单智勇，博士，中国人民大学硕士生导师。研究领域为操作系统、信息安全和虚拟机技术。从事操作系统研究近十年，先后主持或作为骨干参与多项操作系统领域的国家自然科学基金课题和国家863高技术研究发展计划项目。在重要国际会议、学报和核心期刊发表操作系统相关学术论文二十余篇。曾获得中国科学院院长奖和北京市科技进步二等奖。<br>    石文昌，博士，中国人民大学教授，博士生导师，兼任中国科学院研究生院教授。主要研究领域为信息安全、可信计算、系统软件与虚拟机技术。中国计算机学会高级会员，中国计算机学会信息保密专委会委员，开放系统专委会委员，系统软件专委会委员，IEEE会员。曾获得中国科学院院长奖和北京市科技进步二等奖。

    操作系统安全性是计算机安全的重要基础，要妥善解决日益泛滥的计算机安全问题，必须有稳固的安全操作系统作后盾。《操作系统访问控制研究》专门介绍作者近年在操作系统访问控制领域的研究成果，包括强制访问控制和角色访问控制，支持多安全政策的访问控制框架和访问控制管理，以及新型访问控制——可用性访问控制和可生存性访问控制等。书中所述大部分内容已经应用到商品化安全操作系统中，并获得北京市科技进步奖。<br>    《操作系统访问控制研究》可供操作系统和信息安全研究者及相关专业高校师生阅读参考。

    第1章  绪论<br>    1.1  现代操作系统面临的挑战<br>    进入21世纪，互联网应用已经全面渗透到日常生活、金融、电信、电子商务、电子政务和军事等社会的各个领域。但是，互联网本身具有的开放性和动态性正在越来越多地引发各种安全问题，而且速度越来越快，范围越来越大。全世界由于计算机系统的安全脆弱性而导致的经济损失正在逐年上升，平均每20秒就发生一次入侵计算机互联网的事件。互联网的防火墙，超过三分之一被攻破。因此，包括Microsoft，Sun和IBM在内的众多系统软件厂商开始重视并逐步建立起安全和可信的操作系统。然而，这种具有较高安全性和可信性的操作系统离用户可接受程度还有一定距离。安全的操作系统已成为学术界和工业界积极研究的课题。<br>    微软Redmond研究院撰文认为：可信、安全、系统可配置性、系统可扩展性以及多核编程是当前操作系统研究的五个挑战。Vista是微软第一款根据“安全开发生命周期（security development lifecycle，SDL）”机制进行开发的操作系统。它首次实现了从用户易用优先向系统安全优先的转变，其中所有选项的默认设置也都是以安全性为第一要素考虑的，这和以往的Windows客户端操作系统把易用性放在第一位大不相同。

前言<br>第1章 绪论<br>1.1 现代操作系统面临的挑战<br>1.2 操作系统访问控制<br><br>第2章 操作系统访问控制研究概述<br>2.1 基础理论的形成<br>2.1.1 访问控制抽象<br>2.1.2 引用监控机<br>2.1.3 BLP模型<br>2.1.4 权能与访问控制表<br>2.1.5 操作系统保护理论<br>2.2 访问控制模型<br>2.2.1 概念辨析<br>2.2.2 安全模型描述<br>2.2.3 安全模型比较<br>2.3 访问控制框架<br>2.3.1 基于策略描述语言的FMP<br>2.3.2 基于安全属性的FMP<br>2.3.3 基于统一模型的FMP<br>2.3.4 FMP比较<br>2.4 安全操作系统<br>2.4.1 安全Multics<br>2.4.2 Linus IV系统<br>2.4.3 安全Xenix系统<br>2.4.4 System V/MLS<br>2.4.5 安全TUNIS系统<br>2.4.6 ASOS系统<br>2.4.7 基于Mach的DTOS安全操作系统<br>2.4.8 基于Fluke的Flask安全操作系统<br>2.4.9 基于Linux的SE—Linux安全操作系统<br>2.4.10 中国安全操作系统研究<br>2.4.11 红旗安全操作系统<br><br>第3章 强制访问控制<br>3.1 多级安全策略的适应性实施方法<br>3.1.1 二层判断空间划分<br>3.1.2 BLP模型的形式化框架简述<br>3.1.3 ABLP实施方法理论框架的建立及其正确性证明<br>3.1.4 ABLP实施方法解释<br>3.2 安全策略格与多级安全策略<br>3.2.1 安全策略格的定义方法<br>3.2.2 多级安全策略的历史敏感性<br>3.2.3 DTOS安全策略格的修正<br>3.2.4 小结<br><br>第4章 角色访问控制<br>4.1 引言<br>4.2 扩展RBAC96模型<br>4.3 OSR模型的形式化描述<br>4.3.1 有关角色、用户、进程和可执行文件的定义<br>4.3.2 有关客体的定义和规则<br>4.3.3 有关操作的定义和规则<br>4.3.4 有关权限的定义和规则<br>4.3.5 模型中的关系<br>4.3.6 进程角色集合变化规则<br>4.3.7 访问决策的规则与定理<br>4.4 OSR模型实现<br>4.4.1 GFAC实施部分<br>4.4.2 Capability实施部分<br>4.4.3 系统缺省状态的确定<br>4.4.4 继承关系和限制关系的实现<br>4.4.5 安全管理<br>4.5 小结<br><br>第5章 可用性访问控制<br>5.1 提出问题<br>5.2 模型描述<br>5.2.1 定义<br>5.2.2 保护规则<br>5.2.3 感染传播规则<br>5.2.4 关键标志传播规则<br>5.2.5 总体描述<br>5.3 模型分析<br>5.3.1 安全性分析<br>5.3.2 兼容性分析<br>5.3.3 易用性分析<br>5.4 模型实现<br>5.5 模型评价<br>5.5.1 安全性测试<br>5.5.2 兼容性测试<br>5.5.3 性能测试<br>5.6 与DTE模型的关系<br>5.7 小结<br><br>第6章 可生存性访问控制<br>6.1 可生存性访问控制<br>6.2 TTC模型<br>6.3 模型证明<br>6.4 模型应用<br>6.5 模型比较<br>6.6 小结<br><br>第7章 访问控制框架<br>7.1 扩展GFAC<br>7.1.1 引言<br>7.1.2 访问的三层模型及二项缓冲机制的提出<br>7.1.3 带二项缓冲机制的通用访问控制框架<br>7.1.4 DGFAC在RFSOS中的实施<br>7.1.5 性能评价<br>7.1.6 小结<br>7.2 环境适应的多策略支持框架<br>7.2.1 引言<br>7.2.2 评价准则<br>7.2.3 Guards框架的提出<br>7.2.4 Guards框架的描述<br>7.2.5 Guards在RFSOS中的实现<br>7.2.6 Guards与FLASK的比较<br><br>第8章 访问控制管理<br>8.1 访问控制的管理<br>8.1.1 引言<br>8.1.2 CC标准下的安全管理要求<br>8.1.3 SAMSOS及其实施<br>8.1.4 SAMSOS与FMP的结合<br>8.1.5 结果评价<br>8.2 安全属性的撤销<br>8.2.1 引言<br>8.2.2 安全属性即时撤销分析及框架<br>8.2.3 属性撤销框架在RFSOS安全操作系统中的实施<br>8.2.4 性能影响分析<br>8.2.5 小结<br>参考文献