操作系统课件.ppt

P1,操作系统,甘页昌ganyechang,P2,第一章概论1.4从不同角度刻画操作系统,P3,多角度看操作系统（1）,概述操作系统涉及的知识很广，其理论也是近代逐步形成的，因此关于如何才能真正认识操作系统，也就成了一大难题根据以往的教学经验，以及对学生关于操作系统学习的了解，该课程难教，也难学。设计开发一个操作系统涉及到数据结构、计算机算法、数理逻辑、编译原理、汇编语言、C语言等，还涉及到图形学、美学、心理学、甚至经济学等等所以从不同的角度去认识操作系统，会有不同的观点。用户观点用户主要关注如何使用计算机，其实不关注内核只知道操作系统的功能，感觉上OS就是一个黑盒子装配了OS的计算机与裸机迥然不同：使用户更方便使用计算机相当于构造了一台虚拟机提供的操作命令决定了虚拟机的功能,P4,多角度看操作系统（2）,资源管理观点该观点是从计算机系统角度考虑问题。计算机系统由硬件和软件两大部分组成，即：硬件和软件资源，按其性质可归为四大类：处理机存储器外部设备文件(程序和数据)模块分层观点如何形成操作系统的构架，用模块分层观点讨论模块之间的关系，讨论如何安排连结这些程序模块才能构造一个结构简单清晰、逻辑正确、便于分析和实现的操作系统。资源管理观点回答了整个操作系统是由哪几部分组成的，并且利用进程观点指明了这些资源管理程序在什么时候开始起作用，以及它们在执行过程中是如何相互联系的。,P5,多角度看操作系统（3）,进程观点通常我们把程序的一次执行过程叫做一个进程进程被创建、运行直至被撤消完成其使命从进程角度来分析操作系统，则所有进程的活动就构成了操作系统的当前行为在每一个瞬间都有一棵进程家族树，它展示着操作系统行为主体的一个快照。,P6,多角度看操作系统（4）,P7,第一章1.11.4小结,计算机历史及OS的发展（计算机的四个阶段）操作系统类型（批处理、单道程序设计、多道程序设计、分时、实时、网络系统、分布式系统等）操作系统的基本概念（4大模块、特性、性能指标）分析操作系统的几种观点（1.4）操作系统的用户界面（硬件接口、系统调用）课外思考题：普适计算针对普适计算，操作系统应如何发展,P8,系统软件和操作系统,P9,用户、程序员、操作系统设计者与操作系统的关系,P10,现代操作系统的发展,P11,操作系统4大功能模块,P12,第一章概论1.5安全操作系统,P13,内容提纲,安全操作系统的重要性安全评价准则常用操作系统与安全级别的对应举例安全模型B-LP小结,P14,安全操作系统的重要性,操作系统是应用软件同系统硬件的接口，其目标是：高效地、最大限度地、合理地使用计算机资源若没有安全操作系统的支持，会导致：数据库不安全：不可能具有存取控制的安全性网络系统不安全：不可能有网络系统的安全性应用软件不安全：不会有应用软件信息的安全性安全操作系统是整个计算机系统安全的基础网络系统的安全性依赖于网络中各主机的安全性主机系统的安全性决定于其操作系统的安全性网络应用的安全性依赖于主机系统的安全性安全的操作系统依赖于安全的CPU芯片,1、计算接系统的安全性，依赖于安全的CPU芯片和安全的操作系统2、安全操作系统的研发分为四个阶段：建立模型、系统设计、可信度检测和系统实现,P15,主要的安全评价准则（1）,第一个计算机安全评价标准TCSEC(TrustedComputerSystemEvaluationCriteria)，“可信计算机系统安全评价标准”又称橙皮书，美国国防部于1983年提出并于1985年批准大家以TCSEC为蓝本研制安全操作系统TCSEC为安全系统指定了一个统一的系统安全策略：自主访问控制策略强制访问控制策略这些子策略紧密地结合在一起形成一个单一的系统安全策略,P16,主要的安全评价准则（2）,其他安全系统标准欧洲的ITSEC加拿大的CTSEC美国联邦准则FC联合公共准则CCISO安全体系结构标准ISO7498-2-1989不同的安全环境有不同的安全需求需要制定不同的安全策略采用不同的安全模型使用不同的安全功能,P17,D：最小保护级C1：自主安全保护级C2：受控访问保护级B1：标签安全保护级B2：结构化保护级B3：安全区域保护级A1：经过验证的保护级超A1其中：C：自主访问等级C1/C2B：强制访问控制B1/B2/B3,保障需求,安全特性需求,TCSEC的构成与等级结构,C级,B级,P18,可信计算机系统评估标准TCSEC,D最低等级；C系统特权分化（按角色分化）；B强制访问控制（标签）；A可验证的保护级别,P19,操作系统安全级别举例,DOSD级LinuxC1级WindowsNTC2级SolarisC2级UnixB1级,P20,自主访问控制功能（C1级）,Linux的自主访问控制普通Linux只支持简单形式的自主访问控制由资源的拥有者根据三类群体指定用户对资源的访问权即：拥有者Owner、同组者Group、其他人Other等超级用户root不受访问权的制约高度极权化的Linux普通Linux采用极权化的方式设立一个root超级用户可对系统及其中的信息执行任何操作攻击者只要破获root用户的口令，便可进入系统并完全控制系统,P21,系统特权分化（C2级）,根据“最小特权”原则对系统管理员的特权进行分化根据系统管理任务设立角色依据角色划分特权典型的系统管理角色有：系统管理员负责系统的安装、管理和日常维护，如安装软件、增添用户账号、数据备份等安全管理员负责安全属性的设定与管理审计管理员等负责配置系统的审计行为和管理系统的审计信息一个管理角色不拥有另一个管理角色的特权攻击者破获某个管理角色的口令时不会得到对系统的完全控制,P22,强制访问控制功能（B级）,Bell&LaPadula强制访问控制模型为主体和客体提供标签支持主体用户、进程等实施操作的一方客体文件、目录、设备、IPC机制等受操作的一方根据设定的不同的标签进行控制主体和客体都有标签设置系统根据主体与客体的标签匹配关系强制实行访问控制符合匹配规则的准许访问否则拒绝访问，无论主体是普通用户还是特权用户。例如：标签为则可以查看“国防部”的信息，其密级不超过“秘密”级比如：密级可以分为：“非密”、“秘密”、“机密”、“绝密”等等级别,P23,Bell&LaPadula模型（一）,Bell&LaPadula模型，简称BLP模型由D.E.Bell和L.J.LaPadula在1973年提出是第一个可证明的安全系统的数学模型BLP模型是根据军方的安全政策设计的它要解决的本质问题是对具有密级划分的信息的访问进行控制BLP模型是一个状态机模型它定义的系统，包含：一个初始状态Z0三元组（请求R，判定D，状态S）组成的序列即：BLPZ0,R,D,S状态S是一个四元组：S（b,M,f,H）其中：b（主体i，客体j，访问方式x），是当前访问集合访问方式x=只可读r，只可写a，可读写w，可执行eM是访问控制矩阵f是安全级别函数，用于确定任意主体和客体的安全级别H是客体间的层次关系,P24,Bell&LaPadula模型（二）,抽象出的访问方式x有四种，分别是:只可读r只可写a可读写w不可读写（可执行）e主体的安全级别level包括最大安全级别，通常简称为安全级别当前安全级别如果一个系统的初始状态Z0是安全的，并且三元组序列中的所有状态S都是安全的，那么这样的系统就是一个安全系统,P25,Bell&LaPadula模型（三）,以下特性和定理构成了BLP模型的核心内容。简单安全特性（ss特性）：如果当前访问是b(主体，客体，只可读r)，那么一定有：level(主体)level(客体)其中，level表示安全级别。星号安全特性（*特性）：在任意状态，如果(主体，客体，方式)是当前访问，那么一定有：(1)若方式是a，则：current_level(主体)level(客体)(2)若方式是w，则：current_level(主体)level(客体)(3)若方式是r，则：current_level(主体)level(客体)其中，current_level表示当前安全级别。,P26,Bell&LaPadula模型（四）,自主安全特性（ds特性）：如果（主体i，客体j，方式x）是当前访问，那么，方式x一定在访问控制矩阵M的元素Mij中。ds特性处理自主访问控制，自主访问控制的权限由客体的拥有者自主确定ss特性和*特性处理的是强制访问控制。强制访问控制的权限由特定的安全管理员确定，由系统强制实施。基本安全定理：如果系统状态的每一次变化都能满足ss特性、*特性和ds特性的要求，那么，在系统的整个状态变化过程中，系统的安全性是不会被破坏的。BLP模型支持的是信息的保密性。,P27,标签,标签有等级分类和非等级类别：等级分类与整数相当，可以比较大小；可设置为：非密、秘密、机密、绝密等，非等级类别与集合相当，不能比较大小，但存在包含与非包含关系。可设置为：国防部、外交部、财政部等级例如：当一个用户的标签为时他可以查看“国防部”的不超过“秘密”级的信息任何用户（包括特权用户），只要标签不符合要求都不能对指定信息进行访问不管他原来的权利有多大（比如系统管理员）这为信息的保护提供了强有力的措施普通Linux无法做到这一点,P28,小结,安全操作系统是安全计算机系统的根基评价安全操作系统的标准TCSEC安全模型BLP（适合B标准）参考文献：“安全操作系统研究的发展”石文昌，中国科学院软件研究所计算机科学Vol.29No.6和Vol.29No.7,P29,特洛伊木马（1）,“特洛伊木马”（trojanhorse）简称“木马”这个名称来源于希腊神话木马屠城记古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为“特洛伊木马”如今黑客程序借用其名，有“一经潜入，后患无穷”之意,P30,特洛伊木马（2）,完整的木马程序一般由两个部分组成：一个是服务器程序一个是控制器程序。“中了木马”就是指安装了木马的服务器程序若电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制该电脑（肉机）自主访问控制的缺陷，避免不了“木马”侵入BLP模型可以防范“木马”，支持信息的保密性（B1）,P31,特洛伊木马（3）,特洛伊木马：SOS安全操作系统（SOS）将重要信息放在important文件中，该文件允许SOS有R/W权限SPY窃贼程序（SPY）设计了一个Use_it程序含木马程序，并准备了一个Pocket文件，并使得SOS仅可以对它进行写入:W，而SPY可以对Pocket进行读和写:R/W。当SOS执行到木马程序时，木马会将important文件的信息，写入Pocket中,P32,特洛伊木马示例,Important文件，它含有SOS的秘密数据,pocket文件,它在悄悄地接收木马程序写入的数据,Use_it,P33,主体与客体赋予安全级,主体和客体赋予安全级别SOS:high安全级，important:high安全级SPY:low安全级，pocket：low安全级当SOS执行木马程序时，木马程序也同样获得SOS的安全级别，即:high，所以木马程序可以读出important文件，但当木马程序向pocket文件写入时，“引用监控器会拒绝”，因为pocket文件的安全级低于木马程序的安全级，所以禁止写操作根据BLP模型，高安全级主体只允许对低安全级的客体进行读操作，而不许写！,P34,对特洛伊木马的防范,采用BLP模型的引用监控器防范特洛伊木马,P35,引用监控器示意图（B3安全级）,引用监控器,P36,标准化机构在信息安全方面的工作-1,1985年，DoD520028STD，即可信计算机系统评测标准（TCSEC，美国国防部桔皮书，以下简称DOD85评测标准）1987年，美国国家计算机安全中心（NCSC）为TCSEC桔皮书提出可依赖网络解释（TNI），通常被称作红皮书1991年，美国国家计算机安全中心（NCSC）为TCSEC桔皮书提出可依赖数据库管理系统解释（TDI）1996年在上述标准的基础上，美国、加拿大和欧洲联合研制CC（信息技术安全评测公共标准，TheCommonCriteriaforInformationTechnologySecurityEvaluation，CCforITSEC），颁布了CC1.0版此后美国不再受理以TCSEC为制度的评价申请，所有的安全评价都按照CC进行CC将安全功能和安全保证分离,P37,标准化机构在信息安全方面的工作-2,在欧洲，由英国