3、第1章(3)PPT优秀课件

1、P1 操作系统操作系统 甘页昌甘页昌 P2 第一章第一章 概论概论 1.4 从不同角度从不同角度 刻画操作系统刻画操作系统 P3 多角度看操作系统（多角度看操作系统（1） 概述概述 u操作系统涉及的知识很广，其理论也是近代逐步形成的，操作系统涉及的知识很广，其理论也是近代逐步形成的， 因此关于如何才能真正认识操作系统，也就成了一大难题因此关于如何才能真正认识操作系统，也就成了一大难题 u根据以往的教学经验，以及对学生关于操作系统学习的根据以往的教学经验，以及对学生关于操作系统学习的 了解，该课程难教，也难学。了解，该课程难教，也难学。 u设计开发一个操作系统涉及到数据结构、计算机算法、设计开发

2、一个操作系统涉及到数据结构、计算机算法、 数理逻辑、编译原理、汇编语言、数理逻辑、编译原理、汇编语言、C语言等，还涉及到图语言等，还涉及到图 形学、美学、心理学、甚至经济学等等形学、美学、心理学、甚至经济学等等 u所以从不同的角度去认识操作系统，会有不同的观点。所以从不同的角度去认识操作系统，会有不同的观点。 用户观点用户观点 u用户主要关注如何使用计算机，其实不关注内核用户主要关注如何使用计算机，其实不关注内核 u只知道操作系统的功能，感觉上只知道操作系统的功能，感觉上OS就是一个黑盒子就是一个黑盒子 u装配了装配了OS的计算机与裸机迥然不同：的计算机与裸机迥然不同： n使用户更方便使用计算

3、机使用户更方便使用计算机 n相当于构造了一台虚拟机相当于构造了一台虚拟机 n提供的操作命令决定了虚拟机的功能提供的操作命令决定了虚拟机的功能 P4 多角度看操作系统（多角度看操作系统（2） 资源管理观点资源管理观点 u该观点是从计算机系统角度考虑问题。计算机系统由该观点是从计算机系统角度考虑问题。计算机系统由 硬件和软件两大部分组成，即：硬件和软件资源，按硬件和软件两大部分组成，即：硬件和软件资源，按 其性质可归为四大类：其性质可归为四大类： n处理机处理机 n存储器存储器 n外部设备外部设备 n文件文件(程序和数据程序和数据) 模块分层观点模块分层观点 u如何形成操作系统的构架，用模块分层观

4、点讨论模块如何形成操作系统的构架，用模块分层观点讨论模块 之间的关系，讨论如何安排连结这些程序模块才能构之间的关系，讨论如何安排连结这些程序模块才能构 造一个结构简单清晰、逻辑正确、便于分析和实现的造一个结构简单清晰、逻辑正确、便于分析和实现的 操作系统。操作系统。 u资源管理观点回答了整个操作系统是由哪几部分组成资源管理观点回答了整个操作系统是由哪几部分组成 的，并且利用进程观点指明了这些资源管理程序在什的，并且利用进程观点指明了这些资源管理程序在什 么时候开始起作用，以及它们在执行过程中是如何相么时候开始起作用，以及它们在执行过程中是如何相 互联系的。互联系的。 应应 用用 软软 件件 操

5、操 作作 系系 统统 硬件硬件 数据库管理系统数据库管理系统 网络与通信软件网络与通信软件 实用程序与工实用程序与工 具软件具软件 语言处理程序语言处理程序 P5 多角度看操作系统（多角度看操作系统（3） 进程观点进程观点 u通常我们把程序的一次执行过程叫做一个通常我们把程序的一次执行过程叫做一个 进程进程 n进程被创建、运行直至被撤消完成其使命进程被创建、运行直至被撤消完成其使命 u从进程角度来分析操作系统，则所有进程从进程角度来分析操作系统，则所有进程 的活动就构成了操作系统的当前行为的活动就构成了操作系统的当前行为 u在每一个瞬间都有一棵进程家族树，它展在每一个瞬间都有一棵进程家族树，它

6、展 示着操作系统行为主体的一个快照。示着操作系统行为主体的一个快照。 P6 多角度看操作系统（多角度看操作系统（4） 初始化初始化 外部复位外部复位 用户中断用户中断 进进 程程 进程进程 A2A2 进程进程 A1A1 进程进程 B2B2 进程进程 B1B1 进程进程 X2X2 进程进程 X1X1 系统数据基系统数据基 文件管理文件管理 数据结构数据结构 设备管理设备管理 数据结构数据结构 内存管理内存管理 数据结构数据结构 进程控制块进程控制块 中断表中断表 守护进程守护进程 demondemon 中断管理中断管理 操作系统中的进程操作系统中的进程 P7 第一章第一章 1.11.4小结小结

7、计算机历史及计算机历史及OS的发展（计算机的四个阶段）的发展（计算机的四个阶段） 操作系统类型（批处理、单道程序设计、多道程序操作系统类型（批处理、单道程序设计、多道程序 设计、分时、实时、网络系统、分布式系统等）设计、分时、实时、网络系统、分布式系统等） 操作系统的基本概念（操作系统的基本概念（4大模块、特性、性能指标）大模块、特性、性能指标） 分析操作系统的几种观点（分析操作系统的几种观点（1.4） 操作系统的用户界面（硬件接口、系统调用）操作系统的用户界面（硬件接口、系统调用） 课外思考题：课外思考题： u普适计算普适计算 u针对普适计算，操作系统应如何发展针对普适计算，操作系统应如何发

8、展 P8 系统软件和操作系统系统软件和操作系统 硬件硬件 软件软件-硬件接口硬件接口 操作系统操作系统 操作系统接口操作系统接口 其他系统软件其他系统软件 应用程序接口应用程序接口 应用软件应用软件 资资 源源 抽抽 象象 资资 源源 共共 享享 P9 用户、程序员、操作系统设计者用户、程序员、操作系统设计者 与操作系统的关系与操作系统的关系 计算机硬件计算机硬件 编程接口编程接口 操作系统操作系统 系统调用系统调用 系统程序系统程序/使用程序使用程序 API GUI/API 应用程序应用程序 用户终端用户终端 程序员程序员 操作系统操作系统 设计者设计者 P10 多道批处理系统多道批处理系统

9、 分时系统分时系统网络系统网络系统 实时系统实时系统 个人计算机和个人计算机和 工作站系统工作站系统 现代操作系统现代操作系统 存储管理 保护 调度 文件 设备 存储管理 保护 调度 系统软件 人-机界面 客户-服务器模式 协议 调度 P11 操作系统操作系统4大功能模块大功能模块 进程与资进程与资 源管理源管理 文件管理文件管理 存储管理存储管理设备管理设备管理 处理机处理机主存主存 设备设备 计算机硬件计算机硬件 抽象计算环境抽象计算环境 程序程序 进程进程 P12 第一章第一章 概论概论 1.5 安全操作系统安全操作系统 P13 内容提纲内容提纲 v 安全操作系统的重要性安全操作系统的重

10、要性 v 安全评价准则安全评价准则 v 常用操作系统与安全级别的对应举例常用操作系统与安全级别的对应举例 v 安全模型安全模型 B-LPB-LP v 小结小结 P14 安全操作系统的重要性安全操作系统的重要性 操作系统是应用软件同系统硬件的接口，其目标是： u高效地、最大限度地、合理地使用计算机资源 若没有安全操作系统的支持，会导致： u数据库不安全：不可能具有存取控制的安全性 u网络系统不安全：不可能有网络系统的安全性 u应用软件不安全：不会有应用软件信息的安全性 安全操作系统是整个计算机系统安全的基础 u网络系统的安全性依赖于网络中各主机的安全性 u主机系统的安全性决定于其操作系统的安全性

11、 u网络应用的安全性 依赖于主机系统的安全性 安全的操作系统依赖于安全的CPU芯片 1 1、计算接系统的安全性，依赖于安全的、计算接系统的安全性，依赖于安全的 CPUCPU芯片和安全的操作系统芯片和安全的操作系统 2 2、安全操作系统的研发分为四个阶段：、安全操作系统的研发分为四个阶段： 建立模型、系统设计、可信度检测和系建立模型、系统设计、可信度检测和系 统实现统实现 P15 主要的安全评价准则（主要的安全评价准则（1 1） 第一个计算机安全评价标准 uTCSEC (Trusted Computer System Evaluation Criteria)， “可信计算机系统安全评价标准” u

12、又称橙皮书，美国国防部于1983年提出并于1985 年批准 u大家以TCSEC 为蓝本研制安全操作系统 TCSEC为安全系统指定了一个统一的系统安全策略： u自主访问控制策略 u强制访问控制策略 这些子策略紧密地结合在一起形成一个单一的系统安全策略 P16 主要的安全评价准则（主要的安全评价准则（2 2） 其他安全系统标准 u欧洲的ITSEC u加拿大的CTSEC u美国联邦准则FC u联合公共准则CC uISO安全体系结构标准ISO7498-2-1989 不同的安全环境有不同的安全需求 u需要制定不同的安全策略 u采用不同的安全模型 u使用不同的安全功能 P17 D D： 最小保护级最小保护

13、级 C1C1：自主安全保护级自主安全保护级 C2C2：受控访问保护级受控访问保护级 B1B1：标签安全保护级标签安全保护级 B2B2：结构化保护级结构化保护级 B3B3：安全区域保护级安全区域保护级 A1A1：经过验证的保护级经过验证的保护级 超超A1A1 其中：其中： C C：自主访问等级：自主访问等级 C1/C2 C1/C2 B B：强制访问控制：强制访问控制 B1/B2/B3 B1/B2/B3 保障需求保障需求安全特安全特 性需求性需求 TCSEC TCSEC 的构成与等级结构的构成与等级结构 C C级级 B B级级 P18 可信计算机系统评估标准可信计算机系统评估标准 TCSECTCS

14、EC 级别 名 称 主 要 特 征 A1 验证设计级 形式化验证安全模型，形式化隐蔽通道分析 B3 安全区域保护级 安全内核，高抗渗透能力 B2结构化保护级 形式化安全模型，隐密通道约束，面向安全的体 系结构，较好的抗渗透能力 B1标签安全保护级 强制访问控制，安全标识，删去安全相关的缺陷 C2受控存取保护级 受控自主访问控制，增加审核机制，记录安全性 事件(增加了身份证级别的验证) C1自主安全保护级 自主访问控制(主要依据账号授权) D最小保护级最低等级 D D最低等级；最低等级；C C系统特权分化（按角色分化）；系统特权分化（按角色分化）； B B强制访问控制（标签）；强制访问控制（标签

15、）；A A可验证的保护级别可验证的保护级别 P19 操作系统安全级别举例操作系统安全级别举例 DOS DOS D D级级 Linux Linux C1C1级级 Windows NT Windows NT C2C2级级 Solaris Solaris C2C2级级 Unix Unix B1B1级级 P20 自主访问控制功能（自主访问控制功能（C1级）级） Linux的自主访问控制 u普通Linux只支持简单形式的自主访问控制 n由资源的拥有者根据三类群体指定用户对资源的访 问权 即：拥有者Owner、同组者Group、其他人Other等 n超级用户root不受访问权的制约 高度极权化的Linux

16、 u普通Linux采用极权化的方式 n设立一个root超级用户 可对系统及其中的信息执行任何操作 u攻击者只要破获root用户的口令，便可进入 系统并完全控制系统 P21 系统特权分化（系统特权分化（C2级）级） 根据“最小特权”原则对系统管理员的特权进 行分化 u根据系统管理任务设立角色 u依据角色划分特权 典型的系统管理角色有： u系统管理员 n 负责系统的安装、管理和日常维护，如安装软件、增添用户 账号、数据备份等 u安全管理员 n 负责安全属性的设定与管理 u审计管理员等 n 负责配置系统的审计行为和管理系统的审计信息 一个管理角色不拥有另一个管理角色的特权 u攻击者破获某个管理角色的

17、口令时不会得到对系 统的完全控制 P22 强制访问控制功能（强制访问控制功能（B级）级） Bell & LaPadula强制访问控制模型 u为主体和客体提供标签支持 n主体 l 用户、进程等 l实施操作的一方 n客体 l 文件、目录、设备、IPC机制等 l受操作的一方 根据设定的不同的标签进行控制 u主体和客体都有标签设置 u系统根据主体与客体的标签匹配关系强制实行访 问控制 n符合匹配规则的准许访问 n否则拒绝访问，无论主体是普通用户还是特权用户。 例如：标签为 则可以查看“国防部”的信息，其密级不超过“秘密”级 n 比如：密级可以分为：“非密”、“秘密”、“机密”、“绝密”等等级别 P23

18、 Bell&LaPadulaBell&LaPadula模型（一）模型（一） Bell & LaPadula 模型，简称BLP 模型 u由D.E. Bell 和L.J. LaPadula 在1973年提出 u是第一个可证明的安全系统的数学模型 uBLP 模型是根据军方的安全政策设计的 它要解决的本质问题是对具有密级划分的信息的访问进行控制 BLP 模型是一个状态机模型 u它定义的系统，包含： n一个初始状态Z0 n三元组（请求R，判定D，状态S）组成的序列 即：BLP Z0,R,D,S 状态S是一个四元组：S （b, M, f, H） 其中： b （主体i，客体j，访问方式x），是当前访问集合

19、访问方式x=只可读r，只可写a，可读写w，可执行e M 是访问控制矩阵是访问控制矩阵 f 是安全级别函数，用于确定任意主体和客体的安全级别是安全级别函数，用于确定任意主体和客体的安全级别 H 是客体间的层次关系是客体间的层次关系 P24 Bell&LaPadulaBell&LaPadula模型（二）模型（二） 抽象出的访问方式x有四种，分别是: u只可读r u只可写a u可读写w u不可读写（可执行）e 主体的安全级别level包括 u最大安全级别，通常简称为安全级别 u当前安全级别 如果一个系统的初始状态Z0是安全的，并且三元组序列中 的所有状态S都是安全的，那么这样的系统就是一个安全 系统

20、 P25 Bell&LaPadulaBell&LaPadula模型（三）模型（三） 以下特性和定理构成了BLP模型的核心内容。 u简单安全特性（ss特性）： 如果当前访问是 b(主体，客体，只可读r)，那么一定有： level(主体) level(客体) 其中，level 表示安全级别。 u星号安全特性（*特性）： 在任意状态，如果(主体，客体，方式)是当前访问，那么 一定有： (1)若方式是a，则：current_level(主体)level(客体) (2)若方式是w，则：current_level(主体)level(客体) (3)若方式是r，则：current_level(主体)level

21、(客体) 其中，current_level 表示当前安全级别。 P26 Bell&LaPadulaBell&LaPadula模型（四）模型（四） u自主安全特性（ds特性）： 如果（主体i，客体j，方式x）是当前访问， 那么，方式x 一定在访问控制矩阵M 的元素Mij 中。 vds特性处理自主访问控制，自主访问控制的权限由客 体的拥有者自主确定 vss特性和*特性处理的是强制访问控制。强制访问控 制的权限由特定的安全管理员确定，由系统强制实施。 u基本安全定理：如果系统状态的每一次变化都能满足ss 特性、*特性和ds特性的要求，那么，在系统的整个状态 变化过程中，系统的安全性是不会被破坏的。

22、BLP 模型支持的是信息的保密性。 P27 标签标签 标签有等级分类和非等级类别： +等级分类与整数相当，可以比较大小； 可设置为：非密、秘密、机密、绝密等， +非等级类别与集合相当，不能比较大小，但存在包 含与非包含关系。 可设置为：国防部、外交部、财政部等级 例如： u当一个用户的标签为时 n他可以查看“国防部”的不超过“秘密”级的信息 u任何用户（包括特权用户），只要标签不符合要求 n都不能对指定信息进行访问 l 不管他原来的权利有多大（比如系统管理员） l 这为信息的保护提供了强有力的措施 l 普通Linux无法做到这一点 P28 小结小结 安全操作系统是安全计算机系统的根基 评价安全

23、操作系统的标准TCSEC 安全模型BLP（适合B标准） 参考文献： “安全操作系统研究的发展安全操作系统研究的发展” 石文昌，中国科学院软件研究所石文昌，中国科学院软件研究所 计算机科学计算机科学Vol.29 No.6Vol.29 No.6和和Vol.29 No.7Vol.29 No.7 P29 特洛伊木马（特洛伊木马（1） “特洛伊木马特洛伊木马”（trojan horsetrojan horse）简称）简称“木马木马” u这个名称来源于希腊神话这个名称来源于希腊神话木马屠城记木马屠城记 u古希腊有大军围攻特洛伊城，久久无法攻下。于是古希腊有大军围攻特洛伊城，久久无法攻下。于是 有人献计制造

24、一只高二丈的大木马，假装作战马神，有人献计制造一只高二丈的大木马，假装作战马神， 让士兵藏匿于巨大的木马中，大部队假装撤退而将让士兵藏匿于巨大的木马中，大部队假装撤退而将 木马摈弃于特洛伊城下。城中得知解围的消息后，木马摈弃于特洛伊城下。城中得知解围的消息后， 遂将遂将“木马木马”作为奇异的战利品拖入城内，全城饮作为奇异的战利品拖入城内，全城饮 酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木 马中的将士开秘门游绳而下，开启城门及四处纵火，马中的将士开秘门游绳而下，开启城门及四处纵火， 城外伏兵涌入，部队里应外合，焚屠特洛伊城。后城外伏兵涌入，部队里应外

25、合，焚屠特洛伊城。后 世称这只大木马为世称这只大木马为“特洛伊木马特洛伊木马” 如今黑客程序借用其名，有如今黑客程序借用其名，有“一经潜入，后患一经潜入，后患 无穷无穷”之意之意 P30 特洛伊木马（特洛伊木马（2） 完整的木马程序一般由两个部分组成： u一个是服务器程序一个是服务器程序 u一个是控制器程序。一个是控制器程序。 “中了木马”就是指安装了木马的服务器程序 u若电脑被安装了服务器程序，则拥有控制器程序的若电脑被安装了服务器程序，则拥有控制器程序的 人就可以通过网络控制该电脑（肉机）人就可以通过网络控制该电脑（肉机） 自主访问控制的缺陷，避免不了“木马”侵入 BLP 模型可以防范“木

26、马”，支持信息的保密 性（B1） P31 特洛伊木马（特洛伊木马（3） 特洛伊木马： uSOS 安全操作系统（SOS）将重要信息放 在important文件中，该文件允许SOS有 R/W权限 uSPY 窃贼程序（SPY）设计了一个Use_it 程序含木马程序，并准备了一个Pocket 文件，并使得SOS仅可以对它进行写入:W， 而SPY可以对Pocket进行读和写:R/W。 u当SOS执行到木马程序时，木马会将 important文件的信息，写入Pocket中 P32 特洛伊木马示例特洛伊木马示例 Important文件， 它含有SOS的秘 密数据 pocket文件,它在 悄悄地接收木马 程序

27、写入的数据 Use_it P33 主体与客体赋予安全级主体与客体赋予安全级 主体和客体赋予安全级别 uSOS: high 安全级，important: high 安全级 uSPY: low安全级，pocket：low 安全级 当SOS执行木马程序时，木马程序也同样获 得SOS的安全级别，即:high，所以木马程序可 以读出important文件，但当木马程序向 pocket文件写入时，“引用监控器会拒绝”， 因为pocket文件的安全级低于木马程序的安全 级，所以禁止写操作 u根据BLP模型，高安全级主体只允许对低安全 级的客体进行读操作，而不许写！ P34 对特洛伊木马的防范对特洛伊木马的防范 Important文 件，含有 SOS的秘密 数据。 pocket文件， 作为秘密的接 收者。 引用监控器 Use_it 采用BLP模型的引用监控器防范特洛伊木马 P35 引用监控器示意图（引用监控器示意图（B3B3安全级）安全级） 引用监控器引用监控器 授权数据库授权数据库 引用监控器引用监控器 审计审计 目标目标 客体客体 目标目标 客体客体 目标目标 客体客体 目标目标 客体客体 目标目标