访问授权 s, a, X) 检查器
• 检查器 X SX 访问授权 (S,α,X) X S α
疠间矩阵保护机制可用于执行许多不同的 安全策略。例如,假设某简单系统是如下 构成的 subjects=[SI, S2, $3 objects= subjects U FI, F2, DI, D25 这里和P2表示文件,D、D表示设备。 图8-6是 表了一个系统保护状态的 访间矩阵,每个主体对其自身有控制权 1对32有阻止、唤醒和占有的特权,对S3 有占有的特权。文件門可被S1进行读来和 写。S2是F的所有者,S3对F1有删除权
• 访问矩阵保护机制可用于执行许多不同的 安全策略。例如,假设某简单系统是如下 构成的: subjects = {S1,S2,S3} objects = subjects ∪ {F1,F2,D1,D2} • 这里F1和F2表示文件,D1、D2表示设备。 图8-6是一个代表了一个系统保护状态的 访问矩阵,每个主体对其自身有控制权。 S1对S2有阻止、唤醒和占有的特权,对S3 有占有的特权。文件F1可被S1进行读*和 写*。S2是F1的所有者,S3对F1有删除权
742保护状态的改变 倮护系统用策略规则来控制用于 切换保护状态的手段。就是说, 可通过选用在矩阵中出现的访间 类型和定义一套保护状态转换规 则来定义策略
7.4.2保护状态的改变 • 保护系统用策略规则来控制用于 切换保护状态的手段。就是说, 可通过选用在矩阵中出现的访问 类型和定义一套保护状态转换规 则来定义策略
例如,在图77中显示的规则实现了一则特定 的保护策略。它们是用图7-6中所示的访间类 型来定义的。在图中,S0试图通过执行改变访 间矩阵入口ASⅪ的命令来改变保护状态。例 如,S0试图批准S3对D2的读的访间权,仅当 此指令的所有者属于As0,时,此指令才 可执行。这导致读的访间权加入到ArS3,D2 中。这个安全策略的例子的目的是为了提出伪 装、共享参数和限制间题的
• 例如,在图7-7中显示的规则实现了一则特定 的保护策略。它们是用图7-6中所示的访问类 型来定义的。在图中,S0试图通过执行改变访 问矩阵入口A[S,X]的命令来改变保护状态。例 如,S0试图批准S3对D2的读的访问权,仅当 此指令的所有者属于A[S0,X]时,此指令才 可执行。这导致读的访问权加入到A[S3,D2] 中。这个安全策略的例子的目的是为了提出伪 装、共享参数和限制问题的
Grahan、 Denning[1972定义了 保护系统 ⑩●伪裝:此模型要求该实现能阻止某 主体伪装成另一主体。验证模块可复杂到 任何安全策略所要达到的,在此模块验证 完此主体后,它为S产生出一个不可伪造 的标记来执行一个到X的a访间,然后把 它送入X的检查器。这就杜绝了伪装
Graham、Denning[1972]定义了 一个保护系统: l 伪装:此模型要求该实现能阻止某 主体伪装成另一主体。验证模块可复杂到 任何安全策略所要达到的,在此模块验证 完此主体后,它为S产生出一个不可伪造 的标记来执行一个到X的α访问,然后把 它送入X的检查器。这就杜绝了伪装