硬件安全保障机制

1、操作系统安全操作系统安全 第三章 操作系统安全机制计算机科学与工程系3.1 硬件安全机制硬件安全机制 优秀的硬件保护设施是实现高效、安全、可靠的操作系统的基础，计算机硬件安全的目标是保证其自身的可靠性，并为操作系统提供基本的安全设施，常用的有：存储保护、运行保护和I/O保护等。保护（或称内在保护）是指一种控制程序、进程或用户对计算机系统资源的访问机制。计算机科学与工程系3.1.1 存储保护存储保护 存储保护主要指保护用户在 存储器中的数据，对于在内存中一次只能运行一个进程的操作系统，存储保护机制应能防止用户程序对操作系统的影响。而允许多个进程同时执行的多道操作系统还需要进一步要求存储保护机制对

2、各个进程的存储空间进行相互隔离。计算机科学与工程系3.1.1 存储保护存储保护在多道程序中，一个重要的问题是防止一道程序在存储和运行时影响到其他程序。操作系统可以在硬件中有效使用硬保护机制进行存储器的安全保护，现在比较常用的有界址、界限寄存器、重定位、特征位、分段、分页和段页式机制等。计算机科学与工程系5 计算机科学与工程系6计算机科学与工程系7 计算机科学与工程系8计算机科学与工程系9 计算机科学与工程系10 计算机科学与工程系11计算机科学与工程系12计算机科学与工程系13计算机科学与工程系14多对基址与边界寄存器技术的问题：多对基址与边界寄存器技术的问题：只能保护只能保护数据区不被其他用

3、户程序访问，不能控制自身数据区不被其他用户程序访问，不能控制自身程序对同一个数据区内单元有选择的读或写。程序对同一个数据区内单元有选择的读或写。 例如，一个程序中若没有数组越界溢出检例如，一个程序中若没有数组越界溢出检查，当向该数组区写入时就有可能越界到其他查，当向该数组区写入时就有可能越界到其他数据单元，甚至越界到程序代码区（这就是缓数据单元，甚至越界到程序代码区（这就是缓冲区溢出的一种情况），而代码区是严格禁止冲区溢出的一种情况），而代码区是严格禁止写的。写的。 计算机科学与工程系15 按其内容要求进行保护，例如有的单元只按其内容要求进行保护，例如有的单元只读，读读，读/ /写、或仅执行（

4、代码单元）等不同要写、或仅执行（代码单元）等不同要求，可以在每个内存字单元中专用几个比特求，可以在每个内存字单元中专用几个比特来标记该字单元的属性。来标记该字单元的属性。 除了标记读、写、执行等属性外，还可以除了标记读、写、执行等属性外，还可以标记该单元的数据类型，如数据、字符、地标记该单元的数据类型，如数据、字符、地址、指针或未定义等。址、指针或未定义等。计算机科学与工程系16计算机科学与工程系17计算机科学与工程系18 计算机科学与工程系191）在段表中除了与段名对应的段号及段）在段表中除了与段名对应的段号及段基址外，还可以增加必要的访问控制信基址外，还可以增加必要的访问控制信息，对于任何

5、企图访问某个段的操作，息，对于任何企图访问某个段的操作，操作系统和硬件都可以进行检查。操作系统和硬件都可以进行检查。（2）分段技术几乎可以实现对程序的不同）分段技术几乎可以实现对程序的不同片段分别保护的目标。根据各段敏感性片段分别保护的目标。根据各段敏感性要求，为各段划分安全级，并提供不同要求，为各段划分安全级，并提供不同的保护措施。的保护措施。计算机科学与工程系20（3）分段技术的保护功能可以检查每一次对）分段技术的保护功能可以检查每一次对内存访问是否合法，可以让保护粒度达到内存访问是否合法，可以让保护粒度达到数据项级。数据项级。（4）可以为了实施保护而检查每一次地址访）可以为了实施保护而检

6、查每一次地址访问。问。（5）还可以避免允许用户直接指定内存地址）还可以避免允许用户直接指定内存地址或段区所带来的安全问题，也可以让多个或段区所带来的安全问题，也可以让多个用户用不同的权限访问一个段。用户用不同的权限访问一个段。计算机科学与工程系21 计算机科学与工程系22计算机科学与工程系23计算机科学与工程系24 计算机科学与工程系25 计算机科学与工程系3.1.2 运行保护运行保护安全操作系统很重要的一点是进行分层设计，而运行域安全操作系统很重要的一点是进行分层设计，而运行域正是这样一种基于保护环的等级式结构。运行域是进程正是这样一种基于保护环的等级式结构。运行域是进程运行的区域，在最内层

7、具有最小环号的环具有最高特权，运行的区域，在最内层具有最小环号的环具有最高特权，而在最外层具有最大环号的环是最小的特权环。而在最外层具有最大环号的环是最小的特权环。设置两环系统是很容易理解的，它只是为了隔离操作系设置两环系统是很容易理解的，它只是为了隔离操作系统程序与用户程序。这就像生活中的道路被划分为机动统程序与用户程序。这就像生活中的道路被划分为机动车道和非机动车道一样，各种车辆和行人各行其道，互车道和非机动车道一样，各种车辆和行人各行其道，互不影响，保证了各自的安全。对于多环结构，它的最内不影响，保证了各自的安全。对于多环结构，它的最内层是操作系统，它控制整个计算机系统的运行；靠近操层是

8、操作系统，它控制整个计算机系统的运行；靠近操作系统环之外的是受限使用的系统应用环，如数据库管作系统环之外的是受限使用的系统应用环，如数据库管理系统或事务处理系统；最外一层则是各种不同用户的理系统或事务处理系统；最外一层则是各种不同用户的应用环。应用环。计算机科学与工程系 Intel x86微芯片系列就是使用环概念来实施运行保护的，如微芯片系列就是使用环概念来实施运行保护的，如图所示。图所示。 环有环有4个级别：环个级别：环0是最高权限的，环是最高权限的，环3是最低权限的。当然，是最低权限的。当然，微芯片上并没有实际的物理环。微芯片上并没有实际的物理环。 Windows操作系统中的所有内核代码都

9、在环操作系统中的所有内核代码都在环0级上运行。用级上运行。用户模式程序户模式程序(例如例如Office软件程序软件程序)在环在环3级上运行。包括级上运行。包括Windows和和Linux在内的许多操作系统在在内的许多操作系统在Intel x86微芯片上微芯片上只使用环只使用环0和环和环3，而不使用环，而不使用环1和环和环2。计算机科学与工程系3.1.3 I /O 保护保护I/O介质输出访问控制最简单的方式是将设备看介质输出访问控制最简单的方式是将设备看作是一个客体，仿佛它们都处于安全边界外。由作是一个客体，仿佛它们都处于安全边界外。由于所有的于所有的I/O不是向设备写数据就是从设备接收不是向设

10、备写数据就是从设备接收数据，所以一个进行数据，所以一个进行I/O操作的进程必须受到对操作的进程必须受到对设备的读写两种访问控制。这就意味着设备到介设备的读写两种访问控制。这就意味着设备到介质间的路径可以不受什么约束，而处理器到设备质间的路径可以不受什么约束，而处理器到设备间的路径则需要施以一定的读写访问控制。间的路径则需要施以一定的读写访问控制。计算机科学与工程系标识(identification)：用来标明用户身份，确保用户的惟一性和可辨认性的标志，一般选用用户名称和用户标识符(UID)来标明一个系统用户，名称和标识符均为公开的明码信息。用户标识是有效实施其他安全策略，如用户数据保护和安全审

11、计的基础。通过为用户提供标识，TCB能使用户对自己的行为负责。鉴别(authentication)：用特定信息对用户身份、设备和其他实体的真实性进行确认，用于鉴别的信息是非公开的和难以仿造的，如口令(也称密钥)。用户鉴别是有效实施其他安全策略的基础。3.2 主体标识与鉴别主体标识与鉴别计算机科学与工程系Alice?BobEve?鉴别协议的目的鉴别协议的目的1、在诚实的情况下，声称者、在诚实的情况下，声称者A能向验证者能向验证者B证明他确实是他确实是A；在声称者在声称者A向验证者向验证者B声称他的身份后，验证者声称他的身份后，验证者B不能获得任何有用的信息，任何有用的信息，B也也不能模仿A向其他

12、第三方证明他向其他第三方证明他就是就是A。3、任何不同于、任何不同于A的实体的实体C以以A的身份，让的身份，让B相信相信C是是A的概率的概率可忽略不计可忽略不计计算机科学与工程系3.2 主体标识与鉴别主体标识与鉴别标识鉴别机制的设计和实现需要达到两个方面的要求： （1）标识鉴别系统的设计要协助安全操作系统实现新增的安全功能和安全策略，包括增加新的用户属性，并通过扩展标识鉴别命令来支持这些属性。 （2）标识鉴别系统本身的安全性要达到安全操作系统本身的安全级别要求，增加新的安全功能，提高安全性。计算机科学与工程系口令鉴别机制口令鉴别机制口令鉴别机制 （1）静态口令鉴别机制 传统的静态口令鉴别机制是

13、利用用户名和口令核对的方法对系统进行维护。用户登录系统时，系统通过对比用户输入的口令和用户ID，来判断用户身份的合法性。计算机科学与工程系口令鉴别机制口令鉴别机制 （2）动态口令鉴别机制 基本原理是在客户端登录过程中，基于用户的秘密通行短语加入不确定因素，对通行短语和不确定因素进行变换，所得结果作为认证数据（即动态口令），提交给认证服务器，认证服务器接收到用户的认证数据后，以事先规定的算法去验算认证数据，从而实现对用户身份的认证。由于客户端每次生成认证数据都采用不同的不确定因素值，保证了客户端每次提交的认证数据都不相同，因此动态口令机制有效的提高了身份认证的安全性。 根据口令生成时不确定因素的

14、选择方式，动态口令机制有时间同步机制、挑战/应答机制、事件同步机制等。计算机科学与工程系 一次口令一次口令固定口令方案存在的主要问题：防止窃听和随后的口令重放（无时变参数）解决办法：每个口令只用一次变体： 一次口令的共享列表 顺序更新一次口令 基于单向函数的一次口令序列： w,H(w),H(H(w), 计算机科学与工程系身份认证的基本途径身份认证的基本途径基于你所知道的（What you know ） 知识、口令、密码基于你所拥有的（What you have ） 身份证、信用卡、钥匙、智能卡、令牌等基于你的个人特征（What you are） 指纹，笔迹，声音，手型，脸型，视网膜，虹膜双因素

15、、多因素认证计算机科学与工程系对固定口令的攻击对固定口令的攻击固定口令的重放：远程登录密钥搜索：敌手随机地猜测口令口令猜测和字典攻击： 从整个口令空间的一个小子集中选择口令（如，短口令、字典单词、合适的名称）计算机科学与工程系对口令机制的基本要求对口令机制的基本要求基于用户标识符和口令的用户认证技术， 其最主要的优点是简单易行，因此，在几乎所有需要对数据加以保密的系统中， 都引入了基于口令的机制。但这种机制也很容易受到别有用心者的攻击，攻击者可能通过多种方式来获取用户标识符和口令，或者猜出用户所使用的口令。 为了防止攻击者猜出口令，在这种机制中通常应满足以下几点要求： 计算机科学与工程系(1)

16、 口令长度要适中 通常的口令是由一串字母和数字组成。 如果口令太短， 则很容易被攻击者猜中。例如，一个由四位十进制数所组成的口令，其搜索空间仅为104，在利用一个专门的程序来破解时，平均只需5000次即可猜中口令。假如每猜一次口令需花费0.1 ms的时间，则平均每猜中一个口令仅需0.5 s。 而如果采用较长的口令，假如口令由ASCII码组成，则可以显著地增加猜中一个口令的时间。例如，口令由7位ASCII码组成， 其搜索空间变为957(95是可打印的ASCII码)，大约是71013，此时要猜中口令平均需要几十年。对口令机制的基本要求对口令机制的基本要求计算机科学与工程系(2) 自动断开连接。 为

17、了给攻击者猜中口令增加难度，在口令机制中还应引入自动断开连接的功能，即只允许用户输入有限次数的不正确口令，通常规定35次。如果用户输入不正确口令的次数超过规定的次数时，系统便自动断开该用户所在终端的连接。 当然， 此时用户还可能重新拨号请求登录，但若在重新输入指定次数的不正确口令后，仍未猜中，系统会再次断开连接。这种自动断开连接的功能，无疑又给攻击者增加了猜中口令的难度。 对口令机制的基本要求对口令机制的基本要求计算机科学与工程系(3) 不回送显示。 在用户输入口令时，登录程序不应将该口令回送到屏幕上显示，以防止被就近的人发现。 (4) 记录和报告。该功能用于记录所有用户登录进入系统和退出系统

18、的时间；也用来记录和报告攻击者非法猜测口令的企图及所发生的与安全性有关的其它不轨行为，这样便能及时发现有人在对系统的安全性进行攻击。 对口令机制的基本要求对口令机制的基本要求计算机科学与工程系通常在口令机制中，都配置有一份口令文件， 用于保存合法用户的口令和与口令相联系的特权。 该文件的安全性至关重要， 一旦攻击者成功地访问了该文件，攻击者便可随心所欲地访问他感兴趣的所有资源，这对整个计算机系统的资源和网络，将无安全性可言。 显然，如何保证口令文件的安全性，已成为系统安全性的头等重要问题。 口令文件口令文件计算机科学与工程系保证口令文件安全性的其中一个行之有效的方法是选择一个函数来对口令进行加

19、密，该函数f(x)具有这样的特性：在给定了x值后，很容易算出f(x)；然而，如果给定了f(x)的值，却不能算出x的值。利用f(x)函数去编码(即加密)所有的口令，再将加密后的口令存入口令文件中。当某用户输入一个口令时，系统利用函数f(x)对该口令进行编码，然后将编码(加密)后的口令与存储在口令文件中的已编码的口令进行比较，如果两者相匹配，便认为是合法用户。 即使攻击者能获取口令文件中的已编码口令，他也无法对它们进行译码，因而不会影响到系统的安全性。 口令文件口令文件计算机科学与工程系图：对加密口令的验证方法图：对加密口令的验证方法 超过规定次数？口令合法？进入系统拒绝进入否是否口令文件进行口令

20、比较f (x)f (x)加密函数存入口令用户输入口令是口令文件口令文件计算机科学与工程系加强固定口令安全性的措施加强固定口令安全性的措施避免“弱”口令放慢口令映射口令加盐口令扩展为通行短语定义口令生存期限制口令的尝试次数登录需输入指定图片中的随机数和字母的组合计算机科学与工程系3.2.2 3.2.2 传统标识与鉴别技术传统标识与鉴别技术传统的身份鉴别方法针对身份标识物品和身份标传统的身份鉴别方法针对身份标识物品和身份标识知识，识知识，如个人的钥匙、证件、用户名、密码等。如个人的钥匙、证件、用户名、密码等。智能卡智能卡计算机科学与工程系智能卡的广泛应用智能卡的广泛应用 计算机科学与工程系3.2.

21、3 3.2.3 生物标识与鉴别技术生物标识与鉴别技术通过计算机对人体固有的生理或行为特征进行个人身份鉴别。人的生理特征与生俱来，多为先天性， 常用的生物标识技术有脸像、虹膜、指纹、掌纹、声音、笔迹、步态等。生物标识与鉴别技术具有以下三大优点： （1）不容易被遗忘或丢失。 （2）不容易被伪造或被盗。 （3）可以随时携带，随时使用。计算机科学与工程系生理特征介绍生理特征介绍每个人所具有的唯一生理特征 指纹，视网膜，声音，视网膜、虹膜、语音、面部、签名等指纹 一些曲线和分叉以及一些非常微小的特征； 提取指纹中的一些特征并且存储这些特征信息：节省资源，快速查询；手掌、手型 手掌有折痕，起皱，还有凹槽；

22、 还包括每个手指的指纹 ； 人手的形状（手的长度，宽度和手指）表示了手的几何特征 计算机科学与工程系生理特征介绍（续）生理特征介绍（续）视网膜扫描 扫描眼球后方的视网膜上面的血管的图案； 虹膜扫描 虹膜是眼睛中位于瞳孔周围的一圈彩色的部分； 虹膜有其独有的图案，分叉，颜色，环状，光环以及皱褶；语音识别 记录时说几个不同的单词，然后识别系统将这些单词混杂在一起，让他再次读出给出的一系列单词。面部扫描 人都有不同的骨骼结构，鼻梁，眼眶，额头和下颚形状。计算机科学与工程系生理特征介绍（续）生理特征介绍（续）限制因素： 第一，必须保证每个人的该项生物特征具有世界唯一性。 第二，生物特征必须提前识别，并

23、存储在鉴别库中。 第三，由于生物特征会随着时间或者环境发生变化，鉴别库中的生物特征需要进行必要的更新，以保证较高的识别准确率。 计算机科学与工程系3.3 访问控制访问控制访问控制的概念和目标：一般概念 是针对越权使用资源的防御措施。基本目标： 防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户的程序能做什么。未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。 非法用户进入系统。 合法用户对系统资源的非法使用。计算机科学与工程系主体、客体和授权主体、客体和授权客体（Object）：规定需要保

24、护的资源，又称作目标（target)。主体（Subject）：或称为发起者(Initiator)，是一个主动的实体，规定可以访问该资源的实体，（通常指用户或代表用户执行的程序）。授权（Authorization)：规定可对该资源执行的动作（例如读、写、执行或拒绝访问）。一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计算机上运行，并由父主体控制它们。主客体的关系是相对的。计算机科学与工程系主体属性主体属性主体属性：用户特征，是系统用来决定访问控制的常用因素，一个用户的任何一种属性都可作为访问控制决策点，一般系统访问控制策略中常用的用户属性有：a)用户ID/用户组ID：b)

25、用户访问许可级别： c)用户需知属性： d)角色： e)权能列表： 计算机科学与工程系客体属性客体属性与系统内客体相关联的属性也作为访问控制策略的一部分，客体安全属性有：a)敏感性标记：信息按“安全等级”进行分类，如“公开信息”、“机密信息”、“秘密信息”、“绝密信息”；还可将系统内的信息按非等级分类，进行模拟人力资源系统的划分，称“范畴”，如参谋部、作战部、后勤部等，系统内信息的敏感性标记由等级与非等级两部分组成：敏感性级别和范畴。 计算机科学与工程系2.1 访问控制访问控制访问控制 Access Control ：限制已授权的用户、程序、进程或计算机网络中其他系统访问本系统资源的过程。口令

26、认证不能取代访问控制 。访问控制机制：在信息系统中，为检测和防止未授权访问，以及为使授权访问正确进行所设计的硬件或软件功能、操作规程、管理规程和它们的各种组合。为达到此目的，访问进程需达到以下两个目的： 识别和确认访问系统的用户； 决定该用户可以对某一系统资源进行何种类型的访问；计算机科学与工程系授权信息 访问控制与其他安全机制的关系访问控制与其他安全机制的关系认证、授权、审计（AAA）Log身份认证身份认证访问控制访问控制审计审计授权（授权（authorization）主体主体客体客体计算机科学与工程系计算机科学与工程系 三种常用的访问控制机制三种常用的访问控制机制自主访问控制DAC（Dis

27、cretionary Access Control）强制访问控制MAC（Mandatory Access Control ）基于角色的访问控制RBAC（Role Based Access Control）自主自主访问控制访问控制强制强制访问控制访问控制基于角色基于角色访问控制访问控制访问控制访问控制计算机科学与工程系2.1.1 2.1.1 自主访问控制自主访问控制2.1.1 自主访问控制自主访问控制 定义：在自主访问控制机制中，用户有自主的决定权。这里所谓的自主决定权是指主体可以自主地将访问权，或访问权的某个子集授予其它主体。 灵活性高，被大量采用。 缺点：安全性最低，因为信息在移动过程中其访

28、问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B，从而使不具备对O访问权限的B可访问O。计算机科学与工程系访问控制矩阵访问控制矩阵 按列看是访问控制表内容（客体） 按行看是访问能力表内容（主体） 矩阵元素：相应的用户对目标的访问许可。目标目标xR、W、OwnR、W、Own目标目标y目标目标z用户用户a用户用户b用户用户c用户用户dRRR、W、OwnR、WR、W目标目标用户用户计算机科学与工程系访问控制矩阵访问控制矩阵 为了实现完备的自主访问控制系统，由访问控制矩阵提供的信息必须以某种形式存放在系统中。 访问矩阵中的每行表示一个主体 每列则表示一个受保护的客体 而矩阵中的元素，则

29、表示主体可以对客体的访问模式 矩阵中的许多元素常常为空。在实现自主访问控制机制时，常常是基于矩阵的行或列来表达访问控制信息。 计算机科学与工程系访问控制矩阵的原理简单，实现起来并不难，但当用户和文件都很多时，就需要占用大量的存储空间。例如：如果系统有5000个用户和30000个文件，二维存取控制矩阵就要有5000*30000个表项，将占用大量的存储空间。如果用户和文件系统要管理的文件有所增加，那么控制矩阵将会成几何级数增长，对于增长的矩阵而言，会有大量的空余空间。另外，查找这样大的表不仅不方便，而且还浪费大量的CPU时间。所以在实际应用时，常常要采用另外的变通方式来实现。访问控制矩阵访问控制矩

30、阵计算机科学与工程系1. 基于行的自主访问控制机制基于行的自主访问控制机制所谓基于行的自主访问控制是在每个主体上都附加一个该主体可访问的客体的明细表。根据表中信息的不同可以分为以下三种形式： （1）能力表（CL：Capabilities List） （2）前缀表(Prefixes) （3）口令（Password）计算机科学与工程系访问能力表访问能力表(CL) Obj1OwnRWOObj2 R OObj3 RWOUserA每个主体都附加一个该主体可访问的客体的明细表。每个主体都附加一个该主体可访问的客体的明细表。计算机科学与工程系2. 基于列的自主访问控制机制基于列的自主访问控制机制所谓基于列的

31、访问控制是指按客体附加一份可访问它的主体的明细表。基于列的访问控制可以有两种方式, 一种是保护位 一种是存取控制表计算机科学与工程系 保护位（保护位（Protection Bits）（1）保护位（Protection Bits） 保护位对所有的主体、主体组（用户、用户组）以及该客体（文件）的拥有者，规定了一个访问模式的集合。保护位机制是一种简单易行的自主访问控制方式，能在一定程度上表达访问控制矩阵。 UNIX系统采用了保护位的方法。在Unix系统中，用户组是具有相似功能特点的用户集合。某客体的拥有者实际就是生成客体的主体，它对客体的所有权仅能通过超级用户特权来改变。 拥有者（超级用户除外）是唯

32、一能够改变客体保护位的主体。一个用户可能属于多个静态的用户组，但是在某个时刻，一个用户只能属于一个活动的用户组。用户组及拥有者的权限都体现在客体的保护位中。计算机科学与工程系访问控制表访问控制表(ACL)（2）存取控制表ACL（Access Control List） 存取控制表可以决定任何一个特定的主体是否可对某一个客体进行访问。它是利用在客体上附加一个主体明细表的方法来表示访问控制矩阵的。 表中的每一项包括主体的身份以及对该客体的访问权。主体或者组读写执行User1 1 - 1Group2 1 1 1计算机科学与工程系访问控制表访问控制表(ACL) userAOwnRWOuserBROus

33、erCRWOObj1userAOwnRWOuserBROuserCRWOObj1每个客体附加一个它可以访问的主体的明细表每个客体附加一个它可以访问的主体的明细表。计算机科学与工程系ACL、CL访问方式比较访问方式比较鉴别方面：二者需要鉴别的实体不同保存位置不同访问权限传递 ACL:困难，CL：容易访问权限回收 ACL:容易，CL：困难计算机科学与工程系 自主存取控制机制实现举例自主存取控制机制实现举例1)“拥有者/同组同户/其他用户”模式2)“存取控制表ACL”和“拥有者/同组同户/其他用户”结合模式 在安全操作系统UNIX SVR4.1中，采用“存取控制表ACL”和“拥有者/同组同户/其他用

34、户”结合的实现方法，ACL只对于“拥有者/同组同户/其他用户”无法分组的用户才使用。 计算机科学与工程系3. 自主访问控制的访问许可自主访问控制的访问许可自主访问控制的访问类型：访问许可与访问模式描述了主体对客体所具有的控制权与访问权。访问许可定义了改变访问模式的能力或向其它主体传送这种能力的能力。访问模式则指明主体对客体可进行何种形式的特定的访问操作：读 写 运行。计算机科学与工程系3. 自主访问控制的访问许可自主访问控制的访问许可（1）等级型 可以将对客体存取控制表的修改能力划分成等级。可以将控制关系组成一个树型结构。 系统管理员的等级设为等级树的根，根一级具有修改所有客体存取控制表的能力

35、，并且具有向任意一个主体分配这种修改权的能力。计算机科学与工程系等级型特点等级型特点优点： 通过选择可信任的人担任各级领导，使得能够以可信方式对客体施加控制。缺点： 对于一个客体而言，可能会同时有多个主体有能力修改它的存取控制表。计算机科学与工程系拥有型拥有型（2）拥有型 另一种控制方式是对每个客体设立一个拥有者（通常是该客体的生成者）。只有拥有者才是对客体有修改权的唯一主体。拥有者对其拥有的客体具有全部控制权。但是，拥有者无权将其对客体的控制权分配给其它主体。因此，客体拥有者在任何时候都可以改变其所属客体的存取控制表，并可以对其它主体授予或者撤消其对客体的任何一种访问模式。 系统管理员应能够

36、对系统进行某种设置，使得每个主体都有一个“主目录”(home directory)。对主目录下的子目录及文件的访问许可权应授予该主目录的主人。使他能够修改主目录下的客体的存取控制表，但不允许使拥有者具有分配这种访问许可权的权力。 可以把拥有型控制看成是二级的树型控制。例如：在UNIX系统中，利用超级用户来实施特权控制。计算机科学与工程系自由型自由型（3）自由型 自由型方案的特点是：一个客体的生成者可以对任何一个主体分配对它拥有的客体的访问控制权，即对客体的存取控制表有修改权，并且还可使其对其它主体也具有分配这种权力的能力。 在这种系统中，不存在“拥有者”概念。一旦访问许可权分配出去，那么就很难

37、控制客体了。计算机科学与工程系4. 4. 访问模式访问模式 1）写删除（Write-delete） 该访问模式允许主体用扩展 (expanding)、收缩(shrinking)以及删除(deleting) 的方法修改一个客体。 2）读拷贝(Read-copy) 该模式允许主体对客体进行读与拷贝的访问操作。现在操作系统中的Read模式实际就是Read-copy模式。 3）执行（Execute） 该模式允许主体将客体作为一种可执行文件而运行。在许多系统中，Execute模式需要Read模式。 4）Null（无效） 这种模式表示，主体对客体不具有任何访问权。在存取控制表中用这种模式可以排斥某个特定的

38、主体。计算机科学与工程系2.1.2 2.1.2 强制访问控制强制访问控制强制访问控制用于将系统中的信息分密级和范畴进行管理，保证每个用户只能够访问那些被标明能够由他访问的信息的一种访问约束机制。系统中每个主体(进程)，每个客体(文件、消息队列、信号量集、共享存储区等)都被赋予相应的安全属性，这些安全属性不能改变，它由安全系统(包括安全管理员)自动地按严格的规则设置，而不是像存取控制表那样由用户或用户程序直接或间接修改。 计算机科学与工程系2.1.2 2.1.2 强制访问控制强制访问控制强制访问控制系统为所有的主体和客体指定安全级别，比如绝密级、秘密级和无密级。不同级别标记了不同重要程度和能力的

39、实体。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。 强制访问控制机制中，系统为每个进程、每个文件以及每个IPC客体赋予了相应的安全属性，由系统管理员或操作系统自动的按照严格的规则来设置。 其访问控制关系分为：上读上读/下写下写（完整性）（完整性） ， 下读/上写（机密性）（机密性）。计算机科学与工程系强制访问控制强制访问控制规定：规定：一般安全属性可分为四个级别一般安全属性可分为四个级别具有如下的四种强制访问控制策略：具有如下的四种强制访问控制策略：下读: 用户级别大于文件级别的读操作; 上写: 用户级别低于文件级别的写操作; 下写: 用户级别大于文件级别的写操作; 上读:

40、 用户级别低于文件级别的读操作; 这些策略保证了信息流的这些策略保证了信息流的单向性单向性，上读上读下写下写方式方式保证了数据的保证了数据的完整性完整性，上写上写下读下读方式则保证了信息的方式则保证了信息的安全性安全性。 密级密级英文英文绝密绝密TSTop Secret秘密秘密SSecret机密机密CConfidential无密级无密级UUnclassified计算机科学与工程系 强制访问控制强制访问控制公司内的范畴公司内的范畴强制访问控制必须对系统的主体和客体分别赋予与其身强制访问控制必须对系统的主体和客体分别赋予与其身份相对称的安全属性的外在表示份相对称的安全属性的外在表示-安全标签，它有

41、两部安全标签，它有两部分组成：分组成： 安全类别：范畴安全类别：范畴 Accounting(Accounting(财务部财务部) )、Marketing(Marketing(市场部市场部) )、Advertising(Advertising(广告部广告部) )、Engineering(Engineering(工程部工程部) )和和Reserch&DevelopmentReserch&Development( (研发部研发部) )。在公司内，财务部经理与市场部经理虽然级别相同（都在公司内，财务部经理与市场部经理虽然级别相同（都是经理），但由于两人分属不同部门（财务部负责财务，是经理），但由于两人

42、分属不同部门（财务部负责财务，市场部负责市场），从而，分属两个不同的范畴市场部负责市场），从而，分属两个不同的范畴（AccountingAccounting、MarketingMarketing），故市场部经理是不能够访），故市场部经理是不能够访问财务部经理的信息的。问财务部经理的信息的。计算机科学与工程系 使用强制存取控制防止特洛伊木马使用强制存取控制防止特洛伊木马解决特洛伊木马的一个有效方法是使用强制存取控制机制。在强制存取控制的情况下，对于违反强制存取控制的特洛伊木马，可以防止它取走信息。强制存取控制能阻止正在机密安全级上运行的进程中的特洛伊木马把机密信息写入一个公开的文件里。再如一个公

43、司对系统中自己拥有的信息指定强制存取范畴，只有该公司的雇员才可能进入这个范畴。计算机科学与工程系自主自主/ /强制访问的问题强制访问的问题1. 自主式太弱自主式太弱2. 强制式太强强制式太强3. 二者工作量大，不便管理二者工作量大，不便管理例：1000主体访问10000客体，须1000万次配置。如每次配置需1秒，每天工作8小时，就需 10，000，000/（3600*8） =347.2天计算机科学与工程系2.1.3 基于角色的访问控制基于角色的访问控制 现实社会中，上述访问控制方式表现出很多弱点，不能满足实际需求。主要问题在于：（1）同一用户在不同的场合需要以不同的权限访问系统，按传统的做法，

44、变更权限必须经系统管理员授权修改，因此很不方便。（2）当用户量大量增加时，按每用户一个注册账号的方式将使得系统管理变得复杂、工作量急剧增加，也容易出错。（3）传统访问控制模式不容易实现层次化管理。即按每用户一个注册账号的方式很难实现系统的层次化分权管理，尤其是当同一用户在不同场合处在不同的权限层次时，系统管理很难实现。除非同一用户以多个用户名注册。计算机科学与工程系基于角色的访问控制基于角色的访问控制(RBAC)(RBAC)角色访问控制（角色访问控制（基本思想基本思想） 与访问者的身份认证密切相关，通过确定该合法访问者的与访问者的身份认证密切相关，通过确定该合法访问者的身份身份来来确定访问者在

45、系统中对哪类信息有什么样的访问权限。确定访问者在系统中对哪类信息有什么样的访问权限。一个访问一个访问者可以充当多个角色，一个角色也可以由多个访问者担任。者可以充当多个角色，一个角色也可以由多个访问者担任。角色的定义每个角色与一组用户和有关的动作相互关联，角色中所属的用户每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作可以有权执行这些操作角色与组的区别角色与组的区别组：一组用户的集合角色：一组用户的集合 + 一组操作权限的集合计算机科学与工程系1 1、基本概念基本概念基于角色的访问控制模式(Role Based Access Control，RBAC)中，用户不是自始

46、至终以同样的注册身份和权限访问系统，而是以一定的角色访问，不同的角色被赋予不同的访问权限，系统的访问控制机制只看到角色，而看不到用户。在RBAC系统中，要求明确区分权限（authority）和职责（responsibility）这两个概念。职责之间的不同是通过不同的角色来区分的。RBAC的功能相当强大，适用于许多类型（从政府机构到商业应用）的用户需求。Netware、Windows NT、Solaris和SeLinux等操作系统中都采用了类似的RBAC技术作为存取控制手段。计算机科学与工程系 增加一层间接性带来了灵活性增加一层间接性带来了灵活性 RBAC与传统访问控制的差别与传统访问控制的差别

47、计算机科学与工程系3、基于角色的访问控制特点、基于角色的访问控制特点(1)提供了三种授权管理的控制途径： 改变客体的访问权限； 改变角色的访问权限； 改变主体所担任的角色。用户1用户2用户3角色1角色2授权对象1对象2对象3对象4角色、用户、权限、授权管理之间的关系计算机科学与工程系(2)提供了层次化的管理结构，由于访问权限是客体的属性，所以角色的定义可以用面向对象的方法来表达，并可用类和继承等概念来表示角色之间的关系。 角色4角色3角色2角色1包含包含包含权限小大2、基于角色的访问控制特点、基于角色的访问控制特点计算机科学与工程系 (3)具有提供最小权限的能力，由于可以按照角色的具体要求来定

48、义对客体的访问权限，因此具有针对性，不出现多余的访问权限，从而降低了不安全性。 (4)具有责任分离的能力，不同角色的访问权限可相互制约，即定义角色的人不一定能担任这个角色。因此具有更高的安全性。 非任意访问控制（non-discretionary access control）是为满足安全策略和目标而采用的一系列集中管理的控制手段。访问控制是由访问者在机构中的角色决定的。角色包括职务特征、任务、责任、义务和资格。访问者在系统中的角色有管理者赋予或吊销。2、基于角色的访问控制特点、基于角色的访问控制特点计算机科学与工程系4、基于角色的访问控制机制的应用、基于角色的访问控制机制的应用在银行环境中，

49、用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员访问控制策略的一个例子如下：（1）允许一个出纳员修改顾客的帐号记录（包括存款和取款、转帐等），并允许查询所有帐号的注册项（2）允许一个分行管理者修改顾客的帐号记录（包括存款和取款，但不包括规定的资金数目的范围）并允许查询所有帐号的注册项，也允许创建和终止帐号（3）允许一个顾客只询问他自己的帐号的注册项（4）允许系统的管理者询问系统的注册项和开关系统，但不允许读或修改用户的帐号信息（5）允许一个审计员读系统中的任何数据，但不允许修改任何事情计算机科学与工程系RBAC RBAC 的的优势优势便于授权管理，如系统管理员需要修改系统设置等内

50、容时，必须有几个不同角色的用户到场方能操作，从而保证了安全性。便于根据工作需要分级，如企业财务部门与非财力部门的员工对企业财务的访问权就可由财务人员这个角色来区分。便于赋于最小特权，如即使用户被赋于高级身份时也未必一定要使用，以便减少损失。只有必要时方能拥有特权。便于任务分担，不同的角色完成不同的任务。便于文件分级管理，文件本身也可分为不同的角色，如信件、账单等，由不同角色的用户拥有。计算机科学与工程系3.4 最小特权管理最小特权管理3.4.1 基本概念 所谓最小特权（Least Privilege），指的是在完成某种操作时所赋予系统中每个主体（用户或进程）必不可少的特权。最小特权原则，则是指

51、应限定系统中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。 最小特权原则一方面给予主体“必不可少”的特权，这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体“必不可少”的特权，这就限制了每个主体所能进行的操作。计算机科学与工程系一种典型的将超级用户的特权进行细分的方案如下：系统安全管理员：负责对系统资源和应用定义安全级别；为用户赋予安全级别；定义用户和自主访问控制的用户组；限制隐蔽通道活动的机制等。安全审计员：负责安全审计系统的控制，与系统安全管理员形成一个“检查平衡”，系统安全管理员负责实施安全策略，而安全审计员控制审计信息，审核安全策略是否被正确实施。操作员：完成常规的、非关键的安全操作，不能进行影响安全级的