信息系统安全第五讲操作系统安全.pptVIP

信 息 系 统 安 全 第五讲 操作系统安全 张焕国 武汉大学计算机学院 目 录 1、信息系统安全的基本概念 2、密码学(1) 3、密码学(2) 4、操作系统安全(1) 5、操作系统安全(2) 6、数据库安全(1) 7、数据库安全(2) 8、可信计算(1) 9、可信计算(2) 一、访问控制框架与模型 ①操作系统安全的核心是访问控制 主体对客体的访问只能是授权的，未授权的访问是不能进行的，而且授权策略是安全的。 ② 访问控制 身份识别 权限控制 行为监控 安全审计 一、访问控制框架与模型 ③ISO制定的访问控制基本框架 一、访问控制框架与模型 ④访问控制模型 自主访问控制DAC（Discretionary Access Control） 客体的属主可以自主地将权限转授给别的主体。 强制访问控制MAC(Mandatory Access Control) 即使是客体的属主，也不能自主地将权限转授给别的主体。一个主体能否获得对某客体的权限，要根据安全规则来确定。 基于角色的访问控制RBAC（Role Based Access Cotrol） 基于规则的访问控制UBAC（Rule Based Access Control） 二、自主访问控制模型 矩阵模型： 设S为全体主体的集合，S＝{s 1，s 2，…，s m }。 设O为全体客体的集合，O＝{o 1，o 2，…，o n }。 设R为全体权力的集合，R＝{r 1，r 2，…，r l }。 记权力矩阵为： a 1 1 ，a 1 2 ，…，a 1 n S 1 a 2 1 ，a 2 2 ，…，a 2 n S2 A＝ …… ＝ … =[o 1,o 2,…o n ] a m 1 ，a m 2 ，…，a m n Sm 二、自主访问控制模型 ①矩阵的每一行对应一个主体，每一列对应一个客体。行与列交叉点上的元素a ij 表示主体si 对客体oj 所拥有的所有权力的集合。 ②当主体si 要对客体oj 进行访问时，访问控制机制检查aij ，看主体si 是否具有对客体oj 进行访问的权力，以决定主体si 是否可对客体oj 进行访问，以及进行什么样的访问。 ③自主性 客体的属主有权将其客体的访问权力授予其它主体，或收回。 二、自主访问控制模型 ④矩阵模型的实现 基于矩阵列 对需要保护的客体附件一个访问控制表，标明各拥有权力的主体的标识与权限。 UNIX，LINUX，NT 基于矩阵的行 在每个主体上附件一个可访问的客体的明细表： 权力表 口令 MULTICS MVS 二、强制访问控制模型 1、 BL－P模型 ①军事安全策略 每个军官和文件都划分一个密级： 不保密（unclassified）、秘密（confidential）、机密（secret）、绝密（topsecret）等级。 密级是线性有序的： unclassified confidential secret topsecret 每个军官和文件都划分一个业务范围： 例如，北约类（NATO）、核武器类（NUCLEAR）、导弹防御系统（NMD）、反恐等。 二、强制访问控制模型 ①军事安全策略 每个军官和文件都划分一个安全级别： 安全级别＝密级，业务范围 一个军官要能阅读某一文件，军官的密级必须大于等于该文件的密级，而且军官的业务范围必须包含文件的业务范围。例如，设军官A和文件F1的安全级别为 F1： secret ，NATO 、NUCLEAR ， A： topsecret ，NATO 、NUCLEAR 、NMD， 则军官A可以阅读文件F1。 二、强制访问控制模型 ①军事安全策略 一个军官要能写某一文件，军官的密级必须小 于等于该文件的密级，而且军官的业务范围必须被文件的业务范围所包含。 例如，设军官B和文件F2的安全级别为 F2： secret ，NATO 、NUCLEAR ， B： secret ，NATO 、NUCLEAR 、