第2章-操作系統(tǒng)安全

1、第第3章章 安全機(jī)制安全機(jī)制3.1 硬件安全機(jī)制硬件安全機(jī)制3.2 標(biāo)識(shí)與鑒別標(biāo)識(shí)與鑒別3.3 存取控制存取控制3.4 最小特權(quán)管理最小特權(quán)管理3.5 可信通路可信通路3.6 安全審計(jì)安全審計(jì)3.7 UNIX/Linux的安全機(jī)制的安全機(jī)制3.8 本章小結(jié)本章小結(jié)3.9 習(xí)題習(xí)題操作系統(tǒng)是連接硬件與其他應(yīng)用軟件之間的橋梁，操作系統(tǒng)是連接硬件與其他應(yīng)用軟件之間的橋梁，它提供的安全服務(wù)有內(nèi)存保護(hù)、文件保護(hù)、普通實(shí)它提供的安全服務(wù)有內(nèi)存保護(hù)、文件保護(hù)、普通實(shí)體保護(hù)（對(duì)實(shí)體的一般存取控制）、訪問(wèn)鑒別（用體保護(hù)（對(duì)實(shí)體的一般存取控制）、訪問(wèn)鑒別（用戶身份鑒別）等。戶身份鑒別）等。一個(gè)操作系統(tǒng)的安全性可以

2、從如下幾方面加以考慮。一個(gè)操作系統(tǒng)的安全性可以從如下幾方面加以考慮。(1) 物理上分離。要求進(jìn)程使用不同的物理實(shí)體。物理上分離。要求進(jìn)程使用不同的物理實(shí)體。例如將不同的打印機(jī)設(shè)置成具有不同的安全級(jí)別。例如將不同的打印機(jī)設(shè)置成具有不同的安全級(jí)別。(2) 時(shí)間上分離。具有不同安全要求的進(jìn)程在不同時(shí)間上分離。具有不同安全要求的進(jìn)程在不同的時(shí)間運(yùn)行。的時(shí)間運(yùn)行。(3) 邏輯上分離。操作系統(tǒng)通過(guò)限制程序的存取，邏輯上分離。操作系統(tǒng)通過(guò)限制程序的存取，使得程序不能存取其允許范圍外的實(shí)體，從而使用使得程序不能存取其允許范圍外的實(shí)體，從而使用戶感覺自己的操作是在沒有其他進(jìn)程的情況下獨(dú)立戶感覺自己的操作是在沒有

3、其他進(jìn)程的情況下獨(dú)立進(jìn)行。進(jìn)行。(4) 密碼上分離。進(jìn)程以一種其他進(jìn)程不可知的方密碼上分離。進(jìn)程以一種其他進(jìn)程不可知的方式隱藏?cái)?shù)據(jù)及計(jì)算。式隱藏?cái)?shù)據(jù)及計(jì)算。當(dāng)然兩種或多種分離形式的結(jié)合也是可能的。所列當(dāng)然兩種或多種分離形式的結(jié)合也是可能的。所列出的分離策略基本上是按其實(shí)現(xiàn)復(fù)雜度遞增及所提出的分離策略基本上是按其實(shí)現(xiàn)復(fù)雜度遞增及所提供的安全性遞減的次序列出的。供的安全性遞減的次序列出的。然而前兩種方法是然而前兩種方法是非常直接且將導(dǎo)致資源利用率嚴(yán)重下降的方法非常直接且將導(dǎo)致資源利用率嚴(yán)重下降的方法。因。因此為了提高操作系統(tǒng)的性能，要求必須移去操作系此為了提高操作系統(tǒng)的性能，要求必須移去操作系統(tǒng)保

4、護(hù)的這些沉重包袱，并且允許具有不同安全需統(tǒng)保護(hù)的這些沉重包袱，并且允許具有不同安全需求的進(jìn)程并發(fā)執(zhí)行。求的進(jìn)程并發(fā)執(zhí)行。操作系統(tǒng)安全的主要目標(biāo)是操作系統(tǒng)安全的主要目標(biāo)是: 依據(jù)系統(tǒng)安全策略對(duì)用戶的操作進(jìn)行存取控制，依據(jù)系統(tǒng)安全策略對(duì)用戶的操作進(jìn)行存取控制，防止用戶對(duì)計(jì)算機(jī)資源的非法存?。ǜ`取、篡改和防止用戶對(duì)計(jì)算機(jī)資源的非法存?。ǜ`取、篡改和破壞）；破壞）； 標(biāo)識(shí)系統(tǒng)中的用戶并進(jìn)行身份鑒別；標(biāo)識(shí)系統(tǒng)中的用戶并進(jìn)行身份鑒別； 監(jiān)督系統(tǒng)運(yùn)行的安全性；監(jiān)督系統(tǒng)運(yùn)行的安全性； 保證系統(tǒng)自身的安全性和完整性。保證系統(tǒng)自身的安全性和完整性。為了實(shí)現(xiàn)這些目標(biāo)，需要建立相應(yīng)的安全機(jī)制，為了實(shí)現(xiàn)這些目標(biāo)，需要建

5、立相應(yīng)的安全機(jī)制，包包括硬件安全機(jī)制、標(biāo)識(shí)與鑒別、存取控制、最小特括硬件安全機(jī)制、標(biāo)識(shí)與鑒別、存取控制、最小特權(quán)管理、可信通路、安全審計(jì)權(quán)管理、可信通路、安全審計(jì)等。等。絕大多數(shù)實(shí)現(xiàn)操作系統(tǒng)安全的硬件機(jī)制也是傳統(tǒng)操絕大多數(shù)實(shí)現(xiàn)操作系統(tǒng)安全的硬件機(jī)制也是傳統(tǒng)操作系統(tǒng)所要求的。優(yōu)秀的硬件保護(hù)性能是高效、可作系統(tǒng)所要求的。優(yōu)秀的硬件保護(hù)性能是高效、可靠的操作系統(tǒng)的基礎(chǔ)。計(jì)算機(jī)硬件安全的目標(biāo)是保靠的操作系統(tǒng)的基礎(chǔ)。計(jì)算機(jī)硬件安全的目標(biāo)是保證其自身的可靠性并為系統(tǒng)提供基本安全機(jī)制。其證其自身的可靠性并為系統(tǒng)提供基本安全機(jī)制。其中基本中基本安全機(jī)制包括存儲(chǔ)保護(hù)、運(yùn)行保護(hù)、安全機(jī)制包括存儲(chǔ)保護(hù)、運(yùn)行保護(hù)、I

6、/O保保護(hù)護(hù)等。等。3.1 硬件安全機(jī)制硬件安全機(jī)制對(duì)于一個(gè)安全操作系統(tǒng)，存儲(chǔ)保護(hù)是一個(gè)最基本的對(duì)于一個(gè)安全操作系統(tǒng)，存儲(chǔ)保護(hù)是一個(gè)最基本的要求，這主要是指保護(hù)用戶在存儲(chǔ)器中的數(shù)據(jù)。保要求，這主要是指保護(hù)用戶在存儲(chǔ)器中的數(shù)據(jù)。保護(hù)單元為存儲(chǔ)器中的最小數(shù)據(jù)范圍，可為字、字塊、護(hù)單元為存儲(chǔ)器中的最小數(shù)據(jù)范圍，可為字、字塊、頁(yè)面或段。保護(hù)單元越小，則存儲(chǔ)保護(hù)精度越高。頁(yè)面或段。保護(hù)單元越小，則存儲(chǔ)保護(hù)精度越高。對(duì)于代表單個(gè)用戶，在內(nèi)存中一次運(yùn)行一個(gè)進(jìn)程的對(duì)于代表單個(gè)用戶，在內(nèi)存中一次運(yùn)行一個(gè)進(jìn)程的系統(tǒng)，系統(tǒng)，存儲(chǔ)保護(hù)機(jī)制應(yīng)該防止用戶程序?qū)Σ僮飨到y(tǒng)存儲(chǔ)保護(hù)機(jī)制應(yīng)該防止用戶程序?qū)Σ僮飨到y(tǒng)的影響的影響。在

7、允許多道程序并發(fā)運(yùn)行的多任務(wù)操作系。在允許多道程序并發(fā)運(yùn)行的多任務(wù)操作系統(tǒng)中，統(tǒng)中，還進(jìn)一步要求存儲(chǔ)保護(hù)機(jī)制對(duì)進(jìn)程的存儲(chǔ)區(qū)還進(jìn)一步要求存儲(chǔ)保護(hù)機(jī)制對(duì)進(jìn)程的存儲(chǔ)區(qū)域?qū)嵭谢ハ喔綦x域?qū)嵭谢ハ喔綦x。存儲(chǔ)保護(hù)與存儲(chǔ)器管理存儲(chǔ)保護(hù)與存儲(chǔ)器管理是緊密相關(guān)的，存儲(chǔ)保護(hù)負(fù)是緊密相關(guān)的，存儲(chǔ)保護(hù)負(fù)責(zé)保證系統(tǒng)各個(gè)任務(wù)之間互不干擾；存儲(chǔ)器管理則責(zé)保證系統(tǒng)各個(gè)任務(wù)之間互不干擾；存儲(chǔ)器管理則是為了更有效地利用存儲(chǔ)空間。是為了更有效地利用存儲(chǔ)空間。3.1.1 存儲(chǔ)保護(hù)存儲(chǔ)保護(hù)1. 存儲(chǔ)器管理的基本概念存儲(chǔ)器管理的基本概念1) 虛地址空間虛地址空間一個(gè)進(jìn)程的運(yùn)行需要一個(gè)一個(gè)進(jìn)程的運(yùn)行需要一個(gè)“私有的私有的”存儲(chǔ)空間，進(jìn)存儲(chǔ)空

8、間，進(jìn)程的程序與數(shù)據(jù)都存于該空間中，這個(gè)空間不包括程的程序與數(shù)據(jù)都存于該空間中，這個(gè)空間不包括該進(jìn)程通過(guò)該進(jìn)程通過(guò)I/O指令訪問(wèn)的輔存空間（磁帶、磁盤指令訪問(wèn)的輔存空間（磁帶、磁盤等）。在這個(gè)進(jìn)程地址空間中，每一個(gè)字都有一個(gè)等）。在這個(gè)進(jìn)程地址空間中，每一個(gè)字都有一個(gè)固定的虛地址（并不是目標(biāo)的物理地址，但每一個(gè)固定的虛地址（并不是目標(biāo)的物理地址，但每一個(gè)虛地址均可映射成一個(gè)物理地址），進(jìn)程通過(guò)這個(gè)虛地址均可映射成一個(gè)物理地址），進(jìn)程通過(guò)這個(gè)虛地址訪問(wèn)這個(gè)字。大多數(shù)系統(tǒng)都支持某種類型的虛地址訪問(wèn)這個(gè)字。大多數(shù)系統(tǒng)都支持某種類型的虛存方式，這種虛存方式使得一個(gè)字的物理定位是虛存方式，這種虛存方式使

9、得一個(gè)字的物理定位是可變的，在每次調(diào)度該進(jìn)程時(shí)，它的物理地址可能可變的，在每次調(diào)度該進(jìn)程時(shí)，它的物理地址可能不同。不同。2) 段段在絕大部分系統(tǒng)中，一個(gè)進(jìn)程的虛地址空間至少要在絕大部分系統(tǒng)中，一個(gè)進(jìn)程的虛地址空間至少要被分成兩部分或稱兩個(gè)段被分成兩部分或稱兩個(gè)段: 一個(gè)用于用戶程序與數(shù)一個(gè)用于用戶程序與數(shù)據(jù)，稱為用戶空間；另一個(gè)用于操作系統(tǒng)，稱為系據(jù)，稱為用戶空間；另一個(gè)用于操作系統(tǒng)，稱為系統(tǒng)空間統(tǒng)空間。兩者的隔離是靜態(tài)的，也是比較簡(jiǎn)單的。兩者的隔離是靜態(tài)的，也是比較簡(jiǎn)單的。駐留在內(nèi)存中的操作系統(tǒng)可以由所有進(jìn)程共享駐留在內(nèi)存中的操作系統(tǒng)可以由所有進(jìn)程共享。雖。雖然有些系統(tǒng)允許各進(jìn)程共享一些物理

10、頁(yè)，但用戶間然有些系統(tǒng)允許各進(jìn)程共享一些物理頁(yè)，但用戶間是彼此隔離的。最靈活的分段虛存方式是是彼此隔離的。最靈活的分段虛存方式是: 允許一允許一個(gè)進(jìn)程擁有許多段，這些段中的任何一個(gè)都可以由個(gè)進(jìn)程擁有許多段，這些段中的任何一個(gè)都可以由其他進(jìn)程共享。其他進(jìn)程共享。2. 內(nèi)存管理的訪問(wèn)控制內(nèi)存管理的訪問(wèn)控制當(dāng)系統(tǒng)的地址空間分為兩個(gè)段時(shí)（系統(tǒng)段與用戶當(dāng)系統(tǒng)的地址空間分為兩個(gè)段時(shí)（系統(tǒng)段與用戶段），應(yīng)禁止在用戶模式下運(yùn)行的非特權(quán)進(jìn)程向系段），應(yīng)禁止在用戶模式下運(yùn)行的非特權(quán)進(jìn)程向系統(tǒng)段進(jìn)行寫操作，而在系統(tǒng)模式下運(yùn)行時(shí)，則允許統(tǒng)段進(jìn)行寫操作，而在系統(tǒng)模式下運(yùn)行時(shí)，則允許進(jìn)程對(duì)所有的虛存空間進(jìn)行讀寫操作。進(jìn)程

11、對(duì)所有的虛存空間進(jìn)行讀寫操作。用戶模式到用戶模式到系統(tǒng)模式的轉(zhuǎn)換應(yīng)由一個(gè)特殊的指令完成，該指令系統(tǒng)模式的轉(zhuǎn)換應(yīng)由一個(gè)特殊的指令完成，該指令將限制進(jìn)程只能對(duì)部分系統(tǒng)空間進(jìn)程進(jìn)行訪問(wèn)將限制進(jìn)程只能對(duì)部分系統(tǒng)空間進(jìn)程進(jìn)行訪問(wèn)。這。這些訪問(wèn)限制一般是由硬件根據(jù)該進(jìn)程的特權(quán)模式實(shí)些訪問(wèn)限制一般是由硬件根據(jù)該進(jìn)程的特權(quán)模式實(shí)施的，但從系統(tǒng)靈活性的角度看，還是希望由系統(tǒng)施的，但從系統(tǒng)靈活性的角度看，還是希望由系統(tǒng)軟件精確地說(shuō)明對(duì)該進(jìn)程而言軟件精確地說(shuō)明對(duì)該進(jìn)程而言: 系統(tǒng)空間的哪一頁(yè)系統(tǒng)空間的哪一頁(yè)是可讀的，哪一頁(yè)是可寫的。是可讀的，哪一頁(yè)是可寫的。在計(jì)算機(jī)系統(tǒng)提供透明的內(nèi)存管理之前，在計(jì)算機(jī)系統(tǒng)提供透明的

12、內(nèi)存管理之前，訪問(wèn)判決訪問(wèn)判決是基于物理頁(yè)號(hào)的識(shí)別是基于物理頁(yè)號(hào)的識(shí)別。每個(gè)物理頁(yè)號(hào)都被加上一。每個(gè)物理頁(yè)號(hào)都被加上一個(gè)稱為個(gè)稱為密鑰密鑰的秘密信息；系統(tǒng)只允許擁有該密鑰的的秘密信息；系統(tǒng)只允許擁有該密鑰的進(jìn)程訪問(wèn)該物理頁(yè)，同時(shí)利用一些訪問(wèn)控制信息指進(jìn)程訪問(wèn)該物理頁(yè)，同時(shí)利用一些訪問(wèn)控制信息指明該頁(yè)是可讀的還是可寫的。每個(gè)進(jìn)程相應(yīng)地分配明該頁(yè)是可讀的還是可寫的。每個(gè)進(jìn)程相應(yīng)地分配一個(gè)密鑰，該密鑰由操作系統(tǒng)裝入進(jìn)程的狀態(tài)字中。一個(gè)密鑰，該密鑰由操作系統(tǒng)裝入進(jìn)程的狀態(tài)字中。每次執(zhí)行進(jìn)程訪問(wèn)內(nèi)存的操作時(shí)，由硬件對(duì)該密鑰每次執(zhí)行進(jìn)程訪問(wèn)內(nèi)存的操作時(shí)，由硬件對(duì)該密鑰進(jìn)行檢驗(yàn)，進(jìn)行檢驗(yàn)，只有當(dāng)進(jìn)程的密鑰與

13、內(nèi)存物理頁(yè)的密鑰只有當(dāng)進(jìn)程的密鑰與內(nèi)存物理頁(yè)的密鑰相匹配，并且相應(yīng)的訪問(wèn)控制信息與該物理頁(yè)的讀相匹配，并且相應(yīng)的訪問(wèn)控制信息與該物理頁(yè)的讀寫模式相匹配時(shí)，才允許該進(jìn)程訪問(wèn)該頁(yè)內(nèi)存，否寫模式相匹配時(shí)，才允許該進(jìn)程訪問(wèn)該頁(yè)內(nèi)存，否則禁止訪問(wèn)。則禁止訪問(wèn)。這種對(duì)物理頁(yè)附加密鑰的方法是這種對(duì)物理頁(yè)附加密鑰的方法是比較煩瑣比較煩瑣的。的。采用基于描述符的地址解釋機(jī)制可以避免上述管理采用基于描述符的地址解釋機(jī)制可以避免上述管理上的困難。在這種方式下，每個(gè)進(jìn)程都有一個(gè)上的困難。在這種方式下，每個(gè)進(jìn)程都有一個(gè)“私私有的有的”地址描述符，進(jìn)程對(duì)系統(tǒng)內(nèi)存某頁(yè)或某段的地址描述符，進(jìn)程對(duì)系統(tǒng)內(nèi)存某頁(yè)或某段的訪問(wèn)模式都

14、在該描述符中說(shuō)明?？梢杂袃深愒L問(wèn)模訪問(wèn)模式都在該描述符中說(shuō)明。可以有兩類訪問(wèn)模式集，一類用于在用戶狀態(tài)下運(yùn)行的進(jìn)程，一類用式集，一類用于在用戶狀態(tài)下運(yùn)行的進(jìn)程，一類用于在系統(tǒng)模式下運(yùn)行的進(jìn)程。于在系統(tǒng)模式下運(yùn)行的進(jìn)程。在地址描述符中，在地址描述符中，W、R、X各占一比特，它們用各占一比特，它們用來(lái)指明是否允許進(jìn)程對(duì)內(nèi)存的某頁(yè)或某段進(jìn)行寫、來(lái)指明是否允許進(jìn)程對(duì)內(nèi)存的某頁(yè)或某段進(jìn)行寫、讀和運(yùn)行的訪問(wèn)操作。由于在地址解釋期間，地址讀和運(yùn)行的訪問(wèn)操作。由于在地址解釋期間，地址描述符同時(shí)也被系統(tǒng)調(diào)用檢驗(yàn)，所以這種基于描述描述符同時(shí)也被系統(tǒng)調(diào)用檢驗(yàn)，所以這種基于描述符的內(nèi)存訪問(wèn)控制方法，在進(jìn)程轉(zhuǎn)換、運(yùn)行模

15、式符的內(nèi)存訪問(wèn)控制方法，在進(jìn)程轉(zhuǎn)換、運(yùn)行模式（系統(tǒng)模式與用戶模式）轉(zhuǎn)換以及進(jìn)程調(diào)出（系統(tǒng)模式與用戶模式）轉(zhuǎn)換以及進(jìn)程調(diào)出/調(diào)入調(diào)入內(nèi)存等過(guò)程中，不需要或僅需要很少的額外開銷。內(nèi)存等過(guò)程中，不需要或僅需要很少的額外開銷。安全操作系統(tǒng)很重要的一點(diǎn)是進(jìn)行分層設(shè)計(jì)，而運(yùn)安全操作系統(tǒng)很重要的一點(diǎn)是進(jìn)行分層設(shè)計(jì)，而運(yùn)行域正是這樣一種基于保護(hù)環(huán)的等級(jí)式結(jié)構(gòu)。行域正是這樣一種基于保護(hù)環(huán)的等級(jí)式結(jié)構(gòu)。運(yùn)行運(yùn)行域是進(jìn)程運(yùn)行的區(qū)域，在最內(nèi)層具有最小環(huán)號(hào)的環(huán)域是進(jìn)程運(yùn)行的區(qū)域，在最內(nèi)層具有最小環(huán)號(hào)的環(huán)具有最高特權(quán)，而在最外層具有最大環(huán)號(hào)的環(huán)是最具有最高特權(quán)，而在最外層具有最大環(huán)號(hào)的環(huán)是最小的特權(quán)環(huán)。小的特權(quán)環(huán)。一般的

16、系統(tǒng)不少于一般的系統(tǒng)不少于34個(gè)環(huán)。個(gè)環(huán)。設(shè)置兩環(huán)系統(tǒng)是很容易理解的，它只是為了設(shè)置兩環(huán)系統(tǒng)是很容易理解的，它只是為了隔離操隔離操作系統(tǒng)程序與用戶程序作系統(tǒng)程序與用戶程序。對(duì)于多環(huán)結(jié)構(gòu)，它的最內(nèi)。對(duì)于多環(huán)結(jié)構(gòu)，它的最內(nèi)層是操作系統(tǒng)，它控制整個(gè)計(jì)算機(jī)系統(tǒng)的運(yùn)行；靠層是操作系統(tǒng)，它控制整個(gè)計(jì)算機(jī)系統(tǒng)的運(yùn)行；靠近操作系統(tǒng)環(huán)之外的是受限使用的系統(tǒng)應(yīng)用環(huán)，如近操作系統(tǒng)環(huán)之外的是受限使用的系統(tǒng)應(yīng)用環(huán)，如數(shù)據(jù)庫(kù)管理系統(tǒng)或事務(wù)處理系統(tǒng)；最外一層則是控?cái)?shù)據(jù)庫(kù)管理系統(tǒng)或事務(wù)處理系統(tǒng)；最外一層則是控制各種不同用戶的應(yīng)用環(huán)，如圖制各種不同用戶的應(yīng)用環(huán)，如圖3-1所示。所示。3.1.2 運(yùn)行保護(hù)運(yùn)行保護(hù)圖圖3-1 多環(huán)

17、結(jié)構(gòu)示意多環(huán)結(jié)構(gòu)示意在這里最重要的安全概念是在這里最重要的安全概念是: 等級(jí)域機(jī)制應(yīng)該保護(hù)等級(jí)域機(jī)制應(yīng)該保護(hù)某一環(huán)不被其外層環(huán)侵入，并且允許在某一環(huán)內(nèi)的某一環(huán)不被其外層環(huán)侵入，并且允許在某一環(huán)內(nèi)的進(jìn)程能夠有效地控制和利用該環(huán)以及該環(huán)以外的環(huán)進(jìn)程能夠有效地控制和利用該環(huán)以及該環(huán)以外的環(huán)。進(jìn)程隔離機(jī)制與等級(jí)域機(jī)制是不同的。給定一個(gè)進(jìn)進(jìn)程隔離機(jī)制與等級(jí)域機(jī)制是不同的。給定一個(gè)進(jìn)程，它可以在任意時(shí)刻在任何一個(gè)環(huán)內(nèi)運(yùn)行，在運(yùn)程，它可以在任意時(shí)刻在任何一個(gè)環(huán)內(nèi)運(yùn)行，在運(yùn)行期間還可以從一個(gè)環(huán)轉(zhuǎn)移到另一個(gè)環(huán)。當(dāng)一個(gè)進(jìn)行期間還可以從一個(gè)環(huán)轉(zhuǎn)移到另一個(gè)環(huán)。當(dāng)一個(gè)進(jìn)程在某個(gè)環(huán)內(nèi)運(yùn)行時(shí)，程在某個(gè)環(huán)內(nèi)運(yùn)行時(shí)，進(jìn)程隔離機(jī)

18、制將保護(hù)該進(jìn)程進(jìn)程隔離機(jī)制將保護(hù)該進(jìn)程免遭在同一環(huán)內(nèi)同時(shí)運(yùn)行的其他進(jìn)程破壞，也就是免遭在同一環(huán)內(nèi)同時(shí)運(yùn)行的其他進(jìn)程破壞，也就是說(shuō)，系統(tǒng)將隔離在同一環(huán)內(nèi)同時(shí)運(yùn)行的各個(gè)進(jìn)程說(shuō)，系統(tǒng)將隔離在同一環(huán)內(nèi)同時(shí)運(yùn)行的各個(gè)進(jìn)程。為實(shí)現(xiàn)兩域結(jié)構(gòu)，為實(shí)現(xiàn)兩域結(jié)構(gòu)，在段描述符中相應(yīng)地有兩類訪問(wèn)在段描述符中相應(yīng)地有兩類訪問(wèn)模式信息，一類用于系統(tǒng)域，一類用于用戶域模式信息，一類用于系統(tǒng)域，一類用于用戶域。這。這種訪問(wèn)模式信息決定了對(duì)該段可進(jìn)行的訪問(wèn)模式，種訪問(wèn)模式信息決定了對(duì)該段可進(jìn)行的訪問(wèn)模式，如圖如圖3-2所示。所示。圖圖3-2 兩域結(jié)構(gòu)中的段描述符兩域結(jié)構(gòu)中的段描述符如果要實(shí)現(xiàn)多級(jí)域，那就需要在每個(gè)段描述符中保如

19、果要實(shí)現(xiàn)多級(jí)域，那就需要在每個(gè)段描述符中保存一個(gè)分立的存一個(gè)分立的W、R、X比特集，集的大小將取決比特集，集的大小將取決于設(shè)立多少個(gè)等級(jí)。這在管理上是很笨拙的，但我于設(shè)立多少個(gè)等級(jí)。這在管理上是很笨拙的，但我們可以根據(jù)等級(jí)原則簡(jiǎn)化段描述符以便于管理。在們可以根據(jù)等級(jí)原則簡(jiǎn)化段描述符以便于管理。在描述符中，不用為每個(gè)環(huán)都保存相應(yīng)的訪問(wèn)模式信描述符中，不用為每個(gè)環(huán)都保存相應(yīng)的訪問(wèn)模式信息。對(duì)于一個(gè)給定的內(nèi)存段，僅需要息。對(duì)于一個(gè)給定的內(nèi)存段，僅需要3個(gè)區(qū)域（它個(gè)區(qū)域（它們表示們表示3種訪問(wèn)模式），在這種訪問(wèn)模式），在這3個(gè)區(qū)域中只要保存具個(gè)區(qū)域中只要保存具有該訪問(wèn)模式的最大環(huán)號(hào)即可，如圖有該訪問(wèn)模

20、式的最大環(huán)號(hào)即可，如圖3-3所示。所示。段描述符：段描述符：圖圖3-3 多域結(jié)構(gòu)中的段描述符多域結(jié)構(gòu)中的段描述符我們稱這我們稱這3個(gè)環(huán)號(hào)為環(huán)界（個(gè)環(huán)號(hào)為環(huán)界（ring bracket）。）。相應(yīng)地，相應(yīng)地，這里這里R1，R2，R3分別表示對(duì)該段可以進(jìn)行寫、讀、分別表示對(duì)該段可以進(jìn)行寫、讀、運(yùn)行操作的環(huán)界。運(yùn)行操作的環(huán)界。實(shí)際上如果某環(huán)內(nèi)的某一進(jìn)程對(duì)內(nèi)存某段具有寫操實(shí)際上如果某環(huán)內(nèi)的某一進(jìn)程對(duì)內(nèi)存某段具有寫操作的特權(quán)，那就不必限制其對(duì)該段的讀與運(yùn)行操作作的特權(quán)，那就不必限制其對(duì)該段的讀與運(yùn)行操作特權(quán)。此外如果進(jìn)程對(duì)某段具有讀操作的特權(quán)，那特權(quán)。此外如果進(jìn)程對(duì)某段具有讀操作的特權(quán)，那當(dāng)然允許其運(yùn)行

21、該段的內(nèi)容。所以實(shí)際上總是可以當(dāng)然允許其運(yùn)行該段的內(nèi)容。所以實(shí)際上總是可以設(shè)定為設(shè)定為R1R2R3R1R2R3如果某段對(duì)具有較低特權(quán)的環(huán)而言是可寫的，那么如果某段對(duì)具有較低特權(quán)的環(huán)而言是可寫的，那么在較高特權(quán)環(huán)內(nèi)運(yùn)行該段的內(nèi)容將是危險(xiǎn)的，因?yàn)樵谳^高特權(quán)環(huán)內(nèi)運(yùn)行該段的內(nèi)容將是危險(xiǎn)的，因?yàn)樵摱蝺?nèi)容中可能含有破壞系統(tǒng)運(yùn)行或偷竊系統(tǒng)機(jī)密該段內(nèi)容中可能含有破壞系統(tǒng)運(yùn)行或偷竊系統(tǒng)機(jī)密信息的非法程序（如特洛伊木馬）。所以從安全性信息的非法程序（如特洛伊木馬）。所以從安全性的角度考慮，的角度考慮，不允許低特權(quán)環(huán)內(nèi)編寫（修改）的程不允許低特權(quán)環(huán)內(nèi)編寫（修改）的程序在高特權(quán)環(huán)內(nèi)運(yùn)行。序在高特權(quán)環(huán)內(nèi)運(yùn)行。環(huán)界集為（

22、環(huán)界集為（0，0，0）的段只允許最內(nèi)環(huán)（具最高）的段只允許最內(nèi)環(huán)（具最高特權(quán)）訪問(wèn)，而環(huán)界集為（特權(quán)）訪問(wèn)，而環(huán)界集為（7，7，7）則表示任何）則表示任何環(huán)都可以對(duì)該段進(jìn)行任何形式的訪問(wèn)操作。環(huán)都可以對(duì)該段進(jìn)行任何形式的訪問(wèn)操作。由于由于0環(huán)是最高特權(quán)環(huán)，所以一般不限制環(huán)是最高特權(quán)環(huán)，所以一般不限制0環(huán)內(nèi)的用戶對(duì)環(huán)內(nèi)的用戶對(duì)段的訪問(wèn)模式。段的訪問(wèn)模式。對(duì)于一個(gè)給定的段，每個(gè)進(jìn)程都有一個(gè)相應(yīng)的段描對(duì)于一個(gè)給定的段，每個(gè)進(jìn)程都有一個(gè)相應(yīng)的段描述符表以及相應(yīng)的訪問(wèn)模式信息。利用環(huán)界集最述符表以及相應(yīng)的訪問(wèn)模式信息。利用環(huán)界集最直觀和最簡(jiǎn)單的方法是，對(duì)于一個(gè)給定的段，為每直觀和最簡(jiǎn)單的方法是，對(duì)于一個(gè)

23、給定的段，為每個(gè)進(jìn)程分配一個(gè)相應(yīng)的環(huán)界集，不同的進(jìn)程對(duì)該段個(gè)進(jìn)程分配一個(gè)相應(yīng)的環(huán)界集，不同的進(jìn)程對(duì)該段的環(huán)界可能是不同的。這種方法不能解決在同一環(huán)的環(huán)界可能是不同的。這種方法不能解決在同一環(huán)內(nèi)，兩個(gè)進(jìn)程對(duì)共享段設(shè)立不同訪問(wèn)模式的問(wèn)題。內(nèi)，兩個(gè)進(jìn)程對(duì)共享段設(shè)立不同訪問(wèn)模式的問(wèn)題。為解決這個(gè)問(wèn)題所采取的方法是：為解決這個(gè)問(wèn)題所采取的方法是： 將段的環(huán)界集將段的環(huán)界集定義為系統(tǒng)屬性，它只說(shuō)明某環(huán)內(nèi)的進(jìn)程對(duì)該段具定義為系統(tǒng)屬性，它只說(shuō)明某環(huán)內(nèi)的進(jìn)程對(duì)該段具有什么樣的訪問(wèn)模式，即哪個(gè)環(huán)內(nèi)的進(jìn)程可以訪問(wèn)有什么樣的訪問(wèn)模式，即哪個(gè)環(huán)內(nèi)的進(jìn)程可以訪問(wèn)該段以及可以進(jìn)行何種模式的訪問(wèn)，而不考慮究竟該段以及可以進(jìn)行

24、何種模式的訪問(wèn)，而不考慮究竟是哪個(gè)進(jìn)程訪問(wèn)該段。所以對(duì)一個(gè)給定的段，不是是哪個(gè)進(jìn)程訪問(wèn)該段。所以對(duì)一個(gè)給定的段，不是為每個(gè)進(jìn)程都分配一個(gè)相應(yīng)的環(huán)界集，而是為所有為每個(gè)進(jìn)程都分配一個(gè)相應(yīng)的環(huán)界集，而是為所有進(jìn)程都分配一個(gè)相同的環(huán)界集。同時(shí)，在段描述符進(jìn)程都分配一個(gè)相同的環(huán)界集。同時(shí)，在段描述符中再增加中再增加3個(gè)訪問(wèn)模式位個(gè)訪問(wèn)模式位W、R、X。訪問(wèn)模式位對(duì)訪問(wèn)模式位對(duì)不同的進(jìn)程是不同的。這時(shí)對(duì)一個(gè)給定段的訪問(wèn)不同的進(jìn)程是不同的。這時(shí)對(duì)一個(gè)給定段的訪問(wèn)條件是：條件是： 僅當(dāng)一個(gè)進(jìn)程在環(huán)界集限定的環(huán)內(nèi)運(yùn)行僅當(dāng)一個(gè)進(jìn)程在環(huán)界集限定的環(huán)內(nèi)運(yùn)行且相應(yīng)的訪問(wèn)模式位是且相應(yīng)的訪問(wèn)模式位是ON，才允許該進(jìn)程對(duì)

25、該段才允許該進(jìn)程對(duì)該段進(jìn)行相應(yīng)的訪問(wèn)操作。每個(gè)進(jìn)程的段描述表中的段進(jìn)行相應(yīng)的訪問(wèn)操作。每個(gè)進(jìn)程的段描述表中的段描述符都包含上述兩類信息。環(huán)界集對(duì)所有進(jìn)程都描述符都包含上述兩類信息。環(huán)界集對(duì)所有進(jìn)程都是相同的，而對(duì)不同的進(jìn)程可設(shè)置不同的訪問(wèn)模式是相同的，而對(duì)不同的進(jìn)程可設(shè)置不同的訪問(wèn)模式集。集。在一個(gè)進(jìn)程內(nèi)往往會(huì)發(fā)生過(guò)程調(diào)用，通過(guò)這些調(diào)用，在一個(gè)進(jìn)程內(nèi)往往會(huì)發(fā)生過(guò)程調(diào)用，通過(guò)這些調(diào)用，該進(jìn)程可以在幾個(gè)環(huán)內(nèi)往復(fù)轉(zhuǎn)移。為安全起見，在該進(jìn)程可以在幾個(gè)環(huán)內(nèi)往復(fù)轉(zhuǎn)移。為安全起見，在發(fā)生過(guò)程調(diào)用時(shí)，需要對(duì)過(guò)程進(jìn)行檢驗(yàn)。發(fā)生過(guò)程調(diào)用時(shí)，需要對(duì)過(guò)程進(jìn)行檢驗(yàn)。人們往往首先從系統(tǒng)的人們往往首先從系統(tǒng)的I/O部分尋找

26、操作系統(tǒng)安全部分尋找操作系統(tǒng)安全方面的缺陷。絕大多數(shù)情況下，方面的缺陷。絕大多數(shù)情況下，I/O是僅由操作系是僅由操作系統(tǒng)完成的一個(gè)特權(quán)操作，所有操作系統(tǒng)都對(duì)讀寫文統(tǒng)完成的一個(gè)特權(quán)操作，所有操作系統(tǒng)都對(duì)讀寫文件操作提供一個(gè)相應(yīng)的高層系統(tǒng)調(diào)用，在這些過(guò)程件操作提供一個(gè)相應(yīng)的高層系統(tǒng)調(diào)用，在這些過(guò)程中，用戶不需要控制中，用戶不需要控制I/O操作的細(xì)節(jié)。操作的細(xì)節(jié)。I/O介質(zhì)輸出訪問(wèn)控制最簡(jiǎn)單介質(zhì)輸出訪問(wèn)控制最簡(jiǎn)單的方式是將設(shè)備看作的方式是將設(shè)備看作是一個(gè)客體，仿佛它們都處于安全邊界外是一個(gè)客體，仿佛它們都處于安全邊界外。由于所。由于所有的有的I/O不是向設(shè)備寫數(shù)據(jù)就是從設(shè)備接收數(shù)據(jù)，不是向設(shè)備寫數(shù)據(jù)

27、就是從設(shè)備接收數(shù)據(jù)，所以所以一個(gè)進(jìn)行一個(gè)進(jìn)行I/O操作的進(jìn)程必須受到對(duì)設(shè)備的讀操作的進(jìn)程必須受到對(duì)設(shè)備的讀寫兩種訪問(wèn)控制寫兩種訪問(wèn)控制。這就意味著設(shè)備到介質(zhì)間的路徑這就意味著設(shè)備到介質(zhì)間的路徑可以不受什么約束，而處理器到設(shè)備間的路徑則需可以不受什么約束，而處理器到設(shè)備間的路徑則需要施以一定的讀寫訪問(wèn)控制。要施以一定的讀寫訪問(wèn)控制。3.1.3 I/O保護(hù)保護(hù)但是若對(duì)系統(tǒng)中的信息提供足夠的保護(hù)，防止被未但是若對(duì)系統(tǒng)中的信息提供足夠的保護(hù)，防止被未授權(quán)用戶的濫用或毀壞，只靠硬件不能提供充分的授權(quán)用戶的濫用或毀壞，只靠硬件不能提供充分的保護(hù)手段，必須由操作系統(tǒng)的安全機(jī)制與適當(dāng)?shù)挠脖Ｗo(hù)手段，必須由操作系

28、統(tǒng)的安全機(jī)制與適當(dāng)?shù)挠布嘟Y(jié)合才能提供強(qiáng)有力的保護(hù)。件相結(jié)合才能提供強(qiáng)有力的保護(hù)。標(biāo)識(shí)與鑒別是涉及系統(tǒng)和用戶的一個(gè)過(guò)程。標(biāo)識(shí)與鑒別是涉及系統(tǒng)和用戶的一個(gè)過(guò)程。標(biāo)識(shí)就標(biāo)識(shí)就是系統(tǒng)要標(biāo)識(shí)用戶的身份，并為每個(gè)用戶取一個(gè)系是系統(tǒng)要標(biāo)識(shí)用戶的身份，并為每個(gè)用戶取一個(gè)系統(tǒng)可以識(shí)別的內(nèi)部名稱統(tǒng)可以識(shí)別的內(nèi)部名稱用戶標(biāo)識(shí)符用戶標(biāo)識(shí)符。用戶標(biāo)識(shí)。用戶標(biāo)識(shí)符必須是惟一的且不能被偽造，防止一個(gè)用戶冒充符必須是惟一的且不能被偽造，防止一個(gè)用戶冒充另一個(gè)用戶。另一個(gè)用戶。將用戶標(biāo)識(shí)符與用戶聯(lián)系的過(guò)程稱為將用戶標(biāo)識(shí)符與用戶聯(lián)系的過(guò)程稱為鑒別鑒別，鑒別過(guò)程主要用以識(shí)別用戶的真實(shí)身份，鑒，鑒別過(guò)程主要用以識(shí)別用戶的真實(shí)身份，

29、鑒別操作總是要求用戶具有能夠證明他的身份的特殊別操作總是要求用戶具有能夠證明他的身份的特殊信息，并且這個(gè)信息是秘密的或獨(dú)一無(wú)二的，任何信息，并且這個(gè)信息是秘密的或獨(dú)一無(wú)二的，任何其他用戶都不能擁有它。其他用戶都不能擁有它。3.2 標(biāo)識(shí)與鑒別標(biāo)識(shí)與鑒別 3.2.1 基本概念基本概念在操作系統(tǒng)中，在操作系統(tǒng)中，鑒別一般是在用戶登錄時(shí)發(fā)生的鑒別一般是在用戶登錄時(shí)發(fā)生的。口令機(jī)制是簡(jiǎn)便易行的鑒別手段，但比較脆弱。較口令機(jī)制是簡(jiǎn)便易行的鑒別手段，但比較脆弱。較安全的口令應(yīng)安全的口令應(yīng)是不小于是不小于6個(gè)字符并同時(shí)含有數(shù)字和個(gè)字符并同時(shí)含有數(shù)字和字母字母的口令，并且限定一個(gè)的口令，并且限定一個(gè)口令的生存周

30、期口令的生存周期。另外。另外生物技術(shù)是一種比較有前途的鑒別用戶身份的方法。生物技術(shù)是一種比較有前途的鑒別用戶身份的方法。在安全操作系統(tǒng)中，可信計(jì)算基（在安全操作系統(tǒng)中，可信計(jì)算基（TCB）要求要求先進(jìn)先進(jìn)行用戶識(shí)別行用戶識(shí)別，之后才開始執(zhí)行要，之后才開始執(zhí)行要TCB調(diào)節(jié)的任何其調(diào)節(jié)的任何其他活動(dòng)。此外他活動(dòng)。此外TCB要維持鑒別數(shù)據(jù)，要維持鑒別數(shù)據(jù)，不僅包括確定不僅包括確定各個(gè)用戶的許可證和授權(quán)的信息各個(gè)用戶的許可證和授權(quán)的信息，而且包括為驗(yàn)證而且包括為驗(yàn)證各個(gè)用戶標(biāo)識(shí)所需的信息各個(gè)用戶標(biāo)識(shí)所需的信息（如口令等）。這些數(shù)據(jù)（如口令等）。這些數(shù)據(jù)將由將由TCB使用，對(duì)用戶標(biāo)識(shí)進(jìn)行鑒別，并確保由代

31、使用，對(duì)用戶標(biāo)識(shí)進(jìn)行鑒別，并確保由代表用戶的活動(dòng)所創(chuàng)建的表用戶的活動(dòng)所創(chuàng)建的TCB之外的主體的安全級(jí)和之外的主體的安全級(jí)和授權(quán)是受那個(gè)用戶的許可證和授權(quán)支配的。授權(quán)是受那個(gè)用戶的許可證和授權(quán)支配的。TCB還還必須保護(hù)鑒別數(shù)據(jù)，保證它不被任何非授權(quán)用戶存必須保護(hù)鑒別數(shù)據(jù)，保證它不被任何非授權(quán)用戶存取。取。3.2.2 安全操作系統(tǒng)中的標(biāo)識(shí)與鑒別機(jī)制安全操作系統(tǒng)中的標(biāo)識(shí)與鑒別機(jī)制用戶鑒別是通過(guò)口令完成的，必須保證單個(gè)用戶的用戶鑒別是通過(guò)口令完成的，必須保證單個(gè)用戶的密碼的私有性。標(biāo)識(shí)與鑒別機(jī)制阻止非授權(quán)用戶登密碼的私有性。標(biāo)識(shí)與鑒別機(jī)制阻止非授權(quán)用戶登錄系統(tǒng)，錄系統(tǒng)，因此口令管理對(duì)保證系統(tǒng)安全操作是

32、非常因此口令管理對(duì)保證系統(tǒng)安全操作是非常重要的重要的。另外還可以運(yùn)用強(qiáng)認(rèn)證方法使每一個(gè)可信。另外還可以運(yùn)用強(qiáng)認(rèn)證方法使每一個(gè)可信主體都有一個(gè)與其關(guān)聯(lián)的惟一標(biāo)識(shí)。這同樣要求主體都有一個(gè)與其關(guān)聯(lián)的惟一標(biāo)識(shí)。這同樣要求TCB為所有活動(dòng)用戶、所有未禁止或禁止的用戶實(shí)為所有活動(dòng)用戶、所有未禁止或禁止的用戶實(shí)體和賬戶維護(hù)、保護(hù)、顯示狀態(tài)信息。體和賬戶維護(hù)、保護(hù)、顯示狀態(tài)信息。所有用戶都必須進(jìn)行標(biāo)識(shí)與鑒別。所以需所有用戶都必須進(jìn)行標(biāo)識(shí)與鑒別。所以需要建立一要建立一個(gè)登錄進(jìn)程與用戶交互以得到用于標(biāo)識(shí)與鑒別的必個(gè)登錄進(jìn)程與用戶交互以得到用于標(biāo)識(shí)與鑒別的必要信息要信息。首先用戶提供一個(gè)惟一的用戶標(biāo)識(shí)符給。首先用戶

33、提供一個(gè)惟一的用戶標(biāo)識(shí)符給TCB；接著接著TCB對(duì)用戶進(jìn)行認(rèn)證。對(duì)用戶進(jìn)行認(rèn)證。TCB必須能證必須能證實(shí)該用戶的確對(duì)應(yīng)于所提供的標(biāo)識(shí)符。這就要求認(rèn)實(shí)該用戶的確對(duì)應(yīng)于所提供的標(biāo)識(shí)符。這就要求認(rèn)證機(jī)制做到以下幾點(diǎn)。證機(jī)制做到以下幾點(diǎn)。(1) 在進(jìn)行任何需要在進(jìn)行任何需要TCB仲裁的操作之前，仲裁的操作之前，TCB都都應(yīng)該要求用戶標(biāo)識(shí)他們自己。應(yīng)該要求用戶標(biāo)識(shí)他們自己。(2) TCB必須維護(hù)認(rèn)證數(shù)據(jù)，包括證實(shí)用戶身份的必須維護(hù)認(rèn)證數(shù)據(jù)，包括證實(shí)用戶身份的信息以及決定用戶策略屬性的信息，如信息以及決定用戶策略屬性的信息，如groups。(3) TCB保護(hù)認(rèn)證數(shù)據(jù)，防止被非法用戶使用。保護(hù)認(rèn)證數(shù)據(jù)，防止

34、被非法用戶使用。3.2.3 與鑒別有關(guān)的認(rèn)證機(jī)制與鑒別有關(guān)的認(rèn)證機(jī)制(4) TCB應(yīng)能維護(hù)、保護(hù)、顯示所有活動(dòng)用戶和所應(yīng)能維護(hù)、保護(hù)、顯示所有活動(dòng)用戶和所有用戶賬戶的狀態(tài)信息。有用戶賬戶的狀態(tài)信息。(5) 一旦口令被用作一種保護(hù)機(jī)制，至少應(yīng)該滿足一旦口令被用作一種保護(hù)機(jī)制，至少應(yīng)該滿足: 當(dāng)用戶選擇了一個(gè)其他用戶已使用的口令時(shí)，當(dāng)用戶選擇了一個(gè)其他用戶已使用的口令時(shí)，TCB應(yīng)保持沉默。應(yīng)保持沉默。 TCB應(yīng)以單向加密方式存儲(chǔ)口令，訪問(wèn)加密口應(yīng)以單向加密方式存儲(chǔ)口令，訪問(wèn)加密口令必須具有特權(quán)。令必須具有特權(quán)。 在口令輸入或顯示設(shè)備上，在口令輸入或顯示設(shè)備上，TCB應(yīng)自動(dòng)隱藏口應(yīng)自動(dòng)隱藏口令明文。

35、令明文。 在普通操作過(guò)程中，在普通操作過(guò)程中，TCB在默認(rèn)情況下應(yīng)禁止在默認(rèn)情況下應(yīng)禁止使用空口令。使用空口令。 TCB應(yīng)提供一種保護(hù)機(jī)制允許用戶更換自己的應(yīng)提供一種保護(hù)機(jī)制允許用戶更換自己的口令，這種機(jī)制要求重新認(rèn)證用戶身份?？诹?，這種機(jī)制要求重新認(rèn)證用戶身份。 對(duì)每一個(gè)用戶或每一組用戶，對(duì)每一個(gè)用戶或每一組用戶，TCB必須加強(qiáng)口必須加強(qiáng)口令失效管理。令失效管理。 在要求用戶更改口令時(shí)，在要求用戶更改口令時(shí)，TCB應(yīng)事先通知用戶。應(yīng)事先通知用戶。 要求在系統(tǒng)指定的時(shí)間段內(nèi)，同一用戶的口令要求在系統(tǒng)指定的時(shí)間段內(nèi)，同一用戶的口令不可重用。不可重用。 TCB應(yīng)提供一種算法確保用戶輸入口令的復(fù)雜應(yīng)

36、提供一種算法確保用戶輸入口令的復(fù)雜性?？诹钪辽賾?yīng)滿足以下要求性。口令至少應(yīng)滿足以下要求: 口令至少應(yīng)有系統(tǒng)指定的最小長(zhǎng)度，通常情況口令至少應(yīng)有系統(tǒng)指定的最小長(zhǎng)度，通常情況下，最小長(zhǎng)度為下，最小長(zhǎng)度為8個(gè)字符；個(gè)字符； TCB應(yīng)能修改口令復(fù)雜性檢查算法，默認(rèn)的算應(yīng)能修改口令復(fù)雜性檢查算法，默認(rèn)的算法應(yīng)要求口令包括至少一個(gè)字母字符、一個(gè)數(shù)字字法應(yīng)要求口令包括至少一個(gè)字母字符、一個(gè)數(shù)字字符和一個(gè)特殊字符；符和一個(gè)特殊字符； TCB應(yīng)允許系統(tǒng)指定一些不可用的口令，如公應(yīng)允許系統(tǒng)指定一些不可用的口令，如公司縮寫字母、公司名稱等，并確保用戶被禁止使用司縮寫字母、公司名稱等，并確保用戶被禁止使用這些口令。這

37、些口令。 如果有口令生成算法，它必須滿足如果有口令生成算法，它必須滿足: 產(chǎn)生的口令容易記憶，比如說(shuō)具有可讀性；產(chǎn)生的口令容易記憶，比如說(shuō)具有可讀性； 用戶可自行選擇可選口令；用戶可自行選擇可選口令； 口令應(yīng)在一定程度上能抵御字典攻擊；口令應(yīng)在一定程度上能抵御字典攻擊； 如果口令生成算法可使用非字母符號(hào)，口令的如果口令生成算法可使用非字母符號(hào)，口令的安全不能依賴于將這些非字母符號(hào)保密；安全不能依賴于將這些非字母符號(hào)保密； 生成口令的順序應(yīng)具有隨機(jī)性，連續(xù)生成的口生成口令的順序應(yīng)具有隨機(jī)性，連續(xù)生成的口令應(yīng)毫不相關(guān)，口令的生成不具有周期性。令應(yīng)毫不相關(guān)，口令的生成不具有周期性?？诹钕到y(tǒng)提供的安全

38、性依賴于口令的保密性口令系統(tǒng)提供的安全性依賴于口令的保密性，這就，這就要求：要求： 當(dāng)用戶在系統(tǒng)注冊(cè)時(shí)，必須賦予用戶口令；當(dāng)用戶在系統(tǒng)注冊(cè)時(shí)，必須賦予用戶口令； 用戶口令必須定期更改；用戶口令必須定期更改； 系統(tǒng)必須維護(hù)一個(gè)口令數(shù)據(jù)庫(kù)；系統(tǒng)必須維護(hù)一個(gè)口令數(shù)據(jù)庫(kù)； 用戶必須記憶自身的口令；用戶必須記憶自身的口令； 在系統(tǒng)認(rèn)證用戶時(shí)，用戶必須輸入口令。在系統(tǒng)認(rèn)證用戶時(shí)，用戶必須輸入口令。由上可以看出，口令質(zhì)量是一個(gè)非常關(guān)鍵的因素，由上可以看出，口令質(zhì)量是一個(gè)非常關(guān)鍵的因素，它涉及以下幾點(diǎn)。它涉及以下幾點(diǎn)。3.2.4 口令管理口令管理1. 口令空間口令空間口令空間的大小是字母表規(guī)模和口令長(zhǎng)度的函數(shù)

39、?？诹羁臻g的大小是字母表規(guī)模和口令長(zhǎng)度的函數(shù)。滿足一定操作環(huán)境下安全要求的口令空間的最小尺滿足一定操作環(huán)境下安全要求的口令空間的最小尺寸可以使用以下公式寸可以使用以下公式: S = G / P 而而 G = L R其中，其中，S代表口令空間，代表口令空間，L代表口令的最大有效期，代表口令的最大有效期，R代表單位時(shí)間內(nèi)可能的口令猜測(cè)數(shù)，代表單位時(shí)間內(nèi)可能的口令猜測(cè)數(shù)，P代表口令代表口令有效期內(nèi)被猜出的可能性。有效期內(nèi)被猜出的可能性。2. 口令加密算法口令加密算法單向加密函數(shù)可以用于加密口令，加密算法的安全單向加密函數(shù)可以用于加密口令，加密算法的安全性十分重要。性十分重要。此外如果口令加密只依賴于

40、口令或其此外如果口令加密只依賴于口令或其他固定信息，有可能造成不同用戶加密后的口令是他固定信息，有可能造成不同用戶加密后的口令是相同的相同的。當(dāng)一個(gè)用戶發(fā)現(xiàn)另一用戶加密后的口令與。當(dāng)一個(gè)用戶發(fā)現(xiàn)另一用戶加密后的口令與自己的相同時(shí)，他就知道即使他們的口令明文不同，自己的相同時(shí)，他就知道即使他們的口令明文不同，自己的口令對(duì)兩個(gè)賬號(hào)都是有效的。為了減少這種自己的口令對(duì)兩個(gè)賬號(hào)都是有效的。為了減少這種可能性，加密算法可以使用諸如系統(tǒng)名或用戶賬號(hào)可能性，加密算法可以使用諸如系統(tǒng)名或用戶賬號(hào)作為加密因素。作為加密因素。3. 口令長(zhǎng)度口令長(zhǎng)度口令的安全性由口令有效期內(nèi)被猜出的可能性決定?？诹畹陌踩杂煽诹钣?/p>

41、效期內(nèi)被猜出的可能性決定?？赡苄栽叫。诹钤桨踩?。在其他條件相同的情況可能性越小，口令越安全。在其他條件相同的情況下，口令越長(zhǎng)，安全性越大。口令有效期越短，口下，口令越長(zhǎng)，安全性越大。口令有效期越短，口令被猜出的可能性越小。下面的公式給出了計(jì)算口令被猜出的可能性越小。下面的公式給出了計(jì)算口令長(zhǎng)度的方法令長(zhǎng)度的方法: S = A M其中，其中，S是口令空間，是口令空間，A代表字母表中字母?jìng)€(gè)數(shù)，代表字母表中字母?jìng)€(gè)數(shù)，M代表口令長(zhǎng)度。代表口令長(zhǎng)度。計(jì)算口令長(zhǎng)度的過(guò)程如下計(jì)算口令長(zhǎng)度的過(guò)程如下: (1) 建立一個(gè)可以接受的口令猜出可能性建立一個(gè)可以接受的口令猜出可能性P,例如，例如，將將P設(shè)為設(shè)為10

42、-20;(2) 計(jì)算計(jì)算S = G / P，其中其中 G = L R；(3) 用計(jì)算口令長(zhǎng)度的公式用計(jì)算口令長(zhǎng)度的公式M=logAS計(jì)算口令長(zhǎng)度計(jì)算口令長(zhǎng)度M。通常情況下，通常情況下，M應(yīng)四舍五入成最接近的整數(shù)。應(yīng)四舍五入成最接近的整數(shù)。4. 系統(tǒng)管理員應(yīng)擔(dān)負(fù)的職責(zé)系統(tǒng)管理員應(yīng)擔(dān)負(fù)的職責(zé)(1) 初始化系統(tǒng)口令。系統(tǒng)中有一些標(biāo)準(zhǔn)用戶是事初始化系統(tǒng)口令。系統(tǒng)中有一些標(biāo)準(zhǔn)用戶是事先在系統(tǒng)中注冊(cè)了的。先在系統(tǒng)中注冊(cè)了的。在允許普通用戶訪問(wèn)系統(tǒng)之在允許普通用戶訪問(wèn)系統(tǒng)之前，系統(tǒng)管理員應(yīng)能為所有標(biāo)準(zhǔn)用戶更改口令。前，系統(tǒng)管理員應(yīng)能為所有標(biāo)準(zhǔn)用戶更改口令。(2) 初始口令分配。系統(tǒng)管理員應(yīng)負(fù)責(zé)為每個(gè)用戶初始

43、口令分配。系統(tǒng)管理員應(yīng)負(fù)責(zé)為每個(gè)用戶產(chǎn)生和分配初始口令，但要防止口令暴露給系統(tǒng)管產(chǎn)生和分配初始口令，但要防止口令暴露給系統(tǒng)管理員。理員。 有許多方法可以實(shí)現(xiàn)口令生成后對(duì)系統(tǒng)管理員有許多方法可以實(shí)現(xiàn)口令生成后對(duì)系統(tǒng)管理員的保密。的保密。一種技術(shù)是將口令用一種密封的多分塊方一種技術(shù)是將口令用一種密封的多分塊方式顯示式顯示。另一種方法是，。另一種方法是，口令產(chǎn)生時(shí)用戶在場(chǎng)口令產(chǎn)生時(shí)用戶在場(chǎng)。系。系統(tǒng)管理員啟動(dòng)產(chǎn)生口令的程序，用戶則掩蓋住產(chǎn)生統(tǒng)管理員啟動(dòng)產(chǎn)生口令的程序，用戶則掩蓋住產(chǎn)生的口令并刪除或擦去顯示痕跡。的口令并刪除或擦去顯示痕跡。 使口令暴露無(wú)效。當(dāng)用戶初始口令必須暴露給使口令暴露無(wú)效。當(dāng)用

44、戶初始口令必須暴露給系統(tǒng)管理員時(shí)，用戶應(yīng)立即通過(guò)正常程序更改其口系統(tǒng)管理員時(shí)，用戶應(yīng)立即通過(guò)正常程序更改其口令，使這種暴露無(wú)效。令，使這種暴露無(wú)效。 分級(jí)分配。當(dāng)口令必須分級(jí)時(shí)，系統(tǒng)管理員必分級(jí)分配。當(dāng)口令必須分級(jí)時(shí)，系統(tǒng)管理員必須指明每個(gè)用戶的初始口令，以及后續(xù)口令的最高須指明每個(gè)用戶的初始口令，以及后續(xù)口令的最高安全級(jí)別。安全級(jí)別。(3) 口令更改認(rèn)證。當(dāng)口令必須更換時(shí)，系統(tǒng)應(yīng)進(jìn)口令更改認(rèn)證。當(dāng)口令必須更換時(shí)，系統(tǒng)應(yīng)進(jìn)行主動(dòng)的用戶身份鑒別。行主動(dòng)的用戶身份鑒別。(4) 用戶用戶ID。在系統(tǒng)的整個(gè)生存周期內(nèi)，每個(gè)用戶在系統(tǒng)的整個(gè)生存周期內(nèi)，每個(gè)用戶ID應(yīng)賦予一個(gè)惟一的用戶。如果兩個(gè)人或更多人

45、知應(yīng)賦予一個(gè)惟一的用戶。如果兩個(gè)人或更多人知道某一用戶的口令，安全性就會(huì)遭到破壞。除非是道某一用戶的口令，安全性就會(huì)遭到破壞。除非是系統(tǒng)管理員或者此用戶口令已被標(biāo)識(shí)為過(guò)期。系統(tǒng)管理員或者此用戶口令已被標(biāo)識(shí)為過(guò)期。(5) 用戶用戶ID重新生效。重新生效。5. 用戶的職責(zé)用戶的職責(zé)(1) 安全意識(shí)。用戶應(yīng)明白自己有責(zé)任將其口令對(duì)安全意識(shí)。用戶應(yīng)明白自己有責(zé)任將其口令對(duì)他人保密，報(bào)告口令更改情況，并關(guān)注安全性是否他人保密，報(bào)告口令更改情況，并關(guān)注安全性是否被破壞。被破壞。(2) 更改口令。口令應(yīng)進(jìn)行周期性的改動(dòng)。至少應(yīng)更改口令。口令應(yīng)進(jìn)行周期性的改動(dòng)。至少應(yīng)保證在口令有效期內(nèi)，可能的破壞足夠低。為避

46、免保證在口令有效期內(nèi)，可能的破壞足夠低。為避免不必要地將用戶口令暴露給系統(tǒng)管理員，用戶應(yīng)能不必要地將用戶口令暴露給系統(tǒng)管理員，用戶應(yīng)能夠獨(dú)自更改其口令。夠獨(dú)自更改其口令。用戶只允許更改自己的口令。為確保這一點(diǎn)，口令用戶只允許更改自己的口令。為確保這一點(diǎn)，口令更改程序應(yīng)要求用戶輸入其原始口令。更改程序應(yīng)要求用戶輸入其原始口令。更改口令發(fā)生在用戶要求或口令過(guò)期的情況下。用更改口令發(fā)生在用戶要求或口令過(guò)期的情況下。用戶必須輸入新口令兩次，這樣就表明用戶能連續(xù)正戶必須輸入新口令兩次，這樣就表明用戶能連續(xù)正確地輸入新口令。確地輸入新口令。1. 口令的內(nèi)部存儲(chǔ)口令的內(nèi)部存儲(chǔ)必須對(duì)口令的內(nèi)部存儲(chǔ)實(shí)行必須對(duì)口

47、令的內(nèi)部存儲(chǔ)實(shí)行一定的訪問(wèn)控制和加密一定的訪問(wèn)控制和加密處理處理，保證口令數(shù)據(jù)庫(kù)不被未授權(quán)用戶讀取或者修，保證口令數(shù)據(jù)庫(kù)不被未授權(quán)用戶讀取或者修改。改。未授權(quán)讀將泄露口令信息，從而使一個(gè)用戶可未授權(quán)讀將泄露口令信息，從而使一個(gè)用戶可以冒充他人登錄系統(tǒng)以冒充他人登錄系統(tǒng)。但要注意。但要注意登錄程序和口令更登錄程序和口令更改程序應(yīng)能夠讀、寫口令數(shù)據(jù)庫(kù)改程序應(yīng)能夠讀、寫口令數(shù)據(jù)庫(kù)。(1) 可以使用強(qiáng)制訪問(wèn)控制或自主訪問(wèn)控制機(jī)制?？梢允褂脧?qiáng)制訪問(wèn)控制或自主訪問(wèn)控制機(jī)制。(2) 無(wú)論采取何種訪問(wèn)控制機(jī)制，都應(yīng)對(duì)存儲(chǔ)的口無(wú)論采取何種訪問(wèn)控制機(jī)制，都應(yīng)對(duì)存儲(chǔ)的口令進(jìn)行加密，令進(jìn)行加密，因?yàn)樵L問(wèn)控制有時(shí)可能被

48、繞過(guò)。因?yàn)樵L問(wèn)控制有時(shí)可能被繞過(guò)?？诹羁诹钶斎牒髴?yīng)立即加密，輸入后應(yīng)立即加密，存儲(chǔ)口令明文的內(nèi)存應(yīng)在口令存儲(chǔ)口令明文的內(nèi)存應(yīng)在口令加密后立即刪除，以后使用加密后的口令進(jìn)行比較加密后立即刪除，以后使用加密后的口令進(jìn)行比較。3.2.5 實(shí)現(xiàn)要點(diǎn)實(shí)現(xiàn)要點(diǎn)2. 傳輸傳輸在口令從用戶終端到認(rèn)證機(jī)的傳輸中，應(yīng)施加某種在口令從用戶終端到認(rèn)證機(jī)的傳輸中，應(yīng)施加某種保護(hù)。在保護(hù)級(jí)別上，只要與敏感數(shù)據(jù)密級(jí)相等即保護(hù)。在保護(hù)級(jí)別上，只要與敏感數(shù)據(jù)密級(jí)相等即可。可。3. 登錄嘗試次數(shù)登錄嘗試次數(shù)通過(guò)限制登錄嘗試次數(shù)，在口令的有效期內(nèi)，攻擊通過(guò)限制登錄嘗試次數(shù)，在口令的有效期內(nèi)，攻擊者猜測(cè)口令的次數(shù)就會(huì)限制在一定范圍內(nèi)

49、。者猜測(cè)口令的次數(shù)就會(huì)限制在一定范圍內(nèi)。每一個(gè)每一個(gè)訪問(wèn)端口應(yīng)獨(dú)立控制登錄嘗試次數(shù)訪問(wèn)端口應(yīng)獨(dú)立控制登錄嘗試次數(shù)。建議限制每秒。建議限制每秒或每分鐘內(nèi)嘗試最大次數(shù)，避免要求極大的口令空或每分鐘內(nèi)嘗試最大次數(shù)，避免要求極大的口令空間或非常短的口令有效期。間或非常短的口令有效期。在成功登錄的情況下，在成功登錄的情況下，登錄程序不應(yīng)有故意的延遲，但對(duì)不成功的登錄，登錄程序不應(yīng)有故意的延遲，但對(duì)不成功的登錄，應(yīng)使用內(nèi)部定時(shí)器延遲下一次登錄請(qǐng)求應(yīng)使用內(nèi)部定時(shí)器延遲下一次登錄請(qǐng)求。4. 用戶安全屬性用戶安全屬性對(duì)于多級(jí)安全操作系統(tǒng)，標(biāo)識(shí)與鑒別不但要完成一對(duì)于多級(jí)安全操作系統(tǒng)，標(biāo)識(shí)與鑒別不但要完成一般的用戶

50、管理和登錄功能，如檢查用戶的登錄名和般的用戶管理和登錄功能，如檢查用戶的登錄名和口令、賦予用戶惟一標(biāo)識(shí)用戶口令、賦予用戶惟一標(biāo)識(shí)用戶ID、組組ID，還要檢還要檢查用戶申請(qǐng)的安全級(jí)、計(jì)算特權(quán)集、審計(jì)屏蔽碼；查用戶申請(qǐng)的安全級(jí)、計(jì)算特權(quán)集、審計(jì)屏蔽碼；賦予用戶進(jìn)程安全級(jí)、特權(quán)集標(biāo)識(shí)和審計(jì)屏蔽碼。賦予用戶進(jìn)程安全級(jí)、特權(quán)集標(biāo)識(shí)和審計(jì)屏蔽碼。檢查用戶安全級(jí)就是檢驗(yàn)其本次申請(qǐng)的安全級(jí)是否檢查用戶安全級(jí)就是檢驗(yàn)其本次申請(qǐng)的安全級(jí)是否在系統(tǒng)安全文件檔中定義的該用戶安全級(jí)范圍之內(nèi)。在系統(tǒng)安全文件檔中定義的該用戶安全級(jí)范圍之內(nèi)。若是則認(rèn)可，否則系統(tǒng)拒絕用戶的本次登錄。若用若是則認(rèn)可，否則系統(tǒng)拒絕用戶的本次登錄。

51、若用戶沒有申請(qǐng)安全級(jí)，系統(tǒng)取出該用戶的默認(rèn)安全級(jí)戶沒有申請(qǐng)安全級(jí)，系統(tǒng)取出該用戶的默認(rèn)安全級(jí)作為用戶本次注冊(cè)的安全級(jí)，賦予用戶進(jìn)程。作為用戶本次注冊(cè)的安全級(jí)，賦予用戶進(jìn)程。5. 審計(jì)審計(jì)(1) 系統(tǒng)應(yīng)對(duì)口令的使用和更改進(jìn)行審計(jì)。審計(jì)事系統(tǒng)應(yīng)對(duì)口令的使用和更改進(jìn)行審計(jì)。審計(jì)事件包括成功登錄、失敗嘗試、口令更改程序的使用、件包括成功登錄、失敗嘗試、口令更改程序的使用、口令過(guò)期后上鎖的用戶賬號(hào)等。口令過(guò)期后上鎖的用戶賬號(hào)等。(2) 實(shí)時(shí)通知系統(tǒng)管理員。同一訪問(wèn)端口或使用同實(shí)時(shí)通知系統(tǒng)管理員。同一訪問(wèn)端口或使用同一用戶賬號(hào)連續(xù)一用戶賬號(hào)連續(xù)5次（或其他閾值）以上的登錄失次（或其他閾值）以上的登錄失敗應(yīng)

52、立即通知系統(tǒng)管理員。敗應(yīng)立即通知系統(tǒng)管理員。 (3) 通知用戶。在成功登錄時(shí)，系統(tǒng)應(yīng)通知用戶以通知用戶。在成功登錄時(shí)，系統(tǒng)應(yīng)通知用戶以下信息下信息: 用戶上一次成功登錄的日期和時(shí)間、用戶用戶上一次成功登錄的日期和時(shí)間、用戶登錄地點(diǎn)、從上一次成功登錄以后的所有失敗登錄。登錄地點(diǎn)、從上一次成功登錄以后的所有失敗登錄。在計(jì)算機(jī)系統(tǒng)中，安全機(jī)制的主要內(nèi)容是存取控制，在計(jì)算機(jī)系統(tǒng)中，安全機(jī)制的主要內(nèi)容是存取控制，包括以下包括以下3個(gè)任務(wù)個(gè)任務(wù): 授權(quán)，即確定可給予哪些主體存取客體的權(quán)力；授權(quán)，即確定可給予哪些主體存取客體的權(quán)力； 確定存取權(quán)限（讀、寫、執(zhí)行、刪除、追加等確定存取權(quán)限（讀、寫、執(zhí)行、刪除、

53、追加等存取方式的組合）；存取方式的組合）； 實(shí)施存取權(quán)限。實(shí)施存取權(quán)限。這里，這里，術(shù)語(yǔ)術(shù)語(yǔ)“存取控制存取控制”僅適用于計(jì)算機(jī)系統(tǒng)內(nèi)的僅適用于計(jì)算機(jī)系統(tǒng)內(nèi)的主體和客體，而不包括外界對(duì)系統(tǒng)的存取。控制外主體和客體，而不包括外界對(duì)系統(tǒng)的存取?？刂仆饨鐚?duì)系統(tǒng)存取的技術(shù)是標(biāo)識(shí)與鑒別界對(duì)系統(tǒng)存取的技術(shù)是標(biāo)識(shí)與鑒別。在安全操作系統(tǒng)領(lǐng)域中，存取控制一般都涉及自主在安全操作系統(tǒng)領(lǐng)域中，存取控制一般都涉及自主存取控制和強(qiáng)制存取控制兩種形式。存取控制和強(qiáng)制存取控制兩種形式。3.3 存取控制存取控制1. 基本概念基本概念自主存取控制（自主存取控制（discretionary access control，DAC）是

54、最常用的一類存取控制機(jī)制，是用來(lái)決定一個(gè)用是最常用的一類存取控制機(jī)制，是用來(lái)決定一個(gè)用戶是否有權(quán)訪問(wèn)一些特定客體的一種訪問(wèn)約束機(jī)制。戶是否有權(quán)訪問(wèn)一些特定客體的一種訪問(wèn)約束機(jī)制。需要自主存取控制保護(hù)的客體的數(shù)量取決于系統(tǒng)環(huán)需要自主存取控制保護(hù)的客體的數(shù)量取決于系統(tǒng)環(huán)境，幾乎所有的系統(tǒng)在自主存取控制機(jī)制中都包括境，幾乎所有的系統(tǒng)在自主存取控制機(jī)制中都包括對(duì)文件、目錄、對(duì)文件、目錄、IPC以及設(shè)備的訪問(wèn)控制。以及設(shè)備的訪問(wèn)控制。為了實(shí)現(xiàn)完備的自主存取控制機(jī)制，系統(tǒng)要將存取為了實(shí)現(xiàn)完備的自主存取控制機(jī)制，系統(tǒng)要將存取控制矩陣相應(yīng)的信息以某種形式保存在系統(tǒng)中。目控制矩陣相應(yīng)的信息以某種形式保存在系統(tǒng)中

55、。目前在操作系統(tǒng)中實(shí)現(xiàn)的自主存取控制機(jī)制是基于矩前在操作系統(tǒng)中實(shí)現(xiàn)的自主存取控制機(jī)制是基于矩陣的行或列表達(dá)訪問(wèn)控制信息。陣的行或列表達(dá)訪問(wèn)控制信息。3.3.1 自主存取控制自主存取控制1) 基于行的自主存取控制機(jī)制基于行的自主存取控制機(jī)制基于行的自主存取控制機(jī)制在每個(gè)主體上都附加一基于行的自主存取控制機(jī)制在每個(gè)主體上都附加一個(gè)該主體可訪問(wèn)的客體的明細(xì)表，根據(jù)表中信息的個(gè)該主體可訪問(wèn)的客體的明細(xì)表，根據(jù)表中信息的不同又可分成以下不同又可分成以下3種形式。種形式。(1) 能力表（能力表（capabilities list）。）。能力決定用戶是否能力決定用戶是否可以對(duì)客體進(jìn)行訪問(wèn)以及進(jìn)行何種模式的訪

56、問(wèn)（讀、可以對(duì)客體進(jìn)行訪問(wèn)以及進(jìn)行何種模式的訪問(wèn)（讀、寫、執(zhí)行），擁有相應(yīng)能力的主體可以按照給定的寫、執(zhí)行），擁有相應(yīng)能力的主體可以按照給定的模式訪問(wèn)客體。模式訪問(wèn)客體。(2) 前綴表（前綴表（profiles）。）。對(duì)每個(gè)主體賦予的前綴表，對(duì)每個(gè)主體賦予的前綴表，包括受保護(hù)客體名和主體對(duì)它的訪問(wèn)權(quán)限。當(dāng)主體包括受保護(hù)客體名和主體對(duì)它的訪問(wèn)權(quán)限。當(dāng)主體要訪問(wèn)某客體時(shí)，自主存取控制機(jī)制將檢查主體的要訪問(wèn)某客體時(shí)，自主存取控制機(jī)制將檢查主體的前綴是否具有它所請(qǐng)求的訪問(wèn)權(quán)。前綴是否具有它所請(qǐng)求的訪問(wèn)權(quán)。(3) 口令（口令（password）。）。在基于口令機(jī)制的自主存在基于口令機(jī)制的自主存取控制機(jī)制

57、中，每個(gè)客體都相應(yīng)地有一個(gè)口令。主取控制機(jī)制中，每個(gè)客體都相應(yīng)地有一個(gè)口令。主體在對(duì)客體進(jìn)行訪問(wèn)前，必須向操作系統(tǒng)提供該客體在對(duì)客體進(jìn)行訪問(wèn)前，必須向操作系統(tǒng)提供該客體的口令。如果正確，它就可以訪問(wèn)該客體。體的口令。如果正確，它就可以訪問(wèn)該客體。2) 基于列的自主存取控制機(jī)制基于列的自主存取控制機(jī)制基于列的自主存取控制機(jī)制，在每個(gè)客體都附加一基于列的自主存取控制機(jī)制，在每個(gè)客體都附加一個(gè)可訪問(wèn)它的主體的明細(xì)表，它有兩種形式，即保個(gè)可訪問(wèn)它的主體的明細(xì)表，它有兩種形式，即保護(hù)位和存取控制表。護(hù)位和存取控制表。(1) 保護(hù)位（保護(hù)位（protection bits）。）。這種方法對(duì)所有主這種方法對(duì)

58、所有主體、主體組以及客體的擁有者指明一個(gè)訪問(wèn)模式集體、主體組以及客體的擁有者指明一個(gè)訪問(wèn)模式集合。保護(hù)位機(jī)制不能完備地表達(dá)訪問(wèn)控制矩陣，一合。保護(hù)位機(jī)制不能完備地表達(dá)訪問(wèn)控制矩陣，一般很少使用。般很少使用。(2) 存取控制表（存取控制表（access control list，ACL）。）。這是這是國(guó)際上流行的一種十分有效的自主存取控制模式，國(guó)際上流行的一種十分有效的自主存取控制模式，它在每個(gè)客體上都附加一個(gè)主體明細(xì)表，表示存取它在每個(gè)客體上都附加一個(gè)主體明細(xì)表，表示存取控制矩陣。表中的每一項(xiàng)都包括主體的身份和主體控制矩陣。表中的每一項(xiàng)都包括主體的身份和主體對(duì)該客體的訪問(wèn)權(quán)限，其一般結(jié)構(gòu)如圖對(duì)

59、該客體的訪問(wèn)權(quán)限，其一般結(jié)構(gòu)如圖3-4所示。所示。圖圖3-4 存取控制表存取控制表ACL對(duì)于客體對(duì)于客體file1，主體主體ID1對(duì)它只具有讀（對(duì)它只具有讀（r）和運(yùn)行和運(yùn)行（x）的權(quán)力，主體的權(quán)力，主體ID2只具有讀權(quán)力，主體只具有讀權(quán)力，主體ID3只只具有運(yùn)行的權(quán)力，而主體具有運(yùn)行的權(quán)力，而主體 IDn 則對(duì)它同時(shí)具有讀、則對(duì)它同時(shí)具有讀、寫和運(yùn)行的權(quán)力。但在實(shí)際應(yīng)用中，當(dāng)對(duì)某客體可寫和運(yùn)行的權(quán)力。但在實(shí)際應(yīng)用中，當(dāng)對(duì)某客體可訪問(wèn)的主體很多時(shí)，存取控制表將會(huì)變得很長(zhǎng)。而訪問(wèn)的主體很多時(shí)，存取控制表將會(huì)變得很長(zhǎng)。而客體客體file1: ID1.rxID2.rID3.xIDn.rwx在一個(gè)大系

60、統(tǒng)中，客體和主體都非常多，這時(shí)使用在一個(gè)大系統(tǒng)中，客體和主體都非常多，這時(shí)使用這種一般形式的存取控制表將占用很多這種一般形式的存取控制表將占用很多CPU時(shí)間。時(shí)間。因此存取控制表必須簡(jiǎn)化，如把用戶按其所屬或其因此存取控制表必須簡(jiǎn)化，如把用戶按其所屬或其工作性質(zhì)進(jìn)行分類，構(gòu)成相應(yīng)的組（工作性質(zhì)進(jìn)行分類，構(gòu)成相應(yīng)的組（group），），并并設(shè)置一個(gè)通配符（設(shè)置一個(gè)通配符（wild card）“*”，代表任何組名代表任何組名或主體標(biāo)識(shí)符，如圖或主體標(biāo)識(shí)符，如圖3-5所示。所示。圖圖3-5 存取控制表的優(yōu)化存取控制表的優(yōu)化文件文件ALPHAJonesCRYPTORwx*CRYPTOr_xGreen*-