现代操作系统第15章.ppt

第9章

系统安全性8.5文件保护影响文件安全性的主要因素有：⑴人为因素；⑵系统因素；⑶自然因素。为确保文件系统的安全性，可采取的措施有：⑴通过存取控制机制来防止由人为因素所造成的文件的不安全性。⑵通过系统容错技术，来防止系统的部分故障所造成的文件不安全性。⑶通过后备系统来防止由自然因素所造成的不安全性。本节主要讨论存取控制机制。8.5.1保护域(ProtectionDomain)(1)保护域指出了进程所能访问的对象，每个对象都有唯一的名字，既可以是硬件对象，也可以是软件对象。进程仅在保护域内执行操作，一方面根据对象的不同，对对象所允许施加的操作有所不同。另一方面不允许进程访问所有对象，只允许进程去访问那些它必须去访问的对象，这就是所谓的须知(ReadtoKnow)原则。把一个进程能对某对象执行操作的权利称为访问权。每种访问权可用一有序对（对象名，权集）来表示。域是一组对象访问权的集合。8.5.1保护域(ProtectionDomain)(2)进程与域之间的两种联系：1、静态联系：指进程的可用资源集在进程的整个生命周期中是固定的。但由于进程在运行中，往往是在不同阶段对资源以不同的方式来使用，因此必须有一种机制来改变域中的内容，使之符合ReadtoKnow原则。在静态联系方式，应允许修改域的内容。2、动态联系：指进程的可用资源集在其整个生命周期中是变化的。即进程运行在不同的阶段时，需要从一个保护域切换到另一个保护域。因此，需要一种机制来实现这种切换，同时也应允许改变域中的内容。若不能改变域中的内容，则可先创建一个所需要新域，在进程运行到下一阶段时，再将进程从原来的保护域切换到新的保护域。8.5.2访问矩阵(AccessMatrix)访问矩阵用来描述系统的存取控制，其行代表域，列代表对象。矩阵中的每一项由一组访问权组成。每一项访问权access(i,j)定义了在域Di中执行的进程能对对象Qj施加的操作集。访问矩阵中的访问权通常是由资源的拥有者或管理者来决定。当用户创建一新文件时，创建者便是拥有者，系统在访问矩阵中为新文件增加一列，由用户决定在该列中各项应具有的访问权。当用户删除此文件时，也要相应地将该文件在访问矩阵中的列取消。为实现进程和域之间的动态联系，应将切换作为一种权利，仅当进程拥有切换权时，才能进行切换。为此，应将域也作为对象，当且仅当switch∈access(i,j)时，才允许进程从域Di切换到Dj。8.5.3访问矩阵的修改（1）系统建立了访问矩阵后，随着系统的发展，用户的增加和改变，必然要经常对访问矩阵进行修改，因此，应当允许可控性地修改访问矩阵中的内容。可通过在访问权中增加拷贝权、拥有权和控制权的方法来实现。8.5.3访问矩阵的修改（2）一、拷贝权:利用拷贝权可将某个域所拥有的访问权(access(i,j))，扩展到同一列中的其他域。8.5.3访问矩阵的修改（3）二、所有权：不仅要求将已有的访问权进行有控制的扩散，而且需要能增加或删除某种访问权。这可利用所有权来实现这些操作。若在access(i,j)中包含有所有权，则在域Di上执行的进程，可以增加或删除在j列的任何项中的任何访问权。换言之，该进程可以增加或删除在任何其他域中运行的进程对对象j的访问权。8.5.3访问矩阵的修改（4）三、控制权：拷贝权和所有权都是用于改变矩阵内在同一列的各项访问权，或者说是用于改变运行在不同域中的进程对同一对象的访问权。控制权则用于改变矩阵内一行中各项的访问权，亦即用于改变某个域中运行进程对不同对象的访问权。若access(i,j)中包含了控制权，则在域Di中运行的进程，可以删除在域Dj中运行的进程对各对象的任何访问权。8.5.4访问矩阵的实现（1）访问矩阵是一个稀疏矩阵，目前实现的方法是将访问矩阵按列划分，或者按行划分，分别形成访问控制表或访问权限表。一、访问控制表(ACL)：指对访问矩阵按列（对象）进行划分，为每列建立一张ACL，此时的ACL是由一有序对（域，权集）组成。在不少系统中，当对象是文件时，便把ACL存放在该文件的文件控制表或索引结点中，作为该文件的存取控制信息。域是一个抽象的概念，能以各种方式实现：一、访问控制表(ACL)(2)⑴每个用户可以是一个域。对象则是文件。此时，用户能够访问的文件集和访问权限取决于用户的身份。当用户发生改变时，进行域的切换。⑵每个进程是一个域。此时，能够访问的对象集中的各访问权，取决于进程的身份。