第4章-通用操作系统保护课件.pptVIP

4.5 用户鉴别 操作系统提供的大部分保护都是以知道用户身份为基础的。生活中有许多鉴别手段，包括文件、声音识别、指纹和视网膜匹配等可信的识别方法。但是在计算机技术中鉴别工具的选择有许多的局限性，而且安全性可能更差。大多数计算机系统的鉴别需要依赖计算系统和用户都知道的某些知识。 鉴别机制使用下列三种性质中的某种性质来确认用户的身份： (1) 用户已知的事情：如口令、PIN数字、口令短语等。 (2) 用户拥有的东西：如身份徽章、物理钥匙、驾驶执照等。 (3) 用户身体的一些特征：以用户物理特征为鉴别的基础，称为生物特征鉴别(biometrics)，如指纹、人的声音、相貌等。 # 两种或更多方式结合起来能形成更稳妥的鉴别服务。 生物特征鉴别推进困难的原因：用户的接受程度不高。 Prabhakar等列出了生物特征鉴别与隐私有关的三类情况： (1) 不可预计的功能范畴：鉴别不仅仅是授权，还可能具有其他附加的功能。 (2) 不可预计的应用范畴：鉴别例程识别客体。例如鉴别例程可以识别出一个客体是否使用的假姓名。 (3) 隐藏的身份识别：不必通过识别或鉴别就可以识别一个客体。 4.5.1 口令鉴别 口令(password) 是用户和计算机都知道的一个“单词”。口令保护可以提供一个相对安全的系统，但是人们对口令的不恰当使用可能降低安全保护的质量。这里我们将主要讨论口令攻击、选择口令的标准和口令的鉴别方法。 4.5.1 口令鉴别(续) 口令实际上是相互达成一致的字码，并假定只有用户和系统知道这个字码。口令可以由用户选择也可以是系统分配。口令格式和长度各个操作系统会有所不同。 口令也存在一些问题： 丢失 ：根据口令的实现方法，没有人能找回原来的口令。 使用：每次访问文件，都要求提供口令，这种方式非常不方便。 泄露：如果口令泄露给非授权个体，则文件就可能被非法访问。更改口令需要通知所有合法用户。 撤消：为了撤消一个用户对文件的访问权限，需要更 改口令，将引起与泄露口令相同的问题。 4.5.2 附加的鉴别信息 除用户名和口令之外，可能还需要授权用户的其他信息来用于鉴别。如Adams工作于会计部门，他允许的登录办公计算机的时间可以是周一至五的上午8:00至下午5:00。这样做的好处在于： (1) 阻止外界的某个人试图假冒Adams。这种尝试由于时间或访问端不符合而以失败告终。 (2) 阻止Adams本人试图在家或在周末访问系统，访问不允许使用的资源或偷偷地干不能公开的事情。 副作用：使系统复杂化。 4.5.2 附加的鉴别信息(续) 使用附加的鉴别信息称为多因素鉴别(multifactor authentication)。两种形式的鉴别称为两因素鉴别(two-factor authentication)，通常认为比一种形式的鉴别好，因为一般地说这样的鉴别安全性更强。但随之而来的是复杂度增加。 4.5.3 口令攻击 有几种方法可以确定用户口令： (1) 尝试所有可能的口令 (2) 尝试经常使用的口令 (3) 尝试一个用户可能的口令 (4) 查找系统口令表 (5) 询问用户 # 困难程度依次降低，成功可能性依次降低 4.5.3 口令攻击(续) 松懈的系统 假设一个对系统一无所知的入侵者，如下登录设计不好： WELCOME TO THE XYZ COMPUTING SYSTEMS ENTER USER NAME: adams INVALID USER NAMEUNKNOWN USER ENTER USER NAME: 4.5.3 口令攻击(续) 改进的设计为： WELCOME TO THE XYZ COMPUTING SYSTEMS ENTER USER NAME: adams ENTER PASSWORD: john INVALID ACCESS ENTER USER NAME: 4.5.3 口令攻击(续) 更好的设计为： ENTER USER NAME: adams ENTER PASSWORD: john INVALID ACCESS ENTER USER NAME: adams ENTER PASSWORD: johnq WELCOME TO THE XYZ COMPUTING SYSTEMS 4.2.7 段页式(续) 图 4.9 段页式 4.3 一般对象的访问控制 在多道程序环境下，内存保护只是对象保护的一种特殊情形，需要保护的对象包括：内存、辅