通用操作系统的保护课件

1、通用操作系统的保护保护对象和保护方法内存地址保护访问控制文件保护机制用户鉴别保护对象和保护方法保护对象：内存；可共享的I/O设备，如磁盘；可连续复用的I/O设备，如打印机和磁带驱动器；可共享的程序或子程序；网络；可共享的数据保护方法分离控制：保持一个用户的对象独立于其他用户分离控制是最基本的保护在操作系统中，分离控制主要有四种：物理分离时间分离逻辑分离密码分离保护方法（另）能同时兼顾共享的保护方法：（1） 不保护（2） 隔离（3） 共享一切或不共享（4） 访问限制共享（5） 访问权能共享（6） 对象的限制使用内存地址保护界地址： 设置了用户的内存区界限重定位： 重定位因子是分配给程序的内存首地

2、址。 程序的实际地址=重定位因子+相对地址基址/范围寄存器：可变界地址寄存器称为基址寄存器，提供了下界；范围寄存器用于存放上界地址限制。上下文转换：地址的改变标记结构： 机器内存的每个字单元都有一个或几个额外的比特用表示该单元访问权限，这种结构称为标记结构。这些访问比特由（操作系统）特权指令设置；每次指令访问某存储区时，都对这些比特进行权限检查。分段式： 将一个程序分成几块，每一块是一个逻辑单元，表现为一组有关联的代码或数据。分页式： 用户程序的地址空间被划分为若干个大小相等的区域，称为页段页式： 分段式与分页式的结合访问控制的概念以及分类一般概念 是针对越权使用资源的防御措施。一般分为：自主

3、访问控制强制访问控制基于角色的访问控制访问控制的目的 是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。访问控制的一般实现机制和方法一般实现机制 基于访问控制属性 访问控制列表/矩阵 基于用户和资源分级（“安全标签”） 多级访问控制常见实现方法 访问控制列表（ACL) 访问控制矩阵（ACM) 访问能力表（CL) 授权关系表访问控制表（ACL：Access Control Lists）是以文件为中心建立的访问权限表，简记为ACL。目前，大多数PC、服务器和主机都使用ACL作为访问

4、控制的实现机制。访问控制实现方法访问控制列表(ACL)userAOwnRWOuserB R OuserCRWOObj1访问控制实现方法访问控制列表(ACL)访问控制表的优点在于实现简单，每个对象都有一个列表，列表中包含欲访问给对象的所有主体，以及主体具有的访问权限。访问控制实现方法访问控制列表(ACL)能力是访问控制中的一个重要概念，它是指请求访问的发起者所拥有的一个有效标签（ticket），它授权标签表明的持有者可以按照何种访问方式访问特定的客体。访问能力表（CL）是以用户为中心建立访问权限表。访问控制实现方法访问能力表(CL)访问控制实现方法访问能力表(CL)Obj1OwnRWOObj2

5、R OObj3 RWOUserA访问控制矩阵（ACM：Access Control Matrix）是通过矩阵形式表示访问控制规则和授权用户权限的方法；也就是说，对每个主体而言，都拥有对哪些客体的哪些访问权限；而对客体而言，又有哪些主体对他可以实施访问；将这种关连关系加以阐述，就形成了控制矩阵。其中，特权用户或特权用户组可以修改主体的访问控制权限。访问控制实现方法访问控制矩阵SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute 按列看是访问控制列表内容 按行看是访问能力表内容访问控制实现方法访问控制矩阵访问控制实现方法授权关系表UserA O

6、wn Obj1UserA R Obj1UserA W Obj1UserA W Obj2UserA R Obj2自主访问控制强制访问控制基于角色访问控制访问控制访问控制的一般策略访问控制的策略自主访问控制 自主访问控制模型（DAC Model，Discretionary Access Control Model）是根据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户。 自主访问控制又称为任意访问控制。访问控制的策略自主访问控制特点： 根据主体的身份和授权来决定访问模式。缺点

7、： 信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。 访问控制的策略强制访问控制强制访问控制模型（MAC Model：Mandatory Access Control Model）：在DAC访问控制中，用户和客体资源都被赋予一定的安全级别，用户不能改变自身和客体的安全级别，只有管理员才能够确定用户和组的访问权限。访问控制的策略强制访问控制和DAC模型不同的是，MAC是一种多级访问控制策略，它的主要特点是系统对访问主体和受控对象实行强制访问控制，系统事先给访问主体和受控对象分配不同的安全级别属性，在实施访问控制时，系统先

8、对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对象。访问控制的策略强制访问控制主体对客体的访问主要有四种方式：（1）向下读（rd，read down）：主体安全级别高于客体信息资源的安全级别时允许查阅的读操作；（2）向上读（ru，read up）：主体安全级别低于客体信息资源的安全级别时允许的读操作；（3）向下写（wd，write down）：主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作；（4）向上写（wu，write up）：主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。访问控制的策略强制访问控制特点： 1.将主题和客体分级，

9、根据主体和客体的级别标记来决定 访问模式。如：绝密级、机密级、秘密级、无密级。 2.其访问控制关系分为：上读/下写 ， 下读/上写 （完整性） （机密性） 3.通过安全标签实现单向信息流通模式。 1.自主式太弱2.强制式太强3.二者工作量大，不便管理 例： 1000主体访问10000客体，须1000万次配置。如每 次配置需1秒，每天工作8小时，就需 10，000，000/（3600*8） =347.2天访问控制的策略 自主/强制访问的问题访问控制的策略 基于角色的访问控制基于角色的访问控制模型（RBAC Model，Role-based Access Model）：RBAC模型的基本思想是将访

10、问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。这是因为在很多实际应用中，用户并不是可以访问的客体信息资源的所有者（这些信息属于企业或公司），这样的话，访问控制应该基于员工的职务而不是基于员工在哪个组或是谁信息的所有者，即访问控制是由各个用户在部门中所担任的角色来确定的，例如，一个学校可以有教工、老师、学生和其他管理人员等角色。访问控制的策略 基于角色的访问控制 角色概念 角色可以看作是一组操作的集合，不同的角色具有不同的操作集，这些操作集由系统管理员分配给角色。访问控制的策略 基于角色的访问控制 角色与组的区别组：用户集角色：用户集权限集访问控制的策略 基于角色的访问控制 角色控制与DAC、MAC的区别： 角色控制相对独立，根据配置可使某些角色为接近DAC，某些角色接近MAC。访问控制的策略 基于角色的访问控制 模型 基本模型 RBAC0 角色分层模型 RBAC1 角色约束模型 RBAC2 统一模型 RBAC3 访问控制的策略 基于角色的访问控制角色控制优