第二章 操作统安全机制.ppt

 第二章 操作系统安全机制 江苏大学计算机学院 操作系统安全的主要目标 访问控制 身份鉴别 监督系统运行的安全性 保证系统的安全性和完整性 普遍的安全机制 信任的功能性 时间检测 审计跟踪 安全恢复 2.1标识与鉴别机制 用户标识(identification)：用来标明用户身份，确保用户的惟一性和可辨认性的标志，一般选用用户名称和用户标识符(UID)来标明一个系统用户，名称和标识符均为公开的明码信息。用户标识是有效实施其他安全策略，如用户数据保护和安全审计的基础。通过为用户提供标识，TCB能使用户对自己的行为负责。 用户鉴别 用户鉴别(authentication)：用特定信息对用户身份、设备和其他实体的真实性进行确认，用于鉴别的信息是非公开的和难以仿造的，如口令(也称密钥)。用户鉴别是有效实施其他安全策略的基础。 三类信息用作身份标识和鉴别 用户知道的信息 用户拥有的东西 用户的生物特征 利用其中的任何一类都可进行身份认证，但若能利用多类信息，或同时利用三类中的不同信息，会增强认证机制的有效性和强壮性。 2.1.2 密码 口令机制简单易行，但最为脆弱 口令管理 系统管理员的职责 用户的职责 口令实现要点 2.1.3 生物鉴别方法 用户提供自己独有的生理或行为上的特点 常见的指纹识别 2.2 访问控制 用户进程是固定为某特定用户服务的，它在运行中代表该用户对客体资源进行访问，其权限应与所代表的用户相同，这一点可通过用户与主体绑定实现。 用户与主体绑定 系统进程是动态地为所有用户提供服务的，它的权限随着服实对象的变化而改变，这需要将用户的权限与为其服务的进程的权限动态地相关联。这也就是说，一个进程在不同时刻对一个客体有不同的访问权限，取决于它当时所执行的任务。当进程在执行正常的用户态应用程序时(用户进程)，它所拥有的权限与其代表的用户有关；当进程进行系统调用时，它开始执行内核函数(系统进程)，此时运行在核心态，拥有操作系统权限。 授权机制的功能 经典的计算机系统两种机制的关键点，当一个用户试图访问计算机系统时，认证机制首先标识与鉴别用户身份用户进入系统后，再由授权机制检查其是否拥有使用本机资源的权限及有多大的访问权限。 授权机制的功能是授权和存取控制，其任务是： 授权，确定给予哪些主体存取哪些客体的权力。 确定存取权限，通常有：读、写、执行、删除、追加等存取方式。 实施存取权限。 认证和授权 2.2.2 自主访问控制策略 本策略根据系统中信息属主指定方式或默认方式、即按照用户的意愿来确定用户对每一个客体的访问权限，这一点上对信息属主是“自主的”。这样一来，它能提供精细的访问控制策略，能将访问控制粒度细化到单个用户(进程)。按照系统访问控制策略实现的访问控制机制，能够为每个命名客体指定命名用户和用户组，并规定他们对客体的访问权限，没有访问权限的用户，只允许由授权用户指定其对客体的访问权。 自主访问控制模型 矩阵模型： 设S为全体主体的集合，S＝{s 1，s 2，…，s m }。 设O为全体客体的集合，O＝{o 1，o 2，…，o n }。 设R为全体权力的集合，R＝{r 1，r 2，…，r l }。 记权力矩阵为： a 1 1 ，a 1 2 ，…，a 1 n S 1 a 2 1 ，a 2 2 ，…，a 2 n S2 A＝ …… ＝ … =[o 1,o 2,…o n ] a m 1 ，a m 2 ，…，a m n Sm 自主访问控制模型 ①矩阵的每一行对应一个主体，每一列对应一个客体。行与列交叉点上的元素a ij 表示主体si 对客体oj 所拥有的所有权力的集合。 ②当主体si 要对客体oj 进行访问时，访问控制机制检查aij ，看主体si 是否具有对客体oj 进行访问的权力，以决定主体si 是否可对客体oj 进行访问，以及进行什么样的访问。 ③自主性 客体的属主有权将其客体的访问权力授予其它主体，或收回。 自主访问控制模型 ④矩阵模型的实现 基于矩阵列 对需要保护的客体附件一个访问控制表，标明各拥有权力的主体的标识与权限。 UNIX，LINUX，NT 基于矩阵的行 在每个主体上附件一个可访问的客体的明细表： 权力表 口令 1. 基于行的自主存取控制机制 在每个主体上都附加一个该主体可访问的客体明细表，根据表中信息的不同又可分成3种： 1) 权能表 2)前缀表 对每个主体赋予前