計(jì)算機(jī)操作系統(tǒng)1第一講要達(dá)到的目標(biāo)明確本課整體安排觀念的轉(zhuǎn)變：從操作系統(tǒng)的使用者到操作系統(tǒng)的開(kāi)發(fā)者了解操作系統(tǒng)的基本類(lèi)型掌握操作系統(tǒng)基本概念2OS課程教學(xué)目標(biāo)通過(guò)學(xué)習(xí)應(yīng)達(dá)到如下效果：1、掌握并發(fā)程序設(shè)計(jì)方法(使用進(jìn)程)2、掌握操作系統(tǒng)的設(shè)計(jì)原理進(jìn)程設(shè)計(jì)、虛擬技術(shù)、資源管理技術(shù)3、具有分析和設(shè)計(jì)操作系統(tǒng)的能力3教材與參考書(shū)學(xué)時(shí)：56教材：任愛(ài)華等，“操作系統(tǒng)實(shí)用教程”(第二版)，清華大學(xué)出版社,2004參考書(shū)：OperatingSystemConceptsSILBERSCHATZ,GALVIN,GAGNE,2005OperatingSystems–DesignandImplementationAndrewS.Tanenbaum等,清華大學(xué)出版社，1997年9月OperatingSystemsInternalsandDesignPrinciplesWilliamStallings,電子工業(yè)出版社計(jì)算機(jī)操作系統(tǒng)教程張堯?qū)W，史美林，清華大學(xué)出版社，1993年9月操作系統(tǒng)實(shí)驗(yàn)指導(dǎo)任愛(ài)華等，清華大學(xué)出版社,2004操作系統(tǒng)輔導(dǎo)與提高任愛(ài)華，清華大學(xué)出版社，2004成績(jī)?cè)u(píng)定方式：平時(shí)作業(yè)30％出勤作業(yè)實(shí)驗(yàn)考試70％，考期學(xué)校統(tǒng)一安排時(shí)間5第一章概論計(jì)算機(jī)與操作系統(tǒng)計(jì)算機(jī)與操作系統(tǒng)的發(fā)展存儲(chǔ)程序式計(jì)算機(jī)的結(jié)構(gòu)和特點(diǎn)操作系統(tǒng)的基本概念操作系統(tǒng)的定義及其在計(jì)算機(jī)系統(tǒng)中的地位操作系統(tǒng)的功能、特性及其應(yīng)解決的基本問(wèn)題操作系統(tǒng)接口系統(tǒng)調(diào)用與交互命令分析和設(shè)計(jì)操作系統(tǒng)的幾種觀點(diǎn)用戶觀點(diǎn)、資源觀點(diǎn)、進(jìn)程觀點(diǎn)、分層觀點(diǎn)F6第一章概論計(jì)算機(jī)與操作系統(tǒng)計(jì)算機(jī)與操作系統(tǒng)的發(fā)展存儲(chǔ)程序式計(jì)算機(jī)的結(jié)構(gòu)和特點(diǎn)F7第一代計(jì)算機(jī)9第三代計(jì)算機(jī)：PDP-7小型機(jī)10第四代計(jì)算機(jī)：國(guó)產(chǎn)曙光5000巨型機(jī)11存儲(chǔ)設(shè)備的層次13整數(shù)A從磁盤(pán)到寄存器的移植過(guò)程14單進(jìn)程輸出情況的中斷時(shí)間線15對(duì)稱(chēng)多處理機(jī)體系結(jié)構(gòu)17專(zhuān)用系統(tǒng)影響著OS實(shí)時(shí)嵌入式系統(tǒng)汽車(chē)發(fā)動(dòng)機(jī)、制造業(yè)的機(jī)器人、錄像機(jī)、手機(jī)、微波爐，等等進(jìn)行監(jiān)控和管理整個(gè)房間可以計(jì)算機(jī)化，控制取暖、照明、警報(bào)系統(tǒng)、電飯鍋煮飯等等，通過(guò)web訪問(wèn)通知房間加熱多媒體系統(tǒng)MP3、MP4DVD電影/網(wǎng)上電影幀的視頻必須按照時(shí)間限制分流（30幀/秒）手持式系統(tǒng)PDA個(gè)人數(shù)據(jù)助理PersonaldigitalassistantPocket-PC智能手機(jī)18操作系統(tǒng)的發(fā)展批量處理多道程序設(shè)計(jì)分時(shí)系統(tǒng)實(shí)時(shí)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)分布式系統(tǒng)19多道程序工作示例單道程序工作示例CPU工作用戶程序監(jiān)督程序I/O操作計(jì)算請(qǐng)求輸入繼續(xù)計(jì)算啟動(dòng)I/OI/O完成結(jié)束中斷tt中央處理機(jī)外部設(shè)備外部設(shè)備程序A程序B程序A程序B磁盤(pán)輸入輸入結(jié)束打印輸出磁帶輸入輸入結(jié)束繪圖輸出輸出結(jié)束輸出結(jié)束21多道程序系統(tǒng)的存儲(chǔ)布局22從用戶模式到內(nèi)核模式的轉(zhuǎn)換目態(tài)管態(tài)23實(shí)時(shí)系統(tǒng)特點(diǎn)及時(shí)響應(yīng)高可靠性和安全性系統(tǒng)的整體性強(qiáng)交互會(huì)話活動(dòng)較弱專(zhuān)用系統(tǒng)種類(lèi)：實(shí)時(shí)信息處理、實(shí)時(shí)控制25局域網(wǎng)間的連接微型機(jī)微型機(jī)網(wǎng)關(guān)局域網(wǎng)26存儲(chǔ)程序式計(jì)算機(jī)的結(jié)構(gòu)和特點(diǎn)著名數(shù)學(xué)家VonNeumann總結(jié)了手工操作的規(guī)律前人研究計(jì)算機(jī)的經(jīng)驗(yàn)教訓(xùn)，提出了“存儲(chǔ)程序式計(jì)算機(jī)”方案一個(gè)順序計(jì)算模型典型的單處理機(jī)系統(tǒng)結(jié)構(gòu)總線中央處理機(jī)單元(CPU)內(nèi)存儲(chǔ)器磁盤(pán)適配器輸入/輸出接口其他外設(shè)接口通信線路接口磁盤(pán)驅(qū)動(dòng)器輸入/輸出設(shè)備各種外設(shè)通信線路29第一章概論操作系統(tǒng)的基本概念操作系統(tǒng)的定義及其在計(jì)算機(jī)系統(tǒng)中的地位操作系統(tǒng)的功能、特性及其應(yīng)解決的基本問(wèn)題F30操作系統(tǒng)的定義及其在計(jì)算機(jī)系統(tǒng)中的地位操作系統(tǒng)是搭在硬件平臺(tái)上的第一層軟件，它負(fù)責(zé)把系統(tǒng)資源管理起來(lái)以便充分發(fā)揮它們的作用。操作系統(tǒng)是計(jì)算機(jī)資源的管理軟件，是并發(fā)程序編譯程序匯編程序正文編輯程序數(shù)據(jù)庫(kù)系統(tǒng)操作系統(tǒng)裸機(jī)用戶1用戶2用戶3用戶n操作系統(tǒng)系件統(tǒng)軟件應(yīng)用軟用戶計(jì)算機(jī)系統(tǒng)的組成與軟件的層次關(guān)系31計(jì)算機(jī)系統(tǒng)構(gòu)件的抽象視圖32操作系統(tǒng)的表述從使用者的角度表述：提供計(jì)算機(jī)用戶與計(jì)算機(jī)硬件系統(tǒng)之間的接口，使計(jì)算機(jī)系統(tǒng)更易于使用。從管理計(jì)算機(jī)資源的角度表述：有效地控制和管理計(jì)算機(jī)系統(tǒng)中的各種硬件和軟件資源，使之得到更有效的利用。計(jì)算機(jī)資源管理者合理地組織計(jì)算機(jī)系統(tǒng)的工作流程，以改善系統(tǒng)性能如：響應(yīng)時(shí)間、系統(tǒng)吞吐量虛擬機(jī)概念操作系統(tǒng)是一直運(yùn)行在計(jì)算機(jī)上的程序，通常稱(chēng)為內(nèi)核計(jì)算機(jī)的掌控者33操作系統(tǒng)的功能、特性及其應(yīng)解決的基本問(wèn)題功能：管理系統(tǒng)的軟、硬件資源處理機(jī)管理、存儲(chǔ)器管理、設(shè)備管理和信息管理程序特性：并發(fā)性、共享性、不確定性、虛擬性解決的基本問(wèn)題：提供解決各種沖突的策略比如：處理機(jī)調(diào)度、進(jìn)程調(diào)度、內(nèi)存分配、設(shè)備分配等協(xié)調(diào)并發(fā)活動(dòng)的關(guān)系比如：進(jìn)程之間的通信，同步與互斥保證數(shù)據(jù)的一致性比如：讀寫(xiě)數(shù)據(jù)時(shí)，數(shù)據(jù)結(jié)構(gòu)中的內(nèi)容是否真實(shí)地記錄了數(shù)據(jù)的實(shí)際情況在分布式處理時(shí)的共享數(shù)據(jù)的不同副本是否一致實(shí)現(xiàn)數(shù)據(jù)的存取控制共享程度、隱私程度、安全程度的控制34第一章概論操作系統(tǒng)接口系統(tǒng)調(diào)用與交互命令F35系統(tǒng)調(diào)用與交互命令操作系統(tǒng)系統(tǒng)調(diào)用（程序界面）交互式界面用戶圖1-12操作系統(tǒng)接口

系統(tǒng)調(diào)用Linux:fork();exit();Dos:int21h交互命令Linux:pskillmailDos:dir,copy,typeping4536用戶應(yīng)用程序調(diào)用open的處理37第一章概論分析和設(shè)計(jì)操作系統(tǒng)的幾種觀點(diǎn)用戶觀點(diǎn)、資源觀點(diǎn)、進(jìn)程觀點(diǎn)、分層觀點(diǎn)F38分析和設(shè)計(jì)操作系統(tǒng)的幾種觀點(diǎn)(一)用戶觀點(diǎn)這種觀點(diǎn)主要是為刻畫(huà)操作系統(tǒng)的功能而引入的，從用戶的角度來(lái)觀察操作系統(tǒng)，操作系統(tǒng)是個(gè)黑盒子，配置了操作系統(tǒng)的計(jì)算機(jī)與原來(lái)真實(shí)的物理計(jì)算機(jī)迥然不同，因?yàn)樗峁┝擞脩羰褂糜?jì)算機(jī)的更方便手段,構(gòu)造了一臺(tái)虛擬機(jī)，提供的操作命令決定了虛擬機(jī)的功能。資源管理觀點(diǎn)資源觀點(diǎn)是從現(xiàn)代計(jì)算機(jī)系統(tǒng)角度考慮問(wèn)題。計(jì)算機(jī)系統(tǒng)由硬件和軟件兩大部分組成，即：硬件和軟件資源，這些資源都是非常寶貴的，按其性質(zhì)可歸為四大類(lèi)：處理機(jī)存儲(chǔ)器外部設(shè)備文件(程序和數(shù)據(jù))這四類(lèi)資源構(gòu)成了操作系統(tǒng)本身和用戶作業(yè)賴(lài)以活動(dòng)的物質(zhì)基礎(chǔ)和工作環(huán)境。39分析和設(shè)計(jì)操作系統(tǒng)的幾種觀點(diǎn)(二)進(jìn)程觀點(diǎn)通常我們把程序的一次執(zhí)行過(guò)程叫做一個(gè)進(jìn)程進(jìn)程被創(chuàng)建、運(yùn)行直至被撤消完成其使命從進(jìn)程角度來(lái)分析操作系統(tǒng)，則所有進(jìn)程的活動(dòng)就構(gòu)成了操作系統(tǒng)的當(dāng)前行為在每一個(gè)瞬間都有一棵進(jìn)程家族樹(shù)，它展示著操作系統(tǒng)行為主體的一個(gè)快照。模塊分層觀點(diǎn)如何形成操作系統(tǒng)的構(gòu)架，用模塊分層觀點(diǎn)討論模塊之間的關(guān)系，討論如何安排連結(jié)這些程序模塊才能構(gòu)造一個(gè)結(jié)構(gòu)簡(jiǎn)單清晰、邏輯正確、便于分析和實(shí)現(xiàn)的操作系統(tǒng)。資源管理觀點(diǎn)回答了整個(gè)操作系統(tǒng)是由哪幾部分組成的，并且利用進(jìn)程觀點(diǎn)指明了這些資源管理程序在什么時(shí)候開(kāi)始起作用，以及它們?cè)趫?zhí)行過(guò)程中是如何相互聯(lián)系的。40操作系統(tǒng)中的進(jìn)程初始化外部復(fù)位用戶中斷…進(jìn)程進(jìn)程A2進(jìn)程A1…進(jìn)程B2進(jìn)程B1……進(jìn)程X2進(jìn)程X1系統(tǒng)數(shù)據(jù)基

文件管理數(shù)據(jù)結(jié)構(gòu)設(shè)備管理數(shù)據(jù)結(jié)構(gòu)內(nèi)存管理數(shù)據(jù)結(jié)構(gòu)進(jìn)程控制塊中斷表守護(hù)進(jìn)程demon中斷管理41分層操作系統(tǒng)42DOS操作系統(tǒng)的層次結(jié)構(gòu)用戶命令COMMAND.COMMSDOS.SYSIO.SYSBIOS硬件設(shè)備43MS-DOS操作系統(tǒng)的層次結(jié)構(gòu)44簡(jiǎn)化的Windows體系結(jié)構(gòu)45Linux內(nèi)核體系結(jié)構(gòu)示意46UNIX系統(tǒng)結(jié)構(gòu)47Solaris可加載模塊48蘋(píng)果公司麥金塔操作系統(tǒng)X結(jié)構(gòu)Darwin49VMS系統(tǒng)模塊：非虛擬機(jī)/虛擬機(jī)50VMware體系結(jié)構(gòu)51Java虛擬機(jī)52.NET框架的CLR體系結(jié)構(gòu)53操作系統(tǒng)內(nèi)核分類(lèi)MonolithicKernels整體內(nèi)核含有全部操作系統(tǒng)功能和驅(qū)動(dòng)程序Unix-like,如：Linux設(shè)計(jì)者：LinusTorvaldsMicrokenel微內(nèi)核僅提供最低限度的服務(wù)，如：定義內(nèi)存地址空間，IPC，進(jìn)程管理。所有其他功能以進(jìn)程方式獨(dú)立于內(nèi)核運(yùn)行。MINIX,Mach設(shè)計(jì)者：AndrewTanenbaumHybridKernels混核類(lèi)似于微內(nèi)核，但包括了一些附加程序，主要為了改進(jìn)微內(nèi)核性能WindowsExokernels外核本身很小，附帶庫(kù)操作系統(tǒng)。以API的形式提供開(kāi)發(fā)者使用可以同時(shí)有幾個(gè)不同的庫(kù)操作系統(tǒng)54第一章小結(jié)計(jì)算機(jī)歷史與操作系統(tǒng)發(fā)展過(guò)程存儲(chǔ)程序式計(jì)算機(jī)與操作系統(tǒng)計(jì)算模式操作系統(tǒng)類(lèi)型現(xiàn)代操作系統(tǒng)的基本特征分析操作系統(tǒng)的幾種觀點(diǎn)操作系統(tǒng)的用戶界面操作系統(tǒng)的發(fā)展體現(xiàn)了計(jì)算機(jī)硬件技術(shù)與軟件技術(shù)的發(fā)展課外思考題：普適計(jì)算針對(duì)普適計(jì)算，操作系統(tǒng)應(yīng)如何發(fā)展55PC機(jī)結(jié)構(gòu)圖一56PC機(jī)結(jié)構(gòu)圖二57系統(tǒng)軟件和操作系統(tǒng)硬件軟件-硬件接口操作系統(tǒng)操作系統(tǒng)接口其他系統(tǒng)軟件應(yīng)用程序接口應(yīng)用軟件資源抽象資源共享58多道批處理系統(tǒng)分時(shí)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)實(shí)時(shí)系統(tǒng)個(gè)人計(jì)算機(jī)和工作站系統(tǒng)現(xiàn)代操作系統(tǒng)存儲(chǔ)管理保護(hù)調(diào)度文件設(shè)備存儲(chǔ)管理保護(hù)調(diào)度系統(tǒng)軟件人-機(jī)界面客戶-服務(wù)器模式協(xié)議調(diào)度現(xiàn)代操作系統(tǒng)的發(fā)展59進(jìn)程與資源管理文件管理存儲(chǔ)管理設(shè)備管理處理機(jī)主存設(shè)備操作系統(tǒng)計(jì)算機(jī)硬件后繼課程的任務(wù)和地位60內(nèi)容提綱安全操作系統(tǒng)的重要性安全評(píng)價(jià)準(zhǔn)則常用操作系統(tǒng)與安全級(jí)別的對(duì)應(yīng)舉例安全模型B-LP小結(jié)61安全操作系統(tǒng)的重要性操作系統(tǒng)是應(yīng)用軟件同系統(tǒng)硬件的接口，其目標(biāo)是：高效地、最大限度地、合理地使用計(jì)算機(jī)資源若沒(méi)有安全操作系統(tǒng)的支持，會(huì)導(dǎo)致：數(shù)據(jù)庫(kù)不安全不可能具有存取控制的安全可信性網(wǎng)絡(luò)系統(tǒng)不安全就不可能有網(wǎng)絡(luò)系統(tǒng)的安全性應(yīng)用軟件不安全不可能有應(yīng)用軟件信息處理的安全性安全操作系統(tǒng)是整個(gè)信息系統(tǒng)安全的基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)的安全性依賴(lài)于網(wǎng)絡(luò)中各主機(jī)系統(tǒng)的安全性主機(jī)系統(tǒng)的安全性決定于其操作系統(tǒng)的安全性安全可靠地運(yùn)行用戶軟件,依賴(lài)于操作系統(tǒng)的安全性安全的操作系統(tǒng)依賴(lài)于安全的CPU芯片62可信計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)標(biāo)準(zhǔn)第一個(gè)計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)

TCSEC(TrustedComputerSystemEvaluationCriteria)，“可信計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)標(biāo)準(zhǔn)”又稱(chēng)橙皮書(shū)，美國(guó)國(guó)防部于1983年提出并于1985年批準(zhǔn)人們以TCSEC為藍(lán)本研制安全操作系統(tǒng)TCSEC為安全系統(tǒng)指定的是一個(gè)統(tǒng)一的系統(tǒng)安全策略如：自主訪問(wèn)控制策略強(qiáng)制訪問(wèn)控制策略這些子策略緊密地結(jié)合在一起形成一個(gè)單一的系統(tǒng)安全策略

不同的安全環(huán)境有不同的安全需求需要制定不同的安全策略采用不同的安全模型使用不同的安全功能63D：最小保護(hù)級(jí)C1：自主安全保護(hù)級(jí)C2：受控訪問(wèn)保護(hù)級(jí)B1：標(biāo)簽安全保護(hù)級(jí)B2：結(jié)構(gòu)化保護(hù)級(jí)B3：安全區(qū)域保護(hù)級(jí)A1：經(jīng)過(guò)驗(yàn)證的保護(hù)級(jí)超A1其中：C：自主訪問(wèn)等級(jí)C1/C2B：強(qiáng)制訪問(wèn)控制B1/B2/B3保障需求安全特性需求TCSEC的構(gòu)成與等級(jí)結(jié)構(gòu)C級(jí)B級(jí)64可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)TCSEC級(jí)別名稱(chēng)主要特征A1驗(yàn)證設(shè)計(jì)級(jí)形式化驗(yàn)證安全模型，形式化隱蔽通道分析B3安全區(qū)域保護(hù)級(jí)安全內(nèi)核，高抗?jié)B透能力B2結(jié)構(gòu)化保護(hù)級(jí)形式化安全模型，隱密通道約束，面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B1標(biāo)簽安全保護(hù)級(jí)強(qiáng)制訪問(wèn)控制，安全標(biāo)識(shí)，刪去安全相關(guān)的缺陷C2受控存取保護(hù)級(jí)受控自主訪問(wèn)控制，增加審核機(jī)制，記錄安全性事件C1自主安全保護(hù)級(jí)自主訪問(wèn)控制D最小保護(hù)級(jí)最低等級(jí)65操作系統(tǒng)安全級(jí)別舉例DOS D級(jí)Linux C1級(jí)WindowsNT C2級(jí)Solaris C2級(jí)Unix B1級(jí)66自主訪問(wèn)控制功能（C1級(jí)）Linux的自主訪問(wèn)控制普通Linux只支持簡(jiǎn)單形式的自主訪問(wèn)控制由資源的擁有者根據(jù)三類(lèi)群體指定用戶對(duì)資源的訪問(wèn)權(quán)即：擁有者Owner、同組者Group、其他人Other等超級(jí)用戶root不受訪問(wèn)權(quán)的制約高度極權(quán)化的Linux普通Linux采用極權(quán)化的方式設(shè)立一個(gè)root超級(jí)用戶可對(duì)系統(tǒng)及其中的信息執(zhí)行任何操作攻擊者只要破獲root用戶的口令，便可進(jìn)入系統(tǒng)并完全控制系統(tǒng)67系統(tǒng)特權(quán)分化（C2級(jí)）根據(jù)“最小特權(quán)”原則對(duì)系統(tǒng)管理員的特權(quán)進(jìn)行分化根據(jù)系統(tǒng)管理任務(wù)設(shè)立角色依據(jù)角色劃分特權(quán)典型的系統(tǒng)管理角色有： 系統(tǒng)管理員負(fù)責(zé)系統(tǒng)的安裝、管理和日常維護(hù)，如安裝軟件、增添用戶賬號(hào)、數(shù)據(jù)備份等 安全管理員負(fù)責(zé)安全屬性的設(shè)定與管理 審計(jì)管理員等負(fù)責(zé)配置系統(tǒng)的審計(jì)行為和管理系統(tǒng)的審計(jì)信息一個(gè)管理角色不擁有另一個(gè)管理角色的特權(quán)攻擊者破獲某個(gè)管理角色的口令時(shí)不會(huì)得到對(duì)系統(tǒng)的完全控制68強(qiáng)制訪問(wèn)控制功能（B級(jí)）Bell&LaPadula強(qiáng)制訪問(wèn)控制模型為主體和客體提供標(biāo)簽支持主體用戶、進(jìn)程等實(shí)施操作的一方客體文件、目錄、設(shè)備、IPC機(jī)制等受操作的一方根據(jù)設(shè)定的不同的標(biāo)簽進(jìn)行控制主體和客體都有標(biāo)簽設(shè)置系統(tǒng)根據(jù)主體與客體的標(biāo)簽匹配關(guān)系強(qiáng)制實(shí)行訪問(wèn)控制符合匹配規(guī)則的準(zhǔn)許訪問(wèn)否則拒絕訪問(wèn)，無(wú)論主體是普通用戶還是特權(quán)用戶。例如：標(biāo)簽為<秘密，{國(guó)防部}>則可以查看“國(guó)防部”的信息，其密級(jí)不超過(guò)“秘密”級(jí)比如：密級(jí)可以分為：“非密”、“秘密”、“機(jī)密”、“絕密”等等級(jí)別69Bell&LaPadula模型（一）Bell&LaPadula模型，簡(jiǎn)稱(chēng)BLP模型由D.E.Bell和L.J.LaPadula在1973年提出是第一個(gè)可證明的安全系統(tǒng)的數(shù)學(xué)模型BLP模型是根據(jù)軍方的安全政策設(shè)計(jì)的它要解決的本質(zhì)問(wèn)題是對(duì)具有密級(jí)劃分的信息的訪問(wèn)進(jìn)行控制BLP模型是一個(gè)狀態(tài)機(jī)模型它定義的系統(tǒng)，包含：一個(gè)初始狀態(tài)Z0

三元組（請(qǐng)求R，判定D，狀態(tài)S）組成的序列即：BLP{Z0,R,D,S}狀態(tài)S是一個(gè)四元組：S（b,M,f,H）其中：b（主體i，客體j，訪問(wèn)方式x），是當(dāng)前訪問(wèn)集合訪問(wèn)方式x={只可讀r，只可寫(xiě)a，可讀寫(xiě)w，可執(zhí)行e}M是訪問(wèn)控制矩陣f是安全級(jí)別函數(shù)，用于確定任意主體和客體的安全級(jí)別H是客體間的層次關(guān)系70Bell&LaPadula模型（二）抽象出的訪問(wèn)方式x有四種，分別是:只可讀r

只可寫(xiě)a

可讀寫(xiě)w

不可讀寫(xiě)（可執(zhí)行）e

主體的安全級(jí)別level包括最大安全級(jí)別，通常簡(jiǎn)稱(chēng)為安全級(jí)別當(dāng)前安全級(jí)別如果一個(gè)系統(tǒng)的初始狀態(tài)Z0是安全的，并且三元組序列中的所有狀態(tài)S都是安全的，那么這樣的系統(tǒng)就是一個(gè)安全系統(tǒng)71Bell&LaPadula模型（三）以下特性和定理構(gòu)成了BLP模型的核心內(nèi)容。簡(jiǎn)單安全特性（ss特性）：如果當(dāng)前訪問(wèn)是b（主體，客體，只可讀r），那么一定有：level(主體)

level(客體)其中，level表示安全級(jí)別。星號(hào)安全特性（*特性）：在任意狀態(tài)，如果（主體，客體，方式）是當(dāng)前訪問(wèn)，那么一定有：(1)若方式是a，則：current_level(主體)

level(客體)(2)若方式是w，則：current_level(主體)

level(客體)(3)若方式是r，則：current_level(主體)

level(客體)其中，current_level表示當(dāng)前安全級(jí)別。72Bell&LaPadula模型（四）自主安全特性（ds特性）：如果（主體-i，客體-j，方式-x）是當(dāng)前訪問(wèn)，那么，方式-x一定在訪問(wèn)控制矩陣M的元素Mij中。ds特性處理自主訪問(wèn)控制，自主訪問(wèn)控制的權(quán)限由客體的擁有者自主確定ss特性和*特性處理的是強(qiáng)制訪問(wèn)控制。強(qiáng)制訪問(wèn)控制的權(quán)限由特定的安全管理員確定，由系統(tǒng)強(qiáng)制實(shí)施?；景踩ɡ恚喝绻到y(tǒng)狀態(tài)的每一次變化都能滿足ss特性、*特性和ds特性的要求，那么，在系統(tǒng)的整個(gè)狀態(tài)變化過(guò)程中，系統(tǒng)的安全性是不會(huì)被破壞的。BLP模型支持的是信息的保密性。73標(biāo)簽標(biāo)簽有等級(jí)分類(lèi)和非等級(jí)類(lèi)別：等級(jí)分類(lèi)與整數(shù)相當(dāng)，可以比較大??；可設(shè)置為：非密、秘密、機(jī)密、絕密等，非等級(jí)類(lèi)別與集合相當(dāng)，不能比較大小，但存在包含與非包含關(guān)系?？稍O(shè)置為：國(guó)防部、外交部、財(cái)政部等級(jí)例如：當(dāng)一個(gè)用戶的標(biāo)簽為<秘密，{國(guó)防部}>時(shí)他可以查看“國(guó)防部”的不超過(guò)“秘密”級(jí)的信息任何用戶（包括特權(quán)用戶），只要標(biāo)簽不符合要求都不能對(duì)指定信息進(jìn)行訪問(wèn)不管他原來(lái)的權(quán)利有多大（比如系統(tǒng)管理員）這為信息的保護(hù)提供了強(qiáng)有力的措施普通Linux無(wú)法做到這一點(diǎn)74小結(jié)安全操作系統(tǒng)是安全計(jì)算機(jī)系統(tǒng)的根基評(píng)價(jià)安全操作系統(tǒng)的標(biāo)準(zhǔn)TCSEC安全模型BLP（適合B標(biāo)準(zhǔn)）參考文獻(xiàn)：“安全操作系統(tǒng)研究的發(fā)展”石文昌，中國(guó)科學(xué)院軟件研究所《計(jì)算機(jī)科學(xué)》Vol.29No.6和Vol.29No.775特洛伊木馬“特洛伊木馬”（trojanhorse）簡(jiǎn)稱(chēng)“木馬”這個(gè)名稱(chēng)來(lái)源于希臘神話《木馬屠城記》古希臘有大軍圍攻特洛伊城，久久無(wú)法攻下。于是有人獻(xiàn)計(jì)制造一只高二丈的大木馬，假裝作戰(zhàn)馬神，讓士兵藏匿于巨大的木馬中，大部隊(duì)假裝撤退而將木馬擯棄于特洛伊城下。城中得知解圍的消息后，遂將“木馬”作為奇異的戰(zhàn)利品拖入城內(nèi)，全城飲酒狂歡。到午夜時(shí)分，全城軍民盡入夢(mèng)鄉(xiāng)，匿于木馬中的將士開(kāi)秘門(mén)游繩而下，開(kāi)啟城門(mén)及四處縱火，城外伏兵涌入，部隊(duì)里應(yīng)外合，焚屠特洛伊城。后世稱(chēng)這只大木馬為“特洛伊木馬”如今黑客程序借用其名，有“一經(jīng)潛入，后患無(wú)窮”之意76特洛伊木馬（續(xù)）完整的木馬程序一般由兩個(gè)部分組成：一個(gè)是服務(wù)器程序一個(gè)是控制器程序。“中了木馬”就是指安裝了木馬的服務(wù)器程序若電腦被安裝了服務(wù)器程序，則擁有控制器程序的人就可以通過(guò)網(wǎng)絡(luò)控制該電腦（肉機(jī)）自主訪問(wèn)控制的缺陷，避免不了“木馬”侵入BLP模型可以防范“木馬”，支持信息的保密性（B1）77特洛伊木馬（續(xù)）特洛伊木馬：SOS安全操作系統(tǒng)（SOS）將重要信息放在important文件中，該文件允許SOS有R/W權(quán)限SPY竊賊程序（SPY）設(shè)計(jì)了一個(gè)Use_it程序含木馬程序，并準(zhǔn)備了一個(gè)Pocket文件，并使得SOS僅可以對(duì)它進(jìn)行寫(xiě)入:W，而SPY可以對(duì)Pocket進(jìn)行讀和寫(xiě):R/W。當(dāng)SOS執(zhí)行到木馬程序時(shí)，木馬會(huì)將important文件的信息，寫(xiě)入Pocket中78特洛伊木馬示例Important文件，它含有SOS的秘密數(shù)據(jù)pocket文件,它在悄悄地接收木馬程序?qū)懭氲臄?shù)據(jù)Use_it79主體與客體賦予安全級(jí)主體和客體賦予安全級(jí)別SOS:high安全級(jí)，important:high安全級(jí)SPY:low安全級(jí)，pocket：low

安全級(jí)當(dāng)SOS執(zhí)行木馬程序時(shí)，木馬程序也同樣獲得SOS的安全級(jí)別，即:high，所以木馬程序可以讀出important文件，但當(dāng)木馬程序向pocket文件寫(xiě)入時(shí)，“引用監(jiān)控器會(huì)拒絕”，因?yàn)閜ocket文件的安全級(jí)低于木馬程序的安全級(jí)，所以禁止寫(xiě)操作根據(jù)BLP模型，高安全級(jí)主體只允許對(duì)低安全級(jí)的客體進(jìn)行讀操作，而不許寫(xiě)！80對(duì)特洛伊木馬的防范Important文件，含有SOS的秘密數(shù)據(jù)