第2章-安全机制教学课件

操作系统的安全性物理上分离:要求进程使用不同的物理实体时间上分离:具有不同安全要求的进程在不同的时间运行逻辑上分离:操作系统通过限制程序的存取,使得程序不能存取其允许范围外的实体密码上分离:进程以一种其他进程不可知的方式隐藏数据及计算操作系统安全的主要目标依据系统安全策略对用户的操作进行存取控制,防止用户对计算机资源的非法存取标识系统中的用户并进行身份鉴别监督系统运行的安全性保证系统自身的安全性和完整性安全机制安全机制是一种技术、一些软件或实施一个或更多安全服务的过程安全机制可分为：1、特殊安全机制：在同一时间只对一种安全服务上实施一种技术或软件2、普遍安全机制：列出在同时实施一个或多个安全服务时的执行过程（不能应用到OSI参考模型的任一层上）普遍的安全机制信任的功能性：指任何加强现有机制的执行过程事件检测：检查和报告本地或远程发生的事件审计跟踪：任何机制都允许监视和记录与安全有关的活动安全恢复：对一些事件作出反应，包括对于已知漏洞创建短期和长期的解决方案和对受危害系统的修复2.1标识与鉴别机制标识：是用户要向系统表明的身份；是系统为用户分配唯一的用户标识符鉴别：对用户所宣称的身份标识的有效性进行校验和测试的过程。将用户与用户标识符联系的过程授权：系统向用户赋予的对目标的操作的权力和特权用户声明身份的方法证实你所知道的密码验证、身份证号码等出示你所拥有的智能卡、内存卡等证明你是谁指纹、视网膜样本、照片等表现你的动作签名、语速等口令机制是身份鉴别中最常用也是最弱的鉴别机制脆弱性表现1、用户经常使用易记的内容作为口令2、系统随机产生的口令难以记忆3、口令的传递会以明文的方式进行4、有很多手段可以获得用户口令5、比较简单的口令通过暴力攻击可以破解口令的选取不使用有意义的能够标识自己身份的词或短语作为口令不要使用字典中的词、常用短语或行业缩写等作为口令应该使用非标准的大写和拼写方法应该使用大小写和数字混合的方法选取口令口令的质量口令空间公式：S=G/PG=L*R（L代表口令的最大有效期，R代表单位时间内可能的口令猜测数，P代表口令有效期内被猜出的可能性）口令加密算法使用系统名或用户账号作为加密因素口令长度口令计算公式：M=logAS（A代表字母表中字母个数，S是口令空间）破解密码的方法社会工程学方法字典程序攻击口令文件窃取暴力破解口令管理当用户在系统注册时，必须赋予用户口令用户口令必须定期更改系统必须维护一个口令数据库用户必须记忆自身的口令在系统认证用户时，用户必须输入口令系统管理员应负的职责初始化系统口令初始口令分配口令更改认证用户ID使用户ID重新生效培训用户口令机制的实现口令的存储口令的传输账户闭锁账户管理用户安全属性审计实时通知系统管理员通知用户生物鉴别方法应该保证对世界上的每一个人提供绝对惟一的身份标识为保证鉴别的准确性，鉴别设备必须能够读取非常精确的信息用户的生物测定因素必须被取样并且存储在鉴别设备的数据库中如果使用的生物测定因素其特性随时间而变化，则取样必须定期重新进行对认证机制的要求在进行任何需要TCB仲裁的操作之前，TCB都应该要求用户标识他们自己TCB必须维护认证数据，包括证实用户身份的信息以及决定用户策略属性的信息TCB保护认证数据，防止被非法用户使用TCB应能维护、保护、显示所有活动用户和所有用户账户的状态信息一旦口令被用做一种保护机制，应该满足一定条件访问控制基本概念授权：系统为用户授予权限、安全级等，确定可给予哪些主体存取客体的权力访问控制机制的目的：

1、保护存储在计算机上的个人信息2、保护重要信息的机密性3、维护计算机内信息的完整性4、减少病毒感染机会，从而延缓这种感染的传播5、保证系统的安全性和有效性，以免受到偶然的和蓄意的侵犯访问控制机制的实行确定要保护的资源。确定系统中被处理、被控制或被访问的对象授权。规定可以访问资源的实体或主体确定访问权限。规定可以对该资源执行的动作实施访问权限。通过确定每个实体可以对哪些资源执行哪些动作来确定该安全方案访问控制技术自主访问控制技术（DiscretionaryAccessControl,DAC）强制访问控制技术（mandatoryAccessControl,MAC）基于角色的访问控制技术（Role-basedAccessControl,RBAC）自主访问控制系统允许客体的所有者或建立者控制和定义主体对客体的访问，即访问控制是基于拥有者的自由处理。1、用户可以自主地说明自己所拥有的资源允许系统中哪些用户以何种权限进行共享2、对其他具有授权能力的用户，能够自主地将访问权或访问权的某个子集授予另外的用户DAC的实现系统通常保存访问存取矩阵实现自主存取控制（行为主体，列为客体）。实际的方法是基于行或列。1、基于行的自主访问控制机制2、基于列的自主访问控制机制基于行的自主访问控制在每个主体上附加一个该主体可以访问的客体的明细表明细表中的信息可分为三种形式：1、能力表（capabilitieslist）：存放用户对客体进行访问的模式（读、写、执行、不允许），主体按照模式访问客体。能力可传递也可收回。2、前缀表（profiles）：存放受保护客体名及主体的访问权限。3、口令（password）：每个客体有个口令，主体的访问应提供口令，系统检查是否匹配，从而决定是否允许访问。基于列的自主访问控制指每个客体附加一个可访问它的主体明细表。两种形式：1、保护位（ProtectionBits）：对所有的主体、主体组、客体的拥有者指明一个访问模式集合。2、访问控制表（AccessControlList,ACL）：每个客体附加一个主体明细表，每个表项包括主体身份及访问权限。ACL结构ID1.rxID2.rID3.x……IDn.rwx客体file1文件ALPHAJonesCRYPTOrwx*CRYPTOr_xGreen*---**r__文件设置的访问模式读拷贝（read-copy）写删除（write-delete）执行（execute）无效（null）文件目录的访问操作对目录而不对文件实施访问控制对文件而不对目录实施访问控制对目录及文件都实施访问控制强制访问控制系统对主体与客体都分配一个特殊的一般不能更改的安全属性，系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。用户为某个目的而运行的程序，不能改变它自己及任何其它客体的安全属性，包括该用户自己拥有的客体。强制存取控制机制中，每个主体、客体都赋予相应的安全属性（安全级），该属性由管理部门或系统自动按照严格的规则设置，用户不能修改。主体对客体的访问由强制安全控制机制按照某种安全策略，比较主、客体安全属性，确定是否允许访问。若系统判断不许访问，任何人（包括客体主）也不能访问，即“强制的”强制访问控制通常强制存取控制与自主存取控制结合使用，仅当主体通过它们检查后，才能执行访问。安全级：也称密级、安全属性、许可证、存取类等，对象所具有的敏感级别。由保密级别和范畴集组成。保密级别分为公开、秘密、机密、绝密等，范畴集指安全级涉及的领域，如人事处、财务处等。保密级别是线性的，范畴集之间是包含、被包含、无关。两个安全级之间存在支配关系，它是偏序的。强制访问控制A安全级支配B安全级，即A的保密级别不小于B的安全级别，且A的范畴集包含B的范畴集。反之，称A支配于B。若A的级别等于B的级别，且两者范畴集相同，则A等于B。若A的范畴集不包含B的安全级，且B的范畴集不包含A的范畴集，则A与B无关。强制访问控制的方法限制访问控制过程控制系统限制基于角色的访问控制RBAC模型的基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。RBAC本质上也是强制访问控制的一种，只不过访问控制是基于工作的描述RBAC的基本概念用户（User）：系统的使用者。角色（Role）：对应于组织中某一特定的职能岗位，代表特定的任务范畴。许可（Permission）：表示对系统中的客体进行特定模式访问的操作许可，例如对数据库系统中关系表的选择、插入、删除。用户分配、许可分配：用户与角色，角色与许可之间的关系都是多对多的关系。进行许可分配时，应遵循最小特权原则会话（Session）：用户是一个静态的概念，会话则是一个动态的概念。一次会话代表用户与系统进行交互，用户与会话是一对多关系。活跃角色集（ARS）：一个对话构成一个用户到多个角色的映射，即会话激活了用户授权角色集的某个子集，这个子集被称为活动角色集，ARS决定了本次会话的许可集。RBAC的特征访问权限与角色相关联，不同的角色有不同权限角色继承最小权限原则职责分离（动态分离和静态分离）角色容量最小特权管理特权：为使系统能够正常运行，某些进程具有的可违反系统安全策略的能力称为特权。最小特权：要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权（即最低许可）给予主体“必不可少”的特权5个特权管理职责系统安全管理员（SSO）审计员（AUD）操作员（OP）安全操作员（SOP）网络管理员（NET）可信通路用户能够借以直接同可信计算基通信的一种机制，保障用户与内核安全通信功能：可信通路保证防止恶意软件在用户面前冒充可信软件，也防止在可信软件面前冒充用户。可信通道指保护不同网络组件之间的可信软件之间的安全通信。实现方法：多终端或安全注意键2.5安全审计机制日志:记录的事件或统计数据审计:对日志记录的分析并以清晰的、能理解的方式表述系统信息。安全审计：对系统中有关安全的活动进行记录、检查及审核通过事后分析的方法认定违反安全规则的行为，从而保证系统的安全审计机制的作用能够详细记录与系统安全有关的行为，并对这些行为进行分析，发现系统中的不安全因素，保障系统安全能够对违反安全规则的行为或企图提供证据，帮助追查违规行为发生的地点、过程以及对应的主体对于已受攻击的系统，可以提供信息帮助进行损失评估和系统恢复审计事件审计事件是系统审计用户操作的最基本单位。系统将所有要求审计或可以审计的用户动作都归纳成一个个可区分、可识别、可标志用户行为和可记录的审计单位，即审计事件审计记录—一个审计事件的描述。审计日志—审计记录集合。审计点—进行审计的地点。通常设在操作入口处或操作出口处审计系统的实现审计系统包含三个部分:日志记录器、分析器和通告器日志文件：1、系统日志：跟踪各种系统事件，记录由windowsNT的系统组件产生的事件2、应用程序日志：记录由应用程序或系统程序产生的事件3、安全日志：记录相应的关键安全事件，如登录上网、下网、改变访问权限等2.6存储保护、运行保护和I/O保护存储保护：保护用户在存储器中的数据存储器管理1、虚地址空间2、段内存管理的访问控制1、用户模式与系统模式2、密钥法3、描述符：每个进程有一个私有的地址描述符，进程对系统内存某页或某段的访问模式在描述符中说明运行保护基于保护环的等级结构实现等级域机制和进程隔离机制

1、等级域机制应保护某一环不被外层环侵入，且允许某一环内的进程能有效的控制该环及外环2、隔离机制保护进程免遭同一环内同时运行的其他进程破坏I/O保护处理器到设备通过I/O调用完成，需加读写访问控制。设备到介质不需约束2.7主流操作系统的安全机制UNIX安全机制1、标识:超级用户(root)控制一切。每个帐号是一个单独实体，每个用户得到一个主目录和一块硬盘空间。每个用户帐号创建时，系统管理员分配一个UID。系统的/etc/passwd文件包含每个用户的信息（也可能存于/etc/shadow）中。UNIX安全机制鉴别：用户输入口令，系统使用改进的DES算法（调用crypt（））对其加密，并将结果与/etc/passwd或NIS数据库中加密口令比较，若匹配，则合法。/etc/passwd文件常用shadow文件存放加密口令，用户不可读。UNIX安全机制存取控制：存取权限位有9个比特位，分为3组。UNIX安全机制改变权限：使用chmod命令，以新权限和文件名为参数。审计：审计结果放于日志文件中。密码：有crypt，des，pgp加密程序。Linux操作系统的安全机制PAM机制入侵检测系统加密文件系统安全审计强制访问控制防火墙PAM机制PAM配置文件有两种写法:一种是写在/etc/pam.conf中.格式如下:

ftpd

auth

required

pam_unix.so

nullok

ftpd:表示服务名,即针对哪一个服务进行的认证配置。required:为模块类型.

pam_unix.so:为模块路径.即要调用模块的位置。nullok:为模块参数,即传递给模块的参数。另一种写法是,将PAM配置文件放到/etc/pam.d/目录下,使用应用程序名作为配置文件名。如:vsftpd,login等。配置文件的格式与pam.conf类似,只是少了最左边的服务名列。如:/etc/pam.d/cupsPAM的模块类型Linux-PAM有四种模块类型,分别代