第4章 操作系統(tǒng)安全

2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)1第4章操作系統(tǒng)安全2023/2/32本章主要內(nèi)容操作系統(tǒng)的安全問題操作系統(tǒng)的安全性設(shè)計存儲保護用戶認證訪問控制其他安全機制Windows系統(tǒng)安全計算機系統(tǒng)安全原理與技術(shù)(第3版)2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)34.1操作系統(tǒng)的安全問題

4.1.1操作系統(tǒng)易用性與安全性的矛盾操作系統(tǒng)在設(shè)計時不可避地要在安全性和易用性之間尋找一個最佳平衡點，這就使得操作系統(tǒng)在安全性方面必然存在著缺陷。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)44.1操作系統(tǒng)的安全問題

4.1.2操作系統(tǒng)面臨的安全問題1）網(wǎng)絡(luò)攻擊破壞系統(tǒng)的可用性和完整性。例如，惡意代碼(如Rootkit)可以使系統(tǒng)感染，也可以使應(yīng)用程序或數(shù)據(jù)文件受到感染，造成程序和數(shù)據(jù)文件的丟失或被破壞，甚至使系統(tǒng)癱瘓或崩潰。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)54.1操作系統(tǒng)的安全問題

4.1.2操作系統(tǒng)面臨的安全問題2）隱通道(CovertChannel，也稱作隱蔽信道)破壞系統(tǒng)的保密性和完整性。如今，攻擊者攻擊系統(tǒng)的目的更多地轉(zhuǎn)向獲取非授權(quán)的信息訪問權(quán)。這些信息可以是系統(tǒng)運行時內(nèi)存中的信息，也可以是存儲在磁盤上的信息(文件)。竊取的方法有多種，如使用Cain&Abel等口令破解工具破解系統(tǒng)口令，再如使用Goldenkeylogger等木馬工具記錄鍵盤信息，還可以利用隱通道非法訪問資源。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)64.1操作系統(tǒng)的安全問題

4.1.2操作系統(tǒng)面臨的安全問題3）用戶的誤操作破壞系統(tǒng)的可用性和完整性。例如，用戶無意中刪除了系統(tǒng)的某個文件，無意中停止了系統(tǒng)的正常處理任務(wù)，這樣的誤操作或不合理地使用了系統(tǒng)提供的命令，會影響系統(tǒng)的穩(wěn)定運行。此外，在多用戶操作系統(tǒng)中，各用戶程序執(zhí)行過程中相互間會產(chǎn)生不良影響，用戶之間會相互干擾。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)74.2操作系統(tǒng)的安全性設(shè)計標(biāo)識系統(tǒng)中的用戶并進行身份鑒別；依據(jù)系統(tǒng)安全策略對用戶的操作進行存取控制，防止用戶對計算機資源的非法存取；監(jiān)督系統(tǒng)運行的安全；保證系統(tǒng)自身的安全性和完整性。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)8隔離控制的方法有四種：物理隔離時間隔離邏輯隔離加密隔離2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)94.2存儲器保護對于一個安全的操作系統(tǒng)，存儲保護是最基本的要求，這里包括內(nèi)存保護、運行保護、I/O保護等。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)104.3存儲保護

4.3.1內(nèi)存保護內(nèi)存儲器是操作系統(tǒng)中的共享資源，內(nèi)存被用戶程序與系統(tǒng)程序所共享在多道環(huán)境下更是被多個進程所共享。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)114.3存儲保護

4.3.1內(nèi)存保護內(nèi)存保護的目的是：防止對內(nèi)存的未授權(quán)訪問；防止對內(nèi)存的錯誤讀寫，如向只讀單元寫；防止用戶的不當(dāng)操作破壞內(nèi)存數(shù)據(jù)區(qū)、程序區(qū)或系統(tǒng)區(qū)；多道程序環(huán)境下，防止不同用戶的內(nèi)存區(qū)域互不影響；將用戶與內(nèi)存隔離，不讓用戶知道數(shù)據(jù)或程序在內(nèi)存中的具體位置；2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)124.3存儲保護

4.3.1內(nèi)存保護常用的內(nèi)存保護技術(shù)單用戶內(nèi)存保護技術(shù)多道程序的保護技術(shù)內(nèi)存標(biāo)記保護法分段與分頁保護技術(shù)2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)13（1）單用戶內(nèi)存保護問題系統(tǒng)區(qū)

用戶區(qū)

（內(nèi)存）界限寄存器

單用戶內(nèi)存保護

2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)14（2）多道程序的保護2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)15（3）標(biāo)記保護法2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)16（4）分段與分頁技術(shù)對于稍微復(fù)雜一些的用戶程序，通常按功能劃分成若干個模塊（過程）。每個模塊有自己的數(shù)據(jù)區(qū)，各模塊之間也可能有共享數(shù)據(jù)區(qū)。各用戶程序之間也可能有共享模塊或共享數(shù)據(jù)區(qū)。這些模塊或數(shù)據(jù)區(qū)有著不同的訪問屬性和安全要求，使用上述各種保護技術(shù)很難滿足這些要求。

2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)17（4）分段與分頁技術(shù)分段將內(nèi)存分成很多邏輯單元，如一組組私有程序或數(shù)據(jù)。采用分段技術(shù)以后，用戶并不知道他的程序?qū)嶋H使用的內(nèi)存物理地址，操作系統(tǒng)把程序?qū)嶋H地址隱藏起來了。這種隱藏對保護用戶代碼與數(shù)據(jù)的安全是極有好處的。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)18（4）分段與分頁技術(shù)分段技術(shù)有許多優(yōu)點：任何段可以放在任何內(nèi)存空間——假設(shè)地址空間大小足夠容納任何一個段。不同的訪問控制可以實施在不同的段中。在分段這種方式下，任何地址的引用必須通過操作系統(tǒng)，這樣操作系統(tǒng)可以進行完全的調(diào)度。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)19（4）分段與分頁技術(shù)段的管理方式存在的問題與困難主要是：當(dāng)操作系統(tǒng)使用<段址，偏移地址>的方式來進行尋址時，必須知道段的大小以確保訪問的地址在該段之內(nèi)。但是很多段(比如那些可以進行動態(tài)內(nèi)存分配的段)的內(nèi)存是可以在執(zhí)行的過程中動態(tài)增長的。所以，操作系統(tǒng)中必須保存可變化段的大小。為了保證安全，要求系統(tǒng)檢查所產(chǎn)生的地址，驗證其是否超出所訪問段的末端。因為段大小可變，內(nèi)存“碎片”成為一個潛在的問題，使得內(nèi)存中雖然剩余碎片的總和大于某個段的長度，但仍無法為該段分配內(nèi)存的現(xiàn)象發(fā)生。如果壓縮內(nèi)存以便于更加有效地利用已有空間，分段表則會發(fā)生改變?？傊?，分段本身比較復(fù)雜，并且它給操作系統(tǒng)帶來了明顯的負擔(dān)。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)20（4）分段與分頁技術(shù)為了解決分段可能產(chǎn)生的內(nèi)存碎片問題，引入了分頁技術(shù)(如圖)。分頁是把目標(biāo)程序與內(nèi)存都劃分成相同大小的片段，這些片段稱為“頁”。在分頁模式下，需要使用參數(shù)對<頁，偏移地址>來訪問特定的頁。分頁技術(shù)雖然解決了碎片問題，但又損失了分段技術(shù)的安全功能。由于段具有邏輯上的完整意義，而頁則沒有這樣的意義，程序員可以為段規(guī)定某些安全控制要求，但卻無法指定各頁的訪問控制要求。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)21（4）分段與分頁技術(shù)解決這個問題的方法是將分頁與分段技術(shù)結(jié)合起來使用，由程序員按計算邏輯把程序劃分為段，再由操作系統(tǒng)把段劃分為頁。在段的基礎(chǔ)上進行分頁的好處在于不會產(chǎn)生碎片、效率高，并且不需要考慮每部分大小的變化所帶來的各種問題。操作系統(tǒng)同時管理段表與頁表，完成地址映射任務(wù)和頁面的調(diào)進調(diào)出，并使同一段內(nèi)的各頁具有相同安全管理要求，這也是虛擬存儲器的基本思想。系統(tǒng)還可以為每個物理頁分配一個密碼，只允許擁有相同密碼的進程訪問該頁，該密碼由操作系統(tǒng)裝入進程的狀態(tài)字中，在進程訪問某個頁面時，由硬件對進程的密碼進行檢驗，只有密碼相同且進程的訪問權(quán)限與頁面的讀寫訪問屬性相同時方可執(zhí)行訪問。這種安全機制有效地保護了虛擬存儲器的安全。4.3存儲保護

4.3.1運行保護安全操作系統(tǒng)很重要的一點是進行分層設(shè)計，而運行域正是這樣一種基于保護環(huán)的等級式結(jié)構(gòu)。運行域是進程運行的區(qū)域，在最內(nèi)層具有最小環(huán)號的環(huán)具有最高特權(quán)，而在最外層具有最大環(huán)號的環(huán)是最小的特權(quán)環(huán)。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)224.3存儲保護

4.3.1運行保護設(shè)置兩環(huán)系統(tǒng)是很容易理解的，它只是為了隔離操作系統(tǒng)程序與用戶程序。這就像生活中的道路被劃分為機動車道和非機動車道一樣，各種車輛和行人各行其道，互不影響，保證了各自的安全。對于多環(huán)結(jié)構(gòu)，它的最內(nèi)層是操作系統(tǒng)，它控制整個計算機系統(tǒng)的運行；靠近操作系統(tǒng)環(huán)之外的是受限使用的系統(tǒng)應(yīng)用環(huán)，如數(shù)據(jù)庫管理系統(tǒng)或事務(wù)處理系統(tǒng)；最外一層則是各種不同用戶的應(yīng)用環(huán)。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)234.3存儲保護

4.3.2運行保護Intelx86微芯片系列就是使用環(huán)概念來實施運行保護的，如圖所示。環(huán)有4個級別：環(huán)0是最高權(quán)限的，環(huán)3是最低權(quán)限的。當(dāng)然，微芯片上并沒有實際的物理環(huán)。Windows操作系統(tǒng)中的所有內(nèi)核代碼都在環(huán)0級上運行。用戶模式程序(例如Office軟件程序)在環(huán)3級上運行。包括Windows和Linux在內(nèi)的許多操作系統(tǒng)在Intelx86微芯片上只使用環(huán)0和環(huán)3，而不使用環(huán)1和環(huán)2。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)244.3存儲保護

4.3.3I/O保護I/O介質(zhì)輸出訪問控制最簡單的方式是將設(shè)備看作是一個客體，仿佛它們都處于安全邊界外。由于所有的I/O不是向設(shè)備寫數(shù)據(jù)就是從設(shè)備接收數(shù)據(jù)，所以一個進行I/O操作的進程必須受到對設(shè)備的讀寫兩種訪問控制。這就意味著設(shè)備到介質(zhì)間的路徑可以不受什么約束，而處理器到設(shè)備間的路徑則需要施以一定的讀寫訪問控制。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)252023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)264.4用戶認證用戶的認證包括：標(biāo)識與鑒別。標(biāo)識(Identification)就是系統(tǒng)要標(biāo)識用戶的身份，并為每個用戶取一個系統(tǒng)可以識別的內(nèi)部名稱——用戶標(biāo)識符。用戶標(biāo)識符必須是惟一的且不能被偽造，防止一個用戶冒充另一個用戶。將用戶標(biāo)識符與用戶聯(lián)系的過程稱為鑒別(Authentication)，鑒別過程主要用以識別用戶的真實身份，鑒別操作總是要求用戶具有能夠證明他身份的特殊信息，并且這個信息是秘密的或獨一無二的，任何其他用戶都不能擁有它。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)274.4用戶認證一般情況下，可以通過多個因素(Multi-Factor)來共同鑒別用戶身份的真?zhèn)?。常用的三種是：1）用戶所知道的(Whatyouknow)。如要求輸入用戶的姓名、口令或加密密鑰等。2）用戶所擁有的(Whatyouhave)。如智能卡等物理識別設(shè)備。3）用戶本身的特征(Whatyouare)。如用戶的指紋、聲音、視網(wǎng)膜等生理特征。4.4用戶認證

4.4.1基于口令的認證使用口令進行身份驗證是一種最古老、容易實現(xiàn)、也是比較有效的身份認證手段。在操作系統(tǒng)中，口令是用戶與操作系統(tǒng)之間交換的信物。用戶想使用系統(tǒng)，首先必須通過系統(tǒng)管理員系統(tǒng)登錄，在系統(tǒng)中建立一個用戶賬號，賬號中存放用戶的名字(或標(biāo)識)和口令。用戶輸入的用戶名和口令必須和存放在系統(tǒng)中的賬戶/口令文件中的相關(guān)信息一致才能進入系統(tǒng)。沒有一個有效的口令，入侵者要闖入計算機系統(tǒng)是很困難的。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)284.4用戶認證

4.4.1基于口令的認證同樣，確認用戶(訪問者)的真實身份，解決訪問者的物理身份和數(shù)字身份的一致性是網(wǎng)絡(luò)世界中要解決的安全問題。因為只有知道對方是誰，數(shù)據(jù)的保密性、完整性和訪問控制等才有意義。下面的討論主要基于計算機操作系統(tǒng)的應(yīng)用環(huán)境，在網(wǎng)絡(luò)環(huán)境中同樣適用。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)294.4用戶認證

4.4.1基于口令的認證一個基于口令的用戶身份鑒別基本過程2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)30用戶U認證請求認證系統(tǒng)S用戶ID密碼admin123456chenbo456789…………用戶信息安全意識不高，口令質(zhì)量不高。攻擊者運用社會工程學(xué)，冒充合法用戶騙取口令。在輸入密碼時被鍵盤記錄器等盜號程序所記錄口令在傳輸過程中被攻擊者嗅探到?？诹钤跀?shù)據(jù)庫中明文存放。改進鑒別質(zhì)量1．提高口令質(zhì)量1）增大口令空間。下面的公式給出了計算口令空間的方法：S=AM2）選用無規(guī)律的口令3）多個口令4）系統(tǒng)生成口令5）對用戶使用口令登錄時還采取更加嚴(yán)格的控制措施登錄時間限制。限制登錄次數(shù)。盡量減少會話透露的信息。增加認證的信息量。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)31改進鑒別質(zhì)量2．保護輸入口令安全控件實質(zhì)是一種小程序。由各網(wǎng)站依據(jù)需要自行編寫。當(dāng)該網(wǎng)站的注冊會員登錄該網(wǎng)站時，安全控件發(fā)揮作用，通過對關(guān)鍵數(shù)據(jù)進行加密，防止賬號密碼被木馬程序或病毒竊取，可以有效防止木馬截取鍵盤記錄。安全控件工作時，從客戶的登錄一直到注銷，實時做到對網(wǎng)站及客戶終端數(shù)據(jù)流的監(jiān)控。就目前而言，由于安全控件的保護，客戶的帳號及密碼還是相對安全的。要防止偽裝的安全控件。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)32改進鑒別質(zhì)量3．加密存儲口令必須對存儲的口令實行訪問控制，保證口令數(shù)據(jù)庫不被未授權(quán)用戶讀取或者修改。而且，無論采取何種訪問控制機制，都應(yīng)對存儲的口令進行加密，因為訪問控制有時可能被繞過。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)33改進鑒別質(zhì)量4．口令傳輸安全在口令從用戶終端到認證端的傳輸中，應(yīng)施加保護以應(yīng)對口令被截獲。4.3.2節(jié)中將介紹相關(guān)保護技術(shù)。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)34改進鑒別質(zhì)量5．口令安全管理系統(tǒng)管理員應(yīng)擔(dān)負的職責(zé)包括：（1）初始化系統(tǒng)口令。系統(tǒng)中有一些標(biāo)準(zhǔn)用戶是事先在系統(tǒng)中注冊了的。在允許普通用戶訪問系統(tǒng)之前，系統(tǒng)管理員應(yīng)能為所有標(biāo)準(zhǔn)用戶更改口令。（2）初始口令分配。系統(tǒng)管理員應(yīng)負責(zé)為每個用戶產(chǎn)生和分配初始口令，但要防止口令暴露給系統(tǒng)管理員。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)35改進鑒別質(zhì)量5．口令安全管理用戶應(yīng)擔(dān)負的職責(zé)包括：（1）口令要自己記憶。為了安全起見，再復(fù)雜的口令都應(yīng)該自己記憶。（2）口令應(yīng)進行周期性的改動。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)36改進鑒別質(zhì)量5．口令安全管理口令審計：系統(tǒng)應(yīng)對口令的使用和更改進行審計。審計事件包括成功登錄、失敗嘗試、口令更改程序的使用、口令過期后上鎖的用戶賬號等。實時通知系統(tǒng)管理員。同一訪問端口或使用同一用戶賬號連續(xù)5次(或其他閾值)以上的登錄失敗應(yīng)立即通知系統(tǒng)管理員。通知用戶。在成功登錄時，系統(tǒng)應(yīng)通知用戶以下信息：用戶上一次成功登錄的日期和時間、用戶登錄地點、從上一次成功登錄以后的所有失敗登錄。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)374.4用戶認證

4.4.2一次性口令認證在口令從用戶終端到認證端的傳輸中，首先考慮引入散列函數(shù)。引入了新的安全問題：重放攻擊2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)38用戶U認證請求認證系統(tǒng)S用戶ID密碼************************…………4.4用戶認證

4.4.2一次性口令認證一次性口令的基本原理是：在登錄過程中加入不確定因子，使用戶在每次登錄時產(chǎn)生的口令信息都不相同。認證系統(tǒng)得到口令信息后通過相應(yīng)的算法驗證用戶的身份。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)394.4用戶認證

4.4.2一次性口令認證實現(xiàn)方案一：時間同步該方案要求用戶和認證服務(wù)器的時鐘必須嚴(yán)格一致，用戶持有時間令牌(動態(tài)密碼生成器)，令牌內(nèi)置同步時鐘、秘密密鑰和加密算法。時間令牌根據(jù)同步時鐘和密鑰每隔一個單位時間(如一分鐘)產(chǎn)生一個動態(tài)口令，用戶登錄時將令牌的當(dāng)前口令發(fā)送到認證服務(wù)器，認證服務(wù)器根據(jù)當(dāng)前時間和密鑰副本計算出口令，最后將認證服務(wù)器計算出的口令和用戶發(fā)送的口令相比較，得出是否授權(quán)用戶的結(jié)論。該方案的難點在于需要解決好網(wǎng)絡(luò)延遲等不確定因素帶來的干擾，使口令在生命期內(nèi)順利到達認證系統(tǒng)。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)404.4用戶認證

4.4.2一次性口令認證實現(xiàn)方案二：挑戰(zhàn)/響應(yīng)(Challenge/Response)用戶端首先向認證端發(fā)出認證請求，認證端提示用戶輸入用戶ID等信息。認證端選擇一個一次性隨機數(shù)X發(fā)送給客戶端。同時，認證端根據(jù)用戶ID取出對應(yīng)的密鑰K后，利用發(fā)送給客戶機的隨機串X，在認證端用加密引擎進行運算，得到運算結(jié)果Es?？蛻舳顺绦蚋鶕?jù)輸入的隨機串X與產(chǎn)生的密鑰K得到一個加密運算結(jié)果EU，此運算結(jié)果將作為認證的依據(jù)發(fā)送給認證端。認證端比較兩次運算結(jié)果Es與EU是否相同，若相同，則鑒別為合法用戶。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)41用戶U認證系統(tǒng)S認證請求挑戰(zhàn)響應(yīng)鑒別結(jié)果4.4用戶認證

4.4.2一次性口令認證應(yīng)用1：使用“驗證碼”實現(xiàn)一次性口令認證。某客戶端用戶登錄界面上設(shè)置了“驗證碼”輸入框，此驗證碼是隨機值。這類驗證碼通常稱為CAPTCHA(CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart，全自動區(qū)分計算機和人類的圖靈測試)，是一種主要區(qū)分用戶是計算機和人的自動程序。這類驗證碼的隨機性不僅可以防止口令猜測攻擊，還可以有效防止攻擊者對某一個特定注冊用戶用特定程序進行不斷的登陸嘗試，例如防止刷票、惡意注冊、論壇灌水等。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)424.4用戶認證

4.4.2一次性口令認證應(yīng)用2：使用口令卡實現(xiàn)一次性口令認證。每次用戶輸入不同動態(tài)口令，防止了重放攻擊。該認證過程方便靈活，對用戶端要求較少，不要求用戶端計算口令散列值和進行數(shù)據(jù)加密，不需要在計算機上安裝任何軟件，每張口令卡都不一樣，并且每個口令卡在領(lǐng)用時會綁定用戶的銀行卡號，任何人不能使用他人的口令卡。當(dāng)口令卡中的口令使用完之后需要重新?lián)Q卡。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)434.4用戶認證

4.4.2一次性口令認證應(yīng)用2：使用口令卡實現(xiàn)一次性口令認證。動態(tài)口令機制簡單，安全系數(shù)低于口令令牌(如U盾)。因此，一般口令卡對網(wǎng)上交易有金額限制，如果要進行大額交易建議使用U盾之類的口令令牌。雖然用口令卡一次性成本低，但每張卡可用的次數(shù)有限，網(wǎng)銀使用次數(shù)越多，口令卡更換就越頻繁，累積成本較大。口令卡容易丟失。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)444.4用戶認證

4.4.2一次性口令認證應(yīng)用3：使用口令令牌實現(xiàn)一次性口令認證令牌是一種能標(biāo)識其持有人身份的特殊物件。令牌必須與持有人之間是一一對應(yīng)的，要求令牌是惟一的和不能偽造的?？诹盍钆仆ǔ＞哂械慕Y(jié)構(gòu)是：處理器、顯示屏幕、可選的小鍵盤、可選實時時鐘。每個口令令牌預(yù)編設(shè)了一個唯一數(shù)字，稱為隨機種子(RandomSeed)，隨機種子是保證口令令牌產(chǎn)生唯一輸出的基礎(chǔ)。用戶只有輸入正確的PIN之后，才能使用令牌，因此這種鑒別機制的安全性是基于雙因子的鑒別，即用戶既要知道PIN，又要擁有鑒別令牌。該機制同時使用了隨機挑戰(zhàn)，因此可以防止重放攻擊。對于網(wǎng)絡(luò)截獲者來說，獲得的是用種子加密的隨機挑戰(zhàn)，不能非法得到種子值。因此這種鑒別機制的安全性相當(dāng)高。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)454.4用戶認證

4.4.2一次性口令認證應(yīng)用3：使用口令令牌實現(xiàn)一次性口令認證服務(wù)器遭到攻擊后，用戶的種子值會暴露給攻擊者，造成鑒別的不安全性，需要對服務(wù)器中的用戶種子值進行加密，以防止服務(wù)器攻擊。使用令牌的不方便性，用戶在使用令牌的時候要進行三次輸入：首先要輸入PIN才能訪問令牌；其次要從屏幕上閱讀隨機挑戰(zhàn)，并在令牌中輸入隨機數(shù)挑戰(zhàn)；最后要從令牌屏幕上閱讀加密的隨機挑戰(zhàn)，輸入到計算機終端然后發(fā)送給服務(wù)器，用戶在這個過程中很容易出錯。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)464.4用戶認證

4.4.2一次性口令認證應(yīng)用4：使用智能卡實現(xiàn)一次性口令認證智能卡是一種將具有加密、存儲、處理能力的集成電路芯片嵌裝于塑料基片上而制成的卡片。智能卡一般由微處理器、存儲器及輸入、輸出設(shè)施構(gòu)成。為防止智能卡遺失或被竊，許多系統(tǒng)需要智能卡和個人識別碼PIN同時使用。一個用戶在網(wǎng)絡(luò)終端上輸入自己的名字，當(dāng)系統(tǒng)提示他輸入口令時，把智能卡插入槽中并輸入其通行字，口令不以明文形式回顯，也不以明文方式傳輸，這是因為智能卡對它加密的結(jié)果。在接收端對通行字進行解密，身份得到確認后，該用戶便可以進行他希望的操作了。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)474.4用戶認證

4.4.2一次性口令認證應(yīng)用4：使用智能卡實現(xiàn)一次性口令認證使用智能卡在線交易迅速并且簡單，只需把智能卡插入與計算機相連的讀卡器，輸入用戶ID和PIN。在智能卡中存儲私鑰和數(shù)字證書，給用戶帶來了安全信息的輕便移動性，智能卡可以方便地攜帶，可以在任何地點進行電子交易。智能卡的讀卡器也越來越普遍，有USB型的，也有PC卡型的，在Windows終端上也可設(shè)置智能卡插槽。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)484.4用戶認證

4.4.3生物特征認證傳統(tǒng)的用戶身份認證機制有許多缺點。生物識別技術(shù)得到成功的應(yīng)用，身份鑒別機制才真正回歸到了對人類最原始的特性上?；谏锾卣鞯恼J證技術(shù)具有傳統(tǒng)的身份認證手段無法比擬的優(yōu)點。采用生物鑒別技術(shù)(Biometrics)，可不必再記憶和設(shè)置密碼，使用更加方便。生物特征鑒別技術(shù)已經(jīng)成為—種公認的、最安全和最有效的身份認證技術(shù)，將成為IT產(chǎn)業(yè)最為重要的技術(shù)革命。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)494.4用戶認證

4.4.3生物特征認證生物特征認證，可以分為生理特征認證和生物行為認證。一些學(xué)者將生理特征認證技術(shù)分為三類：高級生物識別技術(shù)，包括視網(wǎng)膜識別、虹膜識別和指紋識別等；次級生物識別技術(shù)，包括掌型識別、臉型識別、語音識別和簽名識別等；“深奧的”生物識別技術(shù)，它包括血管紋理識別、人體氣味識別和DNA識別等。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)504.4用戶認證

4.4.3生物特征認證與傳統(tǒng)身份鑒定相比，生物識別技術(shù)具有以下特點：隨身性：生物特征是人體固有的特征，與人體是唯一綁定的，具有隨身性。安全性：人體特征本身就是個人身份的最好證明，滿足更高的安全需求。唯一性：每個人擁有的生物特征各不相同。穩(wěn)定性：生物特征如指紋、虹膜等人體特征不會隨時間等條件的變化而變化。廣泛性：每個人都具有這種特征。方便性：生物識別技術(shù)不需記憶密碼與攜帶使用特殊工具，不會遺失?？刹杉裕哼x擇的生物特征易于測量。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)514.4用戶認證

4.4.3生物特征認證基于生物特征的身份鑒別也有缺點，每次鑒別產(chǎn)生的樣本可能稍有不同。例如，在獲取用戶的指紋時，手指可能變臟，可能割破，或手指放在閱讀器上的位置不同，等等。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)524.4用戶認證

4.4.3生物特征認證在高安全等級需求的應(yīng)用中，最好將基于生物特征的身份認證機制和其他用戶認證機制結(jié)合起來使用，形成三因子鑒別機制。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)532023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)544.5訪問控制用戶認證解決的是：“你是誰？你是否真的是你所聲稱的身份？”訪問控制技術(shù)解決的是“你能做什么？你有什么樣的權(quán)限？”。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)554.5訪問控制

4.5.1訪問控制基本概念基本目標(biāo)都是防止非法用戶進入系統(tǒng)和合法用戶對系統(tǒng)資源的非法使用。為了達到這個目標(biāo)，訪問控制常以用戶身份認證為前提，在此基礎(chǔ)上實施各種訪問控制策略來控制和規(guī)范合法用戶在系統(tǒng)中的行為這些策略和規(guī)范，被稱為安全體系模型（或簡稱為安全模型）。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)564.5訪問控制

4.5.1訪問控制基本概念1．訪問控制的三要素主體(Subject)：訪問操作的主動發(fā)起者，但不一定是動作的執(zhí)行者。客體(Object)：通常是指信息的載體或從其他主體或客體接收信息的實體。安全訪問規(guī)則：用以確定一個主體是否對某個客體擁有某種訪問權(quán)力。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)574.5訪問控制

4.5.1訪問控制基本概念2．引用監(jiān)視器和安全內(nèi)核訪問控制機制的理論基礎(chǔ)是引用監(jiān)視器（ReferenceMonitor），由J.P.Anderson于1972年首次提出。引用監(jiān)視器是一個抽象的概念。引用監(jiān)視器借助訪問數(shù)據(jù)庫控制主體到客體的每一次訪問，并將重要的安全事件記入審計文件中。訪問控制數(shù)據(jù)庫包含有關(guān)主體訪問客體訪問模式的信息。數(shù)據(jù)庫是動態(tài)的，它會隨著主體和客體的產(chǎn)生或刪除及其權(quán)限的改變而改變。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)584.5訪問控制

4.5.1訪問控制基本概念在引用監(jiān)視器思想的基礎(chǔ)上，J.P.Anderson定義了安全內(nèi)核的概念。安全內(nèi)核是實現(xiàn)引用監(jiān)視器概念的一種技術(shù)。安全內(nèi)核可以由硬件和介于硬件與操作系統(tǒng)之間的一層軟件組成。安全內(nèi)核的軟件和硬件是可信的，處于安全邊界內(nèi)，而操作系統(tǒng)和應(yīng)用軟件均處于安全邊界之外。這里講的邊界，是指與系統(tǒng)安全有關(guān)和無關(guān)對象之間的一個想象的邊界。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)594.5訪問控制

4.5.1訪問控制基本概念3．基本的訪問控制模型（1）訪問控制矩陣(AccessControlMatrix，ACM)訪問控制矩陣模型的基本思想就是將所有的訪問控制信息存儲在一個矩陣中集中管理。當(dāng)前的訪問控制模型一般都是在它的基礎(chǔ)上建立起來的。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)604.5訪問控制

4.5.1訪問控制基本概念3．基本的訪問控制模型（2）訪問控制表訪問控制表機制實際上是按訪問控制矩陣的列實施對系統(tǒng)中客體的訪問控制。每個客體都有一張ACL，用于說明可以訪問該客體的主體及其訪問權(quán)限。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)614.5訪問控制

4.5.1訪問控制基本概念3．基本的訪問控制模型（3）能力表能力表保護機制實際上是按訪問控制矩陣的行實施對系統(tǒng)中客體的訪問控制。每個主體都有一張能力表，用于說明可以訪問的客體及其訪問權(quán)限。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)624.5訪問控制

4.5.1訪問控制基本概念兩個問題構(gòu)成了訪問控制的基礎(chǔ)：1）對于給定主體，它能訪問哪些客體以及如何訪問？2）對于給定客體，哪些主體能訪問它以及如何訪問？對于第1個問題，使用能力表回答最為簡單，只需要列出與主體相關(guān)聯(lián)的cap表中的元素即可。對于第2個問題，使用訪問控制表ACL回答最為簡單，只需列出與客體相關(guān)聯(lián)的acl表中的元素即可。人們可能更關(guān)注第2個問題，因此，現(xiàn)今大多數(shù)主流的操作系統(tǒng)都把ACL作為主要的訪問控制機制。這種機制也可以擴展到分布式系統(tǒng)，ACL由文件服務(wù)器維護。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)634.5訪問控制

4.5.2自主訪問控制由客體的屬主對自己的客體進行管理，由屬主自己決定是否將自己客體的訪問權(quán)或部分訪問權(quán)授予其他主體，這種控制方式是自主的，我們把它稱為自主訪問控制(DAC，DiscretionaryAccessControl)。在自主訪問控制下，一個用戶可以自主選擇哪些用戶可以共享他的文件。訪問控制表ACL、能力表是實現(xiàn)DAC策略的基本數(shù)據(jù)結(jié)構(gòu)在DAC模式下，有3種控制許可權(quán)手段：層次型、屬主型和自由型。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)644.5訪問控制

4.5.3強制訪問控制DAC機制的缺陷允許用戶自主地轉(zhuǎn)授訪問權(quán)，這是系統(tǒng)不安全的隱患。系統(tǒng)無法區(qū)分是用戶合法的修改還是木馬程序的非法修改；無法防止木馬程序利用共享客體或隱蔽信道傳送信息。無法解決因用戶無意（如程序錯誤、某些誤操作等）或不負責(zé)任的操作而造成的敏感信息的泄漏問題。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)654.5訪問控制

4.5.3強制訪問控制強制訪問控制最早出現(xiàn)在20世紀(jì)70年代。是美國政府和軍方源于對信息保密性的要求以及防止特洛伊木馬之類的攻擊而研發(fā)的。MAC是一種基于安全級標(biāo)簽的訪問控制方法，通過分級的安全標(biāo)簽實現(xiàn)信息從下向上的單向流動，從而防止高密級信息的泄露。在MAC中，對于主體和客體，系統(tǒng)為每個實體指派一個安全級，安全級由兩部分組成：1）保密級別(Classification，或叫做敏感級別或級別)。2）范疇集(Categories)。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)664.5訪問控制

4.5.3強制訪問控制安全級中包括一個保密級別，范疇集包含任意多個范疇。安全級通常寫作保密級別后隨范疇集的形式。例如：{機密：人事處，財務(wù)處，科技處}。安全級的集合形成一個滿足偏序關(guān)系的格(Lattice)，此偏序關(guān)系稱為支配(Dominate)，通常用符號“>”表示，它類似于“大于或等于”的含義。對于任意兩個安全級Si=(li,Ci)和Sj=(lj,Cj)，若Si支配Sj(Si>Sj)，當(dāng)且僅當(dāng)li>lj，且Ci包含Cj。如果兩個安全級的范疇互不包含，則這兩個安全級不可比。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)674.5訪問控制

4.5.3強制訪問控制在一個系統(tǒng)中實現(xiàn)MAC機制，最主要的是要做到兩條：1）對系統(tǒng)中的每一個主體與客體，都要根據(jù)總體安全策略與需求分配一個特殊的安全級別。該安全級別能夠反映該主體或客體的敏感等級和訪問權(quán)限，并把它以標(biāo)簽的形式和這個主體或客體緊密相連而無法分開。這些安全屬性是不能輕易改變的，它由管理部門(如安全管理員)或由操作系統(tǒng)自動按照嚴(yán)格的規(guī)則來設(shè)置，不像DAC那樣可以由用戶或他們的程序直接或間接修改。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)684.5訪問控制

4.5.3強制訪問控制在一個系統(tǒng)中實現(xiàn)MAC機制，最主要的是要做到兩條：2）當(dāng)一個主體訪問一個客體時，調(diào)用強制訪問控制機制，比較主體和客體的安全級別，從而確定是否允許主體訪問客體。在MAC機制下，即使是客體的擁有者也沒有對自己客體的控制權(quán)，也沒有權(quán)利向別的主體轉(zhuǎn)授對自己客體的訪問權(quán)。即使是系統(tǒng)安全管理員修改、授予或撤銷主體對某客體的訪問權(quán)的管理工作也要受到嚴(yán)格的審核與監(jiān)控。有了MAC控制后，可以極大地減少因用戶的無意性(如程序錯誤或某些誤操作)泄漏敏感信息的可能性。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)694.5訪問控制

4.5.3強制訪問控制2．加強保密性的強制訪問控制模型BLP模型有兩條基本的規(guī)則規(guī)則1：不能向上讀(No-Read-Up)，也稱為簡單安全特性。如果一個主體的安全級支配客體的安全級，則主體可讀客體，即主體只能向下讀，不能向上讀。規(guī)則2：不能向下寫(No-Write-Down)，也稱為*特性。如果一個客體的安全級支配主體的安全級，則主體可寫客體，即主體只能向上寫，不能向下寫。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)704.5訪問控制

4.5.3強制訪問控制3.加強完整性的強制訪問控制模型Biba模型設(shè)計類似于BLP模型，不過使用完整性級別而非信息安全級別來進行劃分。Biba模型規(guī)定，信息只能從高完整性的安全等級向低完整性的安全等級流動，就是要防止低完整性的信息“污染”高完整性的信息。Biba模型只能夠?qū)崿F(xiàn)信息完整性中防止數(shù)據(jù)被未授權(quán)用戶修改這一要求。而對于保護數(shù)據(jù)不被授權(quán)用戶越權(quán)修改、維護數(shù)據(jù)的內(nèi)部和外部一致性這兩項數(shù)據(jù)完整性要求卻無法做到。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)714.5訪問控制

4.5.3強制訪問控制3.加強完整性的強制訪問控制模型Clark-Wilson模型的特點有以下幾個方面：采用主體(Subject)/事務(wù)(Program)/客體(Object)三元素的組成方式，主體要訪問客體只能通過程序進行。權(quán)限分離原則。將關(guān)鍵功能分為由兩個或多個主體完成，防止已授權(quán)用戶進行未授權(quán)的修改。要求具有審計能力(Auditing)。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)724.5訪問控制

4.5.3強制訪問控制3.加強完整性的強制訪問控制模型Dion模型結(jié)合BLP模型中保護數(shù)據(jù)保密性的策略和Biba模型中保護數(shù)據(jù)完整性的策略，模型中的每一個客體和主體被賦予一個安全級別和完整性級別，安全級別定義同BLP模型，完整性級別定義同Biba模型，因此，可以有效地保護數(shù)據(jù)的保密性和完整性。ChinaWall模型和上述的安全模型不同，它主要用于可能存在利益沖突的多邊應(yīng)用體系中。比如在某個領(lǐng)域有兩個競爭對手同時選擇了一個投資銀行作為他們的服務(wù)機構(gòu)，而這個銀行出于對這兩個客戶的商業(yè)機密的保護就只能為其中一個客戶提供服務(wù)。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)734.5訪問控制

4.5.4基于角色的訪問控制由于DAC和MAC授權(quán)時需要對系統(tǒng)中的所有用戶進行一維的權(quán)限管理，因此不能適應(yīng)大型系統(tǒng)中數(shù)量龐大的用戶管理和權(quán)限管理的需求。20世紀(jì)90年代以來，隨著對在線的多用戶、多系統(tǒng)的研究不斷深入，角色的概念逐漸形成，并逐步產(chǎn)生了基于角色的訪問控制RBAC(Role-BasedAccessControl)模型這一訪問控制模型已被廣為應(yīng)用。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)744.5訪問控制

4.5.4基于角色的訪問控制基于角色訪問控制的核心思想是將權(quán)限同角色關(guān)聯(lián)起來，而用戶的授權(quán)則通過賦予相應(yīng)的角色來完成，用戶所能訪問的權(quán)限由該用戶所擁有的所有角色的權(quán)限集合的并集決定。當(dāng)用戶機構(gòu)或權(quán)限發(fā)生變動時，可以很靈活地將該用戶從一個角色移到另一個角色來實現(xiàn)權(quán)限的協(xié)調(diào)轉(zhuǎn)換，降低了管理的復(fù)雜度，另外在組織機構(gòu)發(fā)生職能性改變時，應(yīng)用系統(tǒng)只需要對角色進行重新授權(quán)或取消某些權(quán)限，就可以使系統(tǒng)重新適應(yīng)需要。與用戶相比角色是相對穩(wěn)定的。這里的角色就充當(dāng)著主體(用戶)和客體之間的關(guān)系的橋梁2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)754.5訪問控制

4.5.4基于角色的訪問控制角色由系統(tǒng)管理員定義，角色成員的增減也只能由系統(tǒng)管理員來執(zhí)行，即只有系統(tǒng)管理員有權(quán)定義和分配角色。用戶與客體無直接聯(lián)系，他只有通過角色才享有該角色所對應(yīng)的權(quán)限，從而訪問相應(yīng)的客體。RBAC與DAC的根本區(qū)別在于：用戶不能自主地將訪問權(quán)限授給別的用戶。RBAC與MAC的區(qū)別在于：MAC是基于多級安全需求的，而RBAC則不是。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)764.5訪問控制

4.5.4基于角色的訪問控制RBAC核心模型中包含了五個基本靜態(tài)集合：用戶集(Users)、角色集(Roles)、對象集(Objects)、操作集(Operators)和權(quán)限集(Perms)，以及一個運行過程中動態(tài)維護的集合——會話集(Sessions)2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)774.5訪問控制

4.5.4基于角色的訪問控制RBAC的特點便于授權(quán)管理便于根據(jù)工作需要分級便于賦予最小權(quán)限便于任務(wù)分擔(dān)便于文件分級管理便于大規(guī)模實現(xiàn)2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)784.5訪問控制

4.5.5新型訪問控制1．基于任務(wù)的訪問控制(TBAC)該模型的基本思想是：授予給用戶的訪問權(quán)限，不僅僅依賴主體、客體，還依賴于主體當(dāng)前執(zhí)行的任務(wù)及任務(wù)的狀態(tài)。當(dāng)任務(wù)處于活動狀態(tài)時，主體擁有訪問權(quán)限；一旦任務(wù)被掛起，主體擁有的訪問權(quán)限就被凍結(jié)；如果任務(wù)恢復(fù)執(zhí)行，主體將重新?lián)碛性L問權(quán)限；任務(wù)處于終止?fàn)顟B(tài)時，主體擁有的權(quán)限馬上被撤銷。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)794.5訪問控制

4.5.5新型訪問控制2．基于對象的訪問控制(OBAC)控制策略和控制規(guī)則是基于對象訪問控制系統(tǒng)的核心所在，在OBAC模型中，將訪問控制列表與受控對象或受控對象的屬性相關(guān)聯(lián)，并將訪問控制選項設(shè)計成為用戶、組或角色及其對應(yīng)權(quán)限的集合；同時允許對策略和規(guī)則進行重用、繼承和派生操作。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)804.6其他安全機制最小權(quán)限管理最小權(quán)限管理的思想是系統(tǒng)不應(yīng)給用戶/管理員超過執(zhí)行任務(wù)所需權(quán)限以外的權(quán)限如將超級用戶的權(quán)限劃分為一組細粒度的權(quán)限，分別授予不同的系統(tǒng)操作員/管理員，使各種系統(tǒng)操作員/管理員只具有完成其任務(wù)所需的權(quán)限，從而減少由于權(quán)限用戶口令丟失或錯誤軟件、惡意軟件、誤操作所引起的損失。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)814.6其他安全機制可信路徑在計算機系統(tǒng)中，用戶是通過不可信的中間應(yīng)用層和操作系統(tǒng)相互作用的。但用戶登錄、定義用戶的安全屬性、改變文件的安全級等操作，用戶必須確實與安全核心通信，而不是與一個特洛伊木馬打交道。系統(tǒng)必須防止特洛伊木馬模仿登錄過程，竊取用戶的口令。權(quán)限用戶在進行權(quán)限操作時，也要有辦法證實從終端上輸出的信息是正確的，而不是來自于特洛伊木馬。這些都需要一個機制保障用戶和內(nèi)核的通信，這種機制就是由可信路徑提供的。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)824.6其他安全機制可信路徑在計算機系統(tǒng)中，用戶是通過不可信的中間應(yīng)用層和操作系統(tǒng)相互作用的。但用戶登錄、定義用戶的安全屬性、改變文件的安全級等操作，用戶必須確實與安全核心通信，而不是與一個特洛伊木馬打交道。系統(tǒng)必須防止特洛伊木馬模仿登錄過程，竊取用戶的口令。權(quán)限用戶在進行權(quán)限操作時，也要有辦法證實從終端上輸出的信息是正確的，而不是來自于特洛伊木馬。這些都需要一個機制保障用戶和內(nèi)核的通信，這種機制就是由可信路徑提供的。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)834.6其他安全機制可信路徑對用戶建立可信路徑的一種現(xiàn)實方法是使用通用終端發(fā)信號給核心，這個信號是不可信軟件不能攔截、覆蓋或偽造的。一般稱這個信號為“安全注意鍵”。早先實現(xiàn)可信路徑的做法是通過終端上的一些由內(nèi)核控制的特殊信號或屏幕上空出的特殊區(qū)域，用于和內(nèi)核的通信。例如“安全桌面”2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)844.6其他安全機制審計一個系統(tǒng)的安全審計就是對系統(tǒng)中有關(guān)安全的活動進行記錄、檢查及審核。主要目的就是檢測和阻止非法用戶對計算機系統(tǒng)的入侵，并顯示合法用戶的誤操作。審計作為一種事后追查的手段來保證系統(tǒng)的安全，它對涉及系統(tǒng)安全的操作做一個完整的記錄。審計為系統(tǒng)進行事故原因的查詢、定位，事故發(fā)生前的預(yù)測、報警以及事故發(fā)生之后的實時處理提供詳細、可靠的依據(jù)和支持，以備有違反系統(tǒng)安全規(guī)則的事件發(fā)生后能夠有效地追查事件發(fā)生的地點和過程以及責(zé)任人。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)854.7Windows系統(tǒng)安全

4.7.1Windows系統(tǒng)安全等級TCSEC把計算機系統(tǒng)的安全分為A、B、C、D四個大等級七個安全級別。按照安全程度由弱到強的排列順序是：D，C1，C2，B1，B2，B3，A1。CC由低到高共分EAL1-EAL7七個級別。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)864.7Windows系統(tǒng)安全

4.7.1Windows系統(tǒng)安全等級TCSEC中C2安全等級的關(guān)鍵要求，雖然TCSEC已經(jīng)被CC所取代，但是現(xiàn)在它們?nèi)匀槐徽J為是任何一個安全操作系統(tǒng)的核心要求。1）安全的登錄設(shè)施。要求用戶被唯一識別，而且只有當(dāng)他們通過某種方式被認證身份以后，才能被授予對該計算機的訪問權(quán)。2）自主訪問控制。資源的所有者可以為單個用戶或一組用戶授予各種訪問權(quán)限。3）安全審計。要具有檢測和記錄與安全相關(guān)事件的能力。例如，記錄創(chuàng)建、訪問或刪除系統(tǒng)資源的操作行為。4）對象重用保護。在將一個對象，如文件和內(nèi)存分配給一個用戶之前，對它進行初始化，以防止用戶看到其他用戶已經(jīng)刪除的數(shù)據(jù)，或者訪問到其他用戶原先使用后來又釋放的內(nèi)存。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)874.7Windows系統(tǒng)安全

4.7.1Windows系統(tǒng)安全等級Windows也滿足TCSEC中B等級安全性的兩個要求：1）可信路徑功能。防止特洛伊木馬程序在用戶登錄時截獲用戶的用戶名和口令。在Windows中，例如，通過<Ctrl+Alt+Del>組合鍵序列來實現(xiàn)可信路徑功能。<Ctrl+Alt+Del>是系統(tǒng)默認的系統(tǒng)登錄/注銷組合鍵序列，系統(tǒng)級別很高，理論上木馬程序想要屏蔽掉該鍵序列的響應(yīng)或得到這個事件響應(yīng)是不可能的。2）可信設(shè)施管理。要求針對各種管理功能有單獨的賬戶角色。例如，針對管理員、負責(zé)計算機備份的用戶和標(biāo)準(zhǔn)用戶分別提供單獨的賬戶。Windows通過它的安全子系統(tǒng)和相關(guān)的組件來滿足以上所有這些要求的。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)884.7Windows系統(tǒng)安全

4.7.2Windows系統(tǒng)安全機制1.Windows認證機制（1）本地登錄本地登錄指用戶登錄的是本地計算機，對網(wǎng)絡(luò)資源不具備訪問權(quán)力。本地登錄所使用的用戶名與密碼被存儲在本地計算機的安全賬戶管理器(SAM)中，由計算機完成本地登錄驗證，提交登錄憑證包括用戶ID與口令。本地計算機的安全子系統(tǒng)將用戶ID與口令送到本地計算機上的SAM數(shù)據(jù)庫中做憑證驗證。這里需要注意的是，Windows的口令不是以純文本格式存儲在SAM數(shù)據(jù)庫中的，而是每個口令利用散列算法進行存儲。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)894.7Windows系統(tǒng)安全

4.7.2Windows系統(tǒng)安全機制1.Windows認證機制（1）本地登錄針對SAM進行破解的工具有很多，其中“惡名昭著”的有L0phtCrack(LC)、Cain&Abel等。如果操作系統(tǒng)的SAM數(shù)據(jù)庫出現(xiàn)問題，將面臨無法完成身份認證、無法登錄操作系統(tǒng)、用戶密碼丟失的情況。所以，保護SAM數(shù)據(jù)的安全就顯得尤為重要。使用SysKey是一個很好的選擇，讀者可自行完成SysKey的配置。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)904.7Windows系統(tǒng)安全

4.7.2Windows系統(tǒng)安全機制1.Windows認證機制（2）基于活動目錄的域登錄基于活動目錄的域登錄與本地登錄的方式完全不同。首先，所有的用戶登錄憑證(用戶ID與口令)被集中地存放到一臺服務(wù)器上，結(jié)束了分散式驗證的行為。該過程必須使用網(wǎng)絡(luò)身份驗證協(xié)議，這些協(xié)議包括Kerberos、LAN管理器(LM)、NTLAN管理器(NTLM)等，而且這些過程對于用戶而言是透明的。從某種意義上講，這真正做到了統(tǒng)一驗證、一次登錄、多次訪問。2023/2/3計算機系統(tǒng)安全原理與技術(shù)(第3版)914.7Windows系統(tǒng)安全

4.7.2Windows系統(tǒng)安全機制2.Windows訪問控制機制Windows的訪問控制策略是基于自主訪問控制的Windows利用安全子系統(tǒng)來控制用戶對計算機上資源的訪問。安全子系統(tǒng)包括的關(guān)鍵組件是：安全性標(biāo)識符(SID)、訪問令牌(AccessToken)、安全描述符(SecurityDescriptor)、訪問控制列表(AccessControlList)、訪問控制項(AccessControlEntry)、安全引用監(jiān)視器(SecurityReferenceMonitor