1、第7章 操作系统的发展和安全 本章内容提要 操作系统发展的动力 现代操作系统的发展 系统的安全性 系统性能评价7.1 现代操作系统发展概述7.1.1 推动操作系统发展的动力1硬件技术更新伴随计算机器件的更新换代从电子管到晶体管、集成电路、大规模集成电路,直至当今的超大规模集成电路,计算机系统的性能得到快速提高,也促使操作系统的性能和结构有了显著提高。 2应用需求扩大 应用需求促进了计算机技术的发展,也促进了操作系统的不断更新升级。 7.1.2 现代操作系统的发展1. 个人机操作系统 现在流行的个人机运行着两类个人机操作系统单用户操作系统和多用户操作系统。 单用户操作系统 这类系统具有以下4个特
2、征: 个人使用 界面友好 管理方便 适于普及 多用户操作系统 多用户系统除了具有界面友好、管理方便和适于普及(尤其对SCO UNIX和Linux)等特征外,还具有多用户使用、可移植性良好、功能强大、通信能力强等优点。2. 网络操作系统 计算机网络的特征 分布性 自治性 互连性 可见性计算机网络示意图 网络操作系统 计算机网络要有一个网络操作系统对整个网络实施管理,并为用户提供统一的、方便的网络接口。 网络操作系统一般建立在各个主机的本地操作系统基础之上 网络操作系统的任务(或功能)应有以下四个方面: 网络通信 资源管理 网络服务 网络管理3.嵌入式操作系统 嵌入式系统概念 它不以独立的物理设备
3、的形态出现,即它没有一个统一的外观,它的部件根据主体设备及应用的需要嵌入在该设备的内部,发挥着运算、处理、存储及控制等作用。 从体系结构上看,嵌入式系统主要由嵌入式处理器、支撑硬件和嵌入式软件组成。 嵌入式系统嵌入式系统是以应用为中心、以计算机技术为基础、软件硬件可裁剪、适应应用系统对功能、可靠性、成本、体积、功耗严格要求的专用计算机系统。嵌入式软件系统的体系结构嵌入式操作系统 它同样具有操作系统在进程管理、存储管理、设备管理、处理器管理和输入/输出管理等方面的基本功能。 其最大特点就是可定制性可定制性,即能够提供对内核进行配置或剪裁等功能,可以根据应用需要有选择地提供或不提供某些功能,以减少
4、系统开销。 可以从不同的角度对它们进行分类 从应用领域角度 从应用范围角度 从实时性角度 4. 多处理器系统多处理器系统概念对称多处理系统结构 最常用的多处理器系统是对称多处理(SMP)系统 有些系统采用非对称多处理器(ASMP)系统多处理器系统的优点主要有如下三点: 增加吞吐量 提高性能/价格比 提高可靠性多处理器操作系统 多处理器系统中并行性是核心问题 并行处理带来的新问题 各处理器任务的分派和调度; 处理器间的通信管理; 处理器失效的检测、诊断和校正; 并行进程对共享数据存取时的保护等。 多处理器操作系统可以有多种组织形式,但基本上有三种结构,即主-从结构、对称结构和非对称结构。 5.
5、分布式系统分布式系统的特征 分布性 自治性 并行性 全局性分布式操作系统 分布式操作系统是配置在分布式系统上的共用操作系统。 分布式操作系统实施系统整体控制,对分布在各节点上的资源进行统一管理,并且支持对远程进程的通信协议。 它有如下三个基本功能: 进程管理 通信管理 资源管理分布式操作系统的特点 透明性 灵活性 可靠性 高性能 可扩充性 四种多机系统的比较多机系统多机系统包括四种类型:多处理器系统(Multiprocessor Systems),多计算机系统(Multicomputer Systems),网络系统(Network Systems),分布式系统(Distributed Syst
6、ems)。7. 云计算(Cloud computing)系统它将计算任务分布在大量计算机构成的资源池上,各种应用系统能够根据需要获取计算力、存储空间和各种软件服务,从而使得超级计算能力能通过互联网实现自由流通,这种资源池称为“云”。云计算示意图 云计算(Cloud Computing)是分布式处理(Distributed Computing)、并行处理(Parallel Computing)和网格计算(Grid Computing)的发展,或者说是这些计算机科学概念的商业实现。 云计算具有以下特点: (1) 超大规模 (2) 虚拟化 (3) 高可靠性 (4) 通用性 (5) 高可扩展性 (6)
7、 按需服务 (7) 极其廉价 更多人却抱以观望的态度。这种谨慎来自于对安全问题的考虑。 8.操作系统发展展望设计一个操作系统比设计一个应用程序要困难得多,其主要原因有以下几方面:程序量庞大、复杂;必须处理并发;既要阻止怀有敌意的用户,又要与伙伴共享信息和资源;必须预测未来硬件和应用程序的变化;提供系统的通用性;系统的可移植性和向后兼容性等。 未来操作系统大致应具有以下新的特征: 更强的分布式处理能力 更高的安全性和可靠性 符合开放式模型 更方便的用户界面 7.2 系统安全性7.2.1 信息安全问题 信息安全涉及众多方面,主要包括计算机安全和网络安全。 “安全性(Security)”和“保护(P
8、rotection)” 1对安全的威胁从安全的角度出发,计算机系统有三个总目标,也恰好对应三种威胁。这三个总目标是: 数据保密所关注的问题是为保密数据保守秘密。 数据完整性表示在未经主人许可的情况下,未授权用户不能修改任何数据。 系统可用性意味着任何人不能干扰系统的正常工作。 2对安全的攻击 非法入侵包括两种类型:被动入侵者和主动入侵者。入侵者通常分为以下4种类型: 非技术用户偶然探听 内部人员窥探 窃取钱财 商业或军事间谍另一类安全灾害是病毒(Virus) 病毒是一段程序,它可以复制自身,通常都具有破坏性。 3偶然数据丢失造成数据丢失的原因有如下三类:自然灾害 硬件或软件出错 人为故障 安全
9、环境 7.2.2 一般性安全机制1. 安全措施 物理层 人员层 网络层 操作系统层2. 一般性安全机制国际标准化组织ISO对开放系统互连(OSI)的安全体系结构制定了基本参考模型(ISO 7498-2)。模型提供了如下5种安全服务: 认证(Authentication) 访问控制(Access Control) 数据保密(Data Confidentiality) 数据完整性(Data Integrity) 抗否认(Non-repudiation)一般性安全机制1身份鉴别2访问控制3数据加密4数据完整性5数字签名6防重发7审计机制7.2.3 保护机制保护是一种机制,它控制程序、进程或用户对计算
10、机系统资源的访问。这种机制必须提供声明各种控制的方法及某些执行手段。 1. 保护域计算机系统是进程和对象的集合体。“对象”既可以是硬件对象,也可以是软件对象。从本质上讲,对象是抽象的数据类型。能够执行的操作取决于对象。进程只能访问被授权使用的资源,遵循“需者方知(need-to-know)”原则。域结构 域是对的集合,每个对标记一个对象和一个可执行操作的子集,允许执行的操作称做权限。 例如,域D定义为,那么在域D上执行的进程对文件F可读可写,除此之外,它不能对F执行任何其他操作。有三个保护域的系统示例 进程和域之间的联系可以是静态联系或动态联系。 进程在运行的不同阶段对资源的使用方式不同。域可
11、以用以下多种方式实现: 每个用户可以是一个域。 每个进程可以是一个域。 每个过程可以是一个域。UNIX保护域利用由组成的对,建立一张包括所有对象(文件,包括表示I/O设备的特别文件等)的完整的访问表,并列出这些对象是否可以读、写或执行。域结构存取矩阵 把对象与域的对应关系抽象地想象为一个矩阵,矩阵的行表示域,列表示对象,每个方块列出其权限。存取矩阵示意图 把域作为对象的存取矩阵示意图 2 存取控制表 按列存储技术中,每个对象与一个有序表关联,其中列出可以访问该对象的所有域以及怎样访问。这张表称做存取控制表(Access Control List, ACL)。使用存取控制表管理文件的存取示意图
12、3. 权限 对存取矩阵按行分割是实施简化的另一种方法。采用这种方法时,对每个进程都赋予一张它能够访问的对象表,以及每个对象允许进行的操作(域),该表称做权力表(Capability List),其中每一项称做权力。进程及其权力表示例常见的保护权力表的方法有以下三种: 为每个内存字设置一个额外(特征)位 在操作系统内部保存权力表。 在用户空间中保存权力表,但是管理权力采用加密形式,用户不能随意改动它们。存取控制表和权力表方式各有长处和不足: 权力表的效率很高;对于存取控制表ACL,必须进行搜索,这可能要花较长时间。 ACL允许有选择地撤销权限,而权力表方式则不行。 如果一个对象被删除,但其权力未
13、被删除,或者权力被删除而对象未被删除,都会产生问题。采用存取控制表ACL方式不会出现此类问题。权力 7.3 系统性能评价 计算机系统是软件、硬件及各种资料的集合体,如何对它进行更科学、更可行的评价是很复杂的问题。1.性能评价的目的 选择评价购买者的评价 性能规划估计尚未存在的系统的性能 性能监视系统维护者的评价 性能评价通常是与成本分析综合进行的。 由于系统的用途、使用环境、体系配置及价格等因素的不同,其评价标准也就不同。但可以按照系统规模、用途等项指标把它们分成不同的类别和档次,对属于同一类别、档次的系统可以按统一的标准去测量、评价。 2. 性能评价指标系统性能指标有两类:可靠性和工作能力。
14、可靠性 计算机系统的可靠性是指在规定的条件下和规定的时间内计算机系统能正确运行的概率。 一般判断系统正确运行的标准是: 出现故障时,程序不被破坏或停止; 运行结果不包含由故障所引起的错误; 执行时间不超过一定的限度; 程序运行在允许的领域内。 与计算机系统可靠性密切相关的还有系统的可维护性和可用性。 工作能力 工作能力是指在正常工作状态下系统所具有的能力。 常用的工作能力指标包括以下方面: 指令执行速度。 吞吐量。 工作负载。 响应特性。 利用率。 还有很多指标是无法度量的,如易使用性、易维护性等。 3. 性能评价技术 测量技术 实施测量时,测试人员通过测试设备向被测设备输入一组测试信息并收集
15、被测设备的原始输出,然后进行选择、处理、记录、分析和综合,并且解释相应结果。 测量工具分硬件工具和软件工具两类。 模拟技术在系统的设计、优化、验证和改进(如功能升级)过程中,当遇到不可能或不便于采用测量方法和分析方法的情况,可以构造模拟模型来近似目标系统,进而间接了解目标系统的特性。模拟模型采用程序语言描述。 分析技术分析技术可为计算机系统建立一种用数学方程式表示的模型,进而在给定输入条件下通过计算获得目标系统的性能特性。计算机系统的分析模型一般是某种网状的排队系统,求解往往是困难的。4. 安全性能评测标准 1985年,美国国防部正式公布了一个有关可信计算机系统安全性能的评测标准(TCSEC)
16、的文件“橙皮书” 分为7个级别,其中A级安全性最高,D级最低。D级的一致性最容易得到,它完全没有安全性方面的要求,该级别中包括不能通过最小安全测试的所有系统。MS-DOS和Windows 95/98/Me就属于D级。C级适用于多用户协作环境。C1级要求保护模式的操作系统和用户注册认证,以及用户能够指定哪些文件可用于其他用户和如何使用(自由存取控制),也要求最少的安全测试和文档。C2级添加了新的要求,自由存取控制直至单个用户级。它也要求分给用户的对象(如文件、虚存页面)必须全被初始化为0,还需要少量的审计。如UNIX系统中简单的rwx权限模式符合C1级,但不符合C2级。为此,需要采用存取控制表ACL或者等价的更精细的方式。现在很多正在使用的UNIX系统已达到C2级。
