操作系统的保护与安全

对操作系统安全性的基本要求是，当受控路 径执行信息交换操作时，系统能够使各个用 户彼此隔离。 所有现代操作系统都支持一个进程代理一个 用户的概念，并且在分时和多道程序运行的 系统中，每个用户在自己的权限内都可能会 有几个同时运行的进程。 由于多道程序运行是多用户操作系统安全性 的中心问题，所以进程的快速转换是非常重 要的。
15
内存及地址保护
基址/界限寄存器对：
内存 基址寄存器 械 N +1 界限寄存器 P+1
两对基址/界限寄存器 ：
地址 程序基址寄存器 操作系统 内存
…
操作系统 N N+1
程序界限寄存器
用户 A 程序 空间
…
P P+1
用户空间 A
数据基址寄存器
用户 B 数据 空间 用户 A 数据 空间 用户 C 程序 空间 用户程序 和 数据 空间
11
内存及地址保护




多道程序中的一个最明显的问题是防止一道程序在 存储和运行时影响到其他程序。操作系统可以在硬 件中有效使用硬保护机制进行存储器的安全保护。 现在最常用的是界址、界限寄存器、重定位、特征 位、分段、分页和段页式机制。 1. 界址 最简单的内存保护机制是将系统所用的存储空间和 用户空间分开。 界址则是将用户限制在地址范围的一侧的方法。在 这种方法中，界址被预先定义为内存地址，以便操 作系统驻留在界址的一边而用户使用另一边的空间。
12
内存及地址保护
固定界址：
地址 0 硬件 地址限制 内存 操作系统
地址 0 界址寄存器 N+1 内存 操作系统
可变界址寄存器：
…
N N+1 地址范围
…
N N+1
用户空间
地址范围
用户空间
13
内存及地址保护


2. 重定位 我们可以将系统实际赋给程序的内存起始地址的值 作为一个常数重定位因子。 先将程序的起始地址视为0（这时程序内的每个地址 的值实际上就是相对于起始地址的偏移值），在把 程序真正装入到内存时再将常数重定位因子加到程 序内的每个地址上，使得程序执行时所涉及的所有 和实际地址有关的地址都相应得到改变，这个过程， 我们称之为重定位(Relocation)。 界址寄存器可以作为硬件重定位设备。
17
内存及地址保护
5. 分段、分页和段页式




程序可以被划分为许多具有不同存取权限的块，每块具有一个逻 辑实体，可以是一个过程代码或是一个数组的数据等等。 从逻辑上讲，程序员将程序看做一系列段的集合，段可以分别重 定位，允许将任何段放在任何可用的内存单元内。操作系统通过 在段表中查找段名以确定其实际的内存地址，用户程序并不知道 也无需知道程序所使用的实际内存地址。这种地址隐藏的意义： 其一，操作系统可以将任何段移到任何内存单元中。 其二，若段当前未使用的话，可以将其移出主内存，并存入辅存 中，这样可以让出存储空间。 其三，每个地址引用都经由操作系统处理，以保证系统行使其安 全保护检查的职责。
14
内存及地址保护


3. 基址/界限寄存器 在两个或多个用户情况下，任何一方都不能预先知 道程序将被装入到内存的什么地址去执行，系统通 过重定位寄存器提供的基址来解决这一问题。 程序中所有的地址都是起始于基地址（程序在内存 中的起始地址）的位移，由此可见，基地址寄存器 提供了向下的界限，而向上的地址界限由谁来提供 呢？系统引进了界限寄存器，其内容作为向上的地 址界限。于是每个程序的地址被强制在基址之上， 界限地址之下。
8
保护域


一个保护域是一个访问权限的集合。 每一个访问权限是一个有序对： <对象名，权限集合> 权限集合表示在该对象上可以执行什么 操作。如写到打印机、读或写文件、在 CPU 上执行。 一个进程在所给域中的操作只能访问该域所 列出的对象，只能使用为每个对象所指定的 权限。
9
进程支持
6
保护


“保护在计算机系统中扮演的角色是：为加强 资源使用的控制策略提供一种机制。” 策略决定了做什么。 机制决定了怎样做。 为了适应性（弹性），从机制中分离出策略 是很重要的（策略可能会随着位置和时间而 改变）。
7
保护域



要保护什么？ 软件对象（文件、程序等） 硬件对象（CPU、内存、磁盘和其他 设备） 保护域 指定了进程可以访问的资源。 一个进程只在一个保护域内操作。
基本概念


保护（或称内在保护）是指一种控制程序、 进程或用户对计算机系统资源的访问机制。 该机制由操作系统内部采用。
1
基本概念


安全是对系统完整性和系统数据安全的 可信度的衡量。 还需要考虑系统运行的外部环境。
2
保护
保护



当信息保存在计算机系统中，需要保护 其安全，使之不受物理损坏（可靠性） 和非法访问（保护）。 可靠性通常是由文件备份来提供的。 保护可以有多种方法。对于小的、单用 户系统，可以通过使用软盘、 CDs （把 它们锁在安全的地方）来提供保护。
10
进程支持



为描述和控制进程的活动，系统为每个进程定义了 一个数据结构，即进程控制块PCB，系统创建一个进 程的同时就为它设置了一个进程控制块，用它去对 进程进行控制和管理，进程任务完成了，系统回收 其PCB，该进程就消亡了。 系统将通过PCB而感知相应的进程，进程控制块PCB 是进程存在的惟一标志。 进程控制块PCB包含了进程的描述信息和控制信息。
4
保护

在多用户系统中，需要其它的机制。 需要的是对文件的控制访问。 实现控制访问的几种机制
密码 访问控制列表 对各种用户分类的文件许可

5
保护


每种机制都有优点和缺点，适用于特定 的应用。 小计算机系统（只为少数几个研究成员 使用的）不需要提供大型企业级计算机 （用于研究、商务和其他人事活动）一 样的保护类型。
…
Q
用户空间 B
数据界限寄存器
…
Q+1 用户空间 C
…
用户 C wk.baidu.com据 空间 用户 B 程序 空间
16
内存及地址保护


4. 特征位结构 下面介绍内存地址保护的另一种方法——使 用特征位结构，即在机器内存的每个字中都 有一个或多个附加位表示该字的存取权限， 这些存取位仅能被特权指令（操作系统指令） 设置。 在程序状态字中同样设置特征位，每次指令 存取该单元时都对这些位进行检查，仅当两 者的特征位相匹配时才允许访问，否则产生 保护中断。