操作系统安全机制.pptx
《操作系统安全机制.pptx》由会员分享,可在线阅读,更多相关《操作系统安全机制.pptx(80页珍藏版)》请在咨信网上搜索。
1、操作系统安全的主要目标访问控制访问控制身份鉴别身份鉴别监督系统运行的安全性监督系统运行的安全性保证系统的安全性和完整性保证系统的安全性和完整性普遍的安全机制信任的功能性信任的功能性时间检测时间检测审计跟踪审计跟踪安全恢复安全恢复2.1标识与鉴别机制用户标识(identification):用来标明用户身份,确保用户的惟一性和可辨认性的标志,一般选用用户名称和用户标识符(UID)来标明一个系统用户,名称和标识符均为公开的明码信息。用户标识是有效实施其他安全策略,如用户数据保护和安全审计的基础。通过为用户提供标识,TCB能使用户对自己的行为负责。用户鉴别用户鉴别(authentication):用
2、特定信息对用户身份、设备和其他实体的真实性进行确认,用于鉴别的信息是非公开的和难以仿造的,如口令(也称密钥)。用户鉴别是有效实施其他安全策略的基础。三类信息用作身份标识和鉴别用户知道的信息用户拥有的东西用户的生物特征利用其中的任何一类都可进行身份认证,但若能利用多类信息,或同时利用三类中的不同信息,会增强认证机制的有效性和强壮性。2.1.2 密码口令机制简单易行,但最为脆弱口令管理系统管理员的职责用户的职责口令实现要点2.1.3 生物鉴别方法用户提供自己独有的生理或行为上的特点常见的指纹识别2.2 访问控制用户进程是固定为某特定用户服务的,它在运行中代表该用户对客体资源进行访问,其权限应与所代
3、表的用户相同,这一点可通过用户与主体绑定实现。用户与主体绑定系统进程是动态地为所有用户提供服务的,它的权限随着服实对象的变化而改变,这需要将用户的权限与为其服务的进程的权限动态地相关联。这也就是说,一个进程在不同时刻对一个客体有不同的访问权限,取决于它当时所执行的任务。当进程在执行正常的用户态应用程序时(用户进程),它所拥有的权限与其代表的用户有关;当进程进行系统调用时,它开始执行内核函数(系统进程),此时运行在核心态,拥有操作系统权限。授权机制的功能经典的计算机系统两种机制的关键点,当一个用户试图访问计算机系统时,认证机制首先标识与鉴别用户身份用户进入系统后,再由授权机制检查其是否拥有使用本
4、机资源的权限及有多大的访问权限。授权机制的功能是授权和存取控制,其任务是:授权,确定给予哪些主体存取哪些客体的权力。确定存取权限,通常有:读、写、执行、删除、追加等存取方式。实施存取权限。认证和授权 用户1认证机制授权机制主体1主体1可访问的资源计算机系统主体2用户2主体1、主体2可访问的资源2.2.2 自主访问控制策略本策略根据系统中信息属主指定方式或默认方式、即按照用户的意愿来确定用户对每一个客体的访问权限,这一点上对信息属主是“自主的”。这样一来,它能提供精细的访问控制策略,能将访问控制粒度细化到单个用户(进程)。按照系统访问控制策略实现的访问控制机制,能够为每个命名客体指定命名用户和用
5、户组,并规定他们对客体的访问权限,没有访问权限的用户,只允许由授权用户指定其对客体的访问权。矩阵模型矩阵模型:设S为全体主体的集合,Ss 1,s 2,s m。设O为全体客体的集合,Oo 1,o 2,o n。设R为全体权力的集合,Rr 1,r 2,r l。记权力矩阵为:a 1 1,a 1 2,a 1 n S 1 a 2 1,a 2 2,a 2 n S2 A =o 1,o 2,o n a m 1,a m 2,a m n Sm 自主访问控制模型自主访问控制模型矩阵的每一行对应一个主体,每一列对应一个矩阵的每一行对应一个主体,每一列对应一个客体。行与列交叉点上的元素客体。行与列交叉点上的元素a ij
6、ij 表示主体表示主体si i 对对客体客体oj j 所拥有的所有权力的集合。所拥有的所有权力的集合。当当主主体体si i 要要对对客客体体oj j 进进行行访访问问时时,访访问问控控制制机机制制检检查查aij ij,看看主主体体si i 是是否否具具有有对对客客体体oj j 进进行行访访问问的的权权力力,以以决决定定主主体体si i 是是否否可可对对客客体体oj j 进进行行访问,以及进行什么样的访问。访问,以及进行什么样的访问。自主性自主性 客客体体的的属属主主有有权权将将其其客客体体的的访访问问权权力力授授予予其其它它主体,或主体,或收回收回。自主访问控制模型自主访问控制模型矩阵模型的实
7、现矩阵模型的实现基于矩阵列基于矩阵列-对对需需要要保保护护的的客客体体附附件件一一个个访访问问控控制制表表,标明各拥有权力的主体的标识与权限。标明各拥有权力的主体的标识与权限。-UNIX,LINUX,NT基于矩阵的行基于矩阵的行-在每个主体上附件一个可访问的客体的明在每个主体上附件一个可访问的客体的明细表:细表:权力表权力表 口令口令自主访问控制模型自主访问控制模型1.基于行的自主存取控制机制在每个主体上都附加一个该主体可访问的客体明细表,根据表中信息的不同又可分成3种:2)前缀表对每个主体赋予前缀(Profiles)表,它包含受保护的客体名和主体对它的访问权限,每当主体访问某客体时,自主存取
8、控制机制将检查主体的前缀是否具有它所请求的访问权。权限管理复杂3)口令表(Passwords List)在基于口令表的自主存取控制机制中,每个客体都有一个口令,主体在对客体访问前,必须向安全系统提供该客体的口令,如果正确便允许访问。2.基于列的自主存取控制机制存取控制表ACL(Access Control List)是十分有效的自主访问控制机制,被许多系统采用。此机制如下实现,在每个客体上都附加一个可访问它的主体的明细表,表示存取控制矩阵,表中的每一项都包括主体的身份和主体对该客体的访问权限。ACL和优化ACL PID1,r-xPID2,rw-PID3,-xPID4,rwx客体Y (a)存取控
9、制表 文件XPID1 GROUP5 rwx*GROUP5 -xPID3 *-*r-(b)优化的存取控制表 3.自主存取控制机制实现举例1)“拥有者/同组同户/其他用户”模式2)“存取控制表ACL”和“拥有者/同组同户/其他用户”结合模式在安全操作系统UNIX SVR4.1中,采用“存取控制表ACL”和“拥有者/同组同户/其他用户”结合的实现方法,ACL只对于“拥有者/同组同户/其他用户”无法分组的用户才使用。2.2.3 强制访问控制策略在强制访问控制机制下,系统内的每个用户或主体被赋予一个许可标记或访问标记,以表示他对敏感性客体的访问许可级别;同样,系统内的每个客体被赋予一个敏感性标记(sen
10、sitivity label),以反映该客体的安全级别。安全系统通过比较主、客体的相应标记来决定是否授予一个主体对客体的访问请求权限。实现多级安全访问控制机制必须对系统的主体和客体分别赋予与其身份相对称的安全属性的外在表示-安全标签,它有两部分组成:安全类别:范畴(1)安全类别有等级的分类安全级别:也称密级,系统用来保护信息(客体)的安全程度。敏感性标签:客体的安全级别的外在表示,系统利用此敏感性标签来判定一进程是否拥有对此客体的访问权限。许可级别:进程(主体)的安全级别,用来判定此进程对信息的访问程度。许可标签:进程的安全级别的外在表示,系统利用进程的安全级别来判定此进程是否拥有对要访问的信
11、息的相应权限。(2)范畴无等级概念范畴是该安全级别信息所涉及的部门。公司内可以建立信息安全类别Confidential Restricted(技术信息)、Restricted(内部信息)Unrestricted(公开信息);军事部门的信息安全类别Top Secret(绝密)、Secret(秘密)、Confidential(机密)和Unclassified(公开)公司内的范畴Accounting(财 务 部)、Marketing(市 场 部)、Advertising(广告部)、Engineering(工程部)和Reserch&Development(研发部)。在公司内,财务部经理与市场部经理虽然
12、级别相同(都是经理),但由于两人分属不同部门(财务部负责财务,市场部负责市场),从而,分 属 两 个 不 同 的 范 畴(Accounting、Marketing),故市场部经理是不能够访问财务部经理的信息的。2.2.4 基于角色的访问控制 BRACBRAC介绍介绍h由由ISTIST的的FerraioloFerraiolo等人在等人在9090年代提出。年代提出。hNISTNIST成立专门机构进行研究。成立专门机构进行研究。h9696年提出一个较完善的基于角色的访问年提出一个较完善的基于角色的访问控制参考模型控制参考模型RBAC96RBAC96。BRACBRAC的基本思想的基本思想根据用户在一个
13、组织中担任的角色来确根据用户在一个组织中担任的角色来确定对其所的授权。定对其所的授权。BRACBRAC是强制访问模型,不是是强制访问模型,不是DACDAC虽然一个用户担任一个角色后,便可以虽然一个用户担任一个角色后,便可以拥有该角色的权限,但是他不能将权限拥有该角色的权限,但是他不能将权限转授给别人。转授给别人。BRAC BRAC的基本概念的基本概念hRBACRBAC的的基基本本思思想想是是根根据据用用户户所所担担任任的的角角色色来来决决定定用用户户的在系统中的访问权限。的在系统中的访问权限。h一一个个用用户户必必须须扮扮演演某某种种角角色色,而而且且还还必必须须激激活活这这一一角角色色,才能
14、对一个对象进行访问或执行某种操作。才能对一个对象进行访问或执行某种操作。安全管理员用户角色/权限指定指定访问或操作激活激活 BRAC BRAC的基本概念的基本概念h用户(用户(UserUser)访问计算机资源的主体。访问计算机资源的主体。用户集合为用户集合为 U U.h角色(角色(rolerole)一种岗位,代表一种资格、权利和责任。一种岗位,代表一种资格、权利和责任。角色集合为角色集合为 R.R.h权限(权限(permissionpermission)对客体的操作权力。对客体的操作权力。权限集合为权限集合为 P.P.h用户分配(用户分配(User AssignmentUser Assignm
15、ent)将用户与角色关联。将用户与角色关联。用户分配集合为用户分配集合为UA=(u,r)UA=(u,r)|u|uU,rR.U,rR.用户用户 u u与角色与角色 r r关联后,将拥有关联后,将拥有 r r的权限。的权限。BRAC BRAC的基本概念的基本概念h权限分配(权限分配(Permission AssignmentPermission Assignment)将角色与权限关联。将角色与权限关联。权限分配集合为权限分配集合为PA=(p,r)PA=(p,r)|p|pP,rR.P,rR.权限权限 p p与角色与角色 r r关联后,角色关联后,角色 r r将拥有权限将拥有权限 p p。h激活角色(
16、激活角色(Actve RoleActve Role)角色只有激活才能起作用,否则不起作用。角色只有激活才能起作用,否则不起作用。通过会话激活角色。通过会话激活角色。h会话(会话(SessionSession)用户要访问系统资源时,必须先建立一个会话。用户要访问系统资源时,必须先建立一个会话。一次会话仅对应一个用户。一次会话仅对应一个用户。一次会话可激活几个角色。一次会话可激活几个角色。BRAC BRAC的基本机制的基本机制hRBACRBAC的的授权机制:授权机制:a.a.分为两步:分为两步:将用户分配给角色将用户分配给角色 将访问权限分配给角色将访问权限分配给角色 b.b.授权要满足安全约束条
17、件。授权要满足安全约束条件。最小特权原则最小特权原则 职责分离原则职责分离原则 角色互斥原则角色互斥原则 角色激活限制原则角色激活限制原则 c c.角色分级,高级角色可以继承低级角色的访问权限。角色分级,高级角色可以继承低级角色的访问权限。BRAC BRAC的基本机制的基本机制hRBACRBAC用户与角色的关系用户与角色的关系:(多对多关系):(多对多关系)a.a.一个一个用户可担当多个角色用户可担当多个角色 b.b.一个角色可分配给多个用户一个角色可分配给多个用户h角色和权限之间的关系:角色和权限之间的关系:(多对多的关系)(多对多的关系)a.a.一个角色可以拥有多个访问权限,一个角色可以拥
18、有多个访问权限,b.b.不同的角色也可以拥有相同的权限。不同的角色也可以拥有相同的权限。h角色和角色的关系:角色和角色的关系:(分级关系)(分级关系)高级角色可以继承低级角色的访问权限。高级角色可以继承低级角色的访问权限。BRAC BRAC的基本机制的基本机制l角色分级角色分级 a.a.角色分级是组织角色的一种自然方法角色分级是组织角色的一种自然方法。b.b.角角色色分分级级的的结结果果将将导导致致一一个个角角色色可可以以直直接接或或间间接接地地继继承另一角色的访问权限。承另一角色的访问权限。c.c.直接继承:相邻角色之间的继承。直接继承:相邻角色之间的继承。d.d.间接继承:非相邻角色之间的
19、继承。间接继承:非相邻角色之间的继承。角色分级角色分级(role hierarchy)(role hierarchy)继承关系继承关系 高级角色中间角色高级角色低级角色低级角色中间角色中间角色高级角色 BRAC BRAC的基本机制的基本机制l安全约束安全约束约束是设计高级安全策略的一个强有力的机制。约束是设计高级安全策略的一个强有力的机制。各个环节施加安全约束,以实现不同的安全策略。各个环节施加安全约束,以实现不同的安全策略。可以定义在系统层,也可以定义在应用层。可以定义在系统层,也可以定义在应用层。可以是事件触发的,也可以不是事件触发的。可以是事件触发的,也可以不是事件触发的。n职责分离约束
20、职责分离约束合合理理划划分分任任务务和和相相关关权权限限,以以保保证证多多用用户户协协同同工工作作的的安全性。安全性。如,公检法三权分立,互相配合,又互相监督。如,公检法三权分立,互相配合,又互相监督。n角色互斥约束角色互斥约束如如果果一一组组角角色色是是互互斥斥的的,那那么么一一个个用用户户或或同同一一个个访访问权限只能被分配给其中的一个角色。问权限只能被分配给其中的一个角色。利用角色互斥约束可实现职责分离。利用角色互斥约束可实现职责分离。例如,一个人不能又当裁判员又当运动员。例如,一个人不能又当裁判员又当运动员。n最小特权约束最小特权约束只给角色分配完成某工作所需的最小权力。只给角色分配完
21、成某工作所需的最小权力。n角色激活约束角色激活约束 激激活活数数约约束束 限限制制一一个个角角色色同同时时授授权权和和激激活活的的数数目目。如如总总经经理理只只有有1 1个。个。角色激活时间约束角色激活时间约束 限制一个角色激活的时间。如岗位任期制。限制一个角色激活的时间。如岗位任期制。BRAC96模型模型hBRAC96模型包括模型包括4个层次:个层次:hBRAC0:基础模型:基础模型hBRAC1:在:在BRAC0的基础上增加了角色分级的基础上增加了角色分级hBRAC2:在:在BRAC0的基础上增加了角色和权限约束的基础上增加了角色和权限约束hBRAC3:集成了:集成了BRAC1 和和BRAC
22、2h h BRAC3 BRAC3 加强模型加强模型加强模型加强模型BRAC0 BRAC0 基础模型基础模型基础模型基础模型BRAC2 BRAC2 高级模型高级模型高级模型高级模型高级模型高级模型高级模型高级模型 BRAC1BRAC1 BRAC96模型模型用户U角色B权限P用户分配用户分配权限分配权限分配分级安全约束会话 BRAC BRAC模型的优缺点模型的优缺点h便便于于授授权权管管理理。如如系系统统管管理理员员需需要要修修改改系系统统设设置置等等内内容容时时,必必须须有有几几个个不不同同角角色色的的用用户户到到场场方能操作,增强了安全性。方能操作,增强了安全性。h便于处理工作分级。如,文件等
23、资源分级管理。便于处理工作分级。如,文件等资源分级管理。h利利用用安安全全约约束束,容容易易实实现现各各种种安安全全策策略略,如如最最小特权,职责分离等。小特权,职责分离等。h便于任务分担,不同角色完成不同的任务。便于任务分担,不同角色完成不同的任务。MAC和和DAC的应用的应用在在C C级操作系统中应用级操作系统中应用MACMAC访问控制模型访问控制模型在在B B级以上操作系统中将级以上操作系统中将MACMAC和和DACDAC联合联合应用应用 访问请求MAC检查DAC检查拒绝访问失败通过通过接受访问2.3 最小特权管理最小特权原则是系统安全中最基本的原则之一。所谓最小特权(Least Pri
24、vilege),指的是在完成某种操作时所赋予网络中每个主体(用户或进程)必不可少的特权。最小特权原则,则是指应限定网络中每个主体所必须的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。最小特权原则一方面给予主体必不可少的特权,这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作;另一方面,它只给予主体必不可少的特权,这就限制了每个主体所能进行的操作。最小特权原则要求每个用户和程序在操作时应当使用尽可能少的特权,而角色允许主体以参与某特定工作所需要的最小特权去签入(Sign)系统。被授权拥有强力角色(Powerful Roles)的主体,不需要动辄运用到其所有
25、的特权,只有在那些特权有实际需求时,主体才去运用它们。如此一来,将可减少由于不注意的错误或是侵入者假装合法主体所造成的损坏发生,限制了事故、错误或攻击带来的危害。它还减少了特权程序之间潜在的相互作用,从而使对特权无意的、没必要的或不适当的使用不太可能发生。这种想法还可以引申到程序内部:只有程序中需要那些特权的最小部分才拥有特权。在安全操作系统中,为了维护系统的正常运行及其安全策略库,管理员往往需要一定的特权直接执行一些受限的操作或进行超越安全策略控制的访问。特权是超越访问控制限制的能力,它和访问控制结合使用,提高了系统的灵活性。举例对可执行文件赋予相应的特权集对于系统中的每个进程,根据其执行的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 操作 系统安全 机制
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。