操作系统原理电子教案08

第8章操作系统的安全和保护8.1计算机系统和操作系统安全8.2操作系统安全机制8.3计算机病毒8.4访问控制机制8.1计算机系统和操作系统安全在构建一个安全的计算机信息系统时，不仅要考虑具体的安全产品，包括防火墙(FireWall)、安全路由器(Router)、安全网关(GateWay)、虚拟专用网(VPN)、入侵检测(IDS)、网络隔离设备以及系统漏洞扫描与监控产品等，而且还应考虑操作系统的安全性问题。操作系统安全是信息安全的基础。8.1.1计算机系统安全概述计算机系统安全涉及的内容非常广泛，总体上来讲包括三个方面的内容：物理安全是指系统设备及相关设施受到物理保护，使之免遭破坏或丢失，如计算机环境、设施、设备、载体和人员。安全管理包括各种安全管理的政策和机制。逻辑安全是针对计算机系统，特别是计算机软件系统的安全和保护，严防信息被窃取和破坏。它又包括以下四个方面。(1)数据保密性(DataSecrecy)：指保护信息不被未授权者访问，仅允许被授权的用户访问。(2)数据完整性(DataIntegrity)：指未经授权的用户不能擅自修改系统中保存的信息，且能保持系统中数据的一致性。(3)系统可用性(SystemAvailability)：指授权用户的正常请求能及时、正确、安全地得到服务或响应。或者说，计算机中的资源可供授权用户随时进行访问，系统不会拒绝服务。系统拒绝服务的情况在互联网中很容易出现，连续不断地向某个服务器发送请求就可能会使该服务器瘫痪，以致系统无法提供服务，表现为拒绝服务。(4)真实性(Authenticity)：要求计算机系统能证实用户的身份，防止非法用户侵入系统，以及确认数据来源的真实性。8.1.1计算机系统安全概述影响计算机系统安全的因素很多。首先，操作系统是一个共享资源系统，支持多个用户同时共享一系列计算机系统的资源，有资源共享就需要有资源保护，涉及到各种安全性问题；其次，随着计算机网络的迅速发展，除了信息的存储和处理外，还存在着大量的数据传送操作，客户机要访问服务器，一台计算机要将数据传送给另一台计算机，这个过程对安全的威胁极大，需要有网络安全和数据信息的保护，以防止入侵者恶意破坏；另外，在应用系统中，主要依赖数据库来存储大量信息，它是各个部门十分重要的资源，其中的数据会被广泛使用，特别是在网络环境中的数据库，这就提出了信息系统和数据库的安全问题。最后，计算机安全的一个特殊问题就是计算机病毒，需要采取措施来预防、发现和删除病毒。8.1.1计算机系统安全概述计算机系统的安全性和可靠性是两个不同的概念。可靠性是指硬件系统正常持续运行的程度。安全性是指不因人为疏漏或蓄意操作而导致信息资源被泄露、篡改和破坏。可靠性是基础，安全性更为复杂。8.1.2操作系统安全及信息安全评价准则1.操作系统安全一个安全的操作系统包括以下功能：(1)进程管理和控制(2)文件管理和保护(3)运行域控制(4)输入/输出访问控制(5)内存保护和管理(6)审计日志管理8.1.2操作系统安全及信息安全评价准则2.信息安全评价准则美国是最早对操作系统安全进行研究并提出测评标准的国家。美国国防部于1983年提出的“计算机可信系统评价准则(TCSEC)”是基于对操作系统进行安全评估的标准。TCSEC将计算机系统的安全性分成D、C、B、A四等七级，依照各等、各级的安全要求，从低到高依次是D、C1、C2、B1、B2、B3和A1级，各级的安全性如下：D：最低安全性，称为安全保护欠缺级。常见的无密码保护的个人计算机系统属于D级。C1：自由安全保护级，通常具有密码保护的多用户工作站属于C1级。C2：较完善的自主存取控制、广泛的审计。当前广泛使用的软件，如UNIX操作系统、ORACLE数据库系统等，都能达到C2级。B1：强制存取控制，安全标识。B2：良好的安全体系结构、形式化安全模型、抗渗透能力。B3：全面的访问控制(安全内核)、可信恢复、高抗渗透能力。A1：形式化认证、非形式化代码、一致性证明。根据TCSEC标准，达到B级标准的操作系统可称为安全操作系统。目前流行的几种操作系统的安全性分别为：MS-DOS为D级；WindowsNT和Solaris为C2级；OSF/1为B1级；UnixWare2.1为B2级。8.1.3计算机安全威胁分类计算机或网络系统在安全性方面受到的威胁可分为如下4种类型：(1)中断。也称为拒绝服务，是指系统的资源被破坏或变得不可用或不能用。这是对可用性的攻击，如破坏硬盘、切断通信线路或使文件管理失败。(2)截取。未经授权的用户、程序或计算机系统通过非正当途径获得对资源的访问权。这是对保密性的威胁，例如在网络中窃取数据及非法复制文件和程序。(3)篡改。未经授权的用户不仅获得对资源的访问，而且进行篡改，这是对完整性的攻击，例如修改数据文件的信息，修改网络中正在传送的消息内容。(4)伪造。未经授权的用户不仅从系统中截获信息，而且还可以修改数据包中的信息，将伪造的对象插入到系统中，这是对真实性的威胁，例如，非法用户把伪造的消息加到网络中或向当前文件加入记录。8.2操作系统安全机制安全机制的主要功能则是实现安全策略描述的安全问题，它关注的是如何实现系统的安全性，主要包括：加密机制(Encryption)认证机制(Authentication)授权机制(Authorization)审计机制(Audit)8.2.1数据加密的基本概念1.数据加密模型数据加密模型由四部分组成。(1)明文(plaintext)。被加密的文本称为明文P。(2)密文(ciphertext)。加密后的文本称为密文C。(3)加密(解密)算法E(D)。用于实现从明文(密文)到密文(明文)转换的公式、规则或程序。(4)密钥K。密钥是加密和解密算法中的关键参数。加密过程为在发送端利用加密算法Eke和加密密钥Ke对明文P进行加密，得到密文C=Eke(P)。密文C被传送到接收端后进行解密。解密过程为：接收端利用解密算法DKd和解密密钥Kd对密文C进行解密，将密文还原为明文P=DKd(C)。在加密系统中，加解密算法是相对稳定的。为了保证加密数据的安全性，密钥需要经常改变。8.2.1数据加密的基本概念2.加密算法的类型

(1)对称加密算法。在对称加密算法中，加密和解密算法使用相同的密钥。加密密钥能够从解密密钥中推算出来，同时解密密钥也可以从加密密钥中推算出来。对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同样密钥，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一密钥，这会使得发收信双方所拥有的密钥数量呈几何级数增长，密钥管理成为用户的负担。对称加密算法在分布式网络系统中使用较为困难，主要是因为密钥管理困难，使用成本较高。目前广泛使用的对称加密算法有DES、IDEA和AES。(2)非对称加密算法。非对称加密算法使用两把完全不同的一对钥匙：公钥和私钥。在使用非对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密。加密明文时采用公钥加密，解密密文时使用私钥，而且发信方(加密者)知道收信方的公钥，只有收信方(解密者)唯一知道自己的私钥。非对称加密也称公开密钥加密法。非对称加密算法的基本原理是，如果发信方想发送只有收信方才能解读的加密信息，发信方必须首先知道收信方的公钥，然后利用收信方的公钥来加密原文；收信方收到加密密文后，使用自己的私钥解密密文。显然，采用非对称加密算法，收发信双方在通信之前，收信方必须将自己的公钥告知发信方，而自己保留私钥。由于非对称算法拥有两个密钥，因而特别适用于分布式系统中的数据加密。非对称加密算法的密钥管理简单，但加密算法复杂。目前广泛使用的非对称加密算法有RSA算法和美国国家标准局提出的DSA。以非对称加密算法为基础的加密技术应用非常广泛。8.2.2数字签名和身份认证1.数字签名完善的数字签名应满足下述三个条件：(1)签字方事后不能抵赖其签名。(2)其他人不能伪造对报文的签名。(3)接收方能够验证签字方对报文签名的真伪。数字签名是通过密码算法对数据进行加、解密变换实现的。目前的数字签名建立在公开密钥体制基础上，它是公开密钥加密技术的另一类应用。8.2.2数字签名和身份认证基于公开密钥密码算法的数字签名主要原理如下：(1)报文的发送方从报文文本中生成一个128位的散列值，称之为报文摘要。(2)发送方用自己的私钥对该报文摘要进行加密，形成发送方报文的数字签名。(3)该报文的数字签名作为报文的附件和报文一起发送给接收方。(4)报文接收方从接收到的原始报文中计算出128位的报文摘要。(5)报文接收方用发送方的公钥对报文附加的数字签名进行解密。如果两个报文摘要相同，那么接收方就能确认该数字签名是发送方的。如果第三方冒充发送方发出了一个数字签名，因为接收方在对数字签名进行解密时使用的是发送方的公开密钥，只要第三方不知道发送方的私有密钥，解密出来的数字签名和经过计算的数字签名必然是不相同的。这就提供了一个安全的确认发送方身份的方法。鉴于用于签名的私有密钥只有发送方自己保存，他人无法做出同样的数字签名，因此发送方事后不能抵赖其签名。8.2.2数字签名和身份认证数字签名的加密解密过程和非对称加密算法的加密解密过程虽然都使用公开密钥体系，但实现的过程正好相反，使用的密钥对也不同。数字签名使用的是发送方的密钥对，发送方用自己的私有密钥进行加密，接收方用发送方的公开密钥进行解密。这是一对多的关系，任何拥有发送方公开密钥的人都可以验证数字签名的正确性。而非对称加密算法的加密解密使用的是接收方的密钥对，发送方用接收方的公开密钥进行加密，接收方用自己的私有密钥进行解密。这是多对一的关系，任何知道接收方公开密钥的人都可以向接收方发送加密信息，只有唯一拥有接收方私有密钥的人才能对信息解密。在实际应用过程中，通常一个用户拥有两个密钥对，一个密钥对用来对数字签名进行加密解密，一个密钥对用来对私有密钥进行加密解密。这种方式提供更高的安全性。8.2.2数字签名和身份认证2.身份认证机制身份认证是安全操作系统应该具备的最基本功能，是用户要进入系统访问资源或在网络中通信双方在进行数据传送之前实施审查和证实身份的操作。身份认证分为内部和外部身份认证两种。外部身份认证涉及验证某个用户是否是像其宣称的那样，例如，某个用户用一个用户名登录某系统，此系统的外部身份认证机制将进行检查以证实此用户的登录确实是合法的用户。最简单的外部验证是为每个账户赋予一个口令，账户可能是广为人知的，而口令则对不使用此账号的人员保密，而且此口令只能被此账号的拥有者或系统管理员改变。内部身份认证机制确保某进程不能表现为除了它自身以外的其它进程。8.2.2数字签名和身份认证(1)用户身份认证当用户与系统进行交互时，操作系统是两者进行交互的软件代理。操作系统需要验证这些用户确实具有他们所宣称的特征，这就是用户身份认证。在操作系统中，用户标识符和口令的组合被广泛用于用户身份认证。操作系统还可以使用其它附加手段来确认某用户是否是其宣称的那个用户。例如，用户的指纹、IC卡和钥匙卡等。8.2.2数字签名和身份认证(2)网络中的身份认证网络中的身份认证通常通过数字证书来实现，数字证书是一种权威性的电子文档，它提供一种在Internet上验证用户身份的方式，其作用类似于驾驶执照、身份证、护照。下面通过一个具体例子来说明数字证书的申请、发放和使用过程。(1)用户A首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心CA。(2)认证中心CA在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来。然后，认证中心将发给用户一个数字证书，该证书内包含用户A的个人信息和他的公钥信息，同时还附有认证中心的签名信息。(3)用户A在向用户B发送信息时，用户A用私有密钥对信息的报文摘要加密，形成数字签名，并连同已加密的数字证书一起发送给用户B。(4)用户B向CA机构申请获得CA的公开密钥。CA收到用户B的申请后，将CA的公开密钥发送给用户B。(5)用户B利用CA的公开密钥对数字证书进行解密，确认该数字证书是原件，并从数字证书中获得用户A的公开密钥，并且也确认该公开密钥确系是用户A的密钥。(6)用户B利用用户A的公开密钥对用户A发送来的数字签名进行解密，从而得到用户A发来的报文的真实明文，并鉴别用户A的真实身份。8.2.3授权机制授权机制用于确认用户或进程在授权许可下才能够访问使用计算机的资源。8.2.4审计审计是通过事后追查手段来保证系统的安全，是对系统实施的一种安全性技术措施，它对涉及系统安全的相关操作活动作一个完整的纪录，并进行检查及审核。审计的主要目的就是检测和阻止非法用户对计算机系统的入侵，并记录合法用户的误操作。审计为系统对安全事故原因的查询、事故发生地点、时间、类型、过程、结果的追查、事故发生前的预测及报警提供详细、可靠的依据和支持。审计记录一般应包括如下信息：事件发生的时间、地点、代表正在进行事件的主体的惟一标识符、事件的类型、事件的成败等。审计过程是一个独立过程，它应与操作系统的其它功能隔离开。系统应该能够生成、维护和保护审计过程，使其免遭非法访问和破坏，特别要保护审计数据，严格禁止未经授权的用户访问。如果审计与报警功能相结合，那就可以做到每当有违反系统安全的事件发生或者有涉及系统安全的重要操作进行时，就能及时发出相应的报警信息。8.3计算机病毒自1983年发现计算机病毒后，计算机病毒种类越来越多，潜伏越来越深，危害性越来越大，防不胜防。如果不对计算机病毒进行有效地阻止和防范，计算机系统和网络将不断受到攻击，给广大用户带来不可估量的损失。8.3.1计算机病毒的基本概念1．计算机病毒的定义计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。2．计算机病毒的危害(1)占用系统空间。计算机病毒是一段程序，会占用一定的磁盘空间和内存空间。病毒程序虽然很小，但随着病毒的繁殖，数量会急剧增加，将占用大量的磁盘空间和内存空间，最终致使系统存储空间消耗殆尽。(2)占用CPU时间。计算机病毒在运行时会占用CPU时间，随着病毒数量的增加，将会消耗更多的CPU时间，这会导致系统运行速度变得异常缓慢，进一步还可能完全独占CPU时间，致使计算机系统无法向用户提供服务。(3)破坏文件。计算机病毒可以增加或减少文件的长度，改变文件的内容，甚至删除文件。病毒还可以通过对磁盘的格式化使整个系统中的文件全部消失。(4)破坏计算机软硬件系统。计算机病毒可破坏计算机软硬件系统，致使计算机出现异常情况，如提示一些莫名其妙的指示信息，显示异常图形等，甚至致使计算机运行减缓，完全停机。1998年6月爆发于中国台湾的CIH病毒不但会破坏计算机硬盘中的信息，而且还会破坏BIOS，使系统无法启动，从而很难杀除。由于染毒的BIOS无法启动系统，故障现象与主板硬件损坏一样，所以CIH病毒被认为是第一个破坏计算机硬件系统的病毒。

8.3.1计算机病毒的基本概念3．计算机病毒的特征(1)潜伏性。(2)传染性。(3)隐蔽性。(4)破坏性。在网络时代，计算机病毒又具有很多新的特征：(1)通过网络和邮件系统传播。(2)传播速度极快。(3)变种多。(4)具有病毒、蠕虫和黑客程序功能。8.3.2计算机病毒的类型1．文件型病毒文件型病毒是当前最为普遍的病毒形式，通过在运行过程中插入指令，把自己依附在可执行文件上。然后，利用这些指令来调用附在文件中某处的病毒代码。当文件执行时，病毒会调出自己的代码来执行，接着又返回到正常的执行指令序列。文件型病毒使文件受感染的方式可分为如下两种：(1)主动攻击型感染。当病毒程序在执行时，它不断地对磁盘上的文件进行检查，当发现被检测文件尚未被感染时，就去感染它，使其带有病毒。(2)执行时感染。在病毒环境中，每当一个未被感染的程序在执行时，如果它是病毒所期待的文件类型，且磁盘没有写保护，该程序就会被感染病毒。病毒在感染其它文件时，通常是有针对性地，有的病毒是针对.com文件，或者是针对.exe文件，或者同时针对.com文件和.exe文件，也有的病毒则针对其它类型的文件。8.3.2计算机病毒的类型2．引导扇区病毒引导扇区病毒潜伏在磁盘上用于引导系统的引导区。当系统开机时，病毒便借助于引导过程进入系统，通常引导扇区病毒先执行自身的代码，然后再继续系统的启动进程。病毒通过复制代码使引导区病毒感染计算机系统或者软盘引导扇区或硬盘分区表。在启动期间,病毒加载到内存，一旦在内存,病毒将感染由系统访问的任何非感染磁盘。3．宏病毒宏是微软公司为其OFFICE软件包设计的一个特殊功能，软件设计者为了让人们在使用软件时，避免一再地重复相同的动作而设计出来的一种工具，它利用简单的语法，把常用的动作写成宏，当在工作时，就可以直接利用事先编好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档中的一些任务自动化。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会感染上这种宏病毒，而且如果其他用户打开感染病毒的文档，宏病毒又会转移到他的计算机上。一般宏病毒具有传播极快，制作、变种方便，破坏可能性极大，兼容性不高等特点，目前的杀毒软件都能有效地防治和清除宏病毒。

8.3.2计算机病毒的类型4．内存驻留病毒内存驻留病毒一旦执行，自己便占据内存驻留区。这是计算机运行程序和文件时载入它们的地方。病毒在内存中占据重要位置，病毒可以访问在计算机上运行的所有重要操作，它可以在文件和程序访问、修改或者操作时很轻松地破坏它们。计算机关闭时，所有内存中的数据都将被清除，包括病毒。但是，当病毒感染系统时，它会确保每次计算机启动时都将在内存中激活病毒。内存驻留病毒会通过占用系统资源来使用户的计算机变慢。它们可以破坏数据和系统文件，这会使用户的计算机不能正常工作。8.3.2计算机病毒的类型5．邮件病毒邮件病毒其实和普通的电脑病毒一样，只不过它们的传播途径主要是通过电子邮件，所以才被称为邮件病毒，由于它们一般通过邮件中“附件”夹带的方法进行扩散，只要接收者打开电子邮件中的附件，病毒就会被激活，它将把自身发送给该用户列表中的每个人，然后进行破坏活动。后来出现了更具破坏性的电子邮件病毒，它被直接嵌入到电子邮件中，只要接收者打开含有该病毒的电子邮件，病毒就会被激活。由于电子邮件病毒是通过Internet传播的，因此病毒的传播速度非常快，加上平时日常工作中电子邮件使用十分频繁，因此预防邮件病毒就显得至关重要。8.3.3病毒的预防和检测1．病毒的预防预防计算机病毒应从管理和技术两方面进行。(1)建立完善的计算机法制制度，使惩治编写和传播计算机病毒程序的工作有法可依，通过法律手段有效地预防计算机病毒的产生和蔓延。(2)对于重要的软件和数据，应当定期做好备份。一方面确保数据不丢失，另一方面，当发现病毒时，也可用它来还原被感染文件。(3)使用正版软件，从网上下载软件时，要使用最新的防病毒软件进行扫描以防范病毒入侵。(4)选择性能好的正版反病毒软件，并定期进行升级，对计算机系统及软件要定期地进行病毒检测。(5)对来历不明的电子邮件，不要轻易打开，以防止病毒通过电子邮件来传染。(6)要定期检查硬盘、优盘，利用反病毒软件来清除其中的病毒。将.com文件和.exe文件赋以“只读”属性，预防病毒入侵。8.3.3病毒的预防和检测2．常用病毒检测方法(1)特征代码法特征代码法包括建立病毒数据库和扫描文件两个过程。为了建立病毒数据库，应当采集病毒的样本，所收集的病毒样本种类越多，利用它去检测病毒的成功率也就越高。在扫描文件过程中，打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可断定被查文件中感染有何种病毒。特征代码法将硬盘上的文件与病毒数据库中的病毒样本严格匹配来发现病毒，这样可能会漏掉许多多形态病毒。特征代码法的优点是检测准确快速、可识别病毒的名称、误报警率低、依据检测结果可做杀毒处理。其缺点如下：1)速度慢。随着病毒种类的增多，检索时间将变长。必须对每一种病毒特征代码逐一检查。如果病毒种数庞大，检测病毒就需要巨大的时间开销。2)不能检测多形态病毒。特征代码法是不可能检测出多形态病毒的。3)不能检测隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐蔽性病毒能先于检测工具将被查文件中的病毒代码剥去，导致检测工具是在检查一个虚假的“好文件”，而不能报警，被隐蔽性病毒所蒙骗。8.3.3病毒的预防和检测(2)校验和法校验和法的原理是计算正常文件内容的校验和，将该校验和写入本文件或别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件当前内容算出的校验和与原来保存的校验和是否一致，因而判定文件是否感染病毒，它既可发现已知病毒又可发现未知病毒。但是，它不能识别病毒种类，不能报出病毒名称。由于病毒感染并非文件内容改变的唯一原因，文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警，而且此种方法也会影响文件的运行速度。校验和法的优点是方法简单、能发现未知病毒和被查文件的细微变化。其缺点是会误报警、不能识别病毒名称、不能对付隐蔽型病毒。8.3.3病毒的预防和检测(3)行为监测法利用病毒的特有行为特征来监测病毒的方法，称为行为监测法。通过对病毒长时间的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。行为监测法的优点是可发现未知病毒、可比较准确地预报未知的多数病毒。其缺点是可能会误报警、不能识别病毒名称、实现时有一定难度。8.3.3病毒的预防和检测(4)软件模拟法软件模拟法专门用来对付多形态计算机病毒。多形态病毒每次感染都改变其病毒密码，对付这种病毒，特征代码法失效。多形态病毒代码实施密码化，而且每次所用密钥不同，把病毒代码相互比较，也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多形态病毒，但是在检测出病毒后，因为不知病毒的种类，难于做杀毒处理。软件模拟法则是成功地模拟CPU执行，在DOS虚拟机(VirtualMachine)下伪执行计算机病毒程序，安全地将其解密，使其显露本来的面目，再加以扫描。8.4访问控制机制当一个合法用户进入系统后要访问系统资源时，系统的访问控制检查机构负责验证用户对资源访问的合法性，从而保证对系统资源进行访问的用户是被授权用户。使用访问控制技术，可以设置用户对系统资源的访问权限，即限定用户只能访问允许访问的资源。访问控制还可以通过设置文件的属性，来保护文件只能被读而不能被修改，或只允许核准的用户对其进行修改等。8.4.1保护域把一个进程能对某对象执行操作的权利称为访问权，它可以用一个有序对<对象名，权集>来表示，例如，某进程对文件F1有执行读和写操作的权利，这时，该进程的访问权可表示为<F1，{RW}>。保护域是进程对一组对象访问权的集合，进程只能在指定域内执行操作。因此，保护域规定了进程所能访问的对象和能执行的操作。不同的保护域可以相交，相交部分表示它们有共同的权限。例如，在下图所示的3个域中，它们分别是D1，D2和D3。其中D2和D3相交，表明访问权限<O7，{W}>被D2和D3共享，这表示运行在D2和D3上的任意一个进程都可以对对象O7执行写操作。需要注意的是，进程只有在D1中执行时才能读写对象O1，另外，仅在域D3中的进程才能执行对象O6。8.4.2访问矩阵保护域机制是实现系统资源保护的一种模型，我们可以利用一个矩阵来描述这种模型，称之为访问矩阵(AccessMatrix)，访问矩阵的行代表域，列代表对象。矩阵的每个条目是一个访问集合。由于列明确定义了对象，可以在访问权限中删除对象名称。条目<i,j>定义了在域Di中