第6章-信息系統(tǒng)安全與保密技術(shù)-網(wǎng)絡(luò)10

1、1第六章信息系統(tǒng)安全與保密技術(shù)第六章信息系統(tǒng)安全與保密技術(shù) v一一. 基本要求與基本知識點基本要求與基本知識點（1）掌握操作系統(tǒng)安全技術(shù)；）掌握操作系統(tǒng)安全技術(shù)；（2）理解）理解Windows NT/2000安全；安全；（3）掌握數(shù)據(jù)庫安全技術(shù)；）掌握數(shù)據(jù)庫安全技術(shù)；（4）理解）理解SQL Server的安全。的安全。v二二. 教學(xué)重點與難點教學(xué)重點與難點（1）操作系統(tǒng)安全與保密；）操作系統(tǒng)安全與保密；（2）Windows NT/2000安全模型；安全模型；（3）數(shù)據(jù)庫安全與保密；）數(shù)據(jù)庫安全與保密；（4）SQL Server的安全體系。的安全體系。v參考資料：參考資料：計算機網(wǎng)絡(luò)安全計算機網(wǎng)

2、絡(luò)安全鄧亞平，人民郵鄧亞平，人民郵電出版社，電出版社，2004年年9月；月；26.1 操作系統(tǒng)安全技術(shù)操作系統(tǒng)安全技術(shù) 6.1 .1安全操作系統(tǒng)的發(fā)展?fàn)顩r安全操作系統(tǒng)的發(fā)展?fàn)顩rv操作系統(tǒng)是計算機系統(tǒng)的重要系統(tǒng)軟件，它能夠操作系統(tǒng)是計算機系統(tǒng)的重要系統(tǒng)軟件，它能夠?qū)τ嬎銠C的硬件和軟件資源實行統(tǒng)一的管理和控對計算機的硬件和軟件資源實行統(tǒng)一的管理和控制。各種計算機應(yīng)用軟件均運行在操作系統(tǒng)提供制。各種計算機應(yīng)用軟件均運行在操作系統(tǒng)提供的系統(tǒng)平臺之上，它們通過操作系統(tǒng)完成對系統(tǒng)的系統(tǒng)平臺之上，它們通過操作系統(tǒng)完成對系統(tǒng)中信息的存取和處理。中信息的存取和處理。v因此可以說操作系統(tǒng)的安全是整個計算機系統(tǒng)安因

3、此可以說操作系統(tǒng)的安全是整個計算機系統(tǒng)安全的基礎(chǔ)，一旦操作系統(tǒng)的防御被突破，整個計全的基礎(chǔ)，一旦操作系統(tǒng)的防御被突破，整個計算機系統(tǒng)將會受到根本威脅。算機系統(tǒng)將會受到根本威脅。3v早在早在20世紀世紀60年代，安全操作系統(tǒng)的研究就引年代，安全操作系統(tǒng)的研究就引起了研究機構(gòu)（尤其是美國軍方）的重視，至今起了研究機構(gòu)（尤其是美國軍方）的重視，至今人們已經(jīng)在這個領(lǐng)域付出了幾十年的努力，開展人們已經(jīng)在這個領(lǐng)域付出了幾十年的努力，開展了大量的工作，取得了豐碩的成果。主要有：了大量的工作，取得了豐碩的成果。主要有：v（1）世界第一個安全操作系統(tǒng)是）世界第一個安全操作系統(tǒng)是Adept-50，這，這是一個分時

4、系統(tǒng)，可以實際投入使用，運行于是一個分時系統(tǒng)，可以實際投入使用，運行于IBM/360硬件平臺，它以一個形式化的安全模型硬件平臺，它以一個形式化的安全模型-高水標(biāo)模型為基礎(chǔ)，實現(xiàn)了美國的一個軍事安高水標(biāo)模型為基礎(chǔ)，實現(xiàn)了美國的一個軍事安全系統(tǒng)模型，為給定的安全問題提供了一個比較全系統(tǒng)模型，為給定的安全問題提供了一個比較形式化的解決方案。形式化的解決方案。4v（2）1965年，美國貝爾實驗室和麻省理工學(xué)院年，美國貝爾實驗室和麻省理工學(xué)院的的MAC課題組等一起聯(lián)合開發(fā)一個稱為課題組等一起聯(lián)合開發(fā)一個稱為Multics的新操作系統(tǒng)，其目標(biāo)是向大的用戶團體提供對的新操作系統(tǒng)，其目標(biāo)是向大的用戶團體提供對

5、計算機的同時訪問，支持強大的計算能力和數(shù)據(jù)計算機的同時訪問，支持強大的計算能力和數(shù)據(jù)存儲，并具有很高的安全性。由于存儲，并具有很高的安全性。由于Multics設(shè)計設(shè)計的復(fù)雜性和理想性，結(jié)果未能達到預(yù)期目標(biāo)。雖的復(fù)雜性和理想性，結(jié)果未能達到預(yù)期目標(biāo)。雖然然Multics未能成功，但它在安全操作系統(tǒng)的研未能成功，但它在安全操作系統(tǒng)的研究方面邁出了重要的一步，為后來的安全操作系究方面邁出了重要的一步，為后來的安全操作系統(tǒng)研究積累了大量經(jīng)驗。統(tǒng)研究積累了大量經(jīng)驗。5v（3）KSOS（Kernelized Secure Operating System）是美國國防部研究計劃局）是美國國防部研究計劃局19

6、77年發(fā)起年發(fā)起的一個安全操作系統(tǒng)研制項目，目標(biāo)是為的一個安全操作系統(tǒng)研制項目，目標(biāo)是為PDP-11/70機器開發(fā)一個可投放市場的安全操作系統(tǒng)，機器開發(fā)一個可投放市場的安全操作系統(tǒng)，系統(tǒng)的要求如下：系統(tǒng)的要求如下： 與貝爾實驗室的與貝爾實驗室的UNIX操作系統(tǒng)兼容；操作系統(tǒng)兼容； 實現(xiàn)多級安全性和完整性；實現(xiàn)多級安全性和完整性； 正確性可以被證明。正確性可以被證明。v（4）1983年，美國國防部頒布了年，美國國防部頒布了歷史上第一個歷史上第一個計算機安全評價標(biāo)準計算機安全評價標(biāo)準-可信計算機系統(tǒng)評價準可信計算機系統(tǒng)評價準則則，簡稱，簡稱TCSEC，因其封面為橘黃色而被稱為，因其封面為橘黃色而被

7、稱為橘皮書。橘皮書。1985年，美國國防部對年，美國國防部對TCSEC進行修訂。進行修訂。TCSEC為計算機系統(tǒng)的可信程度劃分和評價提供為計算機系統(tǒng)的可信程度劃分和評價提供了準則，將安全操作系統(tǒng)研究帶入了一個新階段。了準則，將安全操作系統(tǒng)研究帶入了一個新階段。6v（5）OSF/1是開放軟件基金會于是開放軟件基金會于1990年推出的一年推出的一個安全操作系統(tǒng)，被美國國家計算機安全中心個安全操作系統(tǒng)，被美國國家計算機安全中心（NCSC）認可為符合）認可為符合TCSEC的的B1級，其主要安級，其主要安全性表現(xiàn)如下：全性表現(xiàn)如下： 系統(tǒng)標(biāo)識；系統(tǒng)標(biāo)識； 口令管理；口令管理； 強制存取控制和自主存取控制

8、；強制存取控制和自主存取控制； 審計。審計。v（6）UNIX SVR4.1ES是是UI（UNIX國際組織）于國際組織）于1991年推出的一個安全操作系統(tǒng)，被美國國家計算年推出的一個安全操作系統(tǒng)，被美國國家計算機安全中心（機安全中心（NCSC）認可為符合）認可為符合TCSEC的的B2級，級，除除OSF/1外的安全性主要表現(xiàn)如下：外的安全性主要表現(xiàn)如下： 更全面的存取控制；更全面的存取控制； 更小的特權(quán)管理；更小的特權(quán)管理； 可信通路；可信通路； 隱蔽通道分析和處理隱蔽通道分析和處理。7v（7）1997年美國安全計算公司（年美國安全計算公司（SCC）和國家）和國家安全局（安全局（NSA）完成了）完

9、成了DTOS（Distributed Trusted Operating System）安全操作系統(tǒng)。）安全操作系統(tǒng)。DTOS原型系統(tǒng)以原型系統(tǒng)以Mach為基礎(chǔ)，具有以下設(shè)計目為基礎(chǔ)，具有以下設(shè)計目標(biāo)。標(biāo)。 政策靈活性；政策靈活性； Mach兼容性；兼容性； DTOS內(nèi)核的性能應(yīng)該與內(nèi)核的性能應(yīng)該與Mach內(nèi)核的性能內(nèi)核的性能相近。相近。在安全操作系統(tǒng)的研究方面，我國研究起步比在安全操作系統(tǒng)的研究方面，我國研究起步比較晚，近幾年開展了一系列安全操作系統(tǒng)的研較晚，近幾年開展了一系列安全操作系統(tǒng)的研制工作，通過完成有關(guān)項目，開發(fā)出多種安全制工作，通過完成有關(guān)項目，開發(fā)出多種安全操作系統(tǒng)。操作系統(tǒng)。

10、86.1.2 安全操作系統(tǒng)的設(shè)計安全操作系統(tǒng)的設(shè)計v操作系統(tǒng)由于其在整個計算機系統(tǒng)中的地位和作用，操作系統(tǒng)由于其在整個計算機系統(tǒng)中的地位和作用，要要設(shè)計高度安全性的操作系統(tǒng)非常難設(shè)計高度安全性的操作系統(tǒng)非常難。操作系統(tǒng)功。操作系統(tǒng)功能復(fù)雜，事務(wù)繁忙，要控制和管理系統(tǒng)中數(shù)據(jù)的存能復(fù)雜，事務(wù)繁忙，要控制和管理系統(tǒng)中數(shù)據(jù)的存取、程序運行和外部設(shè)備的工作等，同時還不得不取、程序運行和外部設(shè)備的工作等，同時還不得不承擔(dān)起整個計算機系統(tǒng)的安全保護責(zé)任，這就使得承擔(dān)起整個計算機系統(tǒng)的安全保護責(zé)任，這就使得操作系統(tǒng)的設(shè)計具有很大的難度。操作系統(tǒng)的設(shè)計具有很大的難度。v具有高度安全性的操作系統(tǒng)的設(shè)計，首先考慮標(biāo)

11、準具有高度安全性的操作系統(tǒng)的設(shè)計，首先考慮標(biāo)準通用操作系統(tǒng)的通用操作系統(tǒng)的基本基本設(shè)計原則，然后考慮設(shè)計原則，然后考慮隔離隔離，正，正是通過隔離同時支持用戶域的共享和分割，接下來是通過隔離同時支持用戶域的共享和分割，接下來考察操作系統(tǒng)的考察操作系統(tǒng)的“內(nèi)核內(nèi)核”設(shè)計方法，這是提供安全設(shè)計方法，這是提供安全性的有效途徑，最后考慮性的有效途徑，最后考慮分層分層結(jié)構(gòu)設(shè)計。結(jié)構(gòu)設(shè)計。v以下分別介紹安全操作系統(tǒng)設(shè)計時，需要遵循以下分別介紹安全操作系統(tǒng)設(shè)計時，需要遵循一個一個基本原則和三個性質(zhì)基本原則和三個性質(zhì)。91、安全操作系統(tǒng)設(shè)計的原則、安全操作系統(tǒng)設(shè)計的原則v薩爾哲（薩爾哲（Saltzer）和史克羅

12、德（）和史克羅德（Sroder）提出安）提出安全操作系統(tǒng)設(shè)計的全操作系統(tǒng)設(shè)計的基本原則基本原則：v（1）最小特權(quán)，每個用戶和程序使用盡可能少的）最小特權(quán)，每個用戶和程序使用盡可能少的特權(quán)，以使有意或無意的攻擊所造成的損失達到最特權(quán)，以使有意或無意的攻擊所造成的損失達到最低程度；低程度；v（2）經(jīng)濟性，設(shè)計的操作系統(tǒng)應(yīng)盡可能地小和簡經(jīng)濟性，設(shè)計的操作系統(tǒng)應(yīng)盡可能地小和簡單，以便于驗證和正確執(zhí)行單，以便于驗證和正確執(zhí)行。目前操作系統(tǒng)不能保。目前操作系統(tǒng)不能保證安全的主要原因是它的規(guī)模太大，以至于超出了證安全的主要原因是它的規(guī)模太大，以至于超出了理解的范圍，并且使操作系統(tǒng)永遠存在尚未糾正的理解的范圍

13、，并且使操作系統(tǒng)永遠存在尚未糾正的錯誤的原因。錯誤的原因。v（3）開放設(shè)計，保護機制應(yīng)當(dāng)是公開的，經(jīng)受住）開放設(shè)計，保護機制應(yīng)當(dāng)是公開的，經(jīng)受住廣泛的公開審查。廣泛的公開審查。10v（4）完備的存取控制機制，對每個存取訪問，系）完備的存取控制機制，對每個存取訪問，系統(tǒng)都必須進行檢查控制。統(tǒng)都必須進行檢查控制。 v（5）基于）基于“允許允許”，標(biāo)示的資源應(yīng)該是，標(biāo)示的資源應(yīng)該是“允許存允許存取取”的，而未標(biāo)示的資源是的，而未標(biāo)示的資源是“不允許存取不允許存取”的。的。缺省條件是缺省條件是“不允許存取不允許存取”的。的。v（6）權(quán)限分離。理想情況下，對實體的存取應(yīng)該）權(quán)限分離。理想情況下，對實體的

14、存取應(yīng)該依賴多個條件，依賴多個條件，如用戶身份鑒別加上密鑰如用戶身份鑒別加上密鑰。v（7）避免信息流的潛在通道，可共享實體提供了）避免信息流的潛在通道，可共享實體提供了信息流的潛在通道。系統(tǒng)設(shè)計時應(yīng)采取物理或邏信息流的潛在通道。系統(tǒng)設(shè)計時應(yīng)采取物理或邏輯分離的方法，防止這種潛在通道。輯分離的方法，防止這種潛在通道。v（8）方便使用，存取控制機制方便使用。如不影）方便使用，存取控制機制方便使用。如不影響遵守規(guī)則的用戶；便于用戶授權(quán)存取；便于用響遵守規(guī)則的用戶；便于用戶授權(quán)存?。槐阌谟脩艏s束存取。戶約束存取。112、隔離設(shè)計、隔離設(shè)計v隔離是指采用一定的措施，使系統(tǒng)隔離是指采用一定的措施，使系統(tǒng)某

15、一部分的故障某一部分的故障不影響其它的部分不影響其它的部分。設(shè)計思想設(shè)計思想是把是把一個大系統(tǒng)分割一個大系統(tǒng)分割成若干個互不相交的小系統(tǒng)成若干個互不相交的小系統(tǒng)，對一個任務(wù)來講，由，對一個任務(wù)來講，由幾個獨立的小系統(tǒng)各自獨立的完成自己的任務(wù)，且?guī)讉€獨立的小系統(tǒng)各自獨立的完成自己的任務(wù)，且每兩部分之間都有每兩部分之間都有“保護林保護林”，將錯誤或故障限制，將錯誤或故障限制在盡可能小的范圍，使之造成的損失最小。在盡可能小的范圍，使之造成的損失最小。v（1）物理隔離，各進程使用不同的硬件設(shè)備。如）物理隔離，各進程使用不同的硬件設(shè)備。如敏感的計算任務(wù)在指定的系統(tǒng)中執(zhí)行，非敏感的計敏感的計算任務(wù)在指定的

16、系統(tǒng)中執(zhí)行，非敏感的計算任務(wù)在開發(fā)系統(tǒng)中執(zhí)行；算任務(wù)在開發(fā)系統(tǒng)中執(zhí)行；v（2）時間隔離，不同的時間運行不同的進程。如）時間隔離，不同的時間運行不同的進程。如軍事系統(tǒng)在八點到中午之間執(zhí)行非敏感任務(wù)，只在軍事系統(tǒng)在八點到中午之間執(zhí)行非敏感任務(wù)，只在中午到下午五點執(zhí)行敏感任務(wù)；中午到下午五點執(zhí)行敏感任務(wù)；v（3）密碼隔離，將加密技術(shù)用于隔離，使未授權(quán)）密碼隔離，將加密技術(shù)用于隔離，使未授權(quán)用戶（沒有密碼）不能讀取敏感數(shù)據(jù)；用戶（沒有密碼）不能讀取敏感數(shù)據(jù)；v（4）邏輯隔離，將一個用戶的對象與其他用戶的）邏輯隔離，將一個用戶的對象與其他用戶的對象分割開來。對象分割開來。123、核心設(shè)計、核心設(shè)計v核又

17、稱為核又稱為核心核心，是操作系統(tǒng)中完成最低級功能的部，是操作系統(tǒng)中完成最低級功能的部分。在標(biāo)準的操作系統(tǒng)設(shè)計中，完成許多功能，如分。在標(biāo)準的操作系統(tǒng)設(shè)計中，完成許多功能，如同步進程通訊、信息傳遞及中斷處理等。同步進程通訊、信息傳遞及中斷處理等。v安全核心負責(zé)完成整個操作系統(tǒng)的安全機制。安全核心負責(zé)完成整個操作系統(tǒng)的安全機制。安全安全核心核心在硬件、操作系統(tǒng)和計算機系統(tǒng)的其它部分間在硬件、操作系統(tǒng)和計算機系統(tǒng)的其它部分間提供提供安全接口安全接口，如圖，如圖6-1所示。所示。圖圖6-1 安全操作系統(tǒng)的一般結(jié)構(gòu)安全操作系統(tǒng)的一般結(jié)構(gòu) 硬 件系統(tǒng)軟件核心用戶軟件安全核13v安全核心的實現(xiàn)安全核心的實現(xiàn)

18、可能降低系統(tǒng)性能可能降低系統(tǒng)性能。因為安全核心。因為安全核心在用戶程序和操作系統(tǒng)資源之間增加了一道接口。在用戶程序和操作系統(tǒng)資源之間增加了一道接口。v安全核心的設(shè)計和用途在一定程度上取決于設(shè)計策安全核心的設(shè)計和用途在一定程度上取決于設(shè)計策略，略，一個安全核心可以當(dāng)做額外的操作系統(tǒng)一個安全核心可以當(dāng)做額外的操作系統(tǒng)，也也可可以以作為整個操作系統(tǒng)的一部分進行設(shè)計作為整個操作系統(tǒng)的一部分進行設(shè)計。一般安全一般安全核心包括在操作系統(tǒng)核內(nèi)核心包括在操作系統(tǒng)核內(nèi)。144、層結(jié)構(gòu)設(shè)計、層結(jié)構(gòu)設(shè)計v一個核化的操作系統(tǒng)至少由一個核化的操作系統(tǒng)至少由四層四層組成：組成：硬件、核硬件、核心、操作系統(tǒng)的其它部分和用戶

19、心、操作系統(tǒng)的其它部分和用戶。其中每一層本。其中每一層本身可能包含一些子層。身可能包含一些子層。v可以由一系列同心環(huán)來描述安全操作系統(tǒng)，其中可以由一系列同心環(huán)來描述安全操作系統(tǒng)，其中在最內(nèi)層進行最敏感的操作，一個在最內(nèi)層進行最敏感的操作，一個過程的可信性過程的可信性和存取權(quán)由到中心的接近程度來決定和存取權(quán)由到中心的接近程度來決定，越可信的越可信的過程越接近中心，過程越接近中心，這樣的系統(tǒng)可用圖這樣的系統(tǒng)可用圖6-2表示。表示。15圖圖6-2 不同層次上的模塊操作不同層次上的模塊操作操作系統(tǒng)代碼驗證數(shù)據(jù)修改驗證數(shù)據(jù)比較用戶身份驗證用戶接口最小信任代碼最大信任代碼層次設(shè)計策略被認為是一層次設(shè)計策略

20、被認為是一種較好的操作系統(tǒng)設(shè)計策種較好的操作系統(tǒng)設(shè)計策略。每一層都可以調(diào)用更略。每一層都可以調(diào)用更中心層的服務(wù)，并為外層中心層的服務(wù)，并為外層提供一定的服務(wù)。這樣即提供一定的服務(wù)。這樣即使剝?nèi)ヒ粚?，仍然是一個使剝?nèi)ヒ粚樱匀皇且粋€完整的系統(tǒng)，只是功能上完整的系統(tǒng)，只是功能上有所減少。有所減少。166.1.3操作系統(tǒng)的安全服務(wù)操作系統(tǒng)的安全服務(wù)v操作系統(tǒng)的安全機制主要體現(xiàn)在操作系統(tǒng)的安全機制主要體現(xiàn)在身份認證和訪問控身份認證和訪問控制制兩個方面。兩個方面。身份認證身份認證是要是要保護合法的用戶使用系統(tǒng)，防止保護合法的用戶使用系統(tǒng)，防止非法侵入非法侵入。訪問控制訪問控制是要是要保證授權(quán)和受控的訪問

21、、使用系保證授權(quán)和受控的訪問、使用系統(tǒng)資源統(tǒng)資源。v一般而言，訪問控制服務(wù)和身份認證服務(wù)是緊密結(jié)一般而言，訪問控制服務(wù)和身份認證服務(wù)是緊密結(jié)合在一起的：一個用戶或用戶的合在一起的：一個用戶或用戶的進程進程在訪問在訪問系統(tǒng)資系統(tǒng)資源源之前，必須要經(jīng)過之前，必須要經(jīng)過正確的身份認證正確的身份認證，然后再根據(jù)，然后再根據(jù)自己的授權(quán)情況，自己的授權(quán)情況，受控制地受控制地使用系統(tǒng)資源。使用系統(tǒng)資源。171、用戶管理的安全性、用戶管理的安全性v（1）身份認證機制）身份認證機制v身份認證機制必須是強有力的，即在身份認證機制必須是強有力的，即在用戶登錄時，用戶登錄時，與系統(tǒng)的交互過程必須有安全保護與系統(tǒng)的交互

22、過程必須有安全保護。v身份認證是身份認證是對用戶身份的識別和驗證對用戶身份的識別和驗證，通常采用，通常采用賬號賬號/口令口令的方式。的方式。v用戶賬號必須是唯一的，系統(tǒng)依據(jù)用戶賬號識別用戶賬號必須是唯一的，系統(tǒng)依據(jù)用戶賬號識別出用戶之后，還需通過口令對其進行驗證，驗證出用戶之后，還需通過口令對其進行驗證，驗證其是否為真實用戶。其是否為真實用戶。v用戶用戶賬號和口令賬號和口令是同時使用的，但二者的使用是是同時使用的，但二者的使用是不同的，不同的，用戶賬號用戶賬號是是公開公開的，用于對用戶的的，用于對用戶的識別識別，而而口令口令是是保密保密的，用于的，用于驗證驗證用戶的真?zhèn)巍Ｓ脩舻恼鎮(zhèn)巍?8v（2

23、）用戶口令的）用戶口令的加密加密機制機制v用戶口令的加密算法必須有足夠的安全強度，用用戶口令的加密算法必須有足夠的安全強度，用戶的口令存放必須安全，不能被輕易竊取。戶的口令存放必須安全，不能被輕易竊取。v（3）用戶的賬號管理）用戶的賬號管理v通常通常對用戶賬號進行分組管理對用戶賬號進行分組管理，并且這種分組管，并且這種分組管理應(yīng)該針對安全性問題而考慮的分組。也即應(yīng)當(dāng)理應(yīng)該針對安全性問題而考慮的分組。也即應(yīng)當(dāng)根據(jù)不同的安全級別將用戶分成若干等級，每一根據(jù)不同的安全級別將用戶分成若干等級，每一等級的用戶只能訪問與其等級相應(yīng)的系統(tǒng)資源和等級的用戶只能訪問與其等級相應(yīng)的系統(tǒng)資源和數(shù)據(jù)，執(zhí)行指定范圍內(nèi)的

24、程序。數(shù)據(jù)，執(zhí)行指定范圍內(nèi)的程序。192、訪問控制、訪問控制v經(jīng)過計算機系統(tǒng)身份驗證之后，合法的用戶進入經(jīng)過計算機系統(tǒng)身份驗證之后，合法的用戶進入系統(tǒng)，但并不意味著它具有對系統(tǒng)所有資源的訪系統(tǒng)，但并不意味著它具有對系統(tǒng)所有資源的訪問權(quán)限。還需要通過訪問控制，根據(jù)一定的原則問權(quán)限。還需要通過訪問控制，根據(jù)一定的原則對合法用戶的訪問權(quán)限進行控制，以決定用戶可對合法用戶的訪問權(quán)限進行控制，以決定用戶可以訪問哪些資源，以及以什么樣的方式訪問資源。以訪問哪些資源，以及以什么樣的方式訪問資源。20v訪問控制系統(tǒng)一般包括以下幾個實體。訪問控制系統(tǒng)一般包括以下幾個實體。主體主體（Subject）：發(fā)出訪問操作

25、，是存取要求）：發(fā)出訪問操作，是存取要求的主動方。通?？梢允怯脩簟⑦M程和設(shè)備等。的主動方。通?？梢允怯脩?、進程和設(shè)備等?？腕w客體（Object）：被訪問的對象，是訪問需要）：被訪問的對象，是訪問需要進行控制的資源。通?？梢允潜徽{(diào)用的程序、進行控制的資源。通?？梢允潜徽{(diào)用的程序、進程，要存取的數(shù)據(jù)、信息，要訪問的文件、進程，要存取的數(shù)據(jù)、信息，要訪問的文件、系統(tǒng)或各種網(wǎng)絡(luò)設(shè)備、設(shè)施等資源。系統(tǒng)或各種網(wǎng)絡(luò)設(shè)備、設(shè)施等資源。安全訪問政策安全訪問政策：它是一套規(guī)則，用以確定一個：它是一套規(guī)則，用以確定一個主體是否對客體擁有訪問的能力。主體是否對客體擁有訪問的能力。v由此，訪問控制的由此，訪問控制的目的

26、目的是：限制主體對客體的訪是：限制主體對客體的訪問權(quán)限，從而使計算機系統(tǒng)的資源在合法范圍內(nèi)問權(quán)限，從而使計算機系統(tǒng)的資源在合法范圍內(nèi)被使用。被使用。21v訪問控制常用的實現(xiàn)方法主要有：訪問控制常用的實現(xiàn)方法主要有：v（1）訪問控制表訪問控制表（Access Control List）v一個對象有一個表，用來指出主體對對象的訪問一個對象有一個表，用來指出主體對對象的訪問權(quán)限。還可以將有相同權(quán)限的用戶分組，并授予權(quán)限。還可以將有相同權(quán)限的用戶分組，并授予組的訪問權(quán)。組的訪問權(quán)。v訪問控制表訪問控制表ACL是目前采用最多的一種方式，如是目前采用最多的一種方式，如圖圖6-3所示。所示。22圖圖6-3訪

27、問控制列表訪問控制列表23v（2）訪問控制矩陣訪問控制矩陣（Access Matrix）v用一個矩陣的形式表示訪問控制，行表示主體，列用一個矩陣的形式表示訪問控制，行表示主體，列表示客體，行列交叉點表示某個主體對某個客體的表示客體，行列交叉點表示某個主體對某個客體的訪問權(quán)限。如表訪問權(quán)限。如表6.1所示：所示：表表6.1 訪問控制矩陣訪問控制矩陣 （其中（其中R-讀，讀，W-寫，寫，X-執(zhí)行，執(zhí)行，Own-擁有）擁有） 24v（3）授權(quán)關(guān)系表授權(quán)關(guān)系表Authorization Relations List）v用每一行（或稱為一個元組）表示主體和客體的用每一行（或稱為一個元組）表示主體和客體的

28、一個權(quán)限關(guān)系，如表一個權(quán)限關(guān)系，如表6.2所示。所示。v授權(quán)關(guān)系表可以實現(xiàn)最小化權(quán)限原則及復(fù)雜的安授權(quán)關(guān)系表可以實現(xiàn)最小化權(quán)限原則及復(fù)雜的安全策略。全策略。25表表6.2 授權(quán)關(guān)系表授權(quán)關(guān)系表 26v在訪問控制策略方面，計算機系統(tǒng)常采用以下兩在訪問控制策略方面，計算機系統(tǒng)常采用以下兩種策略。種策略。v（1）自主訪問控制（）自主訪問控制（Discretionary Access Control，DAC）v自主訪問控制自主訪問控制是一種最為普遍的訪問控制手段，是一種最為普遍的訪問控制手段，是指是指對某個客體具有擁有權(quán)的主體對某個客體具有擁有權(quán)的主體能夠?qū)υ摽腕w能夠?qū)υ摽腕w的一種訪問權(quán)或多種訪問權(quán)自

29、主的授予其他主體，的一種訪問權(quán)或多種訪問權(quán)自主的授予其他主體，并在隨后的任何時刻將這些權(quán)限收回。并在隨后的任何時刻將這些權(quán)限收回。v這種控制是自主的，是一種比較寬松的訪問控制。這種控制是自主的，是一種比較寬松的訪問控制。vWindows、UNIX操作系統(tǒng)都采用了自主訪問控操作系統(tǒng)都采用了自主訪問控制策略。制策略。27v（2）強制訪問控制（）強制訪問控制（Mandatory Access Control，MAC）v強制訪問控制強制訪問控制是是“加強加強”給訪問主體的，即系統(tǒng)給訪問主體的，即系統(tǒng)強制主體服從事先制定的訪問控制規(guī)則，這種策強制主體服從事先制定的訪問控制規(guī)則，這種策略是強制性規(guī)定的，用

30、戶或用戶的程序不能加以略是強制性規(guī)定的，用戶或用戶的程序不能加以修改。如果系統(tǒng)認為某用戶不適合訪問某個文件，修改。如果系統(tǒng)認為某用戶不適合訪問某個文件，那么任何人（包括文件擁有者）都無法使該用戶那么任何人（包括文件擁有者）都無法使該用戶具有訪問該文件的權(quán)利。具有訪問該文件的權(quán)利。vMAC主要用于主要用于多層次安全級別的軍事應(yīng)用多層次安全級別的軍事應(yīng)用中。中。286.2 Windows NT/2000的安全的安全v在個人計算機領(lǐng)域，在個人計算機領(lǐng)域，Windows操作系統(tǒng)占據(jù)了大操作系統(tǒng)占據(jù)了大多數(shù)市場份額，而在網(wǎng)絡(luò)服務(wù)領(lǐng)域，多數(shù)市場份額，而在網(wǎng)絡(luò)服務(wù)領(lǐng)域，Windows NT/2000是最流行

31、的桌面操作系統(tǒng)，其友好的操作是最流行的桌面操作系統(tǒng)，其友好的操作界面，眾多強大的網(wǎng)絡(luò)應(yīng)用程序和開發(fā)工具，以及界面，眾多強大的網(wǎng)絡(luò)應(yīng)用程序和開發(fā)工具，以及更為強大的系統(tǒng)安全性，使得很多企業(yè)將更為強大的系統(tǒng)安全性，使得很多企業(yè)將Windows NT/2000作為網(wǎng)管或服務(wù)器的平臺。作為網(wǎng)管或服務(wù)器的平臺。vWindows NT是一個安全的操作系統(tǒng)，它通過了美是一個安全的操作系統(tǒng)，它通過了美國國防部國國防部TCSEC C2級安全認證，具有身份鑒別、級安全認證，具有身份鑒別、具有自主訪問控制、客體共享和安全審計等安全特具有自主訪問控制、客體共享和安全審計等安全特性。性。vWindows 2000是微軟

32、公司于是微軟公司于2000年在年在Windows NT操作系統(tǒng)的技術(shù)之上，開發(fā)的新一代操作系統(tǒng)的技術(shù)之上，開發(fā)的新一代Windows操作系統(tǒng)。操作系統(tǒng)。v在安全性方面，在安全性方面，Windows 2000繼承了很多繼承了很多NT特性，特性，但與但與NT比較，它提供了更多更為強大的安全特性。比較，它提供了更多更為強大的安全特性。296.2.1 Windows NT/2000的安全模型的安全模型vWindows NT/2000的安全模型主要由的安全模型主要由登錄過程登錄過程、本地安全認證本地安全認證、安全賬號管理器安全賬號管理器和和安全參考監(jiān)督安全參考監(jiān)督器器構(gòu)成，如圖構(gòu)成，如圖6-4所示。所示

33、。30圖圖6-4 Windows NT/2000的安全模型的安全模型 311、登錄過程（、登錄過程（Logon Process）v登錄過程用以確認用戶身份是否合法，從而確定登錄過程用以確認用戶身份是否合法，從而確定用戶對系統(tǒng)資源的訪問權(quán)限。用戶對系統(tǒng)資源的訪問權(quán)限。v登錄過程把用戶登錄過程把用戶輸入輸入的登錄信息，通過安全系統(tǒng)的登錄信息，通過安全系統(tǒng)傳輸傳輸?shù)桨踩~號管理器，由安全賬號管理器把此到安全賬號管理器，由安全賬號管理器把此信息同信息同安全賬號數(shù)據(jù)庫的數(shù)據(jù)安全賬號數(shù)據(jù)庫的數(shù)據(jù)進行進行比較比較，如果二，如果二者匹配，則允許用戶進行訪問。然后本地安全認者匹配，則允許用戶進行訪問。然后本地安

34、全認證開始證開始構(gòu)造構(gòu)造訪問令牌，訪問令牌，將訪問令牌與用戶進行的將訪問令牌與用戶進行的所有操作相連接，構(gòu)成一個所有操作相連接，構(gòu)成一個主體主體。主體訪問一個。主體訪問一個對象時，將由訪問令牌的內(nèi)容決定是否能夠訪問。對象時，將由訪問令牌的內(nèi)容決定是否能夠訪問。v登錄過程可以接受登錄過程可以接受本地本地用戶的本地登錄請求，也用戶的本地登錄請求，也可以接受可以接受遠程遠程用戶的登錄請求。用戶的登錄請求。32 （1）本地登錄過程）本地登錄過程如圖如圖6-5所示。所示。v 用戶按用戶按Ctrl+Alt+Del鍵，引起硬件中斷，被系統(tǒng)鍵，引起硬件中斷，被系統(tǒng)捕獲，這樣使操作系統(tǒng)激活捕獲，這樣使操作系統(tǒng)激

35、活WinLogon進程。進程。v WinLogon進程通過進程通過調(diào)用標(biāo)識與鑒別調(diào)用標(biāo)識與鑒別DLL，將登，將登錄窗口（賬號名和口令登錄提示符）展示在用戶面錄窗口（賬號名和口令登錄提示符）展示在用戶面前。前。v WinLogon進程發(fā)送進程發(fā)送賬號名和加密口令賬號名和加密口令到本地到本地安全認證（安全認證（LSA）。）。v 如果用戶具有有效的用戶名和口令，則本地安如果用戶具有有效的用戶名和口令，則本地安全認證產(chǎn)生一個訪問令牌，包括全認證產(chǎn)生一個訪問令牌，包括用戶賬號用戶賬號SID和用和用戶工作組戶工作組SID。v WinLogon進程傳送訪問令牌到進程傳送訪問令牌到Win32模塊，同模塊，同時

36、發(fā)出一個請求，以便為用戶建立登錄進程。時發(fā)出一個請求，以便為用戶建立登錄進程。v 登錄進程建立用戶環(huán)境，包括啟動登錄進程建立用戶環(huán)境，包括啟動Desktop Explorer和顯示背景等。和顯示背景等。33圖圖6-5本地登錄過程本地登錄過程 34（2）網(wǎng)絡(luò)登錄過程）網(wǎng)絡(luò)登錄過程如圖如圖6-6所示。所示。v 用戶將用戶名和口令輸入到網(wǎng)絡(luò)客戶機軟件的登錄用戶將用戶名和口令輸入到網(wǎng)絡(luò)客戶機軟件的登錄窗口。窗口。v 該客戶機軟件打開該客戶機軟件打開NetBIOS，連接到服務(wù)器的，連接到服務(wù)器的NetLogon服務(wù)上，該客戶機軟件對口令加密，發(fā)送服務(wù)上，該客戶機軟件對口令加密，發(fā)送登錄證書到服務(wù)器的登錄

37、證書到服務(wù)器的WinLogon進程。進程。v 服務(wù)器的服務(wù)器的WinLogon進程發(fā)送賬號名和加密口令到進程發(fā)送賬號名和加密口令到本地安全認證。本地安全認證。 v 如果用戶具有有效的用戶名和口令，則本地安全認如果用戶具有有效的用戶名和口令，則本地安全認證產(chǎn)生一個訪問令牌，包括用戶賬號證產(chǎn)生一個訪問令牌，包括用戶賬號SID和用戶工作和用戶工作組組SID。訪問令牌也得到用戶的特權(quán)（。訪問令牌也得到用戶的特權(quán)（LUID），然后），然后該訪問令牌傳送回該訪問令牌傳送回WinLogon進程。進程。v WinLogon進程將訪問令牌傳送到進程將訪問令牌傳送到Windows NT/2000的的Server服

38、務(wù)，它將訪問令牌與被客戶機打服務(wù)，它將訪問令牌與被客戶機打開的開的NetBIOS連接聯(lián)系起來。在具有訪問令牌所建證連接聯(lián)系起來。在具有訪問令牌所建證書的服務(wù)器上，可完成任何在書的服務(wù)器上，可完成任何在NetBIOS連接時所發(fā)送連接時所發(fā)送的其他操作（如讀文件、打印請求等）。的其他操作（如讀文件、打印請求等）。35圖圖6-6網(wǎng)絡(luò)登錄網(wǎng)絡(luò)登錄Windows NT/2000服務(wù)器過程服務(wù)器過程 362、本地安全認證、本地安全認證v本地安全認證（本地安全認證（Local Security Authority，LSA）是）是Windows NT/2000安全模型的核心，安全模型的核心，它通過確認安全賬號

39、管理器中的數(shù)據(jù)信息來處理它通過確認安全賬號管理器中的數(shù)據(jù)信息來處理用戶從本地或遠程的登錄。用戶從本地或遠程的登錄。v本地安全認證確保用戶有存取系統(tǒng)的權(quán)限，從而本地安全認證確保用戶有存取系統(tǒng)的權(quán)限，從而產(chǎn)生訪問令牌，管理本地策略并提交交換式的用產(chǎn)生訪問令牌，管理本地策略并提交交換式的用戶認證服務(wù)。它同時還控制審計方案和將安全參戶認證服務(wù)。它同時還控制審計方案和將安全參考監(jiān)督器的審計信息記入日記。考監(jiān)督器的審計信息記入日記。37圖圖6-4 Windows NT/2000的安全模型的安全模型 383、安全賬號管理器、安全賬號管理器 v安全賬號管理器（安全賬號管理器（Security Account

40、Manager，SAM）維護安全賬號數(shù)據(jù)庫，即）維護安全賬號數(shù)據(jù)庫，即SAM數(shù)據(jù)庫。該數(shù)據(jù)庫。該數(shù)據(jù)庫包含所有用戶和組的賬號信息。數(shù)據(jù)庫包含所有用戶和組的賬號信息。v安全賬號管理器提供用戶登錄認證，負責(zé)對用戶安全賬號管理器提供用戶登錄認證，負責(zé)對用戶輸入的信息與輸入的信息與SAM數(shù)據(jù)庫的信息對比，并為用戶數(shù)據(jù)庫的信息對比，并為用戶賦予一個安全標(biāo)示符（賦予一個安全標(biāo)示符（SID）。）。v根據(jù)網(wǎng)絡(luò)配置的不同，根據(jù)網(wǎng)絡(luò)配置的不同，SAM數(shù)據(jù)庫可能存在于一數(shù)據(jù)庫可能存在于一個或多個個或多個Windows NT/2000系統(tǒng)中。系統(tǒng)中。394、安全參考監(jiān)督器、安全參考監(jiān)督器 v安全參考監(jiān)督器（安全參考監(jiān)

41、督器（Security Reference Monitor，SRM）運行在內(nèi)核模式，它負責(zé)）運行在內(nèi)核模式，它負責(zé)訪問控制訪問控制和和審查審查策略策略。v安全參考監(jiān)督器提供對客體（文件、目錄）的存安全參考監(jiān)督器提供對客體（文件、目錄）的存取權(quán)限，檢查主體（用戶賬號）的訪問權(quán)限，阻取權(quán)限，檢查主體（用戶賬號）的訪問權(quán)限，阻止非授權(quán)用戶訪問對象。為了在整個系統(tǒng)中對不止非授權(quán)用戶訪問對象。為了在整個系統(tǒng)中對不同類型對象提供一致的保護，安全參考監(jiān)督器在同類型對象提供一致的保護，安全參考監(jiān)督器在系統(tǒng)中只保留一個有效訪問代碼的拷貝。系統(tǒng)中只保留一個有效訪問代碼的拷貝。v另外，安全參考監(jiān)督器還負責(zé)實施審計生

42、成策略，另外，安全參考監(jiān)督器還負責(zé)實施審計生成策略，它在驗證對象存取的合法性和檢查主體（用戶賬它在驗證對象存取的合法性和檢查主體（用戶賬號）權(quán)限的同時，生成必要的審計信息。號）權(quán)限的同時，生成必要的審計信息。406.2.2 Windows NT/2000的訪問控制的訪問控制v對系統(tǒng)資源的訪問限制，防止用戶非授權(quán)訪問系對系統(tǒng)資源的訪問限制，防止用戶非授權(quán)訪問系統(tǒng)資源即為訪問控制。統(tǒng)資源即為訪問控制。v1、Windows NT/2000的訪問控制的訪問控制vWindows NT/2000的安全性達到了橘皮書的安全性達到了橘皮書C2級，級，實現(xiàn)了實現(xiàn)了用戶級自主訪問控制用戶級自主訪問控制，它的訪問控

43、制機制，它的訪問控制機制如圖如圖6-7所示。所示。41圖圖6-7 Windows NT客體訪問示意圖客體訪問示意圖 421、Windows NT/2000的訪問控制的訪問控制v當(dāng)一個進程請求當(dāng)一個進程請求Win32執(zhí)行對象的一種操作時，執(zhí)行對象的一種操作時，Win32借助安全參考監(jiān)督器借助安全參考監(jiān)督器SRM進行校驗。安全參進行校驗。安全參考監(jiān)督器首先查看用戶的權(quán)限，然后再將進程的考監(jiān)督器首先查看用戶的權(quán)限，然后再將進程的訪訪問令牌問令牌與對象的與對象的訪問控制列表訪問控制列表進行比較，決定進程進行比較，決定進程是否可以訪問該對象。是否可以訪問該對象。v為了實現(xiàn)進程間的安全訪問，為了實現(xiàn)進程間

44、的安全訪問，Windows NT/2000中的中的對象對象采用了采用了安全性描述符安全性描述符（Security Description）。）。v安全性描述符主要由用戶安全性描述符主要由用戶SID（Owner）、工作組）、工作組SID（Group）、訪問控制列表（）、訪問控制列表（DACL）和系統(tǒng)）和系統(tǒng)訪問控制列表（訪問控制列表（SACL）組成，安全性描述符的構(gòu)）組成，安全性描述符的構(gòu)成如圖成如圖6-8所示。所示。43圖圖6-8 安全性描述符安全性描述符 44v當(dāng)某個進程要訪問一個對象時，當(dāng)某個進程要訪問一個對象時，進程的進程的SID與與對對象的訪問控制列表比較象的訪問控制列表比較，決定是否

45、可以訪問該對，決定是否可以訪問該對象。訪問控制列表由訪問控制項（象。訪問控制列表由訪問控制項（ACE）組成，）組成，每個訪問控制項標(biāo)識每個訪問控制項標(biāo)識用戶和工作組用戶和工作組對該對象的對該對象的訪訪問權(quán)限問權(quán)限。v通常，訪問控制列表有通常，訪問控制列表有3個訪問控制項，分別代個訪問控制項，分別代表如下含義：表如下含義：拒絕拒絕對該對象的訪問；對該對象的訪問；允許允許對該對象讀取和寫入；對該對象讀取和寫入；允許允許執(zhí)行該對象。執(zhí)行該對象。45v訪問控制列表首先列出拒絕訪問的訪問控制項，然訪問控制列表首先列出拒絕訪問的訪問控制項，然后才是允許的訪問控制項。對訪問控制列表判斷的后才是允許的訪問控制

46、項。對訪問控制列表判斷的規(guī)則如下：規(guī)則如下： 從訪問控制列表的第一項開始，檢查每個訪從訪問控制列表的第一項開始，檢查每個訪問控制項，看是否顯式地問控制項，看是否顯式地拒絕拒絕用戶或工作組的用戶或工作組的訪問。訪問。 繼續(xù)檢查，看進程所要求的訪問類型是否顯繼續(xù)檢查，看進程所要求的訪問類型是否顯式地式地授予授予用戶或工作組。用戶或工作組。 重復(fù)步驟（重復(fù)步驟（1）、（）、（2），直到遇到拒絕訪問，），直到遇到拒絕訪問，或是或是累計到所有請求的權(quán)限均被滿足為止累計到所有請求的權(quán)限均被滿足為止。 如果對某個請求的訪問權(quán)限在訪問控制表中如果對某個請求的訪問權(quán)限在訪問控制表中既沒有授權(quán)也沒有拒絕，則拒絕訪

47、問。既沒有授權(quán)也沒有拒絕，則拒絕訪問。462、NTFS文件系統(tǒng)文件系統(tǒng)v在在Windows NT/2000中支持多種文件系統(tǒng)，其中使中支持多種文件系統(tǒng)，其中使用最普遍的是用最普遍的是FAT(File Allocation Table)文件系統(tǒng)文件系統(tǒng)和和NTFS（NT File System）文件系統(tǒng)。）文件系統(tǒng)。vFAT文件系統(tǒng)文件系統(tǒng)較簡單，所占容量與開銷很少，幾乎所較簡單，所占容量與開銷很少，幾乎所有計算機均支持它。但該文件系統(tǒng)有計算機均支持它。但該文件系統(tǒng)不支持訪問控制不支持訪問控制，使操作系統(tǒng)存在較大的不安全性。因此使操作系統(tǒng)存在較大的不安全性。因此Windows NT引進了更為安全

48、的文件系統(tǒng)，即引進了更為安全的文件系統(tǒng)，即NTFS文件系統(tǒng)。文件系統(tǒng)。vNTFS文件系統(tǒng)文件系統(tǒng)主要采用主要采用兩種措施兩種措施對文件系統(tǒng)進行安對文件系統(tǒng)進行安全性保護：對文件和目錄的權(quán)限設(shè)置；對文件內(nèi)容全性保護：對文件和目錄的權(quán)限設(shè)置；對文件內(nèi)容進行加密。進行加密。47v 文件和目錄的權(quán)限文件和目錄的權(quán)限vNTFS文件系統(tǒng)上的每一個文件和目錄在創(chuàng)建時創(chuàng)文件系統(tǒng)上的每一個文件和目錄在創(chuàng)建時創(chuàng)建人就被指定為擁有者。擁有者控制著文件或目錄建人就被指定為擁有者。擁有者控制著文件或目錄的權(quán)限設(shè)置，并能賦予其它用戶訪問權(quán)限。的權(quán)限設(shè)置，并能賦予其它用戶訪問權(quán)限。v通過對文件或目錄的權(quán)限設(shè)置，用戶可以共享

49、相應(yīng)通過對文件或目錄的權(quán)限設(shè)置，用戶可以共享相應(yīng)權(quán)限的文件數(shù)據(jù)，不僅為不同用戶完成共同任務(wù)提權(quán)限的文件數(shù)據(jù)，不僅為不同用戶完成共同任務(wù)提供了基礎(chǔ)，而且還節(jié)省了大量磁盤空間。供了基礎(chǔ)，而且還節(jié)省了大量磁盤空間。48v 文件內(nèi)容的加密文件內(nèi)容的加密vWindows 2000增強了文件系統(tǒng)的增強了文件系統(tǒng)的安全性安全性，采用了，采用了加密文件系統(tǒng)（加密文件系統(tǒng)（EFS，Encrypted File System）技術(shù)。加密文件系統(tǒng)提供的文件加密技術(shù)可以將加技術(shù)。加密文件系統(tǒng)提供的文件加密技術(shù)可以將加密的密的NTFS文件存儲到磁盤上。如果用戶要訪問一文件存儲到磁盤上。如果用戶要訪問一個加密的個加密的N

50、TFS文件，并且有這個文件的密鑰，那文件，并且有這個文件的密鑰，那么用戶就能打開這個文件。沒有該文件密鑰的用戶么用戶就能打開這個文件。沒有該文件密鑰的用戶對文件的訪問將被拒絕。對文件的訪問將被拒絕。496.2.3 Windows NT/2000的安全管理的安全管理vWindows NT/2000的安全性達到了橘皮書的安全性達到了橘皮書C2級，級，在實現(xiàn)登錄過程和訪問控制機制的同時，還提供一在實現(xiàn)登錄過程和訪問控制機制的同時，還提供一定的安全管理機制。以下簡單介紹定的安全管理機制。以下簡單介紹Windows NT/2000的一些安全管理機制。的一些安全管理機制。 1、用戶和用戶組、用戶和用戶組v

51、在在Windows NT/2000中，每個用戶必須有一個賬中，每個用戶必須有一個賬號，賬號是系統(tǒng)安全的核心。在登錄計算機時，系號，賬號是系統(tǒng)安全的核心。在登錄計算機時，系統(tǒng)將用戶賬號信息同用戶的安全數(shù)據(jù)庫進行比較，統(tǒng)將用戶賬號信息同用戶的安全數(shù)據(jù)庫進行比較，若匹配，則允許登錄；在用戶訪問系統(tǒng)資源時，用若匹配，則允許登錄；在用戶訪問系統(tǒng)資源時，用戶賬號決定著對資源的訪問權(quán)限。戶賬號決定著對資源的訪問權(quán)限。50v一般有兩種類型的用戶賬號：一般有兩種類型的用戶賬號：管理員賬號管理員賬號（Administrator）和）和訪問者賬號訪問者賬號（Guest），管），管理員賬號可以利用系統(tǒng)工具來創(chuàng)建。理員

52、賬號可以利用系統(tǒng)工具來創(chuàng)建。v從范圍角度看，用戶賬號還可以分成兩種類型賬號：從范圍角度看，用戶賬號還可以分成兩種類型賬號：全局賬號全局賬號和和本地賬號本地賬號。全局賬號又稱域賬號，可以。全局賬號又稱域賬號，可以在整個域內(nèi)應(yīng)用，而本地賬號只能在生成它的本機在整個域內(nèi)應(yīng)用，而本地賬號只能在生成它的本機上使用。上使用。vWindows NT/2000還支持還支持用戶組用戶組，通過用戶組為，通過用戶組為一組相關(guān)的用戶同時設(shè)置權(quán)限。有兩種類型的用戶一組相關(guān)的用戶同時設(shè)置權(quán)限。有兩種類型的用戶組：組：全局工作組全局工作組和和本地工作組本地工作組。本地工作組只能在。本地工作組只能在本地的系統(tǒng)或域內(nèi)使用。全局

53、工作組可以在系統(tǒng)中本地的系統(tǒng)或域內(nèi)使用。全局工作組可以在系統(tǒng)中相互信任的域中使用。相互信任的域中使用。51v2、域和委托、域和委托v（1）域）域v在在Windows NT/2000中中有兩種類型的網(wǎng)絡(luò)配置有兩種類型的網(wǎng)絡(luò)配置：工作組和域工作組和域。v工作組工作組是單獨的系統(tǒng)，在工作組中系統(tǒng)各自獨立是單獨的系統(tǒng)，在工作組中系統(tǒng)各自獨立管理自己的用戶賬號和組賬號以及它們的安全賬管理自己的用戶賬號和組賬號以及它們的安全賬號管理數(shù)據(jù)庫，不與別的系統(tǒng)共享這些信息。工號管理數(shù)據(jù)庫，不與別的系統(tǒng)共享這些信息。工作組適合于作組適合于小小型網(wǎng)絡(luò)環(huán)境。型網(wǎng)絡(luò)環(huán)境。v域域模型是模型是Windows NT網(wǎng)絡(luò)系統(tǒng)的核

54、心，所有網(wǎng)絡(luò)系統(tǒng)的核心，所有Windows NT的相關(guān)內(nèi)容都是圍繞著域來組織的，的相關(guān)內(nèi)容都是圍繞著域來組織的，域模型在安全方面更具優(yōu)越性。域模型在安全方面更具優(yōu)越性。52v域域是一些是一些服務(wù)器的集合服務(wù)器的集合，這些服務(wù)器被歸為一組，這些服務(wù)器被歸為一組并共享并共享同一個安全策略和用戶賬號數(shù)據(jù)庫同一個安全策略和用戶賬號數(shù)據(jù)庫。域由。域由主域服務(wù)器、備份域服務(wù)器、服務(wù)器和工作站主域服務(wù)器、備份域服務(wù)器、服務(wù)器和工作站組組成成。v域是由主域控制器或備份域控制器來控制的。每域是由主域控制器或備份域控制器來控制的。每個域中只能有一個主域控制器，而備份域控制器個域中只能有一個主域控制器，而備份域控制

55、器有一個或多個。主域控制器作為域中用戶的有一個或多個。主域控制器作為域中用戶的認證認證中心中心，可以由系統(tǒng)管理員建立和其它域的委托關(guān)，可以由系統(tǒng)管理員建立和其它域的委托關(guān)系；備份域控制器存有域中安全賬號管理數(shù)據(jù)庫系；備份域控制器存有域中安全賬號管理數(shù)據(jù)庫的備份，也能的備份，也能驗證用戶登錄上網(wǎng)驗證用戶登錄上網(wǎng)。一旦主域控制。一旦主域控制器崩潰，備份域控制器可以提升為主域控制器，器崩潰，備份域控制器可以提升為主域控制器，使域的機構(gòu)體系繼續(xù)保持穩(wěn)定和統(tǒng)一。使域的機構(gòu)體系繼續(xù)保持穩(wěn)定和統(tǒng)一。v安全賬號管理數(shù)據(jù)庫的原件放在主域控制器上，安全賬號管理數(shù)據(jù)庫的原件放在主域控制器上，并且只能在主域控制器上對

56、數(shù)據(jù)進行維護。在備并且只能在主域控制器上對數(shù)據(jù)進行維護。在備份域控制器中，不允許對數(shù)據(jù)進行任何改動。份域控制器中，不允許對數(shù)據(jù)進行任何改動。53v（2）委托）委托vWindows NT的域間可以建立委托關(guān)系。的域間可以建立委托關(guān)系。委托委托是是一種一種管理方法管理方法，它將兩個域連接在一起，并允許，它將兩個域連接在一起，并允許域中的用戶相互訪問。委托分為兩部分：受托域域中的用戶相互訪問。委托分為兩部分：受托域和委托域。和委托域。受托域受托域就是就是賬號所在域賬號所在域，也稱，也稱賬號域賬號域。委托域委托域含有含有可用的資源可用的資源，也稱，也稱資源域資源域。委托關(guān)系委托關(guān)系可以使用戶可以使用戶

57、賬號和用戶組賬號和用戶組能夠在建立它們的域之能夠在建立它們的域之外的域中使用資源。由此，用戶只需要一個用戶外的域中使用資源。由此，用戶只需要一個用戶賬號和口令就可以訪問多個域。賬號和口令就可以訪問多個域。v域之間的委托關(guān)系主要有兩種：單向的和雙向的。域之間的委托關(guān)系主要有兩種：單向的和雙向的。在單向的域委托關(guān)系關(guān)系中，域在單向的域委托關(guān)系關(guān)系中，域A委托另一個委托另一個域域B，但域，但域B并不信任域并不信任域A。在雙向的域委托關(guān)系關(guān)系中，兩個域之間是相在雙向的域委托關(guān)系關(guān)系中，兩個域之間是相互委托的，即域互委托的，即域A委托域委托域B，域，域B委托域委托域A。54v3、活動目錄（、活動目錄（A

58、ctive Directory）v活動目錄是活動目錄是Windows 2000的核心，它提供了一套的核心，它提供了一套分布式網(wǎng)絡(luò)環(huán)境設(shè)計的目錄服務(wù)分布式網(wǎng)絡(luò)環(huán)境設(shè)計的目錄服務(wù)。v目錄是目錄是存儲各種對象的一個物理上的容器存儲各種對象的一個物理上的容器，目錄目錄管理管理的基本的基本對象對象是是用戶計算機、文件及打印機用戶計算機、文件及打印機等等資源。而資源。而目錄服務(wù)目錄服務(wù)使目錄中所有信息和資源發(fā)揮使目錄中所有信息和資源發(fā)揮作用的服務(wù)，如作用的服務(wù)，如用戶和資源管理、基于目錄的網(wǎng)用戶和資源管理、基于目錄的網(wǎng)絡(luò)服務(wù)、基于網(wǎng)絡(luò)的應(yīng)用管理絡(luò)服務(wù)、基于網(wǎng)絡(luò)的應(yīng)用管理等。因此通過活動等。因此通過活動目錄

59、使得組織機構(gòu)可以有效地對有關(guān)網(wǎng)絡(luò)資源和目錄使得組織機構(gòu)可以有效地對有關(guān)網(wǎng)絡(luò)資源和用戶的信息進行用戶的信息進行共享共享和和管理管理。同時目錄服務(wù)在網(wǎng)。同時目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心絡(luò)安全方面也扮演著中心授權(quán)機構(gòu)授權(quán)機構(gòu)的角色，使操的角色，使操作系統(tǒng)可以輕松驗證用戶身份，并控制其對資源作系統(tǒng)可以輕松驗證用戶身份，并控制其對資源的訪問。的訪問。v下面介紹下面介紹活動目錄活動目錄的的結(jié)構(gòu)結(jié)構(gòu)和和活動目錄活動目錄的的安全服務(wù)安全服務(wù)。55v（1）活動目錄的結(jié)構(gòu)）活動目錄的結(jié)構(gòu)v活動目錄允許組織機構(gòu)按照層次式的、面向?qū)ο蟮幕顒幽夸浽试S組織機構(gòu)按照層次式的、面向?qū)ο蟮姆绞酱鎯π畔?，并方式存儲信息，?/p>

60、提供支持分布式網(wǎng)絡(luò)環(huán)境的多主提供支持分布式網(wǎng)絡(luò)環(huán)境的多主復(fù)制機制復(fù)制機制。v 層次式組織層次式組織v活動目錄是由對象、容器、樹和森林構(gòu)成的層次。活動目錄是由對象、容器、樹和森林構(gòu)成的層次。以以對象對象表示表示用戶、組、主機、設(shè)備和應(yīng)用程序用戶、組、主機、設(shè)備和應(yīng)用程序等等資源；資源；以以容器容器表示表示組織機構(gòu)或相關(guān)對象組織機構(gòu)或相關(guān)對象的集合；的集合；將將信息信息組織成為由組織成為由對象和容器對象和容器組成的組成的樹結(jié)構(gòu)樹結(jié)構(gòu)，并，并且多個樹結(jié)構(gòu)構(gòu)成且多個樹結(jié)構(gòu)構(gòu)成森林森林。56v 面向?qū)ο蟠鎯γ嫦驅(qū)ο蟠鎯活動目錄用活動目錄用對象對象的形式存儲有關(guān)網(wǎng)絡(luò)元素的信息。的形式存儲有關(guān)網(wǎng)絡(luò)元素的信