第6章-信息系统安全与保密技术

1、1第六章信息系统安全与保密技术第六章信息系统安全与保密技术 v一一. 基本要求与基本知识点基本要求与基本知识点（1）掌握操作系统安全技术；）掌握操作系统安全技术；（2）理解）理解Windows NT/2000安全；安全；（3）掌握数据库安全技术；）掌握数据库安全技术；（4）理解）理解SQL Server的安全。的安全。v二二. 教学重点与难点教学重点与难点（1）操作系统安全与保密；）操作系统安全与保密；（2）Windows NT/2000安全模型；安全模型；（3）数据库安全与保密；）数据库安全与保密；（4）SQL Server的安全体系。的安全体系。v参考资料：参考资料：计算机网络安全计算机网

2、络安全邓亚平，人民邮邓亚平，人民邮电出版社，电出版社，2004年年9月；月；26.1 操作系统安全技术操作系统安全技术 6.1 .1安全操作系统的发展状况安全操作系统的发展状况v操作系统是计算机系统的重要系统软件，它能够操作系统是计算机系统的重要系统软件，它能够对计算机的硬件和软件资源实行统一的管理和控对计算机的硬件和软件资源实行统一的管理和控制。各种计算机应用软件均运行在操作系统提供制。各种计算机应用软件均运行在操作系统提供的系统平台之上，它们通过操作系统完成对系统的系统平台之上，它们通过操作系统完成对系统中信息的存取和处理。中信息的存取和处理。v因此可以说操作系统的安全是整个计算机系统安因

3、此可以说操作系统的安全是整个计算机系统安全的基础，一旦操作系统的防御被突破，整个计全的基础，一旦操作系统的防御被突破，整个计算机系统将会受到根本威胁。算机系统将会受到根本威胁。3v早在早在20世纪世纪60年代，安全操作系统的研究就引年代，安全操作系统的研究就引起了研究机构（尤其是美国军方）的重视，至今起了研究机构（尤其是美国军方）的重视，至今人们已经在这个领域付出了几十年的努力，开展人们已经在这个领域付出了几十年的努力，开展了大量的工作，取得了丰硕的成果。主要有：了大量的工作，取得了丰硕的成果。主要有：v（1）世界第一个安全操作系统是）世界第一个安全操作系统是Adept-50，这，这是一个分时

4、系统，可以实际投入使用，运行于是一个分时系统，可以实际投入使用，运行于IBM/360硬件平台，它以一个形式化的安全模型硬件平台，它以一个形式化的安全模型-高水标模型为基础，实现了美国的一个军事安高水标模型为基础，实现了美国的一个军事安全系统模型，为给定的安全问题提供了一个比较全系统模型，为给定的安全问题提供了一个比较形式化的解决方案。形式化的解决方案。4v（2）1965年，美国贝尔实验室和麻省理工学院年，美国贝尔实验室和麻省理工学院的的MAC课题组等一起联合开发一个称为课题组等一起联合开发一个称为Multics的新操作系统，其目标是向大的用户团体提供对的新操作系统，其目标是向大的用户团体提供对

5、计算机的同时访问，支持强大的计算能力和数据计算机的同时访问，支持强大的计算能力和数据存储，并具有很高的安全性。存储，并具有很高的安全性。由于由于Multics设计的复杂性和理想性，结果未能设计的复杂性和理想性，结果未能达到预期目标。虽然达到预期目标。虽然Multics未能成功，但它在未能成功，但它在安全操作系统的研究方面迈出了重要的一步，为安全操作系统的研究方面迈出了重要的一步，为后来的安全操作系统研究积累了大量经验。后来的安全操作系统研究积累了大量经验。5v（3）KSOS（Kernelized Secure Operating System）是美国国防部研究计划局）是美国国防部研究计划局19

6、77年发起年发起的一个安全操作系统研制项目，目标是为的一个安全操作系统研制项目，目标是为PDP-11/70机器开发一个可投放市场的安全操作系统，机器开发一个可投放市场的安全操作系统，系统的要求如下：系统的要求如下： 与贝尔实验室的与贝尔实验室的UNIX操作系统兼容；操作系统兼容； 实现多级安全性和完整性；实现多级安全性和完整性； 正确性可以被证明。正确性可以被证明。6v（4）1983年，美国国防部颁布了历史上第一个年，美国国防部颁布了历史上第一个计算机安全评价标准计算机安全评价标准-可信计算机系统评价准可信计算机系统评价准则则，简称，简称TCSEC，因其封面为橘黄色而被称为，因其封面为橘黄色而

7、被称为橘皮书。橘皮书。1985年，美国国防部对年，美国国防部对TCSEC进行修进行修订。订。TCSEC为计算机系统的可信程度划分和评价提供为计算机系统的可信程度划分和评价提供了准则，将安全操作系统研究带入了一个新阶段。了准则，将安全操作系统研究带入了一个新阶段。7v（5）OSF/1是开放软件基金会于是开放软件基金会于1990年推出的一年推出的一个安全操作系统，被美国国家计算机安全中心个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合）认可为符合TCSEC的的B1级级，其主要安，其主要安全性表现如下：全性表现如下： 系统标识；系统标识； 口令管理；口令管理； 强制存取控制和自主存取控

8、制；强制存取控制和自主存取控制； 审计。审计。8v（6）UNIX SVR4.1ES是是UI（UNIX国际组织）国际组织）于于1991年推出的一个安全操作系统，被美国国年推出的一个安全操作系统，被美国国家计算机安全中心（家计算机安全中心（NCSC）认可为符合）认可为符合TCSEC的的B2级级，除，除OSF/1外的安全性主要表现外的安全性主要表现如下：如下： 更全面的存取控制；更全面的存取控制； 更小的特权管理；更小的特权管理； 可信通路；可信通路； 隐蔽通道分析和处理。隐蔽通道分析和处理。9v（7）1997年美国安全计算公司（年美国安全计算公司（SCC）和国家）和国家安全局（安全局（NSA）完成

9、了）完成了DTOS（Distributed Trusted Operating System）安全操作系统。）安全操作系统。DTOS原型系统以原型系统以Mach为基础，具有以下设计目为基础，具有以下设计目标。标。 政策灵活性；政策灵活性； Mach兼容性；兼容性； DTOS内核的性能应该与内核的性能应该与Mach内核的性能内核的性能相近。相近。v在安全操作系统的研究方面，我国研究起步比较在安全操作系统的研究方面，我国研究起步比较晚，近几年开展了一系列安全操作系统的研制工晚，近几年开展了一系列安全操作系统的研制工作，通过完成有关项目，开发出多种安全操作系作，通过完成有关项目，开发出多种安全操作系

10、统。统。106.1.2 安全操作系统的设计安全操作系统的设计v操作系统由于其在整个计算机系统中的地位和作用，操作系统由于其在整个计算机系统中的地位和作用，要设计高度安全性的操作系统非常难。操作系统功要设计高度安全性的操作系统非常难。操作系统功能复杂，事务繁忙，要控制和管理系统中数据的存能复杂，事务繁忙，要控制和管理系统中数据的存取、程序运行和外部设备的工作等，同时还不得不取、程序运行和外部设备的工作等，同时还不得不承担起整个计算机系统的安全保护责任，这就使得承担起整个计算机系统的安全保护责任，这就使得操作系统的设计具有很大的难度。操作系统的设计具有很大的难度。v具有高度安全性的操作系统的设计，

11、首先考虑标准具有高度安全性的操作系统的设计，首先考虑标准通用操作系统的通用操作系统的基本基本设计原则，然后考虑设计原则，然后考虑隔离隔离，正，正是通过隔离同时支持用户域的共享和分割，接下来是通过隔离同时支持用户域的共享和分割，接下来考察操作系统的考察操作系统的“内核内核”设计方法，这是提供安全设计方法，这是提供安全性的有效途径，最后考虑性的有效途径，最后考虑分层分层结构设计。结构设计。v以下分别介绍安全操作系统设计时，需要遵循一个以下分别介绍安全操作系统设计时，需要遵循一个基本原则和三个性质。基本原则和三个性质。111、安全操作系统设计的原则、安全操作系统设计的原则v萨尔哲（萨尔哲（Saltz

12、er）和史克罗德（）和史克罗德（Sroder）提出安）提出安全操作系统设计的全操作系统设计的基本原则基本原则：v（1）最小特权，每个用户和程序使用尽可能少的）最小特权，每个用户和程序使用尽可能少的特权，以使有意或无意的攻击所造成的损失达到最特权，以使有意或无意的攻击所造成的损失达到最低程度；低程度；v（2）经济性，设计的操作系统应尽可能地小和简）经济性，设计的操作系统应尽可能地小和简单，以便于验证和正确执行。目前操作系统不能保单，以便于验证和正确执行。目前操作系统不能保证安全的主要原因是它的规模太大，以至于超出了证安全的主要原因是它的规模太大，以至于超出了理解的范围，并且使操作系统永远存在尚未

13、纠正的理解的范围，并且使操作系统永远存在尚未纠正的错误的原因。错误的原因。v（3）开放设计，保护机制应当是公开的，经受住）开放设计，保护机制应当是公开的，经受住广泛的公开审查。广泛的公开审查。12v（4）完备的存取控制机制，对每个存取访问，系）完备的存取控制机制，对每个存取访问，系统都必须进行检查控制。统都必须进行检查控制。 v（5）基于）基于“允许允许”，标示的资源应该是，标示的资源应该是“允许存允许存取取”的，而未标示的资源是的，而未标示的资源是“不允许存取不允许存取”的。的。缺省条件是缺省条件是“不允许存取不允许存取”的。的。v（6）权限分离。理想情况下，对实体的存取应该）权限分离。理想

14、情况下，对实体的存取应该依赖多个条件，如用户身份鉴别加上密钥。依赖多个条件，如用户身份鉴别加上密钥。v（7）避免信息流的潜在通道，可共享实体提供了）避免信息流的潜在通道，可共享实体提供了信息流的潜在通道。系统设计时应采取物理或逻信息流的潜在通道。系统设计时应采取物理或逻辑分离的方法，防止这种潜在通道。辑分离的方法，防止这种潜在通道。v（8）方便使用，存取控制机制方便使用。如不影）方便使用，存取控制机制方便使用。如不影响遵守规则的用户；便于用户授权存取；便于用响遵守规则的用户；便于用户授权存取；便于用户约束存取。户约束存取。132、隔离设计、隔离设计v隔离是指采用一定的措施，使系统某一部分的故障

15、隔离是指采用一定的措施，使系统某一部分的故障不影响其它的部分。不影响其它的部分。设计思想设计思想是把一个大系统分割是把一个大系统分割成若干个互不相交的小系统，对一个任务来讲，由成若干个互不相交的小系统，对一个任务来讲，由几个独立的小系统各自独立的完成自己的任务，且几个独立的小系统各自独立的完成自己的任务，且每两部分之间都有每两部分之间都有“保护林保护林”，将错误或故障限制，将错误或故障限制在尽可能小的范围，使之造成的损失最小。在尽可能小的范围，使之造成的损失最小。v（1）物理隔离，各进程使用不同的硬件设备。如）物理隔离，各进程使用不同的硬件设备。如敏感的计算任务在指定的系统中执行，非敏感的计敏

16、感的计算任务在指定的系统中执行，非敏感的计算任务在开发系统中执行；算任务在开发系统中执行；v（2）时间隔离，不同的时间运行不同的进程。如）时间隔离，不同的时间运行不同的进程。如军事系统在八点到中午之间执行非敏感任务，只在军事系统在八点到中午之间执行非敏感任务，只在中午到下午五点执行敏感任务；中午到下午五点执行敏感任务；v（3）密码隔离，将加密技术用于隔离，使未授权）密码隔离，将加密技术用于隔离，使未授权用户（没有密码）不能读取敏感数据；用户（没有密码）不能读取敏感数据；v（4）逻辑隔离，将一个用户的对象与其他用户的）逻辑隔离，将一个用户的对象与其他用户的对象分割开来。对象分割开来。143、核心

17、设计、核心设计v核又称为核又称为核心核心，是操作系统中完成最低级功能的部，是操作系统中完成最低级功能的部分。在标准的操作系统设计中，完成许多功能，如分。在标准的操作系统设计中，完成许多功能，如同步进程通讯、信息传递及中断处理等。同步进程通讯、信息传递及中断处理等。v安全核心负责完成整个操作系统的安全机制。安全安全核心负责完成整个操作系统的安全机制。安全核心在硬件、操作系统和计算机系统的其它部分间核心在硬件、操作系统和计算机系统的其它部分间提供提供安全接口安全接口，如图，如图6-1所示。所示。图图6-1 安全操作系统的一般结构安全操作系统的一般结构 硬 件系统软件核心用户软件安全核15v安全核心

18、的实现可能降低系统性能。因为安全核心安全核心的实现可能降低系统性能。因为安全核心在用户程序和操作系统资源之间增加了一道接口。在用户程序和操作系统资源之间增加了一道接口。v安全核心的设计和用途在一定程度上取决于设计策安全核心的设计和用途在一定程度上取决于设计策略，一个安全核心可以当做额外的操作系统，也可略，一个安全核心可以当做额外的操作系统，也可以作为整个操作系统的一部分进行设计。一般安全以作为整个操作系统的一部分进行设计。一般安全核心包括在操作系统核内。核心包括在操作系统核内。164、层结构设计、层结构设计v一个核化的操作系统至少由四层组成：硬件、核一个核化的操作系统至少由四层组成：硬件、核心

19、、操作系统的其它部分和用户。其中每一层本心、操作系统的其它部分和用户。其中每一层本身可能包含一些子层。身可能包含一些子层。v可以由一系列同心环来描述安全操作系统，其中可以由一系列同心环来描述安全操作系统，其中在最内层进行最敏感的操作，一个在最内层进行最敏感的操作，一个过程的可信性过程的可信性和存取权由到中心的接近程度来决定和存取权由到中心的接近程度来决定，越可信的越可信的过程越接近中心，过程越接近中心，这样的系统可用图这样的系统可用图6-2表示。表示。17图图6-2 不同层次上的模块操作不同层次上的模块操作操作系统代码验证数据修改验证数据比较用户身份验证用户接口最小信任代码最大信任代码层次设计

20、策略被认为是一层次设计策略被认为是一种较好的操作系统设计策种较好的操作系统设计策略。每一层都可以调用更略。每一层都可以调用更中心层的服务，并为外层中心层的服务，并为外层提供一定的服务。这样即提供一定的服务。这样即使剥去一层，仍然是一个使剥去一层，仍然是一个完整的系统，只是功能上完整的系统，只是功能上有所减少。有所减少。186.1.3操作系统的安全服务操作系统的安全服务v操作系统的安全机制主要体现在身份认证和访问控操作系统的安全机制主要体现在身份认证和访问控制两个方面。制两个方面。身份认证身份认证是要保护合法的用户使用系统，防止是要保护合法的用户使用系统，防止非法侵入。非法侵入。访问控制访问控制

21、是要保证授权和受控的访问、使用系是要保证授权和受控的访问、使用系统资源。统资源。v一般而言，访问控制服务和身份认证服务是紧密结一般而言，访问控制服务和身份认证服务是紧密结合在一起的：一个用户或用户的进程在访问系统资合在一起的：一个用户或用户的进程在访问系统资源之前，必须要经过正确的身份认证，然后再根据源之前，必须要经过正确的身份认证，然后再根据自己的授权情况，受控制地使用系统资源。自己的授权情况，受控制地使用系统资源。191、用户管理的安全性、用户管理的安全性（1）身份认证机制）身份认证机制v身份认证机制必须是强有力的，即在用户登录时，身份认证机制必须是强有力的，即在用户登录时，与系统的交互过

22、程必须有安全保护。与系统的交互过程必须有安全保护。v身份认证是对用户身份的识别和验证，通常采用身份认证是对用户身份的识别和验证，通常采用账号账号/口令的方式。口令的方式。v用户账号必须是唯一的，系统依据用户账号识别用户账号必须是唯一的，系统依据用户账号识别出用户之后，还需通过口令对其进行验证，验证出用户之后，还需通过口令对其进行验证，验证其是否为真实用户。其是否为真实用户。v用户账号和口令是同时使用的，但二者的使用是用户账号和口令是同时使用的，但二者的使用是不同的，不同的，用户账号用户账号是是公开公开的，用于对用户的的，用于对用户的识别识别，而而口令口令是是保密保密的，用于的，用于验证验证用户

23、的真伪。用户的真伪。20（2）用户口令的）用户口令的加密加密机制机制v用户口令的加密算法必须有足够的安全强度，用用户口令的加密算法必须有足够的安全强度，用户的口令存放必须安全，不能被轻易窃取。户的口令存放必须安全，不能被轻易窃取。（3）用户的账号管理）用户的账号管理v通常对用户账号进行通常对用户账号进行分组分组管理，并且这种分组管管理，并且这种分组管理应该针对安全性问题而考虑的分组。也即应当理应该针对安全性问题而考虑的分组。也即应当根据不同的安全级别将用户分成若干等级，每一根据不同的安全级别将用户分成若干等级，每一等级的用户只能访问与其等级相应的系统资源和等级的用户只能访问与其等级相应的系统资

24、源和数据，执行指定范围内的程序。数据，执行指定范围内的程序。212、访问控制、访问控制v经过计算机系统身份验证之后，合法的用户进入经过计算机系统身份验证之后，合法的用户进入系统，但并不意味着它具有对系统所有资源的访系统，但并不意味着它具有对系统所有资源的访问权限。还需要通过访问控制，根据一定的原则问权限。还需要通过访问控制，根据一定的原则对合法用户的访问权限进行控制，以决定用户可对合法用户的访问权限进行控制，以决定用户可以访问哪些资源，以及以什么样的方式访问资源。以访问哪些资源，以及以什么样的方式访问资源。22v访问控制系统一般包括以下几个实体。访问控制系统一般包括以下几个实体。主体主体（Su

25、bject）：发出访问操作，是存取要求）：发出访问操作，是存取要求的主动方。通常可以是用户、进程和设备等。的主动方。通常可以是用户、进程和设备等。客体客体（Object）：被访问的对象，是访问需要）：被访问的对象，是访问需要进行控制的资源。通常可以是被调用的程序、进行控制的资源。通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、进程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源。系统或各种网络设备、设施等资源。安全访问政策安全访问政策：它是一套规则，用以确定一个：它是一套规则，用以确定一个主体是否对客体拥有访问的能力。主体是否对客体拥有访问的能力。v由此，访问

26、控制的由此，访问控制的目的目的是：限制主体对客体的访是：限制主体对客体的访问权限，从而使计算机系统的资源在合法范围内问权限，从而使计算机系统的资源在合法范围内被使用。被使用。23v访问控制常用的实现方法主要有：访问控制常用的实现方法主要有：v（1）访问控制表访问控制表（Access Control List）v一个对象有一个表，用来指出主体对对象的访问一个对象有一个表，用来指出主体对对象的访问权限。还可以将有相同权限的用户分组，并授予权限。还可以将有相同权限的用户分组，并授予组的访问权。组的访问权。v访问控制表访问控制表ACL是目前采用最多的一种方式，如是目前采用最多的一种方式，如图图6-3所

27、示。所示。24图图6-3访问控制列表访问控制列表25v（2）访问控制矩阵访问控制矩阵（Access Matrix）v用一个矩阵的形式表示访问控制，行表示主体，列用一个矩阵的形式表示访问控制，行表示主体，列表示客体，行列交叉点表示某个主体对某个客体的表示客体，行列交叉点表示某个主体对某个客体的访问权限。如表访问权限。如表6.1所示：所示：表表6.1 访问控制矩阵访问控制矩阵 （其中（其中R-读，读，W-写，写，X-执行，执行，Own-拥有）拥有） 26v（3）授权关系表授权关系表Authorization Relations List）v用每一行（或称为一个元组）表示主体和客体的用每一行（或称为

28、一个元组）表示主体和客体的一个权限关系，如表一个权限关系，如表6.2所示。所示。v授权关系表可以实现最小化权限原则及复杂的安授权关系表可以实现最小化权限原则及复杂的安全策略。全策略。27表表6.2 授权关系表授权关系表 28v在访问控制策略方面，计算机系统常采用以下两在访问控制策略方面，计算机系统常采用以下两种策略。种策略。v（1）自主访问控制（）自主访问控制（Discretionary Access Control，DAC）v自主访问控制自主访问控制是一种最为普遍的访问控制手段，是一种最为普遍的访问控制手段，是指对某个客体具有拥有权的主体能够对该客体是指对某个客体具有拥有权的主体能够对该客体

29、的一种访问权或多种访问权自主的授予其他主体，的一种访问权或多种访问权自主的授予其他主体，并在随后的任何时刻将这些权限收回。并在随后的任何时刻将这些权限收回。v这种控制是自主的，是一种比较宽松的访问控制。这种控制是自主的，是一种比较宽松的访问控制。vWindows、UNIX操作系统都采用了自主访问控操作系统都采用了自主访问控制策略。制策略。29v（2）强制访问控制（）强制访问控制（Mandatory Access Control，MAC）v强制访问控制强制访问控制是是“加强加强”给访问主体的，即系统给访问主体的，即系统强制主体服从事先制定的访问控制规则，这种策强制主体服从事先制定的访问控制规则，

30、这种策略是强制性规定的，用户或用户的程序不能加以略是强制性规定的，用户或用户的程序不能加以修改。如果系统认为某用户不适合访问某个文件，修改。如果系统认为某用户不适合访问某个文件，那么任何人（包括文件拥有者）都无法使该用户那么任何人（包括文件拥有者）都无法使该用户具有访问该文件的权利。具有访问该文件的权利。vMAC主要用于多层次安全级别的军事应用中。主要用于多层次安全级别的军事应用中。306.2 Windows NT/2000的安全的安全v在个人计算机领域，在个人计算机领域，Windows操作系统占据了大操作系统占据了大多数市场份额，而在网络服务领域，多数市场份额，而在网络服务领域，Window

31、s NT/2000是最流行的桌面操作系统，其友好的操作是最流行的桌面操作系统，其友好的操作界面，众多强大的网络应用程序和开发工具，以及界面，众多强大的网络应用程序和开发工具，以及更为强大的系统安全性，使得很多企业将更为强大的系统安全性，使得很多企业将Windows NT/2000作为网管或服务器的平台。作为网管或服务器的平台。vWindows NT是一个安全的操作系统，它通过了美是一个安全的操作系统，它通过了美国国防部国国防部TCSEC C2级安全认证，具有身份鉴别、级安全认证，具有身份鉴别、具有自主访问控制、客体共享和安全审计等安全特具有自主访问控制、客体共享和安全审计等安全特性。性。vWi

32、ndows 2000是微软公司于是微软公司于2000年在年在Windows NT操作系统的技术之上，开发的新一代操作系统的技术之上，开发的新一代Windows操作系统。操作系统。v在安全性方面，在安全性方面，Windows 2000继承了很多继承了很多NT特性，特性，但与但与NT比较，它提供了更多更为强大的安全特性。比较，它提供了更多更为强大的安全特性。316.2.1 Windows NT/2000的安全模型的安全模型vWindows NT/2000的安全模型主要由登录过程、的安全模型主要由登录过程、本地安全认证、安全账号管理器和安全参考监督本地安全认证、安全账号管理器和安全参考监督器构成，如

33、图器构成，如图6-4所示。所示。32图图6-4 Windows NT/2000的安全模型的安全模型 331、登录过程（、登录过程（Logon Process）v登录过程用以确认用户身份是否合法，从而确定登录过程用以确认用户身份是否合法，从而确定用户对系统资源的访问权限。用户对系统资源的访问权限。v登录过程把用户登录过程把用户输入输入的登录信息，通过安全系统的登录信息，通过安全系统传输传输到安全账号管理器，由安全账号管理器把此到安全账号管理器，由安全账号管理器把此信息同安全账号数据库的数据进行信息同安全账号数据库的数据进行比较比较，如果二，如果二者匹配，则允许用户进行访问。然后本地安全认者匹配，

34、则允许用户进行访问。然后本地安全认证开始证开始构造构造访问令牌，将访问令牌与用户进行的访问令牌，将访问令牌与用户进行的所有操作相连接，构成一个所有操作相连接，构成一个主体主体。主体访问一个。主体访问一个对象时，将由访问令牌的内容决定是否能够访问。对象时，将由访问令牌的内容决定是否能够访问。v登录过程可以接受登录过程可以接受本地本地用户的本地登录请求，也用户的本地登录请求，也可以接受可以接受远程远程用户的登录请求。用户的登录请求。34 （1）本地登录过程）本地登录过程如图如图6-5所示。所示。v 用户按用户按Ctrl+Alt+Del键，引起硬件中断，被系统键，引起硬件中断，被系统捕获，这样使操作

35、系统激活捕获，这样使操作系统激活WinLogon进程。进程。v WinLogon进程通过调用标识与鉴别进程通过调用标识与鉴别DLL，将登，将登录窗口（账号名和口令登录提示符）展示在用户面录窗口（账号名和口令登录提示符）展示在用户面前。前。v WinLogon进程发送账号名和加密口令到本地进程发送账号名和加密口令到本地安全认证（安全认证（LSA）。）。v 如果用户具有有效的用户名和口令，则本地安如果用户具有有效的用户名和口令，则本地安全认证产生一个访问令牌，包括用户账号全认证产生一个访问令牌，包括用户账号SID和用和用户工作组户工作组SID。v WinLogon进程传送访问令牌到进程传送访问令牌

36、到Win32模块，同模块，同时发出一个请求，以便为用户建立登录进程。时发出一个请求，以便为用户建立登录进程。v 登录进程建立用户环境，包括启动登录进程建立用户环境，包括启动Desktop Explorer和显示背景等。和显示背景等。35图图6-5本地登录过程本地登录过程 36（2）网络登录过程）网络登录过程如图如图6-6所示。所示。v 用户将用户名和口令输入到网络客户机软件的登录用户将用户名和口令输入到网络客户机软件的登录窗口。窗口。v 该客户机软件打开该客户机软件打开NetBIOS，连接到服务器的，连接到服务器的NetLogon服务上，该客户机软件对口令加密，发送服务上，该客户机软件对口令加

37、密，发送登录证书到服务器的登录证书到服务器的WinLogon进程。进程。v 服务器的服务器的WinLogon进程发送账号名和加密口令到进程发送账号名和加密口令到本地安全认证。本地安全认证。 v 如果用户具有有效的用户名和口令，则本地安全认如果用户具有有效的用户名和口令，则本地安全认证产生一个访问令牌，包括用户账号证产生一个访问令牌，包括用户账号SID和用户工作和用户工作组组SID。访问令牌也得到用户的特权（。访问令牌也得到用户的特权（LUID），然后），然后该访问令牌传送回该访问令牌传送回WinLogon进程。进程。v WinLogon进程将访问令牌传送到进程将访问令牌传送到Windows N

38、T/2000的的Server服务，它将访问令牌与被客户机打服务，它将访问令牌与被客户机打开的开的NetBIOS连接联系起来。在具有访问令牌所建证连接联系起来。在具有访问令牌所建证书的服务器上，可完成任何在书的服务器上，可完成任何在NetBIOS连接时所发送连接时所发送的其他操作（如读文件、打印请求等）。的其他操作（如读文件、打印请求等）。37图图6-6网络登录网络登录Windows NT/2000服务器过程服务器过程 382、本地安全认证、本地安全认证v本地安全认证（本地安全认证（Local Security Authority，LSA）是）是Windows NT/2000安全模型的核心，安全

39、模型的核心，它通过确认安全账号管理器中的数据信息来处理它通过确认安全账号管理器中的数据信息来处理用户从本地或远程的登录。用户从本地或远程的登录。v本地安全认证确保用户有存取系统的权限，从而本地安全认证确保用户有存取系统的权限，从而产生访问令牌，管理本地策略并提交交换式的用产生访问令牌，管理本地策略并提交交换式的用户认证服务。它同时还控制审计方案和将安全参户认证服务。它同时还控制审计方案和将安全参考监督器的审计信息记入日记。考监督器的审计信息记入日记。39图图6-4 Windows NT/2000的安全模型的安全模型 403、安全账号管理器、安全账号管理器 v安全账号管理器（安全账号管理器（Se

40、curity Account Manager，SAM）维护安全账号数据库，即）维护安全账号数据库，即SAM数据库。该数据库。该数据库包含所有用户和组的账号信息。数据库包含所有用户和组的账号信息。v安全账号管理器提供用户登录认证，负责对用户安全账号管理器提供用户登录认证，负责对用户输入的信息与输入的信息与SAM数据库的信息对比，并为用户数据库的信息对比，并为用户赋予一个安全标示符（赋予一个安全标示符（SID）。）。v根据网络配置的不同，根据网络配置的不同，SAM数据库可能存在于一数据库可能存在于一个或多个个或多个Windows NT/2000系统中。系统中。41图图6-4 Windows NT/

41、2000的安全模型的安全模型 424、安全参考监督器、安全参考监督器 v安全参考监督器（安全参考监督器（Security Reference Monitor，SRM）运行在内核模式，它负责）运行在内核模式，它负责访问控制访问控制和和审查审查策略策略。v安全参考监督器提供对客体（文件、目录）的存安全参考监督器提供对客体（文件、目录）的存取权限，检查主体（用户账号）的访问权限，阻取权限，检查主体（用户账号）的访问权限，阻止非授权用户访问对象。为了在整个系统中对不止非授权用户访问对象。为了在整个系统中对不同类型对象提供一致的保护，安全参考监督器在同类型对象提供一致的保护，安全参考监督器在系统中只保留

42、一个有效访问代码的拷贝。系统中只保留一个有效访问代码的拷贝。v另外，安全参考监督器还负责实施审计生成策略，另外，安全参考监督器还负责实施审计生成策略，它在验证对象存取的合法性和检查主体（用户账它在验证对象存取的合法性和检查主体（用户账号）权限的同时，生成必要的审计信息。号）权限的同时，生成必要的审计信息。436.2.2 Windows NT/2000的访问控制的访问控制v对系统资源的访问限制，防止用户非授权访问系对系统资源的访问限制，防止用户非授权访问系统资源即为访问控制。统资源即为访问控制。v1、Windows NT/2000的访问控制的访问控制vWindows NT/2000的安全性达到了

43、橘皮书的安全性达到了橘皮书C2级级，实现了实现了用户级自主访问控制用户级自主访问控制，它的访问控制机制，它的访问控制机制如图如图6-7所示。所示。44当一个进程请求当一个进程请求Win32执行对象的一种操作时，执行对象的一种操作时，Win32借助安全参考监督器借助安全参考监督器SRM进行校验。安全进行校验。安全参考监督器首先查看用户的权限，将进程的参考监督器首先查看用户的权限，将进程的访问访问令牌令牌与对象的与对象的访问控制列表访问控制列表进行比较，以此决定进行比较，以此决定进程是否可以访问该对象。进程是否可以访问该对象。图图6-7 Windows NT客体访问示意图客体访问示意图 45v为了

44、实现进程间的安全访问，为了实现进程间的安全访问，Windows NT/2000中的中的对象对象采用了采用了安全性描述符安全性描述符（Security Description）。）。v安全性描述符主要由用户安全性描述符主要由用户SID（Owner）、工作组）、工作组SID（Group）、访问控制列表（）、访问控制列表（DACL）和系统）和系统访问控制列表（访问控制列表（SACL）组成，安全性描述符的构）组成，安全性描述符的构成如图成如图6-8所示。所示。图图6-8 安全性描述符安全性描述符46v当某个进程要访问一个对象时，当某个进程要访问一个对象时，进程的进程的SID与与对对象的访问控制列表比较

45、象的访问控制列表比较，决定是否可以访问该对，决定是否可以访问该对象。访问控制列表由访问控制项（象。访问控制列表由访问控制项（ACE）组成，）组成，每个访问控制项标识每个访问控制项标识用户和工作组用户和工作组对该对象的对该对象的访访问权限问权限。v通常，访问控制列表有通常，访问控制列表有3种访问控制项，分别代种访问控制项，分别代表如下含义：表如下含义：拒绝拒绝对该对象的访问；对该对象的访问；允许允许对该对象读取和写入；对该对象读取和写入；允许允许执行该对象。执行该对象。47v访问控制列表首先列出拒绝访问的访问控制项，然访问控制列表首先列出拒绝访问的访问控制项，然后才是允许的访问控制项。对访问控制

46、列表判断的后才是允许的访问控制项。对访问控制列表判断的规则如下：规则如下： 从访问控制列表的第一项开始，检查每个访从访问控制列表的第一项开始，检查每个访问控制项，看是否显式地问控制项，看是否显式地拒绝拒绝用户或工作组的用户或工作组的访问。访问。 继续检查，看进程所要求的访问类型是否显继续检查，看进程所要求的访问类型是否显式地式地授予授予用户或工作组。用户或工作组。 重复步骤（重复步骤（1）、（）、（2），直到遇到拒绝访问，），直到遇到拒绝访问，或是累计到所有请求的权限均被满足为止。或是累计到所有请求的权限均被满足为止。 如果对某个请求的访问权限在访问控制表中如果对某个请求的访问权限在访问控制表

47、中既没有授权也没有拒绝，则拒绝访问。既没有授权也没有拒绝，则拒绝访问。482、NTFS文件系统文件系统v在在Windows NT/2000中支持多种文件系统，其中中支持多种文件系统，其中使用最普遍的是：使用最普遍的是：FAT(File Allocation Table)文件系统文件系统NTFS（NT File System）文件系统）文件系统vFAT文件系统文件系统较简单，所占容量与开销很少，几乎较简单，所占容量与开销很少，几乎所有计算机均支持它。但该文件系统所有计算机均支持它。但该文件系统不支持访问不支持访问控制控制，使操作系统存在较大的不安全性。因此，使操作系统存在较大的不安全性。因此Wi

48、ndows NT引进了更为安全的文件系统，即引进了更为安全的文件系统，即NTFS文件系统。文件系统。vNTFS文件系统文件系统主要采用主要采用两种措施两种措施对文件系统进行对文件系统进行安全性保护：安全性保护：对文件和目录的权限设置；对文件和目录的权限设置；对文件内容进行加密。对文件内容进行加密。49v 文件和目录的权限文件和目录的权限vNTFS文件系统上的每一个文件和目录在创建时创文件系统上的每一个文件和目录在创建时创建人就被指定为拥有者。拥有者控制着文件或目录建人就被指定为拥有者。拥有者控制着文件或目录的权限设置，并能赋予其它用户访问权限。的权限设置，并能赋予其它用户访问权限。v通过对文件

49、或目录的权限设置，用户可以共享相应通过对文件或目录的权限设置，用户可以共享相应权限的文件数据，不仅为不同用户完成共同任务提权限的文件数据，不仅为不同用户完成共同任务提供了基础，而且还节省了大量磁盘空间。供了基础，而且还节省了大量磁盘空间。50v 文件内容的加密文件内容的加密vWindows 2000增强了文件系统的安全性，采用了增强了文件系统的安全性，采用了加密文件系统（加密文件系统（EFS，Encrypted File System）技术。加密文件系统提供的文件加密技术可以将加技术。加密文件系统提供的文件加密技术可以将加密的密的NTFS文件存储到磁盘上。如果用户要访问一文件存储到磁盘上。如果

50、用户要访问一个加密的个加密的NTFS文件，并且有这个文件的密钥，那文件，并且有这个文件的密钥，那么用户就能打开这个文件。没有该文件密钥的用户么用户就能打开这个文件。没有该文件密钥的用户对文件的访问将被拒绝。对文件的访问将被拒绝。516.2.3 Windows NT/2000的安全管理的安全管理vWindows NT/2000的安全性达到了橘皮书的安全性达到了橘皮书C2级，级，在实现登录过程和访问控制机制的同时，还提供一在实现登录过程和访问控制机制的同时，还提供一定的安全管理机制。以下简单介绍定的安全管理机制。以下简单介绍Windows NT/2000的一些安全管理机制。的一些安全管理机制。 1

51、、用户和用户组、用户和用户组v在在Windows NT/2000中，每个用户必须有一个账中，每个用户必须有一个账号，账号是系统安全的核心。在登录计算机时，系号，账号是系统安全的核心。在登录计算机时，系统将用户账号信息同用户的安全数据库进行比较，统将用户账号信息同用户的安全数据库进行比较，若匹配，则允许登录；在用户访问系统资源时，用若匹配，则允许登录；在用户访问系统资源时，用户账号决定着对资源的访问权限。户账号决定着对资源的访问权限。52v一般有两种类型的用户账号：一般有两种类型的用户账号：管理员账号管理员账号（Administrator） ，管理员账号可，管理员账号可以利用系统工具来创建。以利

52、用系统工具来创建。访问者账号访问者账号（Guest）v从范围角度看，用户账号还可以分成两种类型账号：从范围角度看，用户账号还可以分成两种类型账号：全局账号全局账号，又称域账号，可以在整个域内应用；，又称域账号，可以在整个域内应用；本地账号本地账号，只能在生成它的本机上使用。，只能在生成它的本机上使用。vWindows NT/2000还支持还支持用户组用户组，通过用户组为，通过用户组为一组相关的用户同时设置权限。有两种类型的用户一组相关的用户同时设置权限。有两种类型的用户组：组：全局工作组全局工作组，可以在系统中相互信任的域中使用；，可以在系统中相互信任的域中使用；本地工作组本地工作组，只能在本

53、地的系统或域内使用。，只能在本地的系统或域内使用。53v2、域和委托、域和委托v（1）域）域v在在Windows NT/2000中有两种类型的网络配置：中有两种类型的网络配置：工作组和域。工作组和域。工作组工作组是单独的系统，在工作组中系统各自独是单独的系统，在工作组中系统各自独立管理自己的用户账号和组账号以及它们的安立管理自己的用户账号和组账号以及它们的安全账号管理数据库，不与别的系统共享这些信全账号管理数据库，不与别的系统共享这些信息。工作组适合于小型网络环境。息。工作组适合于小型网络环境。域域模型是模型是Windows NT网络系统的核心，所有网络系统的核心，所有Windows NT的相

54、关内容都是围绕着域来组织的相关内容都是围绕着域来组织的，域模型在安全方面更具优越性。的，域模型在安全方面更具优越性。54v域域是一些服务器的是一些服务器的集合集合，这些服务器被归为一组，这些服务器被归为一组并共享并共享同一个安全策略和用户账号数据库同一个安全策略和用户账号数据库。域由。域由主域服务器、备份域服务器、服务器和工作站主域服务器、备份域服务器、服务器和工作站组组成成。v域是由主域控制器或备份域控制器来控制的。每域是由主域控制器或备份域控制器来控制的。每个域中只能有一个主域控制器，而备份域控制器个域中只能有一个主域控制器，而备份域控制器有一个或多个。主域控制器作为域中用户的有一个或多个

55、。主域控制器作为域中用户的认证认证中心中心，可以由系统管理员建立和其它域的委托关，可以由系统管理员建立和其它域的委托关系；备份域控制器存有域中安全账号管理数据库系；备份域控制器存有域中安全账号管理数据库的备份，也能验证用户登录上网。一旦主域控制的备份，也能验证用户登录上网。一旦主域控制器崩溃，备份域控制器可以提升为主域控制器，器崩溃，备份域控制器可以提升为主域控制器，使域的机构体系继续保持稳定和统一。使域的机构体系继续保持稳定和统一。v安全账号管理数据库的原件放在主域控制器上，安全账号管理数据库的原件放在主域控制器上，并且只能在主域控制器上对数据进行维护。在备并且只能在主域控制器上对数据进行维

56、护。在备份域控制器中，不允许对数据进行任何改动。份域控制器中，不允许对数据进行任何改动。55v（2）委托）委托vWindows NT的域间可以建立委托关系。的域间可以建立委托关系。委托委托是是一种管理方法，它将两个域连接在一起，并允许一种管理方法，它将两个域连接在一起，并允许域中的用户相互访问。委托分为两部分：域中的用户相互访问。委托分为两部分：受托域，就是账号所在域，也称受托域，就是账号所在域，也称账号域账号域。委托域，含有可用的资源，也称委托域，含有可用的资源，也称资源域资源域。v委托关系委托关系可以使用户账号和用户组能够在建立它可以使用户账号和用户组能够在建立它们的域之外的域中使用资源。

57、由此，用户只需要们的域之外的域中使用资源。由此，用户只需要一个用户账号和口令就可以访问多个域。一个用户账号和口令就可以访问多个域。v域之间的委托关系主要有两种：单向的和双向的。域之间的委托关系主要有两种：单向的和双向的。在单向的域委托关系中，域在单向的域委托关系中，域B委托另一个域委托另一个域A ，但域但域A并不信任域并不信任域B 。在双向的域委托关系中，两个域之间是相互委在双向的域委托关系中，两个域之间是相互委托的，即域托的，即域A委托域委托域B，域，域B委托域委托域A。56v3、活动目录（、活动目录（Active Directory）v活动目录是活动目录是Windows 2000的核心，它

58、提供了一套的核心，它提供了一套分布式网络环境设计的目录服务。分布式网络环境设计的目录服务。v目录是存储各种对象的一个物理上的容器，目录是存储各种对象的一个物理上的容器，目录目录管理管理的基本的基本对象对象是用户计算机、文件及打印机等是用户计算机、文件及打印机等资源。而资源。而目录服务目录服务使目录中所有信息和资源发挥使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应用管理等。因此通过活动络服务、基于网络的应用管理等。因此通过活动目录使得组织机构可以有效地对有关网络资源和目录使得组织机构可以有效地对有关网络资源和用户

59、的信息进行用户的信息进行共享共享和和管理管理。同时目录服务在网。同时目录服务在网络安全方面也扮演着中心络安全方面也扮演着中心授权机构授权机构的角色，使操的角色，使操作系统可以轻松验证用户身份，并控制其对资源作系统可以轻松验证用户身份，并控制其对资源的访问。的访问。v下面介绍活动目录的下面介绍活动目录的结构结构和活动目录的安全和活动目录的安全服务服务。57v（1）活动目录的结构）活动目录的结构v活动目录允许组织机构按照层次式的、面向对象的活动目录允许组织机构按照层次式的、面向对象的方式存储信息，并提供支持分布式网络环境的多主方式存储信息，并提供支持分布式网络环境的多主复制机制。复制机制。v 层次

60、式组织层次式组织v活动目录是由对象、容器、树和森林构成的层次。活动目录是由对象、容器、树和森林构成的层次。以以对象对象表示用户、组、主机、设备和应用程序等表示用户、组、主机、设备和应用程序等资源；资源；以以容器容器表示组织机构或相关对象的集合；表示组织机构或相关对象的集合；将信息组织成为由对象和容器组成的将信息组织成为由对象和容器组成的树结构树结构，并，并且多个树结构构成且多个树结构构成森林森林。58v 面向对象存储面向对象存储v活动目录用活动目录用对象对象的形式存储有关网络元素的信息。的形式存储有关网络元素的信息。每个对象可以设置属性，用于描述对象的特征。每个对象可以设置属性，用于描述对象的