【正文】 以及頒發(fā)指令等。 如用戶 A可將其對目標 O的訪問權(quán)限傳遞給用戶 B,從而使不具備對 O訪問權(quán)限的 B可訪問 O。 *.*表示所有用戶。 ? 只有安全管理員才能修改客體訪問權(quán)和轉(zhuǎn)移控制權(quán)。 2023/3/19 32 保護系統(tǒng)的訪問矩陣模型 訪問矩陣模型是描述保護系統(tǒng)的一種有效手段 ， 能夠應(yīng)用在以下方面： ? 1. 為研究提供框架 ：可為安全理論研究提供一個基礎(chǔ) ， 允許研究者把注意力集中在問題突出的特型上 ， 毋需顧及實現(xiàn)細節(jié)； ? 2. 用作設(shè)計工具 ：即用于概括在構(gòu)造的系統(tǒng)的實現(xiàn)目標 ， 以指導(dǎo)設(shè)計； ? 3. 證明 “ 設(shè)計與實現(xiàn) ” 的正確性工具 ：因為模型是形式化的 ， 允許做出形式斷言并對其進行改進； ? 4. 用作教育工具： 形式化模型免去了自然語言陳述的模糊性 ， 同時它不反映系統(tǒng)的細節(jié) ， 容易理解其實質(zhì)； ? 5. 用作比較和評估的工具 。 每一項 A[s,o]是一條 訪問規(guī)則 ， 說明用戶s可以訪問客體 o的條件和允許 s在 o上完成的運算 。在后來的發(fā)展中把引用監(jiān)視器作為是用安全核技術(shù)的保護系統(tǒng)的模型，它是負責(zé)實施系統(tǒng)安全策略的硬件與軟件的復(fù)合體。 2023/3/19 42 ? 在絕大多數(shù)情況下 ， 安全核 就是一個初級的操作系統(tǒng) 。 ? 這里安全策略的具體體現(xiàn)是訪問判定，而訪問判定則以訪問控制數(shù)據(jù)庫中的抽象信息為依據(jù)。而監(jiān)控器這個術(shù)語只用來表示初級的操作系統(tǒng)。 2023/3/19 50 隔離性原則 ? 它本身不能校篡改。 ? 為了滿足可驗證性 ， 引用監(jiān)控器模型應(yīng)該能夠精確地定義安全的含義 ， 盡可能地從中盡量剔除與安全無關(guān)的功能 ， 使內(nèi)核盡可能小 ， 盡可能使內(nèi)核接口功能簡單明快 。 ? 因此，引用監(jiān)控器方法是盡可能遵循這三項原則，但任何人都不能擔(dān)保一個基于安全內(nèi)核的系統(tǒng)是完全絕對安全的。例如 C2級系統(tǒng)就要求對每一個主體的每一次訪問都必須進行身份核查。根據(jù)自主訪問控制的規(guī)則，允許一個合法的用戶自主地將它擁有的客體訪問權(quán)分配給其它用戶。 ? 一個命令的條件可能為空。它無法實現(xiàn)多級安全策略。 ? 主體：操作和令牌。 03:14:5603:14:5603:143/19/2023 3:14:56 AM 1以我獨沈久，愧君相見頻。 , March 19, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 上午 3時 14分 56秒 上午 3時 14分 03:14: 楊柳散和風(fēng)，青山澹吾慮。 2023年 3月 上午 3時 14分 :14March 19, 2023 1業(yè)余生活要有意義，不要越軌。 03:14:5603:14:5603:14Sunday, March 19, 2023 1知人者智，自知者明。 :14:5603:14:56March 19, 2023 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 19日星期日 上午 3時 14分 56秒 03:14: 1比不了得就不比，得不到的就不要。 ? NTFS的訪問控制 ? 從文件中得到安全描述符（包含自主訪問控制表）； ? 與訪問令牌（包含安全標識）一起由 SRM進行訪問檢查 Linux (自主訪問控制 ) ? 設(shè)備和目錄同樣看作文件。這種方法相應(yīng)于將訪問矩陣以行的方式來存儲。 ? 精確 — 有能力忠實地反映策略和系統(tǒng)形態(tài)。在訪問矩陣模型中定義了 6個本原操作，如下表所示： 2023/3/19 58 ? 這些操作是以訪問矩陣中一定主 、 客體和權(quán)利是否存在為條件的 ， 并負責(zé)對系統(tǒng)保護狀態(tài)監(jiān)控器的控制 。 監(jiān)控器模型無法不讓 B間接獲得這種信息 。監(jiān)視器模型不適應(yīng)更復(fù)雜的安全要求。 2023/3/19 52 實踐中的問題 ? 剛提出引用監(jiān)控器概念時，人們認為能夠構(gòu)造一個足夠小的安全核來窮盡測試驗證，且認為模型與實現(xiàn)間的一致性可通過測試由模型所定義的系統(tǒng)的所有安全狀態(tài)來證明，至少可以使足夠多的狀態(tài)滿足測試要求，使得安全漏洞幾乎不可能出現(xiàn)。硬件的作用是使內(nèi)核能防止用戶程序訪問內(nèi)核代碼和數(shù)據(jù)，這與完整性原則中內(nèi)核防止進程之間非法通信是屬于同一種內(nèi)存管理機制。 2023/3/19 48 引用監(jiān)控器及安全核的使用原則 ? 引用監(jiān)控器及其對應(yīng)的安全核必須滿足以下三個原則： ? 完備性原則 ? 隔離性原則 ? 可驗證性原則 2023/3/19 49 完備性原則 ? 主體在沒有對安全內(nèi)核的引用監(jiān)控器請求并獲準時，不能訪問客體。所有主體對客體的訪問都要利用存于訪問控制數(shù)據(jù)庫中的訪問控制信息，并根據(jù)引用監(jiān)控器中的安全策略由引用監(jiān)控器進行監(jiān)督和限制。但這并不是說可以很容易地買到一個或者可以十分容易地構(gòu)造一個安全核，也不是說基于安全核的系統(tǒng)就是最安全的 。 ? 因此 ， 常常把引用監(jiān)控器的概念與安全核等同看待 ， 特別是在討論原理性問題時 ， 這兩個術(shù)語常?？梢曰Q使用 。 2023/3/19 37 訪問矩陣模型 ? 數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型 數(shù)據(jù)庫的訪問規(guī)則通常用四元組（ s,o,r,p）形式給出，其中 p是謂詞表達的相關(guān)條件。其思想是所有主體必須根據(jù)系統(tǒng)存取授權(quán)表來實現(xiàn)對客體的存取，對客體的每次存取以及授權(quán)的改變都必須通過引用監(jiān)控器。 數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型是 Coway在 Cornell大學(xué)提出的。 *. *.*.rw oj 訪問能力表 （ Access Capabilities List） ? 基于訪問控制矩陣 行 的自主訪問控制。 oj ? 問題： 主體、客體數(shù)量大，影響訪問效率。 ? 決定該用戶可以對某一系統(tǒng)資源進行何種類型的訪問。 3. 允許我們設(shè)計一個有能力執(zhí)行多種策略的機制。 概 念 ? 通常應(yīng)用在操作系統(tǒng)的安全設(shè)計上。 訪問控制與其他安全服務(wù)的關(guān)系模型 引用監(jiān) 控器 身份認證 訪問控制 授權(quán)數(shù)據(jù)庫 用戶 目標 目標 目標 目標 目標 審 計 安全管理員 訪問控制決策單元 訪問矩陣 ? 定義