第4章 操作卓系统的安全.pptVIP

  • 0
  • 0
  • 约4.63千字
  • 约 58页
  • 2021-12-06 发布于福建
  • 举报
图4.2 访问控制表 ;(4)授权关系表(Authorization Relations List);主 体;在访问控制策略方面,计算机系统常采用以下两种策略。 (1)自主访问控制(Discretionary Access Control,DAC) (2)强制访问控制(Mandatory Access Control,MAC);4.1.3 操作系统安全性的设计原则与一般结构 (1)最小特权 (2)机制的经济性 (3)开放系统设计 (4)完备的存取控制机制 (5)基于“允许”的设计原则 (6)权限分离 (7)避免信息流的潜在通道 (8)方便使用;图4.3 安全操作系统的一般结构;4.1.4 安全操作系统的发展状况 KSOS(Kernelized Secure Operating System)是美国国防部研究计划局1977年发起的一个安全操作系统研制项目,目标是为PDP-11/70机器开发一个可投放市场的安全操作系统,系统的要求如下: ① 与贝尔实验室的UNIX操作系统兼容; ② 实现多级安全性和完整性; ③ 正确性可以被证明。; OSF/1是开放软件基金会于1990年推出的一个安全操作系统,被美国国家计算机安全中心(NCSC)认可为符合TCSEC的B1级,其主要安全性表现如下: ? 系统标识; ? 口令管理; ? 强制存取控制和自主存取控制; ? 审计。; UNIX SVR4.1ES是UI(UNIX国际组织)于1991年推出的一个安全操作系统,被美国国家计算机安全中心(NCSC)认可为符合TCSEC的B2级,除OSF/1外的安全性主要表现如下: ? 更全面的存取控制; ? 更小的特权管理; ? 可信通路; ? 隐蔽通道分析和处理。; DTOS原型系统以Mach为基础,具有以下设计目标。 ① 政策灵活性。 ② Mach兼容性。 ③ DTOS内核的性能应该与Mach内核的性能相近。;4.2 Windows NT/2000的安全;1.登录过程(Logon Process) 2.本地安全认证(Local Security Authority,LSA) 3.安全账号管理器(Security Account Manager,SAM) 4.安全参考监视器(Security Reference Monitor,SRM) ;4.2.2 Windows NT/2000的登录控制 1.登录过程 (1)本地登录过程(如图4.5所示);图4.5 本地登录过程;① 用户按Ctrl+Alt+Del键,引起硬件中断,被系统捕获,这样使操作系统激活WinLogon进程。 ② WinLogon进程通过调用标识与鉴别DLL,将登录窗口(账号名和口令登录提示符)展示在用户面前。 ③ WinLogon进程发送账号???和加密口令到本地安全认证(LSA)。;④ 如果用户具有有效的用户名和口令,则本地安全认证产生一个访问令牌,包括用户账号SID和用户工作组SID。 ⑤ WinLogon进程传送访问令牌到Win32模块,同时发出一个请求,以便为用户建立登录进程。 ⑥ 登录进程建立用户环境,包括启动Desktop Explorer和显示背景等。 (2)网络登录过程(如图4.6所示);图4.6 网络登录Windows NT/2000服务器的过程;① 用户将用户名和口令输入到网络客户机软件的登录窗口。 ② 该客户机软件打开NetBIOS,连接到服务器的NetLogon服务上,该客户机软件对口令加密,发送登录证书到服务器的WinLogon进程。 ③ 服务器的WinLogon进程发送账号名和加密口令到本地安全认证。 ;④ 如果用户具有有效的用户名和口令,则本地安全认证产生一个访问令牌,包括用户账号SID和用户工作组SID。访问令牌也得到用户的特权(LUID),然后该访问令牌传送回WinLogon进程。 ⑤ WinLogon进程将访问令牌传送到Windows NT/2000的Server服务,它将访问令牌与被客户机打开的NetBIOS连接联系起来。在具有访问令牌所建证书的服务器上,可完成任何在NetBIOS连接时所发送的其他操作(如读文件、打印请求等)。;2.安全标识符(SID) 3.访问令牌 (1)访问令牌保存全部安全信息,可以加速访问验证过程。当某个用户进程要访问某个对象时,安全子系统检查进程的访问令牌,判断该用户的访问特权。 (2)每个进程均有一个与之相关联的访问令牌,因此,每个进程都可以在不影响其他代表该用户运行的进程的条件下,在某种可允许的范围内修改进程的安全特征。;4.2.3 Windows NT/2000的访问控制 1.Windows NT/2000访问控制 Windows NT/2000的安全性达到了橘皮书C2级,实现了

文档评论(0)

1亿VIP精品文档

相关文档