《操作系统第一章》PPT课件.ppt

1,计算机操作系统,2,第一讲要达到的目标,明确本课整体安排 观念的转变：从操作系统的使用者到操作系统的开发者 了解操作系统的基本类型 掌握操作系统基本概念,3,OS课程教学目标,通过学习应达到如下效果： 1、掌握并发程序设计方法(使用进程) 2、掌握操作系统的设计原理 进程设计、虚拟技术、资源管理技术 3、具有分析和设计操作系统的能力,4,教学计划,第一章 概述 （4学时） 第二章 操作系统用户接口（8学时） 第三章 进程与并发程序设计 （14学时） 第四章 存储管理（6学时） 第五章 输入输出系统（8学时） 第六章 文件系统（8学时） 第七章 磁盘存储管理（2学时） 第八章 多机系统概述（2学时） 系统安全（ 2学时） 总复习 (2学时）,5,教材与参考书,学时：56 教材： 任爱华等，“操作系统实用教程”(第二版)，清华大学出版社,2004 参考书： Operating System Concepts SILBERSCHATZ,GALVIN,GAGNE, 2005 Operating Systems Design and Implementation Andrew S. Tanenbaum等, 清华大学出版社，1997年9月 Operating Systems Internals and Design Principles William Stallings,电子工业出版社 计算机操作系统教程 张尧学，史美林，清华大学出版社，1993年9月 操作系统实验指导 任爱华等，清华大学出版社,2004 操作系统辅导与提高 任爱华，清华大学出版社，2004 成绩评定方式： 平时作业 30 出勤 作业 实验 考试 70，考期学校统一安排时间,6,第一章 概论,计算机与操作系统 计算机与操作系统的发展 存储程序式计算机的结构和特点 操作系统的基本概念 操作系统的定义及其在计算机系统中的地位 操作系统的功能、特性及其应解决的基本问题 操作系统接口 系统调用与交互命令 分析和设计操作系统的几种观点 用户观点、资源观点、进程观点、分层观点,F,7,第一章 概论,计算机与操作系统 计算机与操作系统的发展 存储程序式计算机的结构和特点,F,8,计算机的发展,机械计算机时代 始于1614，有三百多年的探索历史。 二进制代数学 1848年英国数学家George Boole创立的二进制代数学， 在一个世纪前就为现代二进制计算机铺平了道路。 电子计算机时代 1946-1958 ，1959-1964， 1965-1970， 1971年至今 (VLSI, ULSI) 摩尔定理仍然适用 计算机技术的影响 互联网技术、多媒体技术 普适计算 未来的计算机将与各种新技术相结合 与光电子学相结合，人们正在研究光子计算机； 与生物科学相结合，人们正在研究用生物材料进行运算的生物计算机， 用意识驱动计算机等技术。,9,第一代计算机,10,第三代计算机：PDP-7小型机,11,第四代计算机：国产曙光5000巨型机,12,现代计算机系统,13,存储设备的层次,14,整数A从磁盘到寄存器的移植过程,15,单进程输出情况的中断时间线,16,现代计算机系统怎样工作,17,对称多处理机体系结构,18,专用系统影响着OS,实时嵌入式系统 汽车发动机、制造业的机器人、录像机、手机、微波炉，等等进行监控和管理 整个房间可以计算机化，控制取暖、照明、警报系统、电饭锅煮饭等等，通过web访问通知房间加热 多媒体系统 MP3、MP4 DVD 电影/网上电影 帧的视频必须按照时间限制分流（30帧/秒） 手持式系统 PDA个人数据助理 Personal digital assistant Pocket-PC 智能手机,19,操作系统的发展,批量处理 多道程序设计 分时系统 实时系统 网络系统 分布式系统,把用户提交的作业成批送入计算机 由作业调度程序自动选择作业运行 目的： 缩短作业之间的交接时间 减少处理机的空闲等待，提高系统效率 批处理os例子：IBM公司为IBM360机器配置的操作系统OS/360,批处理,多道程序工作示例,22,多道程序系统的存储布局,23,从用户模式到内核模式的转换,目态,管态,24,分时系统的特点,多路性 独占性 交互性 及时性,25,实时系统特点,及时响应 高可靠性和安全性 系统的整体性强 交互会话活动较弱 专用系统 种类：实时信息处理、实时控制,26,局域网间的连接,微型机,网关,局域网,27,客户-服务器系统的一般结构,28,分布式系统,分布式系统 是一个一体化的系统 在整个系统中有一个全局的操作系统称为分布式操作系统 有网络作为底层支持 具有模块性 并行性 常规网络中的并行性仅仅意味着独立性 而分布式系统中的并行性还意味着合作 原因在于，分布式系统 是一个物理上的松散耦合系统 又是一个逻辑上的紧密耦合的系统 自治性 通信性等特点 分布式系统和计算机网络的区别 前者具有多机合作和健壮性。,29,存储程序式计算机的结构和特点,著名数学家Von Neumann总结了 手工操作的规律 前人研究计算机的经验教训，提出了 “存储程序式计算机”方案 一个顺序计算模型,30,第一章 概论,操作系统的基本概念 操作系统的定义及其在计算机系统中的地位 操作系统的功能、特性及其应解决的基本问题,F,31,操作系统的定义及其在计算机系统中的地位,操作系统是搭在硬件平台上的第一层软件，它负责把系统资源管理起来以便充分发挥它们的作用。 操作系统是计算机资源的管理软件，是并发程序,编译程序 汇编程序 正文编辑程序 数据库系统,操作系统,裸机,用户1,用户2,用户3,用户n,计算机系统的组成与软件的层次关系,32,计算机系统构件的抽象视图,33,操作系统的表述,从使用者的角度表述： 提供计算机用户与计算机硬件系统之间的接口，使计算机系统更易于使用。 从管理计算机资源的角度表述： 有效地控制和管理计算机系统中的各种硬件和软件资源，使之得到更有效的利用。 计算机资源管理者 合理地组织计算机系统的工作流程，以改善系统性能 如：响应时间、系统吞吐量 虚拟机概念 操作系统是一直运行在计算机上的程序，通常称为内核 计算机的掌控者,34,操作系统的功能、特性及其应解决的基本问题,功能 ：管理系统的软、硬件资源 处理机管理、存储器管理、设备管理和信息管理程序 特性： 并发性、共享性、不确定性、虚拟性 解决的基本问题： 提供解决各种冲突的策略 比如：处理机调度、进程调度、内存分配、设备分配等 协调并发活动的关系 比如：进程之间的通信，同步与互斥 保证数据的一致性 比如： 读写数据时，数据结构中的内容是否真实地记录了数据的实际情况 在分布式处理时的共享数据的不同副本是否一致 实现数据的存取控制 共享程度、隐私程度、安全程度的控制,35,第一章 概论,操作系统接口 系统调用与交互命令,F,36,系统调用与交互命令,交互式界面,用户,图1-12 操作系统接口,系统调用 Linux: fork(); exit(); Dos: int 21h 交互命令 Linux: ps kill mail Dos: dir,copy,type ping 211.71.12.145,37,用户应用程序调用open的处理,38,第一章 概论,分析和设计操作系统的几种观点 用户观点、资源观点、进程观点、分层观点,F,39,分析和设计操作系统的几种观点 (一),用户观点 这种观点主要是为刻画操作系统的功能而引入的，从用户的角度来观察操作系统，操作系统是个黑盒子，配置了操作系统的计算机与原来真实的物理计算机迥然不同，因为它提供了用户使用计算机的更方便手段,构造了一台虚拟机，提供的操作命令决定了虚拟机的功能。 资源管理观点 资源观点是从现代计算机系统角度考虑问题。计算机系统由硬件和软件两大部分组成，即：硬件和软件资源，这些资源都是非常宝贵的，按其性质可归为四大类： 处理机 存储器 外部设备 文件(程序和数据) 这四类资源构成了操作系统本身和用户作业赖以活动的物质基础和工作环境。,40,分析和设计操作系统的几种观点(二),进程观点 通常我们把程序的一次执行过程叫做一个进程 进程被创建、运行直至被撤消完成其使命 从进程角度来分析操作系统，则所有进程的活动就构成了操作系统的当前行为 在每一个瞬间都有一棵进程家族树，它展示着操作系统行为主体的一个快照。 模块分层观点 如何形成操作系统的构架，用模块分层观点讨论模块之间的关系，讨论如何安排连结这些程序模块才能构造一个结构简单清晰、逻辑正确、便于分析和实现的操作系统。 资源管理观点回答了整个操作系统是由哪几部分组成的，并且利用进程观点指明了这些资源管理程序在什么时候开始起作用，以及它们在执行过程中是如何相互联系的。,41,操作系统中的进程,42,分层操作系统,43,DOS操作系统的层次结构,44,MS-DOS操作系统的层次结构,45,简化的Windows体系结构,46,Linux 内核体系结构示意,47,UNIX 系统结构,48,Solaris可加载模块,49,苹果公司麦金塔操作系统X结构 Darwin,50,VMS系统模块：非虚拟机/虚拟机,51,VMware 体系结构,52,Java 虚拟机,53,.NET框架的CLR体系结构,54,操作系统内核分类,Monolithic Kernels整体内核 含有全部操作系统功能和驱动程序 Unix-like,如：Linux 设计者：Linus Torvalds Microkenel微内核 仅提供最低限度的服务，如：定义内存地址空间，IPC，进程管理。所有其他功能以进程方式独立于内核运行。 MINIX,Mach 设计者：Andrew Tanenbaum Hybrid Kernels混核 类似于微内核，但包括了一些附加程序，主要为了改进微内核性能 Windows Exokernels外核 本身很小，附带库操作系统。以API的形式提供开发者使用 可以同时有几个不同的库操作系统,55,第一章小结,计算机历史与操作系统发展过程 存储程序式计算机与操作系统计算模式 操作系统类型 现代操作系统的基本特征 分析操作系统的几种观点 操作系统的用户界面 操作系统的发展体现了计算机硬件技术与软件技术的发展 课外思考题： 普适计算 针对普适计算，操作系统应如何发展,56,PC机结构图一,57,PC机结构图二,58,系统软件和操作系统,59,现代操作系统的发展,60,进程与资源管理,文件管理,存储管理,设备管理,处理机,主存,设备,操作系统,计算机硬件,后继课程的任务和地位,61,内容提纲,安全操作系统的重要性 安全评价准则 常用操作系统与安全级别的对应举例 安全模型 B-LP 小结,62,安全操作系统的重要性,操作系统是应用软件同系统硬件的接口，其目标是： 高效地、最大限度地、合理地使用计算机资源 若没有安全操作系统的支持，会导致： 数据库不安全 不可能具有存取控制的安全可信性 网络系统不安全 就不可能有网络系统的安全性 应用软件不安全 不可能有应用软件信息处理的安全性 安全操作系统是整个信息系统安全的基础 网络系统的安全性依赖于网络中各主机系统的安全性 主机系统的安全性决定于其操作系统的安全性 安全可靠地运行用户软件, 依赖于操作系统的安全性 安全的操作系统依赖于安全的CPU芯片,63,可信计算机系统安全评价标准,第一个计算机安全评价标准 TCSEC (Trusted Computer System Evaluation Criteria)， “可信计算机系统安全评价标准” 又称橙皮书，美国国防部于1983年提出并于1985年批准 人们以TCSEC 为蓝本研制安全操作系统 TCSEC 为安全系统指定的是一个统一的系统安全策略如： 自主访问控制策略 强制访问控制策略 这些子策略紧密地结合在一起形成一个单一的系统安全策略 不同的安全环境有不同的安全需求 需要制定不同的安全策略 采用不同的安全模型 使用不同的安全功能,64,D： 最小保护级 C1：自主安全保护级 C2：受控访问保护级 B1：标签安全保护级 B2：结构化保护级 B3：安全区域保护级 A1：经过验证的保护级 超A1 其中： C：自主访问等级 C1/C2 B：强制访问控制 B1/B2/B3,保障需求,安全特性需求,TCSEC 的构成与等级结构,C级,B级,65,可信计算机系统评估标准 TCSEC,66,操作系统安全级别举例,DOS D级 Linux C1级 Windows NT C2级 Solaris C2级 Unix B1级,67,自主访问控制功能（C1级）,Linux的自主访问控制 普通Linux只支持简单形式的自主访问控制 由资源的拥有者根据三类群体指定用户对资源的访问权 即：拥有者Owner、同组者Group、其他人Other等 超级用户root不受访问权的制约 高度极权化的Linux 普通Linux采用极权化的方式 设立一个root超级用户 可对系统及其中的信息执行任何操作 攻击者只要破获root用户的口令，便可进入系统并完全控制系统,68,系统特权分化（C2级）,根据“最小特权”原则对系统管理员的特权进行分化 根据系统管理任务设立角色 依据角色划分特权 典型的系统管理角色有： 系统管理员 负责系统的安装、管理和日常维护，如安装软件、增添用户账号、数据备份等 安全管理员 负责安全属性的设定与管理 审计管理员等 负责配置系统的审计行为和管理系统的审计信息 一个管理角色不拥有另一个管理角色的特权 攻击者破获某个管理角色的口令时不会得到对系统的完全控制,69,强制访问控制功能（B级）,Bell & LaPadula强制访问控制模型 为主体和客体提供标签支持 主体 用户、进程等 实施操作的一方 客体 文件、目录、设备、IPC机制等 受操作的一方 根据设定的不同的标签进行控制 主体和客体都有标签设置 系统根据主体与客体的标签匹配关系强制实行访问控制 符合匹配规则的准许访问 否则拒绝访问，无论主体是普通用户还是特权用户。 例如：标签为 则可以查看“国防部”的信息，其密级不超过“秘密”级 比如：密级可以分为：“非密”、“秘密”、“机密”、“绝密”等等级别,70,Bell&LaPadula模型（一）,Bell & LaPadula 模型，简称BLP 模型 由D.E. Bell 和L.J. LaPadula 在1973年提出 是第一个可证明的安全系统的数学模型 BLP 模型是根据军方的安全政策设计的 它要解决的本质问题是对具有密级划分的信息的访问进行控制 BLP 模型是一个状态机模型 它定义的系统，包含： 一个初始状态Z0 三元组（请求R，判定D，状态S）组成的序列 即：BLP Z0,R,D,S 状态S是一个四元组：S （b, M, f, H） 其中： b （主体i，客体j，访问方式x），是当前访问集合 访问方式x=只可读r，只可写a，可读写w，可执行e M 是访问控制矩阵 f 是安全级别函数，用于确定任意主体和客体的安全级别 H 是客体间的层次关系,71,Bell&LaPadula模型（二）,抽象出的访问方式x有四种，分别是: 只可读r 只可写a 可读写w 不可读写（可执行）e 主体的安全级别level包括 最大安全级别，通常简称为安全级别 当前安全级别 如果一个系统的初始状态Z0是安全的，并且三元组序列中的所有状态S都是安全的，那么这样的系统就是一个安全系统,72,Bell&LaPadula模型（三）,以下特性和定理构成了BLP模型的核心内容。 简单安全特性（ss特性）： 如果当前访问是b （主体，客体，只可读r），那么一定有： level(主体) level(客体) 其中，level 表示安全级别。 星号安全特性（*特性）： 在任意状态，如果（主体，客体，方式）是当前访问，那么一定有： (1)若方式是a，则：current_level(主体) level(客体) (2)若方式是w，则：current_level(主体) level(客体) (3)若方式是r，则：current_level(主体) level(客体) 其中，current_level 表示当前安全级别。,73,Bell&LaPadula模型（四）,自主安全特性（ds特性）： 如果（主体-i，客体-j，方式-x）是当前访问， 那么，方式-x 一定在访问控制矩阵M 的元素Mij 中。 ds特性处理自主访问控制，自主访问控制的权限由客体的拥有者自主确定 ss特性和*特性处理的是强制访问控制。强制访问控制的权限由特定的安全管理员确定，由系统强制实施。 基本安全定理：如果系统状态的每一次变化都能满足ss特性、*特性和ds特性的要求，那么，在系统的整个状态变化过程中，系统的安全性是不会被破坏的。 BLP 模型支持的是信息的保密性。,74,标签,标签有等级分类和非等级类别： 等级分类与整数相当，可以比较大小； 可设置为：非密、秘密、机密、绝密等， 非等级类别与集合相当，不能比较大小，但存在包含与非包含关系。 可设置为：国防部、外交部、财政部等级 例如： 当一个用户的标签为时 他可以查看“国防部”的不超过“秘密”级的信息 任何用户（包括特权用户），只要标签不符合要求 都不能对指定信息进行访问 不管他原来的权利有多大（比如系统管理员） 这为信息的保护提供了强有力的措施 普通Linux无法做到这一点,75,小结,安全操作系统是安全计算机系统的根基 评价安全操作系统的标准TCSEC 安全模型BLP（适合B标准） 参考文献： “安全操作系统研究的发展” 石文昌，中国科学院软件研究所 计算机科学Vol.29 No.6和Vol.29 No.7,76,特洛伊木马,“特洛伊木马”（trojan horse）简称“木马” 这个名称来源于希腊神话木马屠城记 古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为“特洛伊木马” 如今黑客程序借用其名，有“一经潜入，后患无穷”之意,77,特洛伊木马（续）,完整的木马程序一般由两个部分组成： 一个是服务器程序 一个是控制器程序。 “中了木马”就是指安装了木马的服务器程序 若电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制该电脑（肉机） 自主访问控制的缺陷，避免不了“木马”侵入 BLP 模型可以防范“木马”，支持信息的保密性（B1）,78,特洛伊木马（续）,特洛伊木马： SOS 安全操作系统（SOS）将重要信息放在important文件中，该文件允许SOS有R/W权限 SPY 窃贼程序（SPY）设计了一个Use_it程序含木马程序，并准备了一个Pocket文件，并使得SOS仅可以对它进行写入:W，而SPY可以对Pocket进行读和写:R/W。 当SOS执行到木马程序时，木马会将important文件的信息，写入Pocket中,79,特洛伊木马示例,Important文件，它含有SOS的秘密数据,pocket文件,它在悄悄地接收木马程序写入的数据,Use_it,80,主体与客体赋予安全级,主体和客体赋予安全级别 SOS: high 安全级，important: high 安全级 SPY: low安全级，pocket：low 安全级 当SOS执行木马程序时，木马程序也同样获得SOS的安全级别，即:high，所以木马程序可以读出important文件，但当木马程序向pocket文件写入时，“引用监控器会拒绝”，因为pocket文件的安全级低于木马程序的安全级，所以禁止写操作 根据BLP模型，高安全级主体只允许对低安全级的客体进行读操作，而不许写！,81,对特洛伊木马的防范,采用BLP模型的引用监控器防范特洛伊木马,82,引用监控器示意图（B3安全级）,引用监控器,83,标准化机构在信息安全方面的工作-1,1985年，DoD520028STD，即可信计算机系统评测标准（TCSEC，美国国防部桔皮书，以下简称DOD85评测标准） 1987年，美国国家计算机安全中心（NCSC）为TCSEC桔皮书提出可依赖网络解释（TNI），通常被称作红皮书 1991年，美国国家计算机安全中心（NCSC）为TCSEC桔皮书提出可依赖数据库管理系统解释（TDI） 1996年在上述标准的基础上，美国、加拿大和欧洲联合研制CC（信息技术安全评测公共标准， TheCommonCriteriaforInformationTechnologySecurityEvaluation，CCforITSEC），颁布了CC 1.0版 此后美国不再受理以TCSEC为制度的评价申请，所有的安全评价都按照CC进行 CC将安全功能和安全保证分离,84,标准化机构在信息安全方面的工作-2,在欧洲，由英国、荷兰和法国带头，开始联合研制欧洲共同的安全评测标准 1991年颁布欧洲的ITSEC（信息技术安全标准）。 1993年，加拿大颁布CTCPEC（加拿大可信计算机产品评测标准）。 1997年5月，由Visa、MasterCard等联合推出的安全电子交易（SET）规范为在Internet上进行安全的电子商务提供了一个开放的标准。SET主要使用电子认证技术，其认证过程使用RSA和DES算法，因此，可以为电子商务提供很强的安全保护。可以说，SET规范是目前电子商务中最重要的协议，它的推出必将大大促进电子商务的繁荣和发展。,85,国内外发展情况对比,