第6章-信息系统安全与保密技术-网络1015101.pptx

《第6章-信息系统安全与保密技术-网络1015101.pptx》由会员分享，可在线阅读，更多相关《第6章-信息系统安全与保密技术-网络1015101.pptx（82页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第六章信息系统安全与保密技术第六章信息系统安全与保密技术 v一一.基本要求与基本知识点基本要求与基本知识点（1）掌握操作系统安全技术；）掌握操作系统安全技术；（2）理解）理解Windows NT/2000安全；安全；（3）掌握数据库安全技术；）掌握数据库安全技术；（4）理解）理解SQL Server的安全。的安全。v二二.教学重点与难点教学重点与难点（1）操作系统安全与保密；）操作系统安全与保密；（2）Windows NT/2000安全模型；安全模型；（3）数据库安全与保密；）数据库安全与保密；（4）SQL Server的安全体系。的安全体系。v参考资料：计算机网络安全邓亚平，人民邮电参考资料

2、：计算机网络安全邓亚平，人民邮电出版社，出版社，2004年年9月；月；16.1 操作系统安全技术操作系统安全技术 6.1.1安全操作系统的发展状况安全操作系统的发展状况v操作系统是计算机系统的重要系统软件，它能够操作系统是计算机系统的重要系统软件，它能够对计算机的硬件和软件资源实行统一的管理和控对计算机的硬件和软件资源实行统一的管理和控制。各种计算机应用软件均运行在操作系统提供制。各种计算机应用软件均运行在操作系统提供的系统平台之上，它们通过操作系统完成对系统的系统平台之上，它们通过操作系统完成对系统中信息的存取和处理。中信息的存取和处理。v因此可以说操作系统的安全是整个计算机系统安因此可以说

3、操作系统的安全是整个计算机系统安全的基础，一旦操作系统的防御被突破，整个计全的基础，一旦操作系统的防御被突破，整个计算机系统将会受到根本威胁。算机系统将会受到根本威胁。2v早在早在20世纪世纪60年代，安全操作系统的研究就引起年代，安全操作系统的研究就引起了研究机构（尤其是美国军方）的重视，至今人了研究机构（尤其是美国军方）的重视，至今人们已经在这个领域付出了几十年的努力，开展了们已经在这个领域付出了几十年的努力，开展了大量的工作，取得了丰硕的成果。主要有：大量的工作，取得了丰硕的成果。主要有：v（1）世界第一个安全操作系统是）世界第一个安全操作系统是Adept-50，这，这是一个分时系统，可

4、以实际投入使用，运行于是一个分时系统，可以实际投入使用，运行于IBM/360硬件平台，它以一个形式化的安全模型硬件平台，它以一个形式化的安全模型-高水标模型为基础，实现了美国的一个军事高水标模型为基础，实现了美国的一个军事安全系统模型，为给定的安全问题提供了一个比安全系统模型，为给定的安全问题提供了一个比较形式化的解决方案。较形式化的解决方案。3v（2）1965年，美国贝尔实验室和麻省理工学院年，美国贝尔实验室和麻省理工学院的的MAC课题组等一起联合开发一个称为课题组等一起联合开发一个称为Multics的新操作系统，其目标是向大的用户团体提供对的新操作系统，其目标是向大的用户团体提供对计算机的

5、同时访问，支持强大的计算能力和数据计算机的同时访问，支持强大的计算能力和数据存储，并具有很高的安全性。存储，并具有很高的安全性。由于由于Multics设计的复杂性和理想性，结果未能达设计的复杂性和理想性，结果未能达到预期目标。虽然到预期目标。虽然Multics未能成功，但它在安全未能成功，但它在安全操作系统的研究方面迈出了重要的一步，为后来操作系统的研究方面迈出了重要的一步，为后来的安全操作系统研究积累了大量经验。的安全操作系统研究积累了大量经验。4v（3）KSOS（Kernelized Secure Operating System）是美国国防部研究计划局）是美国国防部研究计划局1977年发

6、起年发起的一个安全操作系统研制项目，目标是为的一个安全操作系统研制项目，目标是为PDP-11/70机器开发一个可投放市场的安全操作系统，机器开发一个可投放市场的安全操作系统，系统的要求如下：系统的要求如下：与贝尔实验室的与贝尔实验室的UNIX操作系统兼容；操作系统兼容；实现多级安全性和完整性；实现多级安全性和完整性；正确性可以被证明。正确性可以被证明。5v（4）1983年，美国国防部颁布了历史上第一个年，美国国防部颁布了历史上第一个计算机安全评价标准计算机安全评价标准-可信计算机系统评价可信计算机系统评价准则，简称准则，简称TCSEC，因其封面为橘黄色而被称，因其封面为橘黄色而被称为橘皮书。为

7、橘皮书。1985年，美国国防部对年，美国国防部对TCSEC进行进行修订。修订。TCSEC为计算机系统的可信程度划分和评价提供为计算机系统的可信程度划分和评价提供了准则，将安全操作系统研究带入了一个新阶段。了准则，将安全操作系统研究带入了一个新阶段。6v（5）OSF/1是开放软件基金会于是开放软件基金会于1990年推出的一年推出的一个安全操作系统，被美国国家计算机安全中心个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合）认可为符合TCSEC的的B1级级，其主要安，其主要安全性表现如下：全性表现如下：系统标识；系统标识；口令管理；口令管理；强制存取控制和自主存取控制；强制存取控制和自

8、主存取控制；审计。审计。7v（6）UNIX SVR4.1ES是是UI（UNIX国际组织）国际组织）于于1991年推出的一个安全操作系统，被美国国家年推出的一个安全操作系统，被美国国家计算机安全中心（计算机安全中心（NCSC）认可为符合）认可为符合TCSEC的的B2级级，除，除OSF/1外的安全性主要表现如下：外的安全性主要表现如下：更全面的存取控制；更全面的存取控制；更小的特权管理；更小的特权管理；可信通路；可信通路；隐蔽通道分析和处理。隐蔽通道分析和处理。8v（7）1997年美国安全计算公司（年美国安全计算公司（SCC）和国家）和国家安全局（安全局（NSA）完成了）完成了DTOS（Distr

9、ibuted Trusted Operating System）安全操作系统。）安全操作系统。DTOS原型系统以原型系统以Mach为基础，具有以下设计目为基础，具有以下设计目标。标。政策灵活性；政策灵活性；Mach兼容性；兼容性；DTOS内核的性能应该与内核的性能应该与Mach内核的性能内核的性能相近。相近。v在安全操作系统的研究方面，我国研究起步比较在安全操作系统的研究方面，我国研究起步比较晚，近几年开展了一系列安全操作系统的研制工晚，近几年开展了一系列安全操作系统的研制工作，通过完成有关项目，开发出多种安全操作系作，通过完成有关项目，开发出多种安全操作系统。统。96.1.2 安全操作系统的

10、设计安全操作系统的设计v操作系统由于其在整个计算机系统中的地位和作用，操作系统由于其在整个计算机系统中的地位和作用，要设计高度安全性的操作系统非常难。操作系统功要设计高度安全性的操作系统非常难。操作系统功能复杂，事务繁忙，要控制和管理系统中数据的存能复杂，事务繁忙，要控制和管理系统中数据的存取、程序运行和外部设备的工作等，同时还不得不取、程序运行和外部设备的工作等，同时还不得不承担起整个计算机系统的安全保护责任，这就使得承担起整个计算机系统的安全保护责任，这就使得操作系统的设计具有很大的难度。操作系统的设计具有很大的难度。v具有高度安全性的操作系统的设计，首先考虑标准具有高度安全性的操作系统的

11、设计，首先考虑标准通用操作系统的通用操作系统的基本基本设计原则，然后考虑设计原则，然后考虑隔离隔离，正，正是通过隔离同时支持用户域的共享和分割，接下来是通过隔离同时支持用户域的共享和分割，接下来考察操作系统的考察操作系统的“内核内核”设计方法，这是提供安全设计方法，这是提供安全性的有效途径，最后考虑性的有效途径，最后考虑分层分层结构设计。结构设计。v以下分别介绍安全操作系统设计时，需要遵循一个以下分别介绍安全操作系统设计时，需要遵循一个基本原则和三个性质。基本原则和三个性质。101、安全操作系统设计的原则、安全操作系统设计的原则v萨尔哲（萨尔哲（Saltzer）和史克罗德（）和史克罗德（Sro

12、der）提出安）提出安全操作系统设计的全操作系统设计的基本原则基本原则：v（1）最小特权，每个用户和程序使用尽可能少的）最小特权，每个用户和程序使用尽可能少的特权，以使有意或无意的攻击所造成的损失达到最特权，以使有意或无意的攻击所造成的损失达到最低程度；低程度；v（2）经济性，设计的操作系统应尽可能地小和简）经济性，设计的操作系统应尽可能地小和简单，以便于验证和正确执行。目前操作系统不能保单，以便于验证和正确执行。目前操作系统不能保证安全的主要原因是它的规模太大，以至于超出了证安全的主要原因是它的规模太大，以至于超出了理解的范围，并且使操作系统永远存在尚未纠正的理解的范围，并且使操作系统永远存

13、在尚未纠正的错误的原因。错误的原因。v（3）开放设计，保护机制应当是公开的，经受住）开放设计，保护机制应当是公开的，经受住广泛的公开审查。广泛的公开审查。11v（4）完备的存取控制机制，对每个存取访问，系）完备的存取控制机制，对每个存取访问，系统都必须进行检查控制。统都必须进行检查控制。v（5）基于）基于“允许允许”，标示的资源应该是，标示的资源应该是“允许存允许存取取”的，而未标示的资源是的，而未标示的资源是“不允许存取不允许存取”的。的。缺省条件是缺省条件是“不允许存取不允许存取”的。的。v（6）权限分离。理想情况下，对实体的存取应该）权限分离。理想情况下，对实体的存取应该依赖多个条件，如

14、用户身份鉴别加上密钥。依赖多个条件，如用户身份鉴别加上密钥。v（7）避免信息流的潜在通道，可共享实体提供了）避免信息流的潜在通道，可共享实体提供了信息流的潜在通道。系统设计时应采取物理或逻信息流的潜在通道。系统设计时应采取物理或逻辑分离的方法，防止这种潜在通道。辑分离的方法，防止这种潜在通道。v（8）方便使用，存取控制机制方便使用。如不影）方便使用，存取控制机制方便使用。如不影响遵守规则的用户；便于用户授权存取；便于用响遵守规则的用户；便于用户授权存取；便于用户约束存取。户约束存取。122、隔离设计、隔离设计v隔离是指采用一定的措施，使系统某一部分的故障隔离是指采用一定的措施，使系统某一部分的

15、故障不影响其它的部分。不影响其它的部分。设计思想设计思想是把一个大系统分割是把一个大系统分割成若干个互不相交的小系统，对一个任务来讲，由成若干个互不相交的小系统，对一个任务来讲，由几个独立的小系统各自独立的完成自己的任务，且几个独立的小系统各自独立的完成自己的任务，且每两部分之间都有每两部分之间都有“保护林保护林”，将错误或故障限制，将错误或故障限制在尽可能小的范围，使之造成的损失最小。在尽可能小的范围，使之造成的损失最小。v（1）物理隔离，各进程使用不同的硬件设备。如）物理隔离，各进程使用不同的硬件设备。如敏感的计算任务在指定的系统中执行，非敏感的计敏感的计算任务在指定的系统中执行，非敏感的

16、计算任务在开发系统中执行；算任务在开发系统中执行；v（2）时间隔离，不同的时间运行不同的进程。如）时间隔离，不同的时间运行不同的进程。如军事系统在八点到中午之间执行非敏感任务，只在军事系统在八点到中午之间执行非敏感任务，只在中午到下午五点执行敏感任务；中午到下午五点执行敏感任务；v（3）密码隔离，将加密技术用于隔离，使未授权）密码隔离，将加密技术用于隔离，使未授权用户（没有密码）不能读取敏感数据；用户（没有密码）不能读取敏感数据；v（4）逻辑隔离，将一个用户的对象与其他用户的）逻辑隔离，将一个用户的对象与其他用户的对象分割开来。对象分割开来。133、核心设计、核心设计v核又称为核又称为核心核心

17、，是操作系统中完成最低级功能的部，是操作系统中完成最低级功能的部分。在标准的操作系统设计中，完成许多功能，如分。在标准的操作系统设计中，完成许多功能，如同步进程通讯、信息传递及中断处理等。同步进程通讯、信息传递及中断处理等。v安全核心负责完成整个操作系统的安全机制。安全安全核心负责完成整个操作系统的安全机制。安全核心在硬件、操作系统和计算机系统的其它部分间核心在硬件、操作系统和计算机系统的其它部分间提供提供安全接口安全接口，如图，如图6-1所示。所示。图图6-1 安全操作系统的一般结构安全操作系统的一般结构 14v安全核心的实现可能降低系统性能。因为安全核心安全核心的实现可能降低系统性能。因为

18、安全核心在用户程序和操作系统资源之间增加了一道接口。在用户程序和操作系统资源之间增加了一道接口。v安全核心的设计和用途在一定程度上取决于设计策安全核心的设计和用途在一定程度上取决于设计策略，一个安全核心可以当做额外的操作系统，也可略，一个安全核心可以当做额外的操作系统，也可以作为整个操作系统的一部分进行设计。一般安全以作为整个操作系统的一部分进行设计。一般安全核心包括在操作系统核内。核心包括在操作系统核内。154、层结构设计、层结构设计v一个核化的操作系统至少由四层组成：硬件、核一个核化的操作系统至少由四层组成：硬件、核心、操作系统的其它部分和用户。其中每一层本心、操作系统的其它部分和用户。其

19、中每一层本身可能包含一些子层。身可能包含一些子层。v可以由一系列同心环来描述安全操作系统，其中可以由一系列同心环来描述安全操作系统，其中在最内层进行最敏感的操作，一个在最内层进行最敏感的操作，一个过程的可信性过程的可信性和存取权由到中心的接近程度来决定和存取权由到中心的接近程度来决定，越可信的越可信的过程越接近中心，过程越接近中心，这样的系统可用图这样的系统可用图6-2表示。表示。16图图6-2 不同层次上的模块操作不同层次上的模块操作层次设计策略被认为是一层次设计策略被认为是一种较好的操作系统设计策种较好的操作系统设计策略。每一层都可以调用更略。每一层都可以调用更中心层的服务，并为外层中心层

20、的服务，并为外层提供一定的服务。这样即提供一定的服务。这样即使剥去一层，仍然是一个使剥去一层，仍然是一个完整的系统，只是功能上完整的系统，只是功能上有所减少。有所减少。176.1.3操作系统的安全服务操作系统的安全服务v操作系统的安全机制主要体现在身份认证和访问控操作系统的安全机制主要体现在身份认证和访问控制两个方面。制两个方面。身份认证身份认证是要保护合法的用户使用系统，防止是要保护合法的用户使用系统，防止非法侵入。非法侵入。访问控制访问控制是要保证授权和受控的访问、使用系是要保证授权和受控的访问、使用系统资源。统资源。v一般而言，访问控制服务和身份认证服务是紧密结一般而言，访问控制服务和身

21、份认证服务是紧密结合在一起的：一个用户或用户的进程在访问系统资合在一起的：一个用户或用户的进程在访问系统资源之前，必须要经过正确的身份认证，然后再根据源之前，必须要经过正确的身份认证，然后再根据自己的授权情况，受控制地使用系统资源。自己的授权情况，受控制地使用系统资源。181、用户管理的安全性、用户管理的安全性（1）身份认证机制）身份认证机制v身份认证机制必须是强有力的，即在用户登录时，身份认证机制必须是强有力的，即在用户登录时，与系统的交互过程必须有安全保护。与系统的交互过程必须有安全保护。v身份认证是对用户身份的识别和验证，通常采用身份认证是对用户身份的识别和验证，通常采用账号账号/口令的

22、方式。口令的方式。v用户账号必须是唯一的，系统依据用户账号识别用户账号必须是唯一的，系统依据用户账号识别出用户之后，还需通过口令对其进行验证，验证出用户之后，还需通过口令对其进行验证，验证其是否为真实用户。其是否为真实用户。v用户账号和口令是同时使用的，但二者的使用是用户账号和口令是同时使用的，但二者的使用是不同的，不同的，用户账号用户账号是是公开公开的，用于对用户的的，用于对用户的识别识别，而而口令口令是是保密保密的，用于的，用于验证验证用户的真伪。用户的真伪。19（2）用户口令的）用户口令的加密加密机制机制v用户口令的加密算法必须有足够的安全强度，用户用户口令的加密算法必须有足够的安全强度

23、，用户的口令存放必须安全，不能被轻易窃取。的口令存放必须安全，不能被轻易窃取。（3）用户的账号管理）用户的账号管理v通常对用户账号进行通常对用户账号进行分组分组管理，并且这种分组管理管理，并且这种分组管理应该针对安全性问题而考虑的分组。也即应当根应该针对安全性问题而考虑的分组。也即应当根据不同的安全级别将用户分成若干等级，每一等据不同的安全级别将用户分成若干等级，每一等级的用户只能访问与其等级相应的系统资源和数级的用户只能访问与其等级相应的系统资源和数据，执行指定范围内的程序。据，执行指定范围内的程序。202、访问控制、访问控制v经过计算机系统身份验证之后，合法的用户进入经过计算机系统身份验证

24、之后，合法的用户进入系统，但并不意味着它具有对系统所有资源的访系统，但并不意味着它具有对系统所有资源的访问权限。还需要通过访问控制，根据一定的原则问权限。还需要通过访问控制，根据一定的原则对合法用户的访问权限进行控制，以决定用户可对合法用户的访问权限进行控制，以决定用户可以访问哪些资源，以及以什么样的方式访问资源。以访问哪些资源，以及以什么样的方式访问资源。21v访问控制系统一般包括以下几个实体。访问控制系统一般包括以下几个实体。主体主体（Subject）：发出访问操作，是存取要求）：发出访问操作，是存取要求的主动方。通常可以是用户、进程和设备等。的主动方。通常可以是用户、进程和设备等。客体客

25、体（Object）：被访问的对象，是访问需要）：被访问的对象，是访问需要进行控制的资源。通常可以是被调用的程序、进行控制的资源。通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、进程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源。系统或各种网络设备、设施等资源。安全访问政策安全访问政策：它是一套规则，用以确定一个：它是一套规则，用以确定一个主体是否对客体拥有访问的能力。主体是否对客体拥有访问的能力。v由此，访问控制的由此，访问控制的目的目的是：限制主体对客体的访问是：限制主体对客体的访问权限，从而使计算机系统的资源在合法范围内被权限，从而使计算机系统的资源在合

26、法范围内被使用。使用。22v访问控制常用的实现方法主要有：访问控制常用的实现方法主要有：v（1）访问控制表访问控制表（Access Control List）v一个对象有一个表，用来指出主体对对象的访问一个对象有一个表，用来指出主体对对象的访问权限。还可以将有相同权限的用户分组，并授予权限。还可以将有相同权限的用户分组，并授予组的访问权。组的访问权。v访问控制表访问控制表ACL是目前采用最多的一种方式，如是目前采用最多的一种方式，如图图6-3所示。所示。23图图6-3访问控制列表访问控制列表24v（2）访问控制矩阵访问控制矩阵（Access Matrix）v用一个矩阵的形式表示访问控制，行表示

27、主体，列用一个矩阵的形式表示访问控制，行表示主体，列表示客体，行列交叉点表示某个主体对某个客体的表示客体，行列交叉点表示某个主体对某个客体的访问权限。如表访问权限。如表6.1所示：所示：表表6.1 访问控制矩阵访问控制矩阵（其中（其中R-读，读，W-写，写，X-执行，执行，Own-拥有）拥有）25v（3）授权关系表授权关系表Authorization Relations List）v用每一行（或称为一个元组）表示主体和客体的一用每一行（或称为一个元组）表示主体和客体的一个权限关系，如表个权限关系，如表6.2所示。所示。v授权关系表可以实现最小化权限原则及复杂的安全授权关系表可以实现最小化权限原

28、则及复杂的安全策略。策略。26表表6.2 授权关系表授权关系表 27v在访问控制策略方面，计算机系统常采用以下两在访问控制策略方面，计算机系统常采用以下两种策略。种策略。v（1）自主访问控制（）自主访问控制（Discretionary Access Control，DAC）v自主访问控制自主访问控制是一种最为普遍的访问控制手段，是一种最为普遍的访问控制手段，是指对某个客体具有拥有权的主体能够对该客体是指对某个客体具有拥有权的主体能够对该客体的一种访问权或多种访问权自主的授予其他主体，的一种访问权或多种访问权自主的授予其他主体，并在随后的任何时刻将这些权限收回。并在随后的任何时刻将这些权限收回。

29、v这种控制是自主的，是一种比较宽松的访问控制。这种控制是自主的，是一种比较宽松的访问控制。vWindows、UNIX操作系统都采用了自主访问控操作系统都采用了自主访问控制策略。制策略。28v（2）强制访问控制（）强制访问控制（Mandatory Access Control，MAC）v强制访问控制强制访问控制是是“加强加强”给访问主体的，即系统强给访问主体的，即系统强制主体服从事先制定的访问控制规则，这种策略制主体服从事先制定的访问控制规则，这种策略是强制性规定的，用户或用户的程序不能加以修是强制性规定的，用户或用户的程序不能加以修改。如果系统认为某用户不适合访问某个文件，改。如果系统认为某用

30、户不适合访问某个文件，那么任何人（包括文件拥有者）都无法使该用户那么任何人（包括文件拥有者）都无法使该用户具有访问该文件的权利。具有访问该文件的权利。vMAC主要用于多层次安全级别的军事应用中。主要用于多层次安全级别的军事应用中。296.2 Windows NT/2000的安全的安全v在个人计算机领域，在个人计算机领域，Windows操作系统占据了大多操作系统占据了大多数市场份额，而在网络服务领域，数市场份额，而在网络服务领域，Windows NT/2000是最流行的桌面操作系统，其友好的操作是最流行的桌面操作系统，其友好的操作界面，众多强大的网络应用程序和开发工具，以及界面，众多强大的网络应

31、用程序和开发工具，以及更为强大的系统安全性，使得很多企业将更为强大的系统安全性，使得很多企业将Windows NT/2000作为网管或服务器的平台。作为网管或服务器的平台。vWindows NT是一个安全的操作系统，它通过了美是一个安全的操作系统，它通过了美国国防部国国防部TCSEC C2级安全认证，具有身份鉴别、级安全认证，具有身份鉴别、具有自主访问控制、客体共享和安全审计等安全特具有自主访问控制、客体共享和安全审计等安全特性。性。vWindows 2000是微软公司于是微软公司于2000年在年在Windows NT操作系统的技术之上，开发的新一代操作系统的技术之上，开发的新一代Window

32、s操作系统。操作系统。v在安全性方面，在安全性方面，Windows 2000继承了很多继承了很多NT特性，特性，但与但与NT比较，它提供了更多更为强大的安全特性。比较，它提供了更多更为强大的安全特性。306.2.1 Windows NT/2000的安全模型的安全模型vWindows NT/2000的的安安全全模模型型主主要要由由登登录录过过程程、本本地地安安全全认认证证、安安全全账账号号管管理理器器和和安安全全参参考考监监督督器构成，如图器构成，如图6-4所示。所示。31图图6-4 Windows NT/2000的安全模型的安全模型 321、登录过程（、登录过程（Logon Process）v

33、登登录录过过程程用用以以确确认认用用户户身身份份是是否否合合法法，从从而而确确定定用用户对系统资源的访问权限。户对系统资源的访问权限。v登登录录过过程程把把用用户户输输入入的的登登录录信信息息，通通过过安安全全系系统统传传输输到到安安全全账账号号管管理理器器，由由安安全全账账号号管管理理器器把把此此信信息息同同安安全全账账号号数数据据库库的的数数据据进进行行比比较较，如如果果二二者者匹匹配配，则则允允许许用用户户进进行行访访问问。然然后后本本地地安安全全认认证证开开始始构构造造访访问问令令牌牌，将将访访问问令令牌牌与与用用户户进进行行的的所所有有操操作作相相连连接接，构构成成一一个个主主体体。

34、主主体体访访问问一一个个对对象时，将由访问令牌的内容决定是否能够访问。象时，将由访问令牌的内容决定是否能够访问。v登登录录过过程程可可以以接接受受本本地地用用户户的的本本地地登登录录请请求求，也也可可以接受以接受远程远程用户的登录请求。用户的登录请求。33（1）本地登录过程）本地登录过程如图如图6-5所示。所示。v 用户按用户按Ctrl+Alt+Del键，引起硬件中断，被系统键，引起硬件中断，被系统捕获，这样使操作系统激活捕获，这样使操作系统激活WinLogon进程。进程。v WinLogon进程通过调用标识与鉴别进程通过调用标识与鉴别DLL，将登，将登录窗口（账号名和口令登录提示符）展示在用

35、户面录窗口（账号名和口令登录提示符）展示在用户面前。前。v WinLogon进程发送账号名和加密口令到本地安进程发送账号名和加密口令到本地安全认证（全认证（LSA）。）。v 如果用户具有有效的用户名和口令，则本地安如果用户具有有效的用户名和口令，则本地安全认证产生一个访问令牌，包括用户账号全认证产生一个访问令牌，包括用户账号SID和用和用户工作组户工作组SID。v WinLogon进程传送访问令牌到进程传送访问令牌到Win32模块，同模块，同时发出一个请求，以便为用户建立登录进程。时发出一个请求，以便为用户建立登录进程。v 登录进程建立用户环境，包括启动登录进程建立用户环境，包括启动Deskt

36、op Explorer和显示背景等。和显示背景等。34图图6-5本地登录过程本地登录过程 35（2）网络登录过程）网络登录过程如图如图6-6所示。所示。v 用户将用户名和口令输入到网络客户机软件的登录用户将用户名和口令输入到网络客户机软件的登录窗口。窗口。v 该客户机软件打开该客户机软件打开NetBIOS，连接到服务器的，连接到服务器的NetLogon服务上，该客户机软件对口令加密，发送服务上，该客户机软件对口令加密，发送登录证书到服务器的登录证书到服务器的WinLogon进程。进程。v 服务器的服务器的WinLogon进程发送账号名和加密口令到进程发送账号名和加密口令到本地安全认证。本地安全

37、认证。v 如果用户具有有效的用户名和口令，则本地安全认如果用户具有有效的用户名和口令，则本地安全认证产生一个访问令牌，包括用户账号证产生一个访问令牌，包括用户账号SID和用户工作和用户工作组组SID。访问令牌也得到用户的特权（。访问令牌也得到用户的特权（LUID），然后），然后该访问令牌传送回该访问令牌传送回WinLogon进程。进程。v WinLogon进程将访问令牌传送到进程将访问令牌传送到Windows NT/2000的的Server服务，它将访问令牌与被客户机打服务，它将访问令牌与被客户机打开的开的NetBIOS连接联系起来。在具有访问令牌所建证连接联系起来。在具有访问令牌所建证书的服

38、务器上，可完成任何在书的服务器上，可完成任何在NetBIOS连接时所发送连接时所发送的其他操作（如读文件、打印请求等）。的其他操作（如读文件、打印请求等）。36图图6-6网络登录网络登录Windows NT/2000服务器过程服务器过程 372、本地安全认证、本地安全认证v本本地地安安全全认认证证（Local Security Authority，LSA）是是Windows NT/2000安安全全模模型型的的核核心心，它它通通过过确确认认安安全全账账号号管管理理器器中中的的数数据据信信息息来来处处理理用户从本地或远程的登录。用户从本地或远程的登录。v本本地地安安全全认认证证确确保保用用户户有有

39、存存取取系系统统的的权权限限，从从而而产产生生访访问问令令牌牌，管管理理本本地地策策略略并并提提交交交交换换式式的的用用户户认认证证服服务务。它它同同时时还还控控制制审审计计方方案案和和将将安安全全参参考监督器的审计信息记入日记。考监督器的审计信息记入日记。38图图6-4 Windows NT/2000的安全模型的安全模型 393、安全账号管理器、安全账号管理器 v安安全全账账号号管管理理器器（Security Account Manager，SAM）维维护护安安全全账账号号数数据据库库，即即SAM数数据据库库。该该数据库包含所有用户和组的账号信息。数据库包含所有用户和组的账号信息。v安安全全

40、账账号号管管理理器器提提供供用用户户登登录录认认证证，负负责责对对用用户户输输入入的的信信息息与与SAM数数据据库库的的信信息息对对比比，并并为为用用户户赋予一个安全标示符（赋予一个安全标示符（SID）。）。v根根据据网网络络配配置置的的不不同同，SAM数数据据库库可可能能存存在在于于一一个或多个个或多个Windows NT/2000系统中。系统中。40图图6-4 Windows NT/2000的安全模型的安全模型 414、安全参考监督器、安全参考监督器 v安安全全参参考考监监督督器器（Security Reference Monitor，SRM）运运行行在在内内核核模模式式，它它负负责责访访

41、问问控控制制和和审审查策略查策略。v安安全全参参考考监监督督器器提提供供对对客客体体（文文件件、目目录录）的的存存取取权权限限，检检查查主主体体（用用户户账账号号）的的访访问问权权限限，阻阻止止非非授授权权用用户户访访问问对对象象。为为了了在在整整个个系系统统中中对对不不同同类类型型对对象象提提供供一一致致的的保保护护，安安全全参参考考监监督督器器在在系统中只保留一个有效访问代码的拷贝。系统中只保留一个有效访问代码的拷贝。v另另外外，安安全全参参考考监监督督器器还还负负责责实实施施审审计计生生成成策策略略，它它在在验验证证对对象象存存取取的的合合法法性性和和检检查查主主体体（用用户户账账号）权

42、限的同时，生成必要的审计信息。号）权限的同时，生成必要的审计信息。426.2.2 Windows NT/2000的访问控制的访问控制v对系统资源的访问限制，防止用户非授权访问系对系统资源的访问限制，防止用户非授权访问系统资源即为访问控制。统资源即为访问控制。v1、Windows NT/2000的访问控制的访问控制vWindows NT/2000的安全性达到了橘皮书的安全性达到了橘皮书C2级级，实现了实现了用户级自主访问控制用户级自主访问控制，它的访问控制机制，它的访问控制机制如图如图6-7所示。所示。43当一个进程请求当一个进程请求Win32执行对象的一种操作时，执行对象的一种操作时，Win3

43、2借助安全参考监督器借助安全参考监督器SRM进行校验。安全进行校验。安全参考监督器首先查看用户的权限，将进程的参考监督器首先查看用户的权限，将进程的访问访问令牌令牌与对象的与对象的访问控制列表访问控制列表进行比较，以此决定进行比较，以此决定进程是否可以访问该对象。进程是否可以访问该对象。图图6-7 Windows NT客体访问示意图客体访问示意图 44v为了实现进程间的安全访问，为了实现进程间的安全访问，Windows NT/2000中中的的对象对象采用了采用了安全性描述符安全性描述符（Security Description）。）。v安全性描述符主要由用户安全性描述符主要由用户SID（Own

44、er）、工作组）、工作组SID（Group）、访问控制列表（）、访问控制列表（DACL）和系统访）和系统访问控制列表（问控制列表（SACL）组成，安全性描述符的构成）组成，安全性描述符的构成如图如图6-8所示。所示。图图6-8 安全性描述符安全性描述符45v当某个进程要访问一个对象时，当某个进程要访问一个对象时，进程的进程的SID与与对对象的访问控制列表比较象的访问控制列表比较，决定是否可以访问该对，决定是否可以访问该对象。访问控制列表由访问控制项（象。访问控制列表由访问控制项（ACE）组成，）组成，每个访问控制项标识每个访问控制项标识用户和工作组用户和工作组对该对象的对该对象的访访问权限问权

45、限。v通常，访问控制列表有通常，访问控制列表有3种访问控制项，分别代种访问控制项，分别代表如下含义：表如下含义：拒绝拒绝对该对象的访问；对该对象的访问；允许允许对该对象读取和写入；对该对象读取和写入；允许允许执行该对象。执行该对象。46v访问控制列表首先列出拒绝访问的访问控制项，然访问控制列表首先列出拒绝访问的访问控制项，然后才是允许的访问控制项。对访问控制列表判断的后才是允许的访问控制项。对访问控制列表判断的规则如下：规则如下：从访问控制列表的第一项开始，检查每个访从访问控制列表的第一项开始，检查每个访问控制项，看是否显式地问控制项，看是否显式地拒绝拒绝用户或工作组的用户或工作组的访问。访问

46、。继续检查，看进程所要求的访问类型是否显继续检查，看进程所要求的访问类型是否显式地式地授予授予用户或工作组。用户或工作组。重复步骤（重复步骤（1）、（）、（2），直到遇到拒绝访问，），直到遇到拒绝访问，或是累计到所有请求的权限均被满足为止。或是累计到所有请求的权限均被满足为止。如果对某个请求的访问权限在访问控制表中如果对某个请求的访问权限在访问控制表中既没有授权也没有拒绝，则拒绝访问。既没有授权也没有拒绝，则拒绝访问。472、NTFS文件系统文件系统v在在Windows NT/2000中支持多种文件系统，其中中支持多种文件系统，其中使用最普遍的是：使用最普遍的是：FAT(File Alloca

47、tion Table)文件系统文件系统NTFS（NT File System）文件系统）文件系统vFAT文件系统文件系统较简单，所占容量与开销很少，几乎较简单，所占容量与开销很少，几乎所有计算机均支持它。但该文件系统所有计算机均支持它。但该文件系统不支持访问不支持访问控制控制，使操作系统存在较大的不安全性。因此，使操作系统存在较大的不安全性。因此Windows NT引进了更为安全的文件系统，即引进了更为安全的文件系统，即NTFS文件系统。文件系统。vNTFS文件系统文件系统主要采用主要采用两种措施两种措施对文件系统进行对文件系统进行安全性保护：安全性保护：对文件和目录的权限设置；对文件和目录的

48、权限设置；对文件内容进行加密。对文件内容进行加密。48v 文件和目录的权限文件和目录的权限vNTFS文件系统上的每一个文件和目录在创建时创文件系统上的每一个文件和目录在创建时创建人就被指定为拥有者。拥有者控制着文件或目录建人就被指定为拥有者。拥有者控制着文件或目录的权限设置，并能赋予其它用户访问权限。的权限设置，并能赋予其它用户访问权限。v通过对文件或目录的权限设置，用户可以共享相应通过对文件或目录的权限设置，用户可以共享相应权限的文件数据，不仅为不同用户完成共同任务提权限的文件数据，不仅为不同用户完成共同任务提供了基础，而且还节省了大量磁盘空间。供了基础，而且还节省了大量磁盘空间。49v 文

49、件内容的加密文件内容的加密vWindows 2000增强了文件系统的安全性，采用了增强了文件系统的安全性，采用了加密文件系统（加密文件系统（EFS，Encrypted File System）技术。加密文件系统提供的文件加密技术可以将加技术。加密文件系统提供的文件加密技术可以将加密的密的NTFS文件存储到磁盘上。如果用户要访问一文件存储到磁盘上。如果用户要访问一个加密的个加密的NTFS文件，并且有这个文件的密钥，那文件，并且有这个文件的密钥，那么用户就能打开这个文件。没有该文件密钥的用户么用户就能打开这个文件。没有该文件密钥的用户对文件的访问将被拒绝。对文件的访问将被拒绝。506.2.3 Wi

50、ndows NT/2000的安全管理的安全管理vWindows NT/2000的安全性达到了橘皮书的安全性达到了橘皮书C2级，级，在实现登录过程和访问控制机制的同时，还提供一在实现登录过程和访问控制机制的同时，还提供一定的安全管理机制。以下简单介绍定的安全管理机制。以下简单介绍Windows NT/2000的一些安全管理机制。的一些安全管理机制。1、用户和用户组、用户和用户组v在在Windows NT/2000中，每个用户必须有一个账中，每个用户必须有一个账号，账号是系统安全的核心。在登录计算机时，系号，账号是系统安全的核心。在登录计算机时，系统将用户账号信息同用户的安全数据库进行比较，统将用