第2章-安全機(jī)制教學(xué)課件

操作系統(tǒng)的安全性物理上分離:要求進(jìn)程使用不同的物理實(shí)體時(shí)間上分離:具有不同安全要求的進(jìn)程在不同的時(shí)間運(yùn)行邏輯上分離:操作系統(tǒng)通過限制程序的存取,使得程序不能存取其允許范圍外的實(shí)體密碼上分離:進(jìn)程以一種其他進(jìn)程不可知的方式隱藏?cái)?shù)據(jù)及計(jì)算操作系統(tǒng)安全的主要目標(biāo)依據(jù)系統(tǒng)安全策略對(duì)用戶的操作進(jìn)行存取控制,防止用戶對(duì)計(jì)算機(jī)資源的非法存取標(biāo)識(shí)系統(tǒng)中的用戶并進(jìn)行身份鑒別監(jiān)督系統(tǒng)運(yùn)行的安全性保證系統(tǒng)自身的安全性和完整性安全機(jī)制安全機(jī)制是一種技術(shù)、一些軟件或?qū)嵤┮粋€(gè)或更多安全服務(wù)的過程安全機(jī)制可分為：1、特殊安全機(jī)制：在同一時(shí)間只對(duì)一種安全服務(wù)上實(shí)施一種技術(shù)或軟件2、普遍安全機(jī)制：列出在同時(shí)實(shí)施一個(gè)或多個(gè)安全服務(wù)時(shí)的執(zhí)行過程（不能應(yīng)用到OSI參考模型的任一層上）普遍的安全機(jī)制信任的功能性：指任何加強(qiáng)現(xiàn)有機(jī)制的執(zhí)行過程事件檢測(cè)：檢查和報(bào)告本地或遠(yuǎn)程發(fā)生的事件審計(jì)跟蹤：任何機(jī)制都允許監(jiān)視和記錄與安全有關(guān)的活動(dòng)安全恢復(fù)：對(duì)一些事件作出反應(yīng)，包括對(duì)于已知漏洞創(chuàng)建短期和長(zhǎng)期的解決方案和對(duì)受危害系統(tǒng)的修復(fù)2.1標(biāo)識(shí)與鑒別機(jī)制標(biāo)識(shí)：是用戶要向系統(tǒng)表明的身份；是系統(tǒng)為用戶分配唯一的用戶標(biāo)識(shí)符鑒別：對(duì)用戶所宣稱的身份標(biāo)識(shí)的有效性進(jìn)行校驗(yàn)和測(cè)試的過程。將用戶與用戶標(biāo)識(shí)符聯(lián)系的過程授權(quán)：系統(tǒng)向用戶賦予的對(duì)目標(biāo)的操作的權(quán)力和特權(quán)用戶聲明身份的方法證實(shí)你所知道的密碼驗(yàn)證、身份證號(hào)碼等出示你所擁有的智能卡、內(nèi)存卡等證明你是誰指紋、視網(wǎng)膜樣本、照片等表現(xiàn)你的動(dòng)作簽名、語速等口令機(jī)制是身份鑒別中最常用也是最弱的鑒別機(jī)制脆弱性表現(xiàn)1、用戶經(jīng)常使用易記的內(nèi)容作為口令2、系統(tǒng)隨機(jī)產(chǎn)生的口令難以記憶3、口令的傳遞會(huì)以明文的方式進(jìn)行4、有很多手段可以獲得用戶口令5、比較簡(jiǎn)單的口令通過暴力攻擊可以破解口令的選取不使用有意義的能夠標(biāo)識(shí)自己身份的詞或短語作為口令不要使用字典中的詞、常用短語或行業(yè)縮寫等作為口令應(yīng)該使用非標(biāo)準(zhǔn)的大寫和拼寫方法應(yīng)該使用大小寫和數(shù)字混合的方法選取口令口令的質(zhì)量口令空間公式：S=G/PG=L*R（L代表口令的最大有效期，R代表單位時(shí)間內(nèi)可能的口令猜測(cè)數(shù)，P代表口令有效期內(nèi)被猜出的可能性）口令加密算法使用系統(tǒng)名或用戶賬號(hào)作為加密因素口令長(zhǎng)度口令計(jì)算公式：M=logAS（A代表字母表中字母?jìng)€(gè)數(shù)，S是口令空間）破解密碼的方法社會(huì)工程學(xué)方法字典程序攻擊口令文件竊取暴力破解口令管理當(dāng)用戶在系統(tǒng)注冊(cè)時(shí)，必須賦予用戶口令用戶口令必須定期更改系統(tǒng)必須維護(hù)一個(gè)口令數(shù)據(jù)庫用戶必須記憶自身的口令在系統(tǒng)認(rèn)證用戶時(shí)，用戶必須輸入口令系統(tǒng)管理員應(yīng)負(fù)的職責(zé)初始化系統(tǒng)口令初始口令分配口令更改認(rèn)證用戶ID使用戶ID重新生效培訓(xùn)用戶口令機(jī)制的實(shí)現(xiàn)口令的存儲(chǔ)口令的傳輸賬戶閉鎖賬戶管理用戶安全屬性審計(jì)實(shí)時(shí)通知系統(tǒng)管理員通知用戶生物鑒別方法應(yīng)該保證對(duì)世界上的每一個(gè)人提供絕對(duì)惟一的身份標(biāo)識(shí)為保證鑒別的準(zhǔn)確性，鑒別設(shè)備必須能夠讀取非常精確的信息用戶的生物測(cè)定因素必須被取樣并且存儲(chǔ)在鑒別設(shè)備的數(shù)據(jù)庫中如果使用的生物測(cè)定因素其特性隨時(shí)間而變化，則取樣必須定期重新進(jìn)行對(duì)認(rèn)證機(jī)制的要求在進(jìn)行任何需要TCB仲裁的操作之前，TCB都應(yīng)該要求用戶標(biāo)識(shí)他們自己TCB必須維護(hù)認(rèn)證數(shù)據(jù)，包括證實(shí)用戶身份的信息以及決定用戶策略屬性的信息TCB保護(hù)認(rèn)證數(shù)據(jù)，防止被非法用戶使用TCB應(yīng)能維護(hù)、保護(hù)、顯示所有活動(dòng)用戶和所有用戶賬戶的狀態(tài)信息一旦口令被用做一種保護(hù)機(jī)制，應(yīng)該滿足一定條件訪問控制基本概念授權(quán)：系統(tǒng)為用戶授予權(quán)限、安全級(jí)等，確定可給予哪些主體存取客體的權(quán)力訪問控制機(jī)制的目的：

1、保護(hù)存儲(chǔ)在計(jì)算機(jī)上的個(gè)人信息2、保護(hù)重要信息的機(jī)密性3、維護(hù)計(jì)算機(jī)內(nèi)信息的完整性4、減少病毒感染機(jī)會(huì)，從而延緩這種感染的傳播5、保證系統(tǒng)的安全性和有效性，以免受到偶然的和蓄意的侵犯訪問控制機(jī)制的實(shí)行確定要保護(hù)的資源。確定系統(tǒng)中被處理、被控制或被訪問的對(duì)象授權(quán)。規(guī)定可以訪問資源的實(shí)體或主體確定訪問權(quán)限。規(guī)定可以對(duì)該資源執(zhí)行的動(dòng)作實(shí)施訪問權(quán)限。通過確定每個(gè)實(shí)體可以對(duì)哪些資源執(zhí)行哪些動(dòng)作來確定該安全方案訪問控制技術(shù)自主訪問控制技術(shù)（DiscretionaryAccessControl,DAC）強(qiáng)制訪問控制技術(shù)（mandatoryAccessControl,MAC）基于角色的訪問控制技術(shù)（Role-basedAccessControl,RBAC）自主訪問控制系統(tǒng)允許客體的所有者或建立者控制和定義主體對(duì)客體的訪問，即訪問控制是基于擁有者的自由處理。1、用戶可以自主地說明自己所擁有的資源允許系統(tǒng)中哪些用戶以何種權(quán)限進(jìn)行共享2、對(duì)其他具有授權(quán)能力的用戶，能夠自主地將訪問權(quán)或訪問權(quán)的某個(gè)子集授予另外的用戶DAC的實(shí)現(xiàn)系統(tǒng)通常保存訪問存取矩陣實(shí)現(xiàn)自主存取控制（行為主體，列為客體）。實(shí)際的方法是基于行或列。1、基于行的自主訪問控制機(jī)制2、基于列的自主訪問控制機(jī)制基于行的自主訪問控制在每個(gè)主體上附加一個(gè)該主體可以訪問的客體的明細(xì)表明細(xì)表中的信息可分為三種形式：1、能力表（capabilitieslist）：存放用戶對(duì)客體進(jìn)行訪問的模式（讀、寫、執(zhí)行、不允許），主體按照模式訪問客體。能力可傳遞也可收回。2、前綴表（profiles）：存放受保護(hù)客體名及主體的訪問權(quán)限。3、口令（password）：每個(gè)客體有個(gè)口令，主體的訪問應(yīng)提供口令，系統(tǒng)檢查是否匹配，從而決定是否允許訪問?；诹械淖灾髟L問控制指每個(gè)客體附加一個(gè)可訪問它的主體明細(xì)表。兩種形式：1、保護(hù)位（ProtectionBits）：對(duì)所有的主體、主體組、客體的擁有者指明一個(gè)訪問模式集合。2、訪問控制表（AccessControlList,ACL）：每個(gè)客體附加一個(gè)主體明細(xì)表，每個(gè)表項(xiàng)包括主體身份及訪問權(quán)限。ACL結(jié)構(gòu)ID1.rxID2.rID3.x……IDn.rwx客體file1文件ALPHAJonesCRYPTOrwx*CRYPTOr_xGreen*---**r__文件設(shè)置的訪問模式讀拷貝（read-copy）寫刪除（write-delete）執(zhí)行（execute）無效（null）文件目錄的訪問操作對(duì)目錄而不對(duì)文件實(shí)施訪問控制對(duì)文件而不對(duì)目錄實(shí)施訪問控制對(duì)目錄及文件都實(shí)施訪問控制強(qiáng)制訪問控制系統(tǒng)對(duì)主體與客體都分配一個(gè)特殊的一般不能更改的安全屬性，系統(tǒng)通過比較主體與客體的安全屬性來決定一個(gè)主體是否能夠訪問某個(gè)客體。用戶為某個(gè)目的而運(yùn)行的程序，不能改變它自己及任何其它客體的安全屬性，包括該用戶自己擁有的客體。強(qiáng)制存取控制機(jī)制中，每個(gè)主體、客體都賦予相應(yīng)的安全屬性（安全級(jí)），該屬性由管理部門或系統(tǒng)自動(dòng)按照嚴(yán)格的規(guī)則設(shè)置，用戶不能修改。主體對(duì)客體的訪問由強(qiáng)制安全控制機(jī)制按照某種安全策略，比較主、客體安全屬性，確定是否允許訪問。若系統(tǒng)判斷不許訪問，任何人（包括客體主）也不能訪問，即“強(qiáng)制的”強(qiáng)制訪問控制通常強(qiáng)制存取控制與自主存取控制結(jié)合使用，僅當(dāng)主體通過它們檢查后，才能執(zhí)行訪問。安全級(jí)：也稱密級(jí)、安全屬性、許可證、存取類等，對(duì)象所具有的敏感級(jí)別。由保密級(jí)別和范疇集組成。保密級(jí)別分為公開、秘密、機(jī)密、絕密等，范疇集指安全級(jí)涉及的領(lǐng)域，如人事處、財(cái)務(wù)處等。保密級(jí)別是線性的，范疇集之間是包含、被包含、無關(guān)。兩個(gè)安全級(jí)之間存在支配關(guān)系，它是偏序的。強(qiáng)制訪問控制A安全級(jí)支配B安全級(jí)，即A的保密級(jí)別不小于B的安全級(jí)別，且A的范疇集包含B的范疇集。反之，稱A支配于B。若A的級(jí)別等于B的級(jí)別，且兩者范疇集相同，則A等于B。若A的范疇集不包含B的安全級(jí)，且B的范疇集不包含A的范疇集，則A與B無關(guān)。強(qiáng)制訪問控制的方法限制訪問控制過程控制系統(tǒng)限制基于角色的訪問控制RBAC模型的基本思想是將訪問許可權(quán)分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權(quán)。RBAC本質(zhì)上也是強(qiáng)制訪問控制的一種，只不過訪問控制是基于工作的描述RBAC的基本概念用戶（User）：系統(tǒng)的使用者。角色（Role）：對(duì)應(yīng)于組織中某一特定的職能崗位，代表特定的任務(wù)范疇。許可（Permission）：表示對(duì)系統(tǒng)中的客體進(jìn)行特定模式訪問的操作許可，例如對(duì)數(shù)據(jù)庫系統(tǒng)中關(guān)系表的選擇、插入、刪除。用戶分配、許可分配：用戶與角色，角色與許可之間的關(guān)系都是多對(duì)多的關(guān)系。進(jìn)行許可分配時(shí)，應(yīng)遵循最小特權(quán)原則會(huì)話（Session）：用戶是一個(gè)靜態(tài)的概念，會(huì)話則是一個(gè)動(dòng)態(tài)的概念。一次會(huì)話代表用戶與系統(tǒng)進(jìn)行交互，用戶與會(huì)話是一對(duì)多關(guān)系。活躍角色集（ARS）：一個(gè)對(duì)話構(gòu)成一個(gè)用戶到多個(gè)角色的映射，即會(huì)話激活了用戶授權(quán)角色集的某個(gè)子集，這個(gè)子集被稱為活動(dòng)角色集，ARS決定了本次會(huì)話的許可集。RBAC的特征訪問權(quán)限與角色相關(guān)聯(lián)，不同的角色有不同權(quán)限角色繼承最小權(quán)限原則職責(zé)分離（動(dòng)態(tài)分離和靜態(tài)分離）角色容量最小特權(quán)管理特權(quán)：為使系統(tǒng)能夠正常運(yùn)行，某些進(jìn)程具有的可違反系統(tǒng)安全策略的能力稱為特權(quán)。最小特權(quán)：要求賦予系統(tǒng)中每個(gè)使用者執(zhí)行授權(quán)任務(wù)所需的限制性最強(qiáng)的一組特權(quán)（即最低許可）給予主體“必不可少”的特權(quán)5個(gè)特權(quán)管理職責(zé)系統(tǒng)安全管理員（SSO）審計(jì)員（AUD）操作員（OP）安全操作員（SOP）網(wǎng)絡(luò)管理員（NET）可信通路用戶能夠借以直接同可信計(jì)算基通信的一種機(jī)制，保障用戶與內(nèi)核安全通信功能：可信通路保證防止惡意軟件在用戶面前冒充可信軟件，也防止在可信軟件面前冒充用戶。可信通道指保護(hù)不同網(wǎng)絡(luò)組件之間的可信軟件之間的安全通信。實(shí)現(xiàn)方法：多終端或安全注意鍵2.5安全審計(jì)機(jī)制日志:記錄的事件或統(tǒng)計(jì)數(shù)據(jù)審計(jì):對(duì)日志記錄的分析并以清晰的、能理解的方式表述系統(tǒng)信息。安全審計(jì)：對(duì)系統(tǒng)中有關(guān)安全的活動(dòng)進(jìn)行記錄、檢查及審核通過事后分析的方法認(rèn)定違反安全規(guī)則的行為，從而保證系統(tǒng)的安全審計(jì)機(jī)制的作用能夠詳細(xì)記錄與系統(tǒng)安全有關(guān)的行為，并對(duì)這些行為進(jìn)行分析，發(fā)現(xiàn)系統(tǒng)中的不安全因素，保障系統(tǒng)安全能夠?qū)`反安全規(guī)則的行為或企圖提供證據(jù)，幫助追查違規(guī)行為發(fā)生的地點(diǎn)、過程以及對(duì)應(yīng)的主體對(duì)于已受攻擊的系統(tǒng)，可以提供信息幫助進(jìn)行損失評(píng)估和系統(tǒng)恢復(fù)審計(jì)事件審計(jì)事件是系統(tǒng)審計(jì)用戶操作的最基本單位。系統(tǒng)將所有要求審計(jì)或可以審計(jì)的用戶動(dòng)作都?xì)w納成一個(gè)個(gè)可區(qū)分、可識(shí)別、可標(biāo)志用戶行為和可記錄的審計(jì)單位，即審計(jì)事件審計(jì)記錄—一個(gè)審計(jì)事件的描述。審計(jì)日志—審計(jì)記錄集合。審計(jì)點(diǎn)—進(jìn)行審計(jì)的地點(diǎn)。通常設(shè)在操作入口處或操作出口處審計(jì)系統(tǒng)的實(shí)現(xiàn)審計(jì)系統(tǒng)包含三個(gè)部分:日志記錄器、分析器和通告器日志文件：1、系統(tǒng)日志：跟蹤各種系統(tǒng)事件，記錄由windowsNT的系統(tǒng)組件產(chǎn)生的事件2、應(yīng)用程序日志：記錄由應(yīng)用程序或系統(tǒng)程序產(chǎn)生的事件3、安全日志：記錄相應(yīng)的關(guān)鍵安全事件，如登錄上網(wǎng)、下網(wǎng)、改變?cè)L問權(quán)限等2.6存儲(chǔ)保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)存儲(chǔ)保護(hù)：保護(hù)用戶在存儲(chǔ)器中的數(shù)據(jù)存儲(chǔ)器管理1、虛地址空間2、段內(nèi)存管理的訪問控制1、用戶模式與系統(tǒng)模式2、密鑰法3、描述符：每個(gè)進(jìn)程有一個(gè)私有的地址描述符，進(jìn)程對(duì)系統(tǒng)內(nèi)存某頁或某段的訪問模式在描述符中說明運(yùn)行保護(hù)基于保護(hù)環(huán)的等級(jí)結(jié)構(gòu)實(shí)現(xiàn)等級(jí)域機(jī)制和進(jìn)程隔離機(jī)制

1、等級(jí)域機(jī)制應(yīng)保護(hù)某一環(huán)不被外層環(huán)侵入，且允許某一環(huán)內(nèi)的進(jìn)程能有效的控制該環(huán)及外環(huán)2、隔離機(jī)制保護(hù)進(jìn)程免遭同一環(huán)內(nèi)同時(shí)運(yùn)行的其他進(jìn)程破壞I/O保護(hù)處理器到設(shè)備通過I/O調(diào)用完成，需加讀寫訪問控制。設(shè)備到介質(zhì)不需約束2.7主流操作系統(tǒng)的安全機(jī)制UNIX安全機(jī)制1、標(biāo)識(shí):超級(jí)用戶(root)控制一切。每個(gè)帳號(hào)是一個(gè)單獨(dú)實(shí)體，每個(gè)用戶得到一個(gè)主目錄和一塊硬盤空間。每個(gè)用戶帳號(hào)創(chuàng)建時(shí)，系統(tǒng)管理員分配一個(gè)UID。系統(tǒng)的/etc/passwd文件包含每個(gè)用戶的信息（也可能存于/etc/shadow）中。UNIX安全機(jī)制鑒別：用戶輸入口令，系統(tǒng)使用改進(jìn)的DES算法（調(diào)用crypt（））對(duì)其加密，并將結(jié)果與/etc/passwd或NIS數(shù)據(jù)庫中加密口令比較，若匹配，則合法。/etc/passwd文件常用shadow文件存放加密口令，用戶不可讀。UNIX安全機(jī)制存取控制：存取權(quán)限位有9個(gè)比特位，分為3組。UNIX安全機(jī)制改變權(quán)限：使用chmod命令，以新權(quán)限和文件名為參數(shù)。審計(jì)：審計(jì)結(jié)果放于日志文件中。密碼：有crypt，des，pgp加密程序。Linux操作系統(tǒng)的安全機(jī)制PAM機(jī)制入侵檢測(cè)系統(tǒng)加密文件系統(tǒng)安全審計(jì)強(qiáng)制訪問控制防火墻PAM機(jī)制PAM配置文件有兩種寫法:一種是寫在/etc/pam.conf中.格式如下:

ftpd

auth

required

pam_unix.so

nullok

ftpd:表示服務(wù)名,即針對(duì)哪一個(gè)服務(wù)進(jìn)行的認(rèn)證配置。required:為模塊類型.

pam_unix.so:為模塊路徑.即要調(diào)用模塊的位置。nullok:為模塊參數(shù),即傳遞給模塊的參數(shù)。另一種寫法是,將PAM配置文件放到/etc/pam.d/目錄下,使用應(yīng)用程序名作為配置文件名。如:vsftpd,login等。配置文件的格式與pam.conf類似,只是少了最左邊的服務(wù)名列。如:/etc/pam.d/cupsPAM的模塊類型Linux-PAM有四種模塊類型,分別代