狠制和分配权限:对解决限制间题的模 块和规则来说,它们必须提供一种机制,在此 机制下,权限被限制于指定的主体集合里。拷 贝标志限制了传输过程中的权限繁殖,同时, 所有权成为批准权限的前提。然而,还有很多 值得考虑的敏感间题。能够限制主体繁殖权限 和信息的想法是值得期待的。因为读的访间提 供了复制信息的能力,在确信其不含有权限和 信息的条件下,允许一个不可信的子系统提供 务是困难的。通常,这需要倮证可疑的主体 是无记忆性的一即它不具备保存信息或将信息 泄漏给其他主体的能力。这意味着只要考虑程 序的行为就可完全解决限制间题。若不可信主 体不能证实为无记忆性的,限制间题就无法解 决
l 限制和分配权限:对解决限制问题的模 块和规则来说,它们必须提供一种机制,在此 机制下,权限被限制于指定的主体集合里。拷 贝标志限制了传输过程中的权限繁殖,同时, 所有权成为批准权限的前提。然而,还有很多 值得考虑的敏感问题。能够限制主体繁殖权限 和信息的想法是值得期待的。因为读的访问提 供了复制信息的能力,在确信其不含有权限和 信息的条件下,允许一个不可信的子系统提供 服务是困难的。通常,这需要保证可疑的主体 是无记忆性的---即它不具备保存信息或将信息 泄漏给其他主体的能力。这意味着只要考虑程 序的行为就可完全解决限制问题。若不可信主 体不能证实为无记忆性的,限制问题就无法解 决
0●参数共享:我们可通过只允许不可信主体 对对象的间接访间仔细地检查参数共享。某所 有者主体可创建一个“门卫”主体来保护对象 不受不可信主体的有害访间。本质上,这导致 用户把访间权控制委托给了“门卫”。最终用 户只需要用户有对“门卫”主体的访间权就可 获得对对象的明确的占有权。所有者可在任何 时刻取消不可信任子系统对“门卫”的访间 而“门卫”可对不可信主体的每次访间进行验
l 参数共享:我们可通过只允许不可信主体 对对象的间接访问仔细地检查参数共享。某所 有者主体可创建一个“门卫”主体来保护对象 不受不可信主体的有害访问。本质上,这导致 用户把访问权控制委托给了“门卫” 。最终用 户只需要用户有对“门卫”主体的访问权就可 获得对对象的明确的占有权。所有者可在任何 时刻取消不可信任子系统对“门卫”的访问, 而“门卫”可对不可信主体的每次访问进行验 证