第4章-操作系统安全课件

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,计算机系统安全原理与技术(第2版),*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,计算机系统安全原理与技术(第2版),*,2024/8/28,计算机系统安全原理与技术(第2版),1,第,4,章 操作系统安全,2023/9/4计算机系统安全原理与技术(第2版)1第4章,2024/8/28,计算机系统安全原理与技术(第3版),2,4.1,操作系统的安全问题,4.1.1,操作系统易用性与安全性的矛盾,操作系统在设计时不可避地要在安全性和易用性之间寻找一个最佳平衡点，这就使得操作系统在安全性方面必然存在着缺陷。,2023/9/4计算机系统安全原理与技术(第3版)24.1,2024/8/28,计算机系统安全原理与技术(第3版),3,4.1,操作系统的安全问题,4.1.2,操作系统面临的安全问题,1,）网络攻击破坏系统的可用性和完整性。,例如，恶意代码,(,如,Rootkit),可以使系统感染，也可以使应用程序或数据文件受到感染，造成程序和数据文件的丢失或被破坏，甚至使系统瘫痪或崩溃。,2023/9/4计算机系统安全原理与技术(第3版)34.1,2024/8/28,计算机系统安全原理与技术(第3版),4,4.1,操作系统的安全问题,4.1.2,操作系统面临的安全问题,2,）隐通道,(Covert Channel,，也称作隐蔽信道,),破坏系统的保密性和完整性。,如今，攻击者攻击系统的目的更多地转向获取非授权的信息访问权。这些信息可以是系统运行时内存中的信息，也可以是存储在磁盘上的信息,(,文件,),。窃取的方法有多种，如使用,Cain&Abel,等口令破解工具破解系统口令，再如使用,Golden keylogger,等木马工具记录键盘信息，还可以利用隐通道非法访问资源。,2023/9/4计算机系统安全原理与技术(第3版)44.1,2024/8/28,计算机系统安全原理与技术(第3版),5,4.1,操作系统的安全问题,4.1.2,操作系统面临的安全问题,3,）用户的误操作破坏系统的可用性和完整性。,例如，用户无意中删除了系统的某个文件，无意中停止了系统的正常处理任务，这样的误操作或不合理地使用了系统提供的命令，会影响系统的稳定运行。此外，在多用户操作系统中，各用户程序执行过程中相互间会产生不良影响，用户之间会相互干扰。,2023/9/4计算机系统安全原理与技术(第3版)54.1,2024/8/28,计算机系统安全原理与技术(第3版),6,4.2,操作系统的安全性设计,标识系统中的用户并进行身份鉴别；,依据系统安全策略对用户的操作进行存取控制，防止用户对计算机资源的非法存取；,监督系统运行的安全；,保证系统自身的安全性和完整性。,2023/9/4计算机系统安全原理与技术(第3版)64.2,2024/8/28,计算机系统安全原理与技术(第2版),7,操作系统的安全需求,操作系统安全技术概述,安全策略,标记,鉴别,责任,保证,连续保护,2023/9/4计算机系统安全原理与技术(第2版)7 操作系,2024/8/28,计算机系统安全原理与技术(第2版),8,操作系统的安全需求,操作系统安全技术概述,安全策略,标记,鉴别,责任,保证,连续保护,对于认证的主体和客体，系统必须有一个规则集用于决定一个特定的主体是否可以访问一个具体的客体,2023/9/4计算机系统安全原理与技术(第2版)8 操作系,2024/8/28,计算机系统安全原理与技术(第2版),9,操作系统的安全需求,操作系统安全技术概述,安全策略,标记,鉴别,责任,保证,连续保护,给客体一个能够有效反映它的安全级别的标记,2023/9/4计算机系统安全原理与技术(第2版)9 操作系,2024/8/28,计算机系统安全原理与技术(第2版),10,操作系统的安全需求,操作系统安全技术概述,安全策略,标记,鉴别,责任,保证,连续保护,存储信息的每一次访问都应受到控制，即只有授权的用户才能访问这些信息,2023/9/4计算机系统安全原理与技术(第2版)10 操作,2024/8/28,计算机系统安全原理与技术(第2版),11,操作系统的安全需求,操作系统安全技术概述,安全策略,标记,鉴别,责任,保证,连续保护,系统要保护审计数据不受破坏，以确保违背安全的事件在发生后可被探测出来,2023/9/4计算机系统安全原理与技术(第2版)11 操作,2024/8/28,计算机系统安全原理与技术(第2版),12,操作系统的安全需求,操作系统安全技术概述,安全策略,标记,鉴别,责任,保证,连续保护,一个计算机系统应该能够具有可以被评估的各种软硬件机制，应提供充分保证系统实现上述四种与安全有关的需求,2023/9/4计算机系统安全原理与技术(第2版)12 操作,2024/8/28,计算机系统安全原理与技术(第2版),13,操作系统的安全需求,操作系统安全技术概述,安全策略,标记,鉴别,责任,保证,连续保护,实现这些基本需求的可信机制必须能不断地提供保护以防止入侵和未经授权的篡改,2023/9/4计算机系统安全原理与技术(第2版)13 操作,2024/8/28,计算机系统安全原理与技术(第2版),14,操作系统的安全机制,隔离控制,存储器保护,用户认证,访问控制,2023/9/4计算机系统安全原理与技术(第2版)14操作系,2024/8/28,计算机系统安全原理与技术(第2版),15,隔离控制：,物理隔离：,在物理设备一级进行隔离,时间隔离：,对不同安全要求的用户进程分配不同的运行 时间段,逻辑隔离：限定各进程运行区域,加密隔离：口令或文件数据以密码形式存储,2023/9/4计算机系统安全原理与技术(第2版)15隔离控,2024/8/28,计算机系统安全原理与技术(第2版),16,存储器保护,对于一个安全的操作系统，存储保护是最基本的要求，包括,内存保护,运行保护,I/O,保护等。,2023/9/4计算机系统安全原理与技术(第2版)16存储器,2024/8/28,计算机系统安全原理与技术(第2版),17,内存储器是操作系统中的共享资源，内存被用户程序与系统程序所共享。在多道环境下更是被多个进程所共享。,内存保护的目的是：,防止对内存的未授权访问；,防止对内存的错误读写，如向只读单元写；,防止用户的不当操作破坏内存数据区、程序区或系统区；,多道程序环境下，防止不同用户的内存区域互不影响；,将用户与内存隔离，不让用户知道数据或程序在内存中的具体位置；,存储器保护,-,内存保护,2023/9/4计算机系统安全原理与技术(第2版)17内存,2024/8/28,计算机系统安全原理与技术(第2版),18,常用的内存保护技术,单用户内存保护技术,多道程序的保护技术,内存标记保护法,分段与分页保护技术,存储器保护,-,内存保护,2023/9/4计算机系统安全原理与技术(第2版)18常用的,2024/8/28,计算机系统安全原理与技术(第2版),19,单用户内存保护问题,系统区,用户区,（内存）,界限寄存器,单用户内存保护,2023/9/4计算机系统安全原理与技术(第2版)19单用户,2024/8/28,计算机系统安全原理与技术(第2版),20,多道程序的保护,2023/9/4计算机系统安全原理与技术(第2版)20多道程,2024/8/28,计算机系统安全原理与技术(第2版),21,标记保护法,2023/9/4计算机系统安全原理与技术(第2版)21标记保,2024/8/28,计算机系统安全原理与技术(第2版),22,分段与分页技术,对于稍微复杂一些的用户程序，通常按功能划分成若干个模块（过程）。每个模块有自己的数据区，各模块之间也可能有共享数据区。各用户程序之间也可能有共享模块或共享数据区。,这些模块或数据区有着不同的访问属性和安全要求，使用上述各种保护技术很难满足这些要求。,2023/9/4计算机系统安全原理与技术(第2版)22分段与,2024/8/28,计算机系统安全原理与技术(第2版),23,分段与分页技术,分段将内存分成很多逻辑单元，如一组组私有程序或数据。采用分段技术以后，用户并不知道他的程序实际使用的内存物理地址，操作系统把程序实际地址隐藏起来了。这种隐藏对保护用户代码与数据的安全是极有好处的。,2023/9/4计算机系统安全原理与技术(第2版)23分段与,2024/8/28,计算机系统安全原理与技术(第2版),24,分段与分页技术,分段技术有许多优点：,任何段可以放在任何内存空间,假设地址空间大小足够容纳任何一个段。,不同的访问控制可以实施在不同的段中。,在分段这种方式下，任何地址的引用必须通过操作系统，这样操作系统可以进行完全的调度。,2023/9/4计算机系统安全原理与技术(第2版)24分段与,2024/8/28,计算机系统安全原理与技术(第2版),25,分段与分页技术,段的管理方式存在的问题与困难主要是：,当操作系统使用,的方式来进行寻址时，必须知道段的大小以确保访问的地址在该段之内。但是很多段,(,比如那些可以进行动态内存分配的段,),的内存是可以在执行的过程中动态增长的。所以，操作系统中必须保存可变化段的大小。为了保证安全，要求系统检查所产生的地址，验证其是否超出所访问段的末端。,因为段大小可变，内存,“,碎片,”,成为一个潜在的问题，使得内存中虽然剩余碎片的总和大于某个段的长度，但仍无法为该段分配内存的现象发生。,如果压缩内存以便于更加有效地利用已有空间，分段表则会发生改变。,总之，分段本身比较复杂，并且它给操作系统带来了明显的负担。,2023/9/4计算机系统安全原理与技术(第2版)25分段与,2024/8/28,计算机系统安全原理与技术(第2版),26,分段与分页技术,为了解决分段可能产生的内存碎片问题，引入了分页技术,(,如图,),。分页是把目标程序与内存都划分成相同大小的片段，这些片段称为,“,页,”,。在分页模式下，需要使用参数对,来访问特定的页。,分页技术虽然解决了碎片问题，但又损失了分段技术的安全功能。由于段具有逻辑上的完整意义，而页则没有这样的意义，程序员可以为段规定某些安全控制要求，但却无法指定各页的访问控制要求。,2023/9/4计算机系统安全原理与技术(第2版)26分段与,2024/8/28,计算机系统安全原理与技术(第2版),27,分段与分页技术,解决这个问题的方法是将分页与分段技术结合起来使用，由程序员按计算逻辑把程序划分为段，再由操作系统把段划分为页。在段的基础上进行分页的好处在于不会产生碎片、效率高，并且不需要考虑每部分大小的变化所带来的各种问题。,操作系统同时管理段表与页表，完成地址映射任务和页面的调进调出，并使同一段内的各页具有相同安全管理要求，这也是虚拟存储器的基本思想。系统还可以为每个物理页分配一个密码，只允许拥有相同密码的进程访问该页，该密码由操作系统装入进程的状态字中，在进程访问某个页面时，由硬件对进程的密码进行检验，只有密码相同且进程的访问权限与页面的读写访问属性相同时方可执行访问。这种安全机制有效地保护了虚拟存储器的安全。,2023/9/4计算机系统安全原理与技术(第2版)27分段与,2024/8/28,计算机系统安全原理与技术(第2版),28,安全操作系统很重要的一点是进行分层设计，而运行域正是这样一种基于保护环的等级式结构。运行域是进程运行的区域，在最内层具有最小环号的环具有最高特权，而在最外层具有最大环号的环是最小的特权环。,最内层是操作系统，靠近操作系统环之外的是受限使用的系统应用环，如数据库管理系统或事务处理系统；最外一层则是各种不同用户的应用环。,存储器保护,-,运行保护,2023/9/4计算机系统安全原理与技术(第2版)28安全,2024/8/28,计算机系统安全原理与技术(第2版),29,Intel x86,微芯片系列就是使用环概念来实施运行保护的，如图所示。,环有,4,个级别：环,0,是最高权限的，环,3,是最低权限的。当然，微芯片上并没有实际的物理环。,Windows,操作系统中的所有内核代码都在环,0,级上运行。用户模式程序,(,例如,Office,软件程序,),在环,3,级上运行。包括,Windows,和,Linux,在内的许多操作系统在,Intel x86,微芯片上只使用环,0,和环,3,，而不使用环,1,和环,2,。,存储器保护,-,运行保护,2023/9/4计算机系统安全原理与技术(第2版)29Int,2024/8/28,计算机系统安全原理与技术(第2版),30,I/O,介质输出访问控制最简单的方式是将设备看作是一个客体，仿佛它们都处于安全边界外。由于所有的,I/O,不是向设备写数据就是从设备接收数据，所以一个进行,I/O,操作的进程必须受到对设备的读写两种访问控制。这就意味着设备到介质间的路径可以不受什么约束，而处理器到设备间的路径则需要施以一定的读写访问控制。,存储器保护,-I/O,保护,2023/9/4计算机系统安全原理与技术(第2版)30I/,2024/8/28,计算机系统安全原理与技术(第2版),31,4.3,用户认证,用户的认证包括：标识与鉴别。,标识,(Identification),就是系统要标识用户的身份，并为每个用户取一个系统可以识别的内部名称,用户标识符。用户标识符必须是惟一的且不能被伪造，防止一个用户冒充另一个用户。,将用户标识符与用户联系的过程称为鉴别,(Authentication),，鉴别过程主要用以识别用户的真实身份，鉴别操作总是要求用户具有能够证明他身份的特殊信息，并且这个信息是秘密的或独一无二的，任何其他用户都不能拥有它。,2023/9/4计算机系统安全原理与技术(第2版)314.3,2024/8/28,计算机系统安全原理与技术(第2版),32,用户认证,认证用户的方法一般有三种：,（,1,）用户所知道的。如要求输入用户的姓名、口令或加密密钥等。如：,口令认证方法，一次性口令认证,（,2,）用户所拥有的。如智能卡等物理识别设备。如：,令牌或智能卡,（,3,）用户本身的特征。如用户的指纹、声音、视网膜等生理特征。如：,生物特征认证,2023/9/4计算机系统安全原理与技术(第2版)32用户认,基于口令的认证,使用口令进行身份验证是一种最古老、容易实现、也是比较有效的身份认证手段。,在操作系统中，口令是用户与操作系统之间交换的信物。,用户想使用系统，首先必须通过系统管理员系统登录，在系统中建立一个用户账号，账号中存放用户的名字,(,或标识,),和口令。,用户输入的用户名和口令必须和存放在系统中的账户,/,口令文件中的相关信息一致才能进入系统。,没有一个有效的口令，入侵者要闯入计算机系统是很困难的。,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),33,基于口令的认证使用口令进行身份验证是一种最古老、容易实现、也,基于口令的认证,同样，确认用户,(,访问者,),的真实身份，解决访问者的物理身份和数字身份的一致性是网络世界中要解决的安全问题。,因为只有知道对方是谁，数据的保密性、完整性和访问控制等才有意义。,下面的讨论主要基于计算机操作系统的应用环境，在网络环境中同样适用。,2024/8/28,计算机系统安全原理与技术(第3版),34,基于口令的认证同样，确认用户(访问者)的真实身份，解决访问者,基于口令的认证,一个基于口令的用户身份鉴别基本过程,2024/8/28,计算机系统安全原理与技术(第3版),35,用户,U,认证请求,认证,系统,S,用户,ID,密码,admin 123456,chenbo 456789, ,用户信息安全意识不高，,口令质量不高。,攻击者运用社会工程学，,冒充合法用户骗取口令,。,在输入密码时被键盘记,录器等盗号程序所记录,口令在传输过程中,被攻击者嗅探到,。,口令在数据库中,明文存放,。,基于口令的认证一个基于口令的用户身份鉴别基本过程2023/9,改进鉴别质量,1,提高口令质量,1,）增大口令空间。下面的公式给出了计算口令空间的方法：,S,=,A,M,2,）选用无规律的口令,3,）多个口令,4,）系统生成口令,5,）对用户使用口令登录时还采取更加严格的控制措施,登录时间限制。,限制登录次数。,尽量减少会话透露的信息。,增加认证的信息量。,2024/8/28,计算机系统安全原理与技术(第3版),36,改进鉴别质量1提高口令质量2023/9/4计算机系统安全原,改进鉴别质量,2,保护输入口令,安全控件实质是一种小程序。由各网站依据需要自行编写。,当该网站的注册会员登录该网站时，安全控件发挥作用，通过对关键数据进行加密，防止账号密码被木马程序或病毒窃取，可以有效防止木马截取键盘记录。,安全控件工作时，从客户的登录一直到注销，实时做到对网站及客户终端数据流的监控。就目前而言，由于安全控件的保护，客户的帐号及密码还是相对安全的。,要防止伪装的安全控件。,2024/8/28,计算机系统安全原理与技术(第3版),37,改进鉴别质量2保护输入口令2023/9/4计算机系统安全原,改进鉴别质量,3,加密存储口令,必须对存储的口令实行访问控制，保证口令数据库不被未授权用户读取或者修改。,而且，无论采取何种访问控制机制，都应对存储的口令进行加密，因为访问控制有时可能被绕过。,2024/8/28,计算机系统安全原理与技术(第3版),38,改进鉴别质量3加密存储口令2023/9/4计算机系统安全原,改进鉴别质量,4,口令传输安全,在口令从用户终端到认证端的传输中，应施加保护以应对口令被截获。,4.3.2,节中将介绍相关保护技术。,2024/8/28,计算机系统安全原理与技术(第3版),39,改进鉴别质量4口令传输安全2023/9/4计算机系统安全原,改进鉴别质量,5,口令安全管理,系统管理员应担负的职责包括：,（,1,）初始化系统口令。系统中有一些标准用户是事先在系统中注册了的。在允许普通用户访问系统之前，系统管理员应能为所有标准用户更改口令。,（,2,）初始口令分配。系统管理员应负责为每个用户产生和分配初始口令，但要防止口令暴露给系统管理员。,2024/8/28,计算机系统安全原理与技术(第3版),40,改进鉴别质量5口令安全管理2023/9/4计算机系统安全原,改进鉴别质量,5,口令安全管理,用户应担负的职责包括：,（,1,）口令要自己记忆。为了安全起见，再复杂的口令都应该自己记忆。,（,2,）口令应进行周期性的改动。,2024/8/28,计算机系统安全原理与技术(第3版),41,改进鉴别质量5口令安全管理2023/9/4计算机系统安全原,改进鉴别质量,5,口令安全管理,口令审计：,系统应对口令的使用和更改进行审计。审计事件包括成功登录、失败尝试、口令更改程序的使用、口令过期后上锁的用户账号等。,实时通知系统管理员。同一访问端口或使用同一用户账号连续,5,次,(,或其他阈值,),以上的登录失败应立即通知系统管理员。,通知用户。在成功登录时，系统应通知用户以下信息：用户上一次成功登录的日期和时间、用户登录地点、从上一次成功登录以后的所有失败登录。,2024/8/28,计算机系统安全原理与技术(第3版),42,改进鉴别质量5口令安全管理2023/9/4计算机系统安全原,一次性口令认证,在口令从用户终端到认证端的传输中，首先考虑引入散列函数。,引入了新的安全问题：重放攻击,2024/8/28,计算机系统安全原理与技术(第3版),43,用户,U,认证请求,认证,系统,S,用户,ID,密码,* *,* *, ,一次性口令认证在口令从用户终端到认证端的传输中，首先考虑引入,一次性口令认证,一次性口令的基本原理是：在登录过程中加入不确定因子，使用户在每次登录时产生的口令信息都不相同。认证系统得到口令信息后通过相应的算法验证用户的身份。,2024/8/28,计算机系统安全原理与技术(第3版),44,一次性口令认证一次性口令的基本原理是：在登录过程中加入不确定,一次性口令认证,实现方案一：时间同步,该方案要求用户和认证服务器的时钟必须严格一致，用户持有时间令牌,(,动态密码生成器,),，令牌内置同步时钟、秘密密钥和加密算法。时间令牌根据同步时钟和密钥每隔一个单位时间,(,如一分钟,),产生一个动态口令，用户登录时将令牌的当前口令发送到认证服务器，认证服务器根据当前时间和密钥副本计算出口令，最后将认证服务器计算出的口令和用户发送的口令相比较，得出是否授权用户的结论。,该方案的难点在于需要解决好网络延迟等不确定因素带来的干扰，使口令在生命期内顺利到达认证系统。,2024/8/28,计算机系统安全原理与技术(第3版),45,一次性口令认证实现方案一：时间同步2023/9/4计算机系统,一次性口令认证,实现方案二：挑战,/,响应,(Challenge/Response),用户端首先向认证端发出认证请求，认证端提示用户输入用户,ID,等信息。,认证端选择一个一次性随机数,X,发送给客户端。同时，认证端根据用户,ID,取出对应的密钥,K,后，利用发送给客户机的随机串,X,，在认证端用加密引擎进行运算，得到运算结果,Es,。,客户端程序根据输入的随机串,X,与产生的密钥,K,得到一个加密运算结果,EU,，此运算结果将作为认证的依据发送给认证端。,认证端比较两次运算结果,Es,与,EU,是否相同，若相同，则鉴别为合法用户。,2024/8/28,计算机系统安全原理与技术(第3版),46,用户,U,认证,系统,S,认证请求,挑战,响应,鉴别结果,一次性口令认证实现方案二：挑战/响应(Challenge/R,一次性口令认证,应用,1,：使用“验证码”实现一次性口令认证。,某客户端用户登录界面上设置了“验证码”输入框，此验证码是随机值。,这类验证码通常称为,CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart,，全自动区分计算机和人类的图灵测试,),，是一种主要区分用户是计算机和人的自动程序。,这类验证码的随机性不仅可以防止口令猜测攻击，还可以有效防止攻击者对某一个特定注册用户用特定程序进行不断的登陆尝试，例如防止刷票、恶意注册、论坛灌水等。,2024/8/28,计算机系统安全原理与技术(第3版),47,一次性口令认证应用1：使用“验证码”实现一次性口令认证。20,一次性口令认证,应用,2,：使用口令卡实现一次性口令认证。,每次用户输入不同动态口令，防止了重放攻击。,该认证过程方便灵活，对用户端要求较少，不要求用户端计算口令散列值和进行数据加密，不需要在计算机上安装任何软件，每张口令卡都不一样，并且每个口令卡在领用时会绑定用户的银行卡号，任何人不能使用他人的口令卡。,当口令卡中的口令使用完之后需要重新换卡。,2024/8/28,计算机系统安全原理与技术(第3版),48,一次性口令认证应用2：使用口令卡实现一次性口令认证。2023,一次性口令认证,应用,2,：使用口令卡实现一次性口令认证。,动态口令机制简单，安全系数低于口令令牌,(,如,U,盾,),。因此，一般口令卡对网上交易有金额限制，如果要进行大额交易建议使用,U,盾之类的口令令牌。,虽然用口令卡一次性成本低，但每张卡可用的次数有限，网银使用次数越多，口令卡更换就越频繁，累积成本较大。,口令卡容易丢失。,2024/8/28,计算机系统安全原理与技术(第3版),49,一次性口令认证应用2：使用口令卡实现一次性口令认证。2023,一次性口令认证,应用,3,：使用口令令牌实现一次性口令认证,令牌是一种能标识其持有人身份的特殊物件。令牌必须与持有人之间是一一对应的，要求令牌是惟一的和不能伪造的。,口令令牌通常具有的结构是：处理器、显示屏幕、可选的小键盘、可选实时时钟。每个口令令牌预编设了一个唯一数字，称为随机种子,(Random Seed),，随机种子是保证口令令牌产生唯一输出的基础。,用户只有输入正确的,PIN,之后，才能使用令牌，因此这种鉴别机制的安全性是基于双因子的鉴别，即用户既要知道,PIN,，又要拥有鉴别令牌。该机制同时使用了随机挑战，因此可以防止重放攻击。对于网络截获者来说，获得的是用种子加密的随机挑战，不能非法得到种子值。因此这种鉴别机制的安全性相当高。,2024/8/28,计算机系统安全原理与技术(第3版),50,一次性口令认证应用3：使用口令令牌实现一次性口令认证2023,一次性口令认证,应用,3,：使用口令令牌实现一次性口令认证,服务器遭到攻击后，用户的种子值会暴露给攻击者，造成鉴别的不安全性，需要对服务器中的用户种子值进行加密，以防止服务器攻击。,使用令牌的不方便性，用户在使用令牌的时候要进行三次输入：首先要输入,PIN,才能访问令牌；其次要从屏幕上阅读随机挑战，并在令牌中输入随机数挑战；最后要从令牌屏幕上阅读加密的随机挑战，输入到计算机终端然后发送给服务器，用户在这个过程中很容易出错。,2024/8/28,计算机系统安全原理与技术(第3版),51,一次性口令认证应用3：使用口令令牌实现一次性口令认证2023,一次性口令认证,应用,4,：使用智能卡实现一次性口令认证,智能卡是一种将具有加密、存储、处理能力的集成电路芯片嵌装于塑料基片上而制成的卡片。,智能卡一般由微处理器、存储器及输入、输出设施构成。为防止智能卡遗失或被窃，许多系统需要智能卡和个人识别码,PIN,同时使用。,一个用户在网络终端上输入自己的名字，当系统提示他输入口令时，把智能卡插入槽中并输入其通行字，口令不以明文形式回显，也不以明文方式传输，这是因为智能卡对它加密的结果。在接收端对通行字进行解密，身份得到确认后，该用户便可以进行他希望的操作了。,2024/8/28,计算机系统安全原理与技术(第3版),52,一次性口令认证应用4：使用智能卡实现一次性口令认证2023/,一次性口令认证,应用,4,：使用智能卡实现一次性口令认证,使用智能卡在线交易迅速并且简单，只需把智能卡插入与计算机相连的读卡器，输入用户,ID,和,PIN,。,在智能卡中存储私钥和数字证书，给用户带来了安全信息的轻便移动性，智能卡可以方便地携带，可以在任何地点进行电子交易。,智能卡的读卡器也越来越普遍，有,USB,型的，也有,PC,卡型的，在,Windows,终端上也可设置智能卡插槽。,2024/8/28,计算机系统安全原理与技术(第3版),53,一次性口令认证应用4：使用智能卡实现一次性口令认证2023/,生物特征认证,传统的用户身份认证机制有许多缺点。,生物识别技术得到成功的应用，身份鉴别机制才真正回归到了对人类最原始的特性上。,基于生物特征的认证技术具有传统的身份认证手段无法比拟的优点。采用生物鉴别技术,(Biometrics),，可不必再记忆和设置密码，使用更加方便。,生物特征鉴别技术已经成为,种公认的、最安全和最有效的身份认证技术，将成为,IT,产业最为重要的技术革命。,2024/8/28,计算机系统安全原理与技术(第3版),54,生物特征认证传统的用户身份认证机制有许多缺点。2023/9/,生物特征认证,生物特征认证，可以分为,生理特征认证,和,生物行为认证,。,一些学者将生理特征认证技术分为三类：,高级生物识别技术，包括视网膜识别、虹膜识别和指纹识别等；,次级生物识别技术，包括掌型识别、脸型识别、语音识别和签名识别等；,“深奥的”生物识别技术，它包括血管纹理识别、人体气味识别和,DNA,识别等。,2024/8/28,计算机系统安全原理与技术(第3版),55,生物特征认证生物特征认证，可以分为生理特征认证和生物行为认证,生物特征认证,与传统身份鉴定相比，生物识别技术具有以下特点：,随身性：生物特征是人体固有的特征，与人体是唯一绑定的，具有随身性。,安全性：人体特征本身就是个人身份的最好证明，满足更高的安全需求。,唯一性：每个人拥有的生物特征各不相同。,稳定性：生物特征如指纹、虹膜等人体特征不会随时间等条件的变化而变化。,广泛性：每个人都具有这种特征。,方便性：生物识别技术不需记忆密码与携带使用特殊工具，不会遗失。,可采集性：选择的生物特征易于测量。,2024/8/28,计算机系统安全原理与技术(第3版),56,生物特征认证与传统身份鉴定相比，生物识别技术具有以下特点：2,4,生物特征认证,基于生物特征的身份鉴别也有缺点，每次鉴别产生的样本可能稍有不同。例如，在获取用户的指纹时，手指可能变脏，可能割破，或手指放在阅读器上的位置不同，等等。,2024/8/28,计算机系统安全原理与技术(第3版),57,4生物特征认证基于生物特征的身份鉴别也有缺点，每次鉴别产生的,生物特征认证,在高安全等级需求的应用中，最好将基于生物特征的身份认证机制和其他用户认证机制结合起来使用，形成三因子鉴别机制。,2024/8/28,计算机系统安全原理与技术(第3版),58,生物特征认证在高安全等级需求的应用中，最好将基于生物特征的身,2024/8/28,计算机系统安全原理与技术(第2版),59,访问控制,用户认证解决的是：,“,你是谁？你是否真的是你所声称的身份,？,”,访问控制技术解决的是,“,你能做什么？你有什么样的权限？,”,。,2023/9/4计算机系统安全原理与技术(第2版)59访问控,2024/8/28,计算机系统安全原理与技术(第2版),60,访问控制目标,资源不是无限开放的，在一定约束条件下使用,网络及信息具有价值，难免会受到各种意外的或者蓄意的未授权的使用和破坏,必须授权才可以访问,2023/9/4计算机系统安全原理与技术(第2版)60访问控,2024/8/28,计算机系统安全原理与技术(第2版),61,访问控制目标,一般概念：是针对越权使用资源的防御措施。,基本目标：,防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。,未授权的访问包括：,未经授权的使用、泄露、修改、销毁信息以及颁发指令等。,非法用户进入系统。,合法用户对系统资源的非法使用。,2023/9/4计算机系统安全原理与技术(第2版)61访问控,2024/8/28,计算机系统安全原理与技术(第2版),62,访问控制目标,访问控制的作用：,访问控制对机密性、完整性起直接的作用。,对于可用性，访问控制通过对以下信息的有效控制来实现：,1,）谁可以颁发影响网络可用性的网络管理指令,2,）谁能够滥用资源以达到占用资源的目的,3,）谁能够获得可以用于拒绝服务攻击的信息,2023/9/4计算机系统安全原理与技术(第2版)62访问控,2024/8/28,计算机系统安全原理与技术(第2版),63,访问控制目标,访问控制措施,识别和鉴定访问系统的用户的真实身份，防止非法访问；,确定用户对系统的资源的访问类型，授权用户访问操作,2023/9/4计算机系统安全原理与技术(第2版)63访问控,2024/8/28,计算机系统安全原理与技术(第2版),64,访问控制模型,访问控制三要素：,主体，客体和授权访问,主体：主动的实体，可以访问客体。,包括用户，用户组、终端、主机或者一个应用,客体：是一个被动的实体，对客体的访问要受控。,一个字节、一个字段、记录、程序、文件，或者是一个处理器、存储器、网络节点,安全访问规则：主体访问客体的允许。,用以确定一个主体是否对某个客体拥有某种访问权力。,对用户的访问授权是由系统的安全策略决定的。,2023/9/4计算机系统安全原理与技术(第2版)64访问控,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),65,访问控制基本概念,引用监视器和安全内核,访问控制机制的理论基础是引用监视器（,Reference Monitor,），由,J.P.Anderson,于,1972,年首次提出。,引用监视器是一个抽象的概念。,引用监视器借助访问数据库控制主体到客体的每一次访问，并将重要的安全事件记入审计文件中。访问控制数据库包含有关主体访问客体访问模式的信息。数据库是动态的，它会随着主体和客体的产生或删除及其权限的改变而改变。,2023/9/4计算机系统安全原理与技术(第3版)65访问控,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),66,访问控制基本概念,在引用监视器思想的基础上，,J.P.Anderson,定义了安全内核的概念。,安全内核是实现引用监视器概念的一种技术。安全内核可以由硬件和介于硬件与操作系统之间的一层软件组成。,安全内核的软件和硬件是可信的，处于安全边界内，而操作系统和应用软件均处于安全边界之外。这里讲的边界，是指与系统安全有关和无关对象之间的一个想象的边界。,2023/9/4计算机系统安全原理与技术(第3版)66访问控,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),67,访问控制基本概念,3,基本的访问控制模型,（,1,）访问控制矩阵,(Access Control Matrix,，,ACM),访问控制矩阵模型的基本思想就是将所有的访问控制信息存储在一个矩阵中集中管理。当前的访问控制模型一般都是在它的基础上建立起来的。,2023/9/4计算机系统安全原理与技术(第3版)67访问控,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),68,访问控制基本概念,3,基本的访问控制模型,（,2,）访问控制表,访问控制表机制实际上是按访问控制矩阵的列实施对系统中客体的访问控制。每个客体都有一张,ACL,，用于说明可以访问该客体的主体及其访问权限。,2023/9/4计算机系统安全原理与技术(第3版)68访问控,2024/8/28,计算机系统安全原理与技术(第2版),69,访问控制表：每个客体附加一个它可以访问的主体的明细表。,2023/9/4计算机系统安全原理与技术(第2版)69访问控,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),70,访问控制基本概念,3,基本的访问控制模型,（,3,）能力表,能力表保护机制实际上是按访问控制矩阵的行实施对系统中客体的访问控制。每个主体都有一张能力表，用于说明可以访问的客体及其访问权限。,2023/9/4计算机系统安全原理与技术(第3版)70访问控,2024/8/28,计算机系统安全原理与技术(第2版),71,访问能力表：每个主体都附加一个该主体可以访问的客体的明细表。,2023/9/4计算机系统安全原理与技术(第2版)71访问能,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),72,访问控制基本概念,两个问题构成了访问控制的基础：,1,）对于给定主体，它能访问哪些客体以及如何访问？,2,）对于给定客体，哪些主体能访问它以及如何访问？,对于第,1,个问题，使用能力表回答最为简单，只需要列出与主体相关联的,cap,表中的元素即可。对于第,2,个问题，使用访问控制表,ACL,回答最为简单，只需列出与客体相关联的,acl,表中的元素即可。,人们可能更关注第,2,个问题，因此，现今大多数主流的操作系统都把,ACL,作为主要的访问控制机制。这种机制也可以扩展到分布式系统，,ACL,由文件服务器维护。,2023/9/4计算机系统安全原理与技术(第3版)72访问控,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),73,自主访问控制,由客体的属主对自己的客体进行管理，由属主自己决定是否将自己客体的访问权或部分访问权授予其他主体，这种控制方式是自主的，我们把它称为自主访问控制,(DAC,，,Discretionary Access Control),。,在自主访问控制下，一个用户可以自主选择哪些用户可以共享他的文件。,访问控制表,ACL,、能力表是实现,DAC,策略的基本数据结构,在,DAC,模式下，有,3,种控制许可权手段：层次型、属主型和自由型。,2023/9/4计算机系统安全原理与技术(第3版)73自主访,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),74,强制访问控制,DAC,机制的缺陷,允许用户自主地转授访问权，这是系统不安全的隐患。,系统无法区分是用户合法的修改还是木马程序的非法修改；,无法防止木马程序利用共享客体或隐蔽信道传送信息。,无法解决因用户无意（如程序错误、某些误操作等）或不负责任的操作而造成的敏感信息的泄漏问题。,2023/9/4计算机系统安全原理与技术(第3版)74强制访,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),75,强制访问控制,强制访问控制最早出现在,20,世纪,70,年代。是美国政府和军方源于对信息保密性的要求以及防止特洛伊木马之类的攻击而研发的。,MAC,是一种基于安全级标签的访问控制方法，通过分级的安全标签实现信息从下向上的单向流动，从而防止高密级信息的泄露。,在,MAC,中，对于主体和客体，系统为每个实体指派一个安全级，安全级由两部分组成：,1,）保密级别,(Classification,，或叫做敏感级别或级别,),。,2,）范畴集,(Categories),。,2023/9/4计算机系统安全原理与技术(第3版)75强制访,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),76,强制访问控制,安全级中包括一个保密级别，范畴集包含任意多个范畴。安全级通常写作保密级别后随范畴集的形式。例如：,机密：人事处，财务处，科技处,。,安全级的集合形成一个满足偏序关系的格,(Lattice),，此偏序关系称为支配,(Dominate),，通常用符号“,”表示，它类似于“大于或等于”的含义。,对于任意两个安全级,S,i,=(,l,i,C,i,),和,S,j,=(,l,j,C,j,),，若,S,i,支配,S,j,(,S,i,S,j,),，当且仅当,l,i,l,j,，且,C,i,包含,C,j,。如果两个安全级的范畴互不包含，则这两个安全级不可比。,2023/9/4计算机系统安全原理与技术(第3版)76强制访,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),77,强制访问控制,在一个系统中实现,MAC,机制，最主要的是要做到两条：,1,）对系统中的每一个主体与客体，都要根据总体安全策略与需求分配一个特殊的安全级别。该安全级别能够反映该主体或客体的敏感等级和访问权限，并把它以标签的形式和这个主体或客体紧密相连而无法分开。这些安全属性是不能轻易改变的，它由管理部门,(,如安全管理员,),或由操作系统自动按照严格的规则来设置，不像,DAC,那样可以由用户或他们的程序直接或间接修改。,2023/9/4计算机系统安全原理与技术(第3版)77强制访,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),78,强制访问控制,在一个系统中实现,MAC,机制，最主要的是要做到两条：,2,）当一个主体访问一个客体时，调用强制访问控制机制，比较主体和客体的安全级别，从而确定是否允许主体访问客体。在,MAC,机制下，即使是客体的拥有者也没有对自己客体的控制权，也没有权利向别的主体转授对自己客体的访问权。即使是系统安全管理员修改、授予或撤销主体对某客体的访问权的管理工作也要受到严格的审核与监控。有了,MAC,控制后，可以极大地减少因用户的无意性,(,如程序错误或某些误操作,),泄漏敏感信息的可能性。,2023/9/4计算机系统安全原理与技术(第3版)78强制访,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),79,强制访问控制,2,加强保密性的强制访问控制模型,BLP,模型有两条基本的规则,规则,1,：不能向上读,(No-Read-Up),，也称为简单安全特性。如果一个主体的安全级支配客体的安全级，则主体可读客体，即主体只能向下读，不能向上读。,规则,2,：不能向下写,(No-Write-Down),，也称为*特性。如果一个客体的安全级支配主体的安全级，则主体可写客体，即主体只能向上写，不能向下写。,2023/9/4计算机系统安全原理与技术(第3版)79强制访,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),80,强制访问控制,3.,加强完整性的强制访问控制模型,Biba,模型设计类似于,BLP,模型，不过使用完整性级别而非信息安全级别来进行划分。,Biba,模型规定，信息只能从高完整性的安全等级向低完整性的安全等级流动，就是要防止低完整性的信息“污染”高完整性的信息。,Biba,模型只能够实现信息完整性中防止数据被未授权用户修改这一要求。而对于保护数据不被授权用户越权修改、维护数据的内部和外部一致性这两项数据完整性要求却无法做到。,2023/9/4计算机系统安全原理与技术(第3版)80强制访,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),81,强制访问控制,3.,加强完整性的强制访问控制模型,Clark-Wilson,模型的特点有以下几个方面：,采用主体,(Subject)/,事务,(Program)/,客体,(Object),三元素的组成方式，主体要访问客体只能通过程序进行。,权限分离原则。将关键功能分为由两个或多个主体完成，防止已授权用户进行未授权的修改。,要求具有审计能力,(Auditing),。,2023/9/4计算机系统安全原理与技术(第3版)81强制访,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),82,强制访问控制,3.,加强完整性的强制访问控制模型,Dion,模型结合,BLP,模型中保护数据保密性的策略和,Biba,模型中保护数据完整性的策略，模型中的每一个客体和主体被赋予一个安全级别和完整性级别，安全级别定义同,BLP,模型，完整性级别定义同,Biba,模型，因此，可以有效地保护数据的保密性和完整性。,China Wall,模型和上述的安全模型不同，它主要用于可能存在利益冲突的多边应用体系中。比如在某个领域有两个竞争对手同时选择了一个投资银行作为他们的服务机构，而这个银行出于对这两个客户的商业机密的保护就只能为其中一个客户提供服务。,2023/9/4计算机系统安全原理与技术(第3版)82强制访,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),83,基于角色的访问控制,由于,DAC,和,MAC,授权时需要对系统中的所有用户进行一维的权限管理，因此不能适应大型系统中数量庞大的用户管理和权限管理的需求。,20,世纪,90,年代以来，随着对在线的多用户、多系统的研究不断深入，角色的概念逐渐形成，并逐步产生了基于角色的访问控制,RBAC(Role-Based Access Control),模型,这一访问控制模型已被广为应用。,2023/9/4计算机系统安全原理与技术(第3版)83基于角,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),84,基于角色的访问控制,基于角色访问控制的核心思想是将权限同角色关联起来，而用户的授权则通过赋予相应的角色来完成，用户所能访问的权限由该用户所拥有的所有角色的权限集合的并集决定。,当用户机构或权限发生变动时，可以很灵活地将该用户从一个角色移到另一个角色来实现权限的协调转换，降低了管理的复杂度，另外在组织机构发生职能性改变时，应用系统只需要对角色进行重新授权或取消某些权限，就可以使系统重新适应需要。,与用户相比角色是相对稳定的。这里的角色就充当着主体,(,用户,),和客体之间的关系的桥梁,2023/9/4计算机系统安全原理与技术(第3版)84基于角,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),85,基于角色的访问控制,角色由系统管理员定义，角色成员的增减也只能由系统管理员来执行，即只有系统管理员有权定义和分配角色。,用户与客体无直接联系，他只有通过角色才享有该角色所对应的权限，从而访问相应的客体。,RBAC,与,DAC,的根本区别在于：用户不能自主地将访问权限授给别的用户。,RBAC,与,MAC,的区别在于：,MAC,是基于多级安全需求的，而,RBAC,则不是。,2023/9/4计算机系统安全原理与技术(第3版)85基于角,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),86,基于角色的访问控制,RBAC,核心模型中包含了五个基本静态集合：用户集,(Users),、角色集,(Roles),、对象集,(Objects),、操作集,(Operators),和权限集,(Perms),，以及一个运行过程中动态维护的集合,会话集,(Sessions),2023/9/4计算机系统安全原理与技术(第3版)86基于角,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),87,基于角色的访问控制,RBAC,的特点,便于授权管理,便于根据工作需要分级,便于赋予最小权限,便于任务分担,便于文件分级管理,便于大规模实现,2023/9/4计算机系统安全原理与技术(第3版)87基于角,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),88,新型访问控制,1,基于任务的访问控制,(TBAC),该模型的基本思想是：授予给用户的访问权限，不仅仅依赖主体、客体，还依赖于主体当前执行的任务及任务的状态。当任务处于活动状态时，主体拥有访问权限；一旦任务被挂起，主体拥有的访问权限就被冻结；如果任务恢复执行，主体将重新拥有访问权限；任务处于终止状态时，主体拥有的权限马上被撤销。,2023/9/4计算机系统安全原理与技术(第3版)88新型访,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),89,新型访问控制,2,基于对象的访问控制,(OBAC),控制策略和控制规则是基于对象访问控制系统的核心所在，在,OBAC,模型中，将访问控制列表与受控对象或受控对象的属性相关联，并将访问控制选项设计成为用户、组或角色及其对应权限的集合；同时允许对策略和规则进行重用、继承和派生操作。,2023/9/4计算机系统安全原理与技术(第3版)89新型访,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),90,4.6,其他安全机制,最小权限管理,最小权限管理的思想是系统不应给用户,/,管理员超过执行任务所需权限以外的权限,如将超级用户的权限划分为一组细粒度的权限，分别授予不同的系统操作员,/,管理员，使各种系统操作员,/,管理员只具有完成其任务所需的权限，从而减少由于权限用户口令丢失或错误软件、恶意软件、误操作所引起的损失。,2023/9/4计算机系统安全原理与技术(第3版)904.6,2024/8/28,计算机系统安全原理与技术,(,第,3,版,),91,4.6,其他安全机制,可信路径,在计算机系统中，用户是通过不可信的中间应用层和操作系统相互作用的。但用户登录、定义用户的安全属性、改变文件的安全级等操作，用户必须确实与安全核心通信，而不是与一个特洛伊木马打交道。系统必须防止特洛伊木马模仿登录过程，窃取用户的口令。权限用户在进行权限操作时，也要有办法证实从终端上输出的信息是正确的，而不是来自于特洛伊木马。这些都需要一个机制保障用户和内核的通信，这种机制就是由可信路径提供的。,2023/9/4计算机系统安全原理与技术(第3版)914.6,2024/8/28,计算机系统