一致性模型:
1 严格一致性模型。
读操作所返回的值必须总是反映最。
近更新的结果。
必须有全局时间。
2 顺序一致性模型。
分布式系统中所有成员和它们的进。
程共享一个通用视图,此视图记录了。
对于共享内存访问操作的顺序。
不依赖一个全局时间,而是更强调各。
事件保持同一的顺序。
3 偶然一致性模型 (casual
consistency model)
如果事件是偶然相关的,那么它们就。
必须以相同而且正确的次序出现。
如果事件将修改同一个共享数据集。
合,那么它们就是偶然相关的。
在关系图中,没有偶然关系的事件。
就是无关事件,也就不受这种一致性模。
型的约束。4 pram一致性模型。
在每个地点看来,从同一位置来的操。
作之间的事务顺序是相同的,而它们。
和系统中其它来自不同位置的操作。
之间的顺序则因观察地点的变化而。
有可能不同。
不同位置在视图中是允许并行操作的。
5 处理器一致性模型。
对于一个特定的存储位置,这个系统。
必须就此位置的所有写操作顺序达成。
一致。第十三章分布式操作系统的安全性。
第一节。一概述。
安全问题:资源保护。
通信安全。用户鉴别。
软件安全可以划分为:
应用软件安全。
网络软件安全。
网络的安全可信性依赖于各主机系统的安全可信性,而主机系统的安全性又依赖于其操作系统的安全性。
数据库安全。
通常是建立在操作系统之上的,若没有操作系统的支持,数据库系统就不可能具有存取控制的安全可信性。
操作系统安全。
管理计算机资源,是计算机软件安全的基础
安全性分类 ( 美国国防部提出的,橘皮书 )
d 类。c 类
b 类 a 类。
二访问控制方法。
1 访问矩阵模型。
2 网格安全模型。
3 信息流模型。
4 安全内核机制。
三访问矩阵模型。
动态保护结构。
共享级别。信任问题。
限制问题。访问矩阵的实现。
设计原则:机制经济性。
缺省决定。完全的中介。
开放设计。最少特权。
可接受性。实现方法:
访问控制表。
权能表。锁钥机制。
第二节。windwos nt/xp 操作系统的安全性。
设计目标是:c2级,必须在用户级实现自主访问控制,必须提供审计访问对象的机制。
安全模型。对对象的访问必须经过一个核心区域的验证,没有得到正确授权的用户是不能访问对象的。
用户必须在windwos nt/xp中拥有一个帐号,并规定该帐号在系统中的特权和权限。
特权:指用户对整个系统能够做的事情。
权限:用户对系统资源所能做的事情。
工作组:通过工作组,可以方便地给一组相关的用户授予特权和权限。
windwos nt/xp 安全模型由本地安全认证、安全帐号管理器和安全参考监督器构成。
本地安全认证:进行安全服务;
安全策略是由本地安全策略库实现的,库中主要保存着可信域、用户和用户组的特权和访问权限、安全事件。
这个数据库由本地安全认证来管理,并且只有通过本地安全认证才能访问它。
安全帐号管理:管理用户和用户组的帐号,根据它的权限决定它的作用是在本地内还是在域的范围。并且只有通过安全帐号管理工具才能访问它。
windwos nt/xp
实现了用户级自主访问控制。
windwos nt/xp中的对象采用了安全性描述符(security descriptor).
安全性描述符:
用户sid(owner)、工作组sid(group)、访问控制列表(dacl)、系统访问控制列表(sacl)。
当某个进程要访问一个对象时,进程的sid与对象的访问控制列表比较,决定是否可以访问该对象。
windwos nt/xp用审计功能。
系统产生3类日志:系统日志、应用程序日志、安全日志。
可使用事件查看器浏览和按条件过滤显示。
系统日志、应用程序日志任何人都可以看。
安全日志则对应审计数据,只能由审计管理员查看和管理。前提是它必须存于ntfs文件系统中。
第三节。操作系统的安全机制。
操作系统提供的服务:内存保护、文件保护、普通实体保护(对实体的一般存取控制)、存取鉴别(用户身份鉴别)。
目标:按系统安全策略对用户的操作进行存取控制,防止用户对计算机资源的非法存取。
标识系统中的用户和身份鉴别。
监督系统运行的安全性。
保证系统自身的安全性和完整性。
安全机制:硬件安全机制、存取控制、最小特权管理、安全审计、标识与鉴别、可信通道、隐蔽通道处理等。
1 硬件安全机制。
存储保护机制:防止用户程序对操作系统的影响,在多道程序运行的系统中,对进程的存储区域实行互相隔离。
运行保护:运行域是进程运行的区域,在最内层具有最高特权,在最外层具有最小的特权,一般的系统不少于3---4个环。
i/o保护:可以将设备看作是一个客体,由于所有的i/o不是向设备写数据就是向设备接收数据,所以一个进行i/o操作的进程必须受到对设备的读/写两种访问控制。
2 软件保护机制。
标识与鉴别。
标识:为每个用户取一个名字,用户标识符。
鉴别:将用户标识符与用户联系的动作。
鉴别一般是在用户登录是发生。
口令机制:简便易行的鉴别手段。
比较安全的口令应该是:不小于6个字符,同时含有数字和字母的,并以一定的时间间隔进行改变。
生物技术是一种比较有前途的鉴别用户身份的方法。
在安全操作系统中,可信计算基(tcb)要先进行用户识别,之后才开始执行要tcb调节的任何其他活动。
用户鉴别可以通过口令来完成。
当用户连续执行认证过程,超过系统管理员指定的次数而认证仍然失败时,tcb应该关闭此登录会话;
当连续或不连续的登录失败次数超过管理员指定的次数时,该用户的身份就不能再用了。
如果口令。口令应该满足:
1 当用户选择了一个其他用户已使用的口令时,tcb不能通知该用户。
2 tcb应该以单向加密方式存储口令,访问加密口令必须有特权。
3 在口令输入和显示设备上,tcb应该自动隐藏口令明文。
4 应该禁止使用空口令,只有系统管理员可以在某些特殊操作中使用空口令,例如:系统初起、手工修复、维修模式等。
5 允许用户更换自己的口令。只有系统管理员才能设置或初始化用户口令。
6 tcb必须坚强口令失效管理,口令的使用期超过系统的指定值后,系统应当要求用户修改口令。
7 在系统指定的时间段内,同一用户的口令不可重用。
8 口令的复杂性。
指定最小长度,比如8个字符。
要求包括至少一个字母字符、数字字符、特殊字符。
指定一些不可以用的口令,如单位缩写等。
存取控制:安全机制的主要内容是存取控制。
自主存取控制(discretionary access control, dac )
文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的访问权。
一个用户可以自主地说明其资源允许系统中那些用户以何种权限进行共享。
强制存取控制(mandatory access control, mac )
系统中的每个进程、文件、ipc客体都被赋予了相应的安全属性,这些安全属性是不能改变的,它由管理部门或操作系统自动地按严格的规则来设置。
最小特权管理。
系统不应该给予用户超过执行任务所需特权以外的特权。
可以将超级用户的特权划分为一组细粒度的特权,分别授予不同的系统操作员/管理员,从而减少由于特权用户口令丢失或误操作所引起的损失。
例如:可以在系统中定义5个特权管理职责,任何一个用户都不能获取足够的权力,破坏系统的安全策略。
可信通道。在计算机系统中,用户是通过不可信的中间应用层和操作系统相互作用的。但在用户登录,定义用户的安全属性,改变文件的安全等级操作时,用户必须确实与安全核心通信。
提供可信通道的办法。
1 每个用户两台终端。
一台做通常的工作,一台用作与内核的硬连接。
2 使用通用终端,通过它发一信号给核心。
这个信号是不可信软件不能拦截、覆盖或伪造的。
系统实现可信通路机制时,预定义了一组“安全注意键”序列,当用户键入这组“安全注意键”,便激活可信通路,即杀死当前终端的所有用户进程(包括特洛伊木马 ),重新激活可信通道。
可信通道的工作过程。
1) 截取键盘输入。
只要有键盘事件发生,就进入内核进行解释,判断其扫描码是否等于“安全注意符”。
2) 识别当前活跃的终端。
只要有键盘事件发生,确定是“安全注意符”,就从终端表中,找到当前活跃的终端或x-window。
3) 杀死“该杀的进程”
前提:核心是不会欺骗自己的。
欺骗程序必然来自用户,所以杀死该终端上的所有用户进程是适宜的。
隐蔽通道。允许进程以危害系统安全策略的方式传输信息的通信信道。
包括:隐蔽存储信道和隐蔽时间通道。
隐蔽存储通道。
一个进程直接或间接地写一个存储单元,而另一个进程可以直接或间接地读这个存储单元而构成的信道。
隐蔽时间通道。
一个进程通过调节自己对系统资源的使用向另外一个进程发送信息,后者通过观察响应时间的改变获得信息而构成的信道。
一般系统中总是充满了隐蔽通道,采用强制访问策略的系统中,强制控制没有保护的任何信息的任何比特都可能是一个潜在的候补路径。
建立隐蔽存储通道,必须满足以下4个要求:
1) 发送和接受进程必须能够对同一存储单元具有存储能力;
2) 发送进程必须能够改变(或者称“写”)共享存储单元的内容;
3) 接受进程必须能够探测(或者称“读”)到共享存储单元内容的改变;
4) 必须有一对通信初始化和发送和接收进程同步的机制。
隐蔽存储通道的处理。
1) 清除隐蔽信道。
设法消除产生隐蔽通道的共享单元的共享性;
2) 对隐蔽通道的带宽进行限制。
比如:故意引入噪音、延迟、虚拟时间等。
保证从低安全级向高安全级发送信息时时间是可靠的,而在高安全级向低安全级发送信息时,随机插入延迟。
还可以用一个可以调节的系统参数,使每个系统调用运行的时间增加若干毫秒。
3) 审计隐蔽通道,利用审计功能监视和记录隐蔽通道的信息传输情况。
安全审计。对系统中有关安全的活动进行记录、检查、审核。
它的主要目的就是检测、阻止非法用户对计算机系统的入侵,并显示合法用户的误操作。
作为一种事后追查的手段保证系统的安全。
审计过程一般是一个独立的过程,它应与系统其它功能隔离开。操作系统必须能够生成、维护、保护审计过程,使其免遭修改、非法访问及毁坏,保护审计数据。
安全操作系统一般将要审计的事件分为3种:
注册事件。使用系统的事件。
利用隐蔽通道的事件。
一般操作系统设计功能的实现。
实现审计功能。
系统如何保证所有安全相关的事件都能够被审计。
高级操作系统讲义
北京邮电大学计算机。学院 一上课基础。学习过本科操作系统课程。熟悉一种程序设计语言。二参考书 1 何炎祥等高级操作系统。科学出版社,1999年。2 何炎祥分布式操作系统。高等教育出版社,2005年。3 andrew s.tanenbaumdistributed operating systems.中...
高级操作系统讲义
1.网络操作系统 具有网络功能的操作系统,无严格定义。ms dos 1 网络通信能力。2 提供网络服务 网络上各节点的主机运行自身的操作系统,它不仅要保证本机的系统进程或用户进程能简便 有效地使用网络中各种资源 同时,也为网中其它用户使用本机资源提供服务。os 网络协议。2 分布式操作系统。每台计算...
高级操作系统讲义g
第十一章恢复与容错。11 1 具有容错能力的应用程序。基于事务型 基于进程控制型 11 2 事务恢复。事务的原子化特征要求 所有已提。交的事务对数据项的影响都。已反应到数据项中,所有未提交或。异常终止的事务对数据项的。影响应全部撤消。假定 服务器运行时,将所有的数。据项都保存在易失性存储器。中,并把...