741资源保护模型 般来讲 系统拥有积极的和消极的 两部分。 积极的部分,例如进程或线程,代表了用 户的行为 消极的部分,类似于资源,在保护系统中 叫做对象。在下面要讨论的保护模型中, 进程按权限要求去访间对象
7.4.1 资源保护模型 • 一般来讲,一个系统拥有积极的和消极的 两部分。 • 积极的部分,例如进程或线程,代表了用 户的行为; • 消极的部分,类似于资源,在保护系统中 叫做对象。在下面要讨论的保护模型中, 进程按权限要求去访问对象
个进程在不同时刻,依赖于其当前所做 的任务,对某对象有不同的权限。 例如,一个执行系统调用的进程拥有访间 操作系统的权限,一般机拥有用户所有 的权限。举例来说,当使用系统表和操作 系统资源时,UNX系统在 进制文 件中用S°UD位来允许此文件暂时性地 拥有超级用户权限。 在任何给定的时刻,某进程拥有的特定的 套权限都遵从于其所在的倮护域。因此 任何关于使用某进程的决定的对象必须包 括此进程执行的所在保护域的因素
• 一个进程在不同时刻,依赖于其当前所做 的任务,对某对象有不同的权限。 • 例如,一个执行系统调用的进程拥有访问 操作系统的权限,它一般也拥有用户所有 的权限。举例来说,当使用系统表和操作 系统资源时,UNIX系统在一个二进制文 件中用SetUID位来允许此文件暂时性地 拥有超级用户权限。 • 在任何给定的时刻,某进程拥有的特定的 一套权限都遵从于其所在的保护域。因此 任何关于使用某进程的决定的对象必须包 括此进程执行的所在保护域的因素
个护系统套指定保护策略的对象、 主体和规则构成,它体现了通过系统保护 状态定义的主体的可访间性。系统要保证 为每次对象的调用都检查保护状态,如图 了-4中的通过主体S进行的检查。内部保 护状态只有通过一套执行了外部安全策略 的规则才能被改变
• 一个保护系统由一套指定保护策略的对象、 主体和规则构成,它体现了通过系统保护 状态定义的主体的可访问性。系统要保证 为每次对象的调用都检查保护状态,如图 7-4中的X通过主体S进行的检查。内部保 护状态只有通过一套执行了外部安全策略 的规则才能被改变
主体X 呆护状态 状态传送
• 策略 保护状态 状态传送 规则 主体X 对象 XX S X
保护状态可抽象化为访间矩阵。在访问矩阵A中,用行代表主体,用 列代表对象,所有主体也是对象,因为进程需要能对其他进程实施 控制。AS,为中的每个入口 描述对象S对对象X的访间权 集合。每次访间包含以下步骤 步骤 主体对对象初始化类型a使用 步骤2 倮护系统验证S并代表S产生(S,α,Ⅹ),由 身份由系统提供,这个主体不能伪造主体身 份 步骤3 对象Ⅹ的检查器查询A[S,X,如果α∈A[S,X 则访间有效,若α!∈AS,Ⅺ则访间无效
保护状态可抽象化为访问矩阵。在访问矩阵A中,用行代表主体,用 列代表对象,所有主体也是对象,因为进程需要能对其他进程实施 控制。A[S,X]中的每个入口是一个描述对象S对对象X的访问权的 集合。每次访问包含以下步骤 • 步骤1: • 主体对对象初始化类型α使用。 • 步骤2: • 保护系统验证S并代表S产生(S,α,X),由 于身份由系统提供,这个主体不能伪造主体身 份。 • 步骤3: • 对象X的检查器查询A[S,X],如果α∈A[S,X] 则访问有效,若α!∈A[S,X]则访问无效
访问授权 s, a, X) 检查器
• 检查器 X SX 访问授权 (S,α,X) X S α
疠间矩阵保护机制可用于执行许多不同的 安全策略。例如,假设某简单系统是如下 构成的 subjects=[SI, S2, $3 objects= subjects U FI, F2, DI, D25 这里和P2表示文件,D、D表示设备。 图8-6是 表了一个系统保护状态的 访间矩阵,每个主体对其自身有控制权 1对32有阻止、唤醒和占有的特权,对S3 有占有的特权。文件門可被S1进行读来和 写。S2是F的所有者,S3对F1有删除权
• 访问矩阵保护机制可用于执行许多不同的 安全策略。例如,假设某简单系统是如下 构成的: subjects = {S1,S2,S3} objects = subjects ∪ {F1,F2,D1,D2} • 这里F1和F2表示文件,D1、D2表示设备。 图8-6是一个代表了一个系统保护状态的 访问矩阵,每个主体对其自身有控制权。 S1对S2有阻止、唤醒和占有的特权,对S3 有占有的特权。文件F1可被S1进行读*和 写*。S2是F1的所有者,S3对F1有删除权
742保护状态的改变 倮护系统用策略规则来控制用于 切换保护状态的手段。就是说, 可通过选用在矩阵中出现的访间 类型和定义一套保护状态转换规 则来定义策略
7.4.2保护状态的改变 • 保护系统用策略规则来控制用于 切换保护状态的手段。就是说, 可通过选用在矩阵中出现的访问 类型和定义一套保护状态转换规 则来定义策略
例如,在图77中显示的规则实现了一则特定 的保护策略。它们是用图7-6中所示的访间类 型来定义的。在图中,S0试图通过执行改变访 间矩阵入口ASⅪ的命令来改变保护状态。例 如,S0试图批准S3对D2的读的访间权,仅当 此指令的所有者属于As0,时,此指令才 可执行。这导致读的访间权加入到ArS3,D2 中。这个安全策略的例子的目的是为了提出伪 装、共享参数和限制间题的
• 例如,在图7-7中显示的规则实现了一则特定 的保护策略。它们是用图7-6中所示的访问类 型来定义的。在图中,S0试图通过执行改变访 问矩阵入口A[S,X]的命令来改变保护状态。例 如,S0试图批准S3对D2的读的访问权,仅当 此指令的所有者属于A[S0,X]时,此指令才 可执行。这导致读的访问权加入到A[S3,D2] 中。这个安全策略的例子的目的是为了提出伪 装、共享参数和限制问题的
Grahan、 Denning[1972定义了 保护系统 ⑩●伪裝:此模型要求该实现能阻止某 主体伪装成另一主体。验证模块可复杂到 任何安全策略所要达到的,在此模块验证 完此主体后,它为S产生出一个不可伪造 的标记来执行一个到X的a访间,然后把 它送入X的检查器。这就杜绝了伪装
Graham、Denning[1972]定义了 一个保护系统: l 伪装:此模型要求该实现能阻止某 主体伪装成另一主体。验证模块可复杂到 任何安全策略所要达到的,在此模块验证 完此主体后,它为S产生出一个不可伪造 的标记来执行一个到X的α访问,然后把 它送入X的检查器。这就杜绝了伪装