課件15：第6-45節(jié)自主與強制訪問控制

1、6.4 自主訪問控制 與 強制訪問控制 1主體與客體主體：通常指用戶，或代表用戶意圖運行進程或設(shè)備。主體是訪問操作的主動發(fā)起者，它是系統(tǒng)中信息流的啟動者，可以使信息流在實體之間流動?？腕w：通常是指信息的載體或從其他主體或客體接收信息的實體。2主體有時也會成為訪問或受控的對象，如一個主體可以向另一個主體授權(quán)，一個進程可能控制幾個子進程等情況，這時受控的主體或子進程也是一種客體。 客體不受它們所依存的系統(tǒng)的限制，可以包括記錄、數(shù)據(jù)塊、存儲頁、存儲段、文件、目錄、目錄樹、庫表、郵箱、消息、程序等，還可以包括比特位、字節(jié)、字、字段、變量、處理器、通信信道、時鐘、網(wǎng)絡(luò)結(jié)點等。3對客體的管理與控制策略管理

2、的方式不同就形成不同的訪問控制方式。一種方式是由客體的屬主對自己的客體進行管理，由屬主自己決定是否將自己客體的訪問權(quán)或部分訪問權(quán)授予其他主體，這種控制方式是自主的，我們把它稱為自主訪問控制（Discretionary Access ControlDAC）。在自主訪問控制下，一個用戶可以自主選擇哪些用戶可以共享他的文件。 4 另一種方式是強制訪問控制（Mandatory Access ControlMAC），在強制訪問控制下，用戶（或其他主體）與文件（或其他客體）都被標記了固定的安全屬性（如安全級、訪問權(quán)限等），在每次訪問發(fā)生時，系統(tǒng)檢測安全屬性以便確定一個用戶是否有權(quán)訪問該文件。 5 如果系統(tǒng)

3、認定具有某一安全屬性的用戶無權(quán)訪問某個文件，那么任何人（包括文件主在內(nèi)）都無法使該用戶能夠訪問該文件，除非對總體安全策略進行修改。這些安全屬性是系統(tǒng)管理員根據(jù)系統(tǒng)總體安全策略與需求分配的，用戶或他的程序是不能修改這些安全屬性的，即使文件是屬于用戶自己的也不行。 6對于通用型商業(yè)操作系統(tǒng)，DAC是一種最普遍采用的訪問控制手段。需要由自主訪問控制方式保護的客體數(shù)量取決于系統(tǒng)想要的環(huán)境。幾乎所有系統(tǒng)的DAC機制中都包括對文件、目錄、通信信道以及設(shè)備的訪問控制。如果通用操作系統(tǒng)希望為用戶提供較完備的和友好的DAC接口，那么在系統(tǒng)中還應(yīng)該包括對郵箱、消息、I/O設(shè)備等客體提供自主訪問控制保護。 76.4

4、.1 DAC的實現(xiàn)機制 訪問控制矩陣是實現(xiàn)DAC策略的基本數(shù)據(jù)結(jié)構(gòu)，矩陣的每一行代表一個主體，每一列代表一個客體，行列交叉處的矩陣元素中存放著該主體訪問該客體的權(quán)限。矩陣通常是巨大的稀疏矩陣，必須采用某種適當形式存放在系統(tǒng)中，完整地存儲整個矩陣將浪費系統(tǒng)許多存儲空間。一般的解決方法是按矩陣的行或列存儲訪問控制信息的。 8O1O2O3O4O5S1S2S3S4S1rworwxrrcS2rwcS3rrwrwcS4rwrrwxrwxo訪問控制矩陣示意9一、 基于行的訪問控制機制 這種機制是把每個主體對所在行上的有關(guān)客體（即非空矩陣元素所對應(yīng)的那些客體）的訪問控制信息以表的形式附加給該主體，根據(jù)表中的內(nèi)

5、容不同又分為不同的具體實現(xiàn)機制。 101、權(quán)限表機制 權(quán)限表中存放著主體可訪問的每個客體的權(quán)限（如讀、寫、執(zhí)行等），主體只能按賦予的權(quán)限訪問客體。程序中可以包含權(quán)限，權(quán)限也可以存儲在數(shù)據(jù)文件中。為了防止權(quán)利信息被非法修改，可以采用硬件、軟件和加密措施。由于允許主體把自己的權(quán)利轉(zhuǎn)授給其他進程，或從其他進程收回訪問權(quán)，權(quán)限表機制是動態(tài)實現(xiàn)的，所以，對一個程序而言，最好能夠把該程序所需訪問的客體限制在較小的范圍內(nèi)。 11由于權(quán)限表體現(xiàn)的是訪問矩陣中單行的信息，所以對某個特定客體而言，一般情況下很難確定所有能夠訪問它的所有主體，因此，利用訪問權(quán)限表不能實現(xiàn)完備的自主訪問控制。因此實際利用權(quán)限表實現(xiàn)自主

6、訪問控制的系統(tǒng)并不多。 122、前綴表（profiles）機制 前綴表中存放著主體可訪問的每個客體的名字和訪問權(quán)。當主體要訪問某個客體時，系統(tǒng)將檢查該主體的前綴中是否具有它所請求的訪問權(quán)。前綴表機制的實現(xiàn)存在以下困難需要解決： 13前綴表機制的實現(xiàn)存在以下困難需要解決： 主體的前綴表可能很大，增加了系統(tǒng)管理的困難。 2、只能由系統(tǒng)管理員進行修改。這種管理方法有些超出了DAC原則。3、撤消與刪除困難。要系統(tǒng)回答“誰對某一客體具有訪問權(quán)”這樣的問題比較困難。但這個問題在安全系統(tǒng)中卻是很重要的。 143、口令（password）機制 每個客體相應(yīng)地有一個口令。當主體請求訪問一個客體時，必須向系統(tǒng)提供

7、該客體的口令。 請注意，這里講的口令與用戶登錄進入系統(tǒng)時回答的口令不是一回事。 為了安全性起見，一個客體至少要有兩個口令，一個用于控制讀，一個用于控制寫。利用口令機制對客體實施的訪問控制是比較麻煩的和脆弱的 15口令機制的缺陷1、系統(tǒng)不知誰訪問了客體。對客體訪問的口令是手工分發(fā)的，不需要系統(tǒng)參與 2、安全性脆弱。需要把該客體的口令寫在程序中，這樣很容易造成口令的泄露。 3、使用不方便。每個用戶需要記憶許多需要訪問的客體的口令，很不友好。 4、管理麻煩。撤消某用戶對某客體的訪問權(quán)，只能改變該客體的口令，必須通知新口令給其他用戶。 16二、 基于列的訪問控制機制 這種機制是把每個客體被所在列上的有

8、關(guān)主體（即非空矩陣元素所對應(yīng)的那些行上的主體）訪問的控制信息以表的形式附加給該客體，然后依此進行訪問控制。它有兩種實現(xiàn)形式：保護位方式和訪問控制表（ACL）方式， 171、保護位機制 保護位對所有主體、主體組以及該客體的擁有者指定了一個訪問權(quán)限的集合，UNIX中利用了這種機制。 在保護位中包含了主體組的名字和擁有者的名字。保護位機制中不包含可訪問該客體的各個主體的名字 由于保護位的長度有限，用這種機制完全表示訪問矩陣實際上是不可能的。18二、訪問控制表（ACL）機制 在這種機制中，每個客體附帶了訪問矩陣中可訪問它自己的所有主體的訪問權(quán)限信息表（即ACL表）。該表中的每一項包括主體的身份和對該客

9、體的訪問權(quán)。如果利用組或通配符的概念，可以使ACL表縮短。 ACL方式是實現(xiàn)DAC策略的最好方法。 19圖6-7 ACL表的一般結(jié)構(gòu)id1. RW id2. RE id3. R idn. E客體i20解決ACL表的長度問題解決的辦法是設(shè)法縮短ACL表的長度，采用分組與通配符的方法有助于達到該目的。一般而言，一個單位內(nèi)部工作內(nèi)容相同的人需要涉及的客體大部分是相同的，把他們分在一個組內(nèi)作為一個主體對待，可以顯著減少系統(tǒng)中主體的數(shù)目。再利用通配符手段加快匹配速度，同時也能簡化ACL表的內(nèi)容。通配符用“*”表示，可以代表任意組名或主體標識符。 21從該ACL表可以看出，屬于math組的所有成員對客體F

10、ILE1都具有讀與執(zhí)行權(quán)；只有l(wèi)iwen 這個人對FILE1有讀、寫與執(zhí)行的訪問權(quán)限。任何組的用戶zhang對FILE1只有讀訪問權(quán)，除此以外，對于其他任何組的任何主體對FILE1都沒有任何訪問權(quán)限。 Liwen.math. REW .math.RE zhang. . R . . null 客體FILE122三、 面向過程的訪問控制 面向過程的訪問控制是指在主體訪問客體的過程中對主體的訪問操作進行監(jiān)視與限制。例如，對于只有讀權(quán)的主體，就要控制它不能對客體進行修改。要實現(xiàn)面向過程的訪問控制就要建立一個對客體訪問進行控制的過程，該過程能夠自己進行用戶認證，以此加強操作系統(tǒng)的基本認證能力。 23 該

11、訪問控制過程實際上是為被保護的客體建立一個保護層，它對外提供一個可信賴的接口，所有對客體的訪問都必須通過這個接口才能完成。例如，操作系統(tǒng)中用戶的賬戶信息（其中包含用戶口令）是系統(tǒng)安全的核心文檔，對該客體既不允許用戶訪問，也不允許一般的操作系統(tǒng)進程訪問，只允許對用戶賬戶表進行增加、刪除與核查三個進程對這個敏感性的客體訪問。 24 特別是增加與刪除用戶這兩個進程內(nèi)部包含檢驗功能，可以檢查調(diào)用者（即主體）是否有權(quán)進行這種操作。面向?qū)ο蠹夹g(shù)與抽象數(shù)據(jù)類型都要求數(shù)據(jù)隱蔽功能，即數(shù)據(jù)隱藏在模塊內(nèi)部，這些數(shù)據(jù)中有的局部于模塊內(nèi)，外界永遠不得訪問；有的雖然允許外界訪問，但必須通過模塊接口才能完成。面向過程的保

12、護機制可以實現(xiàn)這種信息隱蔽要求，但要付出執(zhí)行效率的代價 25 有的系統(tǒng)中實現(xiàn)的保護子系統(tǒng)機制就是面向過程的訪問控制的典型例子。一個保護子系統(tǒng)可以看作是由一個過程集合和受保護的數(shù)據(jù)客體組成的，這些成分都包含在該子系統(tǒng)的私有域中。只有保護子系統(tǒng)中的過程可以對子系統(tǒng)中的數(shù)據(jù)客體進行訪問操作，子系統(tǒng)外只有被指定的主體可以在指定的入口點調(diào)用子系統(tǒng)中的過程。 26 在子系統(tǒng)中的數(shù)據(jù)文件是受保護的對象，子系統(tǒng)中的過程是用來管理受保護對象的，并按用戶要求實施對這些客體的訪問控制。外部進程只能通過調(diào)用管理程序?qū)ψ酉到y(tǒng)內(nèi)部的客體進行訪問操作。 27 可以利用多個保護子系統(tǒng)來完成某項作業(yè)，這就有可能出現(xiàn)這些子系統(tǒng)互

13、相調(diào)用對方內(nèi)部過程的情況。為了防止調(diào)用了不可信程序而對子系統(tǒng)內(nèi)部的客體造成破壞，各個子系統(tǒng)內(nèi)部都應(yīng)該按互相猜疑策略進行防范。這一點已經(jīng)在第3章已討論過。 28四、 訪問許可權(quán)與訪問操作權(quán) 在DAC策略下，訪問許可（access permission）權(quán)和訪問操作權(quán)是兩個有區(qū)別的概念。訪問操作表示有權(quán)對客體進行的一些具體操作，如讀、寫、執(zhí)行等；訪問許可則表示可以改變訪問權(quán)限的能力或把這種能力轉(zhuǎn)授給其他主體的能力。對某客體具有訪問許可權(quán)的主體可以改變該客體的ACL表，并可以把這種權(quán)利轉(zhuǎn)授給其他主體。 29在DAC模式下，有3種控制許可權(quán)手段：1、層次型的（hierarchical）文件的控制關(guān)系一

14、般都呈樹型的層次結(jié)構(gòu)，系統(tǒng)管理員可修改所有文件的ACL表，文件主可以修改自己文件的ACL表。 層次型的優(yōu)點是可以通過選擇可信的人擔任各級權(quán)限管理員， 缺點是一個客體可能會有多個主體對它具有控制權(quán)，發(fā)生問題后存在一個責任問題。 302、屬主型的（owner） 該類型的訪問權(quán)控制方式是為每一個客體設(shè)置擁有者，一般情況下客體的創(chuàng)建者就是該客體的擁有者。擁有者是唯一可以修改自己客體的ACL表的主體，也可以對其他主體授予或撤消對自己客體的訪問操作權(quán)。擁有者擁有對自己客體的全部控制權(quán)，但無權(quán)將該控制權(quán)轉(zhuǎn)授給其他主體。 31屬主型控制方式的安全性屬主型控制方式的優(yōu)點是修改權(quán)限的責任明確，由于擁有者最關(guān)心自己

15、客體的安全，他不會隨意把訪問權(quán)轉(zhuǎn)授給不可信的主體，因此這種方式有利于系統(tǒng)的安全性。 如果主體（用戶）被調(diào)離他處或死亡，系統(tǒng)需要利用某種特權(quán)機制來刪除該主體擁有的客體。 323、自由型的（laissez-faire） 在該類型的訪問權(quán)控制方案中，客體的擁有者（創(chuàng)建者）可以把對自己客體的許可權(quán)轉(zhuǎn)授給其他主體，并且也可以使其他主體擁有這種轉(zhuǎn)授權(quán)，而且這種轉(zhuǎn)授能力不受創(chuàng)建者自己的控制。 但由于這種許可權(quán)（修改權(quán)）可能會被轉(zhuǎn)授給不可信的主體，因此這種對訪問權(quán)修改的控制方式是很不安全的。 33DAC機制的缺陷允許用戶自主地轉(zhuǎn)授訪問權(quán)，這是系統(tǒng)不安全的隱患。 系統(tǒng)無法區(qū)分是用戶合法的修改還是木馬程序的非法修

16、改； 無法防止木馬程序利用共享客體或隱蔽信道傳送信息。 無法解決因用戶無意（如程序錯誤、某些誤操作等）或不負責任的操作而造成的敏感信息的泄漏問題。34五、實現(xiàn)DAC的實例 VAX/VMS曾經(jīng)是非常典型的小型機操作系統(tǒng)，其中采用的支持DAC的文件系統(tǒng)的保護機制是一種很有效的文件安全的保護方法，在許多操作系統(tǒng)中廣泛地應(yīng)用。 35 VAX/VMS提供了兩種基本的文件保護機制，一是基于用戶識別碼（UICUser Identification Code）的標準保護機制，簡稱UIC保護機制；另一種是基于訪問控制表ACL的保護機制。在VAX/VMS系統(tǒng)中，文件用戶被劃分為系統(tǒng)（system）類、擁有者（ow

17、nner）類、用戶組（group）類和所有（world）類等四類，world類包括了前三類的用戶。 36 系統(tǒng)在用戶的授權(quán)文件UAF（User Authorize File）中為每一個用戶定義一個UIC，UIC由組號與成員號組成，其形式為group, member。對系統(tǒng)中的每一個客體也定義UIC和一個保護碼，客體的UIC與其擁有者的UIC相同，保護碼則表明允許哪些用戶類對客體進行訪問，以及進行何類訪問。 37 下面是一個保護碼的示例： SYSTEM:rwec，OWNER:rwed，GROUP:re，WORLD:e其中r表示讀，w表示寫，e表示執(zhí)行，d表示刪除。 38 當用戶請求對客體進行訪問

18、時，在ACL表中沒有直接為該用戶分配訪問權(quán)的情況下，系統(tǒng)就要利用UIC機制對此次訪問進行判決。在判決時把用戶確定為上述4個用戶類中的某一類，然后在根據(jù)被訪問客體上的保護碼中對該類用戶分配的權(quán)限來決定是否允許該用戶進行此次訪問和采用何種操作方式。 39 在VAX/VMS系統(tǒng)中按以下步驟控制用戶對文件的每一次訪問的：1、首先檢查文件是否帶有訪問控制表ACL，如果有，系統(tǒng)就按ACL表控制用戶對該文件的訪問。 40 2、如果ACL表中沒有直接允許或拒絕該用戶對該客體進行訪問，那么系統(tǒng)就轉(zhuǎn)而根據(jù)UIC機制來判決是否允許本次用戶的訪問。特別是如果ACL表直接拒絕了用戶的訪問請求，那么系統(tǒng)就僅根據(jù)UIC機制

19、中的system與owner域來進一步判斷是否允許用戶的本次訪問。 41 3、如果被訪問的客體沒有ACL表，系統(tǒng)就直接基于UIC的保護機制判決是否允許用戶本次的訪問。4、對于擁有某些系統(tǒng)特權(quán)的用戶可以不受ACL與UIC機制的限制而獲得對客體的訪問權(quán)。這些特權(quán)包括GRPPRV（組特權(quán)）、SYSPRV（系統(tǒng)特權(quán)）、READALL（讀特權(quán)）以及BYPASS（全權(quán)）等特權(quán)。 426.4.2 MAC的實現(xiàn)機制 DAC的缺點：由于這種機制允許用戶自主地將自己客體的訪問操作權(quán)轉(zhuǎn)授給別的主體，這又成為系統(tǒng)不安全的隱患。權(quán)利的多次轉(zhuǎn)授后，一旦轉(zhuǎn)授給不可信主體，那么該客體的信息就會泄漏。 43 DAC機制第二個主

20、要缺點是無法抵御特洛伊木馬的攻擊。在DAC機制下，某一合法的用戶可以任意運行一段程序來修改自己文件的訪問控制信息，系統(tǒng)無法區(qū)分這是用戶合法的修改還是木馬程序的非法修改； 44 DAC機制的第三個主要缺點是，還沒有一般的方法能夠防止木馬程序利用共享客體或隱蔽信道把信息從一個進程傳送給另一個進程。另外，如果因用戶無意（如程序錯誤、某些誤操作等）或不負責任的操作而造成的敏感信息的泄漏問題，在DAC機制下也無法解決。 45一、 MAC機制的實現(xiàn)方法 最主要的是要做到兩條 ：第一是訪問控制策略要符合MAC的原則 ，把這些權(quán)利交給全系統(tǒng)權(quán)利最高和最受信任的安全管理員。第二是對系統(tǒng)中的每一個主體與客體都要加

21、安全標記，使它和主體或客體緊密相連而無法分開。 46在MAC機制下，創(chuàng)建客體是受嚴格控制的，這樣就可以阻止某個進程通過創(chuàng)建共享文件的方式向其他進程傳遞信息。用戶為某個目的運行的程序，由于他不能修改他自己及其他任何客體的安全屬性，因此，即使用戶程序中或系統(tǒng)中包含惡意程序（如特洛伊木馬），也很難獲取與用戶程序無關(guān)的客體的敏感信息。但，無法防范用戶自己用非計算機手段將自己有權(quán)閱讀的文件泄漏出去 47在高安全級（B級及以上）的計算機系統(tǒng)中同時實現(xiàn)MAC機制與DAC機制，是在DAC機制的基礎(chǔ)上增加更強的訪問控制以達到強制訪問控制的目的。在DAC機制下系統(tǒng)是用訪問矩陣（或其變種）形式描述主體與客體之間的訪

22、問控制關(guān)系，MAC對訪問矩陣的修改增加了嚴格的限制，并按MAC的策略要求對訪問矩陣實施管理與控制。 48主體必須首先通過DAC和MAC的控制檢查后，得到允許后方能訪問某個客體?？腕w受到了雙重保護，DAC可以防范未經(jīng)允許的用戶對客體的攻擊，而MAC不允許隨意修改主體、客體的安全屬性，提供了一個不可逾越的保護層，因而又可以防范任意用戶隨意濫用DAC機制轉(zhuǎn)授訪問權(quán)。 49木馬竊取敏感文件的方法 一是通過修改敏感文件的安全屬性（如敏感級別、訪問權(quán)等）來獲取敏感信息。 另一種方法是躲在用戶程序中的木馬利用合法用戶讀敏感文件的機會，把所訪問文件的內(nèi)容拷貝到入侵者的臨時目錄下，條件是系統(tǒng)因疏漏允許入侵者建立

23、一個可讀文件即可。為了防止這種形式的木馬攻擊，系統(tǒng)除了要嚴格控制主體建目錄的權(quán)限外，還要限制郵箱功能與交互進程的信息交換。 50強制訪問控制機制比較適合專用目的的計算機系統(tǒng)，如軍用計算機系統(tǒng)。因此從B1等級的計算機系統(tǒng)才開始實施這種機制，B2級計算機系統(tǒng)實現(xiàn)更強的MAC控制。但對于通用型操作系統(tǒng)，從對用戶友好性出發(fā)，一般還是以DAC機制為主，適當增加MAC控制，在這種情況下防范木馬攻擊的難度增加了。目前流行的操作系統(tǒng)（如Unix系統(tǒng)、LINUX、WIN2000）就是屬于這種情況。 51二、 支持MAC的措施 1、防止惡意程序從外部進入系統(tǒng)。惡意程序從外部進入系統(tǒng)有兩種渠道，一是通過軟盤、光盤或

24、網(wǎng)絡(luò)下載等方式，由用戶自己“主動地”把未被認證是“純凈”的軟件裝入到系統(tǒng)中。二是利用系統(tǒng)存在的漏洞，通過網(wǎng)絡(luò)攻擊等手段把木馬類程序裝入系統(tǒng)。 用戶對自己還要加強過程性控制，防止使用別人的木馬程序或讓木馬進入自己的控制目錄 522、消除利用系統(tǒng)自身的支持而產(chǎn)生木馬的可能性。 在MAC機制下，由于系統(tǒng)中有很強的訪問控制措施，外來的木馬很難順利工作與達到目的。但是，如果內(nèi)部某個有不良意圖的合法用戶利用自己的權(quán)限在系統(tǒng)編程工具的支持下，編寫藏有木馬的程序，并使它在系統(tǒng)中合法的運行，這種情況下木馬很難防范。 53為了防止這類情況的發(fā)生，最簡單的方法是去掉系統(tǒng)提供的各種編程工具與開發(fā)環(huán)境，其中包括編譯器、

25、解釋器、匯編程序以及各種開發(fā)工具包等。 在網(wǎng)絡(luò)環(huán)境下禁止系統(tǒng)編程能力不能只考慮單機系統(tǒng)，需要防止木馬可能通過網(wǎng)絡(luò)接口從另一個有編程能力的計算機系統(tǒng)裝入本地計算機系統(tǒng)。這對于內(nèi)部專用網(wǎng)（如軍隊指揮網(wǎng)，銀行事務(wù)處理系統(tǒng)等）是可行的。 54三、 實現(xiàn)MAC的一些實例 1、Multics方案Multics文件系統(tǒng)結(jié)構(gòu)也是樹型結(jié)構(gòu)。每一個目錄和文件都有一個安全級，每個用戶也都有一個安全級。用戶對文件的訪問遵從以下強制訪問控制安全策略： （1）僅當用戶的安全級不低于文件的安全級時，用戶才能讀該文件；（2）僅當用戶的安全級不高于文件的安全級時，用戶才能寫該文件。 55 第一條策略限制低級別用戶不允許去讀高級

26、別的文件，第二條策略不允許高級別用戶向低級別文件寫入數(shù)據(jù)，以免泄露信息，原因是高安全級用戶可能閱讀過高安全級的信息。文件的創(chuàng)建與刪除都被當作對文件所在目錄的寫操作，因而受到上述第二條規(guī)則的約束，用戶的安全級不能高于該文件所在的目錄。這種方案中對文件的創(chuàng)建與刪除的控制與unix文件系統(tǒng)的管理是不兼容的。 56 在unix系統(tǒng)中有一個專門的共享/TMP目錄用于存放臨時文件，為了能夠讓用戶可以閱讀/TMP目錄下的文件，用戶的安全級不能低于/TMP目錄的安全級。但在Multics方案中，這種情況下是不允許用戶在/TMP目錄下創(chuàng)建與刪除文件的。只有當用戶的安全級與/TMP目錄的安全級相同時，用戶才能既在

27、/TMP目錄中閱讀文件和進行創(chuàng)建與刪除文件的操作。 572、Linus IV方案 Linus IV文件系統(tǒng)的訪問控制方案基本與Multics的一樣。為了解決文件的創(chuàng)建與刪除所帶來的不兼容問題，特意引入了一種隔離目錄（partitioned directory）的新機制。系統(tǒng)允許任何安全級別的用戶在其中創(chuàng)建與刪除文件。在隔離目錄內(nèi)，為了解決各個用戶子目錄內(nèi)容的保密問題，系統(tǒng)根據(jù)用戶的要求動態(tài)地建立子目錄，它們是隱蔽存放的，并且各有一個唯一的安全級。 58 每個用戶只能看到與自己安全級相同的子目錄內(nèi)容，其他子目錄是不可見的，這實際等價于隔離目錄的安全級與用戶的安全級是相同的。隔離目錄雖然方便了各個

28、用戶創(chuàng)建與刪除文件的操作，但為系統(tǒng)管理這些隱蔽子目錄增加了困難，對于可訪問所有子目錄的特權(quán)進程必須具有一個特殊接口。 593、安全xenix方案 該方案中對文件系統(tǒng)的強制訪問控制機制類似于Linus IV，它也支持隔離目錄機制，此外，該目錄還有一個特殊的通配安全級，該安全級與所有用戶的安全級都相符。這種目錄一般用于虛擬偽設(shè)備/dev/null這樣的文件，這種文件對所有用戶都是可訪問的。 60 但在安全xenix方案中對寫操作的控制更嚴格。它要求僅當用戶的安全級與文件的安全級相同時，才允許該用戶對該文件進行寫操作。根據(jù)這個規(guī)定，當用戶在某個目錄下創(chuàng)建與刪除文件時，只有當用戶的安全級與該目錄的安全

29、級相同時，才能進行這些操作。 61 當用戶生成一個文件時，該文件的安全級就與用戶的安全級相同。在生成一個目錄時，目錄的安全級按以下方式處理：所生成的目錄名是按它的父目錄的安全級分類的，但目錄本身的安全級可以高于其父目錄的安全級。如果一個目錄的安全級高于其父目錄，則稱該目錄為升級目錄。 62 使用升級目錄有點麻煩，一個用戶若要使用升級目錄，則需要先退出系統(tǒng)，然后再以升級目錄的安全級重新注冊進入系統(tǒng)。如果用戶想刪除升級目錄，用戶首先應(yīng)該刪除該目錄下的所有文件，然后再以該升級目錄的父目錄的安全級注冊進入系統(tǒng)，才能把該升級目錄的刪除掉。 634、Tim Thomas方案 該方案主要是為了解決安全xen

30、ix方案中升級目錄所引起的使用不方便，即解決在已經(jīng)登錄進入系統(tǒng)的情況下，如要進入升級目錄還要先退出系統(tǒng)，再重新用新安全級注冊進入系統(tǒng)的問題。為了解決這種問題，該方案定義了一種新的目錄類型。該方案的基本內(nèi)容如下： 641）讓文件名的安全級與文件內(nèi)容的安全級相同 該方案與前面幾個方案主要不同點是：文件名的安全級就代表了文件內(nèi)容的安全級，在一個目錄中可以有多個不同安全級別的文件存在，并且允許它們與目錄有不同的安全級。而前面的幾個方案中，一個目錄下的所有文件的安全級是與該目錄的安全級相同的。例如，在一個秘密級的目錄中，可以同時包含機密、絕密與秘密級文件。 65 但是，對某安全級別的用戶在目錄中只能看到

31、與自己級別相同或低于自己級別的文件。例如，一個機密級用戶只能看見一個目錄中的機密文件、秘密文件和無密文件，不能看見目錄中的絕密級文件。對于用戶所能夠看見的文件就可以對其進行讀、寫、刪除的操作，否則就不能。如果用戶能夠看見一個目錄，那么他就可以在DAC機制的控制下創(chuàng)建一個新文件。 662）利用特殊接口實現(xiàn)文件名的隱蔽 由于允許一個目錄下可包含多種安全級的文件，需要解決的一個問題是如何不讓用戶看見（即訪問）比自己安全級高的文件名。一個解決辦法是，提供一個特殊的系統(tǒng)調(diào)用接口，通過該接口可以過濾所有比用戶安全級高的文件。對于一些操作系統(tǒng)還要控制對那些可直接訪問文件目錄內(nèi)容的系統(tǒng)調(diào)用，如unix中rea

32、d()系統(tǒng)調(diào)用就是這一類函數(shù)。 673）增加了對文件名的訪問限制 文件的訪問策略與安全xenix方案基本相同，但對文件名的訪問增加了以下限制：（1）僅當用戶的安全級不低于文件的安全級時，才能讀該文件或文件名；（2）僅當用戶的安全級與文件的安全級相同時，該用戶才能對該文件進行寫操作或者更改文件名。刪除一個文件名被認為是對該文件的寫操作。 68 根據(jù)第一條規(guī)則，對有的用戶而言有些文件是看不見的（即隱藏的）。由于系統(tǒng)通常把目錄也當作一個文件名處理，所以，文件名的隱藏對目錄也是適用的。 696.5 用戶認證 用戶認證的任務(wù)是確認當前正在試圖登錄進入系統(tǒng)的用戶就是賬戶數(shù)據(jù)庫中記錄的那個用戶。認證用戶的方

33、法有三種，一是一是要求輸入一些保密信息，如用戶的姓名、通行字或加密密鑰等； 二是稍微復(fù)雜一些鑒別方法，如詢問應(yīng)答系統(tǒng)、采用物理識別設(shè)備（如訪問卡、鑰匙或令牌標記）等方法；三是利用用戶生物特征，如指紋、聲音、視網(wǎng)膜等識別技術(shù)對用戶進行唯一的識別。 706.5.1 通行字認證方法 通行字是進行訪問控制的簡單而有效的方法，沒有一個有效的通行字，侵入者要闖入計算機系統(tǒng)是很困難的。通行字是只有用戶自己和系統(tǒng)知道（有時管理員也不知道）的簡單的字符串。只要一個用戶保持通行字的機密性，非授權(quán)用戶就無法使用該用戶的賬戶。但是一旦通行字失密或被破解，通行字就不能提供任何安全了，該用戶的賬戶在系統(tǒng)上就不再受保護了。

34、 71 用戶登錄標識符是由用戶姓名、姓名縮寫或你的賬戶號碼的某種組合以形成系統(tǒng)能唯一識別的系統(tǒng)賬號。用戶登錄名的長度為18個字符，但若太短了（如長度小于5）則容易被破解。通行字不僅在屏幕上不回顯，在系統(tǒng)內(nèi)部它也是以加密形式存放的。 72防止弱口令破解通行字是黑客們攻擊系統(tǒng)的常用手段，那些僅由數(shù)字組成、或僅由字母組成、或僅由兩、三個字符組成、或名字縮寫、或常用單詞、生日、日期、電話號碼、用戶喜歡的寵物名、節(jié)目名等易猜的字符串作為通行字是很容易被破解的。這些類型的通行字都不是安全有效的，常被稱為弱口令。 73 為了幫助用戶選擇安全有效的通行字，可以通過警告、消息和廣播，管理員可以告訴用戶什么樣的通

35、行字是最有效的通行字。另外，依靠系統(tǒng)中的安全機制，系統(tǒng)管理員能對用戶的通行字進行強制性的修改，如設(shè)置通行字的最短長度與組成成分、限制通行字的使用時間、甚至防止用戶使用易猜的通行字等措施。 74選取通行字應(yīng)遵循以下規(guī)則： 擴大通行字字符空間 通行字的字符空間不要僅限于26個大寫字母，要擴大到包括26個小寫字母和10個數(shù)字，使字符空間可達到62個之多。 在UNIX系統(tǒng)中，還把其他一些特殊符號（如+、*、/、%、#、等）也作為通行字的字符空間，因此其通行字的安全性更高。 75 選擇長通行字 選擇長通行字可以增加破解的時間。假定字符空間是26個字母，如果已知通行字的長度不超過3，則可能的通行字有26+

36、26*26+26*26*26=18278個。若每毫秒驗證一個通行字，只需要18多秒鐘就可以檢驗所有通行字。 76 不要選擇各種名字或單詞不要使用自己的名字、熟悉的或名人的名字作為通行字，不要選擇寵物名或各種單詞作為通行字，因為這種類型的通行字往往是破解者首先破解的對象，由于它們的數(shù)量有限（常用英文詞匯量只不過15萬左右），對計算機來說不是一件困難的事情。假定按每毫秒窮舉一個英文單詞的速度計算，15萬個單詞也僅僅需要150秒鐘時間。 77 選用無規(guī)律的通行字 無規(guī)律的通行字可以增加破解的難度，但也增加了記憶的難度。有的操作系統(tǒng)為了提高口令的安全性，強制用戶在通行字中必須包含除字母數(shù)字外的其他特殊

37、符號，UNIX系統(tǒng)就是這樣的系統(tǒng)。 78 定期更改通行字 有時通行字已經(jīng)泄露了，但擁有者卻不知道，還在繼續(xù)使用。為了避免這種情況發(fā)生，比較好的辦法是定期更換通行字。Windows NT和UNIX系統(tǒng)都支持定期更換通行字的功能。 79 通行字要自己記憶 目前流行的操作系統(tǒng)對通行字的選擇和管理都是很嚴格的，有的系統(tǒng)甚至檢查用戶自己給出的通行字是否合乎要求，例如UNIX系統(tǒng)就要求用戶的通行字中必須包括非字母數(shù)字的特殊符號；有的操作系統(tǒng)還可以為用戶選擇通行字；有的操作系統(tǒng)拒絕使用最近用過的通行字。為了安全起見，再復(fù)雜的通行字都應(yīng)該自己記憶。 80對通行字的控制為了幫助用戶選擇安全有效的通行字，有的系統(tǒng)

38、設(shè)置專門的登錄/通行字控制功能，檢查和控制用戶設(shè)置的通行字的安全性，提供以下控制措施： 81 通行字更換 用戶可以自己主動更換通行字，系統(tǒng)也會要求用戶定期更換它們的通行字，通行字經(jīng)常更換可以提高其安全性。當用戶通行字使用到期后，系統(tǒng)便自動提示用戶要更改他的通行字，在用戶下次進入系統(tǒng)時必須更改其通行字。有的系統(tǒng)還會把用戶使用過的通行字記錄下來，防止用戶使用重復(fù)的通行字。 82 限定最短長度 通行字越長越難破解。而且使用隨機字符組合出來的通行字被破解的時間隨字符的個數(shù)的增加而增長。在按裝系統(tǒng)時，系統(tǒng)管理員可以設(shè)置通行字的最短長度。 83 多個通行字 一般來說，登錄名或用戶名是與某個私人通行字相聯(lián)系

39、的。盡管如此，在有更高安全要求的系統(tǒng)上還采用多個通行字的安全措施。其中包括系統(tǒng)通行字，它允許用戶訪問指定的終端或系統(tǒng)，這是在正常登錄過程之后的額外的訪問控制層。也可以是對撥號訪問或訪問某些敏感程序或文件而要求的額外通行字。 84 系統(tǒng)生成通行字 也可以由計算機為用戶生成通行字，UNIX系統(tǒng)就有這種功能。通行字生成軟件可以按前面討論的許多原則為用戶生成通行字，由系統(tǒng)生成的通行字一般很難記憶，有時會迫使用戶寫到紙上，造成了不安全因素。 85口令訪問的更嚴格的控制 登錄時間限制用戶只能在某段時間內(nèi)（如上班時間）才能登錄到系統(tǒng)中。任何人在這段時間之外想登錄到系統(tǒng)中都將遭到拒絕。 系統(tǒng)消息在用戶使用登錄

40、程序時，系統(tǒng)首先敬告登錄者：“只歡迎授權(quán)用戶”，有的系統(tǒng)不向訪問者提供本系統(tǒng)是什么類型的系統(tǒng)，使黑客得不到系統(tǒng)任何有用信息。 86 限制登錄次數(shù)為了防止對賬戶多次嘗試通行字以闖入系統(tǒng)，系統(tǒng)可以限制每次試圖登錄的次數(shù)。如果有人連續(xù)幾次（如3次）登錄失敗，終端與系統(tǒng)的連接就自動斷開。這樣可以防止有人不斷地嘗試不同的通行字和登錄名。 87 最后一次登錄該方法報告最后一次系統(tǒng)的登錄時間/日期，以及在用戶最后一次登錄后發(fā)生過多少次未成功的登錄企圖。該措施可以為用戶提供線索，看是否有人非法訪問了你的賬戶或發(fā)生過未成功登錄企圖。 88提高口令認證的安全性的措施 盡量減少會話透露的信息為了確認用戶身份，系統(tǒng)一般需要用戶輸入用戶名和通行字，如果能恰當組織會話過程，可以使外漏的信息最少。 增加認證的信息量為了防止用戶因口令失密，造成用戶的賬戶被竊用，認證程序還可以