可信操作系統(tǒng)設(shè)計(jì)

1、2021-6-25西安電子科技大學(xué)計(jì)算機(jī)學(xué)院1 2021-6-252 設(shè)計(jì)可信操作系統(tǒng)設(shè)計(jì)可信操作系統(tǒng) 一、可信操作系統(tǒng)與安全操作系統(tǒng)一、可信操作系統(tǒng)與安全操作系統(tǒng) 二、安全策略二、安全策略 三、安全模型三、安全模型 四、設(shè)計(jì)可信操作系統(tǒng)四、設(shè)計(jì)可信操作系統(tǒng) 五、可信操作系統(tǒng)的保證五、可信操作系統(tǒng)的保證 2021-6-253 可信操作系統(tǒng)與安全操作系統(tǒng)可信操作系統(tǒng)與安全操作系統(tǒng) n操作系統(tǒng)：在計(jì)算機(jī)系統(tǒng)中，操作系統(tǒng)是設(shè)操作系統(tǒng)：在計(jì)算機(jī)系統(tǒng)中，操作系統(tǒng)是設(shè) 計(jì)在硬件上的第一層軟件，是對(duì)計(jì)算機(jī)系統(tǒng)計(jì)在硬件上的第一層軟件，是對(duì)計(jì)算機(jī)系統(tǒng) 的第一次擴(kuò)充，是其他程序運(yùn)行的基礎(chǔ)。他的第一次擴(kuò)充，是其他程

2、序運(yùn)行的基礎(chǔ)。他 主要提供以下功能：主要提供以下功能： 處理器管理處理器管理 存儲(chǔ)器管理存儲(chǔ)器管理 文件管理文件管理 設(shè)備管理設(shè)備管理 用戶與計(jì)算機(jī)的接口用戶與計(jì)算機(jī)的接口 2021-6-254 可信操作系統(tǒng)與安全操作系統(tǒng)可信操作系統(tǒng)與安全操作系統(tǒng) 操作系統(tǒng)同時(shí)也是安全的主要提供者。操作系統(tǒng)同時(shí)也是安全的主要提供者。 由由于其強(qiáng)大功能，所以也成為被攻擊的對(duì)于其強(qiáng)大功能，所以也成為被攻擊的對(duì) 象，一旦突破操作系統(tǒng)的防線，就可以肆象，一旦突破操作系統(tǒng)的防線，就可以肆 意修改計(jì)算機(jī)的任何內(nèi)容了。意修改計(jì)算機(jī)的任何內(nèi)容了。 今天，計(jì)算機(jī)操作系統(tǒng)的安全顯得日今天，計(jì)算機(jī)操作系統(tǒng)的安全顯得日 益重要，如何

3、設(shè)計(jì)安全可信的操作系統(tǒng)，益重要，如何設(shè)計(jì)安全可信的操作系統(tǒng)， 就是我們下面要討論的問題。就是我們下面要討論的問題。 2021-6-255 可信操作系統(tǒng)與安全操作系統(tǒng)可信操作系統(tǒng)與安全操作系統(tǒng) nSecure 1、either - or 2、property of presenter 3、asserted 4、absolute 5、a goal nTrusted 1、graded 2、property of receiver 3、judged 4、relative (judged in context of use) 5、a characteristic 可信操作系統(tǒng)不一定是安全的，但是它要求的

4、是滿足用可信操作系統(tǒng)不一定是安全的，但是它要求的是滿足用 戶的安全需求，同時(shí)也滿足用戶的性能需求，不是一味追求戶的安全需求，同時(shí)也滿足用戶的性能需求，不是一味追求 安全而損害了操作系統(tǒng)的性能，從而在安全與性能中間達(dá)到安全而損害了操作系統(tǒng)的性能，從而在安全與性能中間達(dá)到 一種平衡。一種平衡。 2021-6-256 從用戶的角度來考慮，如果一個(gè)操作系統(tǒng)從用戶的角度來考慮，如果一個(gè)操作系統(tǒng) 能夠連續(xù)高效地保證提供能夠連續(xù)高效地保證提供內(nèi)存保護(hù)、文件保內(nèi)存保護(hù)、文件保 護(hù)、對(duì)系統(tǒng)中所有對(duì)象地訪問控制和用戶鑒定護(hù)、對(duì)系統(tǒng)中所有對(duì)象地訪問控制和用戶鑒定 與識(shí)別等服務(wù)與識(shí)別等服務(wù)，那我們就說此系統(tǒng)是可信地。

5、，那我們就說此系統(tǒng)是可信地。 但是對(duì)于一個(gè)開發(fā)者來說，要從操作系統(tǒng)地但是對(duì)于一個(gè)開發(fā)者來說，要從操作系統(tǒng)地設(shè)設(shè) 計(jì)計(jì)和操作系統(tǒng)所能提供安全服務(wù)的和操作系統(tǒng)所能提供安全服務(wù)的組件功能組件功能來來 看一個(gè)操作系統(tǒng)的可信度。設(shè)計(jì)一個(gè)可信的操看一個(gè)操作系統(tǒng)的可信度。設(shè)計(jì)一個(gè)可信的操 作系統(tǒng)，必須考慮以下四個(gè)環(huán)節(jié)：作系統(tǒng)，必須考慮以下四個(gè)環(huán)節(jié)：安全策略、安全策略、 安全模型、設(shè)計(jì)和可信度安全模型、設(shè)計(jì)和可信度。 用戶和設(shè)計(jì)者看操作系統(tǒng)用戶和設(shè)計(jì)者看操作系統(tǒng) 2021-6-257 Security Policies . 一、定義一、定義: The set of laws, rules, and pract

6、ices that regulate how an organization manages, protects, and distributes sensitive information. 二、一些比較常見的策略二、一些比較常見的策略 2021-6-258 一些比較常見的策略一些比較常見的策略 nMilitary/Government Policy nClark-Wilson: policy of constrained change. nSeparation of Duty: required division of responsiblity nChinese Wall: confli

7、ct of interest policy nOriginator Controlled nRole based access control n 2021-6-259 Military Security Policy Military security policy ：它主要用于保護(hù)機(jī)密信息。：它主要用于保護(hù)機(jī)密信息。 將每段信息都標(biāo)有將每段信息都標(biāo)有敏感級(jí)別敏感級(jí)別，用戶對(duì)信息訪問基于，用戶對(duì)信息訪問基于 need-to-know規(guī)則規(guī)則。 我們注意以下幾點(diǎn)：我們注意以下幾點(diǎn)： 1、信息的敏感級(jí)別、信息的敏感級(jí)別 2、needtoknow規(guī)則：規(guī)則： 允許使用者最小限度地訪問敏感信息。允許

8、使用者最小限度地訪問敏感信息。 3、敏感性是分層的、敏感性是分層的 4、need-to-know 不分層不分層 5、Dominance relationship 2021-6-2510 Military Security Policy 絕密 機(jī)密 秘密 受限 公開 最不敏感 最敏感 圖5-1 機(jī)密層次圖 2021-6-2511 Military Security Policy 2021-6-2512 Military Security Policy 上面引入了上面引入了compartments這個(gè)述語，這個(gè)述語， 它是指相關(guān)于一個(gè)或多個(gè)項(xiàng)目的一些相它是指相關(guān)于一個(gè)或多個(gè)項(xiàng)目的一些相 關(guān)信息集合

9、，往往用某個(gè)名詞來表示一關(guān)信息集合，往往用某個(gè)名詞來表示一 個(gè)個(gè)compartment。 它的引進(jìn)是為了說明它的引進(jìn)是為了說明need-to-know規(guī)規(guī) 則的。一個(gè)則的。一個(gè)compartment可以處于一個(gè)敏可以處于一個(gè)敏 感級(jí)別，也可以感級(jí)別，也可以跨越多個(gè)敏感級(jí)別跨越多個(gè)敏感級(jí)別。 2021-6-2513 Military Security Policy Compartment= CRYPTO Compartment= SNOWSHOE Compartment= SWEDEN 瑞典噴氣式推 進(jìn)雪鞋計(jì)劃 瑞典的間諜名字 密碼學(xué)方面的出版物 制造雪鞋的廠家 compartments的表示：

10、CRYPTO、SNOWSHOE,SWEDEN 2021-6-2514 Military Security Policy 再引入再引入class或或classification這個(gè)概念，這個(gè)概念， 它是指敏感級(jí)別和它是指敏感級(jí)別和compartments構(gòu)成的構(gòu)成的 一個(gè)二元組一個(gè)二元組: 。 例如例如: , 現(xiàn)在來看最后一個(gè)概念：現(xiàn)在來看最后一個(gè)概念：dominance 用符號(hào)用符號(hào) 表示。表示。 s s表示主體，表示主體，o o表示客體?？聪旅娴年P(guān)表示客體。看下面的關(guān) 系：系： 2021-6-2515 Military Security Policy so if and only ifso

11、if and only if ranksranko and ranksranko and Compartments compartmentso Compartments compartmentso 這時(shí)，我們說這時(shí)，我們說o o支配支配s s（或是（或是s s受受o o支配）。支配）。 看下看下 面的例子：面的例子： SNOWSHOE,SWEDEN 這時(shí)我們可以說后面的這時(shí)我們可以說后面的classclass主導(dǎo)前面的主導(dǎo)前面的classclass 2021-6-2516 Military Security Policy 一個(gè)主體能夠訪問一個(gè)客體必須滿足一個(gè)主體能夠訪問一個(gè)客體必須滿足 下面的

12、條件：下面的條件： 主體的授權(quán)訪問機(jī)密文件級(jí)別不低于被訪問客體，且主體的授權(quán)訪問機(jī)密文件級(jí)別不低于被訪問客體，且 主體要知道他所需要的信息對(duì)應(yīng)的所有分類隔離塊主體要知道他所需要的信息對(duì)應(yīng)的所有分類隔離塊 2021-6-2517 Military Security Policy 小結(jié)：小結(jié)： Military Security Policy主要是基于敏主要是基于敏 感信息分級(jí)和感信息分級(jí)和need-to-know原則。原則。 在這樣的綜合模型中，授權(quán)中心嚴(yán)格在這樣的綜合模型中，授權(quán)中心嚴(yán)格 地控制著訪問權(quán)，所以它可以在不同的地控制著訪問權(quán)，所以它可以在不同的 系統(tǒng)設(shè)置中正常運(yùn)作。授權(quán)訪問和分類系

13、統(tǒng)設(shè)置中正常運(yùn)作。授權(quán)訪問和分類 也是不允許個(gè)人修改的，它們都是也是不允許個(gè)人修改的，它們都是由安由安 全中心統(tǒng)一管理全中心統(tǒng)一管理的。的。 2021-6-2518 Chinese Wall Security Policy Chinese Wall Security Policy它是一個(gè)商業(yè)安全它是一個(gè)商業(yè)安全 策略，它主要用在訪問有利益沖突的競(jìng)爭(zhēng)公策略，它主要用在訪問有利益沖突的競(jìng)爭(zhēng)公 司間信息的情況，防止泄漏商業(yè)機(jī)密。司間信息的情況，防止泄漏商業(yè)機(jī)密。 一些概念：一些概念： 對(duì)象對(duì)象 一些基本元素，比如文件，只涉及一個(gè)公司的信息。一些基本元素，比如文件，只涉及一個(gè)公司的信息。 公司組公司組

14、 描述一個(gè)特定公司的所有對(duì)象的集合。描述一個(gè)特定公司的所有對(duì)象的集合。 沖突類沖突類 所有競(jìng)爭(zhēng)公司的對(duì)象構(gòu)成的集合。所有競(jìng)爭(zhēng)公司的對(duì)象構(gòu)成的集合。 2021-6-2519 Chinese Wall Security Policy 它們之間得關(guān)系看下面的圖：它們之間得關(guān)系看下面的圖： 德芙 金帝 南方航 空 交行 工行 建行 圖5.5 Chinese Wall 安全策略 公司組沖突類 2021-6-2520 Chinese Wall Security Policy Chinese Wall Security Policy 的訪問控制原的訪問控制原 理：某個(gè)主體只允許訪問每個(gè)沖突類中理：某個(gè)主體只

15、允許訪問每個(gè)沖突類中 的一個(gè)公司組，在一個(gè)沖突類中，這個(gè)的一個(gè)公司組，在一個(gè)沖突類中，這個(gè) 主體一旦訪問了一個(gè)公司信息，那么他主體一旦訪問了一個(gè)公司信息，那么他 就不能再訪問同一沖突類的其他公司的就不能再訪問同一沖突類的其他公司的 信息了。信息了。 2021-6-2521 Models Of Security Model: A formal (or semi-formal) representation of the policy that the OS will enforce. 模型是對(duì)策略的一種更精確的描述。模型是對(duì)策略的一種更精確的描述。 安全模型常用于：安全模型常用于： 測(cè)試一個(gè)策略

16、的完全性和一致性測(cè)試一個(gè)策略的完全性和一致性 證明一個(gè)策略證明一個(gè)策略 協(xié)助將一個(gè)功能概念化并進(jìn)行設(shè)計(jì)協(xié)助將一個(gè)功能概念化并進(jìn)行設(shè)計(jì) 檢驗(yàn)一個(gè)功能的實(shí)現(xiàn)是否滿足需求檢驗(yàn)一個(gè)功能的實(shí)現(xiàn)是否滿足需求 2021-6-2522 Bell-La Padula Confifentiality Model Bell-La Padula Confifentiality Model模型模型: : 對(duì)安全系統(tǒng)中對(duì)安全系統(tǒng)中信息流合法路徑信息流合法路徑的形式化描述。在處的形式化描述。在處 理多密級(jí)數(shù)據(jù)的系統(tǒng)設(shè)計(jì)中發(fā)揮了重要作用。是一個(gè)理多密級(jí)數(shù)據(jù)的系統(tǒng)設(shè)計(jì)中發(fā)揮了重要作用。是一個(gè) 形式化的軍事安全策略，是美國(guó)國(guó)防部

17、安全評(píng)估的主形式化的軍事安全策略，是美國(guó)國(guó)防部安全評(píng)估的主 要標(biāo)準(zhǔn)。要標(biāo)準(zhǔn)。 這個(gè)模型的目標(biāo)：這個(gè)模型的目標(biāo)： 在一個(gè)保密性十分重要的系統(tǒng)中能夠識(shí)別出合法通在一個(gè)保密性十分重要的系統(tǒng)中能夠識(shí)別出合法通 信。它被用來定義當(dāng)一個(gè)系統(tǒng)需要處理不同密級(jí)數(shù)據(jù)信。它被用來定義當(dāng)一個(gè)系統(tǒng)需要處理不同密級(jí)數(shù)據(jù) 時(shí)的安全需求。時(shí)的安全需求。 2021-6-2523 Bell-La Padula Confifentiality Model 原理：原理： 系統(tǒng)中有一個(gè)主體集合系統(tǒng)中有一個(gè)主體集合S S和一個(gè)客體集合和一個(gè)客體集合O,O,。在。在S S中的每中的每 個(gè)個(gè) 主體主體s s和和O O中的每個(gè)客體中的每個(gè)客

18、體o o都有各自的安全級(jí)別都有各自的安全級(jí)別C(s)C(s)和和C(o)C(o)。安全。安全 級(jí)別之間存在級(jí)別之間存在關(guān)系。關(guān)系。 有如下兩個(gè)原則：有如下兩個(gè)原則： 簡(jiǎn)單安全原則：簡(jiǎn)單安全原則： 一個(gè)主體一個(gè)主體s s可以讀訪問客體可以讀訪問客體o o，當(dāng)且僅當(dāng)，當(dāng)且僅當(dāng) C(o)C(o) C(s)C(s)，即主體只能讀取密級(jí)等于或低于它的客體。，即主體只能讀取密級(jí)等于或低于它的客體。 * *特性：一個(gè)可以讀訪問客體特性：一個(gè)可以讀訪問客體o o的主體的主體s s有權(quán)對(duì)客體有權(quán)對(duì)客體p p進(jìn)行進(jìn)行 寫操作，當(dāng)且僅當(dāng)寫操作，當(dāng)且僅當(dāng)C(o)C(o) C(p)C(p)，即主體只能寫密級(jí)等于或高，即

19、主體只能寫密級(jí)等于或高 于它的客體。于它的客體。 2021-6-2524 Bell-La Padula Confifentiality Model 敏感客體 可信主體 O1 S1 O1 O1 O1 O1 S1 S1 O1 read write read write write write read read write 圖5.7 安全信息流 （只有不讀訪 問高層敏感數(shù) 據(jù)的情況） 2021-6-2525 Bell-La Padula Confifentiality Model Bell-La Padula Confifentiality Model只考慮只考慮 了信息的安全性，沒有考慮數(shù)據(jù)的完

20、整性，了信息的安全性，沒有考慮數(shù)據(jù)的完整性， Biba model 對(duì)應(yīng)于對(duì)應(yīng)于Bell-La Padula Model， 但但 是只考慮數(shù)據(jù)的完整性，不考慮安全性。是只考慮數(shù)據(jù)的完整性，不考慮安全性。 Biba model（略）（略） 2021-6-2526 Tursted Operating System Design 設(shè)計(jì)一個(gè)不需要考慮安全問題的操作系統(tǒng)并不是件設(shè)計(jì)一個(gè)不需要考慮安全問題的操作系統(tǒng)并不是件 容易的事情。需要處理職權(quán)分配，考慮發(fā)生中斷時(shí)對(duì)操容易的事情。需要處理職權(quán)分配，考慮發(fā)生中斷時(shí)對(duì)操 作的切換，保證用戶運(yùn)行速度和精確性等等一系列問題。作的切換，保證用戶運(yùn)行速度和精確性等

21、等一系列問題。 若再加上安全性問題就更難上加難了。這部分我們著重若再加上安全性問題就更難上加難了。這部分我們著重 討論設(shè)計(jì)操作系統(tǒng)時(shí)在安全方面所要考慮的問題。討論設(shè)計(jì)操作系統(tǒng)時(shí)在安全方面所要考慮的問題。 好的軟件工程原理告訴我們，在設(shè)計(jì)系統(tǒng)時(shí)，安全好的軟件工程原理告訴我們，在設(shè)計(jì)系統(tǒng)時(shí)，安全 的考慮易早不易遲。這部分我們主要考慮設(shè)計(jì)高安全等的考慮易早不易遲。這部分我們主要考慮設(shè)計(jì)高安全等 級(jí)的操作系統(tǒng)，著重討論操作系統(tǒng)內(nèi)核的設(shè)計(jì)，安全是級(jí)的操作系統(tǒng)，著重討論操作系統(tǒng)內(nèi)核的設(shè)計(jì)，安全是 否可以有效提供，取決于操作系統(tǒng)內(nèi)核是如何設(shè)計(jì)的。否可以有效提供，取決于操作系統(tǒng)內(nèi)核是如何設(shè)計(jì)的。 然后討論一點(diǎn)

22、分層（或環(huán)然后討論一點(diǎn)分層（或環(huán)) )結(jié)構(gòu)設(shè)計(jì)。結(jié)構(gòu)設(shè)計(jì)。 2021-6-2527 Tursted Operating System Design 使安全覆蓋操作系統(tǒng)全部，要做到以下兩使安全覆蓋操作系統(tǒng)全部，要做到以下兩 個(gè)方面：個(gè)方面： 1、操作系統(tǒng)控制所有主客體之間的操作系統(tǒng)控制所有主客體之間的 交互，要保證交互過程中都有安全考慮。交互，要保證交互過程中都有安全考慮。 2 2、安全必須在設(shè)計(jì)操作系統(tǒng)開始考、安全必須在設(shè)計(jì)操作系統(tǒng)開始考 慮，貫穿設(shè)計(jì)全過程，而不是設(shè)計(jì)過程慮，貫穿設(shè)計(jì)全過程，而不是設(shè)計(jì)過程 中或設(shè)計(jì)完成后添加上去。中或設(shè)計(jì)完成后添加上去。 2021-6-2528 Turste

23、d Operating System Design 可信操作系統(tǒng)的要素可信操作系統(tǒng)的要素 好的設(shè)計(jì)原理有助于安全的實(shí)現(xiàn)，但好的設(shè)計(jì)原理有助于安全的實(shí)現(xiàn)，但 是下面的基本要素對(duì)于設(shè)計(jì)一個(gè)健壯、可是下面的基本要素對(duì)于設(shè)計(jì)一個(gè)健壯、可 信的操作系統(tǒng)是必須的：信的操作系統(tǒng)是必須的： 最小特權(quán) 精簡(jiǎn)機(jī)制 開放設(shè)計(jì) 完全檢測(cè) 基于許可 特權(quán)分離 最小共享化 易用性 2021-6-2529 Tursted Operating System Design n普通操作系統(tǒng)的安全特性普通操作系統(tǒng)的安全特性 2021-6-2530 Tursted Operating System Design User Inter

24、face 操作系統(tǒng) 程序 庫(kù) cpu 內(nèi)存 i/o 設(shè)備 資源分配 數(shù) 據(jù) 服務(wù) 同步 并行 控制死鎖 管理 通訊 計(jì)算 圖5.10 操作系統(tǒng)功能 2021-6-2531 Tursted Operating System Design User Interface Access Control 操作系統(tǒng) 程序 庫(kù) cpu 內(nèi)存 用戶劃分 i/o 設(shè)備 資源分配 數(shù) 據(jù) 服務(wù) Access control 同步 并行 控制死鎖 管理 通訊 計(jì)算 圖5.10 可信操作系統(tǒng)的功能 Access control Access control Access control Access control

25、Access control Access control Access control Access control 2021-6-2532 Tursted Operating System Design n從上面的對(duì)比可以看出，在設(shè)計(jì)可信操作系從上面的對(duì)比可以看出，在設(shè)計(jì)可信操作系 統(tǒng)時(shí)，比一般操作系統(tǒng)多出以下方面：統(tǒng)時(shí)，比一般操作系統(tǒng)多出以下方面： 1、對(duì)每個(gè)設(shè)備和服務(wù)的訪問控制、對(duì)每個(gè)設(shè)備和服務(wù)的訪問控制 2、數(shù)據(jù)和程序按照共享和私有分離、數(shù)據(jù)和程序按照共享和私有分離 3、不同用戶占用內(nèi)存空間的彼此分離等、不同用戶占用內(nèi)存空間的彼此分離等 2021-6-2533 Tursted Ope

26、rating System Design n可信操作系統(tǒng)（可信操作系統(tǒng)（TOS）的安全特性）的安全特性 2021-6-2534 Tursted Operating System Design 用戶鑒別：計(jì)算機(jī)安全性之根源用戶鑒別：計(jì)算機(jī)安全性之根源 。它包括。它包括 倆個(gè)步驟：倆個(gè)步驟： 找出請(qǐng)求訪問者；找出請(qǐng)求訪問者； 確定其真實(shí)身份。確定其真實(shí)身份。 可信操作系統(tǒng)要求所有訪問者都必須被可信操作系統(tǒng)要求所有訪問者都必須被 唯一識(shí)別。唯一識(shí)別。 2021-6-2535 Tursted Operating System Design 強(qiáng)制訪問控制（強(qiáng)制訪問控制（MACMAC）：）： 系統(tǒng)內(nèi)的每一

27、個(gè)用戶或主體根據(jù)他對(duì)敏感性客體的訪問許系統(tǒng)內(nèi)的每一個(gè)用戶或主體根據(jù)他對(duì)敏感性客體的訪問許 可級(jí)別被賦予一個(gè)訪問標(biāo)簽可級(jí)別被賦予一個(gè)訪問標(biāo)簽(access label)(access label)；同樣地，系統(tǒng)內(nèi)；同樣地，系統(tǒng)內(nèi) 的每一個(gè)客體也被賦予一敏感性標(biāo)簽的每一個(gè)客體也被賦予一敏感性標(biāo)簽(Sensitivity Label)(Sensitivity Label)以以 反映該信息的敏感性級(jí)別。系統(tǒng)內(nèi)的反映該信息的敏感性級(jí)別。系統(tǒng)內(nèi)的“參考監(jiān)視器參考監(jiān)視器”通過比較主、通過比較主、 客體相應(yīng)的標(biāo)簽來決定是否授予一個(gè)主體對(duì)客體的訪問請(qǐng)求。客體相應(yīng)的標(biāo)簽來決定是否授予一個(gè)主體對(duì)客體的訪問請(qǐng)求。 強(qiáng)

28、制訪問控制策略既可以用來防止對(duì)信息的非授權(quán)的篡改強(qiáng)制訪問控制策略既可以用來防止對(duì)信息的非授權(quán)的篡改( (即即 證信息的完整性證信息的完整性) )，又可以防止未授權(quán)的信息泄露，又可以防止未授權(quán)的信息泄露( (即保證信息即保證信息 的機(jī)密性的機(jī)密性) )。 2021-6-2536 Tursted Operating System Design 自主訪問控制（自主訪問控制（DACDAC）：）： 它允許系統(tǒng)中信息的擁有者按照自己的意愿去制定誰可以以它允許系統(tǒng)中信息的擁有者按照自己的意愿去制定誰可以以 何種訪問模式去訪問該客體。在這一點(diǎn)上對(duì)于信息的擁有者何種訪問模式去訪問該客體。在這一點(diǎn)上對(duì)于信息的擁有

29、者 來說是來說是“自主的自主的”。與強(qiáng)制訪問控制策略相比，自主訪問控制。與強(qiáng)制訪問控制策略相比，自主訪問控制 策略能夠提供一種更為精細(xì)的訪問控制粒度，它能夠?qū)⑺O(shè)策略能夠提供一種更為精細(xì)的訪問控制粒度，它能夠?qū)⑺O(shè) 的訪問控制策略細(xì)化到具體的某個(gè)人，而這是強(qiáng)制訪問控制的訪問控制策略細(xì)化到具體的某個(gè)人，而這是強(qiáng)制訪問控制 策略所做不到的。策略所做不到的。 在現(xiàn)實(shí)的系統(tǒng)中，自主訪問控制機(jī)制用于授權(quán)用戶訪問系統(tǒng)在現(xiàn)實(shí)的系統(tǒng)中，自主訪問控制機(jī)制用于授權(quán)用戶訪問系統(tǒng) 資源。資源。 2021-6-2537 Tursted Operating System Design 客體復(fù)用保護(hù)客體復(fù)用保護(hù) ： 客體復(fù)

30、用是計(jì)算機(jī)系統(tǒng)保證其效率的一種方式。操作客體復(fù)用是計(jì)算機(jī)系統(tǒng)保證其效率的一種方式。操作 系統(tǒng)負(fù)責(zé)控制資源分配，每當(dāng)一用戶程序釋放其占有系統(tǒng)負(fù)責(zé)控制資源分配，每當(dāng)一用戶程序釋放其占有 的資源時(shí)，系統(tǒng)就會(huì)允許下一個(gè)用戶訪問。為了防止的資源時(shí)，系統(tǒng)就會(huì)允許下一個(gè)用戶訪問。為了防止 錯(cuò)誤發(fā)生，操作系統(tǒng)在重新分配資源之前必須將更改錯(cuò)誤發(fā)生，操作系統(tǒng)在重新分配資源之前必須將更改 過的資源過的資源恢復(fù)恢復(fù)可用狀態(tài)?？捎脿顟B(tài)。 完全仲裁完全仲裁 了實(shí)現(xiàn)自主型和強(qiáng)制型訪問控制，所有的訪問權(quán)都是了實(shí)現(xiàn)自主型和強(qiáng)制型訪問控制，所有的訪問權(quán)都是 被集中控制的。而不是僅僅對(duì)文件進(jìn)行訪問控制。從被集中控制的。而不是僅僅對(duì)

31、文件進(jìn)行訪問控制。從 而避免因?yàn)槁┻^訪問控制而非法訪問系統(tǒng)資源。而避免因?yàn)槁┻^訪問控制而非法訪問系統(tǒng)資源。 2021-6-2538 Tursted Operating System Design 可信路徑：可信路徑： 計(jì)算機(jī)系統(tǒng)中，用戶在一般情況并不直接與內(nèi)核打交道，中計(jì)算機(jī)系統(tǒng)中，用戶在一般情況并不直接與內(nèi)核打交道，中 間還有一層應(yīng)用層作為接口在用戶與內(nèi)核之間相互作用著，這間還有一層應(yīng)用層作為接口在用戶與內(nèi)核之間相互作用著，這 種設(shè)計(jì)能夠保護(hù)內(nèi)核不會(huì)被用戶肆意修改窺測(cè)，但也隨之帶來了種設(shè)計(jì)能夠保護(hù)內(nèi)核不會(huì)被用戶肆意修改窺測(cè)，但也隨之帶來了 安全隱患安全隱患，比如：在登陸系統(tǒng)時(shí)，用非法截取用戶

32、登陸信息來比如：在登陸系統(tǒng)時(shí)，用非法截取用戶登陸信息來 盜取用戶密碼。盜取用戶密碼。 可信路徑就是避過應(yīng)用層，在用戶與內(nèi)核之間開辟一條直接可信路徑就是避過應(yīng)用層，在用戶與內(nèi)核之間開辟一條直接 的可信任的交互通道，從而防止重要信息在不可信路徑上傳輸時(shí)的可信任的交互通道，從而防止重要信息在不可信路徑上傳輸時(shí) 被盜用。被盜用。 2021-6-2539 Tursted Operating System Design 審計(jì)日志：審計(jì)日志： 在用戶使用系統(tǒng)時(shí)，對(duì)系統(tǒng)資源的改動(dòng)都要經(jīng)過系統(tǒng)審計(jì)，在用戶使用系統(tǒng)時(shí)，對(duì)系統(tǒng)資源的改動(dòng)都要經(jīng)過系統(tǒng)審計(jì)， 每次審計(jì)都要存儲(chǔ)為日志。系統(tǒng)管理員可以通過審計(jì)日志來每次審計(jì)

33、都要存儲(chǔ)為日志。系統(tǒng)管理員可以通過審計(jì)日志來 發(fā)現(xiàn)非法入侵系統(tǒng)。發(fā)現(xiàn)非法入侵系統(tǒng)。 精簡(jiǎn)審計(jì)日志：精簡(jiǎn)審計(jì)日志： 如果進(jìn)行完全審計(jì)，一般審計(jì)日志非常龐大，即使是一個(gè)簡(jiǎn)如果進(jìn)行完全審計(jì)，一般審計(jì)日志非常龐大，即使是一個(gè)簡(jiǎn) 單的讀寫文件，也要訪問大量資源，于是產(chǎn)生很多日志記錄。單的讀寫文件，也要訪問大量資源，于是產(chǎn)生很多日志記錄。 對(duì)于管理員來說，要在龐大的日志中發(fā)現(xiàn)錯(cuò)誤好像大海撈針，對(duì)于管理員來說，要在龐大的日志中發(fā)現(xiàn)錯(cuò)誤好像大海撈針， 所以要對(duì)審計(jì)日志進(jìn)行精簡(jiǎn)。所以要對(duì)審計(jì)日志進(jìn)行精簡(jiǎn)。 2021-6-2540 Tursted Operating System Design 入侵檢測(cè)：入侵檢測(cè)

34、： 一些可信操作系統(tǒng)中都含有原始的入侵檢測(cè)系統(tǒng)。它是一些可信操作系統(tǒng)中都含有原始的入侵檢測(cè)系統(tǒng)。它是 一個(gè)專題，以后要詳細(xì)討論。一個(gè)專題，以后要詳細(xì)討論。 以上講了可信操作系統(tǒng)的關(guān)鍵要素，即設(shè)以上講了可信操作系統(tǒng)的關(guān)鍵要素，即設(shè) 計(jì)操作系統(tǒng)時(shí)要特別注意的方面。下面討計(jì)操作系統(tǒng)時(shí)要特別注意的方面。下面討 論內(nèi)核化設(shè)計(jì)。論內(nèi)核化設(shè)計(jì)。 2021-6-2541 Tursted Operating System Design 內(nèi)核化設(shè)計(jì)內(nèi)核化設(shè)計(jì) 內(nèi)核是操作系統(tǒng)實(shí)現(xiàn)最底層功能的部分。在一個(gè)標(biāo)準(zhǔn)的操內(nèi)核是操作系統(tǒng)實(shí)現(xiàn)最底層功能的部分。在一個(gè)標(biāo)準(zhǔn)的操 作系統(tǒng)設(shè)計(jì)中，諸如同步，進(jìn)程間通信，消息傳遞和中斷處作

35、系統(tǒng)設(shè)計(jì)中，諸如同步，進(jìn)程間通信，消息傳遞和中斷處 理這類操作都是由核完成的。理這類操作都是由核完成的。 安全核是負(fù)責(zé)在整個(gè)操作系統(tǒng)中實(shí)現(xiàn)安全性機(jī)制的，由安全核是負(fù)責(zé)在整個(gè)操作系統(tǒng)中實(shí)現(xiàn)安全性機(jī)制的，由 AmesAmes在在AME83AME83提出，并有詳細(xì)描述。它提供了與硬件、操提出，并有詳細(xì)描述。它提供了與硬件、操 作系統(tǒng)和計(jì)算系統(tǒng)其他部分的安全接口。作系統(tǒng)和計(jì)算系統(tǒng)其他部分的安全接口。 安全內(nèi)核設(shè)計(jì)的兩種方案：安全內(nèi)核設(shè)計(jì)的兩種方案： 1 1、將安全合并到系統(tǒng)內(nèi)核中去、將安全合并到系統(tǒng)內(nèi)核中去 2 2、將安全作為單獨(dú)的一層，從系統(tǒng)內(nèi)核中分離出來。、將安全作為單獨(dú)的一層，從系統(tǒng)內(nèi)核中分離出

36、來。 看下圖：看下圖： 2021-6-2542 Tursted Operating System Design 1、硬件 2、操作系統(tǒng)內(nèi)核 硬件接口 訪問控制 3、操作系統(tǒng) 資源分配 共享 訪問控制 認(rèn)證功能 4、用戶任務(wù) ：安全活動(dòng) 圖5.14 安全內(nèi)核集成到操作系統(tǒng)內(nèi)核操作系統(tǒng)圖 2021-6-2543 Tursted Operating System Design 1、硬件 2、操作系統(tǒng)安全內(nèi)核 訪問控制 認(rèn)證功能 3、操作系統(tǒng) 資源分配 共享 硬件接口 4、用戶任務(wù) 圖5.15 內(nèi)核分離圖 2021-6-2544 將安全從內(nèi)核中分離出來的優(yōu)點(diǎn)：將安全從內(nèi)核中分離出來的優(yōu)點(diǎn)： 覆蓋覆蓋

37、對(duì)受保護(hù)客體的每一次都必須通過安全核的檢測(cè)。通過這種設(shè)對(duì)受保護(hù)客體的每一次都必須通過安全核的檢測(cè)。通過這種設(shè) 計(jì)，操作系統(tǒng)就可以利用安全核來保證每個(gè)訪問都是安全的。計(jì)，操作系統(tǒng)就可以利用安全核來保證每個(gè)訪問都是安全的。 分離分離 從系統(tǒng)和用戶空間中分離安全機(jī)制可以更容易防止和其他系統(tǒng)從系統(tǒng)和用戶空間中分離安全機(jī)制可以更容易防止和其他系統(tǒng) 或使用戶之間的滲透。或使用戶之間的滲透。 統(tǒng)一統(tǒng)一 所有的安全功能都是由各自單獨(dú)的一組編碼實(shí)現(xiàn)的，所以當(dāng)某所有的安全功能都是由各自單獨(dú)的一組編碼實(shí)現(xiàn)的，所以當(dāng)某 一功能出現(xiàn)問題時(shí)，對(duì)代碼的追蹤就會(huì)容易一些。一功能出現(xiàn)問題時(shí)，對(duì)代碼的追蹤就會(huì)容易一些。 可修改可

38、修改 安全機(jī)制的修改和測(cè)試變的更易實(shí)現(xiàn)。安全機(jī)制的修改和測(cè)試變的更易實(shí)現(xiàn)。 緊湊緊湊 因?yàn)榘踩藘H僅需要實(shí)現(xiàn)安全性，所以它的代碼相對(duì)來說計(jì)就因?yàn)榘踩藘H僅需要實(shí)現(xiàn)安全性，所以它的代碼相對(duì)來說計(jì)就 小的多了。小的多了。 確認(rèn)確認(rèn) 正因?yàn)轶w積小了，安全核就更容易被分析，我們就可以用形式正因?yàn)轶w積小了，安全核就更容易被分析，我們就可以用形式 化方法來保證所有的安全需求是否都被考慮周到。化方法來保證所有的安全需求是否都被考慮周到。 2021-6-2545 Tursted Operating System Design 安全內(nèi)核存在的問題：安全內(nèi)核存在的問題： 安全核的實(shí)現(xiàn)也許會(huì)使系統(tǒng)性能有所降低，因?yàn)?/p>

39、它增加了操作安全核的實(shí)現(xiàn)也許會(huì)使系統(tǒng)性能有所降低，因?yàn)樗黾恿瞬僮?系統(tǒng)和用戶程序的接口層。而且，對(duì)安全核的設(shè)計(jì)并不意味著系統(tǒng)和用戶程序的接口層。而且，對(duì)安全核的設(shè)計(jì)并不意味著 可以實(shí)現(xiàn)所有的安全功能；有時(shí)候安全核還可能非常龐大。可以實(shí)現(xiàn)所有的安全功能；有時(shí)候安全核還可能非常龐大。 在日常設(shè)計(jì)中，如何在安全和效率之間達(dá)到平衡，在日常設(shè)計(jì)中，如何在安全和效率之間達(dá)到平衡，很大程度上很大程度上 是取決于整體操作系統(tǒng)的設(shè)計(jì)方法的。設(shè)計(jì)操作系統(tǒng)時(shí)有許多是取決于整體操作系統(tǒng)的設(shè)計(jì)方法的。設(shè)計(jì)操作系統(tǒng)時(shí)有許多 選擇，最終歸結(jié)到兩點(diǎn)：選擇，最終歸結(jié)到兩點(diǎn)：將安全作為操作系統(tǒng)的附屬還是將其將安全作為操作系統(tǒng)的

40、附屬還是將其 作為操作系統(tǒng)的基礎(chǔ)。作為操作系統(tǒng)的基礎(chǔ)。 2021-6-2546 Tursted Operating System Design 參考監(jiān)視器參考監(jiān)視器( (引用監(jiān)控器引用監(jiān)控器) ) 安全核中最為重要的部分就是參考監(jiān)視器。它是負(fù)責(zé)安全核中最為重要的部分就是參考監(jiān)視器。它是負(fù)責(zé) 實(shí)施安全策略的軟硬件結(jié)合體，控制所有主體對(duì)客體的訪實(shí)施安全策略的軟硬件結(jié)合體，控制所有主體對(duì)客體的訪 問的，并將重要的安全事件寫入到審計(jì)文件中。它不一定問的，并將重要的安全事件寫入到審計(jì)文件中。它不一定 針對(duì)是一段單獨(dú)的代碼，而是對(duì)各種設(shè)備如：文件，存儲(chǔ)針對(duì)是一段單獨(dú)的代碼，而是對(duì)各種設(shè)備如：文件，存儲(chǔ) 器

41、，內(nèi)部進(jìn)程通信等所有客體的訪問控制集合。器，內(nèi)部進(jìn)程通信等所有客體的訪問控制集合。 參考監(jiān)視器只是參考監(jiān)視器只是理論上的概念理論上的概念，并沒有實(shí)用的實(shí)現(xiàn)方法，并沒有實(shí)用的實(shí)現(xiàn)方法， 一般情況下，人們把參考監(jiān)視器和安全內(nèi)核方法等同起來。一般情況下，人們把參考監(jiān)視器和安全內(nèi)核方法等同起來。 如下圖，參考監(jiān)視器就象是環(huán)繞在操作系統(tǒng)和可信軟件如下圖，參考監(jiān)視器就象是環(huán)繞在操作系統(tǒng)和可信軟件 之外的一堵墻，所有主體訪問客體，都要經(jīng)過參考監(jiān)視器。之外的一堵墻，所有主體訪問客體，都要經(jīng)過參考監(jiān)視器。 2021-6-2547 Tursted Operating System Design 2021-6-25

42、48 Tursted Operating System Design 只有當(dāng)參考監(jiān)視器只有當(dāng)參考監(jiān)視器不能被任意修改不能被任意修改，也，也不能讓惡意訪問不能讓惡意訪問 行為繞過行為繞過它時(shí)，參考監(jiān)視器才可以嚴(yán)格有效地進(jìn)行控制。它時(shí)，參考監(jiān)視器才可以嚴(yán)格有效地進(jìn)行控制。 另外，參考監(jiān)視器并不是可信操作系統(tǒng)中唯一的安全保另外，參考監(jiān)視器并不是可信操作系統(tǒng)中唯一的安全保 證，它只是安全的一部分。證，它只是安全的一部分。 2021-6-2549 Tursted Operating System Design 可信計(jì)算基（可信計(jì)算基（TCBTCB） 可信計(jì)算基（可信計(jì)算基（TCBTCB）是指在可信計(jì)算機(jī)

43、系統(tǒng)中每個(gè)實(shí)施）是指在可信計(jì)算機(jī)系統(tǒng)中每個(gè)實(shí)施 安全策略的組件。安全策略的組件。TCBTCB構(gòu)成了我們所要依靠安全策略的可信構(gòu)成了我們所要依靠安全策略的可信 操作系統(tǒng)的一部分。操作系統(tǒng)的一部分。 于是一個(gè)系統(tǒng)可以根據(jù)是否是安全的，分成于是一個(gè)系統(tǒng)可以根據(jù)是否是安全的，分成TCBTCB部分和部分和 非非TCBTCB兩部分兩部分。非。非TCBTCB部分不會(huì)影響部分不會(huì)影響TCBTCB部分，且允許惡意的部分，且允許惡意的 攻擊者對(duì)非攻擊者對(duì)非TCB TCB 的部分寫操作。的部分寫操作。 這樣就認(rèn)為這樣就認(rèn)為TCBTCB形成了一個(gè)系統(tǒng)所需要的堡壘，它可以形成了一個(gè)系統(tǒng)所需要的堡壘，它可以 滿足系統(tǒng)的任

44、何安全需求?？尚挪僮飨到y(tǒng)中所有的安全性滿足系統(tǒng)的任何安全需求。可信操作系統(tǒng)中所有的安全性 功能都是基于功能都是基于TCBTCB的。的。 2021-6-2550 Tursted Operating System Design TCB TCB 由那些成分構(gòu)成由那些成分構(gòu)成 硬件硬件 包括處理器，存儲(chǔ)器，寄存器和包括處理器，存儲(chǔ)器，寄存器和I/OI/O設(shè)備設(shè)備 一些進(jìn)程的概念一些進(jìn)程的概念 分離和保護(hù)一些關(guān)鍵安全進(jìn)程分離和保護(hù)一些關(guān)鍵安全進(jìn)程 原始文件原始文件 如安全性訪問控制數(shù)據(jù)庫(kù)和認(rèn)證數(shù)據(jù)如安全性訪問控制數(shù)據(jù)庫(kù)和認(rèn)證數(shù)據(jù) 受保護(hù)的存儲(chǔ)器受保護(hù)的存儲(chǔ)器 存儲(chǔ)在其中的引用監(jiān)控機(jī)是安全的存儲(chǔ)在其中的引

45、用監(jiān)控機(jī)是安全的 一些內(nèi)部進(jìn)程通信一些內(nèi)部進(jìn)程通信 TCB TCB 的不同部分之間可以相互交換數(shù)的不同部分之間可以相互交換數(shù) 據(jù)或互相激活。據(jù)或互相激活。 上面圍繞大部分操作系統(tǒng)的，而上面圍繞大部分操作系統(tǒng)的，而TCBTCB只是其中的一個(gè)只是其中的一個(gè) 很小的子集。很小的子集。 如下圖：如下圖： 2021-6-2551 Tursted Operating System Design N o n T C B T C B 用 戶 應(yīng) 用 程 序 用 戶 請(qǐng) 求 解 釋 器 用 戶 進(jìn) 程 同 步 用 戶 環(huán) 境 ： 對(duì) 象 ， 名 字 ( 文 件 等 ) 用 戶 I / O 程 序 ， 用 戶 進(jìn)

46、 程 創(chuàng) 建 和 刪 除 用 戶 對(duì) 象 目 錄 擴(kuò) 展 類 型 段 、 頁 、 內(nèi) 存 管 理 原 子 I / O 操 作 基 本 操 作 時(shí) 鐘 硬 件 ： 寄 存 器 、 內(nèi) 存 中 斷 處 理 。 。 。 2021-6-2552 Tursted Operating System Design TCBTCB監(jiān)視以下四個(gè)基本活動(dòng)：監(jiān)視以下四個(gè)基本活動(dòng)： 進(jìn)程激活進(jìn)程激活 在進(jìn)程的環(huán)境中，激活和撤消進(jìn)程的頻率是很高的。在進(jìn)程的環(huán)境中，激活和撤消進(jìn)程的頻率是很高的。 從一個(gè)進(jìn)程切換到另一個(gè)進(jìn)程需要完全改變注冊(cè)表，重從一個(gè)進(jìn)程切換到另一個(gè)進(jìn)程需要完全改變注冊(cè)表，重 置映射，文件訪問表，進(jìn)程狀態(tài)信

47、息和其他的一些指針，置映射，文件訪問表，進(jìn)程狀態(tài)信息和其他的一些指針， 其中大部分都是秘密級(jí)別的信息。其中大部分都是秘密級(jí)別的信息。 執(zhí)行域切換執(zhí)行域切換 運(yùn)行在某一域的進(jìn)程經(jīng)常會(huì)激活其他域中的進(jìn)程以運(yùn)行在某一域的進(jìn)程經(jīng)常會(huì)激活其他域中的進(jìn)程以 獲取更高密級(jí)的數(shù)據(jù)或服務(wù)。獲取更高密級(jí)的數(shù)據(jù)或服務(wù)。 2021-6-2553 Tursted Operating System Design TCBTCB監(jiān)視以下四個(gè)基本活動(dòng)：監(jiān)視以下四個(gè)基本活動(dòng)： 存儲(chǔ)器保護(hù)存儲(chǔ)器保護(hù) 因?yàn)槊恳粋€(gè)域中都包含存儲(chǔ)在內(nèi)存中的代碼和數(shù)因?yàn)槊恳粋€(gè)域中都包含存儲(chǔ)在內(nèi)存中的代碼和數(shù) 據(jù)，據(jù)，TCBTCB就必須監(jiān)控內(nèi)存引用來保證每

48、一個(gè)域的完整性就必須監(jiān)控內(nèi)存引用來保證每一個(gè)域的完整性 和保密性。和保密性。 I/OI/O操作操作 在一些系統(tǒng)中，軟件涉及在一些系統(tǒng)中，軟件涉及I/OI/O操作，操作， 把從外層輸入把從外層輸入 到最內(nèi)層的到最內(nèi)層的I/OI/O設(shè)備連接起來，這樣，設(shè)備連接起來，這樣，I/OI/O操作要穿過操作要穿過 所有的域，所以必須被監(jiān)視。所有的域，所以必須被監(jiān)視。 2021-6-2554 Tursted Operating System Design TCBTCB設(shè)計(jì)：設(shè)計(jì)： 將操作系統(tǒng)分為將操作系統(tǒng)分為TCBTCB部分和非部分和非TCBTCB部分可以方便設(shè)計(jì)者部分可以方便設(shè)計(jì)者 和開發(fā)者，因?yàn)檫@樣將所有

49、和安全性相關(guān)的代碼集成到一和開發(fā)者，因?yàn)檫@樣將所有和安全性相關(guān)的代碼集成到一 個(gè)部分個(gè)部分。 為了保證安全性的實(shí)現(xiàn)不會(huì)受到非為了保證安全性的實(shí)現(xiàn)不會(huì)受到非TCBTCB部分的影響，部分的影響， TCBTCB代碼必須以一種特別的受保護(hù)的方式運(yùn)行。代碼必須以一種特別的受保護(hù)的方式運(yùn)行。非非TCBTCB部分部分 不能對(duì)不能對(duì)TCBTCB部分構(gòu)成威脅。這樣可以隨時(shí)修復(fù)系統(tǒng)中關(guān)于部分構(gòu)成威脅。這樣可以隨時(shí)修復(fù)系統(tǒng)中關(guān)于 設(shè)備驅(qū)動(dòng)，用戶接口管理器或是其它的錯(cuò)誤。而設(shè)備驅(qū)動(dòng)，用戶接口管理器或是其它的錯(cuò)誤。而TCBTCB代碼代碼 部分則要嚴(yán)格管理。由于無需對(duì)非部分則要嚴(yán)格管理。由于無需對(duì)非TCBTCB部分考慮，

50、這樣劃部分考慮，這樣劃 分簡(jiǎn)化了可信操作系統(tǒng)的安全性設(shè)計(jì)。分簡(jiǎn)化了可信操作系統(tǒng)的安全性設(shè)計(jì)。 2021-6-2555 Tursted Operating System Design 分離分離 ： 多道程序操作系統(tǒng)應(yīng)該讓用戶之間彼此隔絕，仔細(xì)控多道程序操作系統(tǒng)應(yīng)該讓用戶之間彼此隔絕，仔細(xì)控 制用戶間的交互。大部分操作系統(tǒng)設(shè)計(jì)時(shí)為多個(gè)用戶提制用戶間的交互。大部分操作系統(tǒng)設(shè)計(jì)時(shí)為多個(gè)用戶提 供同一個(gè)運(yùn)行環(huán)境，一份操作系統(tǒng)可以供好多用戶同時(shí)供同一個(gè)運(yùn)行環(huán)境，一份操作系統(tǒng)可以供好多用戶同時(shí) 使用。如圖所示，操作系統(tǒng)經(jīng)常分為倆個(gè)不同部分，分使用。如圖所示，操作系統(tǒng)經(jīng)常分為倆個(gè)不同部分，分 別處于內(nèi)存的高低

51、倆個(gè)地址段。別處于內(nèi)存的高低倆個(gè)地址段。 地址 內(nèi)存空間 0 高 操作系統(tǒng)空間 用戶1 空間 用戶2 空間 用戶n 空間操作系統(tǒng)空間 2021-6-2556 Tursted Operating System Design 虛擬技術(shù)虛擬技術(shù) 虛擬技術(shù)就是用操作系統(tǒng)模擬一些計(jì)算系統(tǒng)資源，虛擬技術(shù)就是用操作系統(tǒng)模擬一些計(jì)算系統(tǒng)資源， 包括真實(shí)硬件功能和模擬硬件功能的集合，如運(yùn)行指令包括真實(shí)硬件功能和模擬硬件功能的集合，如運(yùn)行指令 集合的處理器，存儲(chǔ)器，和一些集合的處理器，存儲(chǔ)器，和一些I/OI/O設(shè)備。設(shè)備。 虛擬資源必須由真實(shí)的物理硬件和軟件支持，但是虛擬資源必須由真實(shí)的物理硬件和軟件支持，但是 這些真實(shí)的資源不一定要和虛擬資源一一對(duì)應(yīng)。這些真實(shí)的資源不一定要和虛擬資源一一對(duì)應(yīng)。操作系操作系 統(tǒng)通過這些方式提供給用戶一種虛擬資源，這樣，安全統(tǒng)通過這些方式提供給用戶一種虛擬資源，這樣，安全 核就可以更精確地控制用戶的訪問存取了。我們看下面核就可以更精確地控制用戶的訪問存取了。我們看下面 關(guān)于內(nèi)存的例子：關(guān)于內(nèi)存的例子： 2021-6-2557 Tursted Operating System Design 操作系統(tǒng) 0 高 操作系統(tǒng)空間 內(nèi)存 主程序 子程序1 數(shù)據(jù)1 子程序2 數(shù)據(jù)2 自由空間 操作系統(tǒng) 用戶1所感