Giáo trình hệ điều hành - Bài 13

BẢO VỆ VÀ AN TOÀN HỆ THỐNGAn toàn và bảo vệ hệ thống là chức năng khoông thể thiếu của các hệ điều hành hiện đại. Trong bài học này, chúng ta sẽ làm quen với các khái niệm về tổ chức an toàn hệ thống, cũng như các cơ chế bảo vệ hỗ trợ việc triển khai các chiến lược này.I. Mục tiêu bảo vệ hệ thống (Protection) Mục tiêu của việc bảo vệ hệ thống là: Bảo vệ chống lỗi của tiến trình : khi có nhiều tiến trình cùng hoạt động, lỗi của một tiến trình...
Nội dung trích xuất từ tài liệu:
Giáo trình hệ điều hành - Bài 13 BẢO VỆ VÀ AN TOÀN HỆ THỐNGBÀI 13 An toàn và bảo vệ hệ thống là chức năng khoông thể thiếu của các hệ điều hành hiện đại. Trong bài học này, chúng ta sẽ làm quen với các khái niệm về tổ chức an toàn hệ thống, cũng như các cơ chế bảo vệ hỗ trợ việc triển khai các chiến lược này.I. Mục tiêu bảo vệ hệ thống (Protection)Mục tiêu của việc bảo vệ hệ thống là: Bảo vệ chống lỗi của tiến trình : khi có nhiều tiến trình cùng hoạt động, lỗi của một tiến trình j phải được ngăn chặn không cho lan truyền trên hệ thống làm ảnh hưởng đến các tiến trình khác. Đặc biệt , qua việc phát hiện các lỗi tiềm ẩn trong các thành phần của hệ thống có thể tăng cường độ tin cậy hệ thống ( reliability) . Chống sự truy xuất bất hợp lệ : Bảo đảm các bộ phận tiến trình sử dụng tài nguyên theo một cách thức hợp lệ được qui định cho nó trong việc khai thác các tài nguyên này .Vai trò của bộ phận bảo vệ trong hệ thống là cung cấp một cơ chế để áp dụng các chiếnlược quản trị việc sử dụng tài nguyên . Cần phân biệt khái niệm cơ chế và chiến lược: Cơ chế : xác định làm thế nào để thực hiện việc bảo vệ, có thể có các cơ chế phần mềmhoặc cơ chế phần cứng. Chiến lược: quyết định việc bảo vệ được áp dụng như thế nào : những đối tượng nàotrong hệ thống cần được bảo vệ, và các thao tác thích hợp trên các đối tượng nàyĐể hệ thống có tính tương thích cao , cần phân tách các cơ chế và chiến lược được sửdụng trong hệ thống. Các chiến lược sử dụng tài nguyên là khác nhau tùy theo ứng dụng,và thường dễ thay đổi . Thông thường các chiến lược được lập trình viên vận dụng vàoứng dụng của mình để chống lỗi truy xuất bất hợp lệ đến các t ài nguyên, trong khi đó hệthống cung cấp các cơ chế giúp người sử dụng có thể thực hiện được chiến lược bảo vệcủa mình.II. Miền bảo vệ (Domain of Protection ) II.1. Khái niệmMột hệ thống máy tính được xem như một tập các đối tượng (objects). Một đối tượng cóthể là một bộ phận phần cứng ( CPU, bộ nhớ, ổ đĩa...) hay một thực thể phần mềm ( tậptin, chương trình, semaphore...). Mỗi đối tượng có một định danh duy nhất để phân biệtvới các đối tượng khác trong hệ thống, và chỉ được truy xuất đến thông qua các thao tácđược định nghĩa chặt chẽ và được qui định ngữ nghĩa rõ ràng. Các thao tác có thể thựchiện được trên một đối tượng được xác định cụ thể tùy vào đối tượng.Để có thể kiểm soát được tình hình sử dụng tài nguyên trong hệ thống, hệ điều hành chỉcho phép các tiến trình được truy xuất đến các tài nguyên mà nó có quyền sử dụng, hơnnữa tiến trình chỉ được truy xuất đến các tài nguyên cần thiết trong thời điểm hiện tại đểnó hoàn thành tác vụ (nguyên lý need-to-know) nhăm hạn chế các lỗi truy xuất mà tiếntrình có thể gây ra trong hệ thống.Mỗi tiến trình trong hệ thống đều hoạt động trong một miền bảo vệ (protection domain)nào đó. Một miền bảo vệ sẽ xác định các tài nguyên ( đối tượng) mà những tiến trình hoạtđộng trong miền bảo vệ này có thể sử dụng, và các thao tác hợp lệ các tiến trình này cóthể thực hiện trên những tài nguyên đó.Ví dụ : II.2. Cấu trúc của miền bảo vệCác khả năng thao tác trên một đối tượng được gọi là quyền truy xuất (access right). Mộtmiền bảo vệ là một tập các quyền truy xuất, mỗi quyền truy xuất được định nghĩa bởi mộtbộ hai thứ tự .Các miền bảo vệ khác nhau có thể giao nhau một số quyền truy xuất : Hình vẽ 5.1 Hệ thống với 3 miền bảo vệMối liên kết giữa một tiến trình và một miền bảo vệ có thể tĩnh hay động : Liên kết tĩnh : trong suốt thời gian sống của tiến tr ình, tiến trình chỉ hoạt động trong một miền bảo vệ . Trong trường hợp tiến trình trải qua các giai đoạn xử lý khác nhau, ở mỗi giai đoạn tiến trình có thể thao tác trên những tập tài nguyên khác nhau bằng các thao tác khác nhau. Tuy nhiên, nếu sử dụng liên kết tĩnh, rõ ràng là ngay từ đầu miền bảo vệ đã phải đặc tả tất cả các quyền truy xuất qua các giai đoạn cho tiến trình , điều này có thể khiến cho tiến trình có dư quyền trong một giai đoạn nào đó, và vi phạm nguyên lý need-to-know. Để có thể tôn trọng nguyên lý này, khi đó cần phải có khả năng cập nhật nội dung miền bảo vệ để có thể phản ánh các quyền tối thiểu của tiến trình trong miền bảo vệ tại một thời điểm! Liên kết động : cơ chế này cho phép tiến trình chuyển từ miền bảo vệ này sang miền bảo vệ khác trong suốt thời gian sống của nó. Để tiếp tục tuân theo nguyên lý need-to-know, thay vì sửa đổi nội dung của miền bảo vệ, có thể tạo ra các miền bảo vệ mới với nội dung thay đổi qua từng giai đoạn xử lý của tiến trình, và chuyển tiến trình sang hoạt động trong miền bảo vệ phù hợp theo từng thời điểm. Một miền bảo vệ có thể được xây dựng cho: Một người sử dụng : trong trường hợp này, tập các đối tư ...