3、第1章(3)PPT優(yōu)秀課件

1、P1 操作系統(tǒng)操作系統(tǒng) 甘頁昌甘頁昌 P2 第一章第一章 概論概論 1.4 從不同角度從不同角度 刻畫操作系統(tǒng)刻畫操作系統(tǒng) P3 多角度看操作系統(tǒng)（多角度看操作系統(tǒng)（1） 概述概述 u操作系統(tǒng)涉及的知識(shí)很廣，其理論也是近代逐步形成的，操作系統(tǒng)涉及的知識(shí)很廣，其理論也是近代逐步形成的， 因此關(guān)于如何才能真正認(rèn)識(shí)操作系統(tǒng)，也就成了一大難題因此關(guān)于如何才能真正認(rèn)識(shí)操作系統(tǒng)，也就成了一大難題 u根據(jù)以往的教學(xué)經(jīng)驗(yàn)，以及對(duì)學(xué)生關(guān)于操作系統(tǒng)學(xué)習(xí)的根據(jù)以往的教學(xué)經(jīng)驗(yàn)，以及對(duì)學(xué)生關(guān)于操作系統(tǒng)學(xué)習(xí)的 了解，該課程難教，也難學(xué)。了解，該課程難教，也難學(xué)。 u設(shè)計(jì)開發(fā)一個(gè)操作系統(tǒng)涉及到數(shù)據(jù)結(jié)構(gòu)、計(jì)算機(jī)算法、設(shè)計(jì)開發(fā)

2、一個(gè)操作系統(tǒng)涉及到數(shù)據(jù)結(jié)構(gòu)、計(jì)算機(jī)算法、 數(shù)理邏輯、編譯原理、匯編語言、數(shù)理邏輯、編譯原理、匯編語言、C語言等，還涉及到圖語言等，還涉及到圖 形學(xué)、美學(xué)、心理學(xué)、甚至經(jīng)濟(jì)學(xué)等等形學(xué)、美學(xué)、心理學(xué)、甚至經(jīng)濟(jì)學(xué)等等 u所以從不同的角度去認(rèn)識(shí)操作系統(tǒng)，會(huì)有不同的觀點(diǎn)。所以從不同的角度去認(rèn)識(shí)操作系統(tǒng)，會(huì)有不同的觀點(diǎn)。 用戶觀點(diǎn)用戶觀點(diǎn) u用戶主要關(guān)注如何使用計(jì)算機(jī)，其實(shí)不關(guān)注內(nèi)核用戶主要關(guān)注如何使用計(jì)算機(jī)，其實(shí)不關(guān)注內(nèi)核 u只知道操作系統(tǒng)的功能，感覺上只知道操作系統(tǒng)的功能，感覺上OS就是一個(gè)黑盒子就是一個(gè)黑盒子 u裝配了裝配了OS的計(jì)算機(jī)與裸機(jī)迥然不同：的計(jì)算機(jī)與裸機(jī)迥然不同： n使用戶更方便使用計(jì)算

3、機(jī)使用戶更方便使用計(jì)算機(jī) n相當(dāng)于構(gòu)造了一臺(tái)虛擬機(jī)相當(dāng)于構(gòu)造了一臺(tái)虛擬機(jī) n提供的操作命令決定了虛擬機(jī)的功能提供的操作命令決定了虛擬機(jī)的功能 P4 多角度看操作系統(tǒng)（多角度看操作系統(tǒng)（2） 資源管理觀點(diǎn)資源管理觀點(diǎn) u該觀點(diǎn)是從計(jì)算機(jī)系統(tǒng)角度考慮問題。計(jì)算機(jī)系統(tǒng)由該觀點(diǎn)是從計(jì)算機(jī)系統(tǒng)角度考慮問題。計(jì)算機(jī)系統(tǒng)由 硬件和軟件兩大部分組成，即：硬件和軟件資源，按硬件和軟件兩大部分組成，即：硬件和軟件資源，按 其性質(zhì)可歸為四大類：其性質(zhì)可歸為四大類： n處理機(jī)處理機(jī) n存儲(chǔ)器存儲(chǔ)器 n外部設(shè)備外部設(shè)備 n文件文件(程序和數(shù)據(jù)程序和數(shù)據(jù)) 模塊分層觀點(diǎn)模塊分層觀點(diǎn) u如何形成操作系統(tǒng)的構(gòu)架，用模塊分層觀

4、點(diǎn)討論模塊如何形成操作系統(tǒng)的構(gòu)架，用模塊分層觀點(diǎn)討論模塊 之間的關(guān)系，討論如何安排連結(jié)這些程序模塊才能構(gòu)之間的關(guān)系，討論如何安排連結(jié)這些程序模塊才能構(gòu) 造一個(gè)結(jié)構(gòu)簡(jiǎn)單清晰、邏輯正確、便于分析和實(shí)現(xiàn)的造一個(gè)結(jié)構(gòu)簡(jiǎn)單清晰、邏輯正確、便于分析和實(shí)現(xiàn)的 操作系統(tǒng)。操作系統(tǒng)。 u資源管理觀點(diǎn)回答了整個(gè)操作系統(tǒng)是由哪幾部分組成資源管理觀點(diǎn)回答了整個(gè)操作系統(tǒng)是由哪幾部分組成 的，并且利用進(jìn)程觀點(diǎn)指明了這些資源管理程序在什的，并且利用進(jìn)程觀點(diǎn)指明了這些資源管理程序在什 么時(shí)候開始起作用，以及它們?cè)趫?zhí)行過程中是如何相么時(shí)候開始起作用，以及它們?cè)趫?zhí)行過程中是如何相 互聯(lián)系的。互聯(lián)系的。 應(yīng)應(yīng) 用用 軟軟 件件 操

5、操 作作 系系 統(tǒng)統(tǒng) 硬件硬件 數(shù)據(jù)庫(kù)管理系統(tǒng)數(shù)據(jù)庫(kù)管理系統(tǒng) 網(wǎng)絡(luò)與通信軟件網(wǎng)絡(luò)與通信軟件 實(shí)用程序與工實(shí)用程序與工 具軟件具軟件 語言處理程序語言處理程序 P5 多角度看操作系統(tǒng)（多角度看操作系統(tǒng)（3） 進(jìn)程觀點(diǎn)進(jìn)程觀點(diǎn) u通常我們把程序的一次執(zhí)行過程叫做一個(gè)通常我們把程序的一次執(zhí)行過程叫做一個(gè) 進(jìn)程進(jìn)程 n進(jìn)程被創(chuàng)建、運(yùn)行直至被撤消完成其使命進(jìn)程被創(chuàng)建、運(yùn)行直至被撤消完成其使命 u從進(jìn)程角度來分析操作系統(tǒng)，則所有進(jìn)程從進(jìn)程角度來分析操作系統(tǒng)，則所有進(jìn)程 的活動(dòng)就構(gòu)成了操作系統(tǒng)的當(dāng)前行為的活動(dòng)就構(gòu)成了操作系統(tǒng)的當(dāng)前行為 u在每一個(gè)瞬間都有一棵進(jìn)程家族樹，它展在每一個(gè)瞬間都有一棵進(jìn)程家族樹，它

6、展 示著操作系統(tǒng)行為主體的一個(gè)快照。示著操作系統(tǒng)行為主體的一個(gè)快照。 P6 多角度看操作系統(tǒng)（多角度看操作系統(tǒng)（4） 初始化初始化 外部復(fù)位外部復(fù)位 用戶中斷用戶中斷 進(jìn)進(jìn) 程程 進(jìn)程進(jìn)程 A2A2 進(jìn)程進(jìn)程 A1A1 進(jìn)程進(jìn)程 B2B2 進(jìn)程進(jìn)程 B1B1 進(jìn)程進(jìn)程 X2X2 進(jìn)程進(jìn)程 X1X1 系統(tǒng)數(shù)據(jù)基系統(tǒng)數(shù)據(jù)基 文件管理文件管理 數(shù)據(jù)結(jié)構(gòu)數(shù)據(jù)結(jié)構(gòu) 設(shè)備管理設(shè)備管理 數(shù)據(jù)結(jié)構(gòu)數(shù)據(jù)結(jié)構(gòu) 內(nèi)存管理內(nèi)存管理 數(shù)據(jù)結(jié)構(gòu)數(shù)據(jù)結(jié)構(gòu) 進(jìn)程控制塊進(jìn)程控制塊 中斷表中斷表 守護(hù)進(jìn)程守護(hù)進(jìn)程 demondemon 中斷管理中斷管理 操作系統(tǒng)中的進(jìn)程操作系統(tǒng)中的進(jìn)程 P7 第一章第一章 1.11.4小結(jié)小結(jié)

7、計(jì)算機(jī)歷史及計(jì)算機(jī)歷史及OS的發(fā)展（計(jì)算機(jī)的四個(gè)階段）的發(fā)展（計(jì)算機(jī)的四個(gè)階段） 操作系統(tǒng)類型（批處理、單道程序設(shè)計(jì)、多道程序操作系統(tǒng)類型（批處理、單道程序設(shè)計(jì)、多道程序 設(shè)計(jì)、分時(shí)、實(shí)時(shí)、網(wǎng)絡(luò)系統(tǒng)、分布式系統(tǒng)等）設(shè)計(jì)、分時(shí)、實(shí)時(shí)、網(wǎng)絡(luò)系統(tǒng)、分布式系統(tǒng)等） 操作系統(tǒng)的基本概念（操作系統(tǒng)的基本概念（4大模塊、特性、性能指標(biāo)）大模塊、特性、性能指標(biāo)） 分析操作系統(tǒng)的幾種觀點(diǎn)（分析操作系統(tǒng)的幾種觀點(diǎn)（1.4） 操作系統(tǒng)的用戶界面（硬件接口、系統(tǒng)調(diào)用）操作系統(tǒng)的用戶界面（硬件接口、系統(tǒng)調(diào)用） 課外思考題：課外思考題： u普適計(jì)算普適計(jì)算 u針對(duì)普適計(jì)算，操作系統(tǒng)應(yīng)如何發(fā)展針對(duì)普適計(jì)算，操作系統(tǒng)應(yīng)如何發(fā)

8、展 P8 系統(tǒng)軟件和操作系統(tǒng)系統(tǒng)軟件和操作系統(tǒng) 硬件硬件 軟件軟件-硬件接口硬件接口 操作系統(tǒng)操作系統(tǒng) 操作系統(tǒng)接口操作系統(tǒng)接口 其他系統(tǒng)軟件其他系統(tǒng)軟件 應(yīng)用程序接口應(yīng)用程序接口 應(yīng)用軟件應(yīng)用軟件 資資 源源 抽抽 象象 資資 源源 共共 享享 P9 用戶、程序員、操作系統(tǒng)設(shè)計(jì)者用戶、程序員、操作系統(tǒng)設(shè)計(jì)者 與操作系統(tǒng)的關(guān)系與操作系統(tǒng)的關(guān)系 計(jì)算機(jī)硬件計(jì)算機(jī)硬件 編程接口編程接口 操作系統(tǒng)操作系統(tǒng) 系統(tǒng)調(diào)用系統(tǒng)調(diào)用 系統(tǒng)程序系統(tǒng)程序/使用程序使用程序 API GUI/API 應(yīng)用程序應(yīng)用程序 用戶終端用戶終端 程序員程序員 操作系統(tǒng)操作系統(tǒng) 設(shè)計(jì)者設(shè)計(jì)者 P10 多道批處理系統(tǒng)多道批處理系統(tǒng)

9、 分時(shí)系統(tǒng)分時(shí)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)系統(tǒng) 實(shí)時(shí)系統(tǒng)實(shí)時(shí)系統(tǒng) 個(gè)人計(jì)算機(jī)和個(gè)人計(jì)算機(jī)和 工作站系統(tǒng)工作站系統(tǒng) 現(xiàn)代操作系統(tǒng)現(xiàn)代操作系統(tǒng) 存儲(chǔ)管理 保護(hù) 調(diào)度 文件 設(shè)備 存儲(chǔ)管理 保護(hù) 調(diào)度 系統(tǒng)軟件 人-機(jī)界面 客戶-服務(wù)器模式 協(xié)議 調(diào)度 P11 操作系統(tǒng)操作系統(tǒng)4大功能模塊大功能模塊 進(jìn)程與資進(jìn)程與資 源管理源管理 文件管理文件管理 存儲(chǔ)管理存儲(chǔ)管理設(shè)備管理設(shè)備管理 處理機(jī)處理機(jī)主存主存 設(shè)備設(shè)備 計(jì)算機(jī)硬件計(jì)算機(jī)硬件 抽象計(jì)算環(huán)境抽象計(jì)算環(huán)境 程序程序 進(jìn)程進(jìn)程 P12 第一章第一章 概論概論 1.5 安全操作系統(tǒng)安全操作系統(tǒng) P13 內(nèi)容提綱內(nèi)容提綱 v 安全操作系統(tǒng)的重要性安全操作系統(tǒng)的重

10、要性 v 安全評(píng)價(jià)準(zhǔn)則安全評(píng)價(jià)準(zhǔn)則 v 常用操作系統(tǒng)與安全級(jí)別的對(duì)應(yīng)舉例常用操作系統(tǒng)與安全級(jí)別的對(duì)應(yīng)舉例 v 安全模型安全模型 B-LPB-LP v 小結(jié)小結(jié) P14 安全操作系統(tǒng)的重要性安全操作系統(tǒng)的重要性 操作系統(tǒng)是應(yīng)用軟件同系統(tǒng)硬件的接口，其目標(biāo)是： u高效地、最大限度地、合理地使用計(jì)算機(jī)資源 若沒有安全操作系統(tǒng)的支持，會(huì)導(dǎo)致： u數(shù)據(jù)庫(kù)不安全：不可能具有存取控制的安全性 u網(wǎng)絡(luò)系統(tǒng)不安全：不可能有網(wǎng)絡(luò)系統(tǒng)的安全性 u應(yīng)用軟件不安全：不會(huì)有應(yīng)用軟件信息的安全性 安全操作系統(tǒng)是整個(gè)計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ) u網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各主機(jī)的安全性 u主機(jī)系統(tǒng)的安全性決定于其操作系統(tǒng)的安全性

11、 u網(wǎng)絡(luò)應(yīng)用的安全性 依賴于主機(jī)系統(tǒng)的安全性 安全的操作系統(tǒng)依賴于安全的CPU芯片 1 1、計(jì)算接系統(tǒng)的安全性，依賴于安全的、計(jì)算接系統(tǒng)的安全性，依賴于安全的 CPUCPU芯片和安全的操作系統(tǒng)芯片和安全的操作系統(tǒng) 2 2、安全操作系統(tǒng)的研發(fā)分為四個(gè)階段：、安全操作系統(tǒng)的研發(fā)分為四個(gè)階段： 建立模型、系統(tǒng)設(shè)計(jì)、可信度檢測(cè)和系建立模型、系統(tǒng)設(shè)計(jì)、可信度檢測(cè)和系 統(tǒng)實(shí)現(xiàn)統(tǒng)實(shí)現(xiàn) P15 主要的安全評(píng)價(jià)準(zhǔn)則（主要的安全評(píng)價(jià)準(zhǔn)則（1 1） 第一個(gè)計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn) uTCSEC (Trusted Computer System Evaluation Criteria)， “可信計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)標(biāo)準(zhǔn)” u

12、又稱橙皮書，美國(guó)國(guó)防部于1983年提出并于1985 年批準(zhǔn) u大家以TCSEC 為藍(lán)本研制安全操作系統(tǒng) TCSEC為安全系統(tǒng)指定了一個(gè)統(tǒng)一的系統(tǒng)安全策略： u自主訪問控制策略 u強(qiáng)制訪問控制策略 這些子策略緊密地結(jié)合在一起形成一個(gè)單一的系統(tǒng)安全策略 P16 主要的安全評(píng)價(jià)準(zhǔn)則（主要的安全評(píng)價(jià)準(zhǔn)則（2 2） 其他安全系統(tǒng)標(biāo)準(zhǔn) u歐洲的ITSEC u加拿大的CTSEC u美國(guó)聯(lián)邦準(zhǔn)則FC u聯(lián)合公共準(zhǔn)則CC uISO安全體系結(jié)構(gòu)標(biāo)準(zhǔn)ISO7498-2-1989 不同的安全環(huán)境有不同的安全需求 u需要制定不同的安全策略 u采用不同的安全模型 u使用不同的安全功能 P17 D D： 最小保護(hù)級(jí)最小保護(hù)

13、級(jí) C1C1：自主安全保護(hù)級(jí)自主安全保護(hù)級(jí) C2C2：受控訪問保護(hù)級(jí)受控訪問保護(hù)級(jí) B1B1：標(biāo)簽安全保護(hù)級(jí)標(biāo)簽安全保護(hù)級(jí) B2B2：結(jié)構(gòu)化保護(hù)級(jí)結(jié)構(gòu)化保護(hù)級(jí) B3B3：安全區(qū)域保護(hù)級(jí)安全區(qū)域保護(hù)級(jí) A1A1：經(jīng)過驗(yàn)證的保護(hù)級(jí)經(jīng)過驗(yàn)證的保護(hù)級(jí) 超超A1A1 其中：其中： C C：自主訪問等級(jí)：自主訪問等級(jí) C1/C2 C1/C2 B B：強(qiáng)制訪問控制：強(qiáng)制訪問控制 B1/B2/B3 B1/B2/B3 保障需求保障需求安全特安全特 性需求性需求 TCSEC TCSEC 的構(gòu)成與等級(jí)結(jié)構(gòu)的構(gòu)成與等級(jí)結(jié)構(gòu) C C級(jí)級(jí) B B級(jí)級(jí) P18 可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn) TCSECTCS

14、EC 級(jí)別 名 稱 主 要 特 征 A1 驗(yàn)證設(shè)計(jì)級(jí) 形式化驗(yàn)證安全模型，形式化隱蔽通道分析 B3 安全區(qū)域保護(hù)級(jí) 安全內(nèi)核，高抗?jié)B透能力 B2結(jié)構(gòu)化保護(hù)級(jí) 形式化安全模型，隱密通道約束，面向安全的體 系結(jié)構(gòu)，較好的抗?jié)B透能力 B1標(biāo)簽安全保護(hù)級(jí) 強(qiáng)制訪問控制，安全標(biāo)識(shí)，刪去安全相關(guān)的缺陷 C2受控存取保護(hù)級(jí) 受控自主訪問控制，增加審核機(jī)制，記錄安全性 事件(增加了身份證級(jí)別的驗(yàn)證) C1自主安全保護(hù)級(jí) 自主訪問控制(主要依據(jù)賬號(hào)授權(quán)) D最小保護(hù)級(jí)最低等級(jí) D D最低等級(jí)；最低等級(jí)；C C系統(tǒng)特權(quán)分化（按角色分化）；系統(tǒng)特權(quán)分化（按角色分化）； B B強(qiáng)制訪問控制（標(biāo)簽）；強(qiáng)制訪問控制（標(biāo)簽

15、）；A A可驗(yàn)證的保護(hù)級(jí)別可驗(yàn)證的保護(hù)級(jí)別 P19 操作系統(tǒng)安全級(jí)別舉例操作系統(tǒng)安全級(jí)別舉例 DOS DOS D D級(jí)級(jí) Linux Linux C1C1級(jí)級(jí) Windows NT Windows NT C2C2級(jí)級(jí) Solaris Solaris C2C2級(jí)級(jí) Unix Unix B1B1級(jí)級(jí) P20 自主訪問控制功能（自主訪問控制功能（C1級(jí)）級(jí)） Linux的自主訪問控制 u普通Linux只支持簡(jiǎn)單形式的自主訪問控制 n由資源的擁有者根據(jù)三類群體指定用戶對(duì)資源的訪 問權(quán) 即：擁有者Owner、同組者Group、其他人Other等 n超級(jí)用戶root不受訪問權(quán)的制約 高度極權(quán)化的Linux

16、 u普通Linux采用極權(quán)化的方式 n設(shè)立一個(gè)root超級(jí)用戶 可對(duì)系統(tǒng)及其中的信息執(zhí)行任何操作 u攻擊者只要破獲root用戶的口令，便可進(jìn)入 系統(tǒng)并完全控制系統(tǒng) P21 系統(tǒng)特權(quán)分化（系統(tǒng)特權(quán)分化（C2級(jí)）級(jí)） 根據(jù)“最小特權(quán)”原則對(duì)系統(tǒng)管理員的特權(quán)進(jìn) 行分化 u根據(jù)系統(tǒng)管理任務(wù)設(shè)立角色 u依據(jù)角色劃分特權(quán) 典型的系統(tǒng)管理角色有： u系統(tǒng)管理員 n 負(fù)責(zé)系統(tǒng)的安裝、管理和日常維護(hù)，如安裝軟件、增添用戶 賬號(hào)、數(shù)據(jù)備份等 u安全管理員 n 負(fù)責(zé)安全屬性的設(shè)定與管理 u審計(jì)管理員等 n 負(fù)責(zé)配置系統(tǒng)的審計(jì)行為和管理系統(tǒng)的審計(jì)信息 一個(gè)管理角色不擁有另一個(gè)管理角色的特權(quán) u攻擊者破獲某個(gè)管理角色的

17、口令時(shí)不會(huì)得到對(duì)系 統(tǒng)的完全控制 P22 強(qiáng)制訪問控制功能（強(qiáng)制訪問控制功能（B級(jí)）級(jí)） Bell & LaPadula強(qiáng)制訪問控制模型 u為主體和客體提供標(biāo)簽支持 n主體 l 用戶、進(jìn)程等 l實(shí)施操作的一方 n客體 l 文件、目錄、設(shè)備、IPC機(jī)制等 l受操作的一方 根據(jù)設(shè)定的不同的標(biāo)簽進(jìn)行控制 u主體和客體都有標(biāo)簽設(shè)置 u系統(tǒng)根據(jù)主體與客體的標(biāo)簽匹配關(guān)系強(qiáng)制實(shí)行訪 問控制 n符合匹配規(guī)則的準(zhǔn)許訪問 n否則拒絕訪問，無論主體是普通用戶還是特權(quán)用戶。 例如：標(biāo)簽為 則可以查看“國(guó)防部”的信息，其密級(jí)不超過“秘密”級(jí) n 比如：密級(jí)可以分為：“非密”、“秘密”、“機(jī)密”、“絕密”等等級(jí)別 P23

18、 Bell&LaPadulaBell&LaPadula模型（一）模型（一） Bell & LaPadula 模型，簡(jiǎn)稱BLP 模型 u由D.E. Bell 和L.J. LaPadula 在1973年提出 u是第一個(gè)可證明的安全系統(tǒng)的數(shù)學(xué)模型 uBLP 模型是根據(jù)軍方的安全政策設(shè)計(jì)的 它要解決的本質(zhì)問題是對(duì)具有密級(jí)劃分的信息的訪問進(jìn)行控制 BLP 模型是一個(gè)狀態(tài)機(jī)模型 u它定義的系統(tǒng)，包含： n一個(gè)初始狀態(tài)Z0 n三元組（請(qǐng)求R，判定D，狀態(tài)S）組成的序列 即：BLP Z0,R,D,S 狀態(tài)S是一個(gè)四元組：S （b, M, f, H） 其中： b （主體i，客體j，訪問方式x），是當(dāng)前訪問集合

19、訪問方式x=只可讀r，只可寫a，可讀寫w，可執(zhí)行e M 是訪問控制矩陣是訪問控制矩陣 f 是安全級(jí)別函數(shù)，用于確定任意主體和客體的安全級(jí)別是安全級(jí)別函數(shù)，用于確定任意主體和客體的安全級(jí)別 H 是客體間的層次關(guān)系是客體間的層次關(guān)系 P24 Bell&LaPadulaBell&LaPadula模型（二）模型（二） 抽象出的訪問方式x有四種，分別是: u只可讀r u只可寫a u可讀寫w u不可讀寫（可執(zhí)行）e 主體的安全級(jí)別level包括 u最大安全級(jí)別，通常簡(jiǎn)稱為安全級(jí)別 u當(dāng)前安全級(jí)別 如果一個(gè)系統(tǒng)的初始狀態(tài)Z0是安全的，并且三元組序列中 的所有狀態(tài)S都是安全的，那么這樣的系統(tǒng)就是一個(gè)安全 系統(tǒng)

20、 P25 Bell&LaPadulaBell&LaPadula模型（三）模型（三） 以下特性和定理構(gòu)成了BLP模型的核心內(nèi)容。 u簡(jiǎn)單安全特性（ss特性）： 如果當(dāng)前訪問是 b(主體，客體，只可讀r)，那么一定有： level(主體) level(客體) 其中，level 表示安全級(jí)別。 u星號(hào)安全特性（*特性）： 在任意狀態(tài)，如果(主體，客體，方式)是當(dāng)前訪問，那么 一定有： (1)若方式是a，則：current_level(主體)level(客體) (2)若方式是w，則：current_level(主體)level(客體) (3)若方式是r，則：current_level(主體)level

21、(客體) 其中，current_level 表示當(dāng)前安全級(jí)別。 P26 Bell&LaPadulaBell&LaPadula模型（四）模型（四） u自主安全特性（ds特性）： 如果（主體i，客體j，方式x）是當(dāng)前訪問， 那么，方式x 一定在訪問控制矩陣M 的元素Mij 中。 vds特性處理自主訪問控制，自主訪問控制的權(quán)限由客 體的擁有者自主確定 vss特性和*特性處理的是強(qiáng)制訪問控制。強(qiáng)制訪問控 制的權(quán)限由特定的安全管理員確定，由系統(tǒng)強(qiáng)制實(shí)施。 u基本安全定理：如果系統(tǒng)狀態(tài)的每一次變化都能滿足ss 特性、*特性和ds特性的要求，那么，在系統(tǒng)的整個(gè)狀態(tài) 變化過程中，系統(tǒng)的安全性是不會(huì)被破壞的。

22、BLP 模型支持的是信息的保密性。 P27 標(biāo)簽標(biāo)簽 標(biāo)簽有等級(jí)分類和非等級(jí)類別： +等級(jí)分類與整數(shù)相當(dāng)，可以比較大?。?可設(shè)置為：非密、秘密、機(jī)密、絕密等， +非等級(jí)類別與集合相當(dāng)，不能比較大小，但存在包 含與非包含關(guān)系。 可設(shè)置為：國(guó)防部、外交部、財(cái)政部等級(jí) 例如： u當(dāng)一個(gè)用戶的標(biāo)簽為時(shí) n他可以查看“國(guó)防部”的不超過“秘密”級(jí)的信息 u任何用戶（包括特權(quán)用戶），只要標(biāo)簽不符合要求 n都不能對(duì)指定信息進(jìn)行訪問 l 不管他原來的權(quán)利有多大（比如系統(tǒng)管理員） l 這為信息的保護(hù)提供了強(qiáng)有力的措施 l 普通Linux無法做到這一點(diǎn) P28 小結(jié)小結(jié) 安全操作系統(tǒng)是安全計(jì)算機(jī)系統(tǒng)的根基 評(píng)價(jià)安全

23、操作系統(tǒng)的標(biāo)準(zhǔn)TCSEC 安全模型BLP（適合B標(biāo)準(zhǔn)） 參考文獻(xiàn)： “安全操作系統(tǒng)研究的發(fā)展安全操作系統(tǒng)研究的發(fā)展” 石文昌，中國(guó)科學(xué)院軟件研究所石文昌，中國(guó)科學(xué)院軟件研究所 計(jì)算機(jī)科學(xué)計(jì)算機(jī)科學(xué)Vol.29 No.6Vol.29 No.6和和Vol.29 No.7Vol.29 No.7 P29 特洛伊木馬（特洛伊木馬（1） “特洛伊木馬特洛伊木馬”（trojan horsetrojan horse）簡(jiǎn)稱）簡(jiǎn)稱“木馬木馬” u這個(gè)名稱來源于希臘神話這個(gè)名稱來源于希臘神話木馬屠城記木馬屠城記 u古希臘有大軍圍攻特洛伊城，久久無法攻下。于是古希臘有大軍圍攻特洛伊城，久久無法攻下。于是 有人獻(xiàn)計(jì)制造

24、一只高二丈的大木馬，假裝作戰(zhàn)馬神，有人獻(xiàn)計(jì)制造一只高二丈的大木馬，假裝作戰(zhàn)馬神， 讓士兵藏匿于巨大的木馬中，大部隊(duì)假裝撤退而將讓士兵藏匿于巨大的木馬中，大部隊(duì)假裝撤退而將 木馬擯棄于特洛伊城下。城中得知解圍的消息后，木馬擯棄于特洛伊城下。城中得知解圍的消息后， 遂將遂將“木馬木馬”作為奇異的戰(zhàn)利品拖入城內(nèi)，全城飲作為奇異的戰(zhàn)利品拖入城內(nèi)，全城飲 酒狂歡。到午夜時(shí)分，全城軍民盡入夢(mèng)鄉(xiāng)，匿于木酒狂歡。到午夜時(shí)分，全城軍民盡入夢(mèng)鄉(xiāng)，匿于木 馬中的將士開秘門游繩而下，開啟城門及四處縱火，馬中的將士開秘門游繩而下，開啟城門及四處縱火， 城外伏兵涌入，部隊(duì)里應(yīng)外合，焚屠特洛伊城。后城外伏兵涌入，部隊(duì)里應(yīng)外

25、合，焚屠特洛伊城。后 世稱這只大木馬為世稱這只大木馬為“特洛伊木馬特洛伊木馬” 如今黑客程序借用其名，有如今黑客程序借用其名，有“一經(jīng)潛入，后患一經(jīng)潛入，后患 無窮無窮”之意之意 P30 特洛伊木馬（特洛伊木馬（2） 完整的木馬程序一般由兩個(gè)部分組成： u一個(gè)是服務(wù)器程序一個(gè)是服務(wù)器程序 u一個(gè)是控制器程序。一個(gè)是控制器程序。 “中了木馬”就是指安裝了木馬的服務(wù)器程序 u若電腦被安裝了服務(wù)器程序，則擁有控制器程序的若電腦被安裝了服務(wù)器程序，則擁有控制器程序的 人就可以通過網(wǎng)絡(luò)控制該電腦（肉機(jī)）人就可以通過網(wǎng)絡(luò)控制該電腦（肉機(jī)） 自主訪問控制的缺陷，避免不了“木馬”侵入 BLP 模型可以防范“木

26、馬”，支持信息的保密 性（B1） P31 特洛伊木馬（特洛伊木馬（3） 特洛伊木馬： uSOS 安全操作系統(tǒng)（SOS）將重要信息放 在important文件中，該文件允許SOS有 R/W權(quán)限 uSPY 竊賊程序（SPY）設(shè)計(jì)了一個(gè)Use_it 程序含木馬程序，并準(zhǔn)備了一個(gè)Pocket 文件，并使得SOS僅可以對(duì)它進(jìn)行寫入:W， 而SPY可以對(duì)Pocket進(jìn)行讀和寫:R/W。 u當(dāng)SOS執(zhí)行到木馬程序時(shí)，木馬會(huì)將 important文件的信息，寫入Pocket中 P32 特洛伊木馬示例特洛伊木馬示例 Important文件， 它含有SOS的秘 密數(shù)據(jù) pocket文件,它在 悄悄地接收木馬 程序

27、寫入的數(shù)據(jù) Use_it P33 主體與客體賦予安全級(jí)主體與客體賦予安全級(jí) 主體和客體賦予安全級(jí)別 uSOS: high 安全級(jí)，important: high 安全級(jí) uSPY: low安全級(jí)，pocket：low 安全級(jí) 當(dāng)SOS執(zhí)行木馬程序時(shí)，木馬程序也同樣獲 得SOS的安全級(jí)別，即:high，所以木馬程序可 以讀出important文件，但當(dāng)木馬程序向 pocket文件寫入時(shí)，“引用監(jiān)控器會(huì)拒絕”， 因?yàn)閜ocket文件的安全級(jí)低于木馬程序的安全 級(jí)，所以禁止寫操作 u根據(jù)BLP模型，高安全級(jí)主體只允許對(duì)低安全 級(jí)的客體進(jìn)行讀操作，而不許寫！ P34 對(duì)特洛伊木馬的防范對(duì)特洛伊木馬的防范 Important文 件，含有 SOS的秘密 數(shù)據(jù)。 pocket文件， 作為秘密的接 收者。 引用監(jiān)控器 Use_it 采用BLP模型的引用監(jiān)控器防范特洛伊木馬 P35 引用監(jiān)控器示意圖（引用監(jiān)控器示意圖（B3B3安全級(jí)）安全級(jí)） 引用監(jiān)控器引用監(jiān)控器 授權(quán)數(shù)據(jù)庫(kù)授權(quán)數(shù)據(jù)庫(kù) 引用監(jiān)控器引用監(jiān)控器 審計(jì)審計(jì) 目標(biāo)目標(biāo) 客體客體 目標(biāo)目標(biāo) 客體客體 目標(biāo)目標(biāo) 客體客體 目標(biāo)目標(biāo) 客體客體 目標(biāo)目標(biāo)