現(xiàn)代操作系統(tǒng)第15章

第9章

系統(tǒng)安全性

18.5文件保護(hù)

影響文件安全性的主要因素有：⑴人為因素；⑵系統(tǒng)因素；⑶自然因素。為確保文件系統(tǒng)的安全性，可采取的措施有：⑴通過存取控制機(jī)制來防止由人為因素所造成的文件的不安全性。⑵通過系統(tǒng)容錯(cuò)技術(shù)，來防止系統(tǒng)的部分故障所造成的文件不安全性。⑶通過后備系統(tǒng)來防止由自然因素所造成的不安全性。本節(jié)主要討論存取控制機(jī)制。28.5.1保護(hù)域(ProtectionDomain)(1)

保護(hù)域指出了進(jìn)程所能訪問的對(duì)象，每個(gè)對(duì)象都有唯一的名字，既可以是硬件對(duì)象，也可以是軟件對(duì)象。進(jìn)程僅在保護(hù)域內(nèi)執(zhí)行操作，一方面根據(jù)對(duì)象的不同，對(duì)對(duì)象所允許施加的操作有所不同。另一方面不允許進(jìn)程訪問所有對(duì)象，只允許進(jìn)程去訪問那些它必須去訪問的對(duì)象，這就是所謂的須知(ReadtoKnow)原則。

把一個(gè)進(jìn)程能對(duì)某對(duì)象執(zhí)行操作的權(quán)利稱為訪問權(quán)。每種訪問權(quán)可用一有序?qū)Γ▽?duì)象名，權(quán)集）來表示。域是一組對(duì)象訪問權(quán)的集合。F1[R]F2[RW]F3[R]

F4[RWE]

F6[RWE]PRINTER[W]

域1域2域3三個(gè)保護(hù)域38.5.1保護(hù)域(ProtectionDomain)(2)

進(jìn)程與域之間的兩種聯(lián)系：1、靜態(tài)聯(lián)系：指進(jìn)程的可用資源集在進(jìn)程的整個(gè)生命周期中是固定的。但由于進(jìn)程在運(yùn)行中，往往是在不同階段對(duì)資源以不同的方式來使用，因此必須有一種機(jī)制來改變域中的內(nèi)容，使之符合ReadtoKnow原則。在靜態(tài)聯(lián)系方式，應(yīng)允許修改域的內(nèi)容。2、動(dòng)態(tài)聯(lián)系：指進(jìn)程的可用資源集在其整個(gè)生命周期中是變化的。即進(jìn)程運(yùn)行在不同的階段時(shí)，需要從一個(gè)保護(hù)域切換到另一個(gè)保護(hù)域。因此，需要一種機(jī)制來實(shí)現(xiàn)這種切換，同時(shí)也應(yīng)允許改變域中的內(nèi)容。若不能改變域中的內(nèi)容，則可先創(chuàng)建一個(gè)所需要新域，在進(jìn)程運(yùn)行到下一階段時(shí)，再將進(jìn)程從原來的保護(hù)域切換到新的保護(hù)域。48.5.2訪問矩陣(AccessMatrix)

訪問矩陣用來描述系統(tǒng)的存取控制，其行代表域，列代表對(duì)象。矩陣中的每一項(xiàng)由一組訪問權(quán)組成。每一項(xiàng)訪問權(quán)access(i,j)定義了在域Di中執(zhí)行的進(jìn)程能對(duì)對(duì)象Qj施加的操作集。訪問矩陣中的訪問權(quán)通常是由資源的擁有者或管理者來決定。當(dāng)用戶創(chuàng)建一新文件時(shí)，創(chuàng)建者便是擁有者，系統(tǒng)在訪問矩陣中為新文件增加一列，由用戶決定在該列中各項(xiàng)應(yīng)具有的訪問權(quán)。當(dāng)用戶刪除此文件時(shí)，也要相應(yīng)地將該文件在訪問矩陣中的列取消。為實(shí)現(xiàn)進(jìn)程和域之間的動(dòng)態(tài)聯(lián)系，應(yīng)將切換作為一種權(quán)利，僅當(dāng)進(jìn)程擁有切換權(quán)時(shí)，才能進(jìn)行切換。為此，應(yīng)將域也作為對(duì)象，當(dāng)且僅當(dāng)switch∈access(i,j)時(shí)，才允許進(jìn)程從域Di切換到Dj。5訪問矩陣的例子對(duì)象域文件1文件2打印機(jī)1域D1域D2域D3D1RSD2R，WWSD3W68.5.3訪問矩陣的修改（1）

系統(tǒng)建立了訪問矩陣后，隨著系統(tǒng)的發(fā)展，用戶的增加和改變，必然要經(jīng)常對(duì)訪問矩陣進(jìn)行修改，因此，應(yīng)當(dāng)允許可控性地修改訪問矩陣中的內(nèi)容?？赏ㄟ^在訪問權(quán)中增加拷貝權(quán)、擁有權(quán)和控制權(quán)的方法來實(shí)現(xiàn)。78.5.3訪問矩陣的修改（2）一、拷貝權(quán):利用拷貝權(quán)可將某個(gè)域所擁有的訪問權(quán)(access(i,j))，擴(kuò)展到同一列中的其他域。

對(duì)象域FILE1FILE2FILE3D1EW*D2ER*ED3E對(duì)象域FILE1FILE2FILE3D1EW*D2ER*ED3ERW拷貝訪問權(quán)存在以下兩種變型：1、轉(zhuǎn)換拷貝權(quán)。實(shí)質(zhì)是轉(zhuǎn)移訪問權(quán)。2、限制拷貝權(quán)。接受訪問權(quán)拷貝的域，不能將該訪問權(quán)拷貝到其他域。88.5.3訪問矩陣的修改（3）二、所有權(quán)：不僅要求將已有的訪問權(quán)進(jìn)行有控制的擴(kuò)散，而且需要能增加或刪除某種訪問權(quán)。這可利用所有權(quán)來實(shí)現(xiàn)這些操作。若在access(i,j)中包含有所有權(quán)，則在域Di上執(zhí)行的進(jìn)程，可以增加或刪除在j列的任何項(xiàng)中的任何訪問權(quán)。換言之，該進(jìn)程可以增加或刪除在任何其他域中運(yùn)行的進(jìn)程對(duì)對(duì)象j的訪問權(quán)。98.5.3訪問矩陣的修改（4）三、控制權(quán)：拷貝權(quán)和所有權(quán)都是用于改變矩陣內(nèi)在同一列的各項(xiàng)訪問權(quán)，或者說是用于改變運(yùn)行在不同域中的進(jìn)程對(duì)同一對(duì)象的訪問權(quán)?？刂茩?quán)則用于改變矩陣內(nèi)一行中各項(xiàng)的訪問權(quán)，亦即用于改變某個(gè)域中運(yùn)行進(jìn)程對(duì)不同對(duì)象的訪問權(quán)。若access(i,j)中包含了控制權(quán)，則在域Di中運(yùn)行的進(jìn)程，可以刪除在域Dj中運(yùn)行的進(jìn)程對(duì)各對(duì)象的任何訪問權(quán)。

對(duì)象域文件1文件2打印機(jī)1域D1域D2域D3D1RSD2R，WWSD3Wcontrol上述的訪問矩陣是保護(hù)的基本機(jī)制。只是保護(hù)的一個(gè)方面，另一方面是有關(guān)保護(hù)的策略，即對(duì)每一個(gè)域允許有那些訪問權(quán)，必須由系統(tǒng)的設(shè)計(jì)者和用戶來決定。108.5.4訪問矩陣的實(shí)現(xiàn)（1）訪問矩陣是一個(gè)稀疏矩陣，目前實(shí)現(xiàn)的方法是將訪問矩陣按列劃分，或者按行劃分，分別形成訪問控制表或訪問權(quán)限表。一、訪問控制表(ACL)：指對(duì)訪問矩陣按列（對(duì)象）進(jìn)行劃分，為每列建立一張ACL，此時(shí)的ACL是由一有序?qū)Γㄓ?，?quán)集）組成。在不少系統(tǒng)中，當(dāng)對(duì)象是文件時(shí)，便把ACL存放在該文件的文件控制表或索引結(jié)點(diǎn)中，作為該文件的存取控制信息。域是一個(gè)抽象的概念，能以各種方式實(shí)現(xiàn)：11一、訪問控制表(ACL)(2)⑴每個(gè)用戶可以是一個(gè)域。對(duì)象則是文件。此時(shí)，用戶能夠訪問的文件集和訪問權(quán)限取決于用戶的身份。當(dāng)用戶發(fā)生改變時(shí)，進(jìn)行域的切換。⑵每個(gè)進(jìn)程是一個(gè)域。此時(shí)，能夠訪問的對(duì)象集中的各訪問權(quán)，取決于進(jìn)程的身份。

ACL也可用于定義缺省的訪問權(quán)集，即在該表中列出各個(gè)域?qū)δ硨?duì)象的缺省訪問權(quán)集。當(dāng)某用戶要訪問某資源時(shí)，系統(tǒng)首先查找缺省ACL，以確定用戶是否具有訪問權(quán)利，找不到，再查找相應(yīng)對(duì)象的ACL。128.5.4訪問矩陣的實(shí)現(xiàn)（2）二、訪問權(quán)限(Capabilities)表：把訪問矩陣按行（域）劃分，便可得到由一行構(gòu)成的訪問權(quán)限表，即由一個(gè)域?qū)γ恳粋€(gè)對(duì)象可以進(jìn)行的一組操作所構(gòu)成的表。表中的每一項(xiàng)即為該域?qū)δ骋粚?duì)象的訪問權(quán)限。當(dāng)域?yàn)橛脩?，?duì)象為文件時(shí)，訪問權(quán)限表便可用來描述一個(gè)用戶對(duì)每一個(gè)文件所能執(zhí)行的一組操作。對(duì)象域文件1文件2打印機(jī)1域D1域D2域D3D1RSD2R，WWSD3W類型權(quán)利對(duì)象文件打印機(jī)RW-W-指向文件2的指針指向打印機(jī)1指針對(duì)應(yīng)于域D2的訪問權(quán)限表13二、訪問權(quán)限(Capabilities)表

應(yīng)當(dāng)指出，只有當(dāng)訪問權(quán)限表是安全的，則由它所保護(hù)的對(duì)象才可能是安全的。因此，訪問權(quán)限表不允許用戶（進(jìn)程）直接訪問。對(duì)訪問權(quán)限表的保護(hù)可采用三種方式：⑴將訪問權(quán)限表存儲(chǔ)在系統(tǒng)區(qū)內(nèi)的一個(gè)專用區(qū)中，只允許OS對(duì)它進(jìn)行訪問。⑵為每個(gè)對(duì)象建立一個(gè)標(biāo)識(shí)位，用于標(biāo)明該對(duì)象是否要訪問權(quán)限表，該標(biāo)識(shí)不允許被用戶程序訪問。⑶可以將訪問權(quán)限表放在用戶空間，但須將表中的每一個(gè)訪問權(quán)限都譯成密碼。148.5.4訪問矩陣的實(shí)現(xiàn)（3）目前，大多數(shù)系統(tǒng)都同時(shí)采用訪問控制表和訪問權(quán)限表。在系統(tǒng)中為每個(gè)對(duì)象配置一張?jiān)L問控制表。當(dāng)一個(gè)進(jìn)程試圖首次訪問一個(gè)對(duì)象時(shí)，必須先檢查訪問控制表，檢查進(jìn)程是否具有對(duì)該對(duì)象的訪問權(quán)。如果無權(quán)訪問該對(duì)象，由系統(tǒng)來拒絕該進(jìn)程的訪問，否則，允許該進(jìn)程訪問該對(duì)象而為之建立一訪問權(quán)限，并將它連接到該進(jìn)程。以后進(jìn)程便可直接利用返回的權(quán)限去訪問該對(duì)象。當(dāng)進(jìn)程不再需要對(duì)該對(duì)象進(jìn)行訪問時(shí)，便可將訪問權(quán)限取消。158.5.5分級(jí)安全管理（1）一、系統(tǒng)級(jí)安全管理：其主要任務(wù)是不允許未經(jīng)核準(zhǔn)的用戶進(jìn)入系統(tǒng)，采用的方法主要有：1、注冊(cè)：其主要目的是使系統(tǒng)管理員能夠掌握要使用系統(tǒng)的用戶的情況，并保證用戶名在系統(tǒng)中的唯一性。一用戶在要使用系統(tǒng)之前，應(yīng)先申請(qǐng)注冊(cè)，由管理員在用戶表中找出一空項(xiàng)，填上注冊(cè)用戶的用戶名和口令。2、登錄：注冊(cè)用戶要使用系統(tǒng)，需進(jìn)行登錄。登錄的主要目的是核實(shí)用戶的合法性。3、若干措施。規(guī)定定期修改口令、指定上機(jī)終端、指定上機(jī)時(shí)間等。168.5.5分級(jí)安全管理（2）二、用戶級(jí)安全管理：這是為給用戶分配“文件訪問權(quán)”而設(shè)計(jì)的。用戶級(jí)安全包括對(duì)所有用戶分類和為指定用戶分配文件訪問權(quán)兩方面的內(nèi)容。1、用戶分類：有的系統(tǒng)，用戶被分成三類：⑴文件主，指文件的創(chuàng)建者。⑵伙伴，由文件主指定的少數(shù)用戶。⑶一般用戶。有的系統(tǒng)，則把用戶分為：⑴超級(jí)用戶，具有最高文件訪問權(quán)的用戶。⑵系統(tǒng)操作員。系統(tǒng)賦予其較高的文件訪問權(quán)。⑶用戶。⑷顧客。系統(tǒng)限定他只能訪問某些特定文件。17二、用戶級(jí)安全管理2、文件訪問權(quán)：已經(jīng)在系統(tǒng)中登錄的用戶都具有指定的訪問權(quán)。訪問權(quán)決定了用戶對(duì)文件所能執(zhí)行的操作。當(dāng)對(duì)某用戶賦予其訪問指定目錄的權(quán)限時(shí)，他便具有了對(duì)該目錄下的所有子目錄和文件的訪問權(quán)。某種訪問權(quán)也可賦予一個(gè)用戶組，這時(shí)該組的每個(gè)成員便都具有這種訪問權(quán)?？梢远x八種訪問權(quán)：建立、刪除、打開、讀、寫、查詢（查找目錄文件）、修改、父權(quán)（允許建立/改名/刪除子目錄，具有對(duì)某些用戶賦予對(duì)目錄和子目錄的訪問權(quán)。）188.5.5分級(jí)安全管理（3）三、目錄級(jí)安全管理：是為保護(hù)系統(tǒng)中的各種目錄而設(shè)計(jì)的，與用戶權(quán)限無關(guān)。并規(guī)定只有系統(tǒng)核心才有寫目錄的權(quán)利。用戶對(duì)目錄的讀/寫和執(zhí)行與一般文件中的讀/寫和執(zhí)行的含義不同：這里的讀許可權(quán)表示進(jìn)程讀目錄，寫許可權(quán)表示允許進(jìn)程請(qǐng)求核心為之建立或撤消目錄項(xiàng)；執(zhí)行許可權(quán)表示允許進(jìn)程檢索目錄，找出一指定文件。通常，系統(tǒng)分別地為用戶和目錄獨(dú)立地指定權(quán)限。當(dāng)一用戶試圖訪問一目錄時(shí)，核心將通過對(duì)用戶訪問權(quán)和目錄中的訪問權(quán)的比較后，用戶才能獲得有效訪問權(quán)，即有效訪問權(quán)是上述兩個(gè)權(quán)限的交集。用戶的訪問權(quán)限只有在有效權(quán)限內(nèi)時(shí)，才允許用戶訪問。198.5.5分級(jí)安全管理（4）四、文件級(jí)安全管理：是通過系統(tǒng)管理員或文件主對(duì)文件屬性的設(shè)置，