3第1章3PPT优秀课件

《3第1章3PPT优秀课件》由会员分享，可在线阅读，更多相关《3第1章3PPT优秀课件（40页珍藏版）》请在装配图网上搜索。

1、P1 操作系统操作系统甘页昌甘页昌 P2第一章第一章 概论概论1.4 从不同角度从不同角度刻画操作系统刻画操作系统P3多角度看操作系统（多角度看操作系统（1）概述概述u操作系统涉及的知识很广，其理论也是近代逐步形成的，操作系统涉及的知识很广，其理论也是近代逐步形成的，因此关于如何才能真正认识操作系统，也就成了一大难题因此关于如何才能真正认识操作系统，也就成了一大难题u根据以往的教学经验，以及对学生关于操作系统学习的根据以往的教学经验，以及对学生关于操作系统学习的了解，该课程难教，也难学。了解，该课程难教，也难学。u设计开发一个操作系统涉及到数据结构、计算机算法、设计开发一个操作系统涉及到数据结

2、构、计算机算法、数理逻辑、编译原理、汇编语言、数理逻辑、编译原理、汇编语言、C语言等，还涉及到图语言等，还涉及到图形学、美学、心理学、甚至经济学等等形学、美学、心理学、甚至经济学等等u所以从不同的角度去认识操作系统，会有不同的观点。所以从不同的角度去认识操作系统，会有不同的观点。用户观点用户观点u用户主要关注如何使用计算机，其实不关注内核用户主要关注如何使用计算机，其实不关注内核u只知道操作系统的功能，感觉上只知道操作系统的功能，感觉上OS就是一个黑盒子就是一个黑盒子u装配了装配了OS的计算机与裸机迥然不同：的计算机与裸机迥然不同：n使用户更方便使用计算机使用户更方便使用计算机n相当于构造了一

3、台虚拟机相当于构造了一台虚拟机n提供的操作命令决定了虚拟机的功能提供的操作命令决定了虚拟机的功能P4多角度看操作系统（多角度看操作系统（2）资源管理观点资源管理观点u该观点是从计算机系统角度考虑问题。计算机系统由该观点是从计算机系统角度考虑问题。计算机系统由硬件和软件两大部分组成，即：硬件和软件资源，按硬件和软件两大部分组成，即：硬件和软件资源，按其性质可归为四大类：其性质可归为四大类：n处理机处理机 n存储器存储器n外部设备外部设备n文件文件(程序和数据程序和数据)模块分层观点模块分层观点u如何形成操作系统的构架，用模块分层观点讨论模块如何形成操作系统的构架，用模块分层观点讨论模块之间的关系

4、，讨论如何安排连结这些程序模块才能构之间的关系，讨论如何安排连结这些程序模块才能构造一个结构简单清晰、逻辑正确、便于分析和实现的造一个结构简单清晰、逻辑正确、便于分析和实现的操作系统。操作系统。u资源管理观点回答了整个操作系统是由哪几部分组成资源管理观点回答了整个操作系统是由哪几部分组成的，并且利用进程观点指明了这些资源管理程序在什的，并且利用进程观点指明了这些资源管理程序在什么时候开始起作用，以及它们在执行过程中是如何相么时候开始起作用，以及它们在执行过程中是如何相互联系的。互联系的。应应用用软软件件 操操作作 系系 统统硬件硬件数据库管理系统数据库管理系统网络与通信软件网络与通信软件实用程

5、序与工实用程序与工具软件具软件语言处理程序语言处理程序P5多角度看操作系统（多角度看操作系统（3）进程观点进程观点u通常我们把程序的一次执行过程叫做一个通常我们把程序的一次执行过程叫做一个进程进程n进程被创建、运行直至被撤消完成其使命进程被创建、运行直至被撤消完成其使命u从进程角度来分析操作系统，则所有进程从进程角度来分析操作系统，则所有进程的活动就构成了操作系统的当前行为的活动就构成了操作系统的当前行为u在每一个瞬间都有一棵进程家族树，它展在每一个瞬间都有一棵进程家族树，它展示着操作系统行为主体的一个快照。示着操作系统行为主体的一个快照。P6多角度看操作系统（多角度看操作系统（4）初始化初始

6、化外部复位外部复位用户中断用户中断进进 程程进程进程 A2A2进程进程 A1A1进程进程 B2B2进程进程 B1B1进程进程 X2X2进程进程 X1X1 系统数据基系统数据基 文件管理文件管理数据结构数据结构设备管理设备管理数据结构数据结构内存管理内存管理数据结构数据结构进程控制块进程控制块中断表中断表守护进程守护进程demondemon中断管理中断管理操作系统中的进程操作系统中的进程P7第一章第一章 1.11.4小结小结计算机历史及计算机历史及OS的发展（计算机的四个阶段）的发展（计算机的四个阶段）操作系统类型（批处理、单道程序设计、多道程序操作系统类型（批处理、单道程序设计、多道程序设计、

7、分时、实时、网络系统、分布式系统等）设计、分时、实时、网络系统、分布式系统等）操作系统的基本概念（操作系统的基本概念（4大模块、特性、性能指标）大模块、特性、性能指标）分析操作系统的几种观点（分析操作系统的几种观点（1.4）操作系统的用户界面（硬件接口、系统调用）操作系统的用户界面（硬件接口、系统调用）课外思考题：课外思考题：u普适计算普适计算u针对普适计算，操作系统应如何发展针对普适计算，操作系统应如何发展P8系统软件和操作系统系统软件和操作系统硬件硬件软件软件-硬件接口硬件接口操作系统操作系统操作系统接口操作系统接口其他系统软件其他系统软件应用程序接口应用程序接口应用软件应用软件资资源源抽

8、抽象象资资源源共共享享P9用户、程序员、操作系统设计者用户、程序员、操作系统设计者与操作系统的关系与操作系统的关系计算机硬件计算机硬件编程接口编程接口操作系统操作系统系统调用系统调用系统程序系统程序/使用程序使用程序APIGUI/API 应用程序应用程序用户终端用户终端程序员程序员操作系统操作系统设计者设计者P10多道批处理系统多道批处理系统分时系统分时系统网络系统网络系统实时系统实时系统个人计算机和个人计算机和工作站系统工作站系统现代操作系统现代操作系统存储管理保护调度文件设备存储管理保护调度系统软件人-机界面客户-服务器模式协议调度P11操作系统操作系统4大功能模块大功能模块进程与资进程与

9、资源管理源管理文件管理文件管理存储管理存储管理设备管理设备管理处理机处理机主存主存设备设备计算机硬件计算机硬件抽象计算环境抽象计算环境程序程序进程进程P12第一章第一章 概论概论1.5 安全操作系统安全操作系统P13 内容提纲内容提纲v 安全操作系统的重要性安全操作系统的重要性v 安全评价准则安全评价准则 v 常用操作系统与安全级别的对应举例常用操作系统与安全级别的对应举例v 安全模型安全模型 B-LPB-LPv 小结小结P14安全操作系统的重要性安全操作系统的重要性操作系统是应用软件同系统硬件的接口，其目标是：u高效地、最大限度地、合理地使用计算机资源 若没有安全操作系统的支持，会导致：u数

10、据库不安全：不可能具有存取控制的安全性u网络系统不安全：不可能有网络系统的安全性u应用软件不安全：不会有应用软件信息的安全性安全操作系统是整个计算机系统安全的基础 u网络系统的安全性依赖于网络中各主机的安全性u主机系统的安全性决定于其操作系统的安全性 u网络应用的安全性 依赖于主机系统的安全性安全的操作系统依赖于安全的CPU芯片 1 1、计算接系统的安全性，依赖于安全的、计算接系统的安全性，依赖于安全的CPUCPU芯片和安全的操作系统芯片和安全的操作系统2 2、安全操作系统的研发分为四个阶段：、安全操作系统的研发分为四个阶段：建立模型、系统设计、可信度检测和系建立模型、系统设计、可信度检测和系

11、统实现统实现P15主要的安全评价准则（主要的安全评价准则（1 1）第一个计算机安全评价标准 uTCSEC(Trusted Computer System Evaluation Criteria)，“可信计算机系统安全评价标准”u又称橙皮书，美国国防部于1983年提出并于1985年批准u大家以TCSEC 为蓝本研制安全操作系统 TCSEC为安全系统指定了一个统一的系统安全策略：u自主访问控制策略u强制访问控制策略这些子策略紧密地结合在一起形成一个单一的系统安全策略P16主要的安全评价准则（主要的安全评价准则（2 2）其他安全系统标准u欧洲的ITSECu加拿大的CTSECu美国联邦准则FCu联合公

12、共准则CCuISO安全体系结构标准ISO7498-2-1989不同的安全环境有不同的安全需求u需要制定不同的安全策略u采用不同的安全模型u使用不同的安全功能P17D D：最小保护级最小保护级C1C1：自主安全保护级自主安全保护级C2C2：受控访问保护级受控访问保护级B1B1：标签安全保护级标签安全保护级B2B2：结构化保护级结构化保护级 B3B3：安全区域保护级安全区域保护级 A1A1：经过验证的保护级经过验证的保护级超超A1A1其中：其中：C C：自主访问等级：自主访问等级C1/C2 C1/C2 B B：强制访问控制：强制访问控制B1/B2/B3 B1/B2/B3 保障需求保障需求安全特安全

13、特性需求性需求TCSEC TCSEC 的构成与等级结构的构成与等级结构C C级级B B级级P18可信计算机系统评估标准可信计算机系统评估标准 TCSECTCSEC级别 名 称 主 要 特 征 A1 验证设计级 形式化验证安全模型，形式化隐蔽通道分析 B3 安全区域保护级 安全内核，高抗渗透能力 B2结构化保护级 形式化安全模型，隐密通道约束，面向安全的体系结构，较好的抗渗透能力 B1标签安全保护级 强制访问控制，安全标识，删去安全相关的缺陷C2受控存取保护级 受控自主访问控制，增加审核机制，记录安全性事件(增加了身份证级别的验证)C1自主安全保护级 自主访问控制(主要依据账号授权)D最小保护级

14、最低等级 D D最低等级；最低等级；C C系统特权分化（按角色分化）；系统特权分化（按角色分化）；B B强制访问控制（标签）；强制访问控制（标签）；A A可验证的保护级别可验证的保护级别P19操作系统安全级别举例操作系统安全级别举例DOS DOS D D级级 Linux Linux C1C1级级 Windows NT Windows NT C2C2级级 Solaris Solaris C2C2级级 Unix Unix B1B1级级 P20自主访问控制功能（自主访问控制功能（C1级）级）Linux的自主访问控制u普通Linux只支持简单形式的自主访问控制n由资源的拥有者根据三类群体指定用户对资源

15、的访问权即：拥有者Owner、同组者Group、其他人Other等n超级用户root不受访问权的制约 高度极权化的Linux u普通Linux采用极权化的方式n设立一个root超级用户可对系统及其中的信息执行任何操作u攻击者只要破获root用户的口令，便可进入系统并完全控制系统P21系统特权分化（系统特权分化（C2级）级）根据“最小特权”原则对系统管理员的特权进行分化u根据系统管理任务设立角色u依据角色划分特权 典型的系统管理角色有：u系统管理员n 负责系统的安装、管理和日常维护，如安装软件、增添用户账号、数据备份等u安全管理员n 负责安全属性的设定与管理u审计管理员等n 负责配置系统的审计行

16、为和管理系统的审计信息一个管理角色不拥有另一个管理角色的特权u攻击者破获某个管理角色的口令时不会得到对系统的完全控制P22强制访问控制功能（强制访问控制功能（B级）级）Bell&LaPadula强制访问控制模型u为主体和客体提供标签支持n主体l 用户、进程等l实施操作的一方n客体l 文件、目录、设备、IPC机制等 l受操作的一方根据设定的不同的标签进行控制u主体和客体都有标签设置u系统根据主体与客体的标签匹配关系强制实行访问控制n符合匹配规则的准许访问n否则拒绝访问，无论主体是普通用户还是特权用户。例如：标签为则可以查看“国防部”的信息，其密级不超过“秘密”级n 比如：密级可以分为：“非密”、

17、“秘密”、“机密”、“绝密”等等级别 P23Bell&LaPadulaBell&LaPadula模型（一）模型（一）Bell&LaPadula 模型，简称BLP 模型u由D.E.Bell 和L.J.LaPadula 在1973年提出u是第一个可证明的安全系统的数学模型uBLP 模型是根据军方的安全政策设计的它要解决的本质问题是对具有密级划分的信息的访问进行控制BLP 模型是一个状态机模型u它定义的系统，包含：n一个初始状态Z0 n三元组（请求R，判定D，状态S）组成的序列即：BLP Z0,R,D,S状态S是一个四元组：S （b,M,f,H）其中：b （主体i，客体j，访问方式x），是当前访问集

18、合访问方式x=只可读r，只可写a，可读写w，可执行eM 是访问控制矩阵是访问控制矩阵f 是安全级别函数，用于确定任意主体和客体的安全级别是安全级别函数，用于确定任意主体和客体的安全级别H 是客体间的层次关系是客体间的层次关系P24Bell&LaPadulaBell&LaPadula模型（二）模型（二）抽象出的访问方式x有四种，分别是:u只可读r u只可写a u可读写w u不可读写（可执行）e 主体的安全级别level包括u最大安全级别，通常简称为安全级别 u当前安全级别如果一个系统的初始状态Z0是安全的，并且三元组序列中的所有状态S都是安全的，那么这样的系统就是一个安全系统P25Bell&La

19、PadulaBell&LaPadula模型（三）模型（三）以下特性和定理构成了BLP模型的核心内容。u简单安全特性（ss特性）：如果当前访问是 b(主体，客体，只可读r)，那么一定有：level(主体)level(客体)其中，level 表示安全级别。u星号安全特性（*特性）：在任意状态，如果(主体，客体，方式)是当前访问，那么一定有：(1)若方式是a，则：current_level(主体)level(客体)(2)若方式是w，则：current_level(主体)level(客体)(3)若方式是r，则：current_level(主体)level(客体)其中，current_level 表示当

20、前安全级别。P26Bell&LaPadulaBell&LaPadula模型（四）模型（四）u自主安全特性（ds特性）：如果（主体i，客体j，方式x）是当前访问，那么，方式x 一定在访问控制矩阵M 的元素Mij 中。vds特性处理自主访问控制，自主访问控制的权限由客体的拥有者自主确定vss特性和*特性处理的是强制访问控制。强制访问控制的权限由特定的安全管理员确定，由系统强制实施。u基本安全定理：如果系统状态的每一次变化都能满足ss特性、*特性和ds特性的要求，那么，在系统的整个状态变化过程中，系统的安全性是不会被破坏的。BLP 模型支持的是信息的保密性。P27标签标签标签有等级分类和非等级类别：

21、+等级分类与整数相当，可以比较大小；可设置为：非密、秘密、机密、绝密等，+非等级类别与集合相当，不能比较大小，但存在包含与非包含关系。可设置为：国防部、外交部、财政部等级例如：u当一个用户的标签为时n他可以查看“国防部”的不超过“秘密”级的信息u任何用户（包括特权用户），只要标签不符合要求n都不能对指定信息进行访问l 不管他原来的权利有多大（比如系统管理员）l 这为信息的保护提供了强有力的措施l 普通Linux无法做到这一点 P28小结小结安全操作系统是安全计算机系统的根基评价安全操作系统的标准TCSEC安全模型BLP（适合B标准）参考文献：“安全操作系统研究的发展安全操作系统研究的发展”石文

22、昌，中国科学院软件研究所石文昌，中国科学院软件研究所计算机科学计算机科学Vol.29 No.6Vol.29 No.6和和Vol.29 No.7Vol.29 No.7P29特洛伊木马（特洛伊木马（1）“特洛伊木马特洛伊木马”（trojan horsetrojan horse）简称）简称“木马木马”u这个名称来源于希腊神话这个名称来源于希腊神话木马屠城记木马屠城记u古希腊有大军围攻特洛伊城，久久无法攻下。于是古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将让士兵藏匿于

23、巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，木马摈弃于特洛伊城下。城中得知解围的消息后，遂将遂将“木马木马”作为奇异的战利品拖入城内，全城饮作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为世称这只大木马为“特洛伊木马特洛伊木马”如今黑客程序借用其名，有如今黑客程序借用其名，有“一经潜入，后患一经潜入

24、，后患无穷无穷”之意之意P30特洛伊木马（特洛伊木马（2）完整的木马程序一般由两个部分组成：u一个是服务器程序一个是服务器程序u一个是控制器程序。一个是控制器程序。“中了木马”就是指安装了木马的服务器程序u若电脑被安装了服务器程序，则拥有控制器程序的若电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制该电脑（肉机）人就可以通过网络控制该电脑（肉机）自主访问控制的缺陷，避免不了“木马”侵入BLP 模型可以防范“木马”，支持信息的保密性（B1）P31特洛伊木马（特洛伊木马（3）特洛伊木马：uSOS 安全操作系统（SOS）将重要信息放在important文件中，该文件允许SOS有R/W权

25、限uSPY 窃贼程序（SPY）设计了一个Use_it程序含木马程序，并准备了一个Pocket文件，并使得SOS仅可以对它进行写入:W，而SPY可以对Pocket进行读和写:R/W。u当SOS执行到木马程序时，木马会将important文件的信息，写入Pocket中P32特洛伊木马示例特洛伊木马示例Important文件，它含有SOS的秘密数据 pocket文件,它在悄悄地接收木马程序写入的数据Use_itP33主体与客体赋予安全级主体与客体赋予安全级主体和客体赋予安全级别uSOS:high 安全级，important:high 安全级uSPY:low安全级，pocket：low 安全级当SOS

26、执行木马程序时，木马程序也同样获得SOS的安全级别，即:high，所以木马程序可以读出important文件，但当木马程序向pocket文件写入时，“引用监控器会拒绝”，因为pocket文件的安全级低于木马程序的安全级，所以禁止写操作u根据BLP模型，高安全级主体只允许对低安全级的客体进行读操作，而不许写！P34对特洛伊木马的防范对特洛伊木马的防范Important文件，含有SOS的秘密数据。pocket文件，作为秘密的接收者。引用监控器Use_it采用BLP模型的引用监控器防范特洛伊木马P35引用监控器示意图（引用监控器示意图（B3B3安全级）安全级）引用监控器引用监控器授权数据库授权数据库

27、引用监控器引用监控器审计审计目标目标客体客体目标目标客体客体目标目标客体客体目标目标客体客体目标目标客体客体管理员管理员（主体）（主体）用户用户（主体）（主体）认证认证访问控制访问控制P36标准化机构标准化机构在信息安全方面的在信息安全方面的工作工作-1-11985年，DoD520028STD，即可信计算机系统评测标准（TCSEC，美国国防部桔皮书，以下简称DOD85评测标准）1987年，美国国家计算机安全中心（NCSC）为TCSEC桔皮书提出可依赖网络解释（TNI），通常被称作红皮书 1991年，美国国家计算机安全中心（NCSC）为TCSEC桔皮书提出可依赖数据库管理系统解释（TDI）199

28、6年在上述标准的基础上，美国、加拿大和欧洲联合研制CC（信息技术安全评测公共标准，The Common Criteria for Information Technology Security Evaluation，CC for ITSEC），颁布了CC 1.0版u此后美国不再受理以TCSEC为制度的评价申请，所有的安全评价都按照CC进行 uCC将安全功能和安全保证分离 P37标准化机构标准化机构在信息安全方面的在信息安全方面的工作工作-2-2在欧洲，由英国、荷兰和法国带头，开始联合研制欧洲共同的安全评测标准1991年颁布欧洲的ITSEC（信息技术安全标准）。1993年，加拿大颁布CTCPEC

29、（加拿大可信计算机产品评测标准）。1997年5月，由Visa、MasterCard等联合推出的安全电子交易（SET）规范为在Internet上进行安全的电子商务提供了一个开放的标准。SET主要使用电子认证技术，其认证过程使用RSA和DES算法，因此，可以为电子商务提供很强的安全保护。可以说，SET规范是目前电子商务中最重要的协议，它的推出必将大大促进电子商务的繁荣和发展。P38国内外发展情况对比国内外发展情况对比 西方中国起步时间1967年1993年标准化体系1983年的桔皮书1999年开始照抄标准产品应用情况广泛使用A级产品需求狭窄，发展艰难军方参与情况空军先导，最大的用户海军、陆军走在前面Linux情况同步发展P39个人观点供参考，欢迎讨论