操作系统的访问控制.docVIP

操作系统的访问控制?摘要：??操作系统的访问控制是操作系统安全控制保护中重要的一环，在身份识别的基础上，根?据身份对提出的资源访问请求加以控制。访问控制是现代操作系统常用的安全控制方式?之一。本文介绍了常见的基于客体的控制保护机制（自主访问控制和强制访问控制）的?原理和实现?访问控制是计算机保护中极其重要的一环。它是在身份识别的基础上，根据身份对提出?的资源访问请求加以控制。在访问控制中，对其访问必须进行控制的资源称为客体，同?理，必须控制它对客体的访问的活动资源，称为主体。主体即访问的发起者，通常为进?程，程序或用户。客体包括各种资源，如文件，设备，信号量等。访问控制中第三个元?素是保护规则，它定义了主体与客体可能的相互作用途径。?访问控制机制?这里引入保护域的概念。每一主体（进程）都在一特定的保护域下工作。保护域规定了?进程可以访问的资源。每一域定义了一组客体及可以对客体采取的操作。?可对客体操作?的能力称为访问权（Access??Right），访问权定义为有序对的形式客体名，权利集合?＞。?一个域是访问权的集合。如域X有访问权文件A,?{读，写}，?那在域X下运行的进?程可对文件A执行读写，但不能执行任何其他的操作。?保护域并不是彼此独立的。它们可以有交叉，即它们可以共享权限。如下图，域X和域??Y?对打印机都有写的权限，发生访问权交叉。????????????????????????图1?有重叠的保护域?主体（进程）在某一特定时刻可以访问的客体（软件，硬件）的集合称为客体。根据系?统复杂度不同，客体可以是静态的，即在进程生命期中保持不变，或动态改变。为使进?程对自身或他人可能造成的危害最小，最好在所有时间里进程都运行在最小客体下。?一般客体的保护机制有两种。一种是自主访问控制（discretionary?access?control）?，一种是强制访问控制（mandatory?access?control）。?所谓的自主访问控制是一种最为普遍的访问控制手段，用户可以按自己的意愿对系统的?参数做适当修改以决定哪些用户可以访问他们的文件，亦即一个用户可以有选择地与其?它用户共享他的文件。用户有自主的决定权。?所谓强制访问控制是指用户与文件都有一个固定的安全属性。系统用该安全属性来决定?一个用户是否可以访问某个文件。安全属性是强制性的规定，它是由安全管理员，或者?是操作系统根据限定的规则确定的，用户或用户的程序不能加以修改。如果系统认为具?有某一个安全属性的用户不适于访问某个文件，那么任何人（包括文件的拥有者）都无?法使该用户具有访问该文件的仅力。下面两节将分别介绍自主访问控制与强制访问控制?。?自主访问控制?一个安全的操作系统需要具备访问控制机制。它基于对主体及主体所属的主体组的识别?，来限制对客体的访问，还要校验主体对客体的访问请求是否符合存取控制规定来决定?对客体访问的执行与否。这里所谓的自主访问控制是指主体可以自主地（也可能是单位?方式）将访问权，或访问权的某个子集授予其它主体。?为了实现完备的自主访问控制系统，由访问控制矩阵提供的信息必须以某种形式存放在?系统中。访问矩阵中的每行表示一个主体，每一列则表示一个受保护的客体，而矩阵中?的元素，则表示主体可以对客体的访问模式。目前，在系统中访问控制矩阵本身，都不?是完整地存储起来，因为矩阵中的许多元素常常为空。空元素将会造成存储空间的浪费?，而且查找某个元素会耗费很多时间。实际上常常是基于矩阵的行或列来表达访问控制?信息。下面分别介绍:?1)?基于行的自主访问控制?所谓基于行的自主访问控制是在每个主体上都附加一个该主体可访问的客体的明细表。??权限字?权限字是一个提供给主体对客体具有特定权限的不可伪造标志。主体可以建立新的客体?，并指定这些客体上允许的操作。它作为一张凭证，允许主体对某一客体完成特定类型?的访问。仅在用户通过操作系统发出特定请求时才建立权限字，每个权限字也标识可允?许的访问，例如，用户可以创建文件、数据段、子进程等新客体，并指定它可接受的操?作种类（读、写或执行），也可以定义新的访问类型（如授权、传递等）。?具有转移或传播权限的主体A可以将其权限字的副本传递给Ｂ，Ｂ也可将权限字传递给Ｃ?，但为了防止权限字的进一步扩散，Ｂ在传递权限字副本给Ｃ时可移去其中的转移权限?，于是Ｃ将不能继续传递权限字。权限字也是一种程序运行期间直接跟踪主体对客体的?访问权限的方法。一个进程具有自己运行时的作用域，即访问的客体集，如程序、文件?、数据、Ｉ／Ｏ设备等，当运行进程调用子过程时，它可以将访问的某些客体作为参数?传递给子过程，而子过程的作用域不一定与调用它的进