4.5 文件的安全与保护.pptVIP

4.5 文件的安全与保护 下面列出几个用于指导安全系统设计的一般原则： ① 公开系统设计，几乎所有的入侵者都知道系统的工作方式。 ② 把不可访问属性定为缺省。 ③ 检查当前的文件使用权限。系统应该在对文件进行操作时检查当前权限，确定该访问合法。 ④每个进程赋予一个最小的可能权限。 ⑤保护机制要力求简单一致、嵌入到系统的底层。 ⑥保护方案简单易用。 　 下面介绍几种常用的保护方法。 4.5.1 用户认证 当用户登录时，检验其身份的过程叫做用户认证。 1. 口令 2. 物理鉴定 3. 其它对策 4.5.2 保护域 某些系统使用一个叫做引用监视器的程序来实现保护。 每个对象都有一个惟一的名字，用户通过这个名字来引用对象。 为了讨论不同的保护机制，引入域的概念。域是（对象，权限）对的集合，每个对标明了一个对象和一个可执行操作的子集，这里权限表示允许执行的操作。 图4.19显示了三个域，并给出了每个域的对象，以及对这些对象允许的操作（读、写、执行）。注意，打印机同时属于两个域。同一对象可能出现在多个域中，并且在不同域中的权限也可以不同。 用矩阵表示对象与域的关系更为清楚。矩阵的行表示域，列表示对象。图4.19对应的矩阵如表4.1所示，给定该矩阵及当前域号，系统可以给出是否能够按特定方式从某指定域中访问对象。 如果把域本身也当作对象，图4.19可用表4.2来表示，只是增加了三个域作为对象。域1中的进程可以切换到域2，然而，一旦切换后，它不能重新回到域1。 4.5.3 存取控制 表5.2中的矩阵，大多数域都只存取很少的对象，因此存储一个大而空的矩阵浪费了大量的磁盘空间。 为节省存储空间，采用按行或按列来存储矩阵中的非空元素。本节介绍按列存储，下一节介绍按行存储。 在这种存储技术中，每个对象被赋予一张排序的列表，其中列出了可以访问该对象的所有域，以及如何进行访问。 这张表也称为访问控制表ACL（access control list）。可以把每个文件的ACL放在一个单独的磁盘块中，并在文件的i节点中包含这个磁盘块的块号。因为只存储了非空项，全部ACL所需的存储空间要比存储整个矩阵所需的空间少得多。 4.5.4 存取权限 与访问控制表类似，建立存取权限表（capability list）。访问控制表是以文件为单位建立的，存取权限表是以用户或用户组为单位建立的，将一个用户或用户组所要存取的文件集中起来存入一张表中，其中每个表目指明用户（用户组）对相应文件的存取权限。 表5.3是一张典型的权限表。 4.5.5 保护模型 1．文件与目录的权限 共享资源的安全性是所有操作系统都必须认真对待的问题。 2．文件内容的加密 　　　当今流行的加密算法有置换表算法、对称密钥算法以及非对称密钥算法等。 置换表算法是最简单的加密算法，但是也能很好地满足文件加密的需求。 对称密钥算法则是加密解密都使用相同密钥的加密算法。 非对称密钥算法是加密解密使用不同的密钥的算法。 4.5.6 隐藏通道 Lampson的模型中有三个进程，主要适用于大型分时系统。第一个进程是客户进程，它向第二个进程，即服务器进程，请求执行某项操作。 第三个进程是协调进程。协调进程和服务器进程往往属于同一用户，它们合谋窃取客户进程的秘密数据。 图4.20显示了这三个进程的关系。我们希望设计一个安全系统，使得服务器进程不可能向协调进程泄漏从客户进程那儿获得的信息。Lampson把它叫做限制问题。 系统设计者的目标是封装或限制服务器进程，使得它无法向协调进程传送信息。使用保护矩阵，很容易保证服务器进程与协调进程之间不可能通过文件进行通信，也就是说，服务器进程不可能把数据写到一个协调进程能够读取的文件中。 此外，还可以保证两个进程不可能通过系统的进程间通信机制实现通信。 * file[1R] File2[RW] file3[R] file4[RWX] file5[RW] Printer[W] file6[RWX] plotler[W] 域1 域2 域3 图4.19 保护域 w w rwx 域3 w rw rwx r 域2 rw r 域1 plotter printer file6 file5 file4 file3 file2 file1 表4.1 保护域矩阵 w w rwx 域3 w rw rwx r 域2 enter rw r 域1 域3 域2 域1 plotter printer file6 file5 file4 file3 file2 file1 图4.2 扩充的保护域矩阵 假设有四个用户（即uid）：Jan，Els，Jelle和Maaike，它们分