第2章-安全機制教學課件

操作系統(tǒng)的安全性物理上分離:要求進程使用不同的物理實體時間上分離:具有不同安全要求的進程在不同的時間運行邏輯上分離:操作系統(tǒng)通過限制程序的存取,使得程序不能存取其允許范圍外的實體密碼上分離:進程以一種其他進程不可知的方式隱藏數(shù)據(jù)及計算操作系統(tǒng)安全的主要目標依據(jù)系統(tǒng)安全策略對用戶的操作進行存取控制,防止用戶對計算機資源的非法存取標識系統(tǒng)中的用戶并進行身份鑒別監(jiān)督系統(tǒng)運行的安全性保證系統(tǒng)自身的安全性和完整性安全機制安全機制是一種技術、一些軟件或實施一個或更多安全服務的過程安全機制可分為：1、特殊安全機制：在同一時間只對一種安全服務上實施一種技術或軟件2、普遍安全機制：列出在同時實施一個或多個安全服務時的執(zhí)行過程（不能應用到OSI參考模型的任一層上）普遍的安全機制信任的功能性：指任何加強現(xiàn)有機制的執(zhí)行過程事件檢測：檢查和報告本地或遠程發(fā)生的事件審計跟蹤：任何機制都允許監(jiān)視和記錄與安全有關的活動安全恢復：對一些事件作出反應，包括對于已知漏洞創(chuàng)建短期和長期的解決方案和對受危害系統(tǒng)的修復2.1標識與鑒別機制標識：是用戶要向系統(tǒng)表明的身份；是系統(tǒng)為用戶分配唯一的用戶標識符鑒別：對用戶所宣稱的身份標識的有效性進行校驗和測試的過程。將用戶與用戶標識符聯(lián)系的過程授權：系統(tǒng)向用戶賦予的對目標的操作的權力和特權用戶聲明身份的方法證實你所知道的密碼驗證、身份證號碼等出示你所擁有的智能卡、內(nèi)存卡等證明你是誰指紋、視網(wǎng)膜樣本、照片等表現(xiàn)你的動作簽名、語速等口令機制是身份鑒別中最常用也是最弱的鑒別機制脆弱性表現(xiàn)1、用戶經(jīng)常使用易記的內(nèi)容作為口令2、系統(tǒng)隨機產(chǎn)生的口令難以記憶3、口令的傳遞會以明文的方式進行4、有很多手段可以獲得用戶口令5、比較簡單的口令通過暴力攻擊可以破解口令的選取不使用有意義的能夠標識自己身份的詞或短語作為口令不要使用字典中的詞、常用短語或行業(yè)縮寫等作為口令應該使用非標準的大寫和拼寫方法應該使用大小寫和數(shù)字混合的方法選取口令口令的質量口令空間公式：S=G/PG=L*R（L代表口令的最大有效期，R代表單位時間內(nèi)可能的口令猜測數(shù)，P代表口令有效期內(nèi)被猜出的可能性）口令加密算法使用系統(tǒng)名或用戶賬號作為加密因素口令長度口令計算公式：M=logAS（A代表字母表中字母個數(shù)，S是口令空間）破解密碼的方法社會工程學方法字典程序攻擊口令文件竊取暴力破解口令管理當用戶在系統(tǒng)注冊時，必須賦予用戶口令用戶口令必須定期更改系統(tǒng)必須維護一個口令數(shù)據(jù)庫用戶必須記憶自身的口令在系統(tǒng)認證用戶時，用戶必須輸入口令系統(tǒng)管理員應負的職責初始化系統(tǒng)口令初始口令分配口令更改認證用戶ID使用戶ID重新生效培訓用戶口令機制的實現(xiàn)口令的存儲口令的傳輸賬戶閉鎖賬戶管理用戶安全屬性審計實時通知系統(tǒng)管理員通知用戶生物鑒別方法應該保證對世界上的每一個人提供絕對惟一的身份標識為保證鑒別的準確性，鑒別設備必須能夠讀取非常精確的信息用戶的生物測定因素必須被取樣并且存儲在鑒別設備的數(shù)據(jù)庫中如果使用的生物測定因素其特性隨時間而變化，則取樣必須定期重新進行對認證機制的要求在進行任何需要TCB仲裁的操作之前，TCB都應該要求用戶標識他們自己TCB必須維護認證數(shù)據(jù)，包括證實用戶身份的信息以及決定用戶策略屬性的信息TCB保護認證數(shù)據(jù)，防止被非法用戶使用TCB應能維護、保護、顯示所有活動用戶和所有用戶賬戶的狀態(tài)信息一旦口令被用做一種保護機制，應該滿足一定條件訪問控制基本概念授權：系統(tǒng)為用戶授予權限、安全級等，確定可給予哪些主體存取客體的權力訪問控制機制的目的：

1、保護存儲在計算機上的個人信息2、保護重要信息的機密性3、維護計算機內(nèi)信息的完整性4、減少病毒感染機會，從而延緩這種感染的傳播5、保證系統(tǒng)的安全性和有效性，以免受到偶然的和蓄意的侵犯訪問控制機制的實行確定要保護的資源。確定系統(tǒng)中被處理、被控制或被訪問的對象授權。規(guī)定可以訪問資源的實體或主體確定訪問權限。規(guī)定可以對該資源執(zhí)行的動作實施訪問權限。通過確定每個實體可以對哪些資源執(zhí)行哪些動作來確定該安全方案訪問控制技術自主訪問控制技術（DiscretionaryAccessControl,DAC）強制訪問控制技術（mandatoryAccessControl,MAC）基于角色的訪問控制技術（Role-basedAccessControl,RBAC）自主訪問控制系統(tǒng)允許客體的所有者或建立者控制和定義主體對客體的訪問，即訪問控制是基于擁有者的自由處理。1、用戶可以自主地說明自己所擁有的資源允許系統(tǒng)中哪些用戶以何種權限進行共享2、對其他具有授權能力的用戶，能夠自主地將訪問權或訪問權的某個子集授予另外的用戶DAC的實現(xiàn)系統(tǒng)通常保存訪問存取矩陣實現(xiàn)自主存取控制（行為主體，列為客體）。實際的方法是基于行或列。1、基于行的自主訪問控制機制2、基于列的自主訪問控制機制基于行的自主訪問控制在每個主體上附加一個該主體可以訪問的客體的明細表明細表中的信息可分為三種形式：1、能力表（capabilitieslist）：存放用戶對客體進行訪問的模式（讀、寫、執(zhí)行、不允許），主體按照模式訪問客體。能力可傳遞也可收回。2、前綴表（profiles）：存放受保護客體名及主體的訪問權限。3、口令（password）：每個客體有個口令，主體的訪問應提供口令，系統(tǒng)檢查是否匹配，從而決定是否允許訪問?；诹械淖灾髟L問控制指每個客體附加一個可訪問它的主體明細表。兩種形式：1、保護位（ProtectionBits）：對所有的主體、主體組、客體的擁有者指明一個訪問模式集合。2、訪問控制表（AccessControlList,ACL）：每個客體附加一個主體明細表，每個表項包括主體身份及訪問權限。ACL結構ID1.rxID2.rID3.x……IDn.rwx客體file1文件ALPHAJonesCRYPTOrwx*CRYPTOr_xGreen*---**r__文件設置的訪問模式讀拷貝（read-copy）寫刪除（write-delete）執(zhí)行（execute）無效（null）文件目錄的訪問操作對目錄而不對文件實施訪問控制對文件而不對目錄實施訪問控制對目錄及文件都實施訪問控制強制訪問控制系統(tǒng)對主體與客體都分配一個特殊的一般不能更改的安全屬性，系統(tǒng)通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體。用戶為某個目的而運行的程序，不能改變它自己及任何其它客體的安全屬性，包括該用戶自己擁有的客體。強制存取控制機制中，每個主體、客體都賦予相應的安全屬性（安全級），該屬性由管理部門或系統(tǒng)自動按照嚴格的規(guī)則設置，用戶不能修改。主體對客體的訪問由強制安全控制機制按照某種安全策略，比較主、客體安全屬性，確定是否允許訪問。若系統(tǒng)判斷不許訪問，任何人（包括客體主）也不能訪問，即“強制的”強制訪問控制通常強制存取控制與自主存取控制結合使用，僅當主體通過它們檢查后，才能執(zhí)行訪問。安全級：也稱密級、安全屬性、許可證、存取類等，對象所具有的敏感級別。由保密級別和范疇集組成。保密級別分為公開、秘密、機密、絕密等，范疇集指安全級涉及的領域，如人事處、財務處等。保密級別是線性的，范疇集之間是包含、被包含、無關。兩個安全級之間存在支配關系，它是偏序的。強制訪問控制A安全級支配B安全級，即A的保密級別不小于B的安全級別，且A的范疇集包含B的范疇集。反之，稱A支配于B。若A的級別等于B的級別，且兩者范疇集相同，則A等于B。若A的范疇集不包含B的安全級，且B的范疇集不包含A的范疇集，則A與B無關。強制訪問控制的方法限制訪問控制過程控制系統(tǒng)限制基于角色的訪問控制RBAC模型的基本思想是將訪問許可權分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權。RBAC本質上也是強制訪問控制的一種，只不過訪問控制是基于工作的描述RBAC的基本概念用戶（User）：系統(tǒng)的使用者。角色（Role）：對應于組織中某一特定的職能崗位，代表特定的任務范疇。許可（Permission）：表示對系統(tǒng)中的客體進行特定模式訪問的操作許可，例如對數(shù)據(jù)庫系統(tǒng)中關系表的選擇、插入、刪除。用戶分配、許可分配：用戶與角色，角色與許可之間的關系都是多對多的關系。進行許可分配時，應遵循最小特權原則會話（Session）：用戶是一個靜態(tài)的概念，會話則是一個動態(tài)的概念。一次會話代表用戶與系統(tǒng)進行交互，用戶與會話是一對多關系。活躍角色集（ARS）：一個對話構成一個用戶到多個角色的映射，即會話激活了用戶授權角色集的某個子集，這個子集被稱為活動角色集，ARS決定了本次會話的許可集。RBAC的特征訪問權限與角色相關聯(lián)，不同的角色有不同權限角色繼承最小權限原則職責分離（動態(tài)分離和靜態(tài)分離）角色容量最小特權管理特權：為使系統(tǒng)能夠正常運行，某些進程具有的可違反系統(tǒng)安全策略的能力稱為特權。最小特權：要求賦予系統(tǒng)中每個使用者執(zhí)行授權任務所需的限制性最強的一組特權（即最低許可）給予主體“必不可少”的特權5個特權管理職責系統(tǒng)安全管理員（SSO）審計員（AUD）操作員（OP）安全操作員（SOP）網(wǎng)絡管理員（NET）可信通路用戶能夠借以直接同可信計算基通信的一種機制，保障用戶與內(nèi)核安全通信功能：可信通路保證防止惡意軟件在用戶面前冒充可信軟件，也防止在可信軟件面前冒充用戶?？尚磐ǖ乐副Ｗo不同網(wǎng)絡組件之間的可信軟件之間的安全通信。實現(xiàn)方法：多終端或安全注意鍵2.5安全審計機制日志:記錄的事件或統(tǒng)計數(shù)據(jù)審計:對日志記錄的分析并以清晰的、能理解的方式表述系統(tǒng)信息。安全審計：對系統(tǒng)中有關安全的活動進行記錄、檢查及審核通過事后分析的方法認定違反安全規(guī)則的行為，從而保證系統(tǒng)的安全審計機制的作用能夠詳細記錄與系統(tǒng)安全有關的行為，并對這些行為進行分析，發(fā)現(xiàn)系統(tǒng)中的不安全因素，保障系統(tǒng)安全能夠對違反安全規(guī)則的行為或企圖提供證據(jù)，幫助追查違規(guī)行為發(fā)生的地點、過程以及對應的主體對于已受攻擊的系統(tǒng)，可以提供信息幫助進行損失評估和系統(tǒng)恢復審計事件審計事件是系統(tǒng)審計用戶操作的最基本單位。系統(tǒng)將所有要求審計或可以審計的用戶動作都歸納成一個個可區(qū)分、可識別、可標志用戶行為和可記錄的審計單位，即審計事件審計記錄—一個審計事件的描述。審計日志—審計記錄集合。審計點—進行審計的地點。通常設在操作入口處或操作出口處審計系統(tǒng)的實現(xiàn)審計系統(tǒng)包含三個部分:日志記錄器、分析器和通告器日志文件：1、系統(tǒng)日志：跟蹤各種系統(tǒng)事件，記錄由windowsNT的系統(tǒng)組件產(chǎn)生的事件2、應用程序日志：記錄由應用程序或系統(tǒng)程序產(chǎn)生的事件3、安全日志：記錄相應的關鍵安全事件，如登錄上網(wǎng)、下網(wǎng)、改變訪問權限等2.6存儲保護、運行保護和I/O保護存儲保護：保護用戶在存儲器中的數(shù)據(jù)存儲器管理1、虛地址空間2、段內(nèi)存管理的訪問控制1、用戶模式與系統(tǒng)模式2、密鑰法3、描述符：每個進程有一個私有的地址描述符，進程對系統(tǒng)內(nèi)存某頁或某段的訪問模式在描述符中說明運行保護基于保護環(huán)的等級結構實現(xiàn)等級域機制和進程隔離機制

1、等級域機制應保護某一環(huán)不被外層環(huán)侵入，且允許某一環(huán)內(nèi)的進程能有效的控制該環(huán)及外環(huán)2、隔離機制保護進程免遭同一環(huán)內(nèi)同時運行的其他進程破壞I/O保護處理器到設備通過I/O調用完成，需加讀寫訪問控制。設備到介質不需約束2.7主流操作系統(tǒng)的安全機制UNIX安全機制1、標識:超級用戶(root)控制一切。每個帳號是一個單獨實體，每個用戶得到一個主目錄和一塊硬盤空間。每個用戶帳號創(chuàng)建時，系統(tǒng)管理員分配一個UID。系統(tǒng)的/etc/passwd文件包含每個用戶的信息（也可能存于/etc/shadow）中。UNIX安全機制鑒別：用戶輸入口令，系統(tǒng)使用改進的DES算法（調用crypt（））對其加密，并將結果與/etc/passwd或NIS數(shù)據(jù)庫中加密口令比較，若匹配，則合法。/etc/passwd文件常用shadow文件存放加密口令，用戶不可讀。UNIX安全機制存取控制：存取權限位有9個比特位，分為3組。UNIX安全機制改變權限：使用chmod命令，以新權限和文件名為參數(shù)。審計：審計結果放于日志文件中。密碼：有crypt，des，pgp加密程序。Linux操作系統(tǒng)的安全機制PAM機制入侵檢測系統(tǒng)加密文件系統(tǒng)安全審計強制訪問控制防火墻PAM機制PAM配置文件有兩種寫法:一種是寫在/etc/pam.conf中.格式如下:

ftpd

auth

required

pam_unix.so

nullok

ftpd:表示服務名,即針對哪一個服務進行的認證配置。required:為模塊類型.

pam_unix.so:為模塊路徑.即要調用模塊的位置。nullok:為模塊參數(shù),即傳遞給模塊的參數(shù)。另一種寫法是,將PAM配置文件放到/etc/pam.d/目錄下,使用應用程序名作為配置文件名。如:vsftpd,login等。配置文件的格式與pam.conf類似,只是少了最左邊的服務名列。如:/etc/pam.d/cupsPAM的模塊類型Linux-PAM有四種模塊類型,分別代