操作系统第一章课件

小结小结 计算机操作系统1 计算机操作系统1小结小结第一讲要达到的目标v明确本课整体安排v观念的转变：从操作系统的使用者到操作系统的开发者v了解操作系统的基本类型v掌握操作系统基本概念2第一讲要达到的目标明确本课整体安排2小结小结OS课程教学目标v通过学习应达到如下效果：1、掌握并发程序设计方法(使用进程)2、掌握操作系统的设计原理v进程设计、虚拟技术、资源管理技术3、具有分析和设计操作系统的能力3OS课程教学目标3小结小结教学计划v第一章 概述（4学时）v第二章 操作系统用户接口（8学时）v第三章 进程与并发程序设计（14学时）v第四章 存储管理（6学时）v第五章 输入输出系统（8学时）v第六章 文件系统（8学时）v第七章 磁盘存储管理（2学时）v第八章 多机系统概述（2学时）v系统安全（2学时）v总复习(2学时）4教学计划第一章 概述（4学时）4小结小结教材与参考书v学时：56v教材：任爱华等，“操作系统实用教程”(第二版)，清华大学出版社,2004 v参考书：Operating System ConceptsSILBERSCHATZ,GALVIN,GAGNE,2005Operating Systems Design and ImplementationAndrew S.Tanenbaum等,清华大学出版社，1997年9月Operating Systems Internals and Design PrinciplesWilliam Stallings,电子工业出版社计算机操作系统教程张尧学，史美林，清华大学出版社，1993年9月操作系统实验指导任爱华等，清华大学出版社,2004操作系统辅导与提高任爱华，清华大学出版社，2004v成绩评定方式：平时作业 30 出勤 作业 实验 考试 70，考期学校统一安排时间5教材与参考书学时：565小结小结 第一章 概论v计算机与操作系统计算机与操作系统的发展存储程序式计算机的结构和特点v操作系统的基本概念操作系统的定义及其在计算机系统中的地位操作系统的功能、特性及其应解决的基本问题v操作系统接口系统调用与交互命令v分析和设计操作系统的几种观点用户观点、资源观点、进程观点、分层观点FF6 第一章 概论计算机与操作系统F6小结小结 第一章 概论v计算机与操作系统计算机与操作系统的发展存储程序式计算机的结构和特点FF7 第一章 概论计算机与操作系统F7小结小结计算机的发展v机械计算机时代 始于1614，有三百多年的探索历史。v二进制代数学1848年英国数学家George Boole创立的二进制代数学，在一个世纪前就为现代二进制计算机铺平了道路。v电子计算机时代 1946-1958，1959-1964，1965-1970，1971年至今(VLSI,ULSI)摩尔定理仍然适用v计算机技术的影响 互联网技术、多媒体技术 普适计算未来的计算机将与各种新技术相结合v 与光电子学相结合，人们正在研究光子计算机；v与生物科学相结合，人们正在研究用生物材料进行运算的生物计算机，v用意识驱动计算机等技术。8计算机的发展机械计算机时代 8小结小结第一代计算机9第一代计算机9小结小结第三代计算机：PDP-7小型机10第三代计算机：PDP-7小型机10小结小结第四代计算机：国产曙光5000巨型机11第四代计算机：国产曙光5000巨型机11小结小结现代计算机系统12现代计算机系统12小结小结存储设备的层次13存储设备的层次13小结小结整数A从磁盘到寄存器的移植过程14整数A从磁盘到寄存器的移植过程14小结小结单进程输出情况的中断时间线15单进程输出情况的中断时间线15小结小结现代计算机系统怎样工作16现代计算机系统怎样工作16小结小结对称多处理机体系结构17对称多处理机体系结构17小结小结专用系统影响着OSv实时嵌入式系统汽车发动机、制造业的机器人、录像机、手机、微波炉，等等进行监控和管理整个房间可以计算机化，控制取暖、照明、警报系统、电饭锅煮饭等等，通过web访问通知房间加热v多媒体系统MP3、MP4 DVD 电影/网上电影帧的视频必须按照时间限制分流（30帧/秒）v手持式系统PDA个人数据助理vPersonal digital assistantPocket-PC智能手机18专用系统影响着OS实时嵌入式系统18小结小结操作系统的发展 v批量处理v多道程序设计v分时系统v实时系统v网络系统v分布式系统19操作系统的发展 批量处理19机机 器器速度速度作作业业在在机机器器上上计算所需时间计算所需时间人人工工操操作时间作时间机机器器有有效效运运行行时时间间与与操操作作时时间间之之比比1 1万万次次/秒秒1 1小时小时3 3分钟分钟2020：1 16060万万次次/秒秒1 1分钟分钟3 3分钟分钟1 1：3 3把用户提交的作业作业成批送入计算机由作业调度程序自动选择作业运行目的：缩短作业之间的交接时间减少处理机的空闲等待，提高系统效率批处理os例子：IBM公司为IBM360机器配置的操作系统OS/360 批处理20机器速度作业在机器上计算所需时间人工操作时间机器有效运行时间多道程序工作示例单道程序工作示例单道程序工作示例CPU工作工作用户程序用户程序监督程序监督程序I/O操作操作计算计算 请求输入请求输入继续计算继续计算启动启动I/O I/O完成完成结束中断结束中断tt中央处理机中央处理机外部设备外部设备外部设备外部设备程序程序A程序程序B程序程序A程序程序B磁盘输入磁盘输入输入结束输入结束打印输出打印输出磁带输入磁带输入输入结束输入结束绘图输出绘图输出输出结束输出结束输出结束输出结束21多道程序工作示例单道程序工作示例CPU工作用户程序监督程序I小结小结多道程序系统的存储布局22多道程序系统的存储布局22小结小结从用户模式到内核模式的转换目态目态管态管态23从用户模式到内核模式的转换目态管态23小结小结分时系统的特点v多路性v独占性v交互性v及时性24分时系统的特点多路性24小结小结实时系统特点v及时响应v高可靠性和安全性v系统的整体性强v交互会话活动较弱v专用系统v种类：实时信息处理、实时控制25实时系统特点及时响应25小结小结局域网间的连接局域网间的连接微型机微型机网关局域网26局域网间的连接微型机微型机网关局域网26小结小结客户-服务器系统的一般结构27客户-服务器系统的一般结构27小结小结分布式系统v分布式系统是一个一体化的系统在整个系统中有一个全局的操作系统称为分布式操作系统 有网络作为底层支持v具有模块性v并行性常规网络中的并行性仅仅意味着独立性而分布式系统中的并行性还意味着合作原因在于，分布式系统v是一个物理上的松散耦合系统v又是一个逻辑上的紧密耦合的系统v自治性v通信性等特点v分布式系统和计算机网络的区别前者具有多机合作和健壮性。28分布式系统分布式系统28小结小结存储程序式计算机的结构和特点v著名数学家Von Neumann总结了手工操作的规律前人研究计算机的经验教训，提出了v“存储程序式计算机”方案v一个顺序计算模型典型的单处理机系统结构典型的单处理机系统结构 总总 线线中央处理机单元中央处理机单元(CPU)内存储器内存储器磁盘磁盘适配器适配器输入输入/输出输出接口接口其他外设其他外设接口接口通信线路通信线路接口接口磁盘磁盘驱动器驱动器输入输入/输出输出设备设备各种外设各种外设通信线路通信线路29存储程序式计算机的结构和特点著名数学家Von Neumann小结小结第一章 概论v操作系统的基本概念操作系统的定义及其在计算机系统中的地位操作系统的功能、特性及其应解决的基本问题FF30第一章 概论操作系统的基本概念F30小结小结操作系统的定义及其在计算机系统中的地位v操作系统是搭在硬件平台上的第一层软件，它负责把系统资源管理起来以便充分发挥它们的作用。v操作系统是计算机资源的管理软件，是并发程序编译程序编译程序 汇编程序汇编程序 正文编辑程序正文编辑程序 数据库系统数据库系统操作系统操作系统裸机裸机用户用户1用户用户2用户用户3用户用户n操作系统操作系统系系件件统软统软件件应应用软用软用户用户 计算机系统的组成与软件的层次关系计算机系统的组成与软件的层次关系31操作系统的定义及其在计算机系统中的地位操作系统是搭在硬件平台小结小结计算机系统构件的抽象视图32计算机系统构件的抽象视图32小结小结操作系统的表述v从使用者的角度表述：提供计算机用户与计算机硬件系统之间的接口，使计算机系统更易于使用。v从管理计算机资源的角度表述：有效地控制和管理计算机系统中的各种硬件和软件资源，使之得到更有效的利用。v计算机资源管理者 合理地组织计算机系统的工作流程，以改善系统性能v如：响应时间、系统吞吐量 v虚拟机概念操作系统是一直运行在计算机上的程序，通常称为内核v计算机的掌控者 33操作系统的表述从使用者的角度表述：33小结小结操作系统的功能、特性及其应解决的基本问题v功能：管理系统的软、硬件资源 处理机管理、存储器管理、设备管理和信息管理程序v特性：并发性、共享性、不确定性、虚拟性v解决的基本问题：1.提供解决各种冲突的策略 v比如：处理机调度、进程调度、内存分配、设备分配等 2.协调并发活动的关系v比如：进程之间的通信，同步与互斥 3.保证数据的一致性比如：读写数据时，数据结构中的内容是否真实地记录了数据的实际情况在分布式处理时的共享数据的不同副本是否一致4.实现数据的存取控制v共享程度、隐私程度、安全程度的控制34操作系统的功能、特性及其应解决的基本问题功能：管理系统的软小结小结第一章 概论v操作系统接口系统调用与交互命令FF35第一章 概论操作系统接口F35小结小结系统调用与交互命令操作系统操作系统系统调用（程序界面）系统调用（程序界面）交互式界面交互式界面用户用户图图1-12 操作系统接口操作系统接口 系统调用系统调用Linux:fork();exit();Dos:int 21h交互命令交互命令Linux:ps kill mailDos:dir,copy,type ping 211.71.12.14536系统调用与交互命令操作系统系统调用（程序界面）交互式界面用户小结小结用户应用程序调用open的处理37用户应用程序调用open的处理37小结小结第一章 概论v分析和设计操作系统的几种观点用户观点、资源观点、进程观点、分层观点FF38第一章 概论分析和设计操作系统的几种观点F38小结小结分析和设计操作系统的几种观点(一)v用户观点这种观点主要是为刻画操作系统的功能而引入的，从用户的角度来观察操作系统，操作系统是个黑盒子，配置了操作系统的计算机与原来真实的物理计算机迥然不同，因为它提供了用户使用计算机的更方便手段,构造了一台虚拟机，提供的操作命令决定了虚拟机的功能。v资源管理观点资源观点是从现代计算机系统角度考虑问题。计算机系统由硬件和软件两大部分组成，即：硬件和软件资源，这些资源都是非常宝贵的，按其性质可归为四大类：v处理机v存储器v外部设备v文件(程序和数据)这四类资源构成了操作系统本身和用户作业赖以活动的物质基础和工作环境。39分析和设计操作系统的几种观点(一)用户观点39小结小结分析和设计操作系统的几种观点(二)v进程观点通常我们把程序的一次执行过程叫做一个进程v进程被创建、运行直至被撤消完成其使命从进程角度来分析操作系统，则所有进程的活动就构成了操作系统的当前行为在每一个瞬间都有一棵进程家族树，它展示着操作系统行为主体的一个快照。v模块分层观点如何形成操作系统的构架，用模块分层观点讨论模块之间的关系，讨论如何安排连结这些程序模块才能构造一个结构简单清晰、逻辑正确、便于分析和实现的操作系统。资源管理观点回答了整个操作系统是由哪几部分组成的，并且利用进程观点指明了这些资源管理程序在什么时候开始起作用，以及它们在执行过程中是如何相互联系的。40分析和设计操作系统的几种观点(二)进程观点40小结小结操作系统中的进程初始化初始化外部复位外部复位用户中断用户中断进进 程程进程进程 A2 A2进程进程 A1 A1进程进程 B2 B2进程进程 B1 B1进程进程 X2 X2进程进程 X1 X1 系统数据基系统数据基 文件管理文件管理数据结构数据结构设备管理设备管理数据结构数据结构内存管理内存管理数据结构数据结构进程控制块进程控制块中断表中断表守护进程守护进程demondemon中断管理中断管理41操作系统中的进程初始化外部复位用户中断进 程进程进程进小结小结分层操作系统42分层操作系统42小结小结DOS操作系统的层次结构用户命令用户命令COMMAND.COMMSDOS.SYSIO.SYSBIOS硬件设备硬件设备43DOS操作系统的层次结构用户命令COMMAND.COMMSD小结小结MS-DOS操作系统的层次结构44MS-DOS操作系统的层次结构44小结小结简化的Windows体系结构45简化的Windows体系结构45小结小结Linux 内核体系结构示意46Linux 内核体系结构示意46小结小结UNIX 系统结构47UNIX 系统结构47小结小结Solaris可加载模块48Solaris可加载模块48小结小结苹果公司麦金塔操作系统X结构 Darwin49苹果公司麦金塔操作系统X结构 Darwin49小结小结VMS系统模块：非虚拟机/虚拟机50VMS系统模块：非虚拟机/虚拟机50小结小结VMware 体系结构51VMware 体系结构51小结小结Java 虚拟机52Java 虚拟机52小结小结.NET框架的CLR体系结构53.NET框架的CLR体系结构53小结小结操作系统内核分类vMonolithic Kernels整体内核含有全部操作系统功能和驱动程序vUnix-like,如：Linuxv设计者：Linus TorvaldsvMicrokenel微内核仅提供最低限度的服务，如：定义内存地址空间，IPC，进程管理。所有其他功能以进程方式独立于内核运行。vMINIX,Machv设计者：Andrew TanenbaumvHybrid Kernels混核类似于微内核，但包括了一些附加程序，主要为了改进微内核性能vWindowsvExokernels外核本身很小，附带库操作系统。以API的形式提供开发者使用可以同时有几个不同的库操作系统54操作系统内核分类Monolithic Kernels整体内核小结小结第一章小结v计算机历史与操作系统发展过程v存储程序式计算机与操作系统计算模式v操作系统类型v现代操作系统的基本特征v分析操作系统的几种观点v操作系统的用户界面v操作系统的发展体现了计算机硬件技术与软件技术的发展v课外思考题：普适计算针对普适计算，操作系统应如何发展55第一章小结计算机历史与操作系统发展过程55小结小结PC机结构图一56PC机结构图一56小结小结PC机结构图二57PC机结构图二57小结小结系统软件和操作系统硬件硬件软件软件-硬件接口硬件接口操作系统操作系统操作系统接口操作系统接口其他系统软件其他系统软件应用程序接口应用程序接口应用软件应用软件资资源源抽抽象象资资源源共共享享58系统软件和操作系统硬件软件-硬件接口操作系统操作系统接口其他小结小结多道批处理系统多道批处理系统分时系统分时系统网络系统网络系统实时系统实时系统个人计算机和个人计算机和工作站系统工作站系统现代操作系统现代操作系统存储管理保护调度文件设备存储管理保护调度系统软件人-机界面客户-服务器模式协议调度现代操作系统的发展59多道批处理系统分时系统网络系统实时系统个人计算机和现代操作系小结小结进程与资进程与资源管理源管理文件管理文件管理存储管理存储管理设备管理设备管理处理机处理机主存主存设备设备操作系统操作系统计算机硬件计算机硬件后继课程的任务和地位60进程与资源管理文件管理存储管理设备管理处理机主存设备操作系统小结小结 内容提纲v安全操作系统的重要性安全操作系统的重要性v安全评价准则安全评价准则 v常用操作系统与安全级别的对应举例常用操作系统与安全级别的对应举例v安全模型安全模型 B-LP B-LPv小结小结61 内容提纲安全操作系统的重要性61小结小结 安全操作系统的重要性l操作系统是应用软件同系统硬件的接口，其目标是：高效地、最大限度地、合理地使用计算机资源 l若没有安全操作系统的支持，会导致：数据库不安全-不可能具有存取控制的安全可信性网络系统不安全-就不可能有网络系统的安全性应用软件不安全-不可能有应用软件信息处理的安全性l安全操作系统是整个信息系统安全的基础 网络系统的安全性依赖于网络中各主机系统的安全性主机系统的安全性决定于其操作系统的安全性 安全可靠地运行用户软件,依赖于操作系统的安全性l安全的操作系统依赖于安全的CPU芯片 62 安全操作系统的重要性操作系统是应用软件同系统硬件的接口，其小结小结可信计算机系统安全评价标准 v第一个计算机安全评价标准第一个计算机安全评价标准 TCSEC(Trusted Computer System Evaluation Criteria)TCSEC(Trusted Computer System Evaluation Criteria)，“可信计算机系统安全评价标准可信计算机系统安全评价标准”v又称橙皮书，美国国防部于又称橙皮书，美国国防部于19831983年提出并于年提出并于19851985年批准年批准人们以人们以TCSEC TCSEC 为蓝本研制安全操作系统为蓝本研制安全操作系统 vTCSEC TCSEC 为安全系统指定的是一个统一的系统安全策略如：为安全系统指定的是一个统一的系统安全策略如：自主访问控制策略自主访问控制策略强制访问控制策略强制访问控制策略这些子策略紧密地结合在一起形成一个单一的系统安全策略这些子策略紧密地结合在一起形成一个单一的系统安全策略 v不同的安全环境有不同的安全需求不同的安全环境有不同的安全需求需要制定不同的安全策略需要制定不同的安全策略采用不同的安全模型采用不同的安全模型使用不同的安全功能使用不同的安全功能63可信计算机系统安全评价标准 第一个计算机安全评价标准 63小结小结D D：最小保护级最小保护级C1C1：自主安全保护级自主安全保护级C2C2：受控访问保护级受控访问保护级B1B1：标签安全保护级标签安全保护级B2B2：结构化保护级结构化保护级 B3B3：安全区域保护级安全区域保护级 A1A1：经过验证的保护级经过验证的保护级超超A1A1其中：其中：C C：自主访问等级：自主访问等级C1/C2 C1/C2 B B：强制访问控制：强制访问控制B1/B2/B3 B1/B2/B3 保障需求保障需求安全特性安全特性需求需求TCSEC 的构成与等级结构C C级级B B级级64D：最小保护级保障需求安全特性需求TCSEC 的构成与等级小结小结可信计算机系统评估标准 TCSEC级级别别 名名 称称 主主 要要 特特 征征 A1 A1 验证设计级验证设计级 形式化验证安全模型，形式化隐蔽通道分形式化验证安全模型，形式化隐蔽通道分析析 B3 B3 安全区域保护安全区域保护级级 安全内核，高抗渗透能力安全内核，高抗渗透能力 B2B2结构化保护级结构化保护级 形式化安全模型，隐密通道约束，面向安形式化安全模型，隐密通道约束，面向安全的体系结构，较好的抗渗透能力全的体系结构，较好的抗渗透能力 B1B1标签安全保护标签安全保护级级 强制访问控制，安全标识，删去安全相关强制访问控制，安全标识，删去安全相关的缺陷的缺陷C2C2受控存取保护受控存取保护级级 受控自主访问控制，增加审核机制，记录受控自主访问控制，增加审核机制，记录安全性事件安全性事件C1C1自主安全保护自主安全保护级级 自主访问控制自主访问控制D D最小保最小保护级护级最低等级最低等级 65可信计算机系统评估标准 TCSEC级别 名 称 主 要 特 小结小结操作系统安全级别举例vDOS D级 vLinux C1级 vWindows NT C2级 vSolaris C2级 vUnix B1级 66操作系统安全级别举例DOS D级 66小结小结自主访问控制功能（C1级）vLinuxLinux的自主访问控制的自主访问控制普通普通LinuxLinux只支持简单形式的自主访问控制只支持简单形式的自主访问控制v由资源的拥有者根据三类群体指定用户对资源的访问权由资源的拥有者根据三类群体指定用户对资源的访问权即：拥有者即：拥有者OwnerOwner、同组者、同组者GroupGroup、其他人、其他人OtherOther等等v超级用户超级用户rootroot不受访问权的制约不受访问权的制约 v高度极权化的高度极权化的Linux Linux 普通普通LinuxLinux采用极权化的方式采用极权化的方式v设立一个设立一个rootroot超级用户超级用户可对系统及其中的信息执行任何操作可对系统及其中的信息执行任何操作攻击者只要破获攻击者只要破获rootroot用户的口令，便可进入系统并完全控制系用户的口令，便可进入系统并完全控制系统统67自主访问控制功能（C1级）Linux的自主访问控制67小结小结系统特权分化（C2级）v根据根据“最小特权最小特权”原则对系统管理员的特权进行分化原则对系统管理员的特权进行分化根据系统管理任务设立角色根据系统管理任务设立角色依据角色划分特权依据角色划分特权 v典型的系统管理角色有：典型的系统管理角色有：系统管理员系统管理员v负责系统的安装、管理和日常维护，如安装软件、增添用负责系统的安装、管理和日常维护，如安装软件、增添用户账号、数据备份等户账号、数据备份等安全管理员安全管理员v负责安全属性的设定与管理负责安全属性的设定与管理审计管理员等审计管理员等v负责配置系统的审计行为和管理系统的审计信息负责配置系统的审计行为和管理系统的审计信息v一个管理角色不拥有另一个管理角色的特权一个管理角色不拥有另一个管理角色的特权攻击者破获某个管理角色的口令时不会得到对系统的完全控制攻击者破获某个管理角色的口令时不会得到对系统的完全控制68系统特权分化（C2级）根据“最小特权”原则对系统管理员的特权小结小结强制访问控制功能（B级）vBell&LaPadulaBell&LaPadula强制访问控制模型强制访问控制模型为主体和客体提供标签支持为主体和客体提供标签支持v主体主体用户、进程等用户、进程等实施操作的一方实施操作的一方v客体客体文件、目录、设备、文件、目录、设备、IPCIPC机制等机制等 受操作的一方受操作的一方v根据设定的不同的标签进行控制根据设定的不同的标签进行控制主体和客体都有标签设置主体和客体都有标签设置系统根据主体与客体的标签匹配关系强制实行访问控制系统根据主体与客体的标签匹配关系强制实行访问控制v符合匹配规则的准许访问符合匹配规则的准许访问v否则拒绝访问，无论主体是普通用户还是特权用户。否则拒绝访问，无论主体是普通用户还是特权用户。例如：标签为例如：标签为 则可以查看则可以查看“国防部国防部”的信息，其密级不超过的信息，其密级不超过“秘密秘密”级级v比如：密级可以分为：比如：密级可以分为：“非密非密”、“秘密秘密”、“机密机密”、“绝密绝密”等等级别等等级别 69强制访问控制功能（B级）Bell&LaPadula强制访小结小结Bell&LaPadula模型（一）vBell&LaPadula 模型，简称模型，简称BLP 模型模型由由D.E.Bell 和和L.J.LaPadula 在在1973年提出年提出是第一个可证明的安全系统的数学模型是第一个可证明的安全系统的数学模型BLP 模型是根据军方的安全政策设计的模型是根据军方的安全政策设计的它要解决的本质问题是对具有密级划分的信息的访问进行控制它要解决的本质问题是对具有密级划分的信息的访问进行控制vBLP 模型是一个状态机模型模型是一个状态机模型它定义的系统，包含：它定义的系统，包含：v一个初始状态一个初始状态Z0 v三元组（请求三元组（请求R，判定，判定D，状态，状态S）组成的序列）组成的序列即：即：BLP Z0,R,D,S状态状态S是一个四元组：是一个四元组：S （b,M,f,H）其中：其中：b （主体主体i，客体，客体j，访问方式，访问方式x），是当前访问集合），是当前访问集合访问方式访问方式x=只可读只可读r，只可写，只可写a，可读写，可读写w，可执行，可执行eM 是访问控制矩阵f 是安全级别函数，用于确定任意主体和客体的安全级别H 是客体间的层次关系70Bell&LaPadula模型（一）Bell&LaPad小结小结Bell&LaPadula模型（二）v抽象出的访问方式抽象出的访问方式x x有四种，分别是有四种，分别是:只可读只可读r r 只可写只可写a a 可读写可读写w w 不可读写（可执行）不可读写（可执行）e e v主体的安全级别主体的安全级别levellevel包括包括最大安全级别，通常简称为安全级别最大安全级别，通常简称为安全级别 当前安全级别当前安全级别v如果一个系统的初始状态如果一个系统的初始状态Z0是安全的，并且三元是安全的，并且三元组序列中的所有状态组序列中的所有状态S S都是安全的，那么这样的都是安全的，那么这样的系统就是一个安全系统系统就是一个安全系统71Bell&LaPadula模型（二）抽象出的访问方式x有四种小结小结Bell&LaPadula模型（三）v以下特性和定理构成了以下特性和定理构成了BLPBLP模型的核心内容。模型的核心内容。简单安全特性（简单安全特性（ssss特性）：特性）：如果当前访问是如果当前访问是b b （主体，客体，只可读（主体，客体，只可读r r），那么一定有：），那么一定有：levellevel(主体主体)levellevel(客体客体)其中，其中，level level 表示安全级别。表示安全级别。星号安全特性（星号安全特性（*特性）：特性）：在任意状态，如果（主体，客体，方式）是当前访问，那么一定有：在任意状态，如果（主体，客体，方式）是当前访问，那么一定有：(1)(1)若方式是若方式是a a，则：，则：current_levelcurrent_level(主体主体)levellevel(客体客体)(2)(2)若方式是若方式是w w，则：，则：current_levelcurrent_level(主体主体)levellevel(客体客体)(3)(3)若方式是若方式是r r，则：，则：current_levelcurrent_level(主体主体)levellevel(客体客体)其中，其中，current_level current_level 表示当前安全级别。表示当前安全级别。72Bell&LaPadula模型（三）以下特性和定理构成了BL小结小结Bell&LaPadula模型（四）自主安全特性（自主安全特性（dsds特性）：特性）：如果（主体如果（主体-i i，客体，客体-j j，方式，方式-x x）是当前访问，）是当前访问，那么，方式那么，方式-x x 一定在访问控制矩阵一定在访问控制矩阵M M 的元素的元素Mij Mij 中。中。vdsds特性处理自主访问控制，自主访问控制的权限由客特性处理自主访问控制，自主访问控制的权限由客体的拥有者自主确定体的拥有者自主确定vssss特性和特性和*特性处理的是强制访问控制。强制访问控特性处理的是强制访问控制。强制访问控制的权限由特定的安全管理员确定，由系统强制实施。制的权限由特定的安全管理员确定，由系统强制实施。基本安全定理：如果系统状态的每一次变化都能满足基本安全定理：如果系统状态的每一次变化都能满足ssss特特性、性、*特性和特性和dsds特性的要求，那么，在系统的整个状态变特性的要求，那么，在系统的整个状态变化过程中，系统的安全性是不会被破坏的。化过程中，系统的安全性是不会被破坏的。vBLP BLP 模型支持的是信息的保密性。模型支持的是信息的保密性。73Bell&LaPadula模型（四）自主安全特性（ds特性）小结小结标签v标签有等级分类和非等级类别：标签有等级分类和非等级类别：+等级分类与整数相当，可以比较大小；等级分类与整数相当，可以比较大小；可设置为：非密、秘密、机密、绝密等，可设置为：非密、秘密、机密、绝密等，+非等级类别与集合相当，不能比较大小，但存在包含与非包含非等级类别与集合相当，不能比较大小，但存在包含与非包含关系。关系。可设置为：国防部、外交部、财政部等级可设置为：国防部、外交部、财政部等级v例如：例如：当一个用户的标签为当一个用户的标签为 时时v他可以查看他可以查看“国防部国防部”的不超过的不超过“秘密秘密”级的信息级的信息任何用户（包括特权用户），只要标签不符合要求任何用户（包括特权用户），只要标签不符合要求v都不能对指定信息进行访问都不能对指定信息进行访问不管他原来的权利有多大（比如系统管理员）不管他原来的权利有多大（比如系统管理员）这为信息的保护提供了强有力的措施这为信息的保护提供了强有力的措施普通普通LinuxLinux无法做到这一点无法做到这一点 74标签标签有等级分类和非等级类别：74小结小结小结v安全操作系统是安全计算机系统的根基安全操作系统是安全计算机系统的根基v评价安全操作系统的标准评价安全操作系统的标准TCSECTCSECv安全模型安全模型BLPBLP（适合（适合B B标准）标准）v参考文献：参考文献：“安全操作系统研究的发展”石文昌，中国科学院软件研究所计算机科学Vol.29 No.6和Vol.29 No.775小结安全操作系统是安全计算机系统的根基75小结小结特洛伊木马v“特洛伊木马”（trojan horse）简称“木马”这个名称来源于希腊神话木马屠城记古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为“特洛伊木马”v如今黑客程序借用其名，有“一经潜入，后患无穷”之意76特洛伊木马“特洛伊木马”（trojan horse）简称“木小结小结特洛伊木马（续）v完整的木马程序一般由两个部分组成：完整的木马程序一般由两个部分组成：一个是服务器程序一个是控制器程序。v“中了木马中了木马”就是指安装了木马的服务器程就是指安装了木马的服务器程序序若电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制该电脑（肉机）v自主访问控制的缺陷，避免不了自主访问控制的缺陷，避免不了“木马木马”侵侵入入vBLP BLP 模型可以防范模型可以防范“木马木马”，支持信息的保，支持信息的保密性（密性（B1B1）77特洛伊木马（续）完整的木马程序一般由两个部分组成：77小结小结特洛伊木马（续）v特洛伊木马：特洛伊木马：SOS SOS 安全操作系统（安全操作系统（SOSSOS）将重要信息放在）将重要信息放在importantimportant文件中，该文件允许文件中，该文件允许SOSSOS有有R/WR/W权限权限SPY SPY 窃贼程序（窃贼程序（SPYSPY）设计了一个）设计了一个Use_itUse_it程序含木马程序含木马程序，并准备了一个程序，并准备了一个PocketPocket文件，并使得文件，并使得SOSSOS仅可以对仅可以对它进行写入它进行写入:W:W，而，而SPYSPY可以对可以对PocketPocket进行读和写进行读和写:R/W:R/W。当当SOSSOS执行到木马程序时，木马会将执行到木马程序时，木马会将importantimportant文件的文件的信息，写入信息，写入PocketPocket中中78特洛伊木马（续）特洛伊木马：78小结小结特洛伊木马示例Important文件，它含有SOS的秘密数据 pocket文件,它在悄悄地接收木马程序写入的数据Use_it79特洛伊木马示例Important文件，它含有SOS的秘密数据小结小结主体与客体赋予安全级v主体和客体赋予安全级别主体和客体赋予安全级别SOS:high SOS:high 安全级，安全级，important:high important:high 安全级安全级SPY:lowSPY:low安全级，安全级，pocketpocket：lowlow 安全级安全级v当当SOSSOS执行木马程序时，木马程序也同样获得执行木马程序时，木马程序也同样获得SOSSOS的安全的安全级别，即级别，即:high:high，所以木马程序可以读出，所以木马程序可以读出importantimportant文件，文件，但当木马程序向但当木马程序向pocketpocket文件写入时，文件写入时，“引用监控器会拒绝引用监控器会拒绝”，因为，因为pocketpocket文件的安全级低于木马程序的安全级，所文件的安全级低于木马程序的安全级，所以禁止写操作以禁止写操作根据根据BLPBLP模型，高安全级主体只允许对低安全级的客模型，高安全级主体只允许对低安全级的客体进行读操作，而不许写！体进行读操作，而不许写！80主体与客体赋予安全级主体和客体赋予安全级别80小结小结对特洛伊木马的防范Important文件，含有SOS的秘密数据。pocket文件，作为秘密的接收者。引用监控器Use_it采用BLP模型的引用监控器防范特洛伊木马81对特洛伊木马的防范Important文件，含有SOS的秘密数小结小结引用监控器示意图（B3安全级）引用监控器引用监控器授权数据库授权数据库引用监控器引用监控器审计审计目标目标客体客体目标目标客体客体目标目标客体客体目标目标客体客体目标目标客体客体管理员管理员（主体）（主体）用户用户（主体）（主体）认证认证访问控制访问控制82引用监控器示意图（B3安全级）引用监控器授权数据库引用监控器小结小结标准化机构在信息安全方面的工作-1v19851985年，年，DoD5200DoD52002828STDSTD，即可信计算机系统评测标准，即可信计算机系统评测标准（TCSECTCSEC，美国国防部桔皮书，以下简称，美国国防部桔皮书，以下简称DOD85DOD85评测标准）评测标准）v19871987年，美国国家计算机安全中心（年，美国国家计算机安全中心（NCSCNCSC）为）为TCSECTCSEC桔皮书提出桔皮书提出可依赖网络解释（可依赖网络解释（TNITNI），通常被称作红皮书），通常被称作红皮书 v19911991年，美国国家计算机安全中心（年，美国国家计算机安全中心（NCSCNCSC）为）为TCSECTCSEC桔皮书提出桔皮书提出可依赖数据库管理系统解释（可依赖数据库管理系统解释（TDITDI）v19961996年在上述标准的基础上，美国、加拿大和欧洲联合研制年在上述标准的基础上，美国、加拿大和欧洲联合研制CCCC（信息技术安全评测公共标准，（信息技术安全评测公共标准，TheCommonCriteriaforInformationTechnologySecurityEvaluation，CCforITSEC），颁布了），颁布了CC 1.0CC 1.0版版此后美国不再受理以此后美国不再受理以TCSECTCSEC为制度的评价申请，所有的安全评为制度的评价申请，所有的安全评价都按照价都按照CCCC进行进行 CCCC将安全功能和安全保证分离将安全功能和安全保证分离 83标准化机构在信息安全方面的工作-11985年，DoD5200小结小结标准化机构在信息安全方面的工作-2在欧洲，由英国、荷兰和法国带头，开始联合研制欧洲共同的在欧洲，由英国、荷兰和法国带头，开始联合研制欧洲共同的安全评测标准安全评测标准v19911991年颁布欧洲的年颁布欧洲的ITSECITSEC（信息技术安全标准）。（信息技术安全标准）。v19931993年，加拿大颁布年，加拿大颁布CTCPECCTCPEC（加拿大可信计算机产品评测标（加拿大可信计算机产品评测标准）。准）。v19971997年年5 5月，由月，由VisaVisa、MasterCardMasterCard等联合推出的安全电子交等联合推出的安全电子交易（易（SETSET）规范为在）规范为在InternetInternet上进行安全的电子商务提供了上进行安全的电子商务提供了一个开放的标准。一个开放的标准。SETSET主要使用电子认证技术，其认证过程使用主要使用电子认证技术，其认证过程使用RSARSA和和DESDES算法，算法，因此，可以为电子商务提供很强的安全保护。可以说，因此，可以为电子商务提供很强的安全保护。可以说，SETSET规范是目前电子商务中最重要的协议，它的推出必将大大促规范是目前电子商务中最重要的协议，它的推出必将大大促进电子商务的繁荣和发展。进电子商务的繁荣和发展。84标准化机构在信息安全方面的工作-2在欧洲，由英国、荷兰和法国小结小结国内外发展情况对比 西方西方中国中国起步起步时间时间19671967年年19931993年年标标准化体系准化体系19831983年的桔皮年的桔皮书书19991999年开始照抄年开始照抄标标准准产产品品应应用情况用情况广泛使用广泛使用A A级产级产品品需求狭窄，需求狭窄，发发展展艰难艰难军军方参与情况方参与情况空空军军先先导导，最大的用，最大的用户户海海军军、陆军陆军走在前面走在前面LinuxLinux情况情况同步发展同步发展85国内外发展情况对比 西方中国起步时间1967年1993年标准