第4章 操作卓系统的安全.pptVIP

图4.2 访问控制表 ;（4）授权关系表（Authorization Relations List）;主 体;在访问控制策略方面，计算机系统常采用以下两种策略。 （1）自主访问控制（Discretionary Access Control，DAC） （2）强制访问控制（Mandatory Access Control，MAC）;4.1.3 操作系统安全性的设计原则与一般结构 （1）最小特权 （2）机制的经济性 （3）开放系统设计 （4）完备的存取控制机制 （5）基于“允许”的设计原则 （6）权限分离 （7）避免信息流的潜在通道 （8）方便使用;图4.3 安全操作系统的一般结构;4.1.4 安全操作系统的发展状况 KSOS（Kernelized Secure Operating System）是美国国防部研究计划局1977年发起的一个安全操作系统研制项目，目标是为PDP-11/70机器开发一个可投放市场的安全操作系统，系统的要求如下： ① 与贝尔实验室的UNIX操作系统兼容； ② 实现多级安全性和完整性； ③ 正确性可以被证明。; OSF/1是开放软件基金会于1990年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B1级，其主要安全性表现如下： ? 系统标识； ? 口令管理； ? 强制存取控制和自主存取控制； ? 审计。; UNIX SVR4.1ES是UI（UNIX国际组织）于1991年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B2级，除OSF/1外的安全性主要表现如下： ? 更全面的存取控制； ? 更小的特权管理； ? 可信通路； ? 隐蔽通道分析和处理。; DTOS原型系统以Mach为基础，具有以下设计目标。 ① 政策灵活性。 ② Mach兼容性。 ③ DTOS内核的性能应该与Mach内核的性能相近。;4.2 Windows NT/2000的安全;1．登录过程（Logon Process） 2．本地安全认证（Local Security Authority，LSA） 3．安全账号管理器（Security Account Manager，SAM） 4．安全参考监视器（Security Reference Monitor，SRM） ;4.2.2 Windows NT/2000的登录控制 1．登录过程 （1）本地登录过程（如图4.5所示）;图4.5 本地登录过程;① 用户按Ctrl+Alt+Del键，引起硬件中断，被系统捕获，这样使操作系统激活WinLogon进程。 ② WinLogon进程通过调用标识与鉴别DLL，将登录窗口（账号名和口令登录提示符）展示在用户面前。 ③ WinLogon进程发送账号???和加密口令到本地安全认证（LSA）。;④ 如果用户具有有效的用户名和口令，则本地安全认证产生一个访问令牌，包括用户账号SID和用户工作组SID。 ⑤ WinLogon进程传送访问令牌到Win32模块，同时发出一个请求，以便为用户建立登录进程。 ⑥ 登录进程建立用户环境，包括启动Desktop Explorer和显示背景等。 （2）网络登录过程（如图4.6所示）;图4.6 网络登录Windows NT/2000服务器的过程;① 用户将用户名和口令输入到网络客户机软件的登录窗口。 ② 该客户机软件打开NetBIOS，连接到服务器的NetLogon服务上，该客户机软件对口令加密，发送登录证书到服务器的WinLogon进程。 ③ 服务器的WinLogon进程发送账号名和加密口令到本地安全认证。 ;④ 如果用户具有有效的用户名和口令，则本地安全认证产生一个访问令牌，包括用户账号SID和用户工作组SID。访问令牌也得到用户的特权（LUID），然后该访问令牌传送回WinLogon进程。 ⑤ WinLogon进程将访问令牌传送到Windows NT/2000的Server服务，它将访问令牌与被客户机打开的NetBIOS连接联系起来。在具有访问令牌所建证书的服务器上，可完成任何在NetBIOS连接时所发送的其他操作（如读文件、打印请求等）。;2．安全标识符（SID） 3．访问令牌 （1）访问令牌保存全部安全信息，可以加速访问验证过程。当某个用户进程要访问某个对象时，安全子系统检查进程的访问令牌，判断该用户的访问特权。 （2）每个进程均有一个与之相关联的访问令牌，因此，每个进程都可以在不影响其他代表该用户运行的进程的条件下，在某种可允许的范围内修改进程的安全特征。;4.2.3 Windows NT/2000的访问控制 1．Windows NT/2000访问控制 Windows NT/2000的安全性达到了橘皮书C2级，实现了