通用操作系統(tǒng)的保護課件

1、通用操作系統(tǒng)的保護保護對象和保護方法內(nèi)存地址保護訪問控制文件保護機制用戶鑒別保護對象和保護方法保護對象：內(nèi)存；可共享的I/O設(shè)備，如磁盤；可連續(xù)復(fù)用的I/O設(shè)備，如打印機和磁帶驅(qū)動器；可共享的程序或子程序；網(wǎng)絡(luò)；可共享的數(shù)據(jù)保護方法分離控制：保持一個用戶的對象獨立于其他用戶分離控制是最基本的保護在操作系統(tǒng)中，分離控制主要有四種：物理分離時間分離邏輯分離密碼分離保護方法（另）能同時兼顧共享的保護方法：（1） 不保護（2） 隔離（3） 共享一切或不共享（4） 訪問限制共享（5） 訪問權(quán)能共享（6） 對象的限制使用內(nèi)存地址保護界地址： 設(shè)置了用戶的內(nèi)存區(qū)界限重定位： 重定位因子是分配給程序的內(nèi)存首地

2、址。 程序的實際地址=重定位因子+相對地址基址/范圍寄存器：可變界地址寄存器稱為基址寄存器，提供了下界；范圍寄存器用于存放上界地址限制。上下文轉(zhuǎn)換：地址的改變標(biāo)記結(jié)構(gòu)： 機器內(nèi)存的每個字單元都有一個或幾個額外的比特用表示該單元訪問權(quán)限，這種結(jié)構(gòu)稱為標(biāo)記結(jié)構(gòu)。這些訪問比特由（操作系統(tǒng)）特權(quán)指令設(shè)置；每次指令訪問某存儲區(qū)時，都對這些比特進行權(quán)限檢查。分段式： 將一個程序分成幾塊，每一塊是一個邏輯單元，表現(xiàn)為一組有關(guān)聯(lián)的代碼或數(shù)據(jù)。分頁式： 用戶程序的地址空間被劃分為若干個大小相等的區(qū)域，稱為頁段頁式： 分段式與分頁式的結(jié)合訪問控制的概念以及分類一般概念 是針對越權(quán)使用資源的防御措施。一般分為：自主

3、訪問控制強制訪問控制基于角色的訪問控制訪問控制的目的 是為了限制訪問主體（用戶、進程、服務(wù)等）對訪問客體（文件、系統(tǒng)等）的訪問權(quán)限，從而使計算機系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。訪問控制的一般實現(xiàn)機制和方法一般實現(xiàn)機制 基于訪問控制屬性 訪問控制列表/矩陣 基于用戶和資源分級（“安全標(biāo)簽”） 多級訪問控制常見實現(xiàn)方法 訪問控制列表（ACL) 訪問控制矩陣（ACM) 訪問能力表（CL) 授權(quán)關(guān)系表訪問控制表（ACL：Access Control Lists）是以文件為中心建立的訪問權(quán)限表，簡記為ACL。目前，大多數(shù)PC、服務(wù)器和主機都使用ACL作為訪問

4、控制的實現(xiàn)機制。訪問控制實現(xiàn)方法訪問控制列表(ACL)userAOwnRWOuserB R OuserCRWOObj1訪問控制實現(xiàn)方法訪問控制列表(ACL)訪問控制表的優(yōu)點在于實現(xiàn)簡單，每個對象都有一個列表，列表中包含欲訪問給對象的所有主體，以及主體具有的訪問權(quán)限。訪問控制實現(xiàn)方法訪問控制列表(ACL)能力是訪問控制中的一個重要概念，它是指請求訪問的發(fā)起者所擁有的一個有效標(biāo)簽（ticket），它授權(quán)標(biāo)簽表明的持有者可以按照何種訪問方式訪問特定的客體。訪問能力表（CL）是以用戶為中心建立訪問權(quán)限表。訪問控制實現(xiàn)方法訪問能力表(CL)訪問控制實現(xiàn)方法訪問能力表(CL)Obj1OwnRWOObj2

5、R OObj3 RWOUserA訪問控制矩陣（ACM：Access Control Matrix）是通過矩陣形式表示訪問控制規(guī)則和授權(quán)用戶權(quán)限的方法；也就是說，對每個主體而言，都擁有對哪些客體的哪些訪問權(quán)限；而對客體而言，又有哪些主體對他可以實施訪問；將這種關(guān)連關(guān)系加以闡述，就形成了控制矩陣。其中，特權(quán)用戶或特權(quán)用戶組可以修改主體的訪問控制權(quán)限。訪問控制實現(xiàn)方法訪問控制矩陣SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute 按列看是訪問控制列表內(nèi)容 按行看是訪問能力表內(nèi)容訪問控制實現(xiàn)方法訪問控制矩陣訪問控制實現(xiàn)方法授權(quán)關(guān)系表UserA O

6、wn Obj1UserA R Obj1UserA W Obj1UserA W Obj2UserA R Obj2自主訪問控制強制訪問控制基于角色訪問控制訪問控制訪問控制的一般策略訪問控制的策略自主訪問控制 自主訪問控制模型（DAC Model，Discretionary Access Control Model）是根據(jù)自主訪問控制策略建立的一種模型，允許合法用戶以用戶或用戶組的身份訪問策略規(guī)定的客體，同時阻止非授權(quán)用戶訪問客體，某些用戶還可以自主地把自己所擁有的客體的訪問權(quán)限授予其它用戶。 自主訪問控制又稱為任意訪問控制。訪問控制的策略自主訪問控制特點： 根據(jù)主體的身份和授權(quán)來決定訪問模式。缺點

7、： 信息在移動過程中其訪問權(quán)限關(guān)系會被改變。如用戶A可將其對目標(biāo)O的訪問權(quán)限傳遞給用戶B,從而使不具備對O訪問權(quán)限的B可訪問O。 訪問控制的策略強制訪問控制強制訪問控制模型（MAC Model：Mandatory Access Control Model）：在DAC訪問控制中，用戶和客體資源都被賦予一定的安全級別，用戶不能改變自身和客體的安全級別，只有管理員才能夠確定用戶和組的訪問權(quán)限。訪問控制的策略強制訪問控制和DAC模型不同的是，MAC是一種多級訪問控制策略，它的主要特點是系統(tǒng)對訪問主體和受控對象實行強制訪問控制，系統(tǒng)事先給訪問主體和受控對象分配不同的安全級別屬性，在實施訪問控制時，系統(tǒng)先

8、對訪問主體和受控對象的安全級別屬性進行比較，再決定訪問主體能否訪問該受控對象。訪問控制的策略強制訪問控制主體對客體的訪問主要有四種方式：（1）向下讀（rd，read down）：主體安全級別高于客體信息資源的安全級別時允許查閱的讀操作；（2）向上讀（ru，read up）：主體安全級別低于客體信息資源的安全級別時允許的讀操作；（3）向下寫（wd，write down）：主體安全級別高于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作；（4）向上寫（wu，write up）：主體安全級別低于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作。訪問控制的策略強制訪問控制特點： 1.將主題和客體分級，

9、根據(jù)主體和客體的級別標(biāo)記來決定 訪問模式。如：絕密級、機密級、秘密級、無密級。 2.其訪問控制關(guān)系分為：上讀/下寫 ， 下讀/上寫 （完整性） （機密性） 3.通過安全標(biāo)簽實現(xiàn)單向信息流通模式。 1.自主式太弱2.強制式太強3.二者工作量大，不便管理 例： 1000主體訪問10000客體，須1000萬次配置。如每 次配置需1秒，每天工作8小時，就需 10，000，000/（3600*8） =347.2天訪問控制的策略 自主/強制訪問的問題訪問控制的策略 基于角色的訪問控制基于角色的訪問控制模型（RBAC Model，Role-based Access Model）：RBAC模型的基本思想是將訪

10、問許可權(quán)分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權(quán)。這是因為在很多實際應(yīng)用中，用戶并不是可以訪問的客體信息資源的所有者（這些信息屬于企業(yè)或公司），這樣的話，訪問控制應(yīng)該基于員工的職務(wù)而不是基于員工在哪個組或是誰信息的所有者，即訪問控制是由各個用戶在部門中所擔(dān)任的角色來確定的，例如，一個學(xué)?？梢杂薪坦?、老師、學(xué)生和其他管理人員等角色。訪問控制的策略 基于角色的訪問控制 角色概念 角色可以看作是一組操作的集合，不同的角色具有不同的操作集，這些操作集由系統(tǒng)管理員分配給角色。訪問控制的策略 基于角色的訪問控制 角色與組的區(qū)別組：用戶集角色：用戶集權(quán)限集訪問控制的策略 基于角色的訪問控制 角色控制與DAC、MAC的區(qū)別： 角色控制相對獨立，根據(jù)配置可使某些角色為接近DAC，某些角色接近MAC。訪問控制的策略 基于角色的訪問控制 模型 基本模型 RBAC0 角色分層模型 RBAC1 角色約束模型 RBAC2 統(tǒng)一模型 RBAC3 訪問控制的策略 基于角色的訪問控制角色控制優(yōu)