4章通用操作系统保护.pptVIP

第4章 通用操作系统保护 本章要点 通用操作系统的保护特性：存储保护、文件保护和执行环境保护 对象访问控制 用户鉴别 操作系统有两个目标：控制共享访问、实现允许这种访问的接口。在这种目标下，操作系统功能可以分为以下几类： (1) 访问控制 (2) 认证与信任管理 (3) 管理信息流 (4) 审计和完整性保护 所有这些活动都与安全有关。 对于一个支持多道程序的操作系统，操作系统设计者提供了包括存储保护、文件保护、对象的一般访问控制和鉴别等方法，来保护计算免受其他用户无意或恶意的干扰。 本章仅以两类操作系统为例：Microsoft Windows NT， 2000，XP， 2003 Server，和 Vista；Unix，Linux，和它们的变化版本。 4.1 保护对象和保护方法 4.1.1 历史回顾 第一代操作系统是一种简单的设备——执行器(executive)，其设计目的是协助各位程序员完成各自的工作，以及平稳地实现用户之间的切换。执行器要求每个时刻只有一个程序员执行程序。 多道程序操作系统也称为监控器(monitor)，用以监督每个程序的执行。监控器充当了主动的角色，只要用户的请求与系统要求一致，监控器就主动控制计算机系统把资源分配给用户。 4.1.2 保护对象 事实上，多道程序的出现意味着需要保护计算机系统的几个方面： (1) 内存 (2) 可共享的I/O设备，比如磁盘 (3) 可连续复用的I/O设备，例如打印机和磁带驱动器 (4) 网络 (5) 可共享的程序或子程序 (6) 可共享的数据 4.1.3 操作系统的安全方法 最基本的保护是分离控制(separation)：保持一个用户的对象独立于其他用户。在操作系统中分离控制主要有以下4种方式： (1) 物理分离：指不同的进程使用不同的物理对象。 (2) 时间分离：指有着不同安全要求的进程，在不同时间执行。 (3) 逻辑分离：使程序不能访问许可域之外的对象，这样用户感觉好象在没有其他进程的情况下执行自己的进程。 (4) 密码分离：进程对其数据和计算加密，使其他进程无法理解。 4.1.3 操作系统的安全方法(续) 操作系统也提供了一些共享的保护路线： (1) 不保护：当敏感进程在不同时间运行时是恰当的。 (2) 隔离：当操作系统提供隔离时，各个进程并发运行，相互之间感觉不到其他进程的存在。 (3) 共享一切或不共享：对象所有者宣布对象是公有或私有。 (4) 访问限制共享：通过访问限制保护，操作系统检查用户对象的访问是否是允许的。操作系统充当了用户和被访问对象之间的守卫，确保只能进行已授权的访问。 (5) 访问权能共享：这种保护形式扩展了访问限制共享的概念，它允许动态产生对对象的共享权限。 (6) 对象的限制使用：这种保护形式不仅限制了对对象的访问，并同时限制了获得访问后的使用情况。 4.1.3 操作系统的安全方法(续) 可以在各种级别实现访问控制：比特、字节、记录、文件或卷。我们关心控制粒度(granularity)。被控制对象的粒度越大，这种控制越容易实现。然而，这样一来操作系统给用户的访问权限就将多于用户本身的需求。 4.2 内存及地址保护 4.2.1 界地址 界地址(fence)是一个预定义的内存地址，设置了用户的内存区界限。 4.2.1 界地址(续) 另一种方法是使用硬件寄存器，称为界地址寄存器(fence register)，用于存放操作系统的尾址。 4.2.2 重定位 重定位(relocation)是假定程序地址开始于地址0，然后改变所有地址以反映程序在内存中的实际地址。重定位因子(relocation factor)是分配给程序的内存首地址。界地址寄存器可以是硬件重定位设备。界地址寄存器的内容加上程序的相对地址，不但可以重定位，而且可以控制用户访问操作系统空间。 4.2.3 基址/范围寄存器 可变界地址寄存器通常称为基地址寄存器(base register)。范围寄存器(bounds register)用于存放上界地址限制。 4.2.3 基址/范围寄存器(续) 用户可能不慎将数据存储在指令存储区中。可以使用两对寄存器来解决这一问题，一对用于界定程序指令，另一对用于界定存储数据空间。这似乎鼓励使用更多对寄存器对，但两对已经是计算机设计的界限。超过这一数量每条代码需要明确向操作系统指明寄存器对。 4.2.4 标记结构 使用基址/范围寄存器保护只能提供全部数据的保护，而有时用户只希望保护部分数据。此外，有时