操作系統(tǒng)的安全

操作系統(tǒng)的安全問題對操作系統(tǒng)安全的威脅：（1）以O(shè)S為手段，獲得授權(quán)以外的或未授權(quán)的信息：它危害信息系統(tǒng)的保密性和完整性。（2）以O(shè)S為手段，阻礙計算機(jī)系統(tǒng)的正常運(yùn)行或用戶的正常使用：它危害了計算機(jī)系統(tǒng)的可用性。（3）以O(shè)S為對象，破壞系統(tǒng)完成指定的功能：除了電腦病毒破壞系統(tǒng)正常運(yùn)行和用戶正常使用外，還有一些人為因素或自然因素，如干擾、設(shè)備故障和誤操作也會影響軟件的正常運(yùn)行。（4）以軟件為對象，非法復(fù)制或非法使用。6.2操作系統(tǒng)的安全控制設(shè)計一個安全的操作系統(tǒng)，從技術(shù)上講有四種安全方法，如隔離控制、訪問控制、信息加密和審計跟蹤。

操作系統(tǒng)采用的安全控制方法主要是隔離控制和訪問控制。1、隔離控制①物理隔離。②時間隔離。③加密隔離。④邏輯隔離。2、訪問控制訪問控制是操作系統(tǒng)的安全控制核心。訪問控制是確定誰能訪問系統(tǒng)，能訪問系統(tǒng)何種資源以及在何種程度上使用這些資源。訪問控制包括對系統(tǒng)各種資源的存取控制。6.2操作系統(tǒng)的安全控制存取控制解決兩個基本問題：一是訪問控制策略，二是訪問控制機(jī)構(gòu)。訪問控制策略是根據(jù)系統(tǒng)安全保密需求及實際可能而提出的一系列安全控制方法和策略，如“最小特權(quán)”策略。訪問控制策略有多種，最常用的是對用戶進(jìn)行授權(quán)。訪問控制機(jī)構(gòu)則是系統(tǒng)具體實施訪問控制策略的硬件、軟件或固件。訪問控制的三項基本任務(wù)：①授權(quán)。②確定訪問權(quán)限。③實施訪問控制的權(quán)限。6.2操作系統(tǒng)的安全控制從訪問控制方式來說，訪問控制可分為以下四種：（1）自主訪問控制：自主訪問控制是一種普遍采用的訪問控制手段。它使用戶可以按自己的意愿對系統(tǒng)參數(shù)作適當(dāng)修改，以決定哪些用戶可以訪問他們的系統(tǒng)資源。（2）強(qiáng)制訪問控制：強(qiáng)制訪問控制是一種強(qiáng)有力的訪問控制手段。它使用戶與文件都有一個固定的安全屬性，系統(tǒng)利用安全屬性來決定一個用戶是否可以訪問某種資源。（3）有限型訪問控制：它對用戶和資源進(jìn)一步區(qū)分，只有授權(quán)的用戶才能訪問指定的資源。（4）共享／獨(dú)占型訪問控制：它把資源分成“共享”和“獨(dú)占”兩種?！肮蚕怼笨梢允官Y源為所有用戶使用，“獨(dú)占”只能被資源所有者使用。6.2操作系統(tǒng)的安全控制訪問控制的重要內(nèi)容之一是用戶身份識別。而口令字驗證又是是用戶身份識別的主要內(nèi)容，口令字驗證應(yīng)注意：①在系統(tǒng)的問答題中盡量少透露系統(tǒng)、用戶和口令字的信息。②用戶可以加上附加的約束，如限制使用的時間和地點(diǎn)。③對口令字文件加密。④口令字要有一定的范圍和長度，并由操作系統(tǒng)隨機(jī)地產(chǎn)生。⑤應(yīng)定期改變口令字。⑥使用動態(tài)口令字。

⑦要選擇容易記憶，但又難猜的口令。6.3自主訪問控制⑧不要使用常用單詞或名字，不要選用有特殊意義的口令，如生日、電話號碼、銀行帳號等。⑨不要在不同的機(jī)器上使用相同的口令。⑩不要將口令告訴他人或隨便將口令手寫在終端上。自主訪問控制是指基于對主體及主體所屬主體組的訪問來控制對客體的訪問，它是操作系統(tǒng)的基本特征之一。這種控制是自主的。自主是指具有授予某種訪問權(quán)力的主體能夠自主地將訪問權(quán)或訪問權(quán)的某個子集授予其它主體。6.3自主訪問控制6.3.l自主訪問控制方法目前，操作系統(tǒng)實現(xiàn)自主訪問控制不是利用整個訪問控制矩陣，而是基于矩陣的行或列來表達(dá)訪問控制信息。1．基于行的自主訪問控制是在每個主體上都附加一個該主體可訪問的客體的明細(xì)表。按照表內(nèi)信息的不同，可以分為三種形式：（1）權(quán)力表，也叫權(quán)能，它是實現(xiàn)訪問控制的一種方法。（2）前綴表，包括受保護(hù)的客體名以及主體對它的訪問權(quán)。（3）口令，口令機(jī)制是按行表示訪問控制矩陣的。6.3自主訪問控制2．基于列的自主訪問控制基于列的自主訪問控制是對每個客體附加一份可訪問它的主體的明細(xì)表。它有兩種形式：（1）保護(hù)位：保護(hù)位機(jī)制不能完備地表達(dá)訪問控制矩陣。（2）訪問控制表：每個客體（對象）有一張訪問控制表，記錄該客體可被哪些主體訪問以及訪問的形式。6.3.2自主訪問控制的訪問類型自主訪問控制機(jī)制中，有三種基本的控制模式。1．等級型2．有主型3．自由型6.3自主訪問控制6.3.3自主訪問控制的訪問模式在自主訪問控制機(jī)制的系統(tǒng)中，可使用的保護(hù)客體基本有兩類：文件和目錄。1．文件對文件常設(shè)置以下幾種訪問模式：（1）Read-Copy：允許主體對客體進(jìn)行讀與拷貝的訪問操作（2）Write-delete：允許主體用任何方式修改一個客體。（3）Execute：允許主體將客體作為一種可執(zhí)行文件而運(yùn)行之。（4）Null：表示主體對客體不具有任何訪問權(quán)。6.3自主訪問控制2．目錄每個主體（用戶）有一個訪問目錄。該目錄用于記錄該主體可訪問的客體(對象）以及訪問的權(quán)限，然而用戶本身卻不能接觸目錄。目錄常作為結(jié)構(gòu)化文件或結(jié)構(gòu)化段來實現(xiàn)。是否對目錄設(shè)置訪問模式，取決于系統(tǒng)是怎樣利用樹結(jié)構(gòu)來控制訪問操作的。對目錄的訪問模式可以分為讀和寫-擴(kuò)展。（1）Read（讀）:該模式允許主體看到目錄實體，包括目錄名、訪問控制表以及該目錄下的文件與目錄的相應(yīng)信息。（2）Write-EXpand（寫-擴(kuò)展）：該訪問模式允許主體在該目錄下增加一個新的客體。也就是說，允許主體在該目錄下生成與刪除文件或子目錄。6.4強(qiáng)強(qiáng)制訪問問控制1．“特特洛伊木木馬”的的威脅一個“特特洛伊木木馬”要要進(jìn)行攻攻擊，一一般需要要以下條條件：①必須編編寫一段段程序或或修改一一個已存存在的程程序來進(jìn)進(jìn)行非法法操作，，而且這這種非法法操作不不能令程程序的使使用者起起任何懷懷疑。這這個程序序?qū)κ褂糜谜邅碚f說必須具具有吸收收力。②必須使使受害者者能以某某種方式式訪問到到或得到到這個程程序，如如將這個個程序放放在系統(tǒng)統(tǒng)的根目目錄或公公共目錄錄中。③必須使使受害者者運(yùn)行這這個程序序。一般般利用這這個程序序代替某某個受害害者常用用的程序序來使受受害者不不知不覺覺地使用用它。④受害者者在系統(tǒng)統(tǒng)中有一一個合法法的帳號號。6.4強(qiáng)制制訪問問控制制2．防防止““特洛洛伊木木馬””的非非法訪訪問強(qiáng)制訪訪問控控制一一般與與自主主訪問問控制制結(jié)合合使用用，并并實施施一些些附加加的、、更強(qiáng)強(qiáng)的訪訪問限限制。。一個個主體體只有有通過過了自自主與與強(qiáng)制制訪問問控制制檢查查后，，才能能訪問問某個個客體體。由由于用用戶不不能直直接改改變強(qiáng)強(qiáng)制訪訪問的的控制制屬性性，因因此用用戶可可以利利用自自主訪訪問控控制來來防范范其他他用戶戶對自自己客客體的的攻擊擊。強(qiáng)強(qiáng)制訪訪問控控制則則提供供一個個不可可逾越越的、、更強(qiáng)強(qiáng)的安安全防防護(hù)層層，以以防止止其他他用戶戶偶然然或故故意濫濫用自自主訪訪問控控制。。要防防止““特洛洛伊木木馬””偷竊竊某個個文件件，就就必須須采用用強(qiáng)制制訪問問控制制手段段。減少““特洛洛伊木木馬””攻擊擊成功功的可可能性性方法法。（1））限制制訪問問控制制的靈靈活性性（2））過程程控制制6.5存存儲器器的保保護(hù)存儲器器保護(hù)護(hù)負(fù)責(zé)責(zé)保證證系統(tǒng)統(tǒng)內(nèi)各各任務(wù)務(wù)之間間互不不干擾擾；存存儲器器管理理是為為了更更有效效地利利用存存儲空空間。。6.5.1存存儲器器的保保護(hù)方方法首先要要對存存儲單單元的的地址址進(jìn)行行保護(hù)護(hù)，使使得非非法用用戶不不能訪訪問那那些受受到保保護(hù)的的存儲儲單元元；；其次要要對被被保護(hù)護(hù)的存存儲單單元提提供各各種類類型的的保護(hù)護(hù)。。最基本本的保保護(hù)類類型是是“讀讀／寫寫”和和“只只讀””。所所謂““只讀讀”，，就是是規(guī)定定用戶戶只能能對那那些被被保護(hù)護(hù)的存存儲單單元中中的內(nèi)內(nèi)容進(jìn)進(jìn)行讀讀取，，而不不能進(jìn)進(jìn)行其其它操操作。。復(fù)雜雜一些些的保保護(hù)類類型還還包括括“只只執(zhí)行行”、、“不不能存存取””等操操作。。不能能存取取的存存儲單單元，，若被被用戶戶存取取時，，系統(tǒng)統(tǒng)要及及時發(fā)發(fā)出警警報或或中斷斷程序序執(zhí)行行。6.5存存儲器器的保保護(hù)操作系系統(tǒng)對對內(nèi)存存的保保護(hù)主主要采采用了了邏輯隔隔離方法。。1．界界地址址寄存存器保保護(hù)法法2．內(nèi)內(nèi)存標(biāo)標(biāo)志法法3．鎖鎖保護(hù)護(hù)法““鎖鎖”是是指為為存儲儲區(qū)設(shè)設(shè)置的的特定定數(shù)字字。使用鎖鎖保護(hù)護(hù)方式式具有有以下下優(yōu)點(diǎn)點(diǎn)：①因為為不同同的存存儲區(qū)區(qū)可以以分配配相同同的鎖鎖，因因此用用戶可可以用用同一一鑰匙匙打開開不連連續(xù)的的若干干區(qū)域域。②只要要鎖和和鑰匙匙定義義不同同的對對應(yīng)方方案，，就可可以使使鑰匙匙具有有不同同的優(yōu)優(yōu)先級級。4．．特征征位保保護(hù)法法即在每每一個個存儲儲單元元的前前面，，設(shè)置置一組特特征位位特征位位數(shù)據(jù)指指令代代碼6.5存存儲器器的保保護(hù)6.5.2存存儲器器的管管理1．虛虛擬地地址空空間的物理理定位位可變變，每每次調(diào)調(diào)度該該進(jìn)程程時，，它的的物理理地址址可能能不同同。在在運(yùn)行行一個個訪問問存儲儲器的的指令令時，，硬件件設(shè)備備首先先根據(jù)據(jù)指令令中的的某一一數(shù)值值或偏偏移量量以及及索引引寄存存器的的值對對虛擬擬地址址進(jìn)行行某種種運(yùn)算算，以以識別別出欲欲訪問問目標(biāo)標(biāo)的物物理地地址。。其運(yùn)運(yùn)算的的結(jié)果果就是是一個個虛擬擬地址址映射射成一一個物物理地地址。。2．虛虛存映映射在一個個大系系統(tǒng)內(nèi)內(nèi)，將將物理理存儲儲器分分成固固定大大小的的頁，，各個個進(jìn)程程根據(jù)據(jù)需要要占用用不同同頁數(shù)數(shù)的物物理存存儲器器。設(shè)設(shè)置一一組映映射寄寄存器器,每每個個寄存存器指指出一一個頁頁的物物理首首地址址。這這樣，，進(jìn)程程就可可以通通過這這些映映射寄寄存器器來訪訪問物物理地地址空空間。。6.5存存儲器器的保保護(hù)3．請請求調(diào)調(diào)頁一個進(jìn)進(jìn)程占占有比比機(jī)器器內(nèi)存存還大大的虛虛擬存存儲空空間，，需采采用請請求調(diào)調(diào)頁機(jī)機(jī)制，，該機(jī)機(jī)制將將根據(jù)據(jù)需要要在輔輔存與與內(nèi)存存之間間移動動某些些頁，，它保保證了了進(jìn)程程所需需的某某些頁頁沒有有駐留留在內(nèi)內(nèi)存時時仍能能正常常運(yùn)行行。操操作系系統(tǒng)可可以為為進(jìn)程程構(gòu)造造一個個頁描描述表表，該該表記記錄了了進(jìn)程程所需需的全全部虛虛擬存存儲空空間，，表中中可以以設(shè)置置一個個“磁磁盤駐駐留””的標(biāo)標(biāo)志，，指明明該頁頁不在在物理理內(nèi)存存中而而是駐駐留在在磁盤盤上。。當(dāng)某某一進(jìn)進(jìn)程運(yùn)運(yùn)行過過程中中所需需的頁頁不在在內(nèi)存存中時時，操操作系系統(tǒng)將將中止止該進(jìn)進(jìn)程的的運(yùn)行行，直直至內(nèi)內(nèi)存中中有空空閑的的頁騰騰出時時，再再將所所需頁頁從磁磁盤中中調(diào)入入內(nèi)存存中的的空閑閑頁，，并將將頁表表中相相應(yīng)的的項置置為該該空閑閑頁，，然后后重新新啟動動被中中止的的進(jìn)程程從斷斷點(diǎn)處處繼續(xù)續(xù)運(yùn)行行。6.5存存儲器器的保保護(hù)4．分分段管管理在絕大大部分分系統(tǒng)統(tǒng)中，，一個個進(jìn)程程的虛虛擬地地址空空間至至少要要被分分成兩兩部分分或兩兩個段段：一一個用用于用用戶程程序與與數(shù)據(jù)據(jù)，稱稱為用用戶空空間；；另一一個用用于操操作系系統(tǒng)，，稱為為系統(tǒng)統(tǒng)空間間。兩兩者是是靜態(tài)態(tài)隔離離的，，也是是比較較簡單單的。。6.5.3虛虛擬存存儲器器的保保護(hù)虛擬存存儲器器一般般都采采用段段／頁頁技術(shù)術(shù)進(jìn)行行管理理。一一般情情況下下，整整個虛虛擬存存儲器器被劃劃分成成若干干個段段，每每個段段再被被劃分分成若若干頁頁。如如果在在段、、頁描描述中中加入入段、、頁保保護(hù)信信息，，如對對段或或頁可可采取取“只只讀””、““讀／／寫””等保保護(hù)措措施，，當(dāng)計計算機(jī)機(jī)執(zhí)行行指令令時，，系統(tǒng)統(tǒng)便根根據(jù)保保護(hù)類類型檢檢查這這條指指令的的操作作是否否合法法，如如果不不合法法，就就中斷斷程序序的執(zhí)執(zhí)行。。6.6操操作系統(tǒng)的的安全設(shè)計計6.6.1操作系系統(tǒng)的安全全模型1．訪問監(jiān)監(jiān)控模型最簡單的安安全模型，，單級模型型，是體現(xiàn)現(xiàn)有限型訪訪問控制的的模型。它它對每一個個主體-客客體對，只只作“可””還是“否否”的訪問問判定。這這種模型論論證比較脆脆弱，它所所表達(dá)的安安全需求沒沒有特別詳詳盡的說明明。2．“格””模型多級模型。。把用戶（（主體）和和信息（客客體）進(jìn)一一步按密級級和類別劃劃分。訪問問控制根據(jù)據(jù)“工作需需要，給予予最低權(quán)限限”的原則則，只有當(dāng)當(dāng)主體的密密級等于或或高于客體體，主體的的類別等于于或包含客客體時，主主體才能訪訪問客體。。6.6操操作系統(tǒng)的的安全設(shè)計計3．Bell-LaPadula模模型多級模型，，它是保證證保密性基基于信息流流控制的模模型。這種種模型的訪訪問控制遵遵循兩條原原則。簡單安全性性原則，即主體的保密密性訪問級級別支配客客體的保密密性訪問級級別，也就是說說主體只能能讀密級等等于或低于于它的客體體，主體只只能從下讀讀，而不能能從上讀。。星原則是客體的訪問問級別支配配主體的訪訪問級別，即主體只只能寫密級級等于或高高于它的客客體。也就就是說主體體只能向上上寫，而不不能向下寫寫。星原則則的目的是是為了防上上不可信的的機(jī)密進(jìn)程程從不同等等級或級別別更高的機(jī)機(jī)密文件中中讀出信息息后，通過過“向下寫寫”來竊取取系統(tǒng)的機(jī)機(jī)密。6.6操操作系統(tǒng)的的安全設(shè)計計Padula模型目目的在于防防止信息泄泄漏，而不不是防止主主體對客體體的非授權(quán)權(quán)修改。它它們只處理理了信息的的保密問題題，而沒有有解決信息息的完整性性問題。4．Bibe模型從信息完整整性的角度度來看，顯顯然必須禁禁止低訪問問級別的主主體對高訪訪問級別的的客體進(jìn)行行訪問，以以免低訪問問級別的主主體篡改高高訪問級別別的信息（（客體），，于是就產(chǎn)產(chǎn)生了Bibe模型型。Bibe模模型是保證證信息流完完整性的控控制模型，，它把主體體和客體按按類似密級級那樣的完完整級進(jìn)行行分類。完完整級是一一個由低到到高的序列列，其訪問問遵循“簡簡單完整性性”和“完完整性星””兩條原則則。簡單完整性性原則是主體的完整整性訪問級級別支配客客體的完整整性級別。即主體只只能向下寫寫，而不能能向上寫。。也就是說說，主體只只能寫（修修改）完整整性級別等等于或低于于它的客體體。完整性星原原則是客體的完整整性訪問級級別支配主主體的完整整性訪問級級別，即主體只只能從上讀讀，而不能能從下讀。。6.6操操作系統(tǒng)的的安全設(shè)計計6.6.2安全操操作系統(tǒng)的的設(shè)計原則則①對用戶標(biāo)標(biāo)識和驗證證。②對內(nèi)存的的保護(hù)。③對文件和I/O設(shè)設(shè)備的訪問問控制。④對共享資資源的分配配控制。⑤保證系統(tǒng)統(tǒng)可用性，，防止某用用戶對系統(tǒng)統(tǒng)資源的獨(dú)獨(dú)占。⑥協(xié)調(diào)多進(jìn)程程間的通信信、同步和和并發(fā)控制制，防止系系統(tǒng)死鎖。。所謂“安全全操作系統(tǒng)統(tǒng)設(shè)計”，，就是指安安全性必須須在操作系系統(tǒng)的各個個部分予以以考慮，安安全性必須須在操作系系統(tǒng)開發(fā)的的初期就予予以考慮。。6.6操操作系統(tǒng)的的安全設(shè)計計安全系統(tǒng)設(shè)設(shè)計的一般般原則如下下：（1）最小小權(quán)限原則則（2）完全全性原則（3）經(jīng)濟(jì)濟(jì)性原則（4）公開開性原則（5）權(quán)限限分離原則則（6）最小小共同性原原則（7）易用用性原則（8）缺省省安全原則則6.6操操作系統(tǒng)的的安全設(shè)計計6.6.3安全操操作系統(tǒng)的的設(shè)計方法法1．安全核核心方法安全核心方方法運(yùn)用最最小權(quán)限原原則和完全全性原則，，集中了操操作系統(tǒng)中中有關(guān)安全全的主要功功能。每次次對被保護(hù)護(hù)客體的訪訪問，都要要經(jīng)過安全全核心的檢檢查。安全全核心與其其它部分隔隔離，自身身又完整統(tǒng)統(tǒng)一。這樣樣，既便于于做得緊湊湊，也便于于測試驗證證，還便于于修改。2．層次化化方法層次化設(shè)計計方法是將將操作系統(tǒng)統(tǒng)分層，至至少有硬件件、核心、、操作系統(tǒng)統(tǒng)和用戶進(jìn)進(jìn)程四層。。這種層次次結(jié)構(gòu)使得得一個與安安全有關(guān)的的功能，由由一系列在在不同層次次的幾個模模塊來實現(xiàn)現(xiàn)。6.6操操作系統(tǒng)的的安全設(shè)計計6.6.4對系統(tǒng)統(tǒng)安全性的的認(rèn)證安全認(rèn)證，，就是對系系統(tǒng)的安全全性作測試試驗證，并并評價其安安全性所達(dá)達(dá)到的程度度的過程。。安全認(rèn)證證的方法通通常有三種種：形式化化驗證（簡簡稱驗證方方法）、非非形式化鑒鑒定（簡稱稱鑒定方法法）和破壞壞性分析。。1．形式化化驗證形式化驗證證就是運(yùn)用用程序正確確性證明的的方法。雖雖然現(xiàn)已開開發(fā)出一些些輔助程序序正確性證證明的工具具，但這種種方法復(fù)雜雜，而且非非常費(fèi)時。。對于大型型的系統(tǒng)，，對那些不不是為了接接受形式化化驗證而開開發(fā)的系統(tǒng)統(tǒng)來說，幾幾乎難以進(jìn)進(jìn)行驗證。?？傊?，形形式化驗證證方法可以以確保系統(tǒng)統(tǒng)的安全性性，但卻難難以實現(xiàn)。。6.6操作作系統(tǒng)的安全全設(shè)計2．鑒定方法法鑒定方法普遍遍，通常采用用以下幾種辦辦法：（1））需求檢驗（（2）設(shè)計計和編碼檢驗驗（3）單單元和集成測測試?？傊?，，鑒定方法容容易實現(xiàn)，但但卻不能達(dá)到到百分之百的的可信度。3．破壞性分分析破壞性分析是是把一些對操操作系統(tǒng)運(yùn)用用熟練和富有有設(shè)計經(jīng)驗的的專家組織起起來，對被測測試的操作系系統(tǒng)作安全脆脆弱性分析，，專挑弱點(diǎn)和和缺點(diǎn)。在實實踐中，常常常要求系統(tǒng)具具備以下六條條安全準(zhǔn)則：：（1）安全方方針（（2）主主體標(biāo)識（（3）客體標(biāo)識識（4）可查性性（（5）可信性性（（6）持續(xù)性性6.7I/O設(shè)備的訪訪問控制方式式6.7.1I／O設(shè)設(shè)備訪問控制制操作系統(tǒng)一般般是I/O操操作的媒介。。從訪問控制制的角度看，，一個I/O指令應(yīng)該包包括以下內(nèi)容容：I/O設(shè)設(shè)備名、受影影響的介質(zhì)和和數(shù)據(jù)傳輸過過程中所涉及及的存儲緩沖沖區(qū)的位置。。I/O訪問控控制最簡單的的方式是將設(shè)設(shè)備與介質(zhì)看看作一個客體體。由于所有有的I/O操作不是向向設(shè)備寫數(shù)據(jù)據(jù)，就是從設(shè)設(shè)備讀數(shù)據(jù)，，所以進(jìn)行I/O操作的的進(jìn)程必須受受到對設(shè)備讀讀／寫兩種控控制。這意味味著設(shè)備到介介質(zhì)間的路徑徑可以不受什什么約束，而而處理器到設(shè)設(shè)備間的控制制則需要施以以一定的讀／／寫操作的訪訪問控制。從訪問控制的的角度看，硬硬件可以以四四種方式支持持I/O操作作：可編程的的I/O操作作、非映射的的I/O操操作、預(yù)映射射I/O操操作和完全映映射I/O操作。6.7I/O設(shè)備的訪訪問控制方式式可編程I/O是一種同步步操作。在這這種方式下，，處理器直接接控制向I/O設(shè)備傳遞遞或從I/O設(shè)備接收每每一個數(shù)據(jù)。。其它三種方方式是直接存存儲器訪問方方式及其變種種。在這幾種種方式下，處處理器通知控控制器進(jìn)行某某種冗長的I/O操作，，處理器與控控制器異步地地進(jìn)行等價的的操作。1．可編程1/O可編程I/O方式對設(shè)設(shè)備進(jìn)行訪問問控制是使用用一個設(shè)備描描述符表。它它將一個虛設(shè)設(shè)備名映射為為一個物理設(shè)設(shè)備名，猶如如將一個虛地地址映射成一一個實際物理理地址，如下下所示：設(shè)備描述符RWC物理設(shè)備地址6.7I/O設(shè)備的訪訪問控制方式式2．非映射I/O非映射I/O是目前最普普遍的一種直直接進(jìn)行存儲儲器訪問的I/O類型型。在這種方方式中，軟件件向設(shè)備發(fā)送送一個I/O命令，它描描述了存儲器器中某個緩沖沖器的物理位位置。設(shè)備可可作為一個可可信賴的主體體對這個物理理存儲區(qū)進(jìn)行行讀／寫操作作。它僅能由由操作系統(tǒng)產(chǎn)產(chǎn)生，必須將將虛擬緩沖區(qū)區(qū)地址解釋成成實際的物理理地址。3．預(yù)映射I/O預(yù)映射I/O，也稱虛擬擬I/O，它它允許軟件引引用虛擬緩沖沖區(qū)地址。當(dāng)當(dāng)調(diào)用I/O指令時，，處理器利用用當(dāng)前進(jìn)程的的描述符表以以及映射寄存存器，把這些些虛擬地址解解釋成實際的的物理地址，，然后將得到到的物理地址址送給I/O設(shè)備。它它使得操作系系統(tǒng)從繁雜的的地址解釋與與訪問控制任任務(wù)中釋放出出來了。6.7I/O設(shè)備的訪訪問控制方式式4．全映射I/O全映射I/O對設(shè)備引用用的每個存儲儲區(qū)都能進(jìn)行行從虛擬地址址到實際物理理地址的解釋釋，設(shè)備被認(rèn)認(rèn)為是一個不不可信賴的主主體。它僅提提供欲讀／寫寫信息的存儲儲區(qū)的虛擬地地址。在安全全防線內(nèi)，解解釋硬件將把把虛擬地址解解釋成實際的的物理地址，，并進(jìn)行訪問問校驗。6.7.2輸輸入安全控控制建立輸入安全全控制，應(yīng)檢檢驗數(shù)據(jù)的合合法性和準(zhǔn)確確性。要進(jìn)入入系統(tǒng)的數(shù)據(jù)據(jù)，必須按正正確的格式與與內(nèi)容，先轉(zhuǎn)轉(zhuǎn)換到該類機(jī)機(jī)器可讀的媒媒體里。6.7I/O設(shè)備的訪訪問控制方式式1．輸人安全全控制原則輸入安全控制制應(yīng)遵循以下下基本原則：：（1）自動控控制應(yīng)盡可能能接近數(shù)據(jù)源源，且不得重重復(fù)控制。（2）防止分分散工作流程程，控制應(yīng)簡簡單和易于維維護(hù)。（3）應(yīng)提供供控制操作說說明文件，并并匯編成冊。。2．程序安全全控制對程序安全可可采用如下的的檢驗方法：：（1）記錄計計數(shù)（（2））極限校驗（3）運(yùn)算驗驗證（（4））標(biāo)號檢查6.7I/O設(shè)備的訪訪問控制方式式3．操作安全全控制（1）職責(zé)分分離：通過職職責(zé)分離，對對系統(tǒng)中變更