CN101447876B - 安全操作系统身份鉴别测试方法 - Google Patents
安全操作系统身份鉴别测试方法 Download PDFInfo
- Publication number
- CN101447876B CN101447876B CN200810246842XA CN200810246842A CN101447876B CN 101447876 B CN101447876 B CN 101447876B CN 200810246842X A CN200810246842X A CN 200810246842XA CN 200810246842 A CN200810246842 A CN 200810246842A CN 101447876 B CN101447876 B CN 101447876B
- Authority
- CN
- China
- Prior art keywords
- user
- test
- substep
- operating system
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
一种安全操作系统身份鉴别测试方法,包括:用户属性定义子步骤、用户标识定义子步骤、用户鉴别子步骤、用户鉴别反馈子步骤、多用户鉴别子步骤、终止会话子步骤、会话终止后处理子步骤、访问历史子步骤、不可观察性子步骤;其中,终止会话子步骤、会话终止后处理子步骤,按照顺序排列运行;其余步骤之间不具备必然的逻辑关系,其之间顺序不具备必然的逻辑关系。本发明为安全操作系统测评进行身份鉴别步骤检测提供了一套可行的,简单的,对安全步骤的测试从多方面多角度来进行保护的,并且易于实施的方法。
Description
技术领域:
本发明涉及保密通信技术领域,针对的是用于系统用户的身份的验证。具体的研究发明内容为身份鉴别测试方法。
背景技术:
操作系统是连接计算机硬件和计算机软件的纽带,是整个系统服务平台的基础,但是由于现在的操作系统存在很多的漏洞使得其安全性非常脆弱,因此迫切需要开发出能够满足实际应用需要的安全操作系统来,同时对安全操作系统的安全性进行测试也成为实现信息安全保障的重要措施。但是由于现在所具有的安全操作系统并不完善,而且根据国家标准《GB17859-1999》和《操作系统技术要求》,对操作系统根据不同安全需求,将安全操作系统分成不同的安全等级,并且对相应的等级提出若干的安全步骤要求,身份鉴别就是其中的一个安全步骤,因此对身份鉴别安全步骤的测试对安全操作系统的完善具有重要意义。但是《GB17859-1999》和《操作系统技术要求》仅仅对安全步骤提出了一个很粗略的要求,因此对安全步骤的测试应该从多方面多角度来进行,以鉴别它是否完善,对身份鉴别安全功能的测试也是如此。本发明是对安全操作系统的身份鉴别安全功能进行测试,检验其身份鉴别安全功能的实现程度,并用以评估安全操作系统实现的安全等级。
身份鉴别发生在用户登录系统时,用于识别每个用户的真实身份。在《GB17859-1999》中.身份鉴别指的是用户身份的鉴别,包括用户标识和用户鉴别。在这里.用户标识解决注册用户在一个信息系统中的惟一性问题.一般用名称和标识符(ID)来标明系统中的一个用户,名称和标识符可以都是公开的明码信息。用户鉴别则解决用户在登录一个信息系统时的真实性问题,是对用户身份的真实性进行识别,用于鉴别的信息一般是非公开的、难以仿造的。一般情况下.当用户注册到一个系统时,系统应给出其惟一性的标识.并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的.一方面以一定方式提供给用户.另一方面由系统保存)。当用户登录到该系统时,用户应提供鉴别信息,系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。
发明内容:
本发明的目的在于,通过提供一种安全操作系统身份鉴别测试方法,以达到可行的,简单的,对安全功能的测试从多方面多角度来进行保护的,并且易于实施的方法。
本发明一种安全操作系统身份鉴别测试方法是采用以下技术手段实现的:
本发明的内容身份鉴别步骤的测试分成九个子步骤的测试,它们分别是:用户属性定义子步骤、用户标识定义子步骤、用户鉴别子步骤、用户鉴别反馈子步骤、多用户鉴别子步骤、终止会话子步骤、会话终止后处理子步骤、访问历史子步骤、不可观察性子步骤。在子安全步骤中,除了测试终止会话子步骤和测试会话终止后处理子步骤必须得有先后顺序,其它几个小步骤之间没有必然的逻辑关系,所以它们的先后顺序是可以改变的。
本发明的技术内容具体包括以下内容:
1、测试用户属性定义子步骤,即检测身份鉴别安全步骤是否给出每一个用户与标识相关的安全属性:验证每个用户是否有与标识相关的安全属性。安全属性因操作系统的不同包含用户标识、组属关系、敏感标记等不同内容。
2、测试用户标识定义子步骤,即检测身份鉴别安全步骤是否具有预先设定操作系统代表用户执行的、与操作系统安全步骤相关的动作,在用户被标识之前,是否允许操作系统执行这些预设动作,并且在操作系统身份鉴别安全步骤的其他动作之前是否成功的标识每个用户:参考《通用技术要求》中4.3.1.2节“用户标识”的内容:应允许用户在被TSF标识之前,实施一定的动作,这些动作用来确定标识自己的条件(如生成标识符或在登录过程中请求输入需要的信息等),并要求TSF在允许任何以该用户的名义实施由其它TSF促成的动作之前,都要成功的标识该用户。
3、测试用户鉴别子步骤,即检测身份鉴别安全步骤是否具有预先设定操作系统代表用户执行的、与操作系统安全步骤相关的动作,在用户被鉴别之前,是否允许操作系统执行这些预设动作,并且在操作系统安全步骤的其他动作之前是否成功的鉴别每个用户:参考《通用技术要求》中4.3.1.2节“用户鉴别”的内容:要求TSF应允许用户在被鉴别之前以该用户名义实施由TSF促成的某些动作。这些动作用来确定鉴别自己的条件(如生成口令或在登录过程中请求输入需要的信息等),并要求TSF在允许任何以该用户名义实施由其它TSF促成的动作之前,应当成功地鉴别该用户。
4、测试用户鉴别反馈子步骤,即当进行鉴别检测时,身份鉴别安全步骤是否仅将最少的反馈提供给用户。
5、测试多用户鉴别步骤,即检测身份鉴别步骤是否提供多鉴别机制以支持用户多鉴别。
6、测试终止会话子步骤,即身份鉴别步骤是否能检测出不成功的鉴别尝试,并且当尝试的次数达到或超过了定义的界限时,能否终止会话建立的进程。
7、测试会话终止后处理子步骤,即检测在会话建立的进程终止后,操作系统安全步骤是否使得该用户账户无效,或使进行鉴别尝试的登录站点无效。
8、测试访问历史子步骤
(1)成功访问历史步骤,即检测身份鉴别步骤在会话成功建立的基础上,是否显示用户上一次成功会话建立的日期、时间、位置等。
(2)不成功历史步骤,即检测身份鉴别步骤是否显示用户上一次不成功的会话尝试的日期、时间、位置等,以及从上一次成功的会话建立以来的不成功的尝试次数。
9、测试不可观察性子步骤,即检测对于身份鉴别步骤规定的要保护用户进行的操作,身份鉴别步骤是否能确保未授权用户不能观察到被保护用户进行的操作。
本发明与现有技术相比,具有以下明显的优势很有益效果:
本发明一种安全操作系统身份鉴别测试方法,改变了现在的操作系统存在很多漏洞使得其安全性非常脆弱的问题,为安全操作系统测评系统进行身份鉴别步骤检测提供了一套可行的、易于实施的方法。
附图说明:
图1:总体方案流程图;
图2:测试用户属性定义子步骤流程图;
图3:测试用户标识定义子步骤流程图;
图4:测试用户鉴别子步骤流程图;
图5:测试用户鉴别反馈子步骤流程图;
图6:测试终止会话处理子步骤流程图;
图7:测试终止会话后处理子步骤流程图;
图8:测试成功访问历史子步骤脚本流程图;
图9:测试不成功访问历史子步骤脚本流程图;
图10:测试不可观察性子步骤脚本流程图。
具体实施方式:
以下结合附图和实施案例对本发明进一步详细说明。
结合图1对本发明的总体技术方案进行说明。在启动身份鉴别步骤测试后,进行如下操作:
1、启动身份鉴别步骤测试;
2、测试用户属性定义子步骤:通过调用id username命令验证被测系统是否给出每一个用户与标识相关的安全属性;
3、测试用户标识定义子步骤:进行登录尝试,输入正确的用户名并确定,验证系统能够为用户提供标识机制,即输入用户名的机制,对高级系统,用户名为通过Sec_key、智能卡、指纹等系统确定的用户标识;
4、测试用户鉴别子步骤:进行登录尝试,输入正确的用户名、系统密码以及其他的认证要素(如Sec_key、智能卡、指纹等,此部分应由开发方提供说明文档,并由系统进行验证。),并点击确定,验证系统是否能够为用户提供鉴别的机制,即输入密码的(双因素鉴别机制);
5、测试用户鉴别反馈子步骤:验证登录时,操作系统安全步骤是否仅将最少的反馈(如:打入的字符数,鉴别的成功或失败)提供给用户;
6、测试多用户鉴别子步骤:查看系统是否采用多种鉴别用户的方法,如Kerberos鉴别机制、Diffie-Hellman鉴别机制或基于智能卡的鉴别机制等。对于不同的用户,也需要能够采用不同的鉴别机制进行鉴别;
7、测试终止会话子步骤:通过多次尝试错误的登录请求,验证系统是否因尝试的次数过多而终止会话建立的进程,其中包括使用同一个正确的用户名lmj和错误的密码连续进行尝试;
8、测试会话终止后处理子步骤:用正确的用户名、密码进行登录尝试,其中包括刚才没有进行尝试登录的正确的用户名、密码和刚才尝试进行登录的用户名和对应的密码,看是否能够成功,以验证“在会话建立的进程终止后,操作系统安全步骤应能使得该用户账户无效,或使进行鉴别尝试的登录站点无效”的要求。若成功登录,则此项安全步骤失败;
9、测试访问历史子步骤
(1)成功访问历史步骤:正确登录系统,通过返回信息验证系统是否显示用户上一次成功会话建立的日期、时间和位置;
(2)不成功历史步骤:调用Lastb,显示最近几次不成功登录的信息,验证系统是否显示用户上一次不成功的会话尝试的日期、时间和位置,以及从上一次成功的会话建立以来的不成功的尝试次数;
10、测试不可观察性子步骤:首先应当通过查阅文档的方法,确定被测操作系统是否规定了受保护用户。测试时,假定root用户为受保护用户,进行下面的测试。以root身份进行登录、建立文件夹的操作,验证普通用户能否观察到;
11:结束测试。
启动身份鉴别步骤测试后,测试1,参照图2,测试用户属性定义子步骤,其具体的实施步骤如下:利用事先准备好的用户信息库cor_user中的用户信息,针对每一个用户调用id username命令。由于以Linux为基础的操作系统中,每一个用户都属于一个用户组,所以可以查看返回的用户信息中是否都包含用户标识与组标识项。若没有任何安全属性(至少有用户标识),则该子步骤失败。
开始测试2,参照图3,测试用户标识定义子步骤,其具体实施步骤如下:首先调用logout指令,确保在下面进行的登录操作之前没有用户通过本测试系统登录被测系统;输入用户名进行登录尝试。若系统能够正确响应,则继续进行下面的测试。在进行正确鉴别即登录系统后,调用who指令,若返回用户中包括本次测试中登录的用户,则该项子步骤成功。
开始测试3,参照图4,测试用户鉴别子步骤,其具体实施步骤如下:调用logout,输入正确的用户名、密码进行登陆,调用who命令,察看该用户是否登录成功,若返回的信息中不包含刚才登录的用户信息,则说明该项步骤失败;若在返回的信息中包含刚才登陆的用户,则说明登录成功,继续进行下面的测试;调用logout退出该用户,并输入错误的用户名、密码进行尝试,若系统能够阻止利用错误的用户名、密码进行登录,则该项步骤成功。对高级系统,还有其它验证要素,如Sec_key、智能卡、指纹等,可类比密码处理。
开始测试4,参照图5,测试用户鉴别反馈子步骤,其具体实施步骤如下:调用logout,分别输入正确或错误的用户名、密码,登录被测系统,并在此过程中提示测评人员判断系统呈现在用户面前的界面中所提供的信息是否仅包含了帮助用户登录系统的最少信息;并判断登录成功或失败后返回的信息是否仅提供了最少的信息(如登录的成功或失败)。
开始测试5,测试多用户鉴别子步骤,其具体步骤如下:手动进行查阅开发文档,验证系统是否提供多鉴别机制,如Kerberos鉴别机制和Diffie-Hellman鉴别机制等。
开始测试6,参照图6,测试终止会话子步骤,其具体实施步骤如下:循环调用logout进行登录,其中包括系统中已经存在的用户lmj,所需的错误用户名、密码预先设定,若没有尝试次数的限制,则该子步骤失败。
开始测试7,参照图7,测试终止会话后处理子步骤,其具体实施步骤如下:在会话终止后,用正确的用户名lmj和密码再次登录,若能够登录,则可以认为操作系统安全步骤没能使得该用户账户无效,即可认为该子步骤失败;再以没有进行多次登录尝试的用户名jy和密码进行尝试,若能够登录,则认为操作系统安全步骤没能使进行鉴别尝试的登录站点无效,即该子步骤失败。
开始测试8-(1),参照图8,测试成功访问历史步骤,其具体实施步骤如下:正确登录系统,将返回信息放在字符串变量中,并提供给测评人员,提示其判断该行信息中是否包含用户上一次成功会话建立的日期、时间和位置。
开始测试8-(2),参照图9,测试不成功访问历史步骤,其具体实施步骤如下:以lmj的身份进行一次错误登录尝试,调用lastb显示不成功登录信息,从中查找包含用户名lmj的一行,将该行信息返回给测试人员进行,并提示测试人员“判断返回信息中是否包含用户上一次不成功的会话尝试的日期、时间和位置,以及从上一次成功的会话建立以来的不成功的尝试次数。”
开始测试9,参照图10,测试不可观察性子步骤,其具体实施步骤如下:使root用户处于登录状态,以一般用户user1的身份调用who命令,查看当前登录用户,若可以看到root的状态,则该项子步骤失败;以root用户身份新建文件夹folder1,转到一般用户user1,使用ls命令,试图查看文件夹folder1,若能够看到,则此项步骤失败。
结束测试。
实例步骤测试结果:
对Fedora 5 SE-Linux操作系统的身份鉴别安全步骤进行测试后,分别列出系统实现和未实现的安全步骤,下面是系统实现的安全步骤:
(1)被测系统为每一个用户提供了与标识相关的安全属性,包括uid,gid,groups项。
| uid=0(root)gid=0(root)groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)uid=501(test1)gid=501(test1)groups=501(test1)uid=502(test2)gid=502(test2)groups=502(test2) |
(2)被测系统预先设定操作系统代表用户执行的、与操作系统安全步骤相关的动作,在用户被标识之前,操作系统执行这些预设动作,在操作系统安全步骤的其他动作之前,成功地标识每个用户。
(3)被测系统预先设定操作系统代表用户执行的、与操作系统安全步骤相关的动作,在用户被鉴别之前,操作系统执行这些预设动作,在操作系统安全步骤的其他动作之前,能够成功地鉴别每个用户。
(4)当进行鉴别时,被测系统仅提供给用户“口令”、用户输入口令的文本框、选择提示语言、选择会话选项、重新启动选项和关机选项,没有任何降低口令安全性的信息。
(5)被测系统提供了智能卡鉴别步骤作为多鉴别机制以支持用户多鉴别。
(6)被测系统安全步骤规定了远程登录不成功的尝试次数,并且该不成功次数可进行配置,配置过程如下:
| #vi/etc/ssh/sshd_configMaxAuthTries 5#service sshd restart; |
当尝试的次数达到或超过了定义的界限时,自动断开登录过程。
(7)被测系统安全步骤在会话成功建立后,显示用户上一次成功会话建立的信息。
(8)被测系统提供用户命令接口显示用户上一次不成功的会话尝试的信息。
(9)对于root用户的操作,系统保证了其他一般用户不能查看。
被测系统未实现的安全步骤:
在会话建立的进程终止后,操作系统安全步骤没有提供自动使得该用户账户无效,或使进行鉴别尝试的登录站点无效的步骤。
以上实施例仅用以说明而非限制本发明所涉及的技术方案,尽管参照以上实例对本发明进行了详细说明,但本发明的技术方案可以进行修改、变化或者等同替换,而不脱离本发明技术方案的精神和实质,这些修改、变化或者替换均涵盖在本发明的权利要求范围之中。
Claims (1)
1.一种安全操作系统身份鉴别测试方法,其特征在于:测试分成九个子步骤的测试:测试用户属性定义子步骤、测试用户标识定义子步骤、测试用户鉴别子步骤、测试用户鉴别反馈子步骤、测试多用户鉴别子步骤、测试终止会话子步骤、测试会话终止后处理子步骤、测试访问历史子步骤、测试不可观察性子步骤;
其中,所述的终止会话子步骤、会话终止后处理子步骤,按照顺序排列运行;其余步骤之间不具备必然的逻辑关系,其之间的先后顺序不具备必然的逻辑关系;
步骤1为测试用户属性定义子步骤;检测操作系统是否给出每一个用户与标识相关的安全属性;包含用户标识、组属关系、敏感标记以及与上述相关的不同内容;
步骤2为测试用户标识定义子步骤;检测操作系统是否具有预先设定操作系统代表用户执行的、与操作系统安全步骤相关的动作,在用户被标识之前,是否允许操作系统执行这些预设动作,并且在操作系统安全步骤的其他动作之前是否成功的标识每个用户;
步骤3为测试用户鉴别子步骤;检测操作系统安全步骤是否具有预先设定操作系统代表用户执行的、与操作系统安全步骤相关的动作,在用户被鉴别之前,是否允许操作系统执行这些预设动作,并且在操作系统安全步骤的其他动作之前是否成功的鉴别每个用户;
步骤4为测试用户鉴别反馈子步骤;检测当进行鉴别时,操作系统安全步骤是否仅将最少的反馈提供给用户;
步骤5为测试多用户鉴别子步骤;检测操作系统安全步骤是否提供多鉴别机制以支持用户多鉴别;
步骤6为测试终止会话子步骤;检测操作系统安全步骤是否能检测出不成功的鉴别尝试,并且当尝试的次数达到或超过了定义的界限时,能否终止会话建立的进程;
步骤7为测试会话终止后处理子步骤;检测在会话建立的进程终止后,操作系统安全步骤是否使得该用户账户无效,或使进行鉴别尝试的登录站点无效;
步骤8为测试访问历史子步骤;分为成功访问历史步骤,和不成功历史步骤;其中,成功访问历史步骤,检测操作系统安全步骤在会话成功建立的基础上,是否显示用户上一次成功会话建立的日期、时间、位置信息;
其中,不成功历史步骤,即检测操作系统安全步骤是否显示用户上一次不成功的会话尝试的日期、时间、位置,以及从上一次成功的会话建立以来的不成功的尝试次数信息;
步骤9为测试不可观察性子步骤;检测对于操作系统安全步骤规定的要保护用户进行的操作,操作系统安全步骤是否能确保未授权用户不能观察到。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810246842XA CN101447876B (zh) | 2008-12-31 | 2008-12-31 | 安全操作系统身份鉴别测试方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810246842XA CN101447876B (zh) | 2008-12-31 | 2008-12-31 | 安全操作系统身份鉴别测试方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101447876A CN101447876A (zh) | 2009-06-03 |
| CN101447876B true CN101447876B (zh) | 2010-12-29 |
Family
ID=40743299
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810246842XA Expired - Fee Related CN101447876B (zh) | 2008-12-31 | 2008-12-31 | 安全操作系统身份鉴别测试方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101447876B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104657639B (zh) * | 2015-02-02 | 2017-08-25 | 中国科学院数据与通信保护研究教育中心 | 一种操作系统身份鉴别机制的测试方法和系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770119A (zh) * | 2004-10-29 | 2006-05-10 | 上海环达计算机科技有限公司 | 嵌入式设备调试方法及其调试工具 |
-
2008
- 2008-12-31 CN CN200810246842XA patent/CN101447876B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770119A (zh) * | 2004-10-29 | 2006-05-10 | 上海环达计算机科技有限公司 | 嵌入式设备调试方法及其调试工具 |
Non-Patent Citations (1)
| Title |
|---|
| 李梅娟等.操作系统安全等级测评技术研究.《2006北京地区高校研究生学术交流会——通信与信息技术会议论文集(下)》.2006,1742-1745. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101447876A (zh) | 2009-06-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7249261B2 (en) | Method for securely supporting password change | |
| US10063538B2 (en) | System for secure login, and method and apparatus for same | |
| CN105825131B (zh) | 一种基于uefi的计算机安全启动防护方法 | |
| CN107438049B (zh) | 一种恶意登录识别方法及装置 | |
| US20170070493A1 (en) | Password management system | |
| CN111433770B (zh) | 用于用户认证的方法和装置以及计算机可读介质 | |
| CN107612880A (zh) | 一种应用访问方法和装置 | |
| CN106878319A (zh) | 一种提供签名服务的方法及系统 | |
| CN106506443B (zh) | 一种信息查看方法及装置 | |
| CN104104671B (zh) | 建立企业法人账户的统一动态授权码系统 | |
| CN113641979A (zh) | 鉴权方法、鉴权系统及计算机可读存储介质 | |
| CN104539620B (zh) | 一种安全的双向ssl认证方法和装置 | |
| CN108540293A (zh) | 一种身份认证方法及装置 | |
| CN105653918B (zh) | 安全操作方法、安全操作装置和终端 | |
| CN101447876B (zh) | 安全操作系统身份鉴别测试方法 | |
| CN111949952B (zh) | 验证码请求处理方法及计算机可读存储介质 | |
| CN110765431B (zh) | 多用户指纹或密码登录方法及其管理系统 | |
| CN105262770A (zh) | 一种管理账户密码的方法 | |
| EP3467693B1 (en) | Identity verification method and apparatus | |
| CN102902901A (zh) | 计算机系统及其加密装置、加密方法 | |
| CN105847218A (zh) | 一种控制用户权限的方法、业务平台及系统 | |
| CN107679387B (zh) | 一种基于指纹密码的身份认证方法及装置 | |
| CN107016277B (zh) | 信息处理方法和信息安全设备 | |
| CN112395574A (zh) | 一种安全登录管理方法 | |
| KR101632582B1 (ko) | 랜덤키가 포함된 패스워드를 이용한 사용자 인증 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101229 Termination date: 20111231 |