网络空间系统安全全套电子整本书电子教案教学教程.pptx

1、,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,2021/9/7,#,信息安全研究实验室,第,#,页,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,2021/9/7,#,信息安全研究实验室,第,#,页,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,2021/9/7,#,信息安全研究实验室,第,#,页,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,2021/9/7,#,信息安全研究实验室,第,#,页,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,2

2、021/9/7,#,信息安全研究实验室,第,#,页,第一章 绪论,本章内容提纲,1.1,安全事件实例,1.2,安全基本要素,1.3,安全问题与安全系统,1.4,系统安全学科领域,2015,年安全事件的几个典型数据,美国：,365,490,起,中国：,126,916,起,日本：,19,624,起,实际发生的安全事件数每年不断攀升,1.1,安全事件实例,Wannacry,安全事件现象,2017,年,5,月，很多电脑出现右图画面，无法正常工作,画面文字大意：计算机中的文件已被加密，请在规定时间内向指定的地址支付相当于,300,美元的比特币，若过期未支付，所有文件将彻底丢失,1.1.1 Wannacr

3、y,攻击事件,Wannacry,的影响范围,一天之内，波及,150,多个国家，感染,20,多万台计算机,造成的损失约几十亿美元之间,影响最严重的是英国和苏格兰的医疗系统,约有,7,万台设备被感染,计算机、磁共振扫描机、血库冰箱 等,病人无法看病，已安排好的手术无法进行,1.1.1 Wannacry,攻击事件,Wannacry,的原理,传播部分：,扫描网络，寻找,SMB,协议漏洞,EternalBlue,代码打通进入目标系统的通道,BoublePulsar,代码把,Wannacry,安装到目标系统中并启动它运行,勒索部分：,对被感染计算机中的文件进行加密，锁住计算机的正常运行,显示勒索界面，提供

4、赎金支付接口,被感染的主要是,Windows 7,操作系统，占,98%,1.1.1 Wannacry,攻击事件,关于,SMB,协议漏洞,SMB,（,Server Message Block,）是,Windows,文件打印共享服务协议,2017,年,3,月，微软的,MS17-010,安全公告说明了,SMB,协议漏洞，并发布了漏洞补丁,系统日常维护中未及时打安全补丁给,Wannacry,攻击留下了可乘之机,1.1.1 Wannacry,攻击事件,Mirai,安全事件现象,2016,年,10,月，出现大半个美国断网现象，很多知名网站无法访问,涉及的网站：,GitHub,、,Twitter,、,Red

5、dit,、,Netflix,和,Airbnb,等,1.1.2 Mirai,攻击事件,Mirai,事件的原因,提供,DNS,服务的,Dyn,公司受到了,DDoS,攻击,域名解析示例：域名：,IP,：,162.105.131.113,向,Dyn,发动攻击的是大量的网络摄像头和家庭路由器，即,IoT,设备,IoT,设备组成僵尸网络（,botnet,）,僵尸（,botnet,）在指挥控制服务器的统一指挥下向,Dyn,发动,DDoS,攻击,1.1.2 Mirai,攻击事件,Mirai,恶意软件原理,抓壮丁,-,发展僵尸,扫描互联网，寻找那些运行,Linux,操作系统的,IoT,设备,尝试以,IoT,设备

6、出厂默认账户进行,Telnet,登录,把,Mirai,副本安装到,IoT,设备，并将信息发给指挥控制服务器,指挥僵尸作战,指挥控制服务器给僵尸,IoT,设备给命令，指示它们向,Dyn,发动攻,Mirai,设置了不受感染的,IP,地址范围,美国邮政服务系统、国防部系统,1.1.2 Mirai,攻击事件,Stuxnet,安全事件现象,从,2009,年底开始，伊朗纳坦兹铀浓缩工厂的离心机纷纷出现故障,至,2010,年初，故障数量达到了,1000,台,联合国国际原子能组织判断：故障率远远超过了正常值,伊朗纳坦兹的浓缩铀生产受到了沉重打击,1.1.3 Stuxnet,攻击事件,Stuxnet,事件的真相

7、,纳坦兹铀浓缩工厂的离心机事故由,Stuxnet,恶意软件所致,Stuxnet,隐藏在被感染的,U,盘中，由人工携带进入工厂内部网络的计算机中,Stuxnet,感染工厂的,SCADA,系统，在特定时间控制离心机转速，使它们震荡损毁,精准打击：,SCADA,的参数与纳坦兹铀浓缩工厂高度一致时，,Stuxnet,才启动破坏功能,背景：,Stuxnet,从,2005,年开始研制，,2009,年开始发动进攻,1.1.3 Stuxnet,攻击事件,铀浓缩,SCADA,和,Stuxnet,原理,Stuxnet,相继感染,Windows,、,Step7,、,PLC,，通过发给变频器的命令控制离心机转速,1.

8、1.3 Stuxnet,攻击事件,Stuxnet,设计技巧,利用了,4,个严重的零日漏洞，侧面反映设计者漏洞资源实力雄厚,利用了多种,rootkit,隐藏技术，侧面反映技术精湛,用偷来的数字证书对它的驱动程序进行签名，侧面反应偷盗功夫了得,对纳坦兹铀浓缩工厂,SCADA,参数了如指掌，侧面反映情报力量强大,综合反映：,Stuxnet,的开发与实施是一项复杂的系统工程，非个人所能为之,1.1.3 Stuxnet,攻击事件,用属性描述安全性（,Security,）,经典属性：,机密性（,Confidentiality,）,完整性（,Integrity,）,可用性（,Availability,）,经

9、典要素：,CIA,1.2,安全基本要素,机密性,完整性,可用性,一个系统可能拥有的属性,机密性定义,机密性是指防止,私密的或机密的信息,泄露给,非授权的实体,的属性,1.2.1,机密性,Stuxnet,事件中的机密性,机密信息：伊朗纳坦兹铀浓缩工厂生产系统的技术指标信息,系统的网络结构、软硬件构成、软件类型、设备型号等,非授权实体：美国、以色列？,机密性：,非授权实体破坏了纳坦兹铀浓缩生产系统的机密性,伊朗没有很好地实现纳坦兹铀浓缩生产系统的机密性,1.2.1,机密性,实现系统机密性的机制,访问控制机制：阻止未获授权的实体获取受保护的信息,加密保护机制：阻止未获授权的实体理解受保护的信息,1.

10、2.1,机密性,完整性定义,完整性分为,数据完整性,和,系统完整性,数据完整性,指确保数据（包括软件代码）只能按照授权的指定方式进行修改的属性,系统完整性,指系统没有受到未经授权的操控进而能完好无损的执行预定功能的属性,1.2.2,完整性,数据的非法修改,在没有获得授权的情况下修改数据,没有按照授权中指定的方式修改数据,1.2.2,完整性,Stuxnet,事件对完整性的破坏,破坏数据完整性,Windows,操作系统、,SCADA,应用软件、,PLC,设备,被非法植入了恶意软件,破坏系统完整性,PLC,设备受到恶意操控，导致离心机转速异常并损坏,PLC,设备与,SCADA,间的通信受到非法操控，

11、离心机状态无法正常显示，导致异常无法得到及时处理,1.2.2,完整性,完整性的支撑机制,预防机制：阻止非法修改数据或非法操控系统,检测机制：判断完整性是否受到破坏,1.2.2,完整性,可用性定义,可用性是指确保系统及时工作并向授权用户提供所需服务的属性,1.2.3,可用性,Wannacry,和,Mirai,事件破坏可用性,Wannacry,对受感染机器上的文件进行了加密，是机器无法正常工作,Mirai,对,Dyn,发动,DDoS,攻击，导致,Dyn,无法正常工作,Dyn,可用性被破坏，导致多个知名网站无法正常工作,1.2.3,可用性,从安全问题到安全系统,安全系统的建设应遵循从现实社会需求到计

12、算技术需求的发展过程,1.3,安全问题与安全系统,网络空间中的安全系统建设过程概括,从分析现实安全问题开始,结合现实环境和现实目标，制定现实安全策略,加上计算环境因素，形成安全策略,把安全策略表示成精确的安全模型,根据安全模型设计出便于实现的安全机制,实现安全机制，开发出安全系统,1.3,安全问题与安全系统,计算环境中的概念,安全策略,安全模型,安全机制,安全系统,我国信息安全专业的简要发展历程,本科专业：,2001,年设立,博士点、博士后流动站：,2003,年设立,教育部高等学校信息安全类专业教学指导委员会：,2007,年建立,高等学校信息安全专业指导性专业规范,：,2014,年出版,1.4

13、.1,我国信息安全专业,我国信息安全专业规范划分的知识领域,信息科学基础,信息安全基础,密码学,网络安全,信息系统安全,信息内容安全,1.4.1,我国信息安全专业,我国网络空间安全学科发展情况,2015,年，设立网络空间安全一级学科,2016,年，首批,29,所高校获得网络空间安全一级学科博士点资格,2017,年，首批,7,所高校入选,一流网络安全学院,建设示范项目,2019,年，入选,一流网络安全学院,建设示范项目的高校增加至,11,所,1.4.2,我国网络空间安全学科,计算学科知识体系建设积累,1965,年，,ACM,启动大学计算学科知识体系建设项目,1968,年，发布第一个计算学科（即计

14、算机科学学科）的知识体系指南,到,2013,年为止，,ACM,和,IEEE-CS,已联合发布了五个计算学科的知识体系指南,计算机科学,计算机工程,软件工程,信息系统,信息技术,1.4.3,国际网络空间安全学科体系,网络空间安全学科知识体系的发布,2018,年，多个国际组织联合发布了第一个网络空间安全学科知识体系,CSEC2017,ACM,（美国计算机学会）,IEEE-CS,（电子电气工程师协会旗下的计算机学会）,AIS SIGSEC,（信息系统协会安全专业工作组）,IFIP WG 11.8,（国际信息处理联合会信息安全教育技术委员会）,35,个国家的,300,多人为,CSEC2017,的开发做

15、出了贡献,1.4.3,国际网络空间安全学科体系,网络空间安全学科知识体系的架构,CSEC2017,以计算学科为基础，把网络空间安全学科知识体系划分为八大知识领域,系统安全是其中之一,1.4.3,国际网络空间安全学科体系,问题？,20 xx-20 xx,学年,x,季学期,第二章 系统安全基础,系统安全的两层含义,以系统思维应对安全问题,应对系统所面临的安全问题,本章内容提纲,2.1,系统安全概述,2.2,系统安全原理,2.3,系统安全结构,系统安全发展足迹,二十世纪,四十年代：第一台计算机,五十年代：第一个操作系统,六十年代：第一个分时系统,CTSS,，第一个安全操作系统,Adept-50,，,

16、ARPANET,七十年代：访问监控器，访问验证机制，安全核，可信计算基，,Internet,兴起,八十年代：,WWW,出现,九十年代：,Internet,普及，系统安全拓展到网络互连场景,二十一世纪,安全生态系统,2.1.1,系统安全的演进,大自然中的系统,整个宇宙是一个大系统，一个地球、一个国家、一座山、一条河、一个生物、一个细胞、一个分子，等等，分别都是一个系统。,2.1.2,系统与系统安全,网络空间中的系统,整个互联网是一个系统，一个网购平台、一个聊天平台、一个校园网、一台计算机、一部手机，等等，分别也都是一个系统。,2.1.2,系统与系统安全,系统的描述性定义,一个系统（,System

17、,）是由,相互作用,或,相互依赖,的,元素,或,成份,构成的某种类型的一个,统一整体,，其中的元素完整地关联在一起，它们之间的这种关联关系有别于它们与系统外其它元素之间可能存在的关系。,2.1.2,系统与系统安全,系统的元素与环境,位于系统边界内部的元素属于系统的,组成元素,位于系统边界外部的元素属于系统的,环境,2.1.2,系统与系统安全,观察系统的方法,自外观察法：,观察者位于系统之外对系统进行观察,通常是通过观察系统的输入和输出来分析系统的行为,自内观察法：,观察者位于系统之内对系统进行观察，此时，观察者属于系统的一个组成部分,通常是通过观察系统的外部环境来分析系统的行为,2.1.2,系

18、统与系统安全,在网络空间中观察系统的环境,系统在,风险,的包围之中，必须具有一定的,安全,性，才能正常运转,系统的安全性需要以系统化的视野去观察,2.1.2,系统与系统安全,系统研究的方法：还原论,把,大系统,分解为,小系统,，然后通过对,小系统,的研究去推知,大系统,的行为,把,系统,分解成它的,组成部分,，通过对系统的,组成部分,的研究去了解原有,系统,的情况,2.1.3,整体论与还原论,还原论应用示例,机械手表的还原：,很多机械零部件,人的还原：,头、颈、躯干、四肢,2.1.3,整体论与还原论,还原中遇到的问题,盐,=,氯化钠,=,氯元素,+,钠元素,氯元素,剧毒,钠元素,剧毒,盐,剧毒

19、,2.1.3,整体论与还原论,还原中的困惑,人的还原方法,1,：,头、颈、躯干、四肢,人的还原方法,2,：,皮肤、肌肉、骨骼、内脏、血液循环系统、神经系统,问题：,爱因斯坦的成就,=,？,2.1.3,整体论与还原论,系统研究的方法：整体论,把一个,系统,看成一个完整的,统一体,，一个完整的被,观察单位,，而不是,简单的,微观组成元素的,集合,。,2.1.3,整体论与还原论,系统的宏观特性,整体特性：综合特性、涌现性,综合特性：,可以分解为系统组成部分的特性,例：盐的重量,涌现性：,不可还原（即不可分解）为系统组成部分的特性,例：盐的毒性,2.1.3,整体论与还原论,安全性属于涌现性,以操作系统

20、和机密性为例：,操作系统的分解：,进程管理、内存管理、外设管理、文件管理、处理器管理,分析：,就算各个子系统都能确保不泄露信息,某些子系统的相互作用也可能泄露信息,2.1.3,整体论与还原论,方法论评析,事例：,甲对一个系统的整体特性进行了分析，他总结说：“通过运用整体论，我们对这个系统有了很好的了解”。乙认为甲并没有从整体论角度分析问题。,讨论：,你认为甲和乙谁对谁错？,2.1.3,整体论与还原论,生命周期（,Life Cycle,）,人（自然系统）的一生：,出生、成长、成熟、衰老、死亡,计算机（人工系统）的一生：,系统需要、系统分析、系统建模与设计、系统构建与测试、系统使用与老化、系统报废

21、,2.1.4,系统安全思维,幸福与可信,人幸福与否：,人生各个阶段是否平安顺利,人工系统是否值得信赖（可信）：,系统生命周期各阶段的使命的完成是否有保障,2.1.4,系统安全思维,系统工程（,Systems Engineering,）,涵盖系统生命周期的具有关联,活动,和,任务,的技术性和非技术性,过程,的集合,技术性过程应用工程,分析,与,设计,原则去建设系统,非技术性过程通过工程,管理,去保障系统建设工程,项目,的顺利实施,2.1.4,系统安全思维,系统安全工程（,Systems Security Engineering,）,把安全性相关活动和任务融合到系统工程的过程之中，形成的一个系统工

22、程专业分支,它力求从系统生命周期的全过程去保障系统的安全性,2.1.4,系统安全思维,系统安全思维,运用整体论思想分析安全问题,在系统的全生命周期中衡量系统的安全性,通过系统安全工程措施建立和维护系统的安全性,2.1.4,系统安全思维,在系统的设计与实现中应遵守的原则,2.2.1,基本原则,限制性原则,简单性原则,方法性原则,最小特权原则,失败,-,保险默认原则,完全仲裁原则,特权分离原则,信任最小化原则,机制经济性原则,公共机制最小化原则,最小惊讶原则,公开设计原则,层次化原则,抽象化原则,模块化原则,完全关联原则,设计迭代原则,威胁、风险与安全,威胁（,Threat,）：,给某物造成伤害或

23、损失的,意图,风险（,Risk,）：,某物遭受伤害或损失的,可能性,安全（,Security,）：,某物能避免或抵御他物带来的潜在伤害或损失,2.2.2,威胁建模,某物,他物,伤害或损失,施加,抗击,安全,威胁,安全概念研讨,场景：,某乡村一农舍门口有一条狗，一路人需从该门口经过。,讨论：,威胁、风险、安全状况如何？,2.2.2,威胁建模,安全概念概括讨论,请阐明以下哪一个说法正确：,安全是一种属性,安全是一种能力,安全是一种状态,2.2.2,威胁建模,威胁建模（,Threat Modeling,）,标识潜在安全威胁并审视风险缓解途径的过程,2.2.2,威胁建模,威胁建模的目的,在明确了,系统

24、的本质特征,潜在攻击者的基本情况,最有可能的被攻击角度,攻击者最想得到的好处,的情况下，,为防御者提供系统地分析应采取的控制或防御措施的机会,2.2.2,威胁建模,威胁建模要回答的主要问题,主要问题：,被攻击的最薄弱之处在哪？,最相关的攻击是什么？,为应对这些攻击应该怎么做？,2.2.2,威胁建模,Adept-50,系统示例：,涉密信息泄露,违反涉密等级规定访问涉密信息,按照低水标模型实行访问控制,威胁建模方法,基本类型：,以风险为中心,以资产为中心,以攻击者为中心,以软件为中心,2.2.2,威胁建模,典型方法：,STRIDE,PASTA,Trike,VAST,威胁建模过程,主要环节：,勾画系

25、统的抽象模型,对模型进行可视化表示,标识和列举潜在威胁,制定风险缓解对策,2.2.2,威胁建模,可视化示例：基于数据流图的表示,2.2.2,威胁建模,访问行为的形式化表示,(,s,o,p,),s,-,主体,o,-,客体,p,-,操作,典型操作：,read,、,copy,、,modify,、,execute,2.2.3,安全控制,授权的矩阵表示,2.2.3,安全控制,o,s,m,s,-,主体，,o,-,客体，,m,-,操作权限的集合，例如，,m,=,read,write,矩阵,M,访问控制策略,1,构造访问控制矩阵,M,，给矩阵,M,中的元素赋值，对于任意,(,s,o,p,),访问请求，在,M,

26、中找到,s,和,o,交叉位置上的元素,m,，当,p,m,时，允许,(,s,o,p,),执行，否则，禁止,(,s,o,p,),执行。,2.2.3,安全控制,微调的授权矩阵表示,2.2.3,安全控制,o,r,m,r,-,角色，,o,-,客体，,m,-,操作权限的集合，例如，,m,=,read,write,矩阵,M,R,访问控制策略,2,构造访问控制矩阵,M,R,，设计角色分配方案,f,R,，给矩阵,M,R,中的元素赋值，按方案,f,R,给每个用户分配角色，对于任意,(,u,o,p,),访问请求，,u,表示用户，确定角色,r,=,f,R,(,u,),，在,M,R,中找到,r,和,o,交叉位置上的元素

27、,m,，当,p,m,时，允许,(,u,o,p,),执行，否则，禁止,(,u,o,p,),执行。,2.2.3,安全控制,访问控制策略,3,制定主体等级分配方案,f,S,和客体密级分配方案,f,O,，设计主体等级与客体密级的对比方法,cmp,，设定任意操作,x,应该满足的条件,con,(,x,),，给每个主体分配涉密等级，给每个客体分配保密级别，对于任意,(,s,o,p,),访问请求，当,cmp,(,f,S,(,s,),f,O,(,o,),满足条件,con,(,p,),时，允许,(,s,o,p,),执行，否则，禁止,(,s,o,p,),执行。,2.2.3,安全控制,访问控制的分类,分类方法一：,基

28、于身份的访问控制，如策略,1,基于角色的访问控制，如策略,2,基于标签的访问控制，如策略,3,2.2.3,安全控制,分类方法二：,自主访问控制，如策略,1,强制访问控制，如策略,3,系统完整性检查,从开机引导到应用运行，各个环节都进行检查，帮助发现,系统中是否有重要组成部分受到篡改或破坏,2.2.4,安全监测,病毒查杀和恶意软件检测,对系统中的各种文件进行扫描，帮助发现或清除,进入到系统之中的大多数病毒或恶意软件,2.2.4,安全监测,入侵检测,对恶意行为或违反安全策略的现象进行监测,一旦发现情况就及时报告,必要时发出告警,2.2.4,安全监测,入侵检测分类：基于监测对象,主机入侵检测,运行在

29、单台主机或设备上，对流入和流出主机或设备的数据包进行监测,网络入侵检测,部署在网络策略性节点上，对所有设备的流出和流入流量进行监测，对整个子网的流量进行分析,2.2.4,安全监测,入侵检测分类：基于检测方法,基于特征的入侵检测,从已知的入侵中提炼出特定的模式，从被检测对象中寻找已知入侵所具有的模式,基于异常的入侵检测,给可信的行为建模，把待检测的行为与已知的可信行为模型对比,2.2.4,安全监测,安全管理（,Security Management,）,把一个组织的资产标识出来，并制定、说明和实施保护这些资产的策略和流程,资产：系统、信息、机器、建筑物、人员,2.2.5,安全管理,安全风险管理,

30、把风险管理原则应用到安全威胁管理之中,标识威胁,评估现有威胁控制措施的有效性,确定风险的后果,基于可能性和影响的评级排定风险优先级,划分风险类型并选择合适的风险策略或风险响应,2.2.5,安全管理,系统安全中的安全管理,把安全理念贯穿到系统日常管理工作的全过程,从系统管理的角度提升系统的安全性,2.2.5,安全管理,日常安全管理工作,执行规范的管理流程，推进以下工作：,搞清需求,了解模型,编写指南,安装系统,2.2.5,安全管理,运用模型,指导操作,持续应对,自动化运作,运用技术提升管理水平,运用数据挖掘技术帮助发现漏洞,运用数据分析技术感知安全态势,运用机器学习技术帮助进行自动防御,2.2.

31、5,安全管理,从体系结构角度看安全,2.3,系统安全结构,人,操作系统,硬件,数据库,应用,机器,支,撑,依,赖,生态系统,内核态,/,用户态讨论,背景：,处理器硬件从可用指令集和可用内存区域两个方面出发，定义了处理器工作的两种状态：内核态和用户态,讨论：,处理器的这种功能是如何为保护操作系统提供帮助的？,2.3.1,硬件系统安全,检查程序是否被篡改的基本方法,第一步：计算程序的摘要,unsigned char*SHA1(const unsigned char*d,unsigned long n,unsigned char*md);,第二步：与原始摘要对比,int strcmp(const c

32、har*s1,const char*s2);,问题：程序,SHA1,和,strcmp,被篡改怎么办？,2.3.1,硬件系统安全,硬件防篡改解决方案,在硬件中实现,SHA1,和,strcmp,等功能,2.3.1,硬件系统安全,硬件基本安全支持,提供密码计算功能,通用处理器提供密码运算指令,独立的安全密码处理器，或称为密码加速器,提供数字指纹,用物理不可克隆函数硬件器件实现,2.3.1,硬件系统安全,硬件木马,对集成电路芯片中的电路系统进行的恶意修改，带来的威胁：,绕开或关闭系统的安全防线,泄漏机密信息,停止、扰乱或破坏芯片功能,使整个芯片不能工作,2.3.1,硬件系统安全,硬件木马被植入计算机中

33、的方式,被预置在基础的集成电路之中,当基础集成电路被用于构造计算机芯片时，进入计算机芯片中,由计算机芯片设计企业的内部职员插入到计算机芯片之中,2.3.1,硬件系统安全,一个应用安全需求场景,需求：,应用程序对数据进行加密保护,条件：,有硬件的加密功能、密钥生成功能,假设：,不考虑操作系统提供的安全帮助,思考：,应用程序能否完成数据保护任务,2.3.2,操作系统安全,加密功能的启动和使用,2.3.2,操作系统安全,应,用,层,操,作,系,统,层,硬,件,层,加密功能,应用,启动,（,1,）,应,用,层,操,作,系,统,层,硬,件,层,加密功能,应用,传输数据,（,2,）,正常情形,应,用,层,

34、操,作,系,统,层,硬,件,层,加密功能,应用,（,1,）,应,用,层,操,作,系,统,层,硬,件,层,加密功能,应用,（,2,）,异常情形,恶意应用,X,加密功能的滥用,2.3.2,操作系统安全,应,用,层,操,作,系,统,层,硬,件,层,加密功能,应用,建立会话,（,1,）,应,用,层,操,作,系,统,层,硬,件,层,加密功能,应用,使用会话,（,2,）,正常情形,异常情形,应,用,层,操,作,系,统,层,硬,件,层,加密功能,应用,（,1,）,应,用,层,操,作,系,统,层,硬,件,层,加密功能,应用,（,2,）,冒牌应用,操作系统可以帮上的忙,在应用与硬件功能之间建立可信路径,2.3.

35、2,操作系统安全,应,用,层,操,作,系,统,层,硬,件,层,应用,加密功能,可,信,路,径,用户管理与身份认证,注册用户档案：,账户名,+,账户标识,+,口令,用户分组,用户登录过程：,账户名,+,口令,2.3.2,操作系统安全,自主访问控制,文件的拥有者可以自主确定任何用户对该文件的访问权限,假设用户,U1,是文件,F1,的拥有者，,U2,是任意用户,那么，,U1,可以授权,U2,获得访问,F1,的,r,、,w,、,x,中的一项或多项权限,访问权限既可以授给用户，也可以授给用户组,2.3.2,操作系统安全,强制访问控制,如,Adept-50,操作系统,实现一个多级安全策略（,MLS,，,M

36、ulti-Level Security,）,信息按照保密程度划分了多个级别，用户按照职务层次划分了多个等级,访问许可的判断依据是信息的级别和用户的等级，不是用户的意愿,2.3.2,操作系统安全,日志功能,记录系统中发生的重要活动的详细信息,Aug 21 14:44:24 siselab su(pam_unix)1149:session opened for user root by alice(uid=600),2.3.2,操作系统安全,关系数据库是二维表,学生登记表,2.3.3,数据库系统安全,数据库表的基本操作,SQL,语言,SELECT,、,UPDATE,、,INSERT,、,DELET

37、E,SELECT*FROM,学生登记表,WHERE,年龄,TCG,TPM 1.2=TPM 2.0,3.1,问题与发展背景,3.2,可信平台基本思想,基本概念,信任,信任根,度量核心信任根,度量信任根,存储信任根,报告信任根,信任传递,信任链,可信平台模块,TPM,受保护功能,受保护存储区,可信计算基,3.2,可信平台基本思想,可信构造块,3.2,可信平台基本思想,系统引导过程的信任传递,3.2,可信平台基本思想,对外证明,3.2,可信平台基本思想,3.3,可信平台模块,TPM,TPM,组成结构,3.3,可信平台模块,TPM,TPM,的扩展功能,Extend,3.3,可信平台模块,TPM,对称签

38、名与验证,3.3,可信平台模块,TPM,3.4 TPM,的基本用法,基于数据包的对话,3.4 TPM,的基本用法,一个命令包,3.4 TPM,的基本用法,一个响应包,3.4 TPM,的基本用法,原始的对话方法,3.4 TPM,的基本用法,可信平台软件体系结构,3.4 TPM,的基本用法,可信平台应用方案类型,3.4 TPM,的基本用法,3.5 TPM,应用案例,BitLocker,的主要功能,整卷加密,完整性检查,3.5 TPM,应用案例,BitLocker,对分区的要求,系统分区,Windows,分区,3.5 TPM,应用案例,系统分区,Windows,分区,BitLocker,的体系结构,

39、3.5 TPM,应用案例,BitLocker,的加密原理,3.5 TPM,应用案例,BitLocker,的解密原理,3.5 TPM,应用案例,TPM,的封装功能,Seal,加密,解密,3.5 TPM,应用案例,初次整卷加密时的封装,计算系统分区相关组件的哈希值,把计算结果扩展到,PCR,寄存器,用相应寄存器封装主密钥,VMK,3.5 TPM,应用案例,引导时的完整性检查,依次计算系统分区相关组件的哈希值,把计算结果扩展到,PCR,寄存器,试图解封装主密钥,VMK,3.5 TPM,应用案例,问题？,20 xx-20 xx,学年,x,季学期,第四章 身份认证机制,（,上,）,内容提纲,4.1,身份

40、认证技术概述,4.2,身份标识与认证,4.3,口令处理方法,4.7,统一的身份认证框架,Whats user authentication?,The process of verifying an identity claimed by or for a system entity.(RFC 2828),身份认证：为实体验证其所宣称的身份的过程,Are you who you say you are?,4.1,身份认证技术概述,Means of authentication,Password-based authentication,Something you know,Token-based

41、 authentication,Something you have,Biometric authentication,Something you are,(static biometrics),Something you do,(dynamic biometrics),4.1,身份认证技术概述,Whats,token?,Objects that a user possesses for the purpose of user authentication are called tokens.,Memory card,Hotel room card,bank card,Smart token,

42、Smart card,令牌,4.1,身份认证技术概述,Smart token authentication protocol,Static,Dynamic password generator,Challenge-response,4.1,身份认证技术概述,Smart card/reader exchange,Reset,4.1,身份认证技术概述,Biometric Recognition Characteristics,4.1,身份认证技术概述,Iris authentication application,4.1,身份认证技术概述,Two-factor authentication,Any

43、 authentication method that requires two something is known as two-factor authentication,ATM:,card+PIN,双因子认证,4.1,身份认证技术概述,Single sign-on,You authenticate once and then have a successful result automatically follow you wherever you go on the Internet,单点登录,4.1,身份认证技术概述,4.2,身份标识与认证,UNIX,账户文件,/etc/passw

44、d,4.2.1,身份标识的基本方法,UNIX,组文件,/etc/group,4.2.1,身份标识的基本方法,Linux,用户登录过程,4.2.2,身份认证的基本过程,Linux,用户修改口令过程,4.2.2,身份认证的基本过程,4.3,口令处理方法,口令字段信息的生成,4.3.1,口令信息的维护与运用,二进制位串到字符串的转换,64,位的位串,=11,个,6,位的位组；,每个位组,=,二进制数值，得到,11,个整数；,每个整数,=,字符，得到,11,个字符；,11,个字符,=,字符串。,4.3.1,口令信息的维护与运用,增强的口令字段生成,4.3.1,口令信息的维护与运用,液体撒盐实验,4.3

45、.2,口令管理中的撒盐措施,口令撒盐算法,4.3.2,口令管理中的撒盐措施,撒盐的身份认证：口令字段生成,4.3.2,口令管理中的撒盐措施,撒盐的身份认证：口令字段维护,4.3.2,口令管理中的撒盐措施,撒盐的身份认证：身份认证,4.3.2,口令管理中的撒盐措施,UNIX,口令示例,4.3.2,口令管理中的撒盐措施,UNIX,口令文件,/etc/shadow,4.3.3,口令信息与账户的分离,Hashed password scheme:loading,4.3,口令处理方法,Hashed password scheme:verifying,4.3,口令处理方法,4.7,统一的身份认证框架,插拔

46、式统一认证框架,PAM,PAM,（,Pluggable Authentication Modules,）是一个统一的身份认证框架。,起初，它是由美国,Sun,公司为,Solaris,操作系统开发的。,后来，很多操作系统都实现了对它的支持。,动态口令认证,智能卡认证,4.7,统一的身份认证框架,PAM,认证系统的构成,PAM,应用编程接口（,API,）,PAM,模块（动态装载库），提供以下服务功能支持：,身份认证（,auth,）,账户管理（,account,）,口令管理（,password,）,会话管理（,session,）,PAM,配置文件,4.7,统一的身份认证框架,PAM,认证系统的工作原

47、理,4.7,统一的身份认证框架,例,4.3,配置文件,/etc/pam.conf,示例,UNIX,系统中为,OpenSSH,服务程序定义的配置信息,sshdauthrequired/lib/security/pam_env.so,sshdauthsufficient/lib/security/pam_unix.so likeauth nullok,sshdauthrequired/lib/security/pam_deny.so,sshdaccountrequired/lib/security/pam_unix.so,sshdpasswordrequired/lib/security/pam_

48、cracklib.so retry=3,sshdpasswordsufficient/lib/security/pam_unix.so nullok use_authtok md5 shadow,sshdpasswordrequired/lib/security/pam_deny.so,sshdsessionrequired/lib/security/pam_limits.so,sshdsessionrequired/lib/security/pam_unix.so,4.7,统一的身份认证框架,例,4.3,配置文件,/etc/pam.conf,示例,UNIX,系统中为,OpenSSH,服务程序

49、定义的配置信息,sshdauthrequired/lib/security/pam_env.so,sshdauthsufficient/lib/security/pam_unix.so likeauth nullok,sshdauthrequired/lib/security/pam_deny.so,sshdaccountrequired/lib/security/pam_unix.so,sshdpasswordrequired/lib/security/pam_cracklib.so retry=3,sshdpasswordsufficient/lib/security/pam_unix.s

50、o nullok use_authtok md5 shadow,sshdpasswordrequired/lib/security/pam_deny.so,sshdsessionrequired/lib/security/pam_limits.so,sshdsessionrequired/lib/security/pam_unix.so,服务程序的名称,4.7,统一的身份认证框架,例,4.3,配置文件,/etc/pam.conf,示例,UNIX,系统中为,OpenSSH,服务程序定义的配置信息,sshdauthrequired/lib/security/pam_env.so,sshdauths