741资源保护模型 般来讲 系统拥有积极的和消极的 两部分。 积极的部分,例如进程或线程,代表了用 户的行为 消极的部分,类似于资源,在保护系统中 叫做对象。在下面要讨论的保护模型中, 进程按权限要求去访间对象
7.4.1 资源保护模型 • 一般来讲,一个系统拥有积极的和消极的 两部分。 • 积极的部分,例如进程或线程,代表了用 户的行为; • 消极的部分,类似于资源,在保护系统中 叫做对象。在下面要讨论的保护模型中, 进程按权限要求去访问对象
个进程在不同时刻,依赖于其当前所做 的任务,对某对象有不同的权限。 例如,一个执行系统调用的进程拥有访间 操作系统的权限,一般机拥有用户所有 的权限。举例来说,当使用系统表和操作 系统资源时,UNX系统在 进制文 件中用S°UD位来允许此文件暂时性地 拥有超级用户权限。 在任何给定的时刻,某进程拥有的特定的 套权限都遵从于其所在的倮护域。因此 任何关于使用某进程的决定的对象必须包 括此进程执行的所在保护域的因素
• 一个进程在不同时刻,依赖于其当前所做 的任务,对某对象有不同的权限。 • 例如,一个执行系统调用的进程拥有访问 操作系统的权限,它一般也拥有用户所有 的权限。举例来说,当使用系统表和操作 系统资源时,UNIX系统在一个二进制文 件中用SetUID位来允许此文件暂时性地 拥有超级用户权限。 • 在任何给定的时刻,某进程拥有的特定的 一套权限都遵从于其所在的保护域。因此 任何关于使用某进程的决定的对象必须包 括此进程执行的所在保护域的因素
个护系统套指定保护策略的对象、 主体和规则构成,它体现了通过系统保护 状态定义的主体的可访间性。系统要保证 为每次对象的调用都检查保护状态,如图 了-4中的通过主体S进行的检查。内部保 护状态只有通过一套执行了外部安全策略 的规则才能被改变
• 一个保护系统由一套指定保护策略的对象、 主体和规则构成,它体现了通过系统保护 状态定义的主体的可访问性。系统要保证 为每次对象的调用都检查保护状态,如图 7-4中的X通过主体S进行的检查。内部保 护状态只有通过一套执行了外部安全策略 的规则才能被改变
主体X 呆护状态 状态传送
• 策略 保护状态 状态传送 规则 主体X 对象 XX S X
保护状态可抽象化为访间矩阵。在访问矩阵A中,用行代表主体,用 列代表对象,所有主体也是对象,因为进程需要能对其他进程实施 控制。AS,为中的每个入口 描述对象S对对象X的访间权 集合。每次访间包含以下步骤 步骤 主体对对象初始化类型a使用 步骤2 倮护系统验证S并代表S产生(S,α,Ⅹ),由 身份由系统提供,这个主体不能伪造主体身 份 步骤3 对象Ⅹ的检查器查询A[S,X,如果α∈A[S,X 则访间有效,若α!∈AS,Ⅺ则访间无效
保护状态可抽象化为访问矩阵。在访问矩阵A中,用行代表主体,用 列代表对象,所有主体也是对象,因为进程需要能对其他进程实施 控制。A[S,X]中的每个入口是一个描述对象S对对象X的访问权的 集合。每次访问包含以下步骤 • 步骤1: • 主体对对象初始化类型α使用。 • 步骤2: • 保护系统验证S并代表S产生(S,α,X),由 于身份由系统提供,这个主体不能伪造主体身 份。 • 步骤3: • 对象X的检查器查询A[S,X],如果α∈A[S,X] 则访问有效,若α!∈A[S,X]则访问无效