- 1、本文档共100页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
通用操作系统保护
第4章 通用操作系统保护 本章要点 通用操作系统的保护特性:存储保护、文件保护和执行环境保护 对象访问控制 用户鉴别 操作系统有两个目标:控制共享访问、实现允许这种访问的接口。在这种目标下,操作系统功能可以分为以下几类: (1) 访问控制 (2) 认证与信任管理 (3) 管理信息流 (4) 审计和完整性保护 所有这些活动都与安全有关。 对于一个支持多道程序的操作系统,操作系统设计者提供了包括存储保护、文件保护、对象的一般访问控制和鉴别等方法,来保护计算免受其他用户无意或恶意的干扰。 本章仅以两类操作系统为例:Microsoft Windows NT, 2000,XP, 2003 Server,和 Vista;Unix,Linux,和它们的变化版本。 4.1 保护对象和保护方法 4.1.1 历史回顾 第一代操作系统是一种简单的设备——执行器(executive),其设计目的是协助各位程序员完成各自的工作,以及平稳地实现用户之间的切换。执行器要求每个时刻只有一个程序员执行程序。 多道程序操作系统也称为监控器(monitor),用以监督每个程序的执行。监控器充当了主动的角色,只要用户的请求与系统要求一致,监控器就主动控制计算机系统把资源分配给用户。 4.1.2 保护对象 事实上,多道程序的出现意味着需要保护计算机系统的几个方面: (1) 内存 (2) 可共享的I/O设备,比如磁盘 (3) 可连续复用的I/O设备,例如打印机和磁带驱动器 (4) 网络 (5) 可共享的程序或子程序 (6) 可共享的数据 4.1.3 操作系统的安全方法 最基本的保护是分离控制(separation):保持一个用户的对象独立于其他用户。在操作系统中分离控制主要有以下4种方式: (1) 物理分离:指不同的进程使用不同的物理对象。 (2) 时间分离:指有着不同安全要求的进程,在不同时间执行。 (3) 逻辑分离:使程序不能访问许可域之外的对象,这样用户感觉好象在没有其他进程的情况下执行自己的进程。 (4) 密码分离:进程对其数据和计算加密,使其他进程无法理解。 4.1.3 操作系统的安全方法(续) 操作系统也提供了一些共享的保护路线: (1) 不保护:当敏感进程在不同时间运行时是恰当的。 (2) 隔离:当操作系统提供隔离时,各个进程并发运行,相互之间感觉不到其他进程的存在。 (3) 共享一切或不共享:对象所有者宣布对象是公有或私有。 (4) 访问限制共享:通过访问限制保护,操作系统检查用户对象的访问是否是允许的。操作系统充当了用户和被访问对象之间的守卫,确保只能进行已授权的访问。 (5) 访问权能共享:这种保护形式扩展了访问限制共享的概念,它允许动态产生对对象的共享权限。 (6) 对象的限制使用:这种保护形式不仅限制了对对象的访问,并同时限制了获得访问后的使用情况。 4.1.3 操作系统的安全方法(续) 可以在各种级别实现访问控制:比特、字节、记录、文件或卷。我们关心控制粒度(granularity)。被控制对象的粒度越大,这种控制越容易实现。然而,这样一来操作系统给用户的访问权限就将多于用户本身的需求。 4.2 内存及地址保护 4.2.1 界地址 界地址(fence)是一个预定义的内存地址,设置了用户的内存区界限。 4.2.1 界地址(续) 另一种方法是使用硬件寄存器,称为界地址寄存器(fence register),用于存放操作系统的尾址。 4.2.2 重定位 重定位(relocation)是假定程序地址开始于地址0,然后改变所有地址以反映程序在内存中的实际地址。重定位因子(relocation factor)是分配给程序的内存首地址。界地址寄存器可以是硬件重定位设备。界地址寄存器的内容加上程序的相对地址,不但可以重定位,而且可以控制用户访问操作系统空间。 4.2.3 基址/范围寄存器 可变界地址寄存器通常称为基地址寄存器(base register)。范围寄存器(bounds register)用于存放上界地址限制。 4.2.3 基址/范围寄存器(续) 用户可能不慎将数据存储在指令存储区中。可以使用两对寄存器来解决这一问题,一对用于界定程序指令,另一对用于界定存储数据空间。这似乎鼓励使用更多对寄存器对,但两对已经是计算机设计的界限。超过这一数量每条代码需要明确向操作系统指明寄存器对。 4.2.4 标记结构 使用基址/范围寄存器保护只能提供全部数据的保护,而有时用户只希望保护部分数据。此外,有时
文档评论(0)