第4章 操作系統(tǒng)安全

2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)1第4章操作系統(tǒng)安全2023/2/32本章主要內(nèi)容操作系統(tǒng)的安全問(wèn)題操作系統(tǒng)的安全性設(shè)計(jì)存儲(chǔ)保護(hù)用戶認(rèn)證訪問(wèn)控制其他安全機(jī)制Windows系統(tǒng)安全計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)34.1操作系統(tǒng)的安全問(wèn)題

4.1.1操作系統(tǒng)易用性與安全性的矛盾操作系統(tǒng)在設(shè)計(jì)時(shí)不可避地要在安全性和易用性之間尋找一個(gè)最佳平衡點(diǎn)，這就使得操作系統(tǒng)在安全性方面必然存在著缺陷。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)44.1操作系統(tǒng)的安全問(wèn)題

4.1.2操作系統(tǒng)面臨的安全問(wèn)題1）網(wǎng)絡(luò)攻擊破壞系統(tǒng)的可用性和完整性。例如，惡意代碼(如Rootkit)可以使系統(tǒng)感染，也可以使應(yīng)用程序或數(shù)據(jù)文件受到感染，造成程序和數(shù)據(jù)文件的丟失或被破壞，甚至使系統(tǒng)癱瘓或崩潰。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)54.1操作系統(tǒng)的安全問(wèn)題

4.1.2操作系統(tǒng)面臨的安全問(wèn)題2）隱通道(CovertChannel，也稱作隱蔽信道)破壞系統(tǒng)的保密性和完整性。如今，攻擊者攻擊系統(tǒng)的目的更多地轉(zhuǎn)向獲取非授權(quán)的信息訪問(wèn)權(quán)。這些信息可以是系統(tǒng)運(yùn)行時(shí)內(nèi)存中的信息，也可以是存儲(chǔ)在磁盤上的信息(文件)。竊取的方法有多種，如使用Cain&Abel等口令破解工具破解系統(tǒng)口令，再如使用Goldenkeylogger等木馬工具記錄鍵盤信息，還可以利用隱通道非法訪問(wèn)資源。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)64.1操作系統(tǒng)的安全問(wèn)題

4.1.2操作系統(tǒng)面臨的安全問(wèn)題3）用戶的誤操作破壞系統(tǒng)的可用性和完整性。例如，用戶無(wú)意中刪除了系統(tǒng)的某個(gè)文件，無(wú)意中停止了系統(tǒng)的正常處理任務(wù)，這樣的誤操作或不合理地使用了系統(tǒng)提供的命令，會(huì)影響系統(tǒng)的穩(wěn)定運(yùn)行。此外，在多用戶操作系統(tǒng)中，各用戶程序執(zhí)行過(guò)程中相互間會(huì)產(chǎn)生不良影響，用戶之間會(huì)相互干擾。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)74.2操作系統(tǒng)的安全性設(shè)計(jì)標(biāo)識(shí)系統(tǒng)中的用戶并進(jìn)行身份鑒別；依據(jù)系統(tǒng)安全策略對(duì)用戶的操作進(jìn)行存取控制，防止用戶對(duì)計(jì)算機(jī)資源的非法存??；監(jiān)督系統(tǒng)運(yùn)行的安全；保證系統(tǒng)自身的安全性和完整性。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)8隔離控制的方法有四種：物理隔離時(shí)間隔離邏輯隔離加密隔離2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)94.2存儲(chǔ)器保護(hù)對(duì)于一個(gè)安全的操作系統(tǒng)，存儲(chǔ)保護(hù)是最基本的要求，這里包括內(nèi)存保護(hù)、運(yùn)行保護(hù)、I/O保護(hù)等。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)104.3存儲(chǔ)保護(hù)

4.3.1內(nèi)存保護(hù)內(nèi)存儲(chǔ)器是操作系統(tǒng)中的共享資源，內(nèi)存被用戶程序與系統(tǒng)程序所共享在多道環(huán)境下更是被多個(gè)進(jìn)程所共享。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)114.3存儲(chǔ)保護(hù)

4.3.1內(nèi)存保護(hù)內(nèi)存保護(hù)的目的是：防止對(duì)內(nèi)存的未授權(quán)訪問(wèn)；防止對(duì)內(nèi)存的錯(cuò)誤讀寫，如向只讀單元寫；防止用戶的不當(dāng)操作破壞內(nèi)存數(shù)據(jù)區(qū)、程序區(qū)或系統(tǒng)區(qū)；多道程序環(huán)境下，防止不同用戶的內(nèi)存區(qū)域互不影響；將用戶與內(nèi)存隔離，不讓用戶知道數(shù)據(jù)或程序在內(nèi)存中的具體位置；2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)124.3存儲(chǔ)保護(hù)

4.3.1內(nèi)存保護(hù)常用的內(nèi)存保護(hù)技術(shù)單用戶內(nèi)存保護(hù)技術(shù)多道程序的保護(hù)技術(shù)內(nèi)存標(biāo)記保護(hù)法分段與分頁(yè)保護(hù)技術(shù)2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)13（1）單用戶內(nèi)存保護(hù)問(wèn)題系統(tǒng)區(qū)

用戶區(qū)

（內(nèi)存）界限寄存器

單用戶內(nèi)存保護(hù)

2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)14（2）多道程序的保護(hù)2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)15（3）標(biāo)記保護(hù)法2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)16（4）分段與分頁(yè)技術(shù)對(duì)于稍微復(fù)雜一些的用戶程序，通常按功能劃分成若干個(gè)模塊（過(guò)程）。每個(gè)模塊有自己的數(shù)據(jù)區(qū)，各模塊之間也可能有共享數(shù)據(jù)區(qū)。各用戶程序之間也可能有共享模塊或共享數(shù)據(jù)區(qū)。這些模塊或數(shù)據(jù)區(qū)有著不同的訪問(wèn)屬性和安全要求，使用上述各種保護(hù)技術(shù)很難滿足這些要求。

2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)17（4）分段與分頁(yè)技術(shù)分段將內(nèi)存分成很多邏輯單元，如一組組私有程序或數(shù)據(jù)。采用分段技術(shù)以后，用戶并不知道他的程序?qū)嶋H使用的內(nèi)存物理地址，操作系統(tǒng)把程序?qū)嶋H地址隱藏起來(lái)了。這種隱藏對(duì)保護(hù)用戶代碼與數(shù)據(jù)的安全是極有好處的。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)18（4）分段與分頁(yè)技術(shù)分段技術(shù)有許多優(yōu)點(diǎn)：任何段可以放在任何內(nèi)存空間——假設(shè)地址空間大小足夠容納任何一個(gè)段。不同的訪問(wèn)控制可以實(shí)施在不同的段中。在分段這種方式下，任何地址的引用必須通過(guò)操作系統(tǒng)，這樣操作系統(tǒng)可以進(jìn)行完全的調(diào)度。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)19（4）分段與分頁(yè)技術(shù)段的管理方式存在的問(wèn)題與困難主要是：當(dāng)操作系統(tǒng)使用<段址，偏移地址>的方式來(lái)進(jìn)行尋址時(shí)，必須知道段的大小以確保訪問(wèn)的地址在該段之內(nèi)。但是很多段(比如那些可以進(jìn)行動(dòng)態(tài)內(nèi)存分配的段)的內(nèi)存是可以在執(zhí)行的過(guò)程中動(dòng)態(tài)增長(zhǎng)的。所以，操作系統(tǒng)中必須保存可變化段的大小。為了保證安全，要求系統(tǒng)檢查所產(chǎn)生的地址，驗(yàn)證其是否超出所訪問(wèn)段的末端。因?yàn)槎未笮】勺?，?nèi)存“碎片”成為一個(gè)潛在的問(wèn)題，使得內(nèi)存中雖然剩余碎片的總和大于某個(gè)段的長(zhǎng)度，但仍無(wú)法為該段分配內(nèi)存的現(xiàn)象發(fā)生。如果壓縮內(nèi)存以便于更加有效地利用已有空間，分段表則會(huì)發(fā)生改變。總之，分段本身比較復(fù)雜，并且它給操作系統(tǒng)帶來(lái)了明顯的負(fù)擔(dān)。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)20（4）分段與分頁(yè)技術(shù)為了解決分段可能產(chǎn)生的內(nèi)存碎片問(wèn)題，引入了分頁(yè)技術(shù)(如圖)。分頁(yè)是把目標(biāo)程序與內(nèi)存都劃分成相同大小的片段，這些片段稱為“頁(yè)”。在分頁(yè)模式下，需要使用參數(shù)對(duì)<頁(yè)，偏移地址>來(lái)訪問(wèn)特定的頁(yè)。分頁(yè)技術(shù)雖然解決了碎片問(wèn)題，但又損失了分段技術(shù)的安全功能。由于段具有邏輯上的完整意義，而頁(yè)則沒(méi)有這樣的意義，程序員可以為段規(guī)定某些安全控制要求，但卻無(wú)法指定各頁(yè)的訪問(wèn)控制要求。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)21（4）分段與分頁(yè)技術(shù)解決這個(gè)問(wèn)題的方法是將分頁(yè)與分段技術(shù)結(jié)合起來(lái)使用，由程序員按計(jì)算邏輯把程序劃分為段，再由操作系統(tǒng)把段劃分為頁(yè)。在段的基礎(chǔ)上進(jìn)行分頁(yè)的好處在于不會(huì)產(chǎn)生碎片、效率高，并且不需要考慮每部分大小的變化所帶來(lái)的各種問(wèn)題。操作系統(tǒng)同時(shí)管理段表與頁(yè)表，完成地址映射任務(wù)和頁(yè)面的調(diào)進(jìn)調(diào)出，并使同一段內(nèi)的各頁(yè)具有相同安全管理要求，這也是虛擬存儲(chǔ)器的基本思想。系統(tǒng)還可以為每個(gè)物理頁(yè)分配一個(gè)密碼，只允許擁有相同密碼的進(jìn)程訪問(wèn)該頁(yè)，該密碼由操作系統(tǒng)裝入進(jìn)程的狀態(tài)字中，在進(jìn)程訪問(wèn)某個(gè)頁(yè)面時(shí)，由硬件對(duì)進(jìn)程的密碼進(jìn)行檢驗(yàn)，只有密碼相同且進(jìn)程的訪問(wèn)權(quán)限與頁(yè)面的讀寫訪問(wèn)屬性相同時(shí)方可執(zhí)行訪問(wèn)。這種安全機(jī)制有效地保護(hù)了虛擬存儲(chǔ)器的安全。4.3存儲(chǔ)保護(hù)

4.3.1運(yùn)行保護(hù)安全操作系統(tǒng)很重要的一點(diǎn)是進(jìn)行分層設(shè)計(jì)，而運(yùn)行域正是這樣一種基于保護(hù)環(huán)的等級(jí)式結(jié)構(gòu)。運(yùn)行域是進(jìn)程運(yùn)行的區(qū)域，在最內(nèi)層具有最小環(huán)號(hào)的環(huán)具有最高特權(quán)，而在最外層具有最大環(huán)號(hào)的環(huán)是最小的特權(quán)環(huán)。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)224.3存儲(chǔ)保護(hù)

4.3.1運(yùn)行保護(hù)設(shè)置兩環(huán)系統(tǒng)是很容易理解的，它只是為了隔離操作系統(tǒng)程序與用戶程序。這就像生活中的道路被劃分為機(jī)動(dòng)車道和非機(jī)動(dòng)車道一樣，各種車輛和行人各行其道，互不影響，保證了各自的安全。對(duì)于多環(huán)結(jié)構(gòu)，它的最內(nèi)層是操作系統(tǒng)，它控制整個(gè)計(jì)算機(jī)系統(tǒng)的運(yùn)行；靠近操作系統(tǒng)環(huán)之外的是受限使用的系統(tǒng)應(yīng)用環(huán)，如數(shù)據(jù)庫(kù)管理系統(tǒng)或事務(wù)處理系統(tǒng)；最外一層則是各種不同用戶的應(yīng)用環(huán)。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)234.3存儲(chǔ)保護(hù)

4.3.2運(yùn)行保護(hù)Intelx86微芯片系列就是使用環(huán)概念來(lái)實(shí)施運(yùn)行保護(hù)的，如圖所示。環(huán)有4個(gè)級(jí)別：環(huán)0是最高權(quán)限的，環(huán)3是最低權(quán)限的。當(dāng)然，微芯片上并沒(méi)有實(shí)際的物理環(huán)。Windows操作系統(tǒng)中的所有內(nèi)核代碼都在環(huán)0級(jí)上運(yùn)行。用戶模式程序(例如Office軟件程序)在環(huán)3級(jí)上運(yùn)行。包括Windows和Linux在內(nèi)的許多操作系統(tǒng)在Intelx86微芯片上只使用環(huán)0和環(huán)3，而不使用環(huán)1和環(huán)2。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)244.3存儲(chǔ)保護(hù)

4.3.3I/O保護(hù)I/O介質(zhì)輸出訪問(wèn)控制最簡(jiǎn)單的方式是將設(shè)備看作是一個(gè)客體，仿佛它們都處于安全邊界外。由于所有的I/O不是向設(shè)備寫數(shù)據(jù)就是從設(shè)備接收數(shù)據(jù)，所以一個(gè)進(jìn)行I/O操作的進(jìn)程必須受到對(duì)設(shè)備的讀寫兩種訪問(wèn)控制。這就意味著設(shè)備到介質(zhì)間的路徑可以不受什么約束，而處理器到設(shè)備間的路徑則需要施以一定的讀寫訪問(wèn)控制。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)252023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)264.4用戶認(rèn)證用戶的認(rèn)證包括：標(biāo)識(shí)與鑒別。標(biāo)識(shí)(Identification)就是系統(tǒng)要標(biāo)識(shí)用戶的身份，并為每個(gè)用戶取一個(gè)系統(tǒng)可以識(shí)別的內(nèi)部名稱——用戶標(biāo)識(shí)符。用戶標(biāo)識(shí)符必須是惟一的且不能被偽造，防止一個(gè)用戶冒充另一個(gè)用戶。將用戶標(biāo)識(shí)符與用戶聯(lián)系的過(guò)程稱為鑒別(Authentication)，鑒別過(guò)程主要用以識(shí)別用戶的真實(shí)身份，鑒別操作總是要求用戶具有能夠證明他身份的特殊信息，并且這個(gè)信息是秘密的或獨(dú)一無(wú)二的，任何其他用戶都不能擁有它。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)274.4用戶認(rèn)證一般情況下，可以通過(guò)多個(gè)因素(Multi-Factor)來(lái)共同鑒別用戶身份的真?zhèn)?。常用的三種是：1）用戶所知道的(Whatyouknow)。如要求輸入用戶的姓名、口令或加密密鑰等。2）用戶所擁有的(Whatyouhave)。如智能卡等物理識(shí)別設(shè)備。3）用戶本身的特征(Whatyouare)。如用戶的指紋、聲音、視網(wǎng)膜等生理特征。4.4用戶認(rèn)證

4.4.1基于口令的認(rèn)證使用口令進(jìn)行身份驗(yàn)證是一種最古老、容易實(shí)現(xiàn)、也是比較有效的身份認(rèn)證手段。在操作系統(tǒng)中，口令是用戶與操作系統(tǒng)之間交換的信物。用戶想使用系統(tǒng)，首先必須通過(guò)系統(tǒng)管理員系統(tǒng)登錄，在系統(tǒng)中建立一個(gè)用戶賬號(hào)，賬號(hào)中存放用戶的名字(或標(biāo)識(shí))和口令。用戶輸入的用戶名和口令必須和存放在系統(tǒng)中的賬戶/口令文件中的相關(guān)信息一致才能進(jìn)入系統(tǒng)。沒(méi)有一個(gè)有效的口令，入侵者要闖入計(jì)算機(jī)系統(tǒng)是很困難的。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)284.4用戶認(rèn)證

4.4.1基于口令的認(rèn)證同樣，確認(rèn)用戶(訪問(wèn)者)的真實(shí)身份，解決訪問(wèn)者的物理身份和數(shù)字身份的一致性是網(wǎng)絡(luò)世界中要解決的安全問(wèn)題。因?yàn)橹挥兄缹?duì)方是誰(shuí)，數(shù)據(jù)的保密性、完整性和訪問(wèn)控制等才有意義。下面的討論主要基于計(jì)算機(jī)操作系統(tǒng)的應(yīng)用環(huán)境，在網(wǎng)絡(luò)環(huán)境中同樣適用。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)294.4用戶認(rèn)證

4.4.1基于口令的認(rèn)證一個(gè)基于口令的用戶身份鑒別基本過(guò)程2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)30用戶U認(rèn)證請(qǐng)求認(rèn)證系統(tǒng)S用戶ID密碼admin123456chenbo456789…………用戶信息安全意識(shí)不高，口令質(zhì)量不高。攻擊者運(yùn)用社會(huì)工程學(xué)，冒充合法用戶騙取口令。在輸入密碼時(shí)被鍵盤記錄器等盜號(hào)程序所記錄口令在傳輸過(guò)程中被攻擊者嗅探到?？诹钤跀?shù)據(jù)庫(kù)中明文存放。改進(jìn)鑒別質(zhì)量1．提高口令質(zhì)量1）增大口令空間。下面的公式給出了計(jì)算口令空間的方法：S=AM2）選用無(wú)規(guī)律的口令3）多個(gè)口令4）系統(tǒng)生成口令5）對(duì)用戶使用口令登錄時(shí)還采取更加嚴(yán)格的控制措施登錄時(shí)間限制。限制登錄次數(shù)。盡量減少會(huì)話透露的信息。增加認(rèn)證的信息量。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)31改進(jìn)鑒別質(zhì)量2．保護(hù)輸入口令安全控件實(shí)質(zhì)是一種小程序。由各網(wǎng)站依據(jù)需要自行編寫。當(dāng)該網(wǎng)站的注冊(cè)會(huì)員登錄該網(wǎng)站時(shí)，安全控件發(fā)揮作用，通過(guò)對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行加密，防止賬號(hào)密碼被木馬程序或病毒竊取，可以有效防止木馬截取鍵盤記錄。安全控件工作時(shí)，從客戶的登錄一直到注銷，實(shí)時(shí)做到對(duì)網(wǎng)站及客戶終端數(shù)據(jù)流的監(jiān)控。就目前而言，由于安全控件的保護(hù)，客戶的帳號(hào)及密碼還是相對(duì)安全的。要防止偽裝的安全控件。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)32改進(jìn)鑒別質(zhì)量3．加密存儲(chǔ)口令必須對(duì)存儲(chǔ)的口令實(shí)行訪問(wèn)控制，保證口令數(shù)據(jù)庫(kù)不被未授權(quán)用戶讀取或者修改。而且，無(wú)論采取何種訪問(wèn)控制機(jī)制，都應(yīng)對(duì)存儲(chǔ)的口令進(jìn)行加密，因?yàn)樵L問(wèn)控制有時(shí)可能被繞過(guò)。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)33改進(jìn)鑒別質(zhì)量4．口令傳輸安全在口令從用戶終端到認(rèn)證端的傳輸中，應(yīng)施加保護(hù)以應(yīng)對(duì)口令被截獲。4.3.2節(jié)中將介紹相關(guān)保護(hù)技術(shù)。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)34改進(jìn)鑒別質(zhì)量5．口令安全管理系統(tǒng)管理員應(yīng)擔(dān)負(fù)的職責(zé)包括：（1）初始化系統(tǒng)口令。系統(tǒng)中有一些標(biāo)準(zhǔn)用戶是事先在系統(tǒng)中注冊(cè)了的。在允許普通用戶訪問(wèn)系統(tǒng)之前，系統(tǒng)管理員應(yīng)能為所有標(biāo)準(zhǔn)用戶更改口令。（2）初始口令分配。系統(tǒng)管理員應(yīng)負(fù)責(zé)為每個(gè)用戶產(chǎn)生和分配初始口令，但要防止口令暴露給系統(tǒng)管理員。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)35改進(jìn)鑒別質(zhì)量5．口令安全管理用戶應(yīng)擔(dān)負(fù)的職責(zé)包括：（1）口令要自己記憶。為了安全起見，再?gòu)?fù)雜的口令都應(yīng)該自己記憶。（2）口令應(yīng)進(jìn)行周期性的改動(dòng)。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)36改進(jìn)鑒別質(zhì)量5．口令安全管理口令審計(jì)：系統(tǒng)應(yīng)對(duì)口令的使用和更改進(jìn)行審計(jì)。審計(jì)事件包括成功登錄、失敗嘗試、口令更改程序的使用、口令過(guò)期后上鎖的用戶賬號(hào)等。實(shí)時(shí)通知系統(tǒng)管理員。同一訪問(wèn)端口或使用同一用戶賬號(hào)連續(xù)5次(或其他閾值)以上的登錄失敗應(yīng)立即通知系統(tǒng)管理員。通知用戶。在成功登錄時(shí)，系統(tǒng)應(yīng)通知用戶以下信息：用戶上一次成功登錄的日期和時(shí)間、用戶登錄地點(diǎn)、從上一次成功登錄以后的所有失敗登錄。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)374.4用戶認(rèn)證

4.4.2一次性口令認(rèn)證在口令從用戶終端到認(rèn)證端的傳輸中，首先考慮引入散列函數(shù)。引入了新的安全問(wèn)題：重放攻擊2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)38用戶U認(rèn)證請(qǐng)求認(rèn)證系統(tǒng)S用戶ID密碼************************…………4.4用戶認(rèn)證

4.4.2一次性口令認(rèn)證一次性口令的基本原理是：在登錄過(guò)程中加入不確定因子，使用戶在每次登錄時(shí)產(chǎn)生的口令信息都不相同。認(rèn)證系統(tǒng)得到口令信息后通過(guò)相應(yīng)的算法驗(yàn)證用戶的身份。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)394.4用戶認(rèn)證

4.4.2一次性口令認(rèn)證實(shí)現(xiàn)方案一：時(shí)間同步該方案要求用戶和認(rèn)證服務(wù)器的時(shí)鐘必須嚴(yán)格一致，用戶持有時(shí)間令牌(動(dòng)態(tài)密碼生成器)，令牌內(nèi)置同步時(shí)鐘、秘密密鑰和加密算法。時(shí)間令牌根據(jù)同步時(shí)鐘和密鑰每隔一個(gè)單位時(shí)間(如一分鐘)產(chǎn)生一個(gè)動(dòng)態(tài)口令，用戶登錄時(shí)將令牌的當(dāng)前口令發(fā)送到認(rèn)證服務(wù)器，認(rèn)證服務(wù)器根據(jù)當(dāng)前時(shí)間和密鑰副本計(jì)算出口令，最后將認(rèn)證服務(wù)器計(jì)算出的口令和用戶發(fā)送的口令相比較，得出是否授權(quán)用戶的結(jié)論。該方案的難點(diǎn)在于需要解決好網(wǎng)絡(luò)延遲等不確定因素帶來(lái)的干擾，使口令在生命期內(nèi)順利到達(dá)認(rèn)證系統(tǒng)。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)404.4用戶認(rèn)證

4.4.2一次性口令認(rèn)證實(shí)現(xiàn)方案二：挑戰(zhàn)/響應(yīng)(Challenge/Response)用戶端首先向認(rèn)證端發(fā)出認(rèn)證請(qǐng)求，認(rèn)證端提示用戶輸入用戶ID等信息。認(rèn)證端選擇一個(gè)一次性隨機(jī)數(shù)X發(fā)送給客戶端。同時(shí)，認(rèn)證端根據(jù)用戶ID取出對(duì)應(yīng)的密鑰K后，利用發(fā)送給客戶機(jī)的隨機(jī)串X，在認(rèn)證端用加密引擎進(jìn)行運(yùn)算，得到運(yùn)算結(jié)果Es?？蛻舳顺绦蚋鶕?jù)輸入的隨機(jī)串X與產(chǎn)生的密鑰K得到一個(gè)加密運(yùn)算結(jié)果EU，此運(yùn)算結(jié)果將作為認(rèn)證的依據(jù)發(fā)送給認(rèn)證端。認(rèn)證端比較兩次運(yùn)算結(jié)果Es與EU是否相同，若相同，則鑒別為合法用戶。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)41用戶U認(rèn)證系統(tǒng)S認(rèn)證請(qǐng)求挑戰(zhàn)響應(yīng)鑒別結(jié)果4.4用戶認(rèn)證

4.4.2一次性口令認(rèn)證應(yīng)用1：使用“驗(yàn)證碼”實(shí)現(xiàn)一次性口令認(rèn)證。某客戶端用戶登錄界面上設(shè)置了“驗(yàn)證碼”輸入框，此驗(yàn)證碼是隨機(jī)值。這類驗(yàn)證碼通常稱為CAPTCHA(CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart，全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測(cè)試)，是一種主要區(qū)分用戶是計(jì)算機(jī)和人的自動(dòng)程序。這類驗(yàn)證碼的隨機(jī)性不僅可以防止口令猜測(cè)攻擊，還可以有效防止攻擊者對(duì)某一個(gè)特定注冊(cè)用戶用特定程序進(jìn)行不斷的登陸嘗試，例如防止刷票、惡意注冊(cè)、論壇灌水等。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)424.4用戶認(rèn)證

4.4.2一次性口令認(rèn)證應(yīng)用2：使用口令卡實(shí)現(xiàn)一次性口令認(rèn)證。每次用戶輸入不同動(dòng)態(tài)口令，防止了重放攻擊。該認(rèn)證過(guò)程方便靈活，對(duì)用戶端要求較少，不要求用戶端計(jì)算口令散列值和進(jìn)行數(shù)據(jù)加密，不需要在計(jì)算機(jī)上安裝任何軟件，每張口令卡都不一樣，并且每個(gè)口令卡在領(lǐng)用時(shí)會(huì)綁定用戶的銀行卡號(hào)，任何人不能使用他人的口令卡。當(dāng)口令卡中的口令使用完之后需要重新?lián)Q卡。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)434.4用戶認(rèn)證

4.4.2一次性口令認(rèn)證應(yīng)用2：使用口令卡實(shí)現(xiàn)一次性口令認(rèn)證。動(dòng)態(tài)口令機(jī)制簡(jiǎn)單，安全系數(shù)低于口令令牌(如U盾)。因此，一般口令卡對(duì)網(wǎng)上交易有金額限制，如果要進(jìn)行大額交易建議使用U盾之類的口令令牌。雖然用口令卡一次性成本低，但每張卡可用的次數(shù)有限，網(wǎng)銀使用次數(shù)越多，口令卡更換就越頻繁，累積成本較大。口令卡容易丟失。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)444.4用戶認(rèn)證

4.4.2一次性口令認(rèn)證應(yīng)用3：使用口令令牌實(shí)現(xiàn)一次性口令認(rèn)證令牌是一種能標(biāo)識(shí)其持有人身份的特殊物件。令牌必須與持有人之間是一一對(duì)應(yīng)的，要求令牌是惟一的和不能偽造的。口令令牌通常具有的結(jié)構(gòu)是：處理器、顯示屏幕、可選的小鍵盤、可選實(shí)時(shí)時(shí)鐘。每個(gè)口令令牌預(yù)編設(shè)了一個(gè)唯一數(shù)字，稱為隨機(jī)種子(RandomSeed)，隨機(jī)種子是保證口令令牌產(chǎn)生唯一輸出的基礎(chǔ)。用戶只有輸入正確的PIN之后，才能使用令牌，因此這種鑒別機(jī)制的安全性是基于雙因子的鑒別，即用戶既要知道PIN，又要擁有鑒別令牌。該機(jī)制同時(shí)使用了隨機(jī)挑戰(zhàn)，因此可以防止重放攻擊。對(duì)于網(wǎng)絡(luò)截獲者來(lái)說(shuō)，獲得的是用種子加密的隨機(jī)挑戰(zhàn)，不能非法得到種子值。因此這種鑒別機(jī)制的安全性相當(dāng)高。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)454.4用戶認(rèn)證

4.4.2一次性口令認(rèn)證應(yīng)用3：使用口令令牌實(shí)現(xiàn)一次性口令認(rèn)證服務(wù)器遭到攻擊后，用戶的種子值會(huì)暴露給攻擊者，造成鑒別的不安全性，需要對(duì)服務(wù)器中的用戶種子值進(jìn)行加密，以防止服務(wù)器攻擊。使用令牌的不方便性，用戶在使用令牌的時(shí)候要進(jìn)行三次輸入：首先要輸入PIN才能訪問(wèn)令牌；其次要從屏幕上閱讀隨機(jī)挑戰(zhàn)，并在令牌中輸入隨機(jī)數(shù)挑戰(zhàn)；最后要從令牌屏幕上閱讀加密的隨機(jī)挑戰(zhàn)，輸入到計(jì)算機(jī)終端然后發(fā)送給服務(wù)器，用戶在這個(gè)過(guò)程中很容易出錯(cuò)。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)464.4用戶認(rèn)證

4.4.2一次性口令認(rèn)證應(yīng)用4：使用智能卡實(shí)現(xiàn)一次性口令認(rèn)證智能卡是一種將具有加密、存儲(chǔ)、處理能力的集成電路芯片嵌裝于塑料基片上而制成的卡片。智能卡一般由微處理器、存儲(chǔ)器及輸入、輸出設(shè)施構(gòu)成。為防止智能卡遺失或被竊，許多系統(tǒng)需要智能卡和個(gè)人識(shí)別碼PIN同時(shí)使用。一個(gè)用戶在網(wǎng)絡(luò)終端上輸入自己的名字，當(dāng)系統(tǒng)提示他輸入口令時(shí)，把智能卡插入槽中并輸入其通行字，口令不以明文形式回顯，也不以明文方式傳輸，這是因?yàn)橹悄芸▽?duì)它加密的結(jié)果。在接收端對(duì)通行字進(jìn)行解密，身份得到確認(rèn)后，該用戶便可以進(jìn)行他希望的操作了。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)474.4用戶認(rèn)證

4.4.2一次性口令認(rèn)證應(yīng)用4：使用智能卡實(shí)現(xiàn)一次性口令認(rèn)證使用智能卡在線交易迅速并且簡(jiǎn)單，只需把智能卡插入與計(jì)算機(jī)相連的讀卡器，輸入用戶ID和PIN。在智能卡中存儲(chǔ)私鑰和數(shù)字證書，給用戶帶來(lái)了安全信息的輕便移動(dòng)性，智能卡可以方便地?cái)y帶，可以在任何地點(diǎn)進(jìn)行電子交易。智能卡的讀卡器也越來(lái)越普遍，有USB型的，也有PC卡型的，在Windows終端上也可設(shè)置智能卡插槽。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)484.4用戶認(rèn)證

4.4.3生物特征認(rèn)證傳統(tǒng)的用戶身份認(rèn)證機(jī)制有許多缺點(diǎn)。生物識(shí)別技術(shù)得到成功的應(yīng)用，身份鑒別機(jī)制才真正回歸到了對(duì)人類最原始的特性上?；谏锾卣鞯恼J(rèn)證技術(shù)具有傳統(tǒng)的身份認(rèn)證手段無(wú)法比擬的優(yōu)點(diǎn)。采用生物鑒別技術(shù)(Biometrics)，可不必再記憶和設(shè)置密碼，使用更加方便。生物特征鑒別技術(shù)已經(jīng)成為—種公認(rèn)的、最安全和最有效的身份認(rèn)證技術(shù)，將成為IT產(chǎn)業(yè)最為重要的技術(shù)革命。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)494.4用戶認(rèn)證

4.4.3生物特征認(rèn)證生物特征認(rèn)證，可以分為生理特征認(rèn)證和生物行為認(rèn)證。一些學(xué)者將生理特征認(rèn)證技術(shù)分為三類：高級(jí)生物識(shí)別技術(shù)，包括視網(wǎng)膜識(shí)別、虹膜識(shí)別和指紋識(shí)別等；次級(jí)生物識(shí)別技術(shù)，包括掌型識(shí)別、臉型識(shí)別、語(yǔ)音識(shí)別和簽名識(shí)別等；“深?yuàn)W的”生物識(shí)別技術(shù)，它包括血管紋理識(shí)別、人體氣味識(shí)別和DNA識(shí)別等。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)504.4用戶認(rèn)證

4.4.3生物特征認(rèn)證與傳統(tǒng)身份鑒定相比，生物識(shí)別技術(shù)具有以下特點(diǎn)：隨身性：生物特征是人體固有的特征，與人體是唯一綁定的，具有隨身性。安全性：人體特征本身就是個(gè)人身份的最好證明，滿足更高的安全需求。唯一性：每個(gè)人擁有的生物特征各不相同。穩(wěn)定性：生物特征如指紋、虹膜等人體特征不會(huì)隨時(shí)間等條件的變化而變化。廣泛性：每個(gè)人都具有這種特征。方便性：生物識(shí)別技術(shù)不需記憶密碼與攜帶使用特殊工具，不會(huì)遺失?？刹杉裕哼x擇的生物特征易于測(cè)量。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)514.4用戶認(rèn)證

4.4.3生物特征認(rèn)證基于生物特征的身份鑒別也有缺點(diǎn)，每次鑒別產(chǎn)生的樣本可能稍有不同。例如，在獲取用戶的指紋時(shí)，手指可能變臟，可能割破，或手指放在閱讀器上的位置不同，等等。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)524.4用戶認(rèn)證

4.4.3生物特征認(rèn)證在高安全等級(jí)需求的應(yīng)用中，最好將基于生物特征的身份認(rèn)證機(jī)制和其他用戶認(rèn)證機(jī)制結(jié)合起來(lái)使用，形成三因子鑒別機(jī)制。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)532023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)544.5訪問(wèn)控制用戶認(rèn)證解決的是：“你是誰(shuí)？你是否真的是你所聲稱的身份？”訪問(wèn)控制技術(shù)解決的是“你能做什么？你有什么樣的權(quán)限？”。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)554.5訪問(wèn)控制

4.5.1訪問(wèn)控制基本概念基本目標(biāo)都是防止非法用戶進(jìn)入系統(tǒng)和合法用戶對(duì)系統(tǒng)資源的非法使用。為了達(dá)到這個(gè)目標(biāo)，訪問(wèn)控制常以用戶身份認(rèn)證為前提，在此基礎(chǔ)上實(shí)施各種訪問(wèn)控制策略來(lái)控制和規(guī)范合法用戶在系統(tǒng)中的行為這些策略和規(guī)范，被稱為安全體系模型（或簡(jiǎn)稱為安全模型）。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)564.5訪問(wèn)控制

4.5.1訪問(wèn)控制基本概念1．訪問(wèn)控制的三要素主體(Subject)：訪問(wèn)操作的主動(dòng)發(fā)起者，但不一定是動(dòng)作的執(zhí)行者?？腕w(Object)：通常是指信息的載體或從其他主體或客體接收信息的實(shí)體。安全訪問(wèn)規(guī)則：用以確定一個(gè)主體是否對(duì)某個(gè)客體擁有某種訪問(wèn)權(quán)力。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)574.5訪問(wèn)控制

4.5.1訪問(wèn)控制基本概念2．引用監(jiān)視器和安全內(nèi)核訪問(wèn)控制機(jī)制的理論基礎(chǔ)是引用監(jiān)視器（ReferenceMonitor），由J.P.Anderson于1972年首次提出。引用監(jiān)視器是一個(gè)抽象的概念。引用監(jiān)視器借助訪問(wèn)數(shù)據(jù)庫(kù)控制主體到客體的每一次訪問(wèn)，并將重要的安全事件記入審計(jì)文件中。訪問(wèn)控制數(shù)據(jù)庫(kù)包含有關(guān)主體訪問(wèn)客體訪問(wèn)模式的信息。數(shù)據(jù)庫(kù)是動(dòng)態(tài)的，它會(huì)隨著主體和客體的產(chǎn)生或刪除及其權(quán)限的改變而改變。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)584.5訪問(wèn)控制

4.5.1訪問(wèn)控制基本概念在引用監(jiān)視器思想的基礎(chǔ)上，J.P.Anderson定義了安全內(nèi)核的概念。安全內(nèi)核是實(shí)現(xiàn)引用監(jiān)視器概念的一種技術(shù)。安全內(nèi)核可以由硬件和介于硬件與操作系統(tǒng)之間的一層軟件組成。安全內(nèi)核的軟件和硬件是可信的，處于安全邊界內(nèi)，而操作系統(tǒng)和應(yīng)用軟件均處于安全邊界之外。這里講的邊界，是指與系統(tǒng)安全有關(guān)和無(wú)關(guān)對(duì)象之間的一個(gè)想象的邊界。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)594.5訪問(wèn)控制

4.5.1訪問(wèn)控制基本概念3．基本的訪問(wèn)控制模型（1）訪問(wèn)控制矩陣(AccessControlMatrix，ACM)訪問(wèn)控制矩陣模型的基本思想就是將所有的訪問(wèn)控制信息存儲(chǔ)在一個(gè)矩陣中集中管理。當(dāng)前的訪問(wèn)控制模型一般都是在它的基礎(chǔ)上建立起來(lái)的。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)604.5訪問(wèn)控制

4.5.1訪問(wèn)控制基本概念3．基本的訪問(wèn)控制模型（2）訪問(wèn)控制表訪問(wèn)控制表機(jī)制實(shí)際上是按訪問(wèn)控制矩陣的列實(shí)施對(duì)系統(tǒng)中客體的訪問(wèn)控制。每個(gè)客體都有一張ACL，用于說(shuō)明可以訪問(wèn)該客體的主體及其訪問(wèn)權(quán)限。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)614.5訪問(wèn)控制

4.5.1訪問(wèn)控制基本概念3．基本的訪問(wèn)控制模型（3）能力表能力表保護(hù)機(jī)制實(shí)際上是按訪問(wèn)控制矩陣的行實(shí)施對(duì)系統(tǒng)中客體的訪問(wèn)控制。每個(gè)主體都有一張能力表，用于說(shuō)明可以訪問(wèn)的客體及其訪問(wèn)權(quán)限。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)624.5訪問(wèn)控制

4.5.1訪問(wèn)控制基本概念兩個(gè)問(wèn)題構(gòu)成了訪問(wèn)控制的基礎(chǔ)：1）對(duì)于給定主體，它能訪問(wèn)哪些客體以及如何訪問(wèn)？2）對(duì)于給定客體，哪些主體能訪問(wèn)它以及如何訪問(wèn)？對(duì)于第1個(gè)問(wèn)題，使用能力表回答最為簡(jiǎn)單，只需要列出與主體相關(guān)聯(lián)的cap表中的元素即可。對(duì)于第2個(gè)問(wèn)題，使用訪問(wèn)控制表ACL回答最為簡(jiǎn)單，只需列出與客體相關(guān)聯(lián)的acl表中的元素即可。人們可能更關(guān)注第2個(gè)問(wèn)題，因此，現(xiàn)今大多數(shù)主流的操作系統(tǒng)都把ACL作為主要的訪問(wèn)控制機(jī)制。這種機(jī)制也可以擴(kuò)展到分布式系統(tǒng)，ACL由文件服務(wù)器維護(hù)。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)634.5訪問(wèn)控制

4.5.2自主訪問(wèn)控制由客體的屬主對(duì)自己的客體進(jìn)行管理，由屬主自己決定是否將自己客體的訪問(wèn)權(quán)或部分訪問(wèn)權(quán)授予其他主體，這種控制方式是自主的，我們把它稱為自主訪問(wèn)控制(DAC，DiscretionaryAccessControl)。在自主訪問(wèn)控制下，一個(gè)用戶可以自主選擇哪些用戶可以共享他的文件。訪問(wèn)控制表ACL、能力表是實(shí)現(xiàn)DAC策略的基本數(shù)據(jù)結(jié)構(gòu)在DAC模式下，有3種控制許可權(quán)手段：層次型、屬主型和自由型。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)644.5訪問(wèn)控制

4.5.3強(qiáng)制訪問(wèn)控制DAC機(jī)制的缺陷允許用戶自主地轉(zhuǎn)授訪問(wèn)權(quán)，這是系統(tǒng)不安全的隱患。系統(tǒng)無(wú)法區(qū)分是用戶合法的修改還是木馬程序的非法修改；無(wú)法防止木馬程序利用共享客體或隱蔽信道傳送信息。無(wú)法解決因用戶無(wú)意（如程序錯(cuò)誤、某些誤操作等）或不負(fù)責(zé)任的操作而造成的敏感信息的泄漏問(wèn)題。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)654.5訪問(wèn)控制

4.5.3強(qiáng)制訪問(wèn)控制強(qiáng)制訪問(wèn)控制最早出現(xiàn)在20世紀(jì)70年代。是美國(guó)政府和軍方源于對(duì)信息保密性的要求以及防止特洛伊木馬之類的攻擊而研發(fā)的。MAC是一種基于安全級(jí)標(biāo)簽的訪問(wèn)控制方法，通過(guò)分級(jí)的安全標(biāo)簽實(shí)現(xiàn)信息從下向上的單向流動(dòng)，從而防止高密級(jí)信息的泄露。在MAC中，對(duì)于主體和客體，系統(tǒng)為每個(gè)實(shí)體指派一個(gè)安全級(jí)，安全級(jí)由兩部分組成：1）保密級(jí)別(Classification，或叫做敏感級(jí)別或級(jí)別)。2）范疇集(Categories)。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)664.5訪問(wèn)控制

4.5.3強(qiáng)制訪問(wèn)控制安全級(jí)中包括一個(gè)保密級(jí)別，范疇集包含任意多個(gè)范疇。安全級(jí)通常寫作保密級(jí)別后隨范疇集的形式。例如：{機(jī)密：人事處，財(cái)務(wù)處，科技處}。安全級(jí)的集合形成一個(gè)滿足偏序關(guān)系的格(Lattice)，此偏序關(guān)系稱為支配(Dominate)，通常用符號(hào)“>”表示，它類似于“大于或等于”的含義。對(duì)于任意兩個(gè)安全級(jí)Si=(li,Ci)和Sj=(lj,Cj)，若Si支配Sj(Si>Sj)，當(dāng)且僅當(dāng)li>lj，且Ci包含Cj。如果兩個(gè)安全級(jí)的范疇互不包含，則這兩個(gè)安全級(jí)不可比。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)674.5訪問(wèn)控制

4.5.3強(qiáng)制訪問(wèn)控制在一個(gè)系統(tǒng)中實(shí)現(xiàn)MAC機(jī)制，最主要的是要做到兩條：1）對(duì)系統(tǒng)中的每一個(gè)主體與客體，都要根據(jù)總體安全策略與需求分配一個(gè)特殊的安全級(jí)別。該安全級(jí)別能夠反映該主體或客體的敏感等級(jí)和訪問(wèn)權(quán)限，并把它以標(biāo)簽的形式和這個(gè)主體或客體緊密相連而無(wú)法分開。這些安全屬性是不能輕易改變的，它由管理部門(如安全管理員)或由操作系統(tǒng)自動(dòng)按照嚴(yán)格的規(guī)則來(lái)設(shè)置，不像DAC那樣可以由用戶或他們的程序直接或間接修改。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)684.5訪問(wèn)控制

4.5.3強(qiáng)制訪問(wèn)控制在一個(gè)系統(tǒng)中實(shí)現(xiàn)MAC機(jī)制，最主要的是要做到兩條：2）當(dāng)一個(gè)主體訪問(wèn)一個(gè)客體時(shí)，調(diào)用強(qiáng)制訪問(wèn)控制機(jī)制，比較主體和客體的安全級(jí)別，從而確定是否允許主體訪問(wèn)客體。在MAC機(jī)制下，即使是客體的擁有者也沒(méi)有對(duì)自己客體的控制權(quán)，也沒(méi)有權(quán)利向別的主體轉(zhuǎn)授對(duì)自己客體的訪問(wèn)權(quán)。即使是系統(tǒng)安全管理員修改、授予或撤銷主體對(duì)某客體的訪問(wèn)權(quán)的管理工作也要受到嚴(yán)格的審核與監(jiān)控。有了MAC控制后，可以極大地減少因用戶的無(wú)意性(如程序錯(cuò)誤或某些誤操作)泄漏敏感信息的可能性。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)694.5訪問(wèn)控制

4.5.3強(qiáng)制訪問(wèn)控制2．加強(qiáng)保密性的強(qiáng)制訪問(wèn)控制模型BLP模型有兩條基本的規(guī)則規(guī)則1：不能向上讀(No-Read-Up)，也稱為簡(jiǎn)單安全特性。如果一個(gè)主體的安全級(jí)支配客體的安全級(jí)，則主體可讀客體，即主體只能向下讀，不能向上讀。規(guī)則2：不能向下寫(No-Write-Down)，也稱為*特性。如果一個(gè)客體的安全級(jí)支配主體的安全級(jí)，則主體可寫客體，即主體只能向上寫，不能向下寫。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)704.5訪問(wèn)控制

4.5.3強(qiáng)制訪問(wèn)控制3.加強(qiáng)完整性的強(qiáng)制訪問(wèn)控制模型Biba模型設(shè)計(jì)類似于BLP模型，不過(guò)使用完整性級(jí)別而非信息安全級(jí)別來(lái)進(jìn)行劃分。Biba模型規(guī)定，信息只能從高完整性的安全等級(jí)向低完整性的安全等級(jí)流動(dòng)，就是要防止低完整性的信息“污染”高完整性的信息。Biba模型只能夠?qū)崿F(xiàn)信息完整性中防止數(shù)據(jù)被未授權(quán)用戶修改這一要求。而對(duì)于保護(hù)數(shù)據(jù)不被授權(quán)用戶越權(quán)修改、維護(hù)數(shù)據(jù)的內(nèi)部和外部一致性這兩項(xiàng)數(shù)據(jù)完整性要求卻無(wú)法做到。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)714.5訪問(wèn)控制

4.5.3強(qiáng)制訪問(wèn)控制3.加強(qiáng)完整性的強(qiáng)制訪問(wèn)控制模型Clark-Wilson模型的特點(diǎn)有以下幾個(gè)方面：采用主體(Subject)/事務(wù)(Program)/客體(Object)三元素的組成方式，主體要訪問(wèn)客體只能通過(guò)程序進(jìn)行。權(quán)限分離原則。將關(guān)鍵功能分為由兩個(gè)或多個(gè)主體完成，防止已授權(quán)用戶進(jìn)行未授權(quán)的修改。要求具有審計(jì)能力(Auditing)。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)724.5訪問(wèn)控制

4.5.3強(qiáng)制訪問(wèn)控制3.加強(qiáng)完整性的強(qiáng)制訪問(wèn)控制模型Dion模型結(jié)合BLP模型中保護(hù)數(shù)據(jù)保密性的策略和Biba模型中保護(hù)數(shù)據(jù)完整性的策略，模型中的每一個(gè)客體和主體被賦予一個(gè)安全級(jí)別和完整性級(jí)別，安全級(jí)別定義同BLP模型，完整性級(jí)別定義同Biba模型，因此，可以有效地保護(hù)數(shù)據(jù)的保密性和完整性。ChinaWall模型和上述的安全模型不同，它主要用于可能存在利益沖突的多邊應(yīng)用體系中。比如在某個(gè)領(lǐng)域有兩個(gè)競(jìng)爭(zhēng)對(duì)手同時(shí)選擇了一個(gè)投資銀行作為他們的服務(wù)機(jī)構(gòu)，而這個(gè)銀行出于對(duì)這兩個(gè)客戶的商業(yè)機(jī)密的保護(hù)就只能為其中一個(gè)客戶提供服務(wù)。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)734.5訪問(wèn)控制

4.5.4基于角色的訪問(wèn)控制由于DAC和MAC授權(quán)時(shí)需要對(duì)系統(tǒng)中的所有用戶進(jìn)行一維的權(quán)限管理，因此不能適應(yīng)大型系統(tǒng)中數(shù)量龐大的用戶管理和權(quán)限管理的需求。20世紀(jì)90年代以來(lái)，隨著對(duì)在線的多用戶、多系統(tǒng)的研究不斷深入，角色的概念逐漸形成，并逐步產(chǎn)生了基于角色的訪問(wèn)控制RBAC(Role-BasedAccessControl)模型這一訪問(wèn)控制模型已被廣為應(yīng)用。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)744.5訪問(wèn)控制

4.5.4基于角色的訪問(wèn)控制基于角色訪問(wèn)控制的核心思想是將權(quán)限同角色關(guān)聯(lián)起來(lái)，而用戶的授權(quán)則通過(guò)賦予相應(yīng)的角色來(lái)完成，用戶所能訪問(wèn)的權(quán)限由該用戶所擁有的所有角色的權(quán)限集合的并集決定。當(dāng)用戶機(jī)構(gòu)或權(quán)限發(fā)生變動(dòng)時(shí)，可以很靈活地將該用戶從一個(gè)角色移到另一個(gè)角色來(lái)實(shí)現(xiàn)權(quán)限的協(xié)調(diào)轉(zhuǎn)換，降低了管理的復(fù)雜度，另外在組織機(jī)構(gòu)發(fā)生職能性改變時(shí)，應(yīng)用系統(tǒng)只需要對(duì)角色進(jìn)行重新授權(quán)或取消某些權(quán)限，就可以使系統(tǒng)重新適應(yīng)需要。與用戶相比角色是相對(duì)穩(wěn)定的。這里的角色就充當(dāng)著主體(用戶)和客體之間的關(guān)系的橋梁2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)754.5訪問(wèn)控制

4.5.4基于角色的訪問(wèn)控制角色由系統(tǒng)管理員定義，角色成員的增減也只能由系統(tǒng)管理員來(lái)執(zhí)行，即只有系統(tǒng)管理員有權(quán)定義和分配角色。用戶與客體無(wú)直接聯(lián)系，他只有通過(guò)角色才享有該角色所對(duì)應(yīng)的權(quán)限，從而訪問(wèn)相應(yīng)的客體。RBAC與DAC的根本區(qū)別在于：用戶不能自主地將訪問(wèn)權(quán)限授給別的用戶。RBAC與MAC的區(qū)別在于：MAC是基于多級(jí)安全需求的，而RBAC則不是。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)764.5訪問(wèn)控制

4.5.4基于角色的訪問(wèn)控制RBAC核心模型中包含了五個(gè)基本靜態(tài)集合：用戶集(Users)、角色集(Roles)、對(duì)象集(Objects)、操作集(Operators)和權(quán)限集(Perms)，以及一個(gè)運(yùn)行過(guò)程中動(dòng)態(tài)維護(hù)的集合——會(huì)話集(Sessions)2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)774.5訪問(wèn)控制

4.5.4基于角色的訪問(wèn)控制RBAC的特點(diǎn)便于授權(quán)管理便于根據(jù)工作需要分級(jí)便于賦予最小權(quán)限便于任務(wù)分擔(dān)便于文件分級(jí)管理便于大規(guī)模實(shí)現(xiàn)2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)784.5訪問(wèn)控制

4.5.5新型訪問(wèn)控制1．基于任務(wù)的訪問(wèn)控制(TBAC)該模型的基本思想是：授予給用戶的訪問(wèn)權(quán)限，不僅僅依賴主體、客體，還依賴于主體當(dāng)前執(zhí)行的任務(wù)及任務(wù)的狀態(tài)。當(dāng)任務(wù)處于活動(dòng)狀態(tài)時(shí)，主體擁有訪問(wèn)權(quán)限；一旦任務(wù)被掛起，主體擁有的訪問(wèn)權(quán)限就被凍結(jié)；如果任務(wù)恢復(fù)執(zhí)行，主體將重新?lián)碛性L問(wèn)權(quán)限；任務(wù)處于終止?fàn)顟B(tài)時(shí)，主體擁有的權(quán)限馬上被撤銷。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)794.5訪問(wèn)控制

4.5.5新型訪問(wèn)控制2．基于對(duì)象的訪問(wèn)控制(OBAC)控制策略和控制規(guī)則是基于對(duì)象訪問(wèn)控制系統(tǒng)的核心所在，在OBAC模型中，將訪問(wèn)控制列表與受控對(duì)象或受控對(duì)象的屬性相關(guān)聯(lián)，并將訪問(wèn)控制選項(xiàng)設(shè)計(jì)成為用戶、組或角色及其對(duì)應(yīng)權(quán)限的集合；同時(shí)允許對(duì)策略和規(guī)則進(jìn)行重用、繼承和派生操作。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)804.6其他安全機(jī)制最小權(quán)限管理最小權(quán)限管理的思想是系統(tǒng)不應(yīng)給用戶/管理員超過(guò)執(zhí)行任務(wù)所需權(quán)限以外的權(quán)限如將超級(jí)用戶的權(quán)限劃分為一組細(xì)粒度的權(quán)限，分別授予不同的系統(tǒng)操作員/管理員，使各種系統(tǒng)操作員/管理員只具有完成其任務(wù)所需的權(quán)限，從而減少由于權(quán)限用戶口令丟失或錯(cuò)誤軟件、惡意軟件、誤操作所引起的損失。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)814.6其他安全機(jī)制可信路徑在計(jì)算機(jī)系統(tǒng)中，用戶是通過(guò)不可信的中間應(yīng)用層和操作系統(tǒng)相互作用的。但用戶登錄、定義用戶的安全屬性、改變文件的安全級(jí)等操作，用戶必須確實(shí)與安全核心通信，而不是與一個(gè)特洛伊木馬打交道。系統(tǒng)必須防止特洛伊木馬模仿登錄過(guò)程，竊取用戶的口令。權(quán)限用戶在進(jìn)行權(quán)限操作時(shí)，也要有辦法證實(shí)從終端上輸出的信息是正確的，而不是來(lái)自于特洛伊木馬。這些都需要一個(gè)機(jī)制保障用戶和內(nèi)核的通信，這種機(jī)制就是由可信路徑提供的。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)824.6其他安全機(jī)制可信路徑在計(jì)算機(jī)系統(tǒng)中，用戶是通過(guò)不可信的中間應(yīng)用層和操作系統(tǒng)相互作用的。但用戶登錄、定義用戶的安全屬性、改變文件的安全級(jí)等操作，用戶必須確實(shí)與安全核心通信，而不是與一個(gè)特洛伊木馬打交道。系統(tǒng)必須防止特洛伊木馬模仿登錄過(guò)程，竊取用戶的口令。權(quán)限用戶在進(jìn)行權(quán)限操作時(shí)，也要有辦法證實(shí)從終端上輸出的信息是正確的，而不是來(lái)自于特洛伊木馬。這些都需要一個(gè)機(jī)制保障用戶和內(nèi)核的通信，這種機(jī)制就是由可信路徑提供的。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)834.6其他安全機(jī)制可信路徑對(duì)用戶建立可信路徑的一種現(xiàn)實(shí)方法是使用通用終端發(fā)信號(hào)給核心，這個(gè)信號(hào)是不可信軟件不能攔截、覆蓋或偽造的。一般稱這個(gè)信號(hào)為“安全注意鍵”。早先實(shí)現(xiàn)可信路徑的做法是通過(guò)終端上的一些由內(nèi)核控制的特殊信號(hào)或屏幕上空出的特殊區(qū)域，用于和內(nèi)核的通信。例如“安全桌面”2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)844.6其他安全機(jī)制審計(jì)一個(gè)系統(tǒng)的安全審計(jì)就是對(duì)系統(tǒng)中有關(guān)安全的活動(dòng)進(jìn)行記錄、檢查及審核。主要目的就是檢測(cè)和阻止非法用戶對(duì)計(jì)算機(jī)系統(tǒng)的入侵，并顯示合法用戶的誤操作。審計(jì)作為一種事后追查的手段來(lái)保證系統(tǒng)的安全，它對(duì)涉及系統(tǒng)安全的操作做一個(gè)完整的記錄。審計(jì)為系統(tǒng)進(jìn)行事故原因的查詢、定位，事故發(fā)生前的預(yù)測(cè)、報(bào)警以及事故發(fā)生之后的實(shí)時(shí)處理提供詳細(xì)、可靠的依據(jù)和支持，以備有違反系統(tǒng)安全規(guī)則的事件發(fā)生后能夠有效地追查事件發(fā)生的地點(diǎn)和過(guò)程以及責(zé)任人。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)854.7Windows系統(tǒng)安全

4.7.1Windows系統(tǒng)安全等級(jí)TCSEC把計(jì)算機(jī)系統(tǒng)的安全分為A、B、C、D四個(gè)大等級(jí)七個(gè)安全級(jí)別。按照安全程度由弱到強(qiáng)的排列順序是：D，C1，C2，B1，B2，B3，A1。CC由低到高共分EAL1-EAL7七個(gè)級(jí)別。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)864.7Windows系統(tǒng)安全

4.7.1Windows系統(tǒng)安全等級(jí)TCSEC中C2安全等級(jí)的關(guān)鍵要求，雖然TCSEC已經(jīng)被CC所取代，但是現(xiàn)在它們?nèi)匀槐徽J(rèn)為是任何一個(gè)安全操作系統(tǒng)的核心要求。1）安全的登錄設(shè)施。要求用戶被唯一識(shí)別，而且只有當(dāng)他們通過(guò)某種方式被認(rèn)證身份以后，才能被授予對(duì)該計(jì)算機(jī)的訪問(wèn)權(quán)。2）自主訪問(wèn)控制。資源的所有者可以為單個(gè)用戶或一組用戶授予各種訪問(wèn)權(quán)限。3）安全審計(jì)。要具有檢測(cè)和記錄與安全相關(guān)事件的能力。例如，記錄創(chuàng)建、訪問(wèn)或刪除系統(tǒng)資源的操作行為。4）對(duì)象重用保護(hù)。在將一個(gè)對(duì)象，如文件和內(nèi)存分配給一個(gè)用戶之前，對(duì)它進(jìn)行初始化，以防止用戶看到其他用戶已經(jīng)刪除的數(shù)據(jù)，或者訪問(wèn)到其他用戶原先使用后來(lái)又釋放的內(nèi)存。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)874.7Windows系統(tǒng)安全

4.7.1Windows系統(tǒng)安全等級(jí)Windows也滿足TCSEC中B等級(jí)安全性的兩個(gè)要求：1）可信路徑功能。防止特洛伊木馬程序在用戶登錄時(shí)截獲用戶的用戶名和口令。在Windows中，例如，通過(guò)<Ctrl+Alt+Del>組合鍵序列來(lái)實(shí)現(xiàn)可信路徑功能。<Ctrl+Alt+Del>是系統(tǒng)默認(rèn)的系統(tǒng)登錄/注銷組合鍵序列，系統(tǒng)級(jí)別很高，理論上木馬程序想要屏蔽掉該鍵序列的響應(yīng)或得到這個(gè)事件響應(yīng)是不可能的。2）可信設(shè)施管理。要求針對(duì)各種管理功能有單獨(dú)的賬戶角色。例如，針對(duì)管理員、負(fù)責(zé)計(jì)算機(jī)備份的用戶和標(biāo)準(zhǔn)用戶分別提供單獨(dú)的賬戶。Windows通過(guò)它的安全子系統(tǒng)和相關(guān)的組件來(lái)滿足以上所有這些要求的。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)884.7Windows系統(tǒng)安全

4.7.2Windows系統(tǒng)安全機(jī)制1.Windows認(rèn)證機(jī)制（1）本地登錄本地登錄指用戶登錄的是本地計(jì)算機(jī)，對(duì)網(wǎng)絡(luò)資源不具備訪問(wèn)權(quán)力。本地登錄所使用的用戶名與密碼被存儲(chǔ)在本地計(jì)算機(jī)的安全賬戶管理器(SAM)中，由計(jì)算機(jī)完成本地登錄驗(yàn)證，提交登錄憑證包括用戶ID與口令。本地計(jì)算機(jī)的安全子系統(tǒng)將用戶ID與口令送到本地計(jì)算機(jī)上的SAM數(shù)據(jù)庫(kù)中做憑證驗(yàn)證。這里需要注意的是，Windows的口令不是以純文本格式存儲(chǔ)在SAM數(shù)據(jù)庫(kù)中的，而是每個(gè)口令利用散列算法進(jìn)行存儲(chǔ)。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)894.7Windows系統(tǒng)安全

4.7.2Windows系統(tǒng)安全機(jī)制1.Windows認(rèn)證機(jī)制（1）本地登錄針對(duì)SAM進(jìn)行破解的工具有很多，其中“惡名昭著”的有L0phtCrack(LC)、Cain&Abel等。如果操作系統(tǒng)的SAM數(shù)據(jù)庫(kù)出現(xiàn)問(wèn)題，將面臨無(wú)法完成身份認(rèn)證、無(wú)法登錄操作系統(tǒng)、用戶密碼丟失的情況。所以，保護(hù)SAM數(shù)據(jù)的安全就顯得尤為重要。使用SysKey是一個(gè)很好的選擇，讀者可自行完成SysKey的配置。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)904.7Windows系統(tǒng)安全

4.7.2Windows系統(tǒng)安全機(jī)制1.Windows認(rèn)證機(jī)制（2）基于活動(dòng)目錄的域登錄基于活動(dòng)目錄的域登錄與本地登錄的方式完全不同。首先，所有的用戶登錄憑證(用戶ID與口令)被集中地存放到一臺(tái)服務(wù)器上，結(jié)束了分散式驗(yàn)證的行為。該過(guò)程必須使用網(wǎng)絡(luò)身份驗(yàn)證協(xié)議，這些協(xié)議包括Kerberos、LAN管理器(LM)、NTLAN管理器(NTLM)等，而且這些過(guò)程對(duì)于用戶而言是透明的。從某種意義上講，這真正做到了統(tǒng)一驗(yàn)證、一次登錄、多次訪問(wèn)。2023/2/3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第3版)914.7Windows系統(tǒng)安全

4.7.2Windows系統(tǒng)安全機(jī)制2.Windows訪問(wèn)控制機(jī)制Windows的訪問(wèn)控制策略是基于自主訪問(wèn)控制的Windows利用安全子系統(tǒng)來(lái)控制用戶對(duì)計(jì)算機(jī)上資源的訪問(wèn)。安全子系統(tǒng)包括的關(guān)鍵組件是：安全性標(biāo)識(shí)符(SID)、訪問(wèn)令牌(AccessToken)、安全描述符(SecurityDescriptor)、訪問(wèn)控制列表(AccessControlList)、訪問(wèn)控制項(xiàng)(AccessControlEntry)、安全引用監(jiān)視器(SecurityReferenceMonitor