【文档说明】第7章 操作系统的安全与保护.pptx，共(93)页，223.698 KB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-289338.html

以下为本文档部分文字说明：

操作系统原理PrincipleofOperatingSystem精品课程第7章操作系统的安全与保护7.1安全7.2保护7.3入侵者7.4恶意软件7.5实例：Windows安全机制本章主要内容兰州理工大学计算机与通信学院操作系统原理PrincipleofOperati

ngSystem精品课程安全和保护在现代计算机系统中的重要性日益增加，系统中用户的所有文件都存储在计算机的存储设备中，而存储设备在所有的用户间是共享的。这意味着，一个用户所拥有的文件可能会被另一个用户读写。

系统中有些文件是共享文件，有些文件是独享文件。那么操作系统如何来建立一个环境，使得用户可以选择保持信息私有或者与其他用户共享呢？这就是操作系统中的安全与保护机制的任务。当计算机被连接到网络中并与其他计算机连接时，保持私有信息会更加困难。当信息通过网络传递时以及当信息

存储在存储设备上时都应该受到保护。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程第7章操作系统的安全与保护7.1安全7.2保护7.3入侵者7.4恶

意软件7.5实例：Windows安全机制兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程随着越来越多的个人生活信息被编码并保存到计算机中，我们的身份信息也潜在地可能被其他的用户所访问。除了个人信息外，商业和政府部门的核心信息也存储在

计算机上，这些信息必须可以被拥有它和依赖它的用户使用，但是不能被未授权的组织或用户访问。除了保护信息外，保护和安全的另一个方面是确保属于个人或组织的计算机资源不能被未授权的个人或组织访问。兰州理工大学计算机与通信学院操作系统

原理PrincipleofOperatingSystem精品课程➢安全问题➢安全威胁➢安全目标➢操作系统安全兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程计算机系统的安全问题大致

可分为恶意性和意外性两种类型。所谓恶意性安全问题是指未经许可对敏感信息的读取、破坏或使系统服务失效。在网络化时代，这类问题占极大比例，可能会引起金融上的损失、犯罪以及对个人或国家安全的危害。所谓意外性安全问题是指由于硬件错误、系统或软件错误以及自然灾害造

成的安全问题。这种意外性安全问题可能直接造成损失，也可能为恶意破坏留下可乘之机。➢安全问题兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程计算机系统本身也存在着许多固有的脆弱性，表现在以下几个方

面：⑴数据的可访问性。⑵存储数据密度高，存储介质脆弱。⑶电磁波辐射泄露与破坏。⑷通信网络可能泄密，并易于受到攻击。安全问题兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程对计算机系统和网络通信的四项安全要求：⑴机密性（Confidential

ity）。要求计算机系统中的信息只能由被授权者进行规定范围内的访问。⑵完整性（Integrity）。要求计算机系统中的信息只能被授权用户修改。⑶可用性（Availability）。防止非法独占资源。⑷真实性（A

uthenticity）。要求计算机系统能证实用户的身份，防止非法用户侵入系统，以及确认数据来源的真实性。➢安全威胁兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程安全威胁计算机或网络系统在安全性上受到四种普通的威胁：⑴切断。系统的

资源被破坏过变得不可用或不能用。这是对可用性的威胁。⑵截取。未经授权的用户、程序或计算机系统获得了对某资源的访问。这是对机密性的威胁。⑶篡改。未经授权的用户不仅获得了对某资源的访问，而且进行篡改。这是对完整性的攻击。⑷伪造。未经授权的用户将伪造的对象插入到系统中。这

是对合法性的威胁。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程信息源端信息目的端（a）正常的信息流（b）切断（c）截取（d）篡改（e）伪造安全威胁兰州理工大学计算机与通信学院操作系统原理Pri

ncipleofOperatingSystem精品课程操作系统的安全威胁针对操作系统安全的主要威胁：⑴入侵者入侵者表现为两种形式：被动入侵者和主动入侵者。包括：普通用户的随意浏览、内部人员的窥视、尝试非法获取利益者、商

业或军事间谍。⑵恶意程序恶意程序是指非法进入计算机系统并能给系统带来破坏和干扰的一类程序。恶意程序包括病毒和蠕虫、逻辑炸弹、特洛伊木马以及天窗等，一般我们把这些恶意程序都用病毒一词来代表。⑶数据的意外受损除了恶意入侵造成的威胁外，有价值的信息也会意外受损。造成数据意外受损的原因

有：自然灾害、意外故障、人为攻击。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程一般来说，一个计算机系统的安全目标应包括如下几个方面：⑴安全性安全性是一个整体的概念，包含了系统的硬件安全、软件安全、数据安全，也包含了系统的运行安全

。安全又分为外部安全和内部安全。外部安全包括：物理安全、人事安全和过程安全。内部安全指在计算机系统的软件、硬件中提供保护机制来达到安全要求。内部安全的保护机制尽管是有效的，但仍需与适当的外部安全控制相配合，应该相辅相成，交替使用。人们花了很大力气用

于营造计算机系统的外部安全与内部安全。但是，有一点不容忽视，那就是防止非法用户的入侵，特别要防范冒名顶替者假冒合法的授权用户非法访问计算机系统的各种资源。➢安全目标兰州理工大学计算机与通信学院操作系统原理PrincipleofOper

atingSystem精品课程⑵完整性完整性是保护计算机内软件和数据不被非法删改或受意外事件破坏的一种技术手段。它可以分为软件完整性与数据完整性两方面的内容。软件完整性：在软件设计阶段具有不良品质的程序员可以对软件进行别有用心的改动，他可以在软件中留下一个陷阱或后门以备将来在一定条件下对系统进

行攻击。因此，选择值得信任的软件设计者是一个非常重要的问题。同时也更需要采用软件测试工具来检查软件的完整性，并保证这些软件处于安全环境之外时不能被轻易地修改。装有微程序的ROM部件也有可能被攻击并对它进行修改。安全目标兰州理工大学计算机与通信学院操作系统原

理PrincipleofOperatingSystem精品课程数据完整性：所谓数据完整性是指在计算机系统中存储的或是在计算机系统间传输的数据不被非法删改或受意外事件的破坏。数据完整性被破坏通常有以下几

个原因：a)系统的误操作。如系统软件故障，强电磁场干扰等。b)应用程序的错误。由于偶然或意外的原因，应用程序破坏了数据完整性。c)存储介质的破坏。由于存储介质的硬损伤，使得存储在介质中的数据完整性受到了破坏。

d)人为破坏。是一种主动性的攻击与破坏。安全目标兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程⑶保密性保密性是计算机系统安全的一个重要方面，它是指操作系统利用各

种技术手段对信息进行处理来防止非法入侵、防止信息的泄漏。此外，为保证系统安全而采取的安全措施本身也必不可少地需要加以保护，如口令表、访问控制表等。这类信息是非常敏感的，它们不应被非法读取或删改。安全目标兰州理工大学计算机与通信学院操作系统原理Princ

ipleofOperatingSystem精品课程操作系统安全机制⑴身份认证机制：是安全操作系统应具备的最基本的功能，是用户欲进入系统访问资源或网络中通信双方在进行数据传输之前实施审查和证实身份的操作。因而，身份认证机制成为大多数保护机制的基础。身份

认证可分为两种：内部和外部身份认证。⑵授权机制：确认用户或进程只有在系统许可某种使用时才能够使用计算机的资源。授权机制依赖于安全的认证机制而存在。➢操作系统安全兰州理工大学计算机与通信学院操作系统原理Princ

ipleofOperatingSystem精品课程操作系统安全经典计算机系统的授权访问外部访问认证访问认证访问认证访问认证进程资源进程内部兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程操作系

统安全⑶加密机制：将信息编码成像密文一样难解形式的技术，加密的关键在于高效地建立从根本上不可能被未授权用户解密的加密算法，以提高信息系统及数据的安全性和保密性，防止保密数据被窃取与泄密。数据加密技术可分为两类：一类是数据

传输加密技术，目的是对网络传输中的数据流加密，又分成链路加密和端加密；另一类是数据存储加密技术，目的是防止系统中存储数据的泄密，又分成密文存储和存取控制。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课

程⑷审计机制：审计(auditing)作为一种事后追踪手段来保证系统的安全性，是保证系统安全性而实施的一种技术措施，也是对付计算机犯罪者们的利器。审计就是对涉及系统安全性的操作做完整的记录，以备有违反系统安全规

则的事件发生后能有效地追查事件发生的地点、时间、类型、过程、结果和涉及的用户。必须实时记录的事件类型有：识别和确认机制(如注册和退出)、对资源的访问(如打开文件)、删除对象(如删除文件)、计算机管理员所做的操作(如修改口令)等。审计

过程是一个独立过程，应把它与操作系统的其他功能隔开来，严格限制未经授权的用户不得访问。审计与报警功能相结合，安全效果会更好。操作系统安全兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程操作系统安全设计

原则⑴应该公开系统设计方案。⑵不提供缺省访问控制。⑶时刻检查当前权限。⑷给每个进程尽可能小的权限。⑸安全保护机制应该简单、一致，并深入到系统的最底层。⑹所选的安全架构应该是心理上可以接受的。除了原则，几十年来极为宝贵的经验是：设计应该尽量简单。兰州理工大学计算机与通信

学院操作系统原理PrincipleofOperatingSystem精品课程第7章操作系统的安全与保护7.1安全7.2保护7.3入侵者7.4恶意软件7.5实例：Windows安全机制兰州理工大学计算机与通信学院操作系统原理Princip

leofOperatingSystem精品课程操作系统中的进程必须加以保护，使其免受其他进程活动的干扰。为此，系统采用了各种机制确保只有从操作系统中获得了恰当授权的进程才可以操作相应的文件、内存段、处理器和其他资源。保护是指一种控制程序、进程或用户对计

算机系统资源进行访问的机制。这个机制必须为加强控制提供一种规格说明方法和一种强制执行方法。保护在一个计算机系统中扮演的角色是为加强资源使用的控制策略提供一种机制，可以通过各种途径建立这些策略。有些已经固化在系统设计中，有些会

在系统管理中阐明。还有一些由个人用户定义，以保护他们自己的文件和程序。一个保护系统必须有一定的弹性，能够强制执行多种可向他声明的策略。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程➢操作系统保护层次➢内存

储器的保护➢面向用户的访问控制➢面向数据的访问控制兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程操作系统可能在下列层次提供保护：⑴无保护。当敏感的过程

是在独立的时间内运行时，不需要保护。⑵隔离。⑶共享或不共享。⑷通过访问限制的共享。⑸具有动态能力的共享。⑹限制对象的使用。➢操作系统保护层次兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程➢内存储器的保护在多道程序设计环境

中，保护内存储器是最重要的，如果一个进程能够不经意地写到另一个进程的存储空间，则后一个进程就可能会不正确地执行。各个进程的存储空间分离可通过虚存方法来实现，分段、分页，或两者的结合，提供了管理主存的一种有效的方法。如果进程完全隔离，则操作系统必须保证每个段或页只

能由所属的进程来控制和存取。如果允许共享，则相同的段或页可能出现在不止一个表中。这种类型的共享在一个支持分段或支持分段与分页相结合的系统中最容易实现。在纯粹分页环境下，由于存储器结构对用户透明，要想区分两种类型的存储器就十分困难。兰州

理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程➢面向用户的访问控制在数据处理系统中访问控制所采取的方法有两类：与用户有关的和与数据有关的。在共享服务器上，用户访问控制最

普遍的技术是用户登录，这需要一个用户标识符（ID）和一个口令。这种ID/口令系统是用户访问控制的一种很差的不可靠的用户控制方法。用户可能会忘记他们的口令，并且会有意或无意地泄露其口令。黑客们在猜测特殊用户的

ID（如系统管理员的ID）方面变得越来越老练。用户存取控制的问题在通信网络中更重要，因为登录会谈必须通过通信媒体进行，所以窃听是一种潜在的威胁。必须采取有效的网络安全措施。在分布式环境中用户的访问控制可以是集

中式，也可以是分散式的。在许多网络中，可能要使用两级网络控制。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程➢面向数据的访问控制在成功登录以后，用户有权访问一台或一组计算机及应用信息，对于数据库

中存有机密数据的系统来说，这还是不够的。通过用户访问控制过程，系统要对用户进行验证。有一个权限表与每个用户相关，指明用户被许可的合法操作和文件访问，操作系统就能够基于用户权限表进行访问控制。然而数据库管理系统必须控制对特定的记录甚至记录的某些部分的存取。尽管操作系统可能授权给一个用户存取

文件或使用一个应用，在这之后不再有进一步的安全性检查。但数据库管理系统必须针对每个独立访问企图做出决定，该决定将不仅取决于用户身份，而且取决于被访问的特定部分的数据，甚至取决于已公开给用户的信息。兰州理工大学计算机与通信学院操作

系统原理PrincipleofOperatingSystem精品课程文件或数据库管理系统采用的访问控制的一个通用模型是访问矩阵（AccessMatrix），该模型的基本要素：⑴主体（Subject）。能够访问对象的实体。一般地，主体概念等同于进程。任何用

户或应用程序获取一个对象的访问实际上是通过一个代表该用户或应用程序的进程进行的。⑵客体（Object）。被访问的对象，如文件、文件的某部分、程序、设备以及存储器段。⑶访问权（AccessAuthority）。主体对客体的访问方式。如读、写、执行、删除

等。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程第7章操作系统的安全与保护7.1安全7.2保护7.3入侵者7.4恶意软件7.5实例：Windows安全机制兰州

理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程两种最引人注目的安全威胁之一是入侵者（另一种是病毒），一般称为黑客或计算机窃贼。入侵者有以下三种类型：⑴伪装者（masquerader）⑵违法行为者（misfeasor）

⑶秘密的用户（clandestineuser）兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程➢入侵技术➢口令保护➢入侵检测兰州理工大学计算机与通信

学院操作系统原理PrincipleofOperatingSystem精品课程➢入侵技术入侵技术主要有拒绝服务攻击和口令攻击两大类。拒绝服务攻击(DenialofService,DoS)是一种最悠久也是最常见的攻击形式。严格来说，拒绝服务攻击并不是某一种具体的攻击方式，而是攻击所表现出来的结果

，最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务，甚至导致物理上的瘫痪或崩溃。具体的操作方法是多种多样的，可以是单一的手段，也可以是多种方式的组合利用，其结果都是一样的，即合法的用户无法访问所需信息。兰州理工大学计算机与通

信学院操作系统原理PrincipleofOperatingSystem精品课程通常拒绝服务攻击可分为两种类型：第一种是使一个系统或网络瘫痪。如攻击者发送一些非法的数据或数据包，就可以使得系统死机或重新启动。本质上是攻击者进行了一次拒绝服务攻击，因为没有人能够使用资源。以攻击者的角度来看，攻击的

简单之处在于可以只发送少量的数据包就使一个系统无法访问。第二种攻击是向系统或网络发送大量信息，使系统或网络不能响应。进行这种攻击时，攻击者必须连续地向系统发送数据包。比如Smurf攻击即洪水ping攻

击，该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机无法响应从而拒绝其他服务。兰州理工大学计算机与通信学院操作系统原理Prin

cipleofOperatingSystem精品课程口令攻击攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令，他就能获得机器或者网络的访问权，并能访问到合法用户能访问到的任何资源。获得普通用户账号的方法很多，如：⑴利用目标

主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上；⑵利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径；⑶从电子邮件地址中收集：有

些用户的电子邮件地址常会透露其在目标主机上的账号。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程对策：预防和检测预防是一个具有挑战性的安全目标，在任何时候都是一

场困难的战斗。困难的发生主要是防卫者必须尝试防御所有可能的攻击，而攻击者却可以自由地去发现防御环节中最薄弱的环节，并在该点实施攻击。检测关心的是发现攻击，无论是攻击成功之前还是之后。兰州理工大学计算机与通信学院

操作系统原理PrincipleofOperatingSystem精品课程➢口令保护入侵者的目的是获得对系统的访问，或者提高他访问系统的特权范围。一般来说，这需要入侵者获得已被保护的信息。在多数情况下，这种信息的

形式是用户口令。通过获取某些其他用户的口令，入侵者可以登录到系统中并行使该合法用户所具有的所有特权。典型情况下，系统必须维护一个文件，该文件将每个已经授权的用户与一个口令关联起来。口令是计算机和用户双方都

知道的某个“关键字”，是一个需要严加保护的对象，它作为一个确认符号串只能对用户和操作系统本身识别。但是如果这个文件未经保护地进行存储，则入侵者将很容易获取对它的访问并得到口令。兰州理工大学计算机与通信学院操

作系统原理PrincipleofOperatingSystem精品课程口令文件的保护可采取下列两种方式之一：⑴单向加密：系统存储的仅仅是加密形式的用户口令。当用户提交一个口令时，系统对该口令加密并与存储的值相比

较。实际上，系统通常执行一个单向的变换（不可逆），使用该口令生成一个用于加密功能的密钥，并产生一个固定长度的输出。⑵访问控制：对口令文件的访问权限局限于非常少的几个账号。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem

精品课程加密技术数据自身的安全涉及数据的传输安全和存储安全两个方面。数据传输安全主要通过加密手段对需要在不同主机上传递的数据进行加密处理，以防止通信线路上的窃听、泄漏、篡改和破坏。数据存储安全一方面可以利用数据库等数据管理系统的多级保护机制，另一方面也可以对数据进行加密后再进行存储

。事实上，数据安全的底层基础技术就是加解密技术，它是保证数据不被非法泄露的手段，在计算机安全中有着广泛的应用。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程加密是一种编码数据的方法，使入侵者难以理解数据内容

，在授权用户使用时，解码数据，使其返回原始格式。加密也是用数学方法重新组织数据的过程，这样做使得任何非法接收者不可能轻易获得正确的信息。加密可以通过编码系统来实现，所谓编码就是用事先约定好的表或字典将消息或消息的一部分替换成无意义的词或词组。也可以通过密

码来实现加密，所谓密码就是用一个加密算法将消息转化为不可理解的密文。有三种可用的加密方法：编码、替代和转置。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程根据加密密钥的使用和部署，可将加密技术分为两种类型：对称加密和非对称加密

。对称加密也称单密钥加密。在20世纪70年代后期非对称加密出现以前，只有这一种加密技术。至今它仍然是使用最为广泛的加密方法。明文输出密文传输明文输入加密算法解密算法共享密钥共享密钥兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSyst

em精品课程为了安全的使用对称加密方法，有以下两点要求：⑴需要一个强壮的加密算法。至少，要求即使有人知道了该算法，并且已经得到了一个或多个密文，也无法解密出密文或计算出密钥。⑵信息的发送者和接收者必须以安全的方式获得

并保存共享密钥。一旦密钥被别人截获，后果可想而知。数据加密标准（DES，DataEncryptionStandard）中定义了最常用的对称加密方法，1977年被美国国家标准局接纳。该标准中的算法本身被称为数据加密算法（DEA）。和任何对称的加密算法一样，DES加密函数有两个输入（明文和密钥）。

DES要求明文必须是64位的，密钥则必须是56位的。比较长的明文被划分成以64位为单位的小块进行加密。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程非对称加密公钥加密是非对称加密方法最主要的存在形式．于1976年

由Diffie和HellMan首次公开提出。公钥加密算法基于数据函数，而不是简单的位模式操作。更重要的是，公钥加密体系是不对称的，它采用两个独立的密钥。明文输出密文传输明文输入加密算法解密算法用户A的私钥用户A的公钥兰州理工大学计算机与通信学院操作系统原理P

rincipleofOperatingSystem精品课程公钥与私钥：在公钥加密体系中，需要—对密钥，一个被称为公钥，另一个被称为私钥。应注意的是，公钥是对其他用户公开的，而私钥只有用户自己知道。这两个密

钥一个用于加密，另一个用于解密。根据应用背景的不同，加密算法既可能使用公钥，也可能使用私钥；解密算法也一样。公钥加密体系常用于数字签名。RSA算法是Rivest、Shamir和Adleman于1977年开发的，并以这三名创始者的姓名首字母

命名。作为第一个公钥方案，RSA方法从那时起就占据着公钥加密体系的最高统治地位，并被广泛接受。RSA加密涉及到模数运算，其理论依据是单向函数有效地使用了两个素数的乘积，为了确定反向函数，入侵者必须找出乘积的两

个因子，找出这两个素数是一项非常艰巨的计算任务。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程访问控制防止口令攻击的一种方法是不让攻击者访问口令文件。如果加了

密的文件口令部分只能被特权用户所访问，则不知道特权用户口令的攻击者是不能读到该文件的。因为计算机系统中大量的信息都是以文件的形式出现，所以对信息施加的保护表现为对文件的访问在实际上受到的控制。访问控制是在身份识别的基础上，根据身份对提出的资源访问请求加以控制。在访问控制中

，对访问必须进行控制的资源称为客体，而对客体进行访问的活动资源称为主体。主体即访问的发起者，通常为进程、程序或用户。客体包括各种资源，如文件、设备、信号量等。访问控制中第三个元素是保护规则，它定义了主体与客体可能的相互作用途径。兰州理工

大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程一般对客体的访问控制机制有两种：一种是自主访问控制，一种是强制访问控制。⑴自主访问控制所谓自主访问控制是指由客体的拥有者或

具有指定特权的用户来制定系统的一些参数以确定哪些用户可以访问并且以什么样的方式来访问他们的客体。它是一种最为普遍的访问控制技术，在这种方式中用户具有自主的决定权。访问控制矩阵是一个稀疏矩阵，大多数元素为空元素。空

元素将会造成存储空间的浪费，而且查找某个元素会消耗大量的时间。因此，实际上常常是基于矩阵的行或列来表达访问控制信息。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程基于行的自主访问控制所谓基于行的自主访问控制就是指在每个主体上都附加一个该

主体可访问的客体的详细情况说明表。常见的基于行的自主访问控制有权限字以及前缀表等方式。权限字是一张不可伪造的标志或凭证，它提供给主体对客体的特定权限。主体可以建立新的客体并指定在这些客体上允许的操作。操作系统以用户的名义拥有所有凭证，系统不是直接将凭证发给用户，而是仅当用户

通过操作系统发出特定请求时才为用户建立权限字。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程前缀表包含客体名和主体对它的访问权限。前缀表的原理是：当系统中的某个主体请求访

问某个客体时，访问控制机制将检查主体的前缀是否具有它所请求的访问权。这种方式存在三个不足之处：一是主体前缀大小有限制；二是当生成一个新客体或改变和撤消某个客体的访问权时，会涉及许多主体前缀的更新，需要进行大量的工作；三是不便确定可访问某客体的所有主体。兰州理工大学计算机与通信学院操作系统原理Pri

ncipleofOperatingSystem精品课程基于列的自主访问控制所谓基于列的访问控制就是指在每个客体上都附加一份可访问它的主体的详细情况说明表。基于列的访问控制有两种方式：保护位和存取控制表。保护位对所有的主体、主体组以及客体的

拥有者规定了一个访问模式集合。主体组是具有相似特点的主体的集合。一个主体可以同时属于多个主体组。但某个时刻，一个主体只能属于一个活动的主体组。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程存取控制表可以决定任何一

个特定的主体是否可对某个客体进行访问。每个客体都对应一张存取控制表，表中列出所有的可访问该客体的主体和访问方式。例如，某个文件的存取控制表可以存放在该文件的文件说明中，通常包含的内容有：能够访问该文件的用户的身份，文件主或是用户组，以及文件主或用户组成员对此文件的

访问权限。如果采用用户组或通配符的概念，则存取控制表不会很长。目前，存取控制表方式是自主访问控制实现中比较好的一种方法。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程自主访问控制的访问许

可访问许可允许主体对客体的存取控制表进行修改，所以利用访问许可可以实现对自主访问控制机制的控制。这种控制有三种类型：等级型、拥有型和自由型。等级型是将对客体存取控制表的修改能力划分等级，构成一个树型结构，其中系统管理员是树根，它具有修改所有客体存取控制表的

权限，并且具有向其他主体分配对客体存取控制表进行修改的权利。上一级主体可以对下一级主体分配相应客体存取控制表的修改权和对修改权的分配权。最低一级的主体不具有访问许可，即它们不具有对客体存取控制表的修改权。而具有访问许可的主体可以授

予自己对许可修改的客体任何访问模式的访问权。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程拥有型是指客体的拥有者具有对客体的所有控制权，同时它也是对客体有修改权的唯一主体。客体拥有者具有对其客体的访问许可，并可以授予或撤消其他主体对客体的任何

一种访问模式，但客体拥有者不具有将其对客体的控制权分配给其他主体的能力。自由型是指客体生成者可以将它对其客体的控制权分配给其他主体，并且还可以使其他主体也具有这种分配能力。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程⑵强制访问

控制自主访问控制是保证系统资源不被非法访问的一种有效方法。但在自主访问控制中，合法用户可以修改该用户所拥有的客体的存取控制表，此时操作系统无法区分这是用户自己的合法操作还是非法操作或是恶意攻击。为了弥补这个不足，引入了一个更强有力的控制方法就是强制访问控制。所谓强制访问控制是指由

系统来决定一个用户是否可以访问某个客体。这个安全属性是强制性的规定，任何主体包括客体的拥有者也不能对其进行修改。系统通过比较主体和客体的安全属性来确定一个用户是否具有对某个客体访问的权力。强制访问控制一

般有两种方法：限制访问控制和限制系统功能。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程在使用限制访问控制方法的系统中，主体只有通过请求特权系统调用来修改客体存取控制表。而这个

调用功能依据的是通过用户终端输入的信息，不是依靠别的程序的信息来修改存取控制表。在使用限制系统功能的系统中，必要时系统自动实施对系统某些功能的限制。比如，共享是计算机系统的优点，但也带来问题，所以要限制共享文件。当然共享文件是不可能完全限制的。再如

，专用系统可以禁止用户编程，这样可以防止一些非法攻击。但是如果该专用系统连接在网络中，黑客还是有可能攻入这种专用系统的。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程访问控制方式的缺点：⑴很多系

统对非预期的闯入是敏感的。一旦某个攻击者通过某种方式获取了访问权，他就可能希望得到大量的口令以便对不同的登录使用不同的账号来减少被检测到的危险。或者具有某账号的用户还可能希望得到另一个用户的账号去访问特权数据或对系统采取破坏活动。⑵保

护中的意外事故可能使口令文件可读，这样就会危及所有账号的安全。⑶有些用户具有位于其他保护域中的其他机器上的账号，并且他们使用相同的口令。这样，如果口令在某台机器上被任何人读到，则另一台机器也可能会受到威胁。因此，更有效的策略是强迫用

户选择不易被猜出的口令。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程口令选择策略选择口令的目标是在排除那些容易猜测的口令的同时能让用户选择一个容易记忆的口令。口令选择策略常用的有以下四种：⑴用户教育⑵

计算机生成口令⑶反应性的口令检测⑷前摄性的口令检测兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程➢入侵检测最好的入侵防护系统也不可避免地会失败。系统的第二道防线

就是入侵检测，这也已经成为近年来许多研究的焦点。入侵检测的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程。入侵检测是对入侵的发觉，用于入侵检测的软硬件组合称为入侵检测系统（IntrusionDetectionSystem，IDS），它通过收集并分析计算机系统和网络的

有关数据来检测入侵行为。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程分为两类：异常入侵检测和误用入侵检测。异常检测假定入侵行为与正常行为明显不同。因此，可首先建立正常的行为轮廓，当检测到的行为不符合预定义轮廓时

，将其视为入侵。该方法的关键是异常阈值的选择，其优点是能够发现未知入侵行为，缺点是容易产生误报。异常入侵检测一般也称为基于行为的检测，根据系统或用户的非正常行为和使用计算机资源的不正常情况来检测出入侵行为。目前常见的基于异常入侵检测技术的检测方法有

：统计方法、预测模式生成、人工神经网络、遗传算法、免疫系统、基于规范的入侵检测、数据挖掘等等。入侵检测技术兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程误用检测也叫滥用检测或基于知识的检测，误用检测的技术基础是分析各种类型的

攻击手段，并找到可能的“攻击特征”集合，误用检测利用这些特征集合或是对应的规则集合，对当前的数据来源进行各种处理后，再进行特征匹配或规则匹配工作，如发现满足条件的匹配，则指示发生了一次攻击行为。但是存在的一个关键性问题是如何才能把所有可能攻

击的“攻击特征”全部找出来并存储到一个特征库里，所以找出所有入侵的特征组成特征库就变得很重要。该方法误报率低、准确率高，但它只能发现已知的入侵方式、漏报率高、特征库的维护与实时更新困难。现在常见的基于误用入侵检测技术的检测方法有：专家系统、基

于模式匹配、基于模型入侵检测、状态转换分析、协议分析、决策树方法等等。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程入侵检测系统1987年Denning提出了一种抽象的通用入侵检测模型，该模型主要由主

体（Subjects）、对象（Objects）、审计记录（AuditRecords）、行为轮廓（ActivityProfiles）、异常记录（AnomalyRecords）和行为规则（ActivityRules）6部分组成。Denning的通用模型基于主机审计记录生成系统的行为轮廓，并根据行

为轮廓的统计异常发现入侵行为。该模型独立于特定操作系统，与应用环境、系统弱点和入侵类型无关，是一个实时入侵检测专家系统模型，对后续的IDS产生了重要的影响，早期的IDS大都基于该模型实现。兰州理工大学计算机与通信学院操作系统原理Princip

leofOperatingSystem精品课程Denning模型报告异常匹配阈值更新添加/修改动态产生新轮廓对象主体审计记录事件产生器行为规则集行为轮廓兰州理工大学计算机与通信学院操作系统原理PrincipleofOpe

ratingSystem精品课程根据数据分析的实现方式，IDS的体系结构可分为集中式结构和分布式结构两种。集中式结构包括单机集中式和网络集中式两种。早期的IDS大都采用单机集中式结构，即数据采集、分析都在一台主机上进行。该方式根据主机审

计数据进行检测，准确率高、速度快，但它只保护单台主机，且依赖于主机审计子系统。一些基于网络的“分布式”IDS虽实现了分布式数据采集，但数据分析仍集中完成，这种基于网络的集中式结构具有结构简单、实现容易的优点，适用于小型网络系统。其弱点是：检测主机成为网络系统的安全瓶颈；分布式的数据采集会

造成网络性能的下降，可扩展性差；IDS配置和功能更新困难，适应不断变化入侵方式的能力差；处理前的数据在网络中传输，存在被攻击的危险。兰州理工大学计算机与通信学院操作系统原理PrincipleofOper

atingSystem精品课程分布式结构包括层次式结构和协同式结构。层次式结构是一个树型的分层体系，结合了集中式结构的简化性和分布式结构的鲁棒性，适用于较大规模的网络系统，如GrIDS(Graph-basedIntrusionDetectionSyste

m)。该结构底层的检测节点负责信息采集，并进行预处理。中层节点承上启下，接受并处理下层节点处理后的数据，并进行较高层次的关联分析、判断和结果输出。中层节点减轻了上层控制节点的负担，也增强了系统的伸缩性。顶层节点

负责整体管理和协调，并根据环境变化调整节点层次关系，实现系统的动态配置。其不足是层次结构和检测节点的设置较困难、一个节点的破坏会影响上下层节点的协同检测能力、顶层节点仍是系统安全瓶颈、报警延迟较大。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperating

System精品课程协同式结构无“中心节点”的概念，采用多个相互平等的检测节点在网络中分别进行检测，并且协同处理大规模的入侵行为，如CARDS（CoordinatedAttackResponseandDetect

ionSystem）。其优点是各节点之间可进行交叉检验，实现互监视和互检测，具有较好的鲁棒性和协同检测能力；适合于复杂、异构的网络环境的不同安全需求；网络规模扩大时，只需加入新的检测节点，可扩展性好；单个检测节点的失效对整

个检测网络没有明显的影响。其主要问题是会占用被检测主机的资源；结构复杂，实现困难；报警延迟大。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程从数据源上可以说

IDS分为以下三种：HIDS（主机入侵检测系统）、NIDS（网络入侵检测系统）和DIDS（分布式入侵检测系统）。其中HIDS的数据来源于主机系统，通常是系统日志和审计记录。HIDS通过对系统日志和审计记录的不断监控和

分析来发现攻击后的操作。优点是针对不同的操作系统特点捕获应用层入侵，误报少，缺点是依赖于主机及其审计子系统，实时性差。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSys

tem精品课程NIDS的数据源是基于网络的IDS，其数据来源于网络上的数据流。NIDS能够截获网络中的数据包，提取其特征并与知识库中已知的攻击签名相比较，从而达到检测的目的。其优点是侦测速度快、隐蔽性好，不容易受到攻击，对主机资源消耗少；缺点是有些攻击是由服务器的键盘发出的，不经过网络，因而无

法识别，误报率较高。DIDS则是采用上述两种数据来源的分布式入侵检测系统，它是同时分析来自主机系统审计日志和网络数据流的入侵检测系统，一般为分布式结构，由多个部件组成。DIDS可以从多个主机获取数据也可

以从网络传输取得数据,克服了单一的HIDS、NIDS的不足。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程入侵检测的发展趋势⑴高效智能的检测技术⑵分布式体系结构⑶IDS评估方法⑷安全技术集成⑸IDS标准化兰州理工大学计算机与通信学院操作系统原

理PrincipleofOperatingSystem精品课程第7章操作系统的安全与保护7.1安全7.2保护7.3入侵者7.4恶意软件7.5实例：Windows安全机制兰州理工大学计算机与通信学院操作系统原理

PrincipleofOperatingSystem精品课程对计算机系统来说，最复杂的威胁是由那些利用计算机系统漏洞的程序带来的。对这类威胁的一般术语是恶意软件（Malware）。Malware是专门设计用来制造破坏或用尽目标计算机资源的软件，它常常隐藏在合法软件中或伪装成合法软件。在某些情

况下，它通过电子邮件或感染的软盘、U盘将自己传播到其他计算机中。本节首先概述这类软件威胁，然后讲述病毒，包括病毒的本质、分类，最后谈谈对策。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperating

System精品课程恶意软件对计算机系统的威胁可以分成两类：需要主机程序的和独立运行的。前者在本质上是不能独立于某些应用程序、实用程序或系统程序而存在的程序段，后者是自含式的程序，可以通过操作系统来调度和运行。也可以通过软件复制和不复制来区分这些软件的威胁，前者是当主机程序

被唤醒执行特定功能时才被激活的程序段，后者是由一个程序段（病毒）或一个独立程序（蠕虫、细菌）组成的，当它们执行时，将产生自身的一个或多个副本，今后将在同一系统上或某些其它系统上发作。兰州理工大学计算机与通信学院操作系统

原理PrincipleofOperatingSystem精品课程恶意程序需要主机运行独立运行后门逻辑炸弹特洛伊木马病毒蠕虫僵尸复制兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程➢病毒➢反病毒方法兰州

理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程➢病毒计算机病毒从其产生至今，世界上病毒的数量已经发展到近5万种，病毒的种类和编制技术也经历了几代的发展。在我国曾经广泛流

行的计算机病毒有近千种，并且有些病毒给计算机信息系统造成了很大破坏，影响了信息化的发展和应用。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程病毒的本质病毒可以做其他程序能做的任何事情。仅有的区别是它将自己依附

到另一个程序上，当主机程序运行时，它也秘密地执行。典型的病毒在其生命周期中经历如下四个阶段：潜伏阶段、繁殖阶段、引发阶段、执行阶段很多病毒完成其任务的方式是与特定的操作系统有关的，并且在某些情况下专门针对特定的硬件平台，因此，设计它

们时就充分利用了特定系统的细节和弱点。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程病毒的类型自从病毒出现以来，在病毒程序编写者和反病毒软件制作者之间就持续不断地进行着较量。随着

适用于已有病毒类型的有效反病毒措施的开发，新类型的病毒也在不断开发。通常把最为重要的病毒分为以下几类：⑴寄生病毒⑵常驻内存的病毒⑶引导扇区病毒⑷隐蔽病毒⑸多态病毒兰州理工大学计算机与通信学院操作系统原理PrincipleofOperat

ingSystem精品课程宏病毒近年来，公司站点遭遇的病毒数量急剧上升。事实上这种上升趋势是由一种最新型的病毒——宏病毒的繁殖所导致的。宏病毒特别危险，原因如下：⑴宏病毒与平台无关。基本上所有宏病毒都感染M

icrosoftWord文档，因而支持MicrosoftWord的任何硬件平台和操作系统都可以被感染。⑵宏病毒感染文档而不是代码的可执行部分，而在计算机上的大多数信息的存在形式是文档而不是程序。⑶宏病

毒易于传播，非常普遍的方法是通过邮件。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程在MicrosoftWord软件中，共有三种类型的自动执行宏：⑴自动执行：如果一个名叫AutoExec的宏在“normal.dot

”模板中或在Word启动目录内存储的全局模板中，则每当启动Word时它就执行。⑵自动宏：当一个已定义的事件发生时，例如打开或关闭一个文档，创建新文档或退出Word，自动宏就执行。⑶命令宏：如果一个宏在全局宏文件中，或一个宏依附到一个与已有的Word命令同名的文档时，则每当用户调用该命

令（例如FileSave），这个宏就执行。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程电子邮件病毒恶意软件的最新发展是电子邮件病毒。第一个快速传播的

电子邮件病毒，如Melissa，使用了嵌入在附件中的MicrosoftWord宏。如果接收者打开电子邮件附件，则这个Word宏将被激活。从而电子邮件病毒把它自身发送给该用户邮件列表中的每一个人，再进行局部破坏。1999年末出现了一种强大的电子邮件病毒版本。这

个新版本可以仅仅通过打开一个包含该病毒的电子邮件而被激活，而不是打开附件。可见，新一代的恶意软件可以通过电子邮件传播，也可以使用电子邮件软件特征在Internet中复制自己。病毒只要被激活就开始把自身传播到被感染

的主机所知道的所有电子邮件地址中去。因此，对于这种不断增长的威胁，必须为PC机中的Internet实用程序和应用软件建立更高程度的安全级别。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperating

System精品课程➢反病毒方法对于病毒威胁最理想的解决办法是预防：首先不要让病毒侵入到系统中。尽管预防能够减少病毒成功攻击的次数，但这个目标一般来说不太可能达到。而另一种方法是能够做到如下几点：⑴检测：一旦已经发生感染，就要确定它的发生并定位病毒。⑵识别：当检测取得成功之

后，要识别出感染程序的特定病毒。⑶删除：一旦已经识别出特定的病毒，就要将病毒的所有形迹从受感染的程序中去除，并恢复其原来的状态。去除所有受感染的系统中的病毒，使感染情况不能进一步传播。如果检测成功但识别或去除无法做到时，另一个选择是丢弃受感染的程序，再安装一个干净的备份。兰州理工大学计算机

与通信学院操作系统原理PrincipleofOperatingSystem精品课程通用解密通用解密（GenericDecryption，GD）技术使得既使对于最复杂的多态病毒，反病毒程序也能够很容易地检测，并且保持很高的扫描速度。当一个包含多态病毒的文件

正在运行时，病毒必须对自己进行解密，从而激活自己。可执行文件运行时首先通过一个GD扫描器进行检测其是否已被病毒感染，GD扫描器包含以下元素：⑴CPU仿真器⑵病毒署名扫描器⑶模拟控制模块兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程数字免疫系

统数字免疫系统是IBM公司研制的一种综合病毒保护方法。研制该方法的动机是基于Internet的病毒传播的威胁越来越大。以前，病毒威胁的主要特点是新病毒和新的病毒变种以相对比较慢的速度传播。反病毒软件通常每月更新一次就足以控制病毒的蔓

延。直到20世纪90年代后期，Internet在病毒的传播中还起着比较小的作用。在进入21世纪后，Internet技术的两个主要发展趋势，将对病毒传播的速度产生更大的影响：集成邮件系统：诸如LotusNotes和MicrosoftOu

tlook之类的系统软件使得可以很容易地把任何东西发送给任何人，并且可以很容易地处理接收到的对象。移动式程序系统：Java和ActiveX都允许程序自己从一个系统移动到另一个系统。兰州理工大学计算机与通信学院操作系统原理PrincipleofO

peratingSystem精品课程专用网络病毒分析机器分析病毒行为和结构解压签名导出处理方法③管理机器感染病毒的客户机器客户机器客户机器②④①⑤⑥管理机器客户客户客户其他专用网络个人用户⑦数字免疫系统兰州理工大

学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程特洛伊木马的防范“特洛伊木马程序”技术是黑客常用的攻击方法。它通过在你的电脑系统隐藏一个会在Windows启动时悄悄运行的程序，采用服务器/客户机的运行方式，

从而达到在你上网时控制你的电脑的目的。黑客可以利用它窃取你的口令、浏览你的驱动器、修改你的文件、登录注册表等等。防范特洛伊木马攻击的一种方法是使用一个安全的、可信赖的操作系统。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品

课程第7章操作系统的安全与保护7.1安全7.2保护7.3入侵者7.4恶意软件7.5实例：Windows安全机制兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程Windows20

00/XP提供了一组全面、可配置的安全性服务，这些服务达到了美国政府用于受托操作系统的国防部C2级要求。1995年，两个独立配置的WindowsNTServer和WindowsNTWorkstation3.5正式得到美国国家计算机安全中心（UnitedStatesNation

alComputerSecurityCenter，NCSC）的C2级认证。1996年，WindowsNTServer和WindowsNTWorkstation3.51的独立和网络配置都通过了英国信息技术安全评

估和认证（UKInformationTechnologySecurityEvaluationandCertification，ITSEC）委员会的F-C2/E3级认证。这个评估与美国的C2级评价等同。兰州理工大学计算机与通信学院操作系统原理Princi

pleofOperatingSystem精品课程操作系统安全性服务及其需要的基本特征如下：⑴安全登录机制。要求在允许用户访问系统之前，输入唯一的登录标识符和密码来标识自己。⑵访问控制。允许资源的所有者决定哪些用户可以访问资源和他们可以如何处理这些资源。所有者可以授权给某

个用户或一组用户，允许他们进行各种访问。⑶安全审核。提供检测和记录与安全性有关的任何创建、访问或删除系统资源的事件或尝试的能力。运用登录标识符记录所有用户的身份，这样就便于跟踪任何执行非法操作的用户。⑷内存保护。防止非法进程访问其他进程的

专用虚拟内存。另外，Windows2000/XP保证当物理内存页面分配给某个用户进程时，这一页中绝对不包含其他进程的脏数据。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程Wind

ows2000/XP通过它的安全性子系统和相关组件来达到这些需求，与WindowsNT相比较，为适应分布式安全性的需要，Windows2000/XP对安全性模型进行了一些扩展，包括：⑴活动目录。为大域提供了可升级的、灵活的账号管理，允许精确地访问控制

和管理委托。⑵Kerberos5身份验证协议。这是一种成熟的作为网络身份验证默认协议的Internet安全性标准，为交互式操作身份验证和使用公共密钥证书的身份验证提供了基础。⑶基于SecureSocke

tsLayer3.0的安全通道。⑷CryptoAPI2.0。提供了公共网络数据完整性和保密性的传送工业标准协议。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程➢安全性系统组件➢保护对象➢访问

控制策略➢访问令牌➢安全描述符兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程➢安全性系统组件实现Windows2000/XP系统安全性的一些组件和数据库如下：⑴安全引用监视器（SR

M)⑵本地安全权限（LSA）服务器⑶LSA策略数据库⑷安全账号管理服务器⑸SAM数据库⑹默认身份认证包⑺登录进程⑻网络登录服务兰州理工大学计算机与通信学院操作系统原理PrincipleofOperating

System精品课程➢保护对象保护对象是访问控制和审核的基本要素。Windows2000/XP上可以被保护的对象包括文件、设备、邮件槽、己命名的和未命名的管道、进程、线程、事件、互斥体、信号量、可等待定时器、访问令牌、窗口站、桌面、网络

共享、服务、注册表和打印机。被导出到用户态的系统资源和以后需要的安全性有效权限是作为对象来实现的，因此，Windows2000/XP对象管理器就成为执行安全访问检查的关键关口。要控制谁可以处理对象，安全系统就必须首先明确每个用户的标识。当一个线程打开某对象的句柄时，对象

管理器和安全系统就会使用调用者的安全标识来决定是否将申请的句柄授予调用者。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程➢访问控制策略当用户登录到Windows2000/XP系统时，Windows2000/XP使用名字/口令方

案来验证该用户。如果可以接受登录，则为该用户创建一个进程，同时有一个访问令牌与这个进程对象相关联。访问令牌包括有关安全ID（SID），基于安全目的，它是系统所知道的某个用户标识符。当这个最初的用户进程派生出任何一个额外进程时，新的进程

对象继承了同一个访问令牌。访问令牌有两种用途：⑴负责协调所有必需的安全信息，从而加速访问确定。⑵允许每个进程以受限的方式修改自己的安全特性，而不影响代表用户运行的其他进程。第二点的主要意义与访问控制特权相关。兰州理工大学计算机与

通信学院操作系统原理PrincipleofOperatingSystem精品课程➢访问令牌访问令牌是一个包含进/线程安全标识的数据结构，包括以下参数：⑴安全ID：唯一确定网络上所有机器中的某个用户。⑵组SID：关于该用户属于哪些组的列表。⑶特权：该用户可以调用的一组相对安全性敏感的系

统服务。⑷默认所有者：如果该进程创建了另一个对象，这个域就确定了谁是新对象的所有者。⑸默认ACL：这是适用于保护用户创建的所有对象的初始表。图兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品课程➢安全描述符安全描述符控制哪些用户可

对访问对象做什么操作。包括以下参数：⑴标记。定义一个安全描述符的类型和内容。⑵所有者。该对象的所有者可以在这个安全描述符上执行任何动作。所有者可以是一个单一的SID，也可以是一个组SID。⑶系统访问控制表（SA

CL）。确定该对象上的哪种操作可以产生审核信息。⑷自由访问控制表（DACL）。确定哪些用户和用户组是哪些操作的访问对象，由一组访问控制项（ACE）组成。兰州理工大学计算机与通信学院操作系统原理PrincipleofOperatingSystem精品

课程操作系统原理PrincipleofOperatingSystem谢谢!兰州理工大学计算机与通信学院