操作系统(第4版） 742 认证机制.pptVIP

7.4.2 认证机制 1 用户身份的标识与鉴别 标识与鉴别 的目的 认证机制应做好以下工作 1)TCB维护认证数据 , 2)TCB保护认证数据， 3)TCB维护、显示、保护所有活动用户、用户帐户信息； 2 UNIX/Linux系统的标识和鉴别 系统的/etc/passwd文件含有全部系统掌握的用户登录信息，passwd中的记录为用冒号隔开的七个字段，例如： smith:xyz246ght:6759:4302:Jame Q smith:/home/smith/:/bin/sh 3 Kerberos网络身份认证 Kerberos 议协(1) 步1 A从AS处得到TGS所需要的许可票证 1a 登录时，A向AS提供口令，以证明其身份，AS在数据库中验证A的访问权限，并生成相应票证。 1b AS给A返回一个消息E({KAT，tg_ticket}，KA)，其中，KAT是A和TGS通信的会话密钥，tg_ticket是一个通往TGS的许可票证。此消息使用A的密钥KA加密，因此，只有A可以获得KAT和tg_ticket。 Kerberos 议协(2) 步2 A从TGS处得到B所需要的许可票证 2a A向TGS申请针对所需应用服务器B的票证，在申请消息中，A提供tg_ticket(步1中已获得)、应用服务器标识B和一个认证符AUTTGS。许可票证的形式为：tg_ticket=E({A，TGS，KAT}，KTGS),此消息使用TGS的密钥KTGS加密，只有TGS可以解密它，其含义是：允许A从TGS处取得应用服务器B的许可票证，并且必须使用KAT进行认证。认证符AUTTGS的形式为AUTTGS=E(A，KAT)，用于向TGS证明A是此申请请求的创建者。 2b TGS给A返回一个消息E({KAB，sg_ticket}，KAT)，其中，KAB是用于A和B通信的会话密钥，sg_ticket是通往B的许可票证。此消息使用会话密钥KAT加密，因此，只有A可以获得KAB和sg_ticket。 Kerberos 议协(3) 步3 A从B处得到所需要的服务 3a A向B请求所需服务，在请求中，A提供sg_ticket(步2中已获得)和一个认证符AUTB。服务许可票证的形式为sg_ticket=E({A，B，KAB}，KB),此消息使用使用B的密钥加密，仅能被B所解密，且具有以下含义：允许A从B处获得服务，并且A必须使用密钥KAB进行认证。认证符AUTB的形式为AUTB=E(A，KAB)，用于向B证明A是此申请请求的创建者。 3b B执行所请求的服务，然后，将结果返回给A，如有需要，可用KAB对结果进行加密。 7.4.3 授权机制 1 授权机制的功能和安全系统模型 什么是授权? 授权机制的主要功能： 授权 确定访问权限 实施存取权限。 认证和授权 安全系统模型 2 自主访问控制机制 1)基于行的自主访问控制机制(1) (1)权能表 1)基于行的自主访问控制机制(2) (2)前缀表 (3)口令表 2) 基于列的自主访问控制机制 3) 自主访问控制机制实现举例(1) (1)“拥有者/同组用户/其他用户”模式 UNIX/Linux的文件保护机制是一种简单的授权机制。 主体有惟一的用户ID(uid)，且属于某个用户组，用户组有惟一的用户组ID(gid)，代表用户的进程继承用户的uid和gid，实际上是第一个为用户启动的shell进程，该shell进程及其所有子孙进程都继承这个uid和gid。 系统中能对客体访问的主体被分为：客体属主、同组用户和其他用户。 对每个客体的访问模式区分为：读(r)、写(w)和执行(x)，这些信息构成一个简化的访问控制矩阵，允许客体的属主和特权用户为客体设定访问控制信息。 当主体访问客体时，根据进程的uid、gid和客体的访问控制信息验证访问的合法性。 自主访问控制机制实现举例(2) (2)“访问控制表ACL”和“拥有者/同组用户/其他用户”结合模式 在安全操作系统UNIX SVR4.1中，采用“访问控制表ACL”和“拥有者/同组用户/其他用户”结合的实现方法。 每个文件对应一个ACL；在通信机制IPC中，使每个消息队列/信号量集合/共享存储区对应一个ACL。 自主访问控制机制实现举例(3) ACL操作： “授权”、 “取消”“查阅”。 DAC安全检验策略如下： 若进程以x权限访问客体，则x必须在客体的ACL项中；若进程有哪些信誉好的足球投注网站路径，则它必须具有该路径中每个子目录的有哪些信誉好的足球投注网站权。例如，当进程访问文件时，调用自主访问控制机制，将进程uid、gid等用户标识信息和请求访问方式mode，与ACL中的ACL项相比较，检验是否允