操作系统原理第六章操作系统安全性ppt课件.ppt

《操作系统原理第六章操作系统安全性ppt课件.ppt》由会员分享，可在线阅读，更多相关《操作系统原理第六章操作系统安全性ppt课件.ppt（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、6.1 安全性概述安全性概述(1)系统安全性涉及系统系统安全性涉及系统保护保护与与保密保密两个方面，两个方面，旨在保障系统中数据的完整性、可用性和机旨在保障系统中数据的完整性、可用性和机密性。但实现起来难度较大，密性。但实现起来难度较大，涉及到技术、涉及到技术、管理、法律、道德、教育和政治等问题。管理、法律、道德、教育和政治等问题。(2)目前操作系统安全的分级管理机制目前操作系统安全的分级管理机制 系统级管理（注册、登录、口令机制）系统级管理（注册、登录、口令机制） 用户级管理（分类授权）用户级管理（分类授权） 目录、文件级管理（设权限、属性等）目录、文件级管理（设权限、属性等）第第6章章 操

2、作系统安全性操作系统安全性 人为破坏因素人为破坏因素 有意、无意的非法操作有意、无意的非法操作 病毒破坏病毒破坏 黑客入侵黑客入侵 自然破坏因素自然破坏因素 火灾、水灾、震灾、火灾、水灾、震灾、战争战争 存储介质等硬、软件损坏存储介质等硬、软件损坏6.2 影响系统安全性的因素影响系统安全性的因素n系统对策系统对策n授权机制授权机制n防毒机制防毒机制+法制教育法制教育n防黑机制防黑机制n备份备份、转储转储、恢复机制恢复机制n硬、软件冗余机制硬、软件冗余机制1. 鉴别机制鉴别机制基于口令的身份鉴别技术基于口令的身份鉴别技术口令的复杂性、口令试错机制、登录日志、一次口令的复杂性、口令试错机制、登录日

3、志、一次性口令、口令文件保护（加密存储）性口令、口令文件保护（加密存储）基于物理标志的身份鉴别技术基于物理标志的身份鉴别技术磁卡、磁卡、IC卡、指纹识别、虹膜识别卡、指纹识别、虹膜识别.基于公开秘钥的身份鉴别技术基于公开秘钥的身份鉴别技术基于不对称加密算法的数字签名技术；基于不对称加密算法的数字签名技术；发送者发送者A使用私钥对数据加密（签名），接收者使用私钥对数据加密（签名），接收者B使用使用A的公钥解密，如正确，则能确认的公钥解密，如正确，则能确认A的身份的身份6.3 实现系统安全性的基本技术实现系统安全性的基本技术 几种目前最有效的安全机制简介几种目前最有效的安全机制简介2、授权机制的实

4、现授权机制的实现方法一方法一：文件的二级存取控制：文件的二级存取控制( (UNIX采用采用) )第一级：对访问者的识别第一级：对访问者的识别 对用户分类：对用户分类：文件主（文件主（ownerowner）文件主的同组用户文件主的同组用户 （groupgroup）其它用户（其它用户（otherother）第二级：对操作权限的识别第二级：对操作权限的识别 对操作分类：对操作分类：n读操作（读操作（r）n写操作（写操作（w）n执行操作（执行操作（x）n不能执行任何操作（不能执行任何操作（-） 这样这样UNIX索引节点中可用索引节点中可用9个二进制位个二进制位rwx rwx rwx对各类对各类用户设访

5、问权限。文件主人可改之，如用户设访问权限。文件主人可改之，如chmod 755 file2方法二方法二: : 存取控制矩阵存取控制矩阵（早期（早期OS用）用） 文件文件 用户用户ABCUser1rwrwUser2e 存取控制矩阵概念简单，但是浪费大量的磁盘空间存取控制矩阵概念简单，但是浪费大量的磁盘空间3. 具体的备份、转储与恢复机制具体的备份、转储与恢复机制通过转储操作，可形成文件或文件系统的多个副本通过转储操作，可形成文件或文件系统的多个副本 备份有备份有本地本地、异地异地、热热、冷冷备份之分备份之分 转储有全量转储、增量转储两种，恢复有全量恢转储有全量转储、增量转储两种，恢复有全量恢复、

6、增量恢复两种复、增量恢复两种 磁盘镜像与磁盘双工磁盘镜像与磁盘双工 镜像：同一磁盘控制器安装两个硬盘；镜像：同一磁盘控制器安装两个硬盘； 双工：两硬盘分别接到两个磁盘控制器上；双工：两硬盘分别接到两个磁盘控制器上； RAID技术技术 各种各种RAID规格，适应不同的环境规格，适应不同的环境 如如RAID 0、RAID1、RAID5、RAID6、RAID 0+1等等RAID0l容量容量：最小磁盘容量*磁盘数量；l速度快速度快：多个磁盘同时进行读写；l容错容错：无。RAID 1 磁盘镜像磁盘镜像l容量容量：最小磁盘容量l速度速度：写速度慢，读速度快；l容错容错：有RAID 0+1 RAID0+RA

7、ID1l容量容量：最小RAID0的容量l速度速度：多个磁盘同时进行读写l容错容错：有RAID 3 带奇校验或偶校验的磁盘阵列l容量容量：最小磁盘容量*（磁盘数量-1）l速度速度：写损失，读快l容错容错：有l校验盘是瓶颈。校验盘是瓶颈。RAID 5 奇/偶校验分布在各个磁盘上l容量：容量：最小磁盘容量*（磁盘数量-1）l速度：速度：写损失，读快l容错：容错：有l校验盘分散在不同磁校验盘分散在不同磁盘上盘上4. 加密机制加密机制 两类主要加密算法两类主要加密算法 对称秘钥：加密解密用同一个秘钥对称秘钥：加密解密用同一个秘钥 数据加密标准（数据加密标准（Data Encryption Standar

8、d，DES）目前）目前仍被公认是安全的仍被公认是安全的 非对称（公开）秘钥：加密和解密使用不同的秘非对称（公开）秘钥：加密和解密使用不同的秘钥钥 公开秘要法：公开秘要法：1976，美国，美国Diffie和和Hallman提出提出 RSA体制（体制（ 1978，MIT，Rivest、Shamir和和Adleman创创建，建，2002 Turing Award），已被），已被ISO推荐为公开密钥数推荐为公开密钥数据加密标准。据加密标准。公开秘钥法两种应用公开秘钥法两种应用 加密传输：发送者加密传输：发送者B使用接收者使用接收者A的公钥对数据进行加的公钥对数据进行加密，密，A收到信息后，使用收到信息

9、后，使用A的私钥解密的私钥解密 数字签名：发送者数字签名：发送者A使用私钥对数据加密（签名），接使用私钥对数据加密（签名），接收者收者B使用使用A的公钥解密，如正确，则能确认的公钥解密，如正确，则能确认A的身份的身份 著名的单向著名的单向hash算法算法 for data signature(数字签名)qMD5（Message-Digest Algorithm 5 消息消息-摘要算法摘要算法，1991, MIT Laboratory for Computer Science and RSA Data Security Inc Ronald L. Rivest. It can transform

10、 a long string of message into a 128-bit digest. qSHA-1（Safe Hash algorithm 安全散列算法安全散列算法. It outputs a 20-byte string. NIST(美国国家标准技术研究院）美国国家标准技术研究院）, 1994qWang xiaoyun ，王小云王小云, 山东大学数学与系统科学学院密码技术与信息山东大学数学与系统科学学院密码技术与信息安全实验室主任、清华大学安全实验室主任、清华大学“长江学者奖励计划长江学者奖励计划”特聘教授特聘教授 2004.8 cracked MD5, found out th

11、e hash collisions 2005.2 cracked SHA-1 theoretically职业道德与法制建设职业道德与法制建设 随着互连网的发展，病毒与黑客对系统和用户的攻击日益猖獗，现有系统的安全对策显得很脆弱，因此，加强计算机从业人员的职业道德教育和防范计算机犯罪的法律建设成了当务之急！人有了知识，就会具备各种分析能力，明辨是非的能力。所以我们要勤恳读书，广泛阅读，古人说“书中自有黄金屋。”通过阅读科技书籍，我们能丰富知识，培养逻辑思维能力；通过阅读文学作品，我们能提高文学鉴赏水平，培养文学情趣；通过阅读报刊，我们能增长见识，扩大自己的知识面。有许多书籍还能培养我们的道德情操，给我们巨大的精神力量，鼓舞我们前进。