操作系统安全.pptx
《操作系统安全.pptx》由会员分享,可在线阅读,更多相关《操作系统安全.pptx(71页珍藏版)》请在咨信网上搜索。
1、第四章第四章 操作系统安全操作系统安全刘培顺刘培顺调课通知下周五(11.6)的课调到下周三(11.4)晚上6:00-8:00 地点:信息学院南楼,计算机系机房 B317手工杀毒的实验:W32.Downadup!autorunW32.Huhk.AW32.SillyDCW32.Almanahe.B!infInfostealer.Lineage安全体系结构操作系统是最底层软件系统,其安全性直接影响并决定了计算机的安全性能。操作系统安全是信息系统安全的最基本、最基础的安全要素。操作系统的任何安全脆弱性和安全漏洞,必然导致信息系统的整体安全脆弱性。操作系统的任何功能性变化,都可导致信息系统安全脆弱性分布
2、情况的变化。从软件角度来看,确保信息系统安全的第一要事便是采取措施保证操作系统安全。在目前的操作系统中,对安全机制的设计不尽完善,存在较多的安全漏洞隐患。面对黑客的盛行,网络攻击的日益频繁,运用的技术愈加先进,计算机操作系统的安全显得尤为重要。安全体系结构的安全服务l认证我不认识你!-你是谁?我怎么相信你就是你?-要是别人冒充你怎么办?l访问控制授权我能干什么?-我有什么权利?你能干这个,不能干那个.l保密性我与你说话时,别人能不能偷听?l完整性收到的传真不太清楚?传送过程过程中别人篡改过没有?l防抵赖我收到货后,不想付款,想抵赖,怎么样?我将钱寄给你后,你不给发货,想抵赖,如何?操作系统安全
3、操作系统安全身份认证身份认证提纲单机状态下身份认证基于口令的认证方式基于智能卡的认证方式基于生物特征的认证方式认证的概念认证是一个过程,通过这个过程,一个实体像另一个实体证明了某种声称的属性。认证概念可以分为三个子概念数据源认证:验证消息的某个声称属性实体认证:验证消息发送者所声称的身份身份认证身份认证,用来确定用户在系统中的身份的真实性,包括用户的标识和鉴别,是用户进入系统后的第一道防线。用户标识是指用户登录注册在信息系统中的身份标识(ID),代表用户的身份信息。鉴别是验证某些事物的过程。身份认证的基本途径基于你所知道的(What you know)知识、口令、密码基于你所拥有的(What
4、you have)身份证、信用卡、密钥、智能卡、令牌等基于你的个人特征(What you are)指纹,笔迹,声音,手型,脸型,视网膜,虹膜双因素、多因素认证身份认证的基本模型申请者(Claimant)验证者(Verifier)认证信息AI(Authentication Information)可信第三方(Trusted Third Party)申请AI验证AI申请AI验证AI交换AI常用的身份认证技术/协议简单口令认证质询/响应认证一次性口令认证(OTP)电子令牌基于U盾的身份认证基于生物特征的身份认证基于口令的身份认证用户名/口令认证技术是最简单、最普遍的身份识别技术各类系统的登录等。口令
5、具有共享秘密的属性,只有用户和系统知道。例如,用户把他的用户名和口令送服务器,服务器操作系统鉴别该用户。口令有时由用户选择,有时由系统分配。通常情况下,用户先输入某种标志信息,比如用户名和ID号,然后系统询问用户口令,若口令与用户文件中的相匹配,用户即可进入访问。口令有多种,如一次性口令;还有基于时间的口令基于口令的身份认证用户名/口令具有实现简单的优点,但存在以下安全缺点:大多数系统的口令是明文传送到验证服务器的,容易被截获。口令维护的成本较高。为保证安全性,口令应当经常更换。另外为避免对口令的字典攻击,口令应当保证一定的长度,并且尽量采用随机的字符。但缺点是难于记忆。口令容易在输入的时候被
6、攻击者偷窥,而且用户无法及时发现。简单和安全是互相矛盾的两个因素口令保护技术对口令的使用,存储和更新进行控制控制口令显示信息限制注册失败次数:3次或6次定期更新口令避免重复使用最小长度:68个字符用户被锁根口令:要求更严系统生成口令:随机性更好创建强健的口令 在创建安全口令的时候,最好能遵循以下准则:不要做以下的事:不要只使用单词或数字 决不要在口令中只使用单词或数字。某些不安全口令包括:8675309 juan hackme不要使用现成词汇 像名称、词典中的词汇、甚至电视剧或小说中的用语,即使在两端使用数字,都应该避免使用。某些不安全口令包括:John1 DS-9 mentat123创建强健
7、的口令不要使用外语中的词汇 口令破译程序经常使用多种语言的词典来检查其词汇列表。依赖外语来达到保护口令的目的通常不起作用。某些不安全口令包括:Cheguevara bienvenido1 1dumbKopf不要使用黑客术语 如果你以为在口令中使用黑客术语 又称 l337(LEET)就会与众不同,请再三思。许多词汇列表都包含了 LEET 式术语。某些不安全口令包括:H4X0R 1337不要使用个人信息 千万不要使用个人信息。如果攻击者知道你的身份,推导出你所用口令的任务就会变得非常容易。以下是你在创建口令时应该避免使用的信息类型。某些不安全口令包括:你的名字 宠物的名字 家庭成员的名字生日 你的
8、电话号码或邮政编码创建强健的口令不要倒转现存词汇 优秀的口令破译者总是倒转常用词汇,因此倒转薄弱口令并不会使它更安全。某些不安全口令包括:R0X4Hnauj9-DS不要笔录你的口令 决不要把口令写在纸上。把它牢记在心才更为安全。不要在所有机器上都使用同样的口令 在每个机器上使用不同的口令是及其重要的。这样,如果一个系统泄密了,所有其它系统都不会立即受到威胁。做以下的事:创建强健的口令口令长度至少为八个字符 口令越长越好。若使用 MD5 口令,它应该至少有15个字符。若使用 DES 口令,使用最长长度(8个字符)。混和大小写字母 红帽企业 Linux 区分大小写,因此混和大小写会增加口令的强健程
9、度。混和字母和数字 在口令中添加数字,特别是在中间添加(不只在开头和结尾处)能够加强口令的强健性。包括字母和数字以外的字符&、$、和 之类的特殊字符可以极大地增强口令的强健性(若使用 DES 口令则不能使用此类字符)。挑选一个你可以记住的口令 如果你记不住你的口令,那么它再好也没有用;使用简写或其它记忆方法来帮助你记忆口令。安全口令创建方法想出一个可记忆的短语,如:over the river and through the woods,to grandmothers house we go.然后只引用第一个字母而把它变成简写(包括标点)。otrattw,tghwg.把简写中的字母替换成数字和
10、符号来增加其复杂性。例如,用 7 来替换 t,用 来替换 a:o7r77w,7ghwg.至少把一个字母变成大写来增加其复杂性,如 H。o7r77w,7gHwg.最后,永远不要在任何系统上使用以上的口令范例。口令攻击的种类网络数据流窃听。由于认证信息要通过网络传递,并且很多认证系统的口令是未经加密的明文,攻击者通过窃听网络数据,就很容易分辨出某种特定系统的认证数据,并提取出用户名和口令。认证信息截取/重放(Record/Replay)有的系统会将认证信息进行简单加密后进行传输,如果攻击者无法用第一种方式推算出密码,可以使用截取/重放方式。安全的口令认证技术-动态口令动态口令:一般采用双运算因子的
11、计算方式,也就是加密算法的输入值有两个数值,其一为用户密钥、另一为变动因子.由于用户密钥为固定数值,因此变动因子必须不断变动才可以算出不断变动的动态密码。服务器及动态口令系统必须随时保持相同的变动因子,才能算出相同的动态密码基于动态口令的身份认证质询/响应认证(Challenge/Response)一次性口令(OTP)质询/响应认证协议Challenge and Response Handshake ProtocolClient和Server共享一个密钥Login,IDcIDc,RIDc,MACcMAC=H(R,K)sMAC=H(R,K)比较比较MAC和和MACOK/DisconnectMAC
12、的计算可以基于的计算可以基于Hash算算,对称密钥算法,公开密钥算法对称密钥算法,公开密钥算法一次性口令认证(OTP)S/Key SecurIDTokenServer应答 seed+seqOTPHash(Pass+seed)OTPhttp:/www.faqs.org/rfcs/rfc1760.htmlhttp:/www.ietf.org/rfc/rfc2289.txtOTPID确认Hash(Pass+seed)Seq-1利用单向Hash函数生成一次性口令序列,逆序使用基于智能卡认证方式基于智能卡的认证可提供双重认证,即你所拥有的东西认证(您的智能卡)和你所知道的东西认证(您的PIN代码)智能卡
13、提高硬件保护措施和加密算法,可以利用这些功能加强安全性能。当前比较常用的是基于USB接口的智能卡,UKEY.UKey是一种通过USB(通用串行总线接口)直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备。UKey的设计小巧精致、携带方便UKey自身所具备的存贮器可以用来存储一些个人信息或证书,UKey的内部密码算法可以为数据传输提供安全的管道,UKey是适用于单机或网络应用的安全防护产品。生理特征介绍每个人所具有的唯一生理特征指纹,视网膜,声音,视网膜、虹膜、语音、面部、签名等指纹一些曲线和分叉以及一些非常微小的特征;提取指纹中的一些特征并且存储这些特征信息:节省资源,快速查询;手掌、
14、手型 手掌有折痕,起皱,还有凹槽;还包括每个手指的指纹;人手的形状(手的长度,宽度和手指)表示了手的几何特征 生理特征介绍(续)视网膜扫描 扫描眼球后方的视网膜上面的血管的图案;虹膜扫描 虹膜是眼睛中位于瞳孔周围的一圈彩色的部分;虹膜有其独有的图案,分叉,颜色,环状,光环以及皱褶;语音识别 记录时说几个不同的单词,然后识别系统将这些单词混杂在一起,让他再次读出给出的一系列单词。面部扫描 人都有不同的骨骼结构,鼻梁,眼眶,额头和下颚形状。指纹识别历史悠久考古证实,公元前年到公元前年,指纹作为身份鉴别已在古中国和古叙利亚使用。从那时出土的粘土陶器上留有的陶艺匠人的指纹,纸稿上印有的起草者的大拇指指
15、纹,古城市的房屋留下的砖匠一对大拇指指纹的印记中可以看出,指纹认证已被应用于当时社会的许多领域里。世纪初,科学发现了至今仍被承认的指纹的两个重要特征,即两个不同手指的指纹纹脊的式样不同,和指纹纹脊的式样终生不改变。这个有关指纹唯一性和终身不变性的研究成果在指纹鉴别犯罪中得到正式应用。世纪末到世纪初,阿根廷、苏格兰等国相继将指纹识别技术应用于罪犯鉴别。最初的指纹识别采用手工方法,即将指纹卡片存放在指纹库中,需要时在指纹库中人工查找由指纹专家比对指纹卡。世纪年代后,人们利用计算机代替了效率低、投入高的手工方式来处理指纹,个人电脑和光学扫描仪成为指纹取像工具。年代后期,低价位取像设备的出现,为个人身
16、份识别技术的发展提供了舞台。指纹识别读取指纹图像提取特征保存数据和比较第一代指纹识别系统,属于光学识别系统,光学指纹识别系统由于光不能穿透皮肤表层(死性皮肤层),所以只能够扫描手指皮肤的表面,或者扫描到死性皮肤层,但不能深入真皮层。在这种情况下,手指表面的干净程度,直接影响到识别的效果。如果,用户手指上粘了较多的灰尘,可能就会出现识别出错的情况。并且,如果人们按照手指,做一个指纹手模,也可能通过识别系统,对于用户而言,这具有不安全性。第二代指纹识别系统,采用了电容传感器技术,并采用了小信号来创建山脉状指纹图像的半导体设备。指纹识别器的电容传感器发出电子信号,电子信号将穿过手指的表面和死性皮肤层
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 操作 系统安全
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。