(jì)具有很大的難度。v具有高度安全性的操作系統(tǒng)的設(shè)計(jì)，首先考慮標(biāo)

11、準(zhǔn)具有高度安全性的操作系統(tǒng)的設(shè)計(jì)，首先考慮標(biāo)準(zhǔn)通用操作系統(tǒng)的通用操作系統(tǒng)的基本基本設(shè)計(jì)原則，然后考慮設(shè)計(jì)原則，然后考慮隔離隔離，正，正是通過隔離同時(shí)支持用戶域的共享和分割，接下來是通過隔離同時(shí)支持用戶域的共享和分割，接下來考察操作系統(tǒng)的考察操作系統(tǒng)的“內(nèi)核內(nèi)核”設(shè)計(jì)方法，這是提供安全設(shè)計(jì)方法，這是提供安全性的有效途徑，最后考慮性的有效途徑，最后考慮分層分層結(jié)構(gòu)設(shè)計(jì)。結(jié)構(gòu)設(shè)計(jì)。v以下分別介紹安全操作系統(tǒng)設(shè)計(jì)時(shí)，需要遵循以下分別介紹安全操作系統(tǒng)設(shè)計(jì)時(shí)，需要遵循一個(gè)一個(gè)基本原則和三個(gè)性質(zhì)基本原則和三個(gè)性質(zhì)。91、安全操作系統(tǒng)設(shè)計(jì)的原則、安全操作系統(tǒng)設(shè)計(jì)的原則v薩爾哲（薩爾哲（Saltzer）和史克羅

12、德（）和史克羅德（Sroder）提出安）提出安全操作系統(tǒng)設(shè)計(jì)的全操作系統(tǒng)設(shè)計(jì)的基本原則基本原則：v（1）最小特權(quán)，每個(gè)用戶和程序使用盡可能少的）最小特權(quán)，每個(gè)用戶和程序使用盡可能少的特權(quán)，以使有意或無意的攻擊所造成的損失達(dá)到最特權(quán)，以使有意或無意的攻擊所造成的損失達(dá)到最低程度；低程度；v（2）經(jīng)濟(jì)性，設(shè)計(jì)的操作系統(tǒng)應(yīng)盡可能地小和簡經(jīng)濟(jì)性，設(shè)計(jì)的操作系統(tǒng)應(yīng)盡可能地小和簡單，以便于驗(yàn)證和正確執(zhí)行單，以便于驗(yàn)證和正確執(zhí)行。目前操作系統(tǒng)不能保。目前操作系統(tǒng)不能保證安全的主要原因是它的規(guī)模太大，以至于超出了證安全的主要原因是它的規(guī)模太大，以至于超出了理解的范圍，并且使操作系統(tǒng)永遠(yuǎn)存在尚未糾正的理解的范圍

13、，并且使操作系統(tǒng)永遠(yuǎn)存在尚未糾正的錯(cuò)誤的原因。錯(cuò)誤的原因。v（3）開放設(shè)計(jì)，保護(hù)機(jī)制應(yīng)當(dāng)是公開的，經(jīng)受?。╅_放設(shè)計(jì)，保護(hù)機(jī)制應(yīng)當(dāng)是公開的，經(jīng)受住廣泛的公開審查。廣泛的公開審查。10v（4）完備的存取控制機(jī)制，對(duì)每個(gè)存取訪問，系）完備的存取控制機(jī)制，對(duì)每個(gè)存取訪問，系統(tǒng)都必須進(jìn)行檢查控制。統(tǒng)都必須進(jìn)行檢查控制。 v（5）基于）基于“允許允許”，標(biāo)示的資源應(yīng)該是，標(biāo)示的資源應(yīng)該是“允許存允許存取取”的，而未標(biāo)示的資源是的，而未標(biāo)示的資源是“不允許存取不允許存取”的。的。缺省條件是缺省條件是“不允許存取不允許存取”的。的。v（6）權(quán)限分離。理想情況下，對(duì)實(shí)體的存取應(yīng)該）權(quán)限分離。理想情況下，對(duì)實(shí)體的

14、存取應(yīng)該依賴多個(gè)條件，依賴多個(gè)條件，如用戶身份鑒別加上密鑰如用戶身份鑒別加上密鑰。v（7）避免信息流的潛在通道，可共享實(shí)體提供了）避免信息流的潛在通道，可共享實(shí)體提供了信息流的潛在通道。系統(tǒng)設(shè)計(jì)時(shí)應(yīng)采取物理或邏信息流的潛在通道。系統(tǒng)設(shè)計(jì)時(shí)應(yīng)采取物理或邏輯分離的方法，防止這種潛在通道。輯分離的方法，防止這種潛在通道。v（8）方便使用，存取控制機(jī)制方便使用。如不影）方便使用，存取控制機(jī)制方便使用。如不影響遵守規(guī)則的用戶；便于用戶授權(quán)存?。槐阌谟庙懽袷匾?guī)則的用戶；便于用戶授權(quán)存??；便于用戶約束存取。戶約束存取。112、隔離設(shè)計(jì)、隔離設(shè)計(jì)v隔離是指采用一定的措施，使系統(tǒng)隔離是指采用一定的措施，使系統(tǒng)某

15、一部分的故障某一部分的故障不影響其它的部分不影響其它的部分。設(shè)計(jì)思想設(shè)計(jì)思想是把是把一個(gè)大系統(tǒng)分割一個(gè)大系統(tǒng)分割成若干個(gè)互不相交的小系統(tǒng)成若干個(gè)互不相交的小系統(tǒng)，對(duì)一個(gè)任務(wù)來講，由，對(duì)一個(gè)任務(wù)來講，由幾個(gè)獨(dú)立的小系統(tǒng)各自獨(dú)立的完成自己的任務(wù)，且?guī)讉€(gè)獨(dú)立的小系統(tǒng)各自獨(dú)立的完成自己的任務(wù)，且每兩部分之間都有每兩部分之間都有“保護(hù)林保護(hù)林”，將錯(cuò)誤或故障限制，將錯(cuò)誤或故障限制在盡可能小的范圍，使之造成的損失最小。在盡可能小的范圍，使之造成的損失最小。v（1）物理隔離，各進(jìn)程使用不同的硬件設(shè)備。如）物理隔離，各進(jìn)程使用不同的硬件設(shè)備。如敏感的計(jì)算任務(wù)在指定的系統(tǒng)中執(zhí)行，非敏感的計(jì)敏感的計(jì)算任務(wù)在指定的

16、系統(tǒng)中執(zhí)行，非敏感的計(jì)算任務(wù)在開發(fā)系統(tǒng)中執(zhí)行；算任務(wù)在開發(fā)系統(tǒng)中執(zhí)行；v（2）時(shí)間隔離，不同的時(shí)間運(yùn)行不同的進(jìn)程。如）時(shí)間隔離，不同的時(shí)間運(yùn)行不同的進(jìn)程。如軍事系統(tǒng)在八點(diǎn)到中午之間執(zhí)行非敏感任務(wù)，只在軍事系統(tǒng)在八點(diǎn)到中午之間執(zhí)行非敏感任務(wù)，只在中午到下午五點(diǎn)執(zhí)行敏感任務(wù)；中午到下午五點(diǎn)執(zhí)行敏感任務(wù)；v（3）密碼隔離，將加密技術(shù)用于隔離，使未授權(quán)）密碼隔離，將加密技術(shù)用于隔離，使未授權(quán)用戶（沒有密碼）不能讀取敏感數(shù)據(jù)；用戶（沒有密碼）不能讀取敏感數(shù)據(jù)；v（4）邏輯隔離，將一個(gè)用戶的對(duì)象與其他用戶的）邏輯隔離，將一個(gè)用戶的對(duì)象與其他用戶的對(duì)象分割開來。對(duì)象分割開來。123、核心設(shè)計(jì)、核心設(shè)計(jì)v核又

17、稱為核又稱為核心核心，是操作系統(tǒng)中完成最低級(jí)功能的部，是操作系統(tǒng)中完成最低級(jí)功能的部分。在標(biāo)準(zhǔn)的操作系統(tǒng)設(shè)計(jì)中，完成許多功能，如分。在標(biāo)準(zhǔn)的操作系統(tǒng)設(shè)計(jì)中，完成許多功能，如同步進(jìn)程通訊、信息傳遞及中斷處理等。同步進(jìn)程通訊、信息傳遞及中斷處理等。v安全核心負(fù)責(zé)完成整個(gè)操作系統(tǒng)的安全機(jī)制。安全核心負(fù)責(zé)完成整個(gè)操作系統(tǒng)的安全機(jī)制。安全安全核心核心在硬件、操作系統(tǒng)和計(jì)算機(jī)系統(tǒng)的其它部分間在硬件、操作系統(tǒng)和計(jì)算機(jī)系統(tǒng)的其它部分間提供提供安全接口安全接口，如圖，如圖6-1所示。所示。圖圖6-1 安全操作系統(tǒng)的一般結(jié)構(gòu)安全操作系統(tǒng)的一般結(jié)構(gòu) 硬 件系統(tǒng)軟件核心用戶軟件安全核13v安全核心的實(shí)現(xiàn)安全核心的實(shí)現(xiàn)

18、可能降低系統(tǒng)性能可能降低系統(tǒng)性能。因?yàn)榘踩诵?。因?yàn)榘踩诵脑谟脩舫绦蚝筒僮飨到y(tǒng)資源之間增加了一道接口。在用戶程序和操作系統(tǒng)資源之間增加了一道接口。v安全核心的設(shè)計(jì)和用途在一定程度上取決于設(shè)計(jì)策安全核心的設(shè)計(jì)和用途在一定程度上取決于設(shè)計(jì)策略，略，一個(gè)安全核心可以當(dāng)做額外的操作系統(tǒng)一個(gè)安全核心可以當(dāng)做額外的操作系統(tǒng)，也也可可以以作為整個(gè)操作系統(tǒng)的一部分進(jìn)行設(shè)計(jì)作為整個(gè)操作系統(tǒng)的一部分進(jìn)行設(shè)計(jì)。一般安全一般安全核心包括在操作系統(tǒng)核內(nèi)核心包括在操作系統(tǒng)核內(nèi)。144、層結(jié)構(gòu)設(shè)計(jì)、層結(jié)構(gòu)設(shè)計(jì)v一個(gè)核化的操作系統(tǒng)至少由一個(gè)核化的操作系統(tǒng)至少由四層四層組成：組成：硬件、核硬件、核心、操作系統(tǒng)的其它部分和用戶

19、心、操作系統(tǒng)的其它部分和用戶。其中每一層本。其中每一層本身可能包含一些子層。身可能包含一些子層。v可以由一系列同心環(huán)來描述安全操作系統(tǒng)，其中可以由一系列同心環(huán)來描述安全操作系統(tǒng)，其中在最內(nèi)層進(jìn)行最敏感的操作，一個(gè)在最內(nèi)層進(jìn)行最敏感的操作，一個(gè)過程的可信性過程的可信性和存取權(quán)由到中心的接近程度來決定和存取權(quán)由到中心的接近程度來決定，越可信的越可信的過程越接近中心，過程越接近中心，這樣的系統(tǒng)可用圖這樣的系統(tǒng)可用圖6-2表示。表示。15圖圖6-2 不同層次上的模塊操作不同層次上的模塊操作操作系統(tǒng)代碼驗(yàn)證數(shù)據(jù)修改驗(yàn)證數(shù)據(jù)比較用戶身份驗(yàn)證用戶接口最小信任代碼最大信任代碼層次設(shè)計(jì)策略被認(rèn)為是一層次設(shè)計(jì)策略

20、被認(rèn)為是一種較好的操作系統(tǒng)設(shè)計(jì)策種較好的操作系統(tǒng)設(shè)計(jì)策略。每一層都可以調(diào)用更略。每一層都可以調(diào)用更中心層的服務(wù)，并為外層中心層的服務(wù)，并為外層提供一定的服務(wù)。這樣即提供一定的服務(wù)。這樣即使剝?nèi)ヒ粚?，仍然是一個(gè)使剝?nèi)ヒ粚?，仍然是一個(gè)完整的系統(tǒng)，只是功能上完整的系統(tǒng)，只是功能上有所減少。有所減少。166.1.3操作系統(tǒng)的安全服務(wù)操作系統(tǒng)的安全服務(wù)v操作系統(tǒng)的安全機(jī)制主要體現(xiàn)在操作系統(tǒng)的安全機(jī)制主要體現(xiàn)在身份認(rèn)證和訪問控身份認(rèn)證和訪問控制制兩個(gè)方面。兩個(gè)方面。身份認(rèn)證身份認(rèn)證是要是要保護(hù)合法的用戶使用系統(tǒng)，防止保護(hù)合法的用戶使用系統(tǒng)，防止非法侵入非法侵入。訪問控制訪問控制是要是要保證授權(quán)和受控的訪問

21、、使用系保證授權(quán)和受控的訪問、使用系統(tǒng)資源統(tǒng)資源。v一般而言，訪問控制服務(wù)和身份認(rèn)證服務(wù)是緊密結(jié)一般而言，訪問控制服務(wù)和身份認(rèn)證服務(wù)是緊密結(jié)合在一起的：一個(gè)用戶或用戶的合在一起的：一個(gè)用戶或用戶的進(jìn)程進(jìn)程在訪問在訪問系統(tǒng)資系統(tǒng)資源源之前，必須要經(jīng)過之前，必須要經(jīng)過正確的身份認(rèn)證正確的身份認(rèn)證，然后再根據(jù)，然后再根據(jù)自己的授權(quán)情況，自己的授權(quán)情況，受控制地受控制地使用系統(tǒng)資源。使用系統(tǒng)資源。171、用戶管理的安全性、用戶管理的安全性v（1）身份認(rèn)證機(jī)制）身份認(rèn)證機(jī)制v身份認(rèn)證機(jī)制必須是強(qiáng)有力的，即在身份認(rèn)證機(jī)制必須是強(qiáng)有力的，即在用戶登錄時(shí)，用戶登錄時(shí)，與系統(tǒng)的交互過程必須有安全保護(hù)與系統(tǒng)的交互

22、過程必須有安全保護(hù)。v身份認(rèn)證是身份認(rèn)證是對(duì)用戶身份的識(shí)別和驗(yàn)證對(duì)用戶身份的識(shí)別和驗(yàn)證，通常采用，通常采用賬號(hào)賬號(hào)/口令口令的方式。的方式。v用戶賬號(hào)必須是唯一的，系統(tǒng)依據(jù)用戶賬號(hào)識(shí)別用戶賬號(hào)必須是唯一的，系統(tǒng)依據(jù)用戶賬號(hào)識(shí)別出用戶之后，還需通過口令對(duì)其進(jìn)行驗(yàn)證，驗(yàn)證出用戶之后，還需通過口令對(duì)其進(jìn)行驗(yàn)證，驗(yàn)證其是否為真實(shí)用戶。其是否為真實(shí)用戶。v用戶用戶賬號(hào)和口令賬號(hào)和口令是同時(shí)使用的，但二者的使用是是同時(shí)使用的，但二者的使用是不同的，不同的，用戶賬號(hào)用戶賬號(hào)是是公開公開的，用于對(duì)用戶的的，用于對(duì)用戶的識(shí)別識(shí)別，而而口令口令是是保密保密的，用于的，用于驗(yàn)證驗(yàn)證用戶的真?zhèn)?。用戶的真?zhèn)巍?8v（2

23、）用戶口令的）用戶口令的加密加密機(jī)制機(jī)制v用戶口令的加密算法必須有足夠的安全強(qiáng)度，用用戶口令的加密算法必須有足夠的安全強(qiáng)度，用戶的口令存放必須安全，不能被輕易竊取。戶的口令存放必須安全，不能被輕易竊取。v（3）用戶的賬號(hào)管理）用戶的賬號(hào)管理v通常通常對(duì)用戶賬號(hào)進(jìn)行分組管理對(duì)用戶賬號(hào)進(jìn)行分組管理，并且這種分組管，并且這種分組管理應(yīng)該針對(duì)安全性問題而考慮的分組。也即應(yīng)當(dāng)理應(yīng)該針對(duì)安全性問題而考慮的分組。也即應(yīng)當(dāng)根據(jù)不同的安全級(jí)別將用戶分成若干等級(jí)，每一根據(jù)不同的安全級(jí)別將用戶分成若干等級(jí)，每一等級(jí)的用戶只能訪問與其等級(jí)相應(yīng)的系統(tǒng)資源和等級(jí)的用戶只能訪問與其等級(jí)相應(yīng)的系統(tǒng)資源和數(shù)據(jù)，執(zhí)行指定范圍內(nèi)的

24、程序。數(shù)據(jù)，執(zhí)行指定范圍內(nèi)的程序。192、訪問控制、訪問控制v經(jīng)過計(jì)算機(jī)系統(tǒng)身份驗(yàn)證之后，合法的用戶進(jìn)入經(jīng)過計(jì)算機(jī)系統(tǒng)身份驗(yàn)證之后，合法的用戶進(jìn)入系統(tǒng)，但并不意味著它具有對(duì)系統(tǒng)所有資源的訪系統(tǒng)，但并不意味著它具有對(duì)系統(tǒng)所有資源的訪問權(quán)限。還需要通過訪問控制，根據(jù)一定的原則問權(quán)限。還需要通過訪問控制，根據(jù)一定的原則對(duì)合法用戶的訪問權(quán)限進(jìn)行控制，以決定用戶可對(duì)合法用戶的訪問權(quán)限進(jìn)行控制，以決定用戶可以訪問哪些資源，以及以什么樣的方式訪問資源。以訪問哪些資源，以及以什么樣的方式訪問資源。20v訪問控制系統(tǒng)一般包括以下幾個(gè)實(shí)體。訪問控制系統(tǒng)一般包括以下幾個(gè)實(shí)體。主體主體（Subject）：發(fā)出訪問操作

25、，是存取要求）：發(fā)出訪問操作，是存取要求的主動(dòng)方。通常可以是用戶、進(jìn)程和設(shè)備等。的主動(dòng)方。通?？梢允怯脩簟⑦M(jìn)程和設(shè)備等?？腕w客體（Object）：被訪問的對(duì)象，是訪問需要）：被訪問的對(duì)象，是訪問需要進(jìn)行控制的資源。通?？梢允潜徽{(diào)用的程序、進(jìn)行控制的資源。通?？梢允潜徽{(diào)用的程序、進(jìn)程，要存取的數(shù)據(jù)、信息，要訪問的文件、進(jìn)程，要存取的數(shù)據(jù)、信息，要訪問的文件、系統(tǒng)或各種網(wǎng)絡(luò)設(shè)備、設(shè)施等資源。系統(tǒng)或各種網(wǎng)絡(luò)設(shè)備、設(shè)施等資源。安全訪問政策安全訪問政策：它是一套規(guī)則，用以確定一個(gè)：它是一套規(guī)則，用以確定一個(gè)主體是否對(duì)客體擁有訪問的能力。主體是否對(duì)客體擁有訪問的能力。v由此，訪問控制的由此，訪問控制的目的

26、目的是：限制主體對(duì)客體的訪是：限制主體對(duì)客體的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)的資源在合法范圍內(nèi)問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)的資源在合法范圍內(nèi)被使用。被使用。21v訪問控制常用的實(shí)現(xiàn)方法主要有：訪問控制常用的實(shí)現(xiàn)方法主要有：v（1）訪問控制表訪問控制表（Access Control List）v一個(gè)對(duì)象有一個(gè)表，用來指出主體對(duì)對(duì)象的訪問一個(gè)對(duì)象有一個(gè)表，用來指出主體對(duì)對(duì)象的訪問權(quán)限。還可以將有相同權(quán)限的用戶分組，并授予權(quán)限。還可以將有相同權(quán)限的用戶分組，并授予組的訪問權(quán)。組的訪問權(quán)。v訪問控制表訪問控制表ACL是目前采用最多的一種方式，如是目前采用最多的一種方式，如圖圖6-3所示。所示。22圖圖6-3訪

27、問控制列表訪問控制列表23v（2）訪問控制矩陣訪問控制矩陣（Access Matrix）v用一個(gè)矩陣的形式表示訪問控制，行表示主體，列用一個(gè)矩陣的形式表示訪問控制，行表示主體，列表示客體，行列交叉點(diǎn)表示某個(gè)主體對(duì)某個(gè)客體的表示客體，行列交叉點(diǎn)表示某個(gè)主體對(duì)某個(gè)客體的訪問權(quán)限。如表訪問權(quán)限。如表6.1所示：所示：表表6.1 訪問控制矩陣訪問控制矩陣 （其中（其中R-讀，讀，W-寫，寫，X-執(zhí)行，執(zhí)行，Own-擁有）擁有） 24v（3）授權(quán)關(guān)系表授權(quán)關(guān)系表Authorization Relations List）v用每一行（或稱為一個(gè)元組）表示主體和客體的用每一行（或稱為一個(gè)元組）表示主體和客體的

28、一個(gè)權(quán)限關(guān)系，如表一個(gè)權(quán)限關(guān)系，如表6.2所示。所示。v授權(quán)關(guān)系表可以實(shí)現(xiàn)最小化權(quán)限原則及復(fù)雜的安授權(quán)關(guān)系表可以實(shí)現(xiàn)最小化權(quán)限原則及復(fù)雜的安全策略。全策略。25表表6.2 授權(quán)關(guān)系表授權(quán)關(guān)系表 26v在訪問控制策略方面，計(jì)算機(jī)系統(tǒng)常采用以下兩在訪問控制策略方面，計(jì)算機(jī)系統(tǒng)常采用以下兩種策略。種策略。v（1）自主訪問控制（）自主訪問控制（Discretionary Access Control，DAC）v自主訪問控制自主訪問控制是一種最為普遍的訪問控制手段，是一種最為普遍的訪問控制手段，是指是指對(duì)某個(gè)客體具有擁有權(quán)的主體對(duì)某個(gè)客體具有擁有權(quán)的主體能夠?qū)υ摽腕w能夠?qū)υ摽腕w的一種訪問權(quán)或多種訪問權(quán)自

29、主的授予其他主體，的一種訪問權(quán)或多種訪問權(quán)自主的授予其他主體，并在隨后的任何時(shí)刻將這些權(quán)限收回。并在隨后的任何時(shí)刻將這些權(quán)限收回。v這種控制是自主的，是一種比較寬松的訪問控制。這種控制是自主的，是一種比較寬松的訪問控制。vWindows、UNIX操作系統(tǒng)都采用了自主訪問控操作系統(tǒng)都采用了自主訪問控制策略。制策略。27v（2）強(qiáng)制訪問控制（）強(qiáng)制訪問控制（Mandatory Access Control，MAC）v強(qiáng)制訪問控制強(qiáng)制訪問控制是是“加強(qiáng)加強(qiáng)”給訪問主體的，即系統(tǒng)給訪問主體的，即系統(tǒng)強(qiáng)制主體服從事先制定的訪問控制規(guī)則，這種策強(qiáng)制主體服從事先制定的訪問控制規(guī)則，這種策略是強(qiáng)制性規(guī)定的，用

30、戶或用戶的程序不能加以略是強(qiáng)制性規(guī)定的，用戶或用戶的程序不能加以修改。如果系統(tǒng)認(rèn)為某用戶不適合訪問某個(gè)文件，修改。如果系統(tǒng)認(rèn)為某用戶不適合訪問某個(gè)文件，那么任何人（包括文件擁有者）都無法使該用戶那么任何人（包括文件擁有者）都無法使該用戶具有訪問該文件的權(quán)利。具有訪問該文件的權(quán)利。vMAC主要用于主要用于多層次安全級(jí)別的軍事應(yīng)用多層次安全級(jí)別的軍事應(yīng)用中。中。286.2 Windows NT/2000的安全的安全v在個(gè)人計(jì)算機(jī)領(lǐng)域，在個(gè)人計(jì)算機(jī)領(lǐng)域，Windows操作系統(tǒng)占據(jù)了大操作系統(tǒng)占據(jù)了大多數(shù)市場份額，而在網(wǎng)絡(luò)服務(wù)領(lǐng)域，多數(shù)市場份額，而在網(wǎng)絡(luò)服務(wù)領(lǐng)域，Windows NT/2000是最流行

31、的桌面操作系統(tǒng)，其友好的操作是最流行的桌面操作系統(tǒng)，其友好的操作界面，眾多強(qiáng)大的網(wǎng)絡(luò)應(yīng)用程序和開發(fā)工具，以及界面，眾多強(qiáng)大的網(wǎng)絡(luò)應(yīng)用程序和開發(fā)工具，以及更為強(qiáng)大的系統(tǒng)安全性，使得很多企業(yè)將更為強(qiáng)大的系統(tǒng)安全性，使得很多企業(yè)將Windows NT/2000作為網(wǎng)管或服務(wù)器的平臺(tái)。作為網(wǎng)管或服務(wù)器的平臺(tái)。vWindows NT是一個(gè)安全的操作系統(tǒng)，它通過了美是一個(gè)安全的操作系統(tǒng)，它通過了美國國防部國國防部TCSEC C2級(jí)安全認(rèn)證，具有身份鑒別、級(jí)安全認(rèn)證，具有身份鑒別、具有自主訪問控制、客體共享和安全審計(jì)等安全特具有自主訪問控制、客體共享和安全審計(jì)等安全特性。性。vWindows 2000是微軟

32、公司于是微軟公司于2000年在年在Windows NT操作系統(tǒng)的技術(shù)之上，開發(fā)的新一代操作系統(tǒng)的技術(shù)之上，開發(fā)的新一代Windows操作系統(tǒng)。操作系統(tǒng)。v在安全性方面，在安全性方面，Windows 2000繼承了很多繼承了很多NT特性，特性，但與但與NT比較，它提供了更多更為強(qiáng)大的安全特性。比較，它提供了更多更為強(qiáng)大的安全特性。296.2.1 Windows NT/2000的安全模型的安全模型vWindows NT/2000的安全模型主要由的安全模型主要由登錄過程登錄過程、本地安全認(rèn)證本地安全認(rèn)證、安全賬號(hào)管理器安全賬號(hào)管理器和和安全參考監(jiān)督安全參考監(jiān)督器器構(gòu)成，如圖構(gòu)成，如圖6-4所示。所示

33、。30圖圖6-4 Windows NT/2000的安全模型的安全模型 311、登錄過程（、登錄過程（Logon Process）v登錄過程用以確認(rèn)用戶身份是否合法，從而確定登錄過程用以確認(rèn)用戶身份是否合法，從而確定用戶對(duì)系統(tǒng)資源的訪問權(quán)限。用戶對(duì)系統(tǒng)資源的訪問權(quán)限。v登錄過程把用戶登錄過程把用戶輸入輸入的登錄信息，通過安全系統(tǒng)的登錄信息，通過安全系統(tǒng)傳輸傳輸?shù)桨踩~號(hào)管理器，由安全賬號(hào)管理器把此到安全賬號(hào)管理器，由安全賬號(hào)管理器把此信息同信息同安全賬號(hào)數(shù)據(jù)庫的數(shù)據(jù)安全賬號(hào)數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行進(jìn)行比較比較，如果二，如果二者匹配，則允許用戶進(jìn)行訪問。然后本地安全認(rèn)者匹配，則允許用戶進(jìn)行訪問。然后本地安

34、全認(rèn)證開始證開始構(gòu)造構(gòu)造訪問令牌，訪問令牌，將訪問令牌與用戶進(jìn)行的將訪問令牌與用戶進(jìn)行的所有操作相連接，構(gòu)成一個(gè)所有操作相連接，構(gòu)成一個(gè)主體主體。主體訪問一個(gè)。主體訪問一個(gè)對(duì)象時(shí)，將由訪問令牌的內(nèi)容決定是否能夠訪問。對(duì)象時(shí)，將由訪問令牌的內(nèi)容決定是否能夠訪問。v登錄過程可以接受登錄過程可以接受本地本地用戶的本地登錄請(qǐng)求，也用戶的本地登錄請(qǐng)求，也可以接受可以接受遠(yuǎn)程遠(yuǎn)程用戶的登錄請(qǐng)求。用戶的登錄請(qǐng)求。32 （1）本地登錄過程）本地登錄過程如圖如圖6-5所示。所示。v 用戶按用戶按Ctrl+Alt+Del鍵，引起硬件中斷，被系統(tǒng)鍵，引起硬件中斷，被系統(tǒng)捕獲，這樣使操作系統(tǒng)激活捕獲，這樣使操作系統(tǒng)激

35、活WinLogon進(jìn)程。進(jìn)程。v WinLogon進(jìn)程通過進(jìn)程通過調(diào)用標(biāo)識(shí)與鑒別調(diào)用標(biāo)識(shí)與鑒別DLL，將登，將登錄窗口（賬號(hào)名和口令登錄提示符）展示在用戶面錄窗口（賬號(hào)名和口令登錄提示符）展示在用戶面前。前。v WinLogon進(jìn)程發(fā)送進(jìn)程發(fā)送賬號(hào)名和加密口令賬號(hào)名和加密口令到本地到本地安全認(rèn)證（安全認(rèn)證（LSA）。）。v 如果用戶具有有效的用戶名和口令，則本地安如果用戶具有有效的用戶名和口令，則本地安全認(rèn)證產(chǎn)生一個(gè)訪問令牌，包括全認(rèn)證產(chǎn)生一個(gè)訪問令牌，包括用戶賬號(hào)用戶賬號(hào)SID和用和用戶工作組戶工作組SID。v WinLogon進(jìn)程傳送訪問令牌到進(jìn)程傳送訪問令牌到Win32模塊，同模塊，同時(shí)

36、發(fā)出一個(gè)請(qǐng)求，以便為用戶建立登錄進(jìn)程。時(shí)發(fā)出一個(gè)請(qǐng)求，以便為用戶建立登錄進(jìn)程。v 登錄進(jìn)程建立用戶環(huán)境，包括啟動(dòng)登錄進(jìn)程建立用戶環(huán)境，包括啟動(dòng)Desktop Explorer和顯示背景等。和顯示背景等。33圖圖6-5本地登錄過程本地登錄過程 34（2）網(wǎng)絡(luò)登錄過程）網(wǎng)絡(luò)登錄過程如圖如圖6-6所示。所示。v 用戶將用戶名和口令輸入到網(wǎng)絡(luò)客戶機(jī)軟件的登錄用戶將用戶名和口令輸入到網(wǎng)絡(luò)客戶機(jī)軟件的登錄窗口。窗口。v 該客戶機(jī)軟件打開該客戶機(jī)軟件打開NetBIOS，連接到服務(wù)器的，連接到服務(wù)器的NetLogon服務(wù)上，該客戶機(jī)軟件對(duì)口令加密，發(fā)送服務(wù)上，該客戶機(jī)軟件對(duì)口令加密，發(fā)送登錄證書到服務(wù)器的登錄

37、證書到服務(wù)器的WinLogon進(jìn)程。進(jìn)程。v 服務(wù)器的服務(wù)器的WinLogon進(jìn)程發(fā)送賬號(hào)名和加密口令到進(jìn)程發(fā)送賬號(hào)名和加密口令到本地安全認(rèn)證。本地安全認(rèn)證。 v 如果用戶具有有效的用戶名和口令，則本地安全認(rèn)如果用戶具有有效的用戶名和口令，則本地安全認(rèn)證產(chǎn)生一個(gè)訪問令牌，包括用戶賬號(hào)證產(chǎn)生一個(gè)訪問令牌，包括用戶賬號(hào)SID和用戶工作和用戶工作組組SID。訪問令牌也得到用戶的特權(quán)（。訪問令牌也得到用戶的特權(quán)（LUID），然后），然后該訪問令牌傳送回該訪問令牌傳送回WinLogon進(jìn)程。進(jìn)程。v WinLogon進(jìn)程將訪問令牌傳送到進(jìn)程將訪問令牌傳送到Windows NT/2000的的Server服

38、務(wù)，它將訪問令牌與被客戶機(jī)打服務(wù)，它將訪問令牌與被客戶機(jī)打開的開的NetBIOS連接聯(lián)系起來。在具有訪問令牌所建證連接聯(lián)系起來。在具有訪問令牌所建證書的服務(wù)器上，可完成任何在書的服務(wù)器上，可完成任何在NetBIOS連接時(shí)所發(fā)送連接時(shí)所發(fā)送的其他操作（如讀文件、打印請(qǐng)求等）。的其他操作（如讀文件、打印請(qǐng)求等）。35圖圖6-6網(wǎng)絡(luò)登錄網(wǎng)絡(luò)登錄Windows NT/2000服務(wù)器過程服務(wù)器過程 362、本地安全認(rèn)證、本地安全認(rèn)證v本地安全認(rèn)證（本地安全認(rèn)證（Local Security Authority，LSA）是）是Windows NT/2000安全模型的核心，安全模型的核心，它通過確認(rèn)安全賬號(hào)

39、管理器中的數(shù)據(jù)信息來處理它通過確認(rèn)安全賬號(hào)管理器中的數(shù)據(jù)信息來處理用戶從本地或遠(yuǎn)程的登錄。用戶從本地或遠(yuǎn)程的登錄。v本地安全認(rèn)證確保用戶有存取系統(tǒng)的權(quán)限，從而本地安全認(rèn)證確保用戶有存取系統(tǒng)的權(quán)限，從而產(chǎn)生訪問令牌，管理本地策略并提交交換式的用產(chǎn)生訪問令牌，管理本地策略并提交交換式的用戶認(rèn)證服務(wù)。它同時(shí)還控制審計(jì)方案和將安全參戶認(rèn)證服務(wù)。它同時(shí)還控制審計(jì)方案和將安全參考監(jiān)督器的審計(jì)信息記入日記?？急O(jiān)督器的審計(jì)信息記入日記。37圖圖6-4 Windows NT/2000的安全模型的安全模型 383、安全賬號(hào)管理器、安全賬號(hào)管理器 v安全賬號(hào)管理器（安全賬號(hào)管理器（Security Account

40、Manager，SAM）維護(hù)安全賬號(hào)數(shù)據(jù)庫，即）維護(hù)安全賬號(hào)數(shù)據(jù)庫，即SAM數(shù)據(jù)庫。該數(shù)據(jù)庫。該數(shù)據(jù)庫包含所有用戶和組的賬號(hào)信息。數(shù)據(jù)庫包含所有用戶和組的賬號(hào)信息。v安全賬號(hào)管理器提供用戶登錄認(rèn)證，負(fù)責(zé)對(duì)用戶安全賬號(hào)管理器提供用戶登錄認(rèn)證，負(fù)責(zé)對(duì)用戶輸入的信息與輸入的信息與SAM數(shù)據(jù)庫的信息對(duì)比，并為用戶數(shù)據(jù)庫的信息對(duì)比，并為用戶賦予一個(gè)安全標(biāo)示符（賦予一個(gè)安全標(biāo)示符（SID）。）。v根據(jù)網(wǎng)絡(luò)配置的不同，根據(jù)網(wǎng)絡(luò)配置的不同，SAM數(shù)據(jù)庫可能存在于一數(shù)據(jù)庫可能存在于一個(gè)或多個(gè)個(gè)或多個(gè)Windows NT/2000系統(tǒng)中。系統(tǒng)中。394、安全參考監(jiān)督器、安全參考監(jiān)督器 v安全參考監(jiān)督器（安全參考監(jiān)

41、督器（Security Reference Monitor，SRM）運(yùn)行在內(nèi)核模式，它負(fù)責(zé)）運(yùn)行在內(nèi)核模式，它負(fù)責(zé)訪問控制訪問控制和和審查審查策略策略。v安全參考監(jiān)督器提供對(duì)客體（文件、目錄）的存安全參考監(jiān)督器提供對(duì)客體（文件、目錄）的存取權(quán)限，檢查主體（用戶賬號(hào)）的訪問權(quán)限，阻取權(quán)限，檢查主體（用戶賬號(hào)）的訪問權(quán)限，阻止非授權(quán)用戶訪問對(duì)象。為了在整個(gè)系統(tǒng)中對(duì)不止非授權(quán)用戶訪問對(duì)象。為了在整個(gè)系統(tǒng)中對(duì)不同類型對(duì)象提供一致的保護(hù)，安全參考監(jiān)督器在同類型對(duì)象提供一致的保護(hù)，安全參考監(jiān)督器在系統(tǒng)中只保留一個(gè)有效訪問代碼的拷貝。系統(tǒng)中只保留一個(gè)有效訪問代碼的拷貝。v另外，安全參考監(jiān)督器還負(fù)責(zé)實(shí)施審計(jì)生

42、成策略，另外，安全參考監(jiān)督器還負(fù)責(zé)實(shí)施審計(jì)生成策略，它在驗(yàn)證對(duì)象存取的合法性和檢查主體（用戶賬它在驗(yàn)證對(duì)象存取的合法性和檢查主體（用戶賬號(hào)）權(quán)限的同時(shí)，生成必要的審計(jì)信息。號(hào)）權(quán)限的同時(shí)，生成必要的審計(jì)信息。406.2.2 Windows NT/2000的訪問控制的訪問控制v對(duì)系統(tǒng)資源的訪問限制，防止用戶非授權(quán)訪問系對(duì)系統(tǒng)資源的訪問限制，防止用戶非授權(quán)訪問系統(tǒng)資源即為訪問控制。統(tǒng)資源即為訪問控制。v1、Windows NT/2000的訪問控制的訪問控制vWindows NT/2000的安全性達(dá)到了橘皮書的安全性達(dá)到了橘皮書C2級(jí)，級(jí)，實(shí)現(xiàn)了實(shí)現(xiàn)了用戶級(jí)自主訪問控制用戶級(jí)自主訪問控制，它的訪問控

43、制機(jī)制，它的訪問控制機(jī)制如圖如圖6-7所示。所示。41圖圖6-7 Windows NT客體訪問示意圖客體訪問示意圖 421、Windows NT/2000的訪問控制的訪問控制v當(dāng)一個(gè)進(jìn)程請(qǐng)求當(dāng)一個(gè)進(jìn)程請(qǐng)求Win32執(zhí)行對(duì)象的一種操作時(shí)，執(zhí)行對(duì)象的一種操作時(shí)，Win32借助安全參考監(jiān)督器借助安全參考監(jiān)督器SRM進(jìn)行校驗(yàn)。安全參進(jìn)行校驗(yàn)。安全參考監(jiān)督器首先查看用戶的權(quán)限，然后再將進(jìn)程的考監(jiān)督器首先查看用戶的權(quán)限，然后再將進(jìn)程的訪訪問令牌問令牌與對(duì)象的與對(duì)象的訪問控制列表訪問控制列表進(jìn)行比較，決定進(jìn)程進(jìn)行比較，決定進(jìn)程是否可以訪問該對(duì)象。是否可以訪問該對(duì)象。v為了實(shí)現(xiàn)進(jìn)程間的安全訪問，為了實(shí)現(xiàn)進(jìn)程間

44、的安全訪問，Windows NT/2000中的中的對(duì)象對(duì)象采用了采用了安全性描述符安全性描述符（Security Description）。）。v安全性描述符主要由用戶安全性描述符主要由用戶SID（Owner）、工作組）、工作組SID（Group）、訪問控制列表（）、訪問控制列表（DACL）和系統(tǒng)）和系統(tǒng)訪問控制列表（訪問控制列表（SACL）組成，安全性描述符的構(gòu)）組成，安全性描述符的構(gòu)成如圖成如圖6-8所示。所示。43圖圖6-8 安全性描述符安全性描述符 44v當(dāng)某個(gè)進(jìn)程要訪問一個(gè)對(duì)象時(shí)，當(dāng)某個(gè)進(jìn)程要訪問一個(gè)對(duì)象時(shí)，進(jìn)程的進(jìn)程的SID與與對(duì)對(duì)象的訪問控制列表比較象的訪問控制列表比較，決定是否

45、可以訪問該對(duì)，決定是否可以訪問該對(duì)象。訪問控制列表由訪問控制項(xiàng)（象。訪問控制列表由訪問控制項(xiàng)（ACE）組成，）組成，每個(gè)訪問控制項(xiàng)標(biāo)識(shí)每個(gè)訪問控制項(xiàng)標(biāo)識(shí)用戶和工作組用戶和工作組對(duì)該對(duì)象的對(duì)該對(duì)象的訪訪問權(quán)限問權(quán)限。v通常，訪問控制列表有通常，訪問控制列表有3個(gè)訪問控制項(xiàng)，分別代個(gè)訪問控制項(xiàng)，分別代表如下含義：表如下含義：拒絕拒絕對(duì)該對(duì)象的訪問；對(duì)該對(duì)象的訪問；允許允許對(duì)該對(duì)象讀取和寫入；對(duì)該對(duì)象讀取和寫入；允許允許執(zhí)行該對(duì)象。執(zhí)行該對(duì)象。45v訪問控制列表首先列出拒絕訪問的訪問控制項(xiàng)，然訪問控制列表首先列出拒絕訪問的訪問控制項(xiàng)，然后才是允許的訪問控制項(xiàng)。對(duì)訪問控制列表判斷的后才是允許的訪問控制

46、項(xiàng)。對(duì)訪問控制列表判斷的規(guī)則如下：規(guī)則如下： 從訪問控制列表的第一項(xiàng)開始，檢查每個(gè)訪從訪問控制列表的第一項(xiàng)開始，檢查每個(gè)訪問控制項(xiàng)，看是否顯式地問控制項(xiàng)，看是否顯式地拒絕拒絕用戶或工作組的用戶或工作組的訪問。訪問。 繼續(xù)檢查，看進(jìn)程所要求的訪問類型是否顯繼續(xù)檢查，看進(jìn)程所要求的訪問類型是否顯式地式地授予授予用戶或工作組。用戶或工作組。 重復(fù)步驟（重復(fù)步驟（1）、（）、（2），直到遇到拒絕訪問，），直到遇到拒絕訪問，或是或是累計(jì)到所有請(qǐng)求的權(quán)限均被滿足為止累計(jì)到所有請(qǐng)求的權(quán)限均被滿足為止。 如果對(duì)某個(gè)請(qǐng)求的訪問權(quán)限在訪問控制表中如果對(duì)某個(gè)請(qǐng)求的訪問權(quán)限在訪問控制表中既沒有授權(quán)也沒有拒絕，則拒絕訪

47、問。既沒有授權(quán)也沒有拒絕，則拒絕訪問。462、NTFS文件系統(tǒng)文件系統(tǒng)v在在Windows NT/2000中支持多種文件系統(tǒng)，其中使中支持多種文件系統(tǒng)，其中使用最普遍的是用最普遍的是FAT(File Allocation Table)文件系統(tǒng)文件系統(tǒng)和和NTFS（NT File System）文件系統(tǒng)。）文件系統(tǒng)。vFAT文件系統(tǒng)文件系統(tǒng)較簡單，所占容量與開銷很少，幾乎所較簡單，所占容量與開銷很少，幾乎所有計(jì)算機(jī)均支持它。但該文件系統(tǒng)有計(jì)算機(jī)均支持它。但該文件系統(tǒng)不支持訪問控制不支持訪問控制，使操作系統(tǒng)存在較大的不安全性。因此使操作系統(tǒng)存在較大的不安全性。因此Windows NT引進(jìn)了更為安全

48、的文件系統(tǒng)，即引進(jìn)了更為安全的文件系統(tǒng)，即NTFS文件系統(tǒng)。文件系統(tǒng)。vNTFS文件系統(tǒng)文件系統(tǒng)主要采用主要采用兩種措施兩種措施對(duì)文件系統(tǒng)進(jìn)行安對(duì)文件系統(tǒng)進(jìn)行安全性保護(hù)：對(duì)文件和目錄的權(quán)限設(shè)置；對(duì)文件內(nèi)容全性保護(hù)：對(duì)文件和目錄的權(quán)限設(shè)置；對(duì)文件內(nèi)容進(jìn)行加密。進(jìn)行加密。47v 文件和目錄的權(quán)限文件和目錄的權(quán)限vNTFS文件系統(tǒng)上的每一個(gè)文件和目錄在創(chuàng)建時(shí)創(chuàng)文件系統(tǒng)上的每一個(gè)文件和目錄在創(chuàng)建時(shí)創(chuàng)建人就被指定為擁有者。擁有者控制著文件或目錄建人就被指定為擁有者。擁有者控制著文件或目錄的權(quán)限設(shè)置，并能賦予其它用戶訪問權(quán)限。的權(quán)限設(shè)置，并能賦予其它用戶訪問權(quán)限。v通過對(duì)文件或目錄的權(quán)限設(shè)置，用戶可以共享

49、相應(yīng)通過對(duì)文件或目錄的權(quán)限設(shè)置，用戶可以共享相應(yīng)權(quán)限的文件數(shù)據(jù)，不僅為不同用戶完成共同任務(wù)提權(quán)限的文件數(shù)據(jù)，不僅為不同用戶完成共同任務(wù)提供了基礎(chǔ)，而且還節(jié)省了大量磁盤空間。供了基礎(chǔ)，而且還節(jié)省了大量磁盤空間。48v 文件內(nèi)容的加密文件內(nèi)容的加密vWindows 2000增強(qiáng)了文件系統(tǒng)的增強(qiáng)了文件系統(tǒng)的安全性安全性，采用了，采用了加密文件系統(tǒng)（加密文件系統(tǒng)（EFS，Encrypted File System）技術(shù)。加密文件系統(tǒng)提供的文件加密技術(shù)可以將加技術(shù)。加密文件系統(tǒng)提供的文件加密技術(shù)可以將加密的密的NTFS文件存儲(chǔ)到磁盤上。如果用戶要訪問一文件存儲(chǔ)到磁盤上。如果用戶要訪問一個(gè)加密的個(gè)加密的N

50、TFS文件，并且有這個(gè)文件的密鑰，那文件，并且有這個(gè)文件的密鑰，那么用戶就能打開這個(gè)文件。沒有該文件密鑰的用戶么用戶就能打開這個(gè)文件。沒有該文件密鑰的用戶對(duì)文件的訪問將被拒絕。對(duì)文件的訪問將被拒絕。496.2.3 Windows NT/2000的安全管理的安全管理vWindows NT/2000的安全性達(dá)到了橘皮書的安全性達(dá)到了橘皮書C2級(jí)，級(jí)，在實(shí)現(xiàn)登錄過程和訪問控制機(jī)制的同時(shí)，還提供一在實(shí)現(xiàn)登錄過程和訪問控制機(jī)制的同時(shí)，還提供一定的安全管理機(jī)制。以下簡單介紹定的安全管理機(jī)制。以下簡單介紹Windows NT/2000的一些安全管理機(jī)制。的一些安全管理機(jī)制。 1、用戶和用戶組、用戶和用戶組v

51、在在Windows NT/2000中，每個(gè)用戶必須有一個(gè)賬中，每個(gè)用戶必須有一個(gè)賬號(hào)，賬號(hào)是系統(tǒng)安全的核心。在登錄計(jì)算機(jī)時(shí)，系號(hào)，賬號(hào)是系統(tǒng)安全的核心。在登錄計(jì)算機(jī)時(shí)，系統(tǒng)將用戶賬號(hào)信息同用戶的安全數(shù)據(jù)庫進(jìn)行比較，統(tǒng)將用戶賬號(hào)信息同用戶的安全數(shù)據(jù)庫進(jìn)行比較，若匹配，則允許登錄；在用戶訪問系統(tǒng)資源時(shí)，用若匹配，則允許登錄；在用戶訪問系統(tǒng)資源時(shí)，用戶賬號(hào)決定著對(duì)資源的訪問權(quán)限。戶賬號(hào)決定著對(duì)資源的訪問權(quán)限。50v一般有兩種類型的用戶賬號(hào)：一般有兩種類型的用戶賬號(hào)：管理員賬號(hào)管理員賬號(hào)（Administrator）和）和訪問者賬號(hào)訪問者賬號(hào)（Guest），管），管理員賬號(hào)可以利用系統(tǒng)工具來創(chuàng)建。理員

52、賬號(hào)可以利用系統(tǒng)工具來創(chuàng)建。v從范圍角度看，用戶賬號(hào)還可以分成兩種類型賬號(hào)：從范圍角度看，用戶賬號(hào)還可以分成兩種類型賬號(hào)：全局賬號(hào)全局賬號(hào)和和本地賬號(hào)本地賬號(hào)。全局賬號(hào)又稱域賬號(hào)，可以。全局賬號(hào)又稱域賬號(hào)，可以在整個(gè)域內(nèi)應(yīng)用，而本地賬號(hào)只能在生成它的本機(jī)在整個(gè)域內(nèi)應(yīng)用，而本地賬號(hào)只能在生成它的本機(jī)上使用。上使用。vWindows NT/2000還支持還支持用戶組用戶組，通過用戶組為，通過用戶組為一組相關(guān)的用戶同時(shí)設(shè)置權(quán)限。有兩種類型的用戶一組相關(guān)的用戶同時(shí)設(shè)置權(quán)限。有兩種類型的用戶組：組：全局工作組全局工作組和和本地工作組本地工作組。本地工作組只能在。本地工作組只能在本地的系統(tǒng)或域內(nèi)使用。全局

53、工作組可以在系統(tǒng)中本地的系統(tǒng)或域內(nèi)使用。全局工作組可以在系統(tǒng)中相互信任的域中使用。相互信任的域中使用。51v2、域和委托、域和委托v（1）域）域v在在Windows NT/2000中中有兩種類型的網(wǎng)絡(luò)配置有兩種類型的網(wǎng)絡(luò)配置：工作組和域工作組和域。v工作組工作組是單獨(dú)的系統(tǒng)，在工作組中系統(tǒng)各自獨(dú)立是單獨(dú)的系統(tǒng)，在工作組中系統(tǒng)各自獨(dú)立管理自己的用戶賬號(hào)和組賬號(hào)以及它們的安全賬管理自己的用戶賬號(hào)和組賬號(hào)以及它們的安全賬號(hào)管理數(shù)據(jù)庫，不與別的系統(tǒng)共享這些信息。工號(hào)管理數(shù)據(jù)庫，不與別的系統(tǒng)共享這些信息。工作組適合于作組適合于小小型網(wǎng)絡(luò)環(huán)境。型網(wǎng)絡(luò)環(huán)境。v域域模型是模型是Windows NT網(wǎng)絡(luò)系統(tǒng)的核

54、心，所有網(wǎng)絡(luò)系統(tǒng)的核心，所有Windows NT的相關(guān)內(nèi)容都是圍繞著域來組織的，的相關(guān)內(nèi)容都是圍繞著域來組織的，域模型在安全方面更具優(yōu)越性。域模型在安全方面更具優(yōu)越性。52v域域是一些是一些服務(wù)器的集合服務(wù)器的集合，這些服務(wù)器被歸為一組，這些服務(wù)器被歸為一組并共享并共享同一個(gè)安全策略和用戶賬號(hào)數(shù)據(jù)庫同一個(gè)安全策略和用戶賬號(hào)數(shù)據(jù)庫。域由。域由主域服務(wù)器、備份域服務(wù)器、服務(wù)器和工作站主域服務(wù)器、備份域服務(wù)器、服務(wù)器和工作站組組成成。v域是由主域控制器或備份域控制器來控制的。每域是由主域控制器或備份域控制器來控制的。每個(gè)域中只能有一個(gè)主域控制器，而備份域控制器個(gè)域中只能有一個(gè)主域控制器，而備份域控制

55、器有一個(gè)或多個(gè)。主域控制器作為域中用戶的有一個(gè)或多個(gè)。主域控制器作為域中用戶的認(rèn)證認(rèn)證中心中心，可以由系統(tǒng)管理員建立和其它域的委托關(guān)，可以由系統(tǒng)管理員建立和其它域的委托關(guān)系；備份域控制器存有域中安全賬號(hào)管理數(shù)據(jù)庫系；備份域控制器存有域中安全賬號(hào)管理數(shù)據(jù)庫的備份，也能的備份，也能驗(yàn)證用戶登錄上網(wǎng)驗(yàn)證用戶登錄上網(wǎng)。一旦主域控制。一旦主域控制器崩潰，備份域控制器可以提升為主域控制器，器崩潰，備份域控制器可以提升為主域控制器，使域的機(jī)構(gòu)體系繼續(xù)保持穩(wěn)定和統(tǒng)一。使域的機(jī)構(gòu)體系繼續(xù)保持穩(wěn)定和統(tǒng)一。v安全賬號(hào)管理數(shù)據(jù)庫的原件放在主域控制器上，安全賬號(hào)管理數(shù)據(jù)庫的原件放在主域控制器上，并且只能在主域控制器上對(duì)

56、數(shù)據(jù)進(jìn)行維護(hù)。在備并且只能在主域控制器上對(duì)數(shù)據(jù)進(jìn)行維護(hù)。在備份域控制器中，不允許對(duì)數(shù)據(jù)進(jìn)行任何改動(dòng)。份域控制器中，不允許對(duì)數(shù)據(jù)進(jìn)行任何改動(dòng)。53v（2）委托）委托vWindows NT的域間可以建立委托關(guān)系。的域間可以建立委托關(guān)系。委托委托是是一種一種管理方法管理方法，它將兩個(gè)域連接在一起，并允許，它將兩個(gè)域連接在一起，并允許域中的用戶相互訪問。委托分為兩部分：受托域域中的用戶相互訪問。委托分為兩部分：受托域和委托域。和委托域。受托域受托域就是就是賬號(hào)所在域賬號(hào)所在域，也稱，也稱賬號(hào)域賬號(hào)域。委托域委托域含有含有可用的資源可用的資源，也稱，也稱資源域資源域。委托關(guān)系委托關(guān)系可以使用戶可以使用戶

57、賬號(hào)和用戶組賬號(hào)和用戶組能夠在建立它們的域之能夠在建立它們的域之外的域中使用資源。由此，用戶只需要一個(gè)用戶外的域中使用資源。由此，用戶只需要一個(gè)用戶賬號(hào)和口令就可以訪問多個(gè)域。賬號(hào)和口令就可以訪問多個(gè)域。v域之間的委托關(guān)系主要有兩種：單向的和雙向的。域之間的委托關(guān)系主要有兩種：單向的和雙向的。在單向的域委托關(guān)系關(guān)系中，域在單向的域委托關(guān)系關(guān)系中，域A委托另一個(gè)委托另一個(gè)域域B，但域，但域B并不信任域并不信任域A。在雙向的域委托關(guān)系關(guān)系中，兩個(gè)域之間是相在雙向的域委托關(guān)系關(guān)系中，兩個(gè)域之間是相互委托的，即域互委托的，即域A委托域委托域B，域，域B委托域委托域A。54v3、活動(dòng)目錄（、活動(dòng)目錄（A

58、ctive Directory）v活動(dòng)目錄是活動(dòng)目錄是Windows 2000的核心，它提供了一套的核心，它提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄服務(wù)分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄服務(wù)。v目錄是目錄是存儲(chǔ)各種對(duì)象的一個(gè)物理上的容器存儲(chǔ)各種對(duì)象的一個(gè)物理上的容器，目錄目錄管理管理的基本的基本對(duì)象對(duì)象是是用戶計(jì)算機(jī)、文件及打印機(jī)用戶計(jì)算機(jī)、文件及打印機(jī)等等資源。而資源。而目錄服務(wù)目錄服務(wù)使目錄中所有信息和資源發(fā)揮使目錄中所有信息和資源發(fā)揮作用的服務(wù)，如作用的服務(wù)，如用戶和資源管理、基于目錄的網(wǎng)用戶和資源管理、基于目錄的網(wǎng)絡(luò)服務(wù)、基于網(wǎng)絡(luò)的應(yīng)用管理絡(luò)服務(wù)、基于網(wǎng)絡(luò)的應(yīng)用管理等。因此通過活動(dòng)等。因此通過活動(dòng)目錄

59、使得組織機(jī)構(gòu)可以有效地對(duì)有關(guān)網(wǎng)絡(luò)資源和目錄使得組織機(jī)構(gòu)可以有效地對(duì)有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行用戶的信息進(jìn)行共享共享和和管理管理。同時(shí)目錄服務(wù)在網(wǎng)。同時(shí)目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)授權(quán)機(jī)構(gòu)的角色，使操的角色，使操作系統(tǒng)可以輕松驗(yàn)證用戶身份，并控制其對(duì)資源作系統(tǒng)可以輕松驗(yàn)證用戶身份，并控制其對(duì)資源的訪問。的訪問。v下面介紹下面介紹活動(dòng)目錄活動(dòng)目錄的的結(jié)構(gòu)結(jié)構(gòu)和和活動(dòng)目錄活動(dòng)目錄的的安全服務(wù)安全服務(wù)。55v（1）活動(dòng)目錄的結(jié)構(gòu)）活動(dòng)目錄的結(jié)構(gòu)v活動(dòng)目錄允許組織機(jī)構(gòu)按照層次式的、面向?qū)ο蟮幕顒?dòng)目錄允許組織機(jī)構(gòu)按照層次式的、面向?qū)ο蟮姆绞酱鎯?chǔ)信息，并方式存儲(chǔ)信息，并

60、提供支持分布式網(wǎng)絡(luò)環(huán)境的多主提供支持分布式網(wǎng)絡(luò)環(huán)境的多主復(fù)制機(jī)制復(fù)制機(jī)制。v 層次式組織層次式組織v活動(dòng)目錄是由對(duì)象、容器、樹和森林構(gòu)成的層次?；顒?dòng)目錄是由對(duì)象、容器、樹和森林構(gòu)成的層次。以以對(duì)象對(duì)象表示表示用戶、組、主機(jī)、設(shè)備和應(yīng)用程序用戶、組、主機(jī)、設(shè)備和應(yīng)用程序等等資源；資源；以以容器容器表示表示組織機(jī)構(gòu)或相關(guān)對(duì)象組織機(jī)構(gòu)或相關(guān)對(duì)象的集合；的集合；將將信息信息組織成為由組織成為由對(duì)象和容器對(duì)象和容器組成的組成的樹結(jié)構(gòu)樹結(jié)構(gòu)，并，并且多個(gè)樹結(jié)構(gòu)構(gòu)成且多個(gè)樹結(jié)構(gòu)構(gòu)成森林森林。56v 面向?qū)ο蟠鎯?chǔ)面向?qū)ο蟠鎯?chǔ)v活動(dòng)目錄用活動(dòng)目錄用對(duì)象對(duì)象的形式存儲(chǔ)有關(guān)網(wǎng)絡(luò)元素的信息。的形式存儲(chǔ)有關(guān)網(wǎng)絡(luò)元素的信