3、第1章(3)PPT優(yōu)秀課件

1、P1 操作系統(tǒng)操作系統(tǒng) 甘頁昌甘頁昌 P2 第一章第一章 概論概論 1.4 從不同角度從不同角度 刻畫操作系統(tǒng)刻畫操作系統(tǒng) P3 多角度看操作系統(tǒng)（多角度看操作系統(tǒng)（1） 概述概述 u操作系統(tǒng)涉及的知識很廣，其理論也是近代逐步形成的，操作系統(tǒng)涉及的知識很廣，其理論也是近代逐步形成的， 因此關(guān)于如何才能真正認(rèn)識操作系統(tǒng)，也就成了一大難題因此關(guān)于如何才能真正認(rèn)識操作系統(tǒng)，也就成了一大難題 u根據(jù)以往的教學(xué)經(jīng)驗，以及對學(xué)生關(guān)于操作系統(tǒng)學(xué)習(xí)的根據(jù)以往的教學(xué)經(jīng)驗，以及對學(xué)生關(guān)于操作系統(tǒng)學(xué)習(xí)的 了解，該課程難教，也難學(xué)。了解，該課程難教，也難學(xué)。 u設(shè)計開發(fā)一個操作系統(tǒng)涉及到數(shù)據(jù)結(jié)構(gòu)、計算機(jī)算法、設(shè)計開發(fā)

2、一個操作系統(tǒng)涉及到數(shù)據(jù)結(jié)構(gòu)、計算機(jī)算法、 數(shù)理邏輯、編譯原理、匯編語言、數(shù)理邏輯、編譯原理、匯編語言、C語言等，還涉及到圖語言等，還涉及到圖 形學(xué)、美學(xué)、心理學(xué)、甚至經(jīng)濟(jì)學(xué)等等形學(xué)、美學(xué)、心理學(xué)、甚至經(jīng)濟(jì)學(xué)等等 u所以從不同的角度去認(rèn)識操作系統(tǒng)，會有不同的觀點。所以從不同的角度去認(rèn)識操作系統(tǒng)，會有不同的觀點。 用戶觀點用戶觀點 u用戶主要關(guān)注如何使用計算機(jī)，其實不關(guān)注內(nèi)核用戶主要關(guān)注如何使用計算機(jī)，其實不關(guān)注內(nèi)核 u只知道操作系統(tǒng)的功能，感覺上只知道操作系統(tǒng)的功能，感覺上OS就是一個黑盒子就是一個黑盒子 u裝配了裝配了OS的計算機(jī)與裸機(jī)迥然不同：的計算機(jī)與裸機(jī)迥然不同： n使用戶更方便使用計算

3、機(jī)使用戶更方便使用計算機(jī) n相當(dāng)于構(gòu)造了一臺虛擬機(jī)相當(dāng)于構(gòu)造了一臺虛擬機(jī) n提供的操作命令決定了虛擬機(jī)的功能提供的操作命令決定了虛擬機(jī)的功能 P4 多角度看操作系統(tǒng)（多角度看操作系統(tǒng)（2） 資源管理觀點資源管理觀點 u該觀點是從計算機(jī)系統(tǒng)角度考慮問題。計算機(jī)系統(tǒng)由該觀點是從計算機(jī)系統(tǒng)角度考慮問題。計算機(jī)系統(tǒng)由 硬件和軟件兩大部分組成，即：硬件和軟件資源，按硬件和軟件兩大部分組成，即：硬件和軟件資源，按 其性質(zhì)可歸為四大類：其性質(zhì)可歸為四大類： n處理機(jī)處理機(jī) n存儲器存儲器 n外部設(shè)備外部設(shè)備 n文件文件(程序和數(shù)據(jù)程序和數(shù)據(jù)) 模塊分層觀點模塊分層觀點 u如何形成操作系統(tǒng)的構(gòu)架，用模塊分層觀

4、點討論模塊如何形成操作系統(tǒng)的構(gòu)架，用模塊分層觀點討論模塊 之間的關(guān)系，討論如何安排連結(jié)這些程序模塊才能構(gòu)之間的關(guān)系，討論如何安排連結(jié)這些程序模塊才能構(gòu) 造一個結(jié)構(gòu)簡單清晰、邏輯正確、便于分析和實現(xiàn)的造一個結(jié)構(gòu)簡單清晰、邏輯正確、便于分析和實現(xiàn)的 操作系統(tǒng)。操作系統(tǒng)。 u資源管理觀點回答了整個操作系統(tǒng)是由哪幾部分組成資源管理觀點回答了整個操作系統(tǒng)是由哪幾部分組成 的，并且利用進(jìn)程觀點指明了這些資源管理程序在什的，并且利用進(jìn)程觀點指明了這些資源管理程序在什 么時候開始起作用，以及它們在執(zhí)行過程中是如何相么時候開始起作用，以及它們在執(zhí)行過程中是如何相 互聯(lián)系的。互聯(lián)系的。 應(yīng)應(yīng) 用用 軟軟 件件 操

5、操 作作 系系 統(tǒng)統(tǒng) 硬件硬件 數(shù)據(jù)庫管理系統(tǒng)數(shù)據(jù)庫管理系統(tǒng) 網(wǎng)絡(luò)與通信軟件網(wǎng)絡(luò)與通信軟件 實用程序與工實用程序與工 具軟件具軟件 語言處理程序語言處理程序 P5 多角度看操作系統(tǒng)（多角度看操作系統(tǒng)（3） 進(jìn)程觀點進(jìn)程觀點 u通常我們把程序的一次執(zhí)行過程叫做一個通常我們把程序的一次執(zhí)行過程叫做一個 進(jìn)程進(jìn)程 n進(jìn)程被創(chuàng)建、運行直至被撤消完成其使命進(jìn)程被創(chuàng)建、運行直至被撤消完成其使命 u從進(jìn)程角度來分析操作系統(tǒng)，則所有進(jìn)程從進(jìn)程角度來分析操作系統(tǒng)，則所有進(jìn)程 的活動就構(gòu)成了操作系統(tǒng)的當(dāng)前行為的活動就構(gòu)成了操作系統(tǒng)的當(dāng)前行為 u在每一個瞬間都有一棵進(jìn)程家族樹，它展在每一個瞬間都有一棵進(jìn)程家族樹，它

6、展 示著操作系統(tǒng)行為主體的一個快照。示著操作系統(tǒng)行為主體的一個快照。 P6 多角度看操作系統(tǒng)（多角度看操作系統(tǒng)（4） 初始化初始化 外部復(fù)位外部復(fù)位 用戶中斷用戶中斷 進(jìn)進(jìn) 程程 進(jìn)程進(jìn)程 A2A2 進(jìn)程進(jìn)程 A1A1 進(jìn)程進(jìn)程 B2B2 進(jìn)程進(jìn)程 B1B1 進(jìn)程進(jìn)程 X2X2 進(jìn)程進(jìn)程 X1X1 系統(tǒng)數(shù)據(jù)基系統(tǒng)數(shù)據(jù)基 文件管理文件管理 數(shù)據(jù)結(jié)構(gòu)數(shù)據(jù)結(jié)構(gòu) 設(shè)備管理設(shè)備管理 數(shù)據(jù)結(jié)構(gòu)數(shù)據(jù)結(jié)構(gòu) 內(nèi)存管理內(nèi)存管理 數(shù)據(jù)結(jié)構(gòu)數(shù)據(jù)結(jié)構(gòu) 進(jìn)程控制塊進(jìn)程控制塊 中斷表中斷表 守護(hù)進(jìn)程守護(hù)進(jìn)程 demondemon 中斷管理中斷管理 操作系統(tǒng)中的進(jìn)程操作系統(tǒng)中的進(jìn)程 P7 第一章第一章 1.11.4小結(jié)小結(jié)

7、計算機(jī)歷史及計算機(jī)歷史及OS的發(fā)展（計算機(jī)的四個階段）的發(fā)展（計算機(jī)的四個階段） 操作系統(tǒng)類型（批處理、單道程序設(shè)計、多道程序操作系統(tǒng)類型（批處理、單道程序設(shè)計、多道程序 設(shè)計、分時、實時、網(wǎng)絡(luò)系統(tǒng)、分布式系統(tǒng)等）設(shè)計、分時、實時、網(wǎng)絡(luò)系統(tǒng)、分布式系統(tǒng)等） 操作系統(tǒng)的基本概念（操作系統(tǒng)的基本概念（4大模塊、特性、性能指標(biāo)）大模塊、特性、性能指標(biāo)） 分析操作系統(tǒng)的幾種觀點（分析操作系統(tǒng)的幾種觀點（1.4） 操作系統(tǒng)的用戶界面（硬件接口、系統(tǒng)調(diào)用）操作系統(tǒng)的用戶界面（硬件接口、系統(tǒng)調(diào)用） 課外思考題：課外思考題： u普適計算普適計算 u針對普適計算，操作系統(tǒng)應(yīng)如何發(fā)展針對普適計算，操作系統(tǒng)應(yīng)如何發(fā)

8、展 P8 系統(tǒng)軟件和操作系統(tǒng)系統(tǒng)軟件和操作系統(tǒng) 硬件硬件 軟件軟件-硬件接口硬件接口 操作系統(tǒng)操作系統(tǒng) 操作系統(tǒng)接口操作系統(tǒng)接口 其他系統(tǒng)軟件其他系統(tǒng)軟件 應(yīng)用程序接口應(yīng)用程序接口 應(yīng)用軟件應(yīng)用軟件 資資 源源 抽抽 象象 資資 源源 共共 享享 P9 用戶、程序員、操作系統(tǒng)設(shè)計者用戶、程序員、操作系統(tǒng)設(shè)計者 與操作系統(tǒng)的關(guān)系與操作系統(tǒng)的關(guān)系 計算機(jī)硬件計算機(jī)硬件 編程接口編程接口 操作系統(tǒng)操作系統(tǒng) 系統(tǒng)調(diào)用系統(tǒng)調(diào)用 系統(tǒng)程序系統(tǒng)程序/使用程序使用程序 API GUI/API 應(yīng)用程序應(yīng)用程序 用戶終端用戶終端 程序員程序員 操作系統(tǒng)操作系統(tǒng) 設(shè)計者設(shè)計者 P10 多道批處理系統(tǒng)多道批處理系統(tǒng)

9、 分時系統(tǒng)分時系統(tǒng)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)系統(tǒng) 實時系統(tǒng)實時系統(tǒng) 個人計算機(jī)和個人計算機(jī)和 工作站系統(tǒng)工作站系統(tǒng) 現(xiàn)代操作系統(tǒng)現(xiàn)代操作系統(tǒng) 存儲管理 保護(hù) 調(diào)度 文件 設(shè)備 存儲管理 保護(hù) 調(diào)度 系統(tǒng)軟件 人-機(jī)界面 客戶-服務(wù)器模式 協(xié)議 調(diào)度 P11 操作系統(tǒng)操作系統(tǒng)4大功能模塊大功能模塊 進(jìn)程與資進(jìn)程與資 源管理源管理 文件管理文件管理 存儲管理存儲管理設(shè)備管理設(shè)備管理 處理機(jī)處理機(jī)主存主存 設(shè)備設(shè)備 計算機(jī)硬件計算機(jī)硬件 抽象計算環(huán)境抽象計算環(huán)境 程序程序 進(jìn)程進(jìn)程 P12 第一章第一章 概論概論 1.5 安全操作系統(tǒng)安全操作系統(tǒng) P13 內(nèi)容提綱內(nèi)容提綱 v 安全操作系統(tǒng)的重要性安全操作系統(tǒng)的重

10、要性 v 安全評價準(zhǔn)則安全評價準(zhǔn)則 v 常用操作系統(tǒng)與安全級別的對應(yīng)舉例常用操作系統(tǒng)與安全級別的對應(yīng)舉例 v 安全模型安全模型 B-LPB-LP v 小結(jié)小結(jié) P14 安全操作系統(tǒng)的重要性安全操作系統(tǒng)的重要性 操作系統(tǒng)是應(yīng)用軟件同系統(tǒng)硬件的接口，其目標(biāo)是： u高效地、最大限度地、合理地使用計算機(jī)資源 若沒有安全操作系統(tǒng)的支持，會導(dǎo)致： u數(shù)據(jù)庫不安全：不可能具有存取控制的安全性 u網(wǎng)絡(luò)系統(tǒng)不安全：不可能有網(wǎng)絡(luò)系統(tǒng)的安全性 u應(yīng)用軟件不安全：不會有應(yīng)用軟件信息的安全性 安全操作系統(tǒng)是整個計算機(jī)系統(tǒng)安全的基礎(chǔ) u網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各主機(jī)的安全性 u主機(jī)系統(tǒng)的安全性決定于其操作系統(tǒng)的安全性

11、 u網(wǎng)絡(luò)應(yīng)用的安全性 依賴于主機(jī)系統(tǒng)的安全性 安全的操作系統(tǒng)依賴于安全的CPU芯片 1 1、計算接系統(tǒng)的安全性，依賴于安全的、計算接系統(tǒng)的安全性，依賴于安全的 CPUCPU芯片和安全的操作系統(tǒng)芯片和安全的操作系統(tǒng) 2 2、安全操作系統(tǒng)的研發(fā)分為四個階段：、安全操作系統(tǒng)的研發(fā)分為四個階段： 建立模型、系統(tǒng)設(shè)計、可信度檢測和系建立模型、系統(tǒng)設(shè)計、可信度檢測和系 統(tǒng)實現(xiàn)統(tǒng)實現(xiàn) P15 主要的安全評價準(zhǔn)則（主要的安全評價準(zhǔn)則（1 1） 第一個計算機(jī)安全評價標(biāo)準(zhǔn) uTCSEC (Trusted Computer System Evaluation Criteria)， “可信計算機(jī)系統(tǒng)安全評價標(biāo)準(zhǔn)” u

12、又稱橙皮書，美國國防部于1983年提出并于1985 年批準(zhǔn) u大家以TCSEC 為藍(lán)本研制安全操作系統(tǒng) TCSEC為安全系統(tǒng)指定了一個統(tǒng)一的系統(tǒng)安全策略： u自主訪問控制策略 u強制訪問控制策略 這些子策略緊密地結(jié)合在一起形成一個單一的系統(tǒng)安全策略 P16 主要的安全評價準(zhǔn)則（主要的安全評價準(zhǔn)則（2 2） 其他安全系統(tǒng)標(biāo)準(zhǔn) u歐洲的ITSEC u加拿大的CTSEC u美國聯(lián)邦準(zhǔn)則FC u聯(lián)合公共準(zhǔn)則CC uISO安全體系結(jié)構(gòu)標(biāo)準(zhǔn)ISO7498-2-1989 不同的安全環(huán)境有不同的安全需求 u需要制定不同的安全策略 u采用不同的安全模型 u使用不同的安全功能 P17 D D： 最小保護(hù)級最小保護(hù)

13、級 C1C1：自主安全保護(hù)級自主安全保護(hù)級 C2C2：受控訪問保護(hù)級受控訪問保護(hù)級 B1B1：標(biāo)簽安全保護(hù)級標(biāo)簽安全保護(hù)級 B2B2：結(jié)構(gòu)化保護(hù)級結(jié)構(gòu)化保護(hù)級 B3B3：安全區(qū)域保護(hù)級安全區(qū)域保護(hù)級 A1A1：經(jīng)過驗證的保護(hù)級經(jīng)過驗證的保護(hù)級 超超A1A1 其中：其中： C C：自主訪問等級：自主訪問等級 C1/C2 C1/C2 B B：強制訪問控制：強制訪問控制 B1/B2/B3 B1/B2/B3 保障需求保障需求安全特安全特 性需求性需求 TCSEC TCSEC 的構(gòu)成與等級結(jié)構(gòu)的構(gòu)成與等級結(jié)構(gòu) C C級級 B B級級 P18 可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn) TCSECTCS

14、EC 級別 名 稱 主 要 特 征 A1 驗證設(shè)計級 形式化驗證安全模型，形式化隱蔽通道分析 B3 安全區(qū)域保護(hù)級 安全內(nèi)核，高抗?jié)B透能力 B2結(jié)構(gòu)化保護(hù)級 形式化安全模型，隱密通道約束，面向安全的體 系結(jié)構(gòu)，較好的抗?jié)B透能力 B1標(biāo)簽安全保護(hù)級 強制訪問控制，安全標(biāo)識，刪去安全相關(guān)的缺陷 C2受控存取保護(hù)級 受控自主訪問控制，增加審核機(jī)制，記錄安全性 事件(增加了身份證級別的驗證) C1自主安全保護(hù)級 自主訪問控制(主要依據(jù)賬號授權(quán)) D最小保護(hù)級最低等級 D D最低等級；最低等級；C C系統(tǒng)特權(quán)分化（按角色分化）；系統(tǒng)特權(quán)分化（按角色分化）； B B強制訪問控制（標(biāo)簽）；強制訪問控制（標(biāo)簽

15、）；A A可驗證的保護(hù)級別可驗證的保護(hù)級別 P19 操作系統(tǒng)安全級別舉例操作系統(tǒng)安全級別舉例 DOS DOS D D級級 Linux Linux C1C1級級 Windows NT Windows NT C2C2級級 Solaris Solaris C2C2級級 Unix Unix B1B1級級 P20 自主訪問控制功能（自主訪問控制功能（C1級）級） Linux的自主訪問控制 u普通Linux只支持簡單形式的自主訪問控制 n由資源的擁有者根據(jù)三類群體指定用戶對資源的訪 問權(quán) 即：擁有者Owner、同組者Group、其他人Other等 n超級用戶root不受訪問權(quán)的制約 高度極權(quán)化的Linux

16、 u普通Linux采用極權(quán)化的方式 n設(shè)立一個root超級用戶 可對系統(tǒng)及其中的信息執(zhí)行任何操作 u攻擊者只要破獲root用戶的口令，便可進(jìn)入 系統(tǒng)并完全控制系統(tǒng) P21 系統(tǒng)特權(quán)分化（系統(tǒng)特權(quán)分化（C2級）級） 根據(jù)“最小特權(quán)”原則對系統(tǒng)管理員的特權(quán)進(jìn) 行分化 u根據(jù)系統(tǒng)管理任務(wù)設(shè)立角色 u依據(jù)角色劃分特權(quán) 典型的系統(tǒng)管理角色有： u系統(tǒng)管理員 n 負(fù)責(zé)系統(tǒng)的安裝、管理和日常維護(hù)，如安裝軟件、增添用戶 賬號、數(shù)據(jù)備份等 u安全管理員 n 負(fù)責(zé)安全屬性的設(shè)定與管理 u審計管理員等 n 負(fù)責(zé)配置系統(tǒng)的審計行為和管理系統(tǒng)的審計信息 一個管理角色不擁有另一個管理角色的特權(quán) u攻擊者破獲某個管理角色的

17、口令時不會得到對系 統(tǒng)的完全控制 P22 強制訪問控制功能（強制訪問控制功能（B級）級） Bell & LaPadula強制訪問控制模型 u為主體和客體提供標(biāo)簽支持 n主體 l 用戶、進(jìn)程等 l實施操作的一方 n客體 l 文件、目錄、設(shè)備、IPC機(jī)制等 l受操作的一方 根據(jù)設(shè)定的不同的標(biāo)簽進(jìn)行控制 u主體和客體都有標(biāo)簽設(shè)置 u系統(tǒng)根據(jù)主體與客體的標(biāo)簽匹配關(guān)系強制實行訪 問控制 n符合匹配規(guī)則的準(zhǔn)許訪問 n否則拒絕訪問，無論主體是普通用戶還是特權(quán)用戶。 例如：標(biāo)簽為 則可以查看“國防部”的信息，其密級不超過“秘密”級 n 比如：密級可以分為：“非密”、“秘密”、“機(jī)密”、“絕密”等等級別 P23

18、 Bell&LaPadulaBell&LaPadula模型（一）模型（一） Bell & LaPadula 模型，簡稱BLP 模型 u由D.E. Bell 和L.J. LaPadula 在1973年提出 u是第一個可證明的安全系統(tǒng)的數(shù)學(xué)模型 uBLP 模型是根據(jù)軍方的安全政策設(shè)計的 它要解決的本質(zhì)問題是對具有密級劃分的信息的訪問進(jìn)行控制 BLP 模型是一個狀態(tài)機(jī)模型 u它定義的系統(tǒng)，包含： n一個初始狀態(tài)Z0 n三元組（請求R，判定D，狀態(tài)S）組成的序列 即：BLP Z0,R,D,S 狀態(tài)S是一個四元組：S （b, M, f, H） 其中： b （主體i，客體j，訪問方式x），是當(dāng)前訪問集合

19、訪問方式x=只可讀r，只可寫a，可讀寫w，可執(zhí)行e M 是訪問控制矩陣是訪問控制矩陣 f 是安全級別函數(shù)，用于確定任意主體和客體的安全級別是安全級別函數(shù)，用于確定任意主體和客體的安全級別 H 是客體間的層次關(guān)系是客體間的層次關(guān)系 P24 Bell&LaPadulaBell&LaPadula模型（二）模型（二） 抽象出的訪問方式x有四種，分別是: u只可讀r u只可寫a u可讀寫w u不可讀寫（可執(zhí)行）e 主體的安全級別level包括 u最大安全級別，通常簡稱為安全級別 u當(dāng)前安全級別 如果一個系統(tǒng)的初始狀態(tài)Z0是安全的，并且三元組序列中 的所有狀態(tài)S都是安全的，那么這樣的系統(tǒng)就是一個安全 系統(tǒng)

20、 P25 Bell&LaPadulaBell&LaPadula模型（三）模型（三） 以下特性和定理構(gòu)成了BLP模型的核心內(nèi)容。 u簡單安全特性（ss特性）： 如果當(dāng)前訪問是 b(主體，客體，只可讀r)，那么一定有： level(主體) level(客體) 其中，level 表示安全級別。 u星號安全特性（*特性）： 在任意狀態(tài)，如果(主體，客體，方式)是當(dāng)前訪問，那么 一定有： (1)若方式是a，則：current_level(主體)level(客體) (2)若方式是w，則：current_level(主體)level(客體) (3)若方式是r，則：current_level(主體)level

21、(客體) 其中，current_level 表示當(dāng)前安全級別。 P26 Bell&LaPadulaBell&LaPadula模型（四）模型（四） u自主安全特性（ds特性）： 如果（主體i，客體j，方式x）是當(dāng)前訪問， 那么，方式x 一定在訪問控制矩陣M 的元素Mij 中。 vds特性處理自主訪問控制，自主訪問控制的權(quán)限由客 體的擁有者自主確定 vss特性和*特性處理的是強制訪問控制。強制訪問控 制的權(quán)限由特定的安全管理員確定，由系統(tǒng)強制實施。 u基本安全定理：如果系統(tǒng)狀態(tài)的每一次變化都能滿足ss 特性、*特性和ds特性的要求，那么，在系統(tǒng)的整個狀態(tài) 變化過程中，系統(tǒng)的安全性是不會被破壞的。

22、BLP 模型支持的是信息的保密性。 P27 標(biāo)簽標(biāo)簽 標(biāo)簽有等級分類和非等級類別： +等級分類與整數(shù)相當(dāng)，可以比較大??； 可設(shè)置為：非密、秘密、機(jī)密、絕密等， +非等級類別與集合相當(dāng)，不能比較大小，但存在包 含與非包含關(guān)系。 可設(shè)置為：國防部、外交部、財政部等級 例如： u當(dāng)一個用戶的標(biāo)簽為時 n他可以查看“國防部”的不超過“秘密”級的信息 u任何用戶（包括特權(quán)用戶），只要標(biāo)簽不符合要求 n都不能對指定信息進(jìn)行訪問 l 不管他原來的權(quán)利有多大（比如系統(tǒng)管理員） l 這為信息的保護(hù)提供了強有力的措施 l 普通Linux無法做到這一點 P28 小結(jié)小結(jié) 安全操作系統(tǒng)是安全計算機(jī)系統(tǒng)的根基 評價安全

23、操作系統(tǒng)的標(biāo)準(zhǔn)TCSEC 安全模型BLP（適合B標(biāo)準(zhǔn)） 參考文獻(xiàn)： “安全操作系統(tǒng)研究的發(fā)展安全操作系統(tǒng)研究的發(fā)展” 石文昌，中國科學(xué)院軟件研究所石文昌，中國科學(xué)院軟件研究所 計算機(jī)科學(xué)計算機(jī)科學(xué)Vol.29 No.6Vol.29 No.6和和Vol.29 No.7Vol.29 No.7 P29 特洛伊木馬（特洛伊木馬（1） “特洛伊木馬特洛伊木馬”（trojan horsetrojan horse）簡稱）簡稱“木馬木馬” u這個名稱來源于希臘神話這個名稱來源于希臘神話木馬屠城記木馬屠城記 u古希臘有大軍圍攻特洛伊城，久久無法攻下。于是古希臘有大軍圍攻特洛伊城，久久無法攻下。于是 有人獻(xiàn)計制造

24、一只高二丈的大木馬，假裝作戰(zhàn)馬神，有人獻(xiàn)計制造一只高二丈的大木馬，假裝作戰(zhàn)馬神， 讓士兵藏匿于巨大的木馬中，大部隊假裝撤退而將讓士兵藏匿于巨大的木馬中，大部隊假裝撤退而將 木馬擯棄于特洛伊城下。城中得知解圍的消息后，木馬擯棄于特洛伊城下。城中得知解圍的消息后， 遂將遂將“木馬木馬”作為奇異的戰(zhàn)利品拖入城內(nèi)，全城飲作為奇異的戰(zhàn)利品拖入城內(nèi)，全城飲 酒狂歡。到午夜時分，全城軍民盡入夢鄉(xiāng)，匿于木酒狂歡。到午夜時分，全城軍民盡入夢鄉(xiāng)，匿于木 馬中的將士開秘門游繩而下，開啟城門及四處縱火，馬中的將士開秘門游繩而下，開啟城門及四處縱火， 城外伏兵涌入，部隊里應(yīng)外合，焚屠特洛伊城。后城外伏兵涌入，部隊里應(yīng)外

25、合，焚屠特洛伊城。后 世稱這只大木馬為世稱這只大木馬為“特洛伊木馬特洛伊木馬” 如今黑客程序借用其名，有如今黑客程序借用其名，有“一經(jīng)潛入，后患一經(jīng)潛入，后患 無窮無窮”之意之意 P30 特洛伊木馬（特洛伊木馬（2） 完整的木馬程序一般由兩個部分組成： u一個是服務(wù)器程序一個是服務(wù)器程序 u一個是控制器程序。一個是控制器程序。 “中了木馬”就是指安裝了木馬的服務(wù)器程序 u若電腦被安裝了服務(wù)器程序，則擁有控制器程序的若電腦被安裝了服務(wù)器程序，則擁有控制器程序的 人就可以通過網(wǎng)絡(luò)控制該電腦（肉機(jī)）人就可以通過網(wǎng)絡(luò)控制該電腦（肉機(jī)） 自主訪問控制的缺陷，避免不了“木馬”侵入 BLP 模型可以防范“木

26、馬”，支持信息的保密 性（B1） P31 特洛伊木馬（特洛伊木馬（3） 特洛伊木馬： uSOS 安全操作系統(tǒng)（SOS）將重要信息放 在important文件中，該文件允許SOS有 R/W權(quán)限 uSPY 竊賊程序（SPY）設(shè)計了一個Use_it 程序含木馬程序，并準(zhǔn)備了一個Pocket 文件，并使得SOS僅可以對它進(jìn)行寫入:W， 而SPY可以對Pocket進(jìn)行讀和寫:R/W。 u當(dāng)SOS執(zhí)行到木馬程序時，木馬會將 important文件的信息，寫入Pocket中 P32 特洛伊木馬示例特洛伊木馬示例 Important文件， 它含有SOS的秘 密數(shù)據(jù) pocket文件,它在 悄悄地接收木馬 程序

27、寫入的數(shù)據(jù) Use_it P33 主體與客體賦予安全級主體與客體賦予安全級 主體和客體賦予安全級別 uSOS: high 安全級，important: high 安全級 uSPY: low安全級，pocket：low 安全級 當(dāng)SOS執(zhí)行木馬程序時，木馬程序也同樣獲 得SOS的安全級別，即:high，所以木馬程序可 以讀出important文件，但當(dāng)木馬程序向 pocket文件寫入時，“引用監(jiān)控器會拒絕”， 因為pocket文件的安全級低于木馬程序的安全 級，所以禁止寫操作 u根據(jù)BLP模型，高安全級主體只允許對低安全 級的客體進(jìn)行讀操作，而不許寫！ P34 對特洛伊木馬的防范對特洛伊木馬的防范 Important文 件，含有 SOS的秘密 數(shù)據(jù)。 pocket文件， 作為秘密的接 收者。 引用監(jiān)控器 Use_it 采用BLP模型的引用監(jiān)控器防范特洛伊木馬 P35 引用監(jiān)控器示意圖（引用監(jiān)控器示意圖（B3B3安全級）安全級） 引用監(jiān)控器引用監(jiān)控器 授權(quán)數(shù)據(jù)庫授權(quán)數(shù)據(jù)庫 引用監(jiān)控器引用監(jiān)控器 審計審計 目標(biāo)目標(biāo) 客體客體 目標(biāo)目標(biāo) 客體客體 目標(biāo)目標(biāo) 客體客體 目標(biāo)目標(biāo) 客體客體 目標(biāo)目標(biāo)