计算机系统安全原理与技术课件第4章第4节
合集下载
计算机网络技术基础(微课版)(第6版)-PPT课件第 4 章 局域网
服务器是整个网络系统的核心,它为网络用户提供服务并管理 整个网络。根据服务器在网络中所承担的任务和所提供的功能不 同,服务器可分为文件服务器、打印服务器和通信服务器。通常 我们要求服务器具有较高的性能,包括较快的数据处理速度、较 大的内存和较大容量的磁盘等。
工作站
工作站是网络各用户的工作场所,用户通过它可以与网络交换 信息,共享网络资源。工作站通过网卡、传输介质以及通信设备 连接到网络服务器,且仅对操作该工作站的用户提供服务。
3. 总线型(Bus)
所有的结点都通过网络适配器直接连接到一条作为公共传输介质的 总线上,总线可以是同轴电缆、双绞线,也可以是光纤。如图4-7所 示:
图4-7 总线型网络结构示意图
总线型网络采用广播通信方式,即任何一个结点发送的信号都可以 沿着介质传播,而且能被网络上其他所有结点所接收,但在同一时间 内,只允许一个结点发送数据。
返回本节首页 返回本章首页
4.4 局域网体系结构与IEEE 802标准
4.4.1 局域网参考模型
IEEE 802标准遵循ISO/OSI参考模型的原则,主要解决最低两层 (即物理层和数据链路层)的功能以及与网络层的接口服务。 IEEE802参考模型中不再设立网络层,它与ISO/OSI参考模型的对应 关系如图4-8所示:
4.3.3 介质访问控制方法
1. 什么是介质访问控制
介质访问控制,是指控制网上各工作站在适当的情况下发送数据, 并在发送数据的过程中,及时发现问题以及出现问题后妥善处理问 题的一整套管理方法。介质访问控制技术的优劣将对局域网的总体 性能产生决定性的影响。
2. 常用的媒体访问控制方法 CSMA/CD(带有碰撞检测的载波侦听多路访问) Token Ring(令牌环) Token Bus(令牌总线)
工作站
工作站是网络各用户的工作场所,用户通过它可以与网络交换 信息,共享网络资源。工作站通过网卡、传输介质以及通信设备 连接到网络服务器,且仅对操作该工作站的用户提供服务。
3. 总线型(Bus)
所有的结点都通过网络适配器直接连接到一条作为公共传输介质的 总线上,总线可以是同轴电缆、双绞线,也可以是光纤。如图4-7所 示:
图4-7 总线型网络结构示意图
总线型网络采用广播通信方式,即任何一个结点发送的信号都可以 沿着介质传播,而且能被网络上其他所有结点所接收,但在同一时间 内,只允许一个结点发送数据。
返回本节首页 返回本章首页
4.4 局域网体系结构与IEEE 802标准
4.4.1 局域网参考模型
IEEE 802标准遵循ISO/OSI参考模型的原则,主要解决最低两层 (即物理层和数据链路层)的功能以及与网络层的接口服务。 IEEE802参考模型中不再设立网络层,它与ISO/OSI参考模型的对应 关系如图4-8所示:
4.3.3 介质访问控制方法
1. 什么是介质访问控制
介质访问控制,是指控制网上各工作站在适当的情况下发送数据, 并在发送数据的过程中,及时发现问题以及出现问题后妥善处理问 题的一整套管理方法。介质访问控制技术的优劣将对局域网的总体 性能产生决定性的影响。
2. 常用的媒体访问控制方法 CSMA/CD(带有碰撞检测的载波侦听多路访问) Token Ring(令牌环) Token Bus(令牌总线)
计算机系统安全原理与技术第4章 操作系统安全
7
隔离控制的方法有四种:
物理隔离 时间隔离 逻辑隔离 加密隔离
2020/1/26
计算机系统安全原理与技术(第3版)
8
4.2 存储器保护
对于一个安全的操作系统,存储保护是最基本 的要求,这里包括内存保护、运行保护、I/O 保护等。
2020/1/26
计算机系统安全原理与技术(第3版)
也可以使应用程序或数据文件受到感染,造成 程序和数据文件的丢失或被破坏,甚至使系统 瘫痪或崩溃。
2020/1/26
计算机系统安全原理与技术(第3版)
4
4.1 操作系统的安全问题
4.1.2 操作系统面临的安全问题
2)隐通道(Covert Channel,也称作隐蔽信道) 破坏系统的保密性和完整性。
如今,攻击者攻击系统的目的更多地转向获取 非授权的信息访问权。这些信息可以是系统运 行时内存中的信息,也可以是存储在磁盘上的 信息(文件)。窃取的方法有多种,如使用 Cain&Abel等口令破解工具破解系统口令,再 如使用Golden keylogger等木马工具记录键盘 信息,还可以利用隐通道非法访问资源。
4.1.1 操作系统易用性与安全性的矛盾
操作系统在设计时不可避地要在安全性和易用 性之间寻找一个最佳平衡点,这就使得操作系 统在安全性方面必然存在着缺陷。
2020/1/26
计算机系统安全原理与技术(第3版)
3
4.1 操作系统的安全问题
4.1.2 操作系统面临的安全问题
1)网络攻击破坏系统的可用性和完整性。 例如,恶意代码(如Rootkit)可以使系统感染,
因为段大小可变,内存“碎片”成为一个潜在的问题,使 得内存中虽然剩余碎片的总和大于某个段的长度,但仍无 法为该段分配内存的现象发生。
计算机安全技术-4操作系统安全73页PPT
23、一切节省,归根到底都归结为时间的节省。——马克思 24、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚
25、学习是劳动,是充满思想的劳动。——乌申斯基谢谢!Βιβλιοθήκη 计算机安全技术-4操作系统安全
31、园日涉以成趣,门虽设而常关。 32、鼓腹无所思。朝起暮归眠。 33、倾壶绝余沥,窥灶不见烟。
34、春秋满四泽,夏云多奇峰,秋月 扬明辉 ,冬岭 秀孤松 。 35、丈夫志四海,我愿不知老。
21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈
25、学习是劳动,是充满思想的劳动。——乌申斯基谢谢!Βιβλιοθήκη 计算机安全技术-4操作系统安全
31、园日涉以成趣,门虽设而常关。 32、鼓腹无所思。朝起暮归眠。 33、倾壶绝余沥,窥灶不见烟。
34、春秋满四泽,夏云多奇峰,秋月 扬明辉 ,冬岭 秀孤松 。 35、丈夫志四海,我愿不知老。
21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈
计算机网络安全技术与实训第4章
第4章数据加密技术[学习目标]1. 理解数据加密技术2. 会使用文档加密和磁盘加密实例3. 学会使用加密工具软件4. 掌握证书制作与CA系统的配置5. 了解VPN技术本章要点●传统工艺加密方法●DES加密算法和RSA加密算法●计算机网络的加密技术●几个简单加密软件的使用●数字签名的实现方法●CA认证和认证产品●鉴别技术与方法●个人数字凭证的申请、颁发和使用4.1 文档加密实例4.1.1 文件加密实例Windows 2000 支持两种数据保护方式:存储数据的保护和网络数据的保护。
1.存储数据的保护方法有:文件加密系统(EFS) ;数字签名。
2.网络数据的保护方法有:网际协议安全;路由和远程访问;代理服务器。
文件加密与数字签名技术,它是为提高信息系统及数据的安全性和保密性, 防止秘密数据被外部窃取、侦听或破坏所采用的主要技术手段之一。
随着信息技术的发展, 网络安全与信息保密日益引起人们的关注。
目前各国除了从法律上、管理上加强数据的安全保护外, 从技术上分别在软件和硬件两方面采取措施, 推动着数据加密技术和物理防范技术的不断发展。
按作用不同, 文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
Windows2000 强大的加密系统能够给磁盘、文件夹、文件加上一层安全保护。
这样可以防止别人把你的硬盘挂到别的机器上读出里面的数据。
如果硬盘上有一个文件需要加密,则在我的电脑窗口中选中该文件的图标按鼠标右键在快捷菜单上选择属性命令,打开该文件的属性对话框。
如图4.1 所示。
图4.1 打开文件的属性对话框图4.2 打开高级属性对话框图4.3 打开详细信息可以看到用户信息在要加密的文件的属性对话框中选择高级按钮,打开高级属性对话框。
如图4.2 所示。
选中“加密内容以便保护数据”左边的选框,确定即可。
注意,文件系统应该是NTFS。
Windows 的NTFS压缩和加密是不能同时选中的。
计算机系统安全原理与技术课件第5章第3节
5.3 网络架构安全
❖ 5.3.1 网络架构安全的含义 ❖ 5.3.2 网络架构安全设计
1
计算机系统安全原理与技术(第4版)
5.3.1 网络架构安全的含义
❖ 网络架构是指对由计算机软硬件、互联设备等构成的网络 结构和部署,用以确保可靠的信息传输,满足业务需要。
❖ 网络架构设计是为了实现不同物理位置的计算机网络的互 通,将网络中的计算机平台、应用软件、网络软件、互联 设备等网络元素有机地连接在一起,使网络能满足用户的 需要。一般网络架构的设计以满足企业业务需要,实现高 性能、高可靠、稳定安全、易扩展、易管理维护的网络为 衡量标准。
• 信息认证和身份认证。保证信息的完整性、合法性和来源可 靠性(不可抵赖性)。
• 访问控制。不同的用户应该分别具有不同的访问权限。 • 虚拟专用网络可以帮助远程用户、公司分支机构、商业伙伴
以及供应商等和公司内部网络建立可信的安全连接,并保证 数据的安全传输。
12
计算机系统安全原理与技术(第4版)
5.3.2 网络架构安全设计
• 4)特别安全防护。采用当前较为先进的边界防护技术,必要 时可以采用物理隔离安全机制,实现特别的安全要求的边界安 全防护。
10
计算机系统安全原理与技术(第4版)
5.3.2 网络架构安全设计
❖ 4.虚拟专用网设计 ▪ ( 1 ) 虚 拟 专 用 网 ( Virtual Private Network , VPN)的概念 ▪ VPN提供一种在现有网络或点对点连接上建立一至多 条安全数据信道的机制。它只分配给受限的用户组独 占使用,并能在需要时动态地建立和撤销。主机网络 可为专用的或公共的。
• 安全域划分的目的是把一个大规模复杂系统的安全问题,化解 为小区域的安全保护问题,它是实现大规模复杂信息系统安全 保护的有效方法。
❖ 5.3.1 网络架构安全的含义 ❖ 5.3.2 网络架构安全设计
1
计算机系统安全原理与技术(第4版)
5.3.1 网络架构安全的含义
❖ 网络架构是指对由计算机软硬件、互联设备等构成的网络 结构和部署,用以确保可靠的信息传输,满足业务需要。
❖ 网络架构设计是为了实现不同物理位置的计算机网络的互 通,将网络中的计算机平台、应用软件、网络软件、互联 设备等网络元素有机地连接在一起,使网络能满足用户的 需要。一般网络架构的设计以满足企业业务需要,实现高 性能、高可靠、稳定安全、易扩展、易管理维护的网络为 衡量标准。
• 信息认证和身份认证。保证信息的完整性、合法性和来源可 靠性(不可抵赖性)。
• 访问控制。不同的用户应该分别具有不同的访问权限。 • 虚拟专用网络可以帮助远程用户、公司分支机构、商业伙伴
以及供应商等和公司内部网络建立可信的安全连接,并保证 数据的安全传输。
12
计算机系统安全原理与技术(第4版)
5.3.2 网络架构安全设计
• 4)特别安全防护。采用当前较为先进的边界防护技术,必要 时可以采用物理隔离安全机制,实现特别的安全要求的边界安 全防护。
10
计算机系统安全原理与技术(第4版)
5.3.2 网络架构安全设计
❖ 4.虚拟专用网设计 ▪ ( 1 ) 虚 拟 专 用 网 ( Virtual Private Network , VPN)的概念 ▪ VPN提供一种在现有网络或点对点连接上建立一至多 条安全数据信道的机制。它只分配给受限的用户组独 占使用,并能在需要时动态地建立和撤销。主机网络 可为专用的或公共的。
• 安全域划分的目的是把一个大规模复杂系统的安全问题,化解 为小区域的安全保护问题,它是实现大规模复杂信息系统安全 保护的有效方法。
计算机系统安全原理与技术课件第5章第2节
▪ 3)响应单元(Response Units):对分析结果作出反应的功 能单元,它可以作出切断连接、改变文件属性等强烈反应,也可 以只是简单的报警。
▪ 4)事件数据库(Event Databases):是存放各种中间和最终 数据的地方的统称,它可以是复杂的数据库,也可以是简单的文 本文件。
21
计算机系统安全原理与技术(第4版)
24
计算机系统安全原理与技术(第4版)
应用实例:一个简单的异常检测模型
❖ 步骤1:产生会话矢量。 ❖ 步骤2:产生伯努里矢量。 ❖ 步骤3:产生加权入侵值。 ❖ 步骤4:若加权入侵值大于
预设的阈值,则给出报警。
25
计算机系统安全原理与技术(第4版)
5.2.3 其他网络安全设备
❖ 1.网络隔离 ▪ (1)网络隔离的概念 所谓物理隔离,是指以物理的方式在信息的存储、 传导等各个方面阻断不同的安全域,使得安全域之间不 存在任何信息重用的可能性。物理隔离技术应当具备的 几个特征包括:
▪ 1)边界防火墙。处于外部不可信网络(包括因特网、 广域网和其他公司的专用网)与内部可信网络之间, 控制来自外部不可信网络对内部可信网络的访问,防 范来自外部网络的非法攻击。同时,保证了DMZ区服 务器的相对安全性和使用便利性。
▪ 2)内部防火墙。内部防火墙处于内部不同可信等级安 全域之间,起到隔离内网关键部门、子网或用户的目 的。
9
计算机系统安全原理与技术(第4版)
5.2.1 防火墙
❖ 2.防火墙技术原理 ❖ (2)应用代理技术
▪ 代理类型防火墙的突出优点是安全性高:
• 由于它工作于协议的最高层,所以它可以对网络中任何一层数 据通信进行保护,而不是像包过滤那样局限于对网络层和传输 层数据处理。
▪ 4)事件数据库(Event Databases):是存放各种中间和最终 数据的地方的统称,它可以是复杂的数据库,也可以是简单的文 本文件。
21
计算机系统安全原理与技术(第4版)
24
计算机系统安全原理与技术(第4版)
应用实例:一个简单的异常检测模型
❖ 步骤1:产生会话矢量。 ❖ 步骤2:产生伯努里矢量。 ❖ 步骤3:产生加权入侵值。 ❖ 步骤4:若加权入侵值大于
预设的阈值,则给出报警。
25
计算机系统安全原理与技术(第4版)
5.2.3 其他网络安全设备
❖ 1.网络隔离 ▪ (1)网络隔离的概念 所谓物理隔离,是指以物理的方式在信息的存储、 传导等各个方面阻断不同的安全域,使得安全域之间不 存在任何信息重用的可能性。物理隔离技术应当具备的 几个特征包括:
▪ 1)边界防火墙。处于外部不可信网络(包括因特网、 广域网和其他公司的专用网)与内部可信网络之间, 控制来自外部不可信网络对内部可信网络的访问,防 范来自外部网络的非法攻击。同时,保证了DMZ区服 务器的相对安全性和使用便利性。
▪ 2)内部防火墙。内部防火墙处于内部不同可信等级安 全域之间,起到隔离内网关键部门、子网或用户的目 的。
9
计算机系统安全原理与技术(第4版)
5.2.1 防火墙
❖ 2.防火墙技术原理 ❖ (2)应用代理技术
▪ 代理类型防火墙的突出优点是安全性高:
• 由于它工作于协议的最高层,所以它可以对网络中任何一层数 据通信进行保护,而不是像包过滤那样局限于对网络层和传输 层数据处理。
计算机系统安全原理与技术课件第5章第4节
▪ Kerberos协议中使用通行证(Ticket,也有译作票 据)来实现用户和应用或服务之间的认证。
3
计算机系统安全原理与技术(第4版)
5.4.1 应用层安全协议
❖ 1.Kerberos协议 ❖ (3)Kerberos的基本认证过程
4
计算机系统安全原理与技术(第4版)
5.4.1 应用层安全协议
18
计算机系统安全原理与技术(第4版)
应用实例:https协议应用
❖ SSL应用于http协议形成了https协议。 ❖ 当需要确保网络上所传输信息的机密性、真实性和完
整性时,一种优选的方法就是使用https协议,https 为正常的http包封装了一层SSL。
19
计算机系统安全原理与技术(第4版)
❖ 1.Kerberos协议 ❖ (4)Kerberos的两种工作模式
▪ Kerberos协议有两种模式:单域模式和多域模式。 ▪ 一个Kerberos域是指用户和服务器的集合,它们都
被同一个AS服务器所认证。 ▪ 不同组织或机构的客户和服务器组成的网络往往分成
不同的域。 ▪ 要实现跨域认证,两个域中的Kerberos服务器需要
7
计算机系统安全原理与技术(第4版)
5.4.1 应用层安全协议
❖ 2.其他应用层安全协议
❖ (1)安全外壳协议——SSH
▪ SSH(Secure Shell,安全外壳协议)是用密码算法 提供安全可靠的远程登录、文件传输和远程复制等网络 服务提供安全性的协议。这些网络服务由于以明文形式 传输数据,故窃听者用网络嗅探软件(如TCPdump和 Wireshark)便可轻而易举地获知其传输的通信内容。 利用 SSH 协议可以有效防止远程管理过程中的信息泄 露问题。
3
计算机系统安全原理与技术(第4版)
5.4.1 应用层安全协议
❖ 1.Kerberos协议 ❖ (3)Kerberos的基本认证过程
4
计算机系统安全原理与技术(第4版)
5.4.1 应用层安全协议
18
计算机系统安全原理与技术(第4版)
应用实例:https协议应用
❖ SSL应用于http协议形成了https协议。 ❖ 当需要确保网络上所传输信息的机密性、真实性和完
整性时,一种优选的方法就是使用https协议,https 为正常的http包封装了一层SSL。
19
计算机系统安全原理与技术(第4版)
❖ 1.Kerberos协议 ❖ (4)Kerberos的两种工作模式
▪ Kerberos协议有两种模式:单域模式和多域模式。 ▪ 一个Kerberos域是指用户和服务器的集合,它们都
被同一个AS服务器所认证。 ▪ 不同组织或机构的客户和服务器组成的网络往往分成
不同的域。 ▪ 要实现跨域认证,两个域中的Kerberos服务器需要
7
计算机系统安全原理与技术(第4版)
5.4.1 应用层安全协议
❖ 2.其他应用层安全协议
❖ (1)安全外壳协议——SSH
▪ SSH(Secure Shell,安全外壳协议)是用密码算法 提供安全可靠的远程登录、文件传输和远程复制等网络 服务提供安全性的协议。这些网络服务由于以明文形式 传输数据,故窃听者用网络嗅探软件(如TCPdump和 Wireshark)便可轻而易举地获知其传输的通信内容。 利用 SSH 协议可以有效防止远程管理过程中的信息泄 露问题。
信息安全原理与实践教程第4章
信息安全原理与实践教 程第4章
PPT文档演模板
2020/11/4
信息安全原理与实践教程第4章
•4.1 概 述
•
• 操作系统安全是走好网络安全之路的第一步。从安全 的角度来说,各种操作系统都或多或少地存在漏洞,有 的漏洞可能还没有被发现。这些没被发现的漏洞严重地 威胁着用户的安全,但是它们又可以通过自身修复系统 来减小危害。
PPT文档演模板
信息安全原理与实践教程第4章
1. 实验目的 理解数字证书和SSL通信的原理和过程,学会使用证书 安装向导来建立新证书、安装证书的全过程。 2. 实验环境 基于Windows 2003等的操作系统,需要安装有IIS。
PPT文档演模板
信息安全原理与实践教程第4章
3. 实验内容 1) 安装证书服务 第1步:安装证书服务之前,要先安装IIS服务,且保证 “Active Server Pages”为允许状态。依次打开“开 始”→“程序”→“管理工具”→“计算机管理”,再依次 打开“计算机管理”中的“服务和应用程序”→“IIS管 理”→“Web服务扩展”,如图4.13所示。“Active Server
PPT文档演模板
•图4.16 选择“独立根”证书颁发机构类型
信息安全原理与实践教程第4章
第5步:在弹出的对话框中输入与证书有关的一些信息。 这里,在 “此CA的公用名称”栏中输入“cqcc”,如图4.17
所示,点击【下一步】按钮继续。
PPT文档演模板
信息安全原理与实践教程第4章
PPT文档演模板
PPT文档演模板
信息安全原理与实践教程第4章
PPT文档演模板
•图4.4 添加默认文档
信息安全原理与实践教程第4章
(4) 效果的测试。打开IE浏览器,在地址栏输入 “192.168.0.1”之后再按【回车】键,此时就能够调出你自己 网页的首页,则说明设置成功。
PPT文档演模板
2020/11/4
信息安全原理与实践教程第4章
•4.1 概 述
•
• 操作系统安全是走好网络安全之路的第一步。从安全 的角度来说,各种操作系统都或多或少地存在漏洞,有 的漏洞可能还没有被发现。这些没被发现的漏洞严重地 威胁着用户的安全,但是它们又可以通过自身修复系统 来减小危害。
PPT文档演模板
信息安全原理与实践教程第4章
1. 实验目的 理解数字证书和SSL通信的原理和过程,学会使用证书 安装向导来建立新证书、安装证书的全过程。 2. 实验环境 基于Windows 2003等的操作系统,需要安装有IIS。
PPT文档演模板
信息安全原理与实践教程第4章
3. 实验内容 1) 安装证书服务 第1步:安装证书服务之前,要先安装IIS服务,且保证 “Active Server Pages”为允许状态。依次打开“开 始”→“程序”→“管理工具”→“计算机管理”,再依次 打开“计算机管理”中的“服务和应用程序”→“IIS管 理”→“Web服务扩展”,如图4.13所示。“Active Server
PPT文档演模板
•图4.16 选择“独立根”证书颁发机构类型
信息安全原理与实践教程第4章
第5步:在弹出的对话框中输入与证书有关的一些信息。 这里,在 “此CA的公用名称”栏中输入“cqcc”,如图4.17
所示,点击【下一步】按钮继续。
PPT文档演模板
信息安全原理与实践教程第4章
PPT文档演模板
PPT文档演模板
信息安全原理与实践教程第4章
PPT文档演模板
•图4.4 添加默认文档
信息安全原理与实践教程第4章
(4) 效果的测试。打开IE浏览器,在地址栏输入 “192.168.0.1”之后再按【回车】键,此时就能够调出你自己 网页的首页,则说明设置成功。
计算机系统安全原理与技术课件第5章第5节
14
计算机系统安全原理与技术(第4版)
5.5.2 权限管理基础设施PMI
❖ 3.基于PMI的授权与访问控制模型 ▪ PMI基本模型中包含3类实体:授权机构(属性管理 中心SOA或属性认证机构AA)、权限持有者和权限 验证者。
15
计算机系统安全原理与技术(第4版)
5.6 IPv6新一代网络安全机制
• 1)可认证性。PKI利用数字证书、可信CA确认发送者和接 收者的真实身份。
• 2)不可抵赖性。PKI基于公钥密码体制及可信第三方CA, 确保发送方不能否认其发送消息。
• 3)机密性。PKI将用户的公钥和数字证书绑定,数字证书上 都有可信CA的数字签名,保证了公钥不可伪造,从而确保数 据不能被非授权的第三方访问,保证了机密性。
19
计算机系统安全原理与技术(第4版)
5.6.2 IPv6对现行网络安全体系的新挑战
❖ 1.IPv6面临的网络安全威胁分析 ▪ (1)IPv6与IPv4共同的安全威胁
• 未配置IPSec可实施网络嗅探,可能导致信息泄露。 • 应用层攻击导致的漏洞大多数在网络层无法消除。 • 设备仿冒接入网络。 • 未实施双向认证情况下可实施中间人攻击。 • 泛洪攻击。
• IPv6支持无状态的地址自动分配,该功能可能造成非授权用户 可以更容易的接入和使用网络,存在仿冒攻击安全威胁。
• IPv6 网络环境下由于网络扫描实施难度高,但仍可通过IPv6前 缀信息搜集、隧道地址猜测、虚假路由通告及DNS查询等手段 搜集到活动主机信息,通过DNS获取IPv6地址范围和主机信息 可能会成为黑客优选攻击路径,针对DNS系统的攻击会更加猖 獗。
5
计算机系统安全原理与技术(第4版)
5.5.1 公钥基础设施PKI
计算机系统安全原理与技术课件第1章(中)
5
计算机系统安全原理与技术(第4版)
1.2 计算机系统安全问题的产生
❖ 举例:信息流动过程面临的安全问题分析 ❖ 正常的信息流向应当是从合法源(发送)端流向合法目
的(接收)端 ❖ 综合运用前面介绍的安全威胁、安全脆弱点以及安全需
求等知识来分析信息流动过程面临的安全问题。
6
计算机系统安全原理与技术(第4版)
1.2 计算机系统安全问题的产生
❖ 一个安全事件(Security Event)的发生是由于外在的威 胁(Threat)和内部的脆弱点(Vulnerability)所决定 的。这里,安全事件发生的可能性称作风险(Risk)。
❖ 本书在讨论计算机信息系统安全的概念时,没有直接提及 攻击(Attack),因为相对于表象具体的攻击,安全事件 更具有一般性。
1.2 计算机系统安全问题Байду номын сангаас产生
❖ 举例:信息流动过程面临的安全问题分析 ❖ (2)系统/应用软件或网络协议漏洞被利用遭受攻击 ❖ 4类典型攻击威胁
8
计算机系统安全原理与技术(第4版)
1.2 计算机系统安全问题的产生
❖ 举例:信息流动过程面临的安全问题分析 ❖ (3)人因问题 ❖ 人是网络空间中信息活动的主体,人的因素其实是影响
1.2 计算机系统安全问题的产生
❖ 小结:威胁、脆弱点、攻击和控制 ❖ 攻击者利用信息系统的脆弱点进行攻击(Attack)。 ❖ 人们使用控制(Control)进行安全防护。控制是一些动
作、装置、程序或技术,它能消除或减少脆弱点。 ❖ 威胁、控制和脆弱点的关系——通过控制脆弱点来阻止
或减少威胁。 ❖ 本书后续篇幅将主要介绍各种安全控制原理及技术。
1.2 计算机系统安全问题的产生
计算机系统安全原理与技术 3第4章 操作系统安全(zl)
20
计算机系统安全原理与技术(第2版)
(4)分段与分页技术(续) 分段与分页技术(
段的管理方式存在的问题与困难主要是: 段的管理方式存在的问题与困难主要是:
当操作系统使用<段址,偏移地址>的方式来进行寻址时 当操作系统使用<段址,偏移地址>的方式来进行寻址时, 必须知道段的大小以确保访问的地址在该段之内。 必须知道段的大小以确保访问的地址在该段之内。但是很 多段(比如那些可以进行动态内存分配的段) 多段(比如那些可以进行动态内存分配的段)的内存是可以 在执行的过程中动态增长的。所以, 在执行的过程中动态增长的。所以,操作系统中必须保存 可变化段的大小。为了保证安全, 可变化段的大小。为了保证安全,要求系统检查所产生的 地址,验证其是否超出所访问段的末端。 地址,验证其是否超出所访问段的末端。 因为段大小可变,内存“碎片”成为一个潜在的问题, 因为段大小可变,内存“碎片”成为一个潜在的问题,使 得内存中虽然剩余碎片的总和大于某个段的长度, 得内存中虽然剩余碎片的总和大于某个段的长度,但仍无 法为该段分配内存的现象发生。 法为该段分配内存的现象发生。 如果压缩内存以便于更加有效地利用已有空间, 如果压缩内存以便于更加有效地利用已有空间,分段表则 会发生改变。 会发生改变。 总之,分段本身比较复杂, 总之,分段本身比较复杂,并且它给操作系统带来了 明显的负担。 明显的负担。 21
8
计算机系统安全原理与技术(第2版)
4.1.3 操作系统的安全性设计
为了实现操作系统安全的目标, 为了实现操作系统安全的目标,需要建立相 应的安全机制,包括隔离控制 存储器保护、 隔离控制、 应的安全机制,包括隔离控制、存储器保护、 用户认证、访问控制等 用户认证、访问控制等。下面先介绍隔离控 其它安全机制在后面介绍。 制,其它安全机制在后面介绍。
计算机系统安全原理与技术课件第4章第1-2节
第4章 操作系统安全
导学问题
❖ 操作系统面临哪些安全问题?为什么说研究和开发安全操作系统具有 重要意义4.1节
❖ 由于操作系统的应用领域和应用目标不尽相同,人们是如何为操作系 统划分安全等级的?操作系统的基本安全目标和安全功能包含哪些? 4.2.1节
❖ 什么是安全操作系统?它与操作系统安全有什么区别和联系? 4.2.2节
13
计算机系统安全原理与技术(第4版)
4.2.2 安全操作系统概述
❖ 操作系统安全与安全操作系统的含义不尽相同。 ❖ 操作系统安全是指操作系统在基本功能的基础上增加了安
全机制与措施; ❖ 安全操作系统是一种从开始设计时,就充分考虑到系统的
安全性,并且一般满足较高级别的安全需求的操作系统。 ❖ 根据TCSEC,通常称B1级以上的操作系统为安全操作系
• 2)隐蔽信道的发现和处理。
TCSEC要求B2级别以上的计算机系统评估必须包括隐蔽信道的 分析,并且随着评估级别的升高,对隐蔽信道的分析要求也越来 越严格。
9
计算机系统安全原理与技术(第4版)
4.2.1 操作系统安全概述
❖ 3. 操作系统主要安全机制 ▪ (3)存储保护
• 1)内存保护。 • 防止对内存的未授权访问。 • 防止对内存的错误读写,如向只读单元写。 • 防止用户的不当操作破坏内存数据区、程序区或系统区。 • 多道程序环境下,防止不同用户的内存区域互相影响。 • 将用户与内存隔离,不让用户知道数据或程序在内存中的具体
11
计算机系统安全原理与技术(第4版)
4.2.1 操作系统安全概述
❖ 3. 操作系统主要安全机制
▪ (4)文件系统保护机制 文件系统是文件命名、存储和组织的总体结构,是计算机系统和网 络的重要资源。文件系统的安全措施主要有:
导学问题
❖ 操作系统面临哪些安全问题?为什么说研究和开发安全操作系统具有 重要意义4.1节
❖ 由于操作系统的应用领域和应用目标不尽相同,人们是如何为操作系 统划分安全等级的?操作系统的基本安全目标和安全功能包含哪些? 4.2.1节
❖ 什么是安全操作系统?它与操作系统安全有什么区别和联系? 4.2.2节
13
计算机系统安全原理与技术(第4版)
4.2.2 安全操作系统概述
❖ 操作系统安全与安全操作系统的含义不尽相同。 ❖ 操作系统安全是指操作系统在基本功能的基础上增加了安
全机制与措施; ❖ 安全操作系统是一种从开始设计时,就充分考虑到系统的
安全性,并且一般满足较高级别的安全需求的操作系统。 ❖ 根据TCSEC,通常称B1级以上的操作系统为安全操作系
• 2)隐蔽信道的发现和处理。
TCSEC要求B2级别以上的计算机系统评估必须包括隐蔽信道的 分析,并且随着评估级别的升高,对隐蔽信道的分析要求也越来 越严格。
9
计算机系统安全原理与技术(第4版)
4.2.1 操作系统安全概述
❖ 3. 操作系统主要安全机制 ▪ (3)存储保护
• 1)内存保护。 • 防止对内存的未授权访问。 • 防止对内存的错误读写,如向只读单元写。 • 防止用户的不当操作破坏内存数据区、程序区或系统区。 • 多道程序环境下,防止不同用户的内存区域互相影响。 • 将用户与内存隔离,不让用户知道数据或程序在内存中的具体
11
计算机系统安全原理与技术(第4版)
4.2.1 操作系统安全概述
❖ 3. 操作系统主要安全机制
▪ (4)文件系统保护机制 文件系统是文件命名、存储和组织的总体结构,是计算机系统和网 络的重要资源。文件系统的安全措施主要有:
计算机系统安全原理与技术课件第4章第5节
▪ SID是一个48位的字符串,在Windows 10系统中,要想查看当前 登录账户的SID,可以使用管理员身份启动命令提示行窗口,然后 运行“whoami /user”命令。
13
计算机系统安全原理与技术(第4版)
4.5.2 Windows系统登录认证
❖ 3. 登录认证
▪ (1)本地登录认证 • 本地登录指用户登录的是本地计算机,对网络资源不具备访问 权力。 • 本地登录所使用的用户名与口令被存储在本地计算机的安全账 户管理器(SAM)中,由计算机完成本地登录验证,提交登录 凭证包括用户ID与口令。本地计算机的安全子系统将用户ID与 口令送到本地计算机上的SAM数据库中做凭证验证。这里需要 注意的是,Windows的口令不是以纯文本格式存储在SAM数 据库中的,而是将每个口令计算哈希值后进行存储。 • 本地用户登录没有集中统一的安全认证机制。
4.5 Windows系统安全
❖ 4.5.1 Windows安全子系统 ❖ 4.5.2 Windows系统登录认证 ❖ 4.5.3 Windows系统访问控制 ❖ 4.5.4 其他安全机制
1
计算机系统安全原理与技术(第4版)
4.5 Windows系统安全
❖ Windows满足TCSEC中B等级安全性的两个要求:
❖ 2. 安全标识符
▪ Windows并不是根据每个账户的名称来区分账户的,而是使用安 全标识符(Security Identifier,SID)。
▪ 标识某个特定账号或组的SID是在创建该账号或组时由系统的本地 安全授权机构(Local Security Authority,LSA)生成,并与其 他账号信息一起存储在注册的一个安全域里。
▪ LSASS策略数据库也保存一些“秘密”,包括域登录 ( domain logon ) 在 本 地 缓 存 的 信 息 , 以 及 Windows服务的用户—账户登录信息。
13
计算机系统安全原理与技术(第4版)
4.5.2 Windows系统登录认证
❖ 3. 登录认证
▪ (1)本地登录认证 • 本地登录指用户登录的是本地计算机,对网络资源不具备访问 权力。 • 本地登录所使用的用户名与口令被存储在本地计算机的安全账 户管理器(SAM)中,由计算机完成本地登录验证,提交登录 凭证包括用户ID与口令。本地计算机的安全子系统将用户ID与 口令送到本地计算机上的SAM数据库中做凭证验证。这里需要 注意的是,Windows的口令不是以纯文本格式存储在SAM数 据库中的,而是将每个口令计算哈希值后进行存储。 • 本地用户登录没有集中统一的安全认证机制。
4.5 Windows系统安全
❖ 4.5.1 Windows安全子系统 ❖ 4.5.2 Windows系统登录认证 ❖ 4.5.3 Windows系统访问控制 ❖ 4.5.4 其他安全机制
1
计算机系统安全原理与技术(第4版)
4.5 Windows系统安全
❖ Windows满足TCSEC中B等级安全性的两个要求:
❖ 2. 安全标识符
▪ Windows并不是根据每个账户的名称来区分账户的,而是使用安 全标识符(Security Identifier,SID)。
▪ 标识某个特定账号或组的SID是在创建该账号或组时由系统的本地 安全授权机构(Local Security Authority,LSA)生成,并与其 他账号信息一起存储在注册的一个安全域里。
▪ LSASS策略数据库也保存一些“秘密”,包括域登录 ( domain logon ) 在 本 地 缓 存 的 信 息 , 以 及 Windows服务的用户—账户登录信息。
计算机系统安全原理与技术课件第1章
受自然灾害等被破坏的风险 ❖ 计算机系统仍有被渗透控制的威胁 ❖ 计算机中的数据仍有通过移动设备或是隐蔽信道被泄露的
威胁。
16
计算机系统安全原理与技术(第4版)
1.1.2 计算机系统安全与网络空间安全
❖ 2. 从对安全的感性认识理解计算机系统安全 ❖ 很难对什么是安全给出一个完整的定义,但是可以从反面
息系统安全,即计算机系统安全。
11
计算机系统安全原理与技术(第4版)
1.1.2 计算机系统安全与网络空间安全
❖ Safety?Security? ❖ Safety侧重于对无意造成的事故或事件进行安全保护,可
以是加强人员培训,规范操作流程,完善设计等方面的安 全防护工作。 ❖ Security侧重于对人为地有意地破坏进行保障和保护,如 部署安全设备进行防护,加强安全检测等。 ❖ 随着信息系统安全向网络空间安全的发展,我们既要考虑 人为的故意的针对计算机信息系统的渗透和破坏,也要考 虑计算机信息系统的开发人员或使用人员无意的错误。 ❖ 因此,本书不对Security和Safety进行严格区分。
的计算机信息系统, ❖ 可以是一个较小的计算机信息系统,如一台计算机 ❖ 也可以是复杂庞大的信息系统,如一个Web信息系统、云
计算系统、移动智能终端系统、工业控制网络系统以及物 联网系统等。
7
计算机系统安全原理与技术(第4版)
1.1.1 计算机系统与网络空间
❖ 3. 网络空间环境下计算机系统的基本组成 ❖ 网络空间环境下的计算机系统基本组成包括:软硬件支撑
23
计算机系统安全原理与技术(第4版)
1.1.2 计算机系统安全与网络空间安全
❖ 3. 从安全的几大属性理解计算机系统安全 ❖ (2)完整性(Integrity) ❖ 如何确保完整性?
威胁。
16
计算机系统安全原理与技术(第4版)
1.1.2 计算机系统安全与网络空间安全
❖ 2. 从对安全的感性认识理解计算机系统安全 ❖ 很难对什么是安全给出一个完整的定义,但是可以从反面
息系统安全,即计算机系统安全。
11
计算机系统安全原理与技术(第4版)
1.1.2 计算机系统安全与网络空间安全
❖ Safety?Security? ❖ Safety侧重于对无意造成的事故或事件进行安全保护,可
以是加强人员培训,规范操作流程,完善设计等方面的安 全防护工作。 ❖ Security侧重于对人为地有意地破坏进行保障和保护,如 部署安全设备进行防护,加强安全检测等。 ❖ 随着信息系统安全向网络空间安全的发展,我们既要考虑 人为的故意的针对计算机信息系统的渗透和破坏,也要考 虑计算机信息系统的开发人员或使用人员无意的错误。 ❖ 因此,本书不对Security和Safety进行严格区分。
的计算机信息系统, ❖ 可以是一个较小的计算机信息系统,如一台计算机 ❖ 也可以是复杂庞大的信息系统,如一个Web信息系统、云
计算系统、移动智能终端系统、工业控制网络系统以及物 联网系统等。
7
计算机系统安全原理与技术(第4版)
1.1.1 计算机系统与网络空间
❖ 3. 网络空间环境下计算机系统的基本组成 ❖ 网络空间环境下的计算机系统基本组成包括:软硬件支撑
23
计算机系统安全原理与技术(第4版)
1.1.2 计算机系统安全与网络空间安全
❖ 3. 从安全的几大属性理解计算机系统安全 ❖ (2)完整性(Integrity) ❖ 如何确保完整性?
计算机系统安全原理与技术课件第5-6章
❖ 分布式拒绝服务攻击
▪ 攻击者通过入侵大量有安全漏洞的主机或设备并获取 控制权,在多台被入侵的主机上安装攻击程序,然后 利用所控制的这些大量攻击源,同时向目标机发起拒 绝服务攻击,这种攻击称为分布式拒绝服务( Distribute Denial of Service,DDoS)攻击。如 Trinoo、TFN、LOIC、HOIC、XOIC等。
❖ 探测攻击。Nmap、Nessus、Metasploit等。
❖ 嗅探攻击。Wireshark、SnifferPro、Tcpdump等。
❖ 解码类攻击。Mimikatz、L0phtCrack等
❖ 缓冲区溢出攻击。通过往程序的缓冲区写入超出其长度 的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使 程序转而执行其它的指令。缓冲区攻击的目的在于扰乱 某些以特权身份运行的程序的功能,使攻击者获得程序 的控制权。
▪ 包过滤方式是一种通用、廉价和有效的安全手段。
▪ 通用,是因为它不是针对各个具体的网络服务采取特殊 的处理方式,而是适用于所有网络服务;
▪ 廉价,是因为大多数路由器都提供数据包过滤功能,所 以这类防火墙多数是由路由器集成的;
▪ 有效,是因为它能在很大程度上满足绝大多数企业的安 全要求。
22
计算机系统安全原理与技术(第4版)
❖ 除了防火墙和入侵检测系统,还有哪些网络安全防护设备?它们与防火墙和 入侵检测系统,以及它们互相之间有什么区别和联系?5.2.3小节
❖ 围绕安全目标,应当设计什么样的网络架构将不同安全设备配置、部署和很 好地应用起来?5.3节
❖ 针对TCP/IPv4协议各层存在的安全问题,目前有哪些新的安全协议和新的 技术予以解决?5.4节、5.5节
❖ 欺骗攻击。ARP欺骗、DNS欺骗、Web欺骗、电子邮件 欺骗等。
▪ 攻击者通过入侵大量有安全漏洞的主机或设备并获取 控制权,在多台被入侵的主机上安装攻击程序,然后 利用所控制的这些大量攻击源,同时向目标机发起拒 绝服务攻击,这种攻击称为分布式拒绝服务( Distribute Denial of Service,DDoS)攻击。如 Trinoo、TFN、LOIC、HOIC、XOIC等。
❖ 探测攻击。Nmap、Nessus、Metasploit等。
❖ 嗅探攻击。Wireshark、SnifferPro、Tcpdump等。
❖ 解码类攻击。Mimikatz、L0phtCrack等
❖ 缓冲区溢出攻击。通过往程序的缓冲区写入超出其长度 的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使 程序转而执行其它的指令。缓冲区攻击的目的在于扰乱 某些以特权身份运行的程序的功能,使攻击者获得程序 的控制权。
▪ 包过滤方式是一种通用、廉价和有效的安全手段。
▪ 通用,是因为它不是针对各个具体的网络服务采取特殊 的处理方式,而是适用于所有网络服务;
▪ 廉价,是因为大多数路由器都提供数据包过滤功能,所 以这类防火墙多数是由路由器集成的;
▪ 有效,是因为它能在很大程度上满足绝大多数企业的安 全要求。
22
计算机系统安全原理与技术(第4版)
❖ 除了防火墙和入侵检测系统,还有哪些网络安全防护设备?它们与防火墙和 入侵检测系统,以及它们互相之间有什么区别和联系?5.2.3小节
❖ 围绕安全目标,应当设计什么样的网络架构将不同安全设备配置、部署和很 好地应用起来?5.3节
❖ 针对TCP/IPv4协议各层存在的安全问题,目前有哪些新的安全协议和新的 技术予以解决?5.4节、5.5节
❖ 欺骗攻击。ARP欺骗、DNS欺骗、Web欺骗、电子邮件 欺骗等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 在MAC中,对于主体和客体,系统为每个实体指派一个安全级 ,安全级由两部分组成:保密级别(Classification,或叫做敏 感级别或级别)、范畴集(Categories)。
• 在一个系统中实现MAC机制,最主要的是要做到两条:
• 1)对系统中的每一个主体与客体,都要根据总体安全策略与需 求分配一个特殊的安全级别。
• 1)资源提供方必须获取不同用户的真实公钥证书,才能获得公 钥,然后再将密文分别发送给相应的用户,否则无法加密。
• 2)资源提供方需要在加密前获取用户列表,而在分布式环境中 难以一次获取接收群体的规模与成员身份,而且分布式应用列 举用户身份会侵犯用户的隐私。
为了解决上述已有访问控制存在的问题,需要一种新型的更适应 云环境下的访问控制方案。2007年学者提出的基于密文策略属性 加密方法(Ciphertext Policy Attribute-Based Encryption ,CP-ABE)为解决云存储中的访问控制问题提供了新的思路。
▪ 安全性分析
• 这种机制允许用户自主地将自己客体的访问操作权转授给别 的主体,这又成为系统不安全的隐患。权利的多次转授后, 一旦转授给不可信主体,那么该客体的信息就会泄漏。
• 无法抵御特洛伊木马的攻击。 • 还没有一般的方法能够防止木马程序利用共享客体或隐通道
把信息从一个进程传送给另一个进程。
7
计算机系统安全原理与技术(第4版)
17
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 5. 新型访问控制模型 ▪ (2)基于属性的访问控制方案思想
• CP-ABE算法颠覆了传统公私钥加密算法中,明文由公钥加密 后只能由唯一的私钥才能解密的思想。算法中,由数据创建者 利用访问控制策略对数据进行加密,而每个数据访问者均有一 个与自身特质相对应的解密密钥,只要该数据访问者的特质与 访问控制策略相符,那他所拥有的密钥就能进行解密操作。
• 在基于CP-ABE的访问控制方案中,通常选取访问者固有的属性来表 达访问者的特质,如:访问者单位、身份等等,这样的作法使得当访 问者属性发生变化时,如何撤销他的访问权限成了一个较为难以处理 的问题。
▪ 3)安全访问规则
• 用以确定一个主体是否对某个客体拥有某种访问权力。
2
计算机系统安全原理与技术(第4版)
4.4.1 访问控制基本概念
❖ 2. 引用监视器和安全内核
3
计算机系统安全原理与技术(第4版)
4.4.1 访问控制基本概念
❖ 3. 访问控制模型和访问控制方案 ▪ 访问控制模型是规定主体如何访问客体的一种架构, 它使用访问控制技术和安全机制来实现模型的规则和 目标。 ▪ 访问控制模型内置在不同操作系统的内核中,也内置 于一些应用系统中。 ▪ 每个操作系统都有一个实施引用监视器的安全内核, 其实施方式取决于嵌入系统的访问控制模型的类型。 ▪ 对于每个访问尝试来说,在主体与客体进行通信之前 ,安全内核会通过检查访问控制模型的规则来确定是 否允许访问请求。
4.4.2 访问控制模型
❖ 3. 强制访问控制(Mandatory Access Control,MAC)模型
▪ (1)பைடு நூலகம்念
• 最早出现在20世纪70年代。是美国政府和军方源于对信息保密 性的要求以及防止特洛伊木马之类的攻击而研发的。
• 是一种基于安全级标签的访问控制方法,通过分级的安全标签 实现信息从下向上的单向流动,从而防止高密级信息的泄露。
– 权限分离原则。将关键功能分为由两个或多个主体完成, 防止已授权用户进行未授权的修改。
– 要求具有审计能力(Auditing)。
11
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 3. 强制访问控制模型 ▪ (4)其它强制访问控制模型
• 1)Dion模型。 • Dion模型结合BLP模型中保护数据保密性的策略和Biba模型中
• 在RBAC模型中,系统定义各种角色,每种角色可以完成一定 的职能,不同的用户根据其职能和责任被赋予相应的角色,一 旦某个用户成为某角色的成员,则此用户可以完成该角色所具 有的职能。
14
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 4. 基于角色的访问控制 ▪ (3)RBAC核心模型
来进行划分。 • Biba模型规定,信息只能从高完整性的安全等级向低完整性的
安全等级流动,就是要防止低完整性的信息“污染”高完整性 的信息。 • Biba模型只能够实现信息完整性中防止数据被未授权用户修改 这一要求。而对于保护数据不被授权用户越权修改、维护数据 的内部和外部一致性这两项数据完整性要求却无法做到。
• 通常是指包含被访问信息或所需功能的实体。可以是计算机 、数据库、文件、程序、目录等,也可以是比特位、字节、 字、字段、变量、处理器、通信信道、时钟、网络节点等。
• 主体有时也会成为访问或受控的对象,如一个主体可以向另 一个主体授权,一个进程可能控制几个子进程等情况,这时 受控的主体或子进程也是一种客体。
❖ 5. 新型访问控制模型 ▪ (1)基于属性的访问控制方案的产生
• 在大型开放、分布式网络环境下,通常无法确知网络实体的身 份真实性和授权信息,DAC和MAC两种基于资源请求者的身 份做出授权决定的访问控制模型无法在这种环境中应用。
• RBAC属于策略中立型的存取控制模型,既可以实现自主存取 控制策略,又可以实现强制存取控制策略。但是RBAC也无法 实现对未知用户的访问控制和委托授权机制,从而限制了 RBAC在分布式网络环境下的应用。
5
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 1. 访问控制基本模型 ▪ (2)访问控制表 • 按访问控制矩阵的列实施对系统中客体的访问控制 。 • 每个客体都有一张ACL,用于说明可以访问该客体 的主体及其访问权限。 ▪ (3)能力表 • 按访问控制矩阵的行实施对系统中客体的访问控制 。 • 每个主体都有一张能力表,用于说明可以访问的客 体及其访问权限。
• 在基于CP-ABE的访问控制方案中,通常选取访问者固有的属性来表 达访问者的特质,如:访问者单位、身份等等,这样的作法使得当访 问者属性发生变化时,如何撤销他的访问权限成了一个较为难以处理 的问题。
• 因此,在泛在环境中,访问控制仅仅考虑访问者所固有的属性是远远 不够的,还必须将访问者的多种属性,如访问者(Who)、访问时间 (When)、访问地点(Where)、访问设备(Which)加以综合考 虑,才能真正做到对泛在环境中的资源进行访问控制。
4.4 访问控制
❖ 4.4.1 访问控制基本概念 ❖ 4.4.2 访问控制模型
1
计算机系统安全原理与技术(第4版)
4.4.1 访问控制基本概念
❖ 1. 访问控制的三要素
▪ 1)主体(Subject)
• 可以是用户,也可以是其他任何代理用户行为的实体,如设 备、进程、作业和程序。
▪ 2)客体(Object),也可称为目标或对象
4
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 1. 访问控制基本模型 ▪ (1)访问控制矩阵(Access Control Matrix, ACM)
• 基本思想:将所有的访问控制信息存储在一个矩阵中集中管 理。
• 当前的访问控制模型都是在它的基础上建立起来的。
访问控制矩阵的实现存在什么问题?
4.4.2 访问控制模型
❖ 4. 基于角色的访问控制
▪ (1)RBAC的产生
• 传统的DAC模型对于客体使用ACL制定访问控制规则。在配置 ACL时,管理员必须将组织机构的安全策略转换为访问控制规 则。随着系统内客体和用户数量的增多,用户管理和权限管理 的复杂性增加了。同时,对于流动性高的组织,随着人员的流 动,管理员必须频繁地更改某个客体的ACL。这些问题对于 MAC同样存在,这两种访问控制模型不能适应大型系统中数量 庞大用户的访问控制。
19
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 5. 新型访问控制模型
▪ (3)基于属性的访问控制方案分析
• 基于CP-ABE的访问控制方案解决了传统访问控制模型在云环境下无 法有效使用的问题,同时避免了基于公钥基础设施PKI的集中式访问控 制方式的诸多问题,能够确保资源在传输和存储过程中的机密性、完 整性和可用性,保护个人隐私、数据安全和知识产权,同时该方案可 以免去密文访问控制中频繁出现的密钥分发代价,保证了系统的效率 。
6
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 2. 自主访问控制模型 ▪ 概念
• 由客体的属主对自己的客体进行管理,由属主自己决定是否 将自己客体的访问权或部分访问权授予其他主体,这种控制 方式是自主的,称之为自主访问控制(DAC, Discretionary Access Control)。
• 2)当一个主体访问一个客体时,调用强制访问控制机制,比较 主体和客体的安全级别,从而确定是否允许主体访问客体。
8
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 3. 强制访问控制模型 ▪ (2)加强保密性的强制访问控制模型——BLP BLP模型有两条基本的规则:
• 规则1:不能向上读(No-Read-Up),也称为简单安全特性 。如果一个主体的安全级支配客体的安全级,则主体可读客体 ,即主体只能向下读,不能向上读。
16
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 5. 新型访问控制模型
▪ (1)基于属性的访问控制方案的产生
• 基于PKI、PMI的集中式访问控制方式中,用户若要访问资源 服务器上的文件等资源,要先通过认证服务器(CA)获取相应 的数字证书,同时认证服务器必须将授权信息传送给资源服务 器。这里存在两个严重问题:
• 在一个系统中实现MAC机制,最主要的是要做到两条:
• 1)对系统中的每一个主体与客体,都要根据总体安全策略与需 求分配一个特殊的安全级别。
• 1)资源提供方必须获取不同用户的真实公钥证书,才能获得公 钥,然后再将密文分别发送给相应的用户,否则无法加密。
• 2)资源提供方需要在加密前获取用户列表,而在分布式环境中 难以一次获取接收群体的规模与成员身份,而且分布式应用列 举用户身份会侵犯用户的隐私。
为了解决上述已有访问控制存在的问题,需要一种新型的更适应 云环境下的访问控制方案。2007年学者提出的基于密文策略属性 加密方法(Ciphertext Policy Attribute-Based Encryption ,CP-ABE)为解决云存储中的访问控制问题提供了新的思路。
▪ 安全性分析
• 这种机制允许用户自主地将自己客体的访问操作权转授给别 的主体,这又成为系统不安全的隐患。权利的多次转授后, 一旦转授给不可信主体,那么该客体的信息就会泄漏。
• 无法抵御特洛伊木马的攻击。 • 还没有一般的方法能够防止木马程序利用共享客体或隐通道
把信息从一个进程传送给另一个进程。
7
计算机系统安全原理与技术(第4版)
17
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 5. 新型访问控制模型 ▪ (2)基于属性的访问控制方案思想
• CP-ABE算法颠覆了传统公私钥加密算法中,明文由公钥加密 后只能由唯一的私钥才能解密的思想。算法中,由数据创建者 利用访问控制策略对数据进行加密,而每个数据访问者均有一 个与自身特质相对应的解密密钥,只要该数据访问者的特质与 访问控制策略相符,那他所拥有的密钥就能进行解密操作。
• 在基于CP-ABE的访问控制方案中,通常选取访问者固有的属性来表 达访问者的特质,如:访问者单位、身份等等,这样的作法使得当访 问者属性发生变化时,如何撤销他的访问权限成了一个较为难以处理 的问题。
▪ 3)安全访问规则
• 用以确定一个主体是否对某个客体拥有某种访问权力。
2
计算机系统安全原理与技术(第4版)
4.4.1 访问控制基本概念
❖ 2. 引用监视器和安全内核
3
计算机系统安全原理与技术(第4版)
4.4.1 访问控制基本概念
❖ 3. 访问控制模型和访问控制方案 ▪ 访问控制模型是规定主体如何访问客体的一种架构, 它使用访问控制技术和安全机制来实现模型的规则和 目标。 ▪ 访问控制模型内置在不同操作系统的内核中,也内置 于一些应用系统中。 ▪ 每个操作系统都有一个实施引用监视器的安全内核, 其实施方式取决于嵌入系统的访问控制模型的类型。 ▪ 对于每个访问尝试来说,在主体与客体进行通信之前 ,安全内核会通过检查访问控制模型的规则来确定是 否允许访问请求。
4.4.2 访问控制模型
❖ 3. 强制访问控制(Mandatory Access Control,MAC)模型
▪ (1)பைடு நூலகம்念
• 最早出现在20世纪70年代。是美国政府和军方源于对信息保密 性的要求以及防止特洛伊木马之类的攻击而研发的。
• 是一种基于安全级标签的访问控制方法,通过分级的安全标签 实现信息从下向上的单向流动,从而防止高密级信息的泄露。
– 权限分离原则。将关键功能分为由两个或多个主体完成, 防止已授权用户进行未授权的修改。
– 要求具有审计能力(Auditing)。
11
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 3. 强制访问控制模型 ▪ (4)其它强制访问控制模型
• 1)Dion模型。 • Dion模型结合BLP模型中保护数据保密性的策略和Biba模型中
• 在RBAC模型中,系统定义各种角色,每种角色可以完成一定 的职能,不同的用户根据其职能和责任被赋予相应的角色,一 旦某个用户成为某角色的成员,则此用户可以完成该角色所具 有的职能。
14
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 4. 基于角色的访问控制 ▪ (3)RBAC核心模型
来进行划分。 • Biba模型规定,信息只能从高完整性的安全等级向低完整性的
安全等级流动,就是要防止低完整性的信息“污染”高完整性 的信息。 • Biba模型只能够实现信息完整性中防止数据被未授权用户修改 这一要求。而对于保护数据不被授权用户越权修改、维护数据 的内部和外部一致性这两项数据完整性要求却无法做到。
• 通常是指包含被访问信息或所需功能的实体。可以是计算机 、数据库、文件、程序、目录等,也可以是比特位、字节、 字、字段、变量、处理器、通信信道、时钟、网络节点等。
• 主体有时也会成为访问或受控的对象,如一个主体可以向另 一个主体授权,一个进程可能控制几个子进程等情况,这时 受控的主体或子进程也是一种客体。
❖ 5. 新型访问控制模型 ▪ (1)基于属性的访问控制方案的产生
• 在大型开放、分布式网络环境下,通常无法确知网络实体的身 份真实性和授权信息,DAC和MAC两种基于资源请求者的身 份做出授权决定的访问控制模型无法在这种环境中应用。
• RBAC属于策略中立型的存取控制模型,既可以实现自主存取 控制策略,又可以实现强制存取控制策略。但是RBAC也无法 实现对未知用户的访问控制和委托授权机制,从而限制了 RBAC在分布式网络环境下的应用。
5
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 1. 访问控制基本模型 ▪ (2)访问控制表 • 按访问控制矩阵的列实施对系统中客体的访问控制 。 • 每个客体都有一张ACL,用于说明可以访问该客体 的主体及其访问权限。 ▪ (3)能力表 • 按访问控制矩阵的行实施对系统中客体的访问控制 。 • 每个主体都有一张能力表,用于说明可以访问的客 体及其访问权限。
• 在基于CP-ABE的访问控制方案中,通常选取访问者固有的属性来表 达访问者的特质,如:访问者单位、身份等等,这样的作法使得当访 问者属性发生变化时,如何撤销他的访问权限成了一个较为难以处理 的问题。
• 因此,在泛在环境中,访问控制仅仅考虑访问者所固有的属性是远远 不够的,还必须将访问者的多种属性,如访问者(Who)、访问时间 (When)、访问地点(Where)、访问设备(Which)加以综合考 虑,才能真正做到对泛在环境中的资源进行访问控制。
4.4 访问控制
❖ 4.4.1 访问控制基本概念 ❖ 4.4.2 访问控制模型
1
计算机系统安全原理与技术(第4版)
4.4.1 访问控制基本概念
❖ 1. 访问控制的三要素
▪ 1)主体(Subject)
• 可以是用户,也可以是其他任何代理用户行为的实体,如设 备、进程、作业和程序。
▪ 2)客体(Object),也可称为目标或对象
4
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 1. 访问控制基本模型 ▪ (1)访问控制矩阵(Access Control Matrix, ACM)
• 基本思想:将所有的访问控制信息存储在一个矩阵中集中管 理。
• 当前的访问控制模型都是在它的基础上建立起来的。
访问控制矩阵的实现存在什么问题?
4.4.2 访问控制模型
❖ 4. 基于角色的访问控制
▪ (1)RBAC的产生
• 传统的DAC模型对于客体使用ACL制定访问控制规则。在配置 ACL时,管理员必须将组织机构的安全策略转换为访问控制规 则。随着系统内客体和用户数量的增多,用户管理和权限管理 的复杂性增加了。同时,对于流动性高的组织,随着人员的流 动,管理员必须频繁地更改某个客体的ACL。这些问题对于 MAC同样存在,这两种访问控制模型不能适应大型系统中数量 庞大用户的访问控制。
19
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 5. 新型访问控制模型
▪ (3)基于属性的访问控制方案分析
• 基于CP-ABE的访问控制方案解决了传统访问控制模型在云环境下无 法有效使用的问题,同时避免了基于公钥基础设施PKI的集中式访问控 制方式的诸多问题,能够确保资源在传输和存储过程中的机密性、完 整性和可用性,保护个人隐私、数据安全和知识产权,同时该方案可 以免去密文访问控制中频繁出现的密钥分发代价,保证了系统的效率 。
6
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 2. 自主访问控制模型 ▪ 概念
• 由客体的属主对自己的客体进行管理,由属主自己决定是否 将自己客体的访问权或部分访问权授予其他主体,这种控制 方式是自主的,称之为自主访问控制(DAC, Discretionary Access Control)。
• 2)当一个主体访问一个客体时,调用强制访问控制机制,比较 主体和客体的安全级别,从而确定是否允许主体访问客体。
8
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 3. 强制访问控制模型 ▪ (2)加强保密性的强制访问控制模型——BLP BLP模型有两条基本的规则:
• 规则1:不能向上读(No-Read-Up),也称为简单安全特性 。如果一个主体的安全级支配客体的安全级,则主体可读客体 ,即主体只能向下读,不能向上读。
16
计算机系统安全原理与技术(第4版)
4.4.2 访问控制模型
❖ 5. 新型访问控制模型
▪ (1)基于属性的访问控制方案的产生
• 基于PKI、PMI的集中式访问控制方式中,用户若要访问资源 服务器上的文件等资源,要先通过认证服务器(CA)获取相应 的数字证书,同时认证服务器必须将授权信息传送给资源服务 器。这里存在两个严重问题: