1 677 Table of Contents 679 976

Sistemas operativos modernos

Una parte importante de la TCB es el monitor de referencias, como se ve en la figura 9-29. El monitor de referencias acepta todas las llamadas al sistema con implicaciones de se­ guridad, como la que abre archivos, y decide si se deben procesar o no. Así, permite colocar todas las decisiones de seguridad en un solo sitio, sin posibilidad de ignorarlo. Muy pocos sis­ temas operativos se diseñan de esta manera, y eso es parte de la razón por la que son tan poco seguros. Proceso de usuario Todas las llamadas al sistema pasan por el monitor de referencias para que se verifique su seguridad Kernel del sistema operativo Espacio > de usuario Espacio de kernel Figura 9-29. Un monitor de referencias. 9.7.2 Modelos formales de sistemas seguros Las matrices de protección, como la de la figura 9-23, no son estáficas. Con frecuencia cam­ bian conforme se crean nuevos objetos, se destruyen objetos viejos y los dueños deciden acre­ centar o restringir el conjunto de usuarios de sus objetos. Se ha trabajado mucho en modelar sistemas de protección en los que la matriz de protección cambia en forma continua. En el res­ to de esta sección describiremos de manera abreviada algunos de esos trabajos. Hace décadas, Harrison et al. (1976) identificaron seis operaciones primitivas con la ma­ triz de protección que pueden servir como base para modelar cualquier sistema de protección. Esas operaciones primitivas son crear objeto, eliminar objeto, crear dominio, eliminar dominio, insertar derecho y quitar derecho. Las dos úlfimas primitivas insertan y quitan de­ rechos de elementos específicos de la matriz, como cuando se otorga permiso al dominio 1 para Archivoó. Estas seis primitivas pueden combinarse en comandos de protección. Los programas de usuario deben ejecutar estos comandos para modificar la matriz; no pueden ejecutar las primi­ tivas en forma directa. Por ejemplo, el sistema podría tener un comando para crear un archivo nuevo, que efectuaría una prueba para ver si ya existe el archivo y, si no, crear un objeto nue­ vo y otorgar al dueño todos sus derechos. Podría haber también uno para que el dueño otorgue

RkJQdWJsaXNoZXIy MjI4NDcx