操作系统16：文件共享和文件保护

1、文件共享

（1）基于有向无循环图实现文件共享

1.1 - 有向无循环图 DAG(Directed Acyclic Graph)

1.2 - 利用索引结点

（2）利用符号链接实现文件共享

2、文件保护

（1）保护域(Protection Domain)和访问权

（2）什么是访问矩阵？

2.1 - 基本的访问矩阵

2.2 - 具有域切换权的访问矩阵

（3）如何修改访问矩阵？

3.1 - 拷贝权(Copy Right)

3.2 - 所有权(Owner Right)

3.3 - 控制权(ControlRight)

（4）如何实现访问矩阵？

4.1 - 访问控制表(Access Control List)

4.2 - 访问权限(Capabilities)表

1、文件共享

在现代计算机系统中，必须提供文件共享手段，即指系统应允许多个用户(进程)共享同一份文件。这样，在系统中只需保留该共享文件的一份副本。如果系统不能提供文件共享功能，就意味着凡是需要该文件的用户，都须各自备有此文件的副本，显然这会造成对存储空间的极大浪费。//文件共享可以节省存储空间，共享文件只需要一个副本

（1）基于有向无循环图实现文件共享

1.1 - 有向无循环图 DAG(Directed Acyclic Graph)

在严格的树形结构目录中，每个文件只允许有一个父目录，父目录可以有效地拥有该文件，其它用户要想访问它，必须经过其属主目录来访问该文件。这就是说，对文件的共享是不对称的，或者说，树形结构目录是不适合文件共享的。//树形结构子节点只允许有一个父节点

改进：如果允许一个文件可以有多个父目录，即有多个属于不同用户的多个目录，同时指向同一个文件，虽会破坏树的特性，但这些用户可用对称的方式实现文件共享，而不必再通过其属主目录来访问。// 为了文件共享，允许子节点有多个父节点

下图示出了一个有向无循环图，它允许每一个文件都可以有多个父目录。如图中的文件 F8 有三个父目录，它们分别是 D5、D6 和 D3，其中 D5 和 D3 还使用了相同的名字 p ，目录 D6 有两个父目录 D2 和 D1。

我们知道，当有多个用户要共享一个子目录或文件时，必须将共享文件或子目录链接到多个用户的父目录中，才能方便地找到该文件。

现在的问题是，如何建立父目录 D5 与共享文件 F8 之间的链接呢？

如果在文件目录中所包含的是文件的物理地址，即文件所在盘块的盘块号，则在链接时，必须将文件的物理地址拷贝到 D5 目录中去。但如果以后 D5 或 D6 还要继续向该文件中添加新内容，也必然要相应地再增加新的盘块，这些是由附加操作 Append 来完成的。而这些新增加的盘块也只会出现在执行了操作的目录中。// 如果 D5 往文件 F8 中增加了内容，那么新增加的内容只会保存在 D5 中，不会被 D6 和 D3 共享

可见，这种变化对其他用户而言，是不可见的，因而新增加的这部分内容已不能被共享。

1.2 - 利用索引结点

为了解决新增内容不能被共享问题，可以引用索引结点，即诸如文件的物理地址及其它的文件属性等信息，不再是放在目录项中，而是放在索引结点中。在文件目录中只设置文件名及指向相应索引结点的指针。//不再是文件的物理地址

此时，由任何用户对共享文件所进行的 Append 操作或修改，都将引起其相应结点内容的改变(例如，增加了新的盘块号和文件长度等)，这些改变是其他用户可见的，从而也就能提供给其他用户来共享。

// 该方式删除共享文件时，如果没有进行特殊处理，会出现悬空指针，因为共享目录都拥有文件的索引结点

（2）利用符号链接实现文件共享

利用符号链接实现文件共享的基本思想，同样允许一个文件或子目录有多个父目录，但其中仅有一个作为主(属主)父目录，其它的几个父目录都是通过符号链接方式与之相链接的(简称链接父目录)。

这样做的最大好处是，属主结构(用实线连接起来的结构)仍然是简单树，这对文件的删除、查找等都更为方便。//保留了文件结构的树结构

那么，如何利用符号链实现共享呢？

为使链接父目录 D5 能共享文件 F8，可以由系统创建一个 LINK 类型的新文件，也取名为 F(8)，并将 F(8) 写入链接父目录 D5 中，以实现 D5 与文件 F8 的链接。在新文件 F(8) 中只包含被链接文件 F8 的路径名。这样的链接方法被称为符号链接。//使用Link文件进行共享

新文件 F(8) 中的路径名则只被看做是符号链。当用户通过 D5 访问被链接的文件 F8，且正要读 LINK 类新文件时，此要求将被 OS 截获，OS 根据新文件中的路径名去找到文件 F8，然后对它进行读(写)，这样就实现了对文件 F8 的共享。//符号链中只有路径名，使用link文件作为载体

符号链方式的优点：在利用符号链方式实现文件共享时，只是文件主才拥有指向其索引结点的指针；而共享该文件的其他用户则只有该文件的路径名，并不拥有指向其索引结点的指针。这样，也就不会发生在文件主删除一共享文件后留下一悬空指针的情况。当文件的拥有者把一个共享文件删除后，如果其他用户又试图通过符号链去访问一个已被删除的共享文件，则会因系统找不到该文件而使访问失败，于是再将符号链删除，此时不会产生任何影响。//不会产生悬空指针

符号链方式的问题：读共享文件时，系统根据给定的文件路径名逐个分量(名)地去查找目录，直至找到该文件的索引结点。因此，在每次访问共享文件时，都可能要多次地读盘。这使每次访问文件的开销甚大，且增加了启动磁盘的频率。此外，要为每个共享用户建立一条符号链，而由于链本身实际上是一个文件，尽管该文件非常简单，却仍要为它配置一个索引结点，这也要耗费一定的磁盘空间。//多次读盘+消耗磁盘空间

2、文件保护

影响文件安全性的主要因素有：

人为因素。人们有意或无意的行为，会使文件系统中的数据遭到破坏或丢失。
系统因素。由于系统的某部分出现异常情况，而造成数据的破坏或丢失，特别是作为数据存储主要介质的磁盘，一旦出现故障，会产生难以估量的影响。
自然因素。随着时间的推移，存放在磁盘上的数据会逐渐消失。

为了确保文件系统的安全性，可针对上述原因而采取三方面的措施：

通过存取控制机制，防止由人为因素所造成的文件不安全性。
采取系统容错技术，防止系统部分的故障所造成的文件的不安全性。
建立后备系统，防止由自然因素所造成的不安全性。

（1）保护域(Protection Domain)和访问权

访问权：一个进程能对某对象执行操作的权力，称为访问权(Access right)。每个访问权可以用一个有序对（对象名，权集）来表示，例如，某进程有对文件 F1 执行读和写操作的权力，则可将该进程的访问权表示成（F1，{R/W}）。

保护域：“域”是进程对一组对象访问权的集合，进程只能在指定域内执行操作。这样，“域”也就规定了进程所能访问的对象和能执行的操作。// 访问权 -> 保护域

下图中给出了两个保护域。在域 1 中有两个文件 F1 和 F2，只允许进程对 F1 读，而允许对 F2 读和写；而对象 Printer1 同时出现在域 1 和域 2 中，这表示在这两个域中运行的进程都能使用打印机。

静态域：在进程和域之间可以一一对应，即一个进程只联系着一个域。这意味着，在进程的整个生命期中，其可用资源是固定的，我们把这种域称为“静态域”。在这种情况下，进程运行的全过程都是受限于同一个域，这将会使赋予进程的访问权超过了实际需要。例如，某进程在运行开始时需要磁带机输入数据，而在进程快结束时，又需要用打印机打印数据。在一个进程只联系着一个域的情况下，则需要在该域中同时设置磁带机和打印机这两个对象，这将超过进程运行的实际需要。//固定保护域

动态域：在进程和域之间，也可以是一对多的关系，即一个进程可以联系着多个域。在此情况下，可将进程的运行分为若干个阶段，其每个阶段联系着一个域，这样便可根据运行的实际需要来规定在进程运行的每个阶段中所能访问的对象。//需要增加保护域切换功能

这种一对多的联系方式称为动态联系方式，在采用这种方式的系统中，应增设保护域切换功能，以使进程能在不同的运行阶段从一个保护域切换到另一个保护域。

（2）什么是访问矩阵？

2.1 - 基本的访问矩阵

用来描述系统访问控制的矩阵，称为访问矩阵(AccessMatrix)。访问矩阵中的行代表域，列代表对象，矩阵中的每一项是由一组访问权组成的。

访问矩阵中的访问权通常由资源的拥有者或者管理者所决定。当用户创建一个新文件时，创建者便是拥有者，系统在访问矩阵中为新文件增加一列，由用户决定在该列的某个项中应具有哪些访问权，而在另一项中又具有哪些访问权。当用户删除此文件时，系统也要相应地在访问矩阵中将该文件对应的列撤消。

2.2 - 具有域切换权的访问矩阵

为了实现在进程和域之间的动态联系，需要使进程从一个保护域切换到另一个保护域。//目的

为了能对进程进行控制，同样应将切换作为一种权力，仅当进程有切换权时，才能进行这种切换。为此，在访问矩阵中又增加了几个对象（切换域）。

例如，在上图中由于域 D1 和 D2 所对应的项目中都有一个 S 即 Switch，故而允许在域 D1 中的进程切换到域 D2 中。类似地，在 D2 域中运行的进程也可以切换到域 D3 中，但不允许该进程再从域 D3 返回到域 D1 或者 D2。// 无Switch，不允许进程切换保护域

（3）如何修改访问矩阵？

3.1 - 拷贝权(Copy Right)

利用拷贝权可以将在某个域中所拥有的访问权，扩展其它域中。

在上图中，凡是在访问权上加星号(*)者，都表示在域中运行的进程能将其对象的访问权复制成在任何域中对同一对象的访问权。//加*号，访问权允许复制

例如，图中在域 D1 中对文件 F3 的写访问权上加有 * 号，表示运行在 D1 域中的进程可以将其对文件 F3 的写访问权扩展到域 D3 中去，类似的，在域 D2 中对文件 F2 的读访问权也是一样。

应注意的是，把带有 * 号的拷贝权拷贝到新的域以后，其所建立的访问权不再带有 * 号，这使在域 D3 上运行的进程不能再将其拷贝权进行扩散，这种拷贝方式被称为限制拷贝。

3.2 - 所有权(Owner Right)

有时候不仅要求能将已有的访问权进行有控制的扩散，而且同样需要能增加某种访问权，或者能删除某种访问权。此时，可利用所有权(O)来实现这些操作。

在拥有文件所有权的域中运行的进程，可以删除或新增该文件在其他域中的访问权。//文件的所有者可以对文件的访问权进行各种修改

3.3 - 控制权(ControlRight)

拷贝权和所有权都是用于改变矩阵内同一列的各项访问权的，或者说，是用于改变在不同域中运行的进程对同一对象的访问权的。//对一列中的数据进行修改

控制权则可用于改变矩阵内同一行中(域中)的各项访问权，亦即，用于改变在某个域中运行的进程对不同对象的访问权的。//对一行中的数据进行修改

（4）如何实现访问矩阵？

4.1 - 访问控制表(Access Control List)

对访问矩阵按列(对象)划分，为每一列建立一张访问控制表 ACL。在该表中已把矩阵中属于该列的所有空项删除，此时的访问控制表是由一有序对(域，权集)所组成的。由于在大多数情况下，矩阵中的空项远多于非空项，因而使用访问控制表可以显著地减少所占用的存储空间，并能提高查找速度。//按列划分，一个文件一张表

在不少系统中，当对象是文件时，便把访问控制表存放在该文件的文件控制表中，或放在文件的索引结点中，作为该文件的存取控制信息。

访问控制表也可用于定义缺省的访问权集，即在该表中列出了各个域对某对象的缺省访问权集。在系统中配置了这种表后，当某用户(进程)要访问某资源时，通常是首先由系统到缺省的访问控制表中，去查找该用户(进程)是否具有对指定资源进行访问的权力。如果找不到，再到相应对象的访问控制表中去查找。//缺省访问权限就是默认访问权限

4.2 - 访问权限(Capabilities)表

如果把访问矩阵按行(即域)划分，便可由每一行构成一张访问权限表。换言之，这是由一个域对每一个对象可以执行的一组操作所构成的表。表中的每一项即为该域对某对象的访问权限。当域为用户(进程)、对象为文件时，访问权限表便可用来描述一个用户对每一个文件所能执行的一组操作。//按行划分，一个域一张表

目前，大多数系统都同时采用访问控制表和访问权限表，在系统中为每个对象配置一张访问控制表。当一个进程第一次试图去访问一个对象时，必须先检查访问控制表，检查进程是否具有对该对象的访问权。如果无权访问，便由系统来拒绝进程的访问，并构成一例外(异常)事件；否则，便允许进程对该对象进行访问，并为该进程建立一访问权限，将之连接到该进程。