【正文】 2023/3/19 55 3. 監(jiān)控器只能控制直接訪問 ， 不能控制間接訪問 。 這是一種信息流控制問題 ， 我們將在以后討論 。 ? 而安全核雖然可以對主體修改客體訪問權(quán)的操作加以控制，但并不能控制對客體設(shè)置何種訪問權(quán)，這就使特洛伊木馬攻擊有可乘之機了。 ? 假定命令執(zhí)行前 ， 系統(tǒng)的保護狀態(tài)是 ? Q=（ S， O， A） ； ? 當(dāng)某命令執(zhí)行后 ， 系統(tǒng)地保護狀態(tài)變?yōu)? ? Q’=(S’, O’, A’)。 ? 但假定每條命令至少完成一個操作。 ? 與數(shù)據(jù)式樣無關(guān)。 2023/3/19 63 模型的實現(xiàn)方法 ? 訪問控制列表 (Access Control Lists) ? 較流行的實現(xiàn)訪問矩陣的方法是訪問控制列表 ， 又稱為 ， 每一個客體與一個 ACL相對應(yīng)：指明系統(tǒng)中的每一個主體獲得對此客體的訪問的相應(yīng)授權(quán) ，如讀 、 寫 、 執(zhí)行等等 。 2023/3/19 西安電子科技大學(xué) 計算機與網(wǎng)絡(luò)安全教育部重點實驗室 66 2023/3/19 西安電子科技大學(xué) 計算機與網(wǎng)絡(luò)安全教育部重點實驗室 67 F i l e 1O w nR e a dR e a dF i l e 2R e a dF i l e 3W r i t e主體 Sunny的權(quán)能列表 (CLs) Sunny 常用操作系統(tǒng)中的訪問控制 （選講） ? 現(xiàn)在大多數(shù)通用操作系統(tǒng)（ WindowsNT、Linux等）為 C2級別，即控制訪問保護級。 ? 對象、資源、共享資源 ? 安全描述符：為共享資源創(chuàng)建的一組安全屬性 ? 所有者安全標(biāo)識、組安全標(biāo)識、 自主訪問控制表 、系統(tǒng)訪問控制表、訪問控制項。 ? 三種權(quán)限： ? R:read ? W:write ? X:excute ? 權(quán)限表示： ? 字母表示： rwx，不具有相應(yīng)權(quán)限用 占位 ? 8進制數(shù)表示： 111，不具有相應(yīng)權(quán)限相應(yīng)位記 0 ? 四類用戶： ? root：超級用戶， god ? 所有者 ? 所屬組 ? 其他用戶 ? 文件屬性： drwxrxx 2 lucy work 1024 Jun 25 22:53 text ? 安全屬性： drwxrxx ? 所有者，所屬組： ? 安全屬性后 9個字母規(guī)定了對所有者、所屬組、其他用戶的權(quán)限（各 3位）。 :14:5603:14Mar2319Mar23 1故人江海別，幾度隔山川。 2023年 3月 上午 3時 14分 :14March 19, 2023 1行動出成果，工作出財富。 03:14:5603:14:5603:143/19/2023 3:14:56 AM 1成功就是日復(fù)一日那一點點小小努力的積累。 2023年 3月 19日星期日 上午 3時 14分 56秒 03:14: 1楚塞三湘接，荊門九派通。 , March 19, 2023 閱讀一切好書如同和過去最杰出的人談話。勝人者有力，自勝者強。 2023年 3月 19日星期日 3時 14分 56秒 03:14:5619 March 2023 1一個人即使已登上頂峰，也仍要自強不息。 2023年 3月 19日星期日 上午 3時 14分 56秒 03:14: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 :14:5603:14Mar2319Mar23 1越是無能的人，越喜歡挑剔別人的錯兒。 2023年 3月 19日星期日 3時 14分 56秒 03:14:5619 March 2023 1空山新雨后，天氣晚來秋。 03:14:5603:14:5603:14Sunday, March 19, 2023 1不知香積寺，數(shù)里入云峰。 上午 3時 14分 56秒 上午 3時 14分 03:14: 沒有失敗，只有暫時停止成功！。 :14:5603:14:56March 19, 2023 1他鄉(xiāng)生白發(fā)，舊國見青山。 , March 19, 2023 雨中黃葉樹，燈下白頭人。 ? P進程訪問對象時， SRM將進程訪問令牌與對象的自主訪問控制表進行比較，決定是否有權(quán)訪問對象。 ? 訪問令牌： LSA為用戶構(gòu)造的，包括用戶名、所在組名、安全標(biāo)識等。在這種方法中，每一個主體與一稱為 “權(quán)能列表(Capabilities Lists)”的 列表相聯(lián)系，該列表指明系統(tǒng)中的某一個主體擁有對哪些客體的訪問權(quán)限。 ? 不能防范特洛伊木馬。 ? 通用 — 有能力綜合不同策略和應(yīng)用于多種實現(xiàn)。 2023/3/19 59 ? 這里 r表示權(quán)利， s和 o表示 1到 k之間的整數(shù)。 2023/3/19 57 狀態(tài)轉(zhuǎn)換 ? 保護系統(tǒng)的狀態(tài)變化體現(xiàn)為訪問模式的變化，系統(tǒng)狀態(tài)的轉(zhuǎn)換是依靠一套 本原命令 來實現(xiàn)的，這些命令是用一系列改變訪問矩陣內(nèi)容的本原操作來定義的。安全核技術(shù)一般提供兩種典型的支持自主訪問控制的功能： ? 提供一種直接的核調(diào)用，它允許一個用戶（或一個進程）對某個客體設(shè)置訪問權(quán)； ? 對主體到客體的每一次訪問都按所設(shè)置的訪問權(quán)進行訪問監(jiān)控。 用戶 B可以根據(jù)FILE文件的修改日期和文件的長度變化判斷用戶 A是否收到新的機要文件 。雖然這樣可以加快訪問速度，但這種處理方法容易產(chǎn)生安全漏洞，不能滿足高安全級別系統(tǒng)的要求。受監(jiān)控的目標(biāo)只有簡單的安全性，即二級安全性。 ? 此外，單純的測試還不足以證明安全核的安全性，還必須進行模型到代碼之間的一致性驗證。 模型的構(gòu)造方法應(yīng)該有利于使模型本身的安全性得到某種相應(yīng)的證明 。 2023/3/19 51 驗證性原則 ? 它本身的正確性能得到證明或驗證 。實現(xiàn)隔離性原則也需要硬件與軟件的支持。 ? 由于內(nèi)核必須使各個進程獨立，并保證未通過內(nèi)核檢查的各進程不能相互聯(lián)系，因此，若一臺機器的硬件允許所有進程不加約束就能訪問物理內(nèi)存的公共頁面，這種機器就不適合于建立安全內(nèi)核。在系統(tǒng)安全防線外的所有系統(tǒng)功能都由操作系統(tǒng)來管理。隨著系統(tǒng)功能的不斷提高，監(jiān)控器變得越來越大，又開始把它稱作操作系統(tǒng)。 2023/3/19 46 ? 對訪問控制數(shù)據(jù)庫的任何修改都要按一定的安