第9章 系统安全性.pptVIP

3．具有域切换权的访问矩阵为了实现在进程和域之间的动态联系，应能够将进程从一个保护域切换到另一个保护域。为了能对进程进行控制，同样应将切换作为一种权力，仅当进程有切换权时，才能进行这种切换。为此，在访问矩阵中又增加了几个对象，分别把它们作为访问矩阵中的几个域；当且仅当switch∈access(i，j)时，才允许进程从域i切换到域j。例如，在图9-11中，由于域D1和D2所对应的项目中有一个S即Switch，故而允许在域D1中的进程切换到域D2中。类似地，在域D2和对象D3所对应的项中，也有Switch，这表示在D2域中运行的进程可以切换到域D3中，但不允许该进程再从域D3返回到域D1。第94页，共140页，星期日，2025年，2月5日图9-11具有切换权的访问控制矩阵第95页，共140页，星期日，2025年，2月5日9.4.2访问矩阵的修改1．拷贝权(CopyRight)我们可利用拷贝权将在某个域中所拥有的访问权(access(i，j))扩展到同一列的其它域中，亦即，为进程在其它的域中也赋予对同一对象的访问权(access(k，j))，如图9-12所示。第96页，共140页，星期日，2025年，2月5日图9-12具有拷贝权的访问控制矩阵第97页，共140页，星期日，2025年，2月5日2．所有权(OwnerRight)人们不仅要求能将已有的访问权进行有控制的扩散，而且同样需要能增加某种访问权，或者能删除某种访问权。此时，可利用所有权(O)来实现这些操作。如图9-13所示，如果在access(i，j)中包含所有访问权，则在域Di上运行的进程，可以增加或删除其在j列上任何项中的访问权。换言之，进程可以增加或删除在任何其它域中运行的进程对对象j的访问权。例如，在图9-13(a)中，在域D1中运行的进程(用户)是文件F1的所有者，他能增加或删除在其它域中的运行进程对文件F1的访问权；类似地，在域D2中运行的进程(用户)是文件F2和文件F3的拥有者，该进程可以增加或删除在其它域中运行的进程对这两个文件的访问权。在图9-13(b)中示出了在域D1中运行的进程删除了在域D3中运行的进程对文件F1的执行权；在域D2中运行的进程增加了在域D3中运行进程对文件F2和F3的写访问权。第98页，共140页，星期日，2025年，2月5日图9-8对加密口令的认证方法第62页，共140页，星期日，2025年，2月5日尽管对口令进行加密是一个很好的方法，但它也不是绝对的安全可靠。其主要威胁来自于两个方面：(1)当攻击者已掌握了口令的解密密钥时，就可用它来破译口令。(2)利用加密程序来破译口令，如果运行加密程序的计算机速度足够快，则通常只要几个小时便可破译口令。因此，人们还是应该妥善保管好已加密的口令文件，来防止攻击者轻意地获取该文件。第63页，共140页，星期日，2025年，2月5日5．挑战—响应验证在该方法中，由用户自己选择一个算法，算法可以很简单，也可以比较复杂，如X2运算。该算法也需告知服务器。每当用户登录时，服务器就给用户发来一个随机数，如12，用户收到后便对该数据进行平方运算得到144，用户就用它作为口令。服务器将所收到的口令与自己计算(利用X2算法)的结果进行比较，如相同，则允许用户上机，否则，拒绝用户登录。由于该方法所使用的口令不是一个固定数据，而是基于服务器随机产生的数据，再经过计算得到的，因此攻击者难于猜测。如果再频繁地改变算法，就会令攻击者更加难于猜测。第64页，共140页，星期日，2025年，2月5日9.3.2基于物理标志的认证技术1．基于磁卡的认证技术根据数据记录原理，可将当前使用的卡分为磁卡和IC卡两种。磁卡是基于磁性原理来记录数据的，目前世界各国使用的信用卡和银行现金卡等，都普遍采用磁卡。这是一块其大小和名片大小相仿的塑料卡，在其上贴有含若干条磁道的磁条。一般在磁条上有三条磁道，每条磁道都可用来记录不同标准和不同数量的数据。磁道上可有两种记录密度，一种是每英寸含有15bit信息的低密度磁道；另一种是每英寸含有210bit信息的高密度磁道。如果在磁条上记录了用户名、用户密码、账号和金额，这就是金融卡或银行卡；而如果在磁条上记录的是有关用户的信息，则该卡便可作为识别用户身份的物理标志。第65页，共140页，星期日，2025年，2月5日在磁卡上所存储的信息，可利用磁卡读写器将之读出：只要将磁卡插入或划过磁卡读写器，便可将存储在磁卡中的数据读出，并传送到相应的计算机中。用户识别程序便利用读出的信息去查找一张用户信息表(该表中包含有若干个表目，每个用户占有一个表目，表目中记录了有