chap7：通用操作系统的保护-B.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 本章重点讨论了四个问题：内存保护、文件保护、一般对象访问控制以及用户认证。 存储器保护在多用户配置下随着硬件和系统的发展而发展。 “电子篱笆”基址存储器，标准结构，页面保护等都是为寻址和保护而设计的方法。 用户认证是一个很重要的问题，尤其是在多用户操作系统和网络操作系统中。有时，需要附加协议来进行相互认证。 7.6 总结 谢 谢！ * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 7.3.2 访问控制表 （Access Control List） 访问控制表实际上也是一份清单，每个对象都拥有一张访问控制表，表中指出了所有可能访问该对象的用户及对应的访问权。这种方法与索引列表是不同的，访问控制表为每个对象建立一个列表，而索引表是为每个主体建立一个列表。它指出了各用户对所有对象访问的用户。尽管这些差异并不是很明显，但是其中有一些很重要的改进。 例如，A和S都有访问对象F的权限。操作系统会为F建立一张访问控制表，指出A和S的访问控制权，如图7-12所示。 7.3 一般对象的访问控制 这样，只有特殊的用户有特殊的用户有特殊的权限，而一般用户有一系列缺省权限。采用这样的结构，可以使公共程序和公共文件能够对系统中所有用户共享，而无需在每个索引中设置访问该对象的条目。 7.3.3 访问控制矩阵 （Access Control Matrix） 可以认为索引是可以被主体访问的所有对象的列表，而访问控制列表是一个记录可以访问某个对象的所有主体的列表。在这两种表示方法中的数据意义是相同的，区别在于使用的方式。我们可以使用访问控制矩阵作为替代品，如下： BILIOG F HELP.TXT C_COMP LINKER SYS_CLOCK PRINTER USER_A ORW ORW R X X R W USER_B R - R X X R W USER_S RW R R X X R W USER_T - - R X X R W SYS_MGR - - RW OX OX ORW O USER_SVCS - - O X X R W 7.3 一般对象的访问控制 一般来说访问控制矩阵是稀疏矩阵，大多数的主体对大多数的对象并没有访问权限。因此访问矩阵可以表示成subject，object，rights形式的三元组。但是搜索这么大数量的三元组的效率太低了，所以在实际中几乎不采用这种形式。 7.3.4 权力 （Capability） 权力是一个权证（ticket），它赋予主体对于某个对象的某种类型的访问权限。如果要权力提供可靠的保护，那么权证必须是不可伪造的。一个解决办法是把权证直接交给用户，而不是操作系统以用户的名义持有这些权证。操作系统返回一个指向操作系统数据结构的指针，也链接到用户。权力只能通过特殊的用户对系统的请求来创建。每个权力也标识允许的访问权限。 7.3 一般对象的访问控制 换句话说，权力可以用一个密钥加密，这个密钥只能被访问控制器访问。如果加密的权力里包含它访问权限的所有者的标识，那么用户A就不可能将权利的副本交给用户B。 权力必须存放在普通用户不可访问的内存区域内。一个实现保护的方法是把权力存放在非用户段内，或者把他们封装在一对基址边界寄存器所保护的内存中。另一种方式是使用标记体系结构来标识权力为需要保护的结构。 7.3.5 面向过程的访问控制 （Procedure-Oriented Access Control） 访问控制的一个目标是严格限制，不仅限制什么主体拥有对一个对象的访问权限，还要限制主体可以对那个对象执行什么操作。大多数操作系统可以很容易控制读写访问的，但是更复杂的控制不容易实现。 从面向过程的保护，可以知道存在一个过程来控制对对象的访问（例如，通过执行它自己的用户鉴别来加强由基础操作系统提供的基础保护）。本质上，过程在对象周围形成一个保护层，只允许执行特定的访问。 7.3 一般对象的访问控制 过程可以确保对对象的访问是通过一个可信的接口来产生的。例如，用户和一般的系统程序都不能直接的访问有效用户表，只允许通过三种过程访问：一个是添加用户，一个是删除用户，一个是检查一个给定的用户名是否与有效的用户一致。这些过程，特别是添加和删除，可以用他们本身的检查来确定对它们调用的合法性。 7.4.1 基本保护形式（Basic Forms of Protection）