第11章操作系统安全性.ppt

第11章操作系统安全性 第11章操作系统安全性 11.2.3 存取控制 2. 存取控制表 存取控制表是用来记录所有可存取该实体的主体和存取方式的一类数据结构。 每个实体都对应一张存取控制表，表中列出所有的可存取该实体的主体和存取方式。这和目录表是不同的，目录表是由每个主体建立的，而存取控制表则是由每个实体建立的。 第11章操作系统安全性 11.2.3 存取控制 存取控制表 ： 第11章操作系统安全性 11.2.3 存取控制 3. 存取控制矩阵 将目录看做是单个主体能存取的实体表，而将存取表看做是记录能存取单个实体的主体表。 如果将存取控制表用另一种形式表示，则可以形成一张行用于表示主体，列表示实体的存取矩阵，每个记录则表示该主体对实体的存取权限集。 这样的存取控制矩阵是个稀疏矩阵，大多数主体对大多数实体并无存取权限，它可被表示为一个三维向量〈主体，实体，权限〉。 第11章操作系统安全性 11.2.3 存取控制 4. 权能 所谓权能，其原理是主体可以建立新的实体并指定在这些实体上所允许的操作。 权能是一张不可伪造的标志或凭证，它提供主体对某一实体的特定权限，其中也包括了允许主体对客体存取的具体类型以及其它特殊操作类型。 系统不是直接将此凭证发给用户，而是由操作系统以用户的名义拥有所有凭证。只有在通过操作系统发特定请求时，用户才建立权能。 第11章操作系统安全性 11.2.3 存取控制 5. 面向过程的存取控制 存取控制的目标是，同时控制对某一实体的存取主体和存取方式。对大多数操作系统来说，对读和写的存取控制相对简单一些，但对更为复杂的控制则很难实现。借助于面向过程的保护，即借助一个对实体进行存取控制的过程(例如，对操作系统所提供的用户身份的鉴定)，在实体周围形成一个保护层，达到仅允许特定存取之目的。 过程可以通过可信任接口请求存取实体是面向过程的保护所具有的特性，。 在实际操作系统中采用存取控制时，需要在它的简单性和功能性之间权衡。 第11章操作系统安全性 11.2.4 文件保护 文件系统是操作系统的又一个重要部分，文件系统的结构体现了操作系统的特点，也极大地影响操作系统的性能，是操作系统设计中的基础与难点。 对文件系统的安全保护机制分为对文件系统本身和对文件存储载体的安全保护。 第11章操作系统安全性 11.2.4 文件保护 1．基本保护 所有多用户操作系统都必须提供最小的文件保护机制，以防止用户有意或无意对系统文件和其他用户文件的存取或修改，这是最基本的保护。 随着用户数目增多，保护模式的复杂性也随之增加。 第11章操作系统安全性 11.2.4 文件保护 2．全部/无保护 在最初的操作系统中，文件被默认为是公用的，任何用户都可以读、修改或删除属于其他用户的文件，这是一种基于信任的保护原则， 对某些敏感的特定文件，一般借助于口令的方式进行文件的保护，将口令用于控制所有存取(读、写、删除)，或仅控制写及删除存取，这种干预是通过系统操作员来完成的。 第11章操作系统安全性 11.2.4 文件保护 3．组保护 组保护主要用于标识一组具有某些相同特性的用户。 通常的做法是，将系统中所有用户分为3类：普通用户、可信用户、其他用户。 所有授权的用户都被分为组，共享是选择组的基础，一个组可以是一些在一个相同项目上工作的成员、部门、班级或单个用户，组中成员具有相同的兴趣并且假定和组中其他成员共享文件，一个用户不能属于多个组。 第11章操作系统安全性 11.2.4 文件保护 4. 单许可保护 单许可保护是指允许用户对单个文件进行保护，或者进行临时权限设置。下面介绍具体方法： (1) 口令保护机制 用户将口令赋给一个文件，对该文件的存取只限于提供正确口令的用户，口令可用于任何存取或是只用于修改。 文件口令同样也带来口令丢失、泄露、取消等问题。 (2) 临时获得许可权 UNIX操作系统提供了另一种许可模式，它将基本保护设为3个层次：文件主，同组用户，其他用户。其中重要的是设置用户标识SUID许可。 第11章操作系统安全性 11.2.4 文件保护 5．单实体及单用户的保护 针对上面描述的保护模式存在的限制，将单许可保护方式进行扩展，就形成了单实体及单用户保护。 利用存取控制表或存取控制矩阵可以提供非常灵活的保护方式。 但是它也存在着缺点，由于允许一个用户赋予其它不同用户存取不同数据集的权利，每一个新加入用户的特殊存取权都必须由其它相应用户指定。 第11章操作系统安全性 11.2.5 用户身份鉴别 操作系统的许多保护措施都是基于鉴别系统中合法用户的，身份鉴别是操作系统中很重要的一个方面，也是用户获得权限的关键。现在最常见的用户身份鉴别机制是口令。 1. 使用口令 (1) 口令的使用 口令是计