第七章操作系統(tǒng)的安全與保護

第七章操作系統(tǒng)的安全與保護7.1安全性概述7.2安全策略7.3安全模型7.4安全機制7.5安全操作系統(tǒng)設(shè)計和開發(fā)7.6Linux安全機制7.7Windows2003安全機制7.1安全性概述影響計算機系統(tǒng)安全性的因素?OS、網(wǎng)絡(luò)、數(shù)據(jù)庫。安全性和可靠性可靠性指系統(tǒng)正常持續(xù)運行的程度，目標為反故障；安全性是指不因人為疏漏或蓄謀作案而導(dǎo)致信息資源被泄漏、篡改和破壞，目標是反泄密。操作系統(tǒng)安全性的主要內(nèi)容

1)安全策略：描述一組用于授權(quán)使用其計算機及信息資源的規(guī)則。

2)安全模型：它是對系統(tǒng)的安全需求，及如何設(shè)計和實現(xiàn)安全控制的一個清晰全面的理解和描述。

3)安全機制：實現(xiàn)安全策略描述的安全問題，它關(guān)注如何實現(xiàn)系統(tǒng)安全性，包括：認證機制(authentication)、授權(quán)機制(authorization)、加密機制(encryption)、審計機制(audit)、最小特權(quán)機制(leastprivilege)等。操作系統(tǒng)面臨的安全威脅硬件軟件數(shù)據(jù)網(wǎng)絡(luò)和通信線路7.2安全策略7.2.1安全需求和安全策略7.2.2訪問支持策略7.2.3訪問控制策略7.2.1安全需求和安全策略

1安全需求和策略

1)機密性--為秘密數(shù)據(jù)提供保護方法及保護等級的一種特性。

2)完整性--數(shù)據(jù)和原始數(shù)據(jù)未發(fā)生變化，未遭到偶然或惡意修改或破壞時所具有的一種性質(zhì)；

3)可記帳性--指要求能證實用戶身份，可對有關(guān)安全活動進行完整記錄、檢查和審核，防止用戶對訪問過某信息或執(zhí)行過某操作的否認。

4)可用性--防止非法獨占資源。安全策略

什么是安全策略：用于授權(quán)使用其計算機及信息資源的規(guī)則，即有關(guān)管理、保護、分配和發(fā)布系統(tǒng)資源及敏感信息的規(guī)定和實施細則，一個系統(tǒng)可有一個或多個安全策略，其目的是使安全需求得到保障。安全策略分成兩類：

1)軍事安全策略--提供機密性。

2)商業(yè)安全策略--提供完整性。2可信計算基(1)可信計算基TCB--計算機系統(tǒng)內(nèi)安全保護裝置的總體。TCB組成：安全內(nèi)核、特權(quán)程序和命令、處理敏感信息的程序、實施安全策略的文件、相關(guān)的固件、硬件和設(shè)備、機器診斷程序、安全管理員等。可信計算基(2)

引用監(jiān)視程序工作原理

操作系統(tǒng)內(nèi)核

應(yīng)用進程資源引用控制數(shù)據(jù)庫可信計算基

TCB引用監(jiān)視程序用戶空間內(nèi)核空間所有系統(tǒng)調(diào)用必須經(jīng)過安全檢查可信計算基(3)安全功能模塊TSF安全功能策略TSPTSF實現(xiàn)—

一是設(shè)置前端過濾器，它能防止入侵者非法進入系統(tǒng)；二是訪問監(jiān)督器，它能防止越權(quán)訪問，兩者都是在硬件基礎(chǔ)上通過軟件實現(xiàn)確定的安全策略，并提供所要求的附加服務(wù)。7.2.2訪問支持策略訪問支持策略的作用

1標識與鑒別

1)用戶標識

2)用戶鑒別

2可記帳性

3確切保證和連續(xù)保護

4客體重用

5隱蔽信道分析

6可信路徑和可信恢復(fù)用作身份標識和鑒別的三類信息用戶知道的信息--口令機制用戶擁有的東西--智能卡用戶的生物特征--生物學(xué)特征7.2.3訪問控制策略

1訪問控制屬性(1)與訪問控制策略相關(guān)的因素有：主體、客體和主客體屬性

1)主體：普通用戶信息屬主系統(tǒng)管理員訪問控制屬性(2)2)客體：

(1)一般客體--文件、目錄、數(shù)據(jù)和程序

(2)設(shè)備客體--磁盤、磁帶、顯示器、打印機、網(wǎng)絡(luò)節(jié)點

(3)特殊客體--進程發(fā)信訪問控制屬性(3)

3)主客體屬性：屬性又稱敏感標記主體屬性：

(1)用戶ID/用戶組ID(2)用戶訪問許可級別

(3)用戶需知屬性

(4)角色

(5)權(quán)能列表訪問控制屬性(4)客體屬性:(1)敏感性標記

(2)訪問控制列表外部狀態(tài)數(shù)據(jù)內(nèi)容和上下文環(huán)境

4)用戶與主體綁定應(yīng)用進程是固定為特定用戶服務(wù)，它在運行中代表該用戶對客體資源進行訪問，其權(quán)限應(yīng)與所代表的用戶相同，這一點可通過用戶與主體綁定實現(xiàn)。系統(tǒng)進程是為所有用戶提供服務(wù)，當應(yīng)用進程進行系統(tǒng)調(diào)用時，它開始執(zhí)行內(nèi)核函數(shù)，這時系統(tǒng)進程代表該用戶在執(zhí)行，運行在核心態(tài)，擁有操作系統(tǒng)權(quán)限。2自主訪問控制策略自主訪問控制策略--根據(jù)系統(tǒng)中信息屬主指定方式或默認方式，即按用戶意愿來確定擁有的資源允許系統(tǒng)中哪些用戶以何種權(quán)限共享。自主訪問控制工具--自主訪問控制策略可用三元組(S，O，A)表示，簡化后生成權(quán)能表和訪問控制表。自主訪問控制策略的缺點3強制訪問控制策略強制訪問控制機制下，系統(tǒng)內(nèi)的每個主體被賦予許可標記或訪問標記，以表示他對敏感性客體的訪問許可級別；系統(tǒng)內(nèi)的每個客體被賦予敏感性標記，以反映該客體的安全級別。安全系統(tǒng)通過比較主、客體的相應(yīng)標記來決定是否授予一個主體對客體的訪問權(quán)限。7.3安全模型7.3.1安全模型概述7.3.2幾種安全模型簡介7.3.1安全模型概述(1)什么是安全模型?

安全模型是對安全策略所表達的安全需求精確、無歧義的抽象描述。在安全策略與安全機制之間提供關(guān)聯(lián)，描述安全策略需用哪種機制滿足及如何將特定機制應(yīng)用于系統(tǒng)中，從而，實現(xiàn)某種安全策略所需的安全與保護。安全模型概述(2)安全模型分類?

非形式化安全模型僅模擬系統(tǒng)的安全功能，開發(fā)過程：從安全需求出發(fā)，推出功能規(guī)范，再實現(xiàn)安全系統(tǒng)，其間主要采用論證與測試技術(shù)；形式化安全模型使用數(shù)學(xué)模型精確地描述安全性及其在系統(tǒng)中使用的情況，開發(fā)途徑：建立抽象模型，推出形式化規(guī)范，通過證明方法來實現(xiàn)安全系統(tǒng)。狀態(tài)機模型開發(fā)步驟定義與安全有關(guān)的狀態(tài)變量。定義安全狀態(tài)需滿足的條件。定義狀態(tài)轉(zhuǎn)移函數(shù)。證明轉(zhuǎn)移函數(shù)能夠維持安全狀態(tài)。定義初始狀態(tài)。依據(jù)安全狀態(tài)的定義，證明初始狀態(tài)是安全的。7.3.2幾種安全模型簡介1基于訪問控制矩陣的安全模型

1)Lampson訪問控制矩陣模型

2)Graham-Denning模型

3)Harrison-Ruzzo-Ullman模型

2基于格的安全模型

1)Bell-LaPadula模型

2)D.Denning信息流模型BLP多級安全模型什么是BLP模型?

適用于軍事安全策略的操作系統(tǒng)多級安全模型。BLP模型的安全策略?1)自主安全策略--使用一個訪問矩陣表示。

2)強制安全策略--簡單安全特性和*特性。BLP模型兩條基本規(guī)則

(1)簡單安全規(guī)則：主體對客體進行讀訪問的必要條件是主體的安全級支配客體的安全級，即主體的安全級別不小于客體的保密級別，主體的范疇集包含客體的全部范疇。(或者說主體只能向下讀，不能向上讀。如將軍可閱讀中校的文件，但反之不允許。)(2)*特性規(guī)則：主體對客體進行寫訪問的必要條件是客體的安全級支配主體的安全級，即客體的保密級別不小于主體的保密級別，客體的范疇集包含主體的全部范疇。(或者說主體只能向上寫，不能向下寫。如中?？砂l(fā)消息給將軍的信箱告知情況，但反之不允許。)Bell-LaPadula多級安全模型5E63C4DB21A安全等級

4321寫讀主體客體7.4安全機制7.4.1硬件安全機制7.4.2認證機制7.4.3授權(quán)機制7.4.4加密機制7.4.5審計機制7.4.1硬件安全機制1主存保護

1)不支持虛擬主存的系統(tǒng)

(1)下界和上界寄存器法

(2)基址和限長寄存器法

(3)主存塊的鎖與進程的鑰匙配對法鑰匙和主存鎖主存鎖0110塊1101塊0101塊0110塊0110PSW的其余部分鑰匙進程IBMSystem/370鑰匙和鎖作為存儲保護和授權(quán)機制主存被分割成2KB大小的主存塊，每塊由硬件另設(shè)7個二進位的存儲控制鍵。(2位指示物理塊是否被引用或修改，4位用作“主存鎖”，1位稱“取保護位”。)進程分得一個鑰匙值，運行時鑰匙放入PSW的存儲控制鍵字段，處理器訪問主存或DMA執(zhí)行頁面I/O時，把鑰匙和鎖進行匹配，決定是否允許訪問。訪問不符，會產(chǎn)生保護中斷。進程使用1～15；操作系統(tǒng)使用0值，被允許訪問整個主存，還有權(quán)修改和設(shè)置鑰匙和主存鎖?！叭”Ｗo位”指示“主存鎖”是適用于寫還是讀/寫，鑰匙與鎖匹配時允許寫操作；若“取保護位”為1，則執(zhí)行讀操作時也要檢查鑰匙和鎖匹配與否，若“取保護位”為0，即使密鑰和鎖不匹配，也允許讀訪問，從而實現(xiàn)信息共享。2)支持虛擬存儲器的系統(tǒng)虛存隔離技術(shù)—內(nèi)核空間和用戶空間隔離、虛實映射由系統(tǒng)實現(xiàn)、管理表對進程是私有的、表中增加訪問類型字段。Windows分頁虛存管理1)區(qū)分內(nèi)核模式頁面和用戶模式頁面：

2)區(qū)分頁面類型：區(qū)分頁面訪問模式-不可訪問、只讀、讀寫、只能執(zhí)行、執(zhí)行和讀、執(zhí)行和讀寫。任何其他模式頁面訪問造成違法；

3)進程地址空間頁面狀態(tài)：有三種-空閑、保留和提交，被記錄在對應(yīng)頁表項中?？臻e頁面是指尚未分配給進程的無效頁面，任何訪問試圖都會產(chǎn)生無效頁號錯誤；訪問保留或提交頁面會造成不同類型的缺頁中斷處理。3)沙盒技術(shù)什么是沙盒技術(shù)?--系統(tǒng)可限制調(diào)用函數(shù)的特權(quán)為調(diào)用進程所具有的授權(quán)的一小部分特權(quán)。如限制程序在一個小范圍的主存區(qū)域(主存沙盒)中執(zhí)行，訪問沙盒外的數(shù)據(jù)及轉(zhuǎn)向沙盒外的代碼的企圖都會產(chǎn)生保護中斷，Java可定制的沙盒安全模型。保護用戶免受惡意程序代碼攻擊，Java程序可在沙盒范圍內(nèi)做任何操作，但不能超越范圍，對非可信Javaapplet，沙盒會限制它的活動，如讀寫本地磁盤、連接網(wǎng)絡(luò)主機、建立新進程、下載相關(guān)代碼等都作出限制。Java沙盒的基本組件有：類下載器、類文件驗證器和安全管理器等。2運行保護用戶空間系統(tǒng)空間應(yīng)用進程系統(tǒng)進程處理器模式擴展操作系統(tǒng)的訪問權(quán)限運行在內(nèi)戶態(tài)運行在核心態(tài)不可執(zhí)行特權(quán)指令可執(zhí)行特權(quán)指令VAX/VMS操作系統(tǒng)利用處理器的四種模式內(nèi)核(kernel)態(tài)：執(zhí)行操作系統(tǒng)內(nèi)核，包括主存管理、中斷處理、I/O操作等執(zhí)行(executive)態(tài)：執(zhí)行操作系統(tǒng)系統(tǒng)調(diào)用，如文件操作等。監(jiān)管(supervisor)態(tài)：執(zhí)行操作系統(tǒng)其余系統(tǒng)調(diào)用，如應(yīng)答用戶請求。用戶(user)態(tài)：執(zhí)行應(yīng)用程序，如編譯、編輯、鏈接等實用程序和各種應(yīng)用程序。3I/O保護文件映射I/O--僅有授權(quán)的系統(tǒng)進程，如設(shè)備驅(qū)動程序和存儲管理程序才能實現(xiàn)文件到主存區(qū)域的文件映射操作。I/O指令--I/O指令為特權(quán)指令。

7.4.2認證機制1用戶身份的標識與鑒別標識與鑒別的目的--標識是識別用戶身份，用戶標識符與用戶聯(lián)系的過程稱鑒別。認證機制應(yīng)做好以下工作

1)TCB維護認證數(shù)據(jù),2)TCB保護認證數(shù)據(jù)，

3)TCB維護、顯示、保護所有活動用戶、用戶帳戶信息；2UNIX/Linux系統(tǒng)的標識和鑒別系統(tǒng)的/etc/passwd文件含有全部系統(tǒng)掌握的用戶登錄信息，passwd中的記錄為用冒號隔開的七個字段，例如：smith:xyz246ght:6759:4302:JameQsmith:/home/smith/:/bin/sh3Kerberos網(wǎng)絡(luò)身份認證(1)客戶機A上的進程欲通過網(wǎng)絡(luò)通信來調(diào)用服務(wù)器B上的一個進程的服務(wù)。Kerberos提供身份認證服務(wù)AS及票證頒發(fā)服務(wù)TGS，允許客戶和應(yīng)用服務(wù)器在一個特定會話中傳送驗證消息到合作進程。客戶必須向KDC的AS證明自己身份，才可接收分發(fā)給自己的票證，通過口令完成這項工作。客戶會收到在整個會話期均有效的用于訪問專用服務(wù)器(TGS)的票證，該專用服務(wù)器的任務(wù)是分發(fā)其他應(yīng)用服務(wù)器的票證。Kerberos網(wǎng)絡(luò)身份認證(2)密鑰分發(fā)中心(KDC)

Kerberos體系結(jié)構(gòu)2b2a3b3a1b1a

客戶機A認證服務(wù)器(AS)應(yīng)用服務(wù)器B票證頒發(fā)服務(wù)器(TGS)口令KAT+tg_ticketAUTTGS+tg_ticketKAB+sg_ticketAUTB+sg_ticketKAB+結(jié)果Kerberos議協(xié)(1)步1A從AS處得到TGS所需要的許可票證

1a登錄時，A向AS提供口令，以證明其身份，AS在數(shù)據(jù)庫中驗證A的訪問權(quán)限，并生成相應(yīng)票證。1bAS給A返回一個消息E({KAT，tg_ticket}，KA)，KAT是A和TGS通信的會話密鑰，tg_ticket是一個通往TGS的許可票證。此消息使用A的密鑰KA加密，因此，只有A可以獲得KAT和tg_ticket。Kerberos議協(xié)(2)步2A從TGS處得到B所需要的許可票證

2aA向TGS申請B的票證，A提供tg_ticket(步1中已獲得)、應(yīng)用服務(wù)器標識B和一個認證符AUTTGS。許可票證形式為：tg_ticket=E({A，TGS，KAT}，KTGS),此消息使用TGS的密鑰KTGS加密，只有TGS可以解密它，含義是：允許A從TGS處取得B的許可票證，且必須使用KAT進行認證。認證符AUTTGS的形式為AUTTGS=E(A，KAT)，用于向TGS證明A是此申請請求的創(chuàng)建者。

2bTGS給A返回一個消息E({KAB，sg_ticket}，KAT)，其中，KAB是用于A和B通信的會話密鑰，sg_ticket是通往B的許可票證。此消息使用會話密鑰KAT加密，因此，只有A可以獲得KAB和sg_ticket。Kerberos議協(xié)(3)步3A從B處得到所需要的服務(wù)3aA向B請求所需服務(wù)，A提供sg_ticket(步2中已獲得)和認證符AUTB。服務(wù)許可票證形式為sg_ticket=E({A，B，KAB}，KB),此消息使用B的密鑰加密，僅能被B所解密，且具有含義：允許A從B處獲得服務(wù)，并且A必須使用密鑰KAB進行認證。認證符AUTB形式為AUTB=E(A，KAB)，用于向B證明A是此申請請求的創(chuàng)建者。3bB執(zhí)行所請求的服務(wù)，然后，將結(jié)果返回給A，如有需要，可用KAB對結(jié)果進行加密。Kerberos議協(xié)(4)KDC服務(wù)器必須是可信的，它擁有一份客戶身份拷貝，知道如何加密只有客戶才能夠解密的信息，并能生成獨特的會話密鑰去加密客戶和應(yīng)用服務(wù)器之間的會話。提供給客戶一個“容器”-許可票證，其中包含客戶不能讀取的信息，但可以傳送到應(yīng)用服務(wù)器驗證。7.4.3授權(quán)機制1授權(quán)機制的功能和安全系統(tǒng)模型什么是授權(quán)?主體被認證后，確定它是否有權(quán)訪問客體，只有在安全策略許可時才能訪問允許它訪問的客體。授權(quán)機制的主要功能：授權(quán)確定訪問權(quán)限實施存取權(quán)限。認證和授權(quán)用戶1認證機制授權(quán)機制主體1可訪問的資源計算機系統(tǒng)主體1、主體2可訪問的資源用戶2主體1主體2安全系統(tǒng)模型安全策略訪問監(jiān)控器訪問權(quán)限授權(quán)機制主體 客體O

S

2自主訪問控制機制主體

客體file1file2file3P1read/write/executereadwriteP2readread/write/executereadP3readwriteread/write/execute訪問控制矩陣示例1)基于行的自主訪問控制機制(1)(1)權(quán)能表進程P1的CL：file1(rwx);file2(r--);file3(-w-);進程P3的CL：file1(r--);file2(-w-);file3(rwx);權(quán)能表示例……1)基于行的自主訪問控制機制(2)(2)前綴表--對每個主體賦予前綴(profiles)表，包含受保護的客體名和主體對它的訪問權(quán)限。(3)口令表--每個客體都有一個口令，主體在對客體訪問前，必須向安全系統(tǒng)提供該客體的口令，如果正確便允許訪問。2)基于列的自主訪問控制機制file1(a)訪問控制表P1(rwx)P2(r--)P3(r--)

…

…file1P1GROUP5rwx*GROUP5--xP3*r--**---(b)優(yōu)化的訪問控制表

ACL和優(yōu)化ACL表3)自主訪問控制機制實現(xiàn)舉例(1)(1)“擁有者/同組用戶/其他用戶”模式UNIX/Linux的文件保護機制是一種簡單的授權(quán)機制。主體有惟一的用戶ID(uid)，且屬于某個用戶組，用戶組有惟一的用戶組ID(gid)，代表用戶的進程繼承用戶的uid和gid，實際上是第一個為用戶啟動的shell進程，該shell進程及其所有子孫進程都繼承這個uid和gid。系統(tǒng)中能對客體訪問的主體被分為：客體屬主、同組用戶和其他用戶。對每個客體的訪問模式區(qū)分為：讀(r)、寫(w)和執(zhí)行(x)，這些信息構(gòu)成一個簡化的訪問控制矩陣，允許客體的屬主和特權(quán)用戶為客體設(shè)定訪問控制信息。當主體訪問客體時，根據(jù)進程的uid、gid和客體的訪問控制信息驗證訪問的合法性。自主訪問控制機制實現(xiàn)舉例(2)(2)“訪問控制表ACL”和“擁有者/同組用戶/其他用戶”結(jié)合模式在安全操作系統(tǒng)UNIXSVR4.1中，采用“訪問控制表ACL”和“擁有者/同組用戶/其他用戶”結(jié)合的實現(xiàn)方法。每個文件對應(yīng)一個ACL；在通信機制IPC中，使每個消息隊列/信號量集合/共享存儲區(qū)對應(yīng)一個ACL。自主訪問控制機制實現(xiàn)舉例(3)ACL操作：“授權(quán)”、“取消”“查閱”。ACL安全檢驗策略如下：若進程以x權(quán)限訪問客體，則x必須在客體的ACL項中；若進程搜索路徑，則它必須具有該路徑中每個子目錄的搜索權(quán)。例如，當進程訪問文件時，調(diào)用自主訪問控制機制，將進程uid、gid等用戶標識信息和請求訪問方式mode，與ACL中的ACL項相比較，檢驗是否允許進程以mode方式訪問該文件。3強制訪問控制機制(1)1)強制訪問控制的概念強制訪問控制用于將系統(tǒng)中的信息分密級和范疇進行管理，保證用戶只能夠訪問那些被標明能夠由他訪問的信息的一種訪問約束機制。系統(tǒng)中每個主體(進程)，每個客體(文件、消息隊列、信號量集、共享存儲區(qū)等)都被賦予相應(yīng)的安全屬性，這些安全屬性不能改變，它由安全系統(tǒng)自動地按嚴格的規(guī)則設(shè)置或由安全管理員管理。當主體訪問一個客體時，調(diào)用強制訪問控制機制，根據(jù)主體的安全屬性和訪問方式，比較它和客體的安全屬性，確定是否允許主體對客體進行訪問。

強制訪問控制機制(2)對系統(tǒng)的主體和客體分別賦予與其身份相對應(yīng)的安全屬性的外在表示-安全標簽，它有兩部分組成：{安全類別：范疇}。

(1)安全類別-有等級的分類安全級別：也稱密級，系統(tǒng)用來保護信息(客體)的安全程度。敏感性標簽：客體的安全級別的外在表示，系統(tǒng)利用此敏感性標簽來判定進程是否擁有對此客體的訪問權(quán)限。許可級別：進程（主體）的安全級別，用來判定此進程對信息的訪問程度。許可標簽：進程的安全級別的外在表示，系統(tǒng)利用進程的安全級別來判定它是否擁有對要訪問的信息的相應(yīng)權(quán)限。

強制訪問控制機制(3)(2)范疇-無等級概念范疇是該安全級別信息所涉及的部門，用來判定該用戶是否屬于信息對應(yīng)的部門。例如，在公司內(nèi)，可建立信息安全類別：ConfidentialRestricted(技術(shù)信息)、Restricted(內(nèi)部信息)和Unrestricted(公開信息)。公司內(nèi)的范疇可以為：Accounting(財務(wù)部)、Marketing(市場部)、Advertising(廣告部)、Engineering(工程部)和Research&Development(研發(fā)部)。

2)強制訪問控制的實現(xiàn)(1)安全標簽的實現(xiàn)基于多級安全策略，系統(tǒng)的訪問控制機制的實現(xiàn)要基于以下內(nèi)容：對每個客體賦予一個敏感性標簽，此標簽標明系統(tǒng)用來保護此信息的安全程度（級別）；對每個主體（進程）賦予一個許可標簽，此標簽用來指定此進程的可信程度；系統(tǒng)通過基于主體（進程）的許可標簽和客體（信息）的敏感性標簽來判定該進程是否擁有對該信息相應(yīng)的訪問權(quán)限；系統(tǒng)保證對所有I/O的信息都能夠正確地標記反映其安全級別的敏感性標簽。安全標簽實現(xiàn)要點類別部分：由于類別部分反映的是一種等級關(guān)系，故又稱安全等級或密級，在安全類別中密級按線性順序排列，例如，公開<機密<秘密<絕密，在實現(xiàn)時以數(shù)字從小到大依次遞增表示其安全等級。范疇部分：范疇部分由無等級概念的元素組成，表示一個清晰的信息領(lǐng)域，范疇集之間不存在等級，但具有包含或被包含關(guān)系，也可以是無關(guān)的；在實現(xiàn)中范疇用數(shù)字代表，范疇集是數(shù)字的集合表示。安全標簽A和B之間存在四種關(guān)系A(chǔ)支配B：當且僅當A的安全等級大于等于B的安全等級，A的范疇集包含B的范疇集，即B的范疇集是A的范疇集的子集。B支配A：當且僅當B的安全等級大于等于A的安全等級，B的范疇集包含A的范疇集，即A的范疇集是B的范疇集的子集。A等于B：當且僅當A的安全等級等于B的安全等級，A的范疇集中的任何一項也是B的范疇集中的一項，反之亦然，也即A支配B，B支配A。A與B無關(guān)：A安全級的范疇集不包含B安全級的范疇集，同時B安全級的范疇集不包含A安全級的范疇集。(2)基于安全標簽的強制訪問控制進程D許可標簽：{confidential：a、b、c}進程A許可標簽：{secret：a、b、c}進程B許可標簽：{topsecret：a、b、c}進程C許可標簽：{topsecret：d、e、f}filex敏感性標簽：{secret：a、b、c}寫許可讀許可讀許可寫拒絕寫拒絕讀拒絕讀拒絕寫許可基于安全標簽的強制訪問控制3)強制訪問控制防止特洛伊木馬強制訪問控制的場合下，對于違反強制訪問控制的特洛伊木馬，可防止它取走信息。例如，*特性能阻止正在機密級上運行的進程中的特洛伊木馬把機密信息寫入一個公開的文件內(nèi)，因為用機密進程寫入的文件的安全級必須至少是機密級；再如，公司對系統(tǒng)中自己擁有的信息指定強制訪問范疇，只有公司雇員才可能進入這個范疇，如果它的一個雇員使用特洛伊木馬，他不可能將該公司的信息傳遞到這個范疇以外的地點，但在這個范疇里，信息可在各用戶間自由傳遞。4特殊授權(quán)機制-最小特權(quán)原理1)最小特權(quán)原理

POSIX最小特權(quán)原理，(1)在硬件特權(quán)方面，當處理器不是以特權(quán)模式或特權(quán)域方式運行時，必須限制特權(quán)機器指令的使用，限制對某些存儲區(qū)域的訪問；(2)在軟件特權(quán)方面，由操作系統(tǒng)賦予某些程序的恰好夠用的特權(quán)，這些特權(quán)允許它超越在應(yīng)用程序上實施的常規(guī)訪問控制，或者調(diào)用所選擇的函數(shù)，具有多種類型軟件特權(quán)的系統(tǒng)允許在最小特權(quán)方面實施細粒度控制；(3)進程在系統(tǒng)中代表用戶和系統(tǒng)管理員的行為，不應(yīng)獲得多于完成它們工作所需的特權(quán)。2)最小特權(quán)管理的實現(xiàn)用戶特權(quán)：將特權(quán)集分別映射到不同管理用戶身上:(1)系統(tǒng)安全管理員：

(2)系統(tǒng)審計員：

(3)系統(tǒng)操作員：

(4)安全操作員：

(5)網(wǎng)絡(luò)管理員：3)最小特權(quán)管理的實現(xiàn)進程特權(quán)和文件特權(quán)：對可執(zhí)行文件賦予相應(yīng)特權(quán)集，這樣可讓非特權(quán)用戶完成部分特權(quán)但又不具有其它特權(quán)。對進程可根據(jù)其執(zhí)行的程序和所代表的用戶，賦予相應(yīng)特權(quán)集。當進程請求特權(quán)操作時(如安裝文件系統(tǒng))，將調(diào)用特權(quán)管理機制，判定該進程的特權(quán)集中是否具有該操作特權(quán)。這樣特權(quán)不再和用戶標識相關(guān)，即不是基于用戶ID，它直接與進程及可執(zhí)行文件相關(guān)聯(lián)。新進程繼承的特權(quán)既有進程的特權(quán)，也有所執(zhí)行的文件的特權(quán)，這種機制一般稱“基于文件的特權(quán)機制”，其最大優(yōu)點是特權(quán)的細化，它的繼承性提供了執(zhí)行進程可增加特權(quán)的能力。7.4.4加密機制(1)

數(shù)據(jù)加密模型明文密文原始明文加密算法解密算法加密密鑰解密密鑰加密機制(2)

數(shù)據(jù)加密概念加密與解密明文與密文加密函數(shù)(算法)與解密函數(shù)(算法)密碼系統(tǒng)對信息應(yīng)提供功能：秘密性、鑒別性、完整性和防抵賴。2基于密鑰的算法分類1)對稱算法加密/解密密鑰是相同的，加密密鑰能夠從解密密鑰中推算出來，反之也成立。

2)公開密鑰算法用作加密的密鑰不同于用作解密的密鑰，解密密鑰不能根據(jù)加密密鑰計算出來。加密密鑰可公開，其他人能用加密密鑰來加密信息，但只有用相應(yīng)解密密鑰才能解密信息，3計算機密碼算法

1)數(shù)據(jù)加密標準DES--美國標準、對稱算法、安全性好、密鑰管理難以滿足開放性要求。

2)公開密鑰算法RSA

基本技術(shù)如下：網(wǎng)中每個節(jié)點產(chǎn)生一對密鑰，用來對它接收的消息加密和解密；每個系統(tǒng)都把加密密鑰放在公共文件中，這是公開密鑰，另一個設(shè)為私有