【正文】 以及頒發(fā)指令等。 如用戶 A可將其對目標(biāo) O的訪問權(quán)限傳遞給用戶 B,從而使不具備對 O訪問權(quán)限的 B可訪問 O。 *.*表示所有用戶。 ? 只有安全管理員才能修改客體訪問權(quán)和轉(zhuǎn)移控制權(quán)。 2023/3/19 32 保護(hù)系統(tǒng)的訪問矩陣模型 訪問矩陣模型是描述保護(hù)系統(tǒng)的一種有效手段 ， 能夠應(yīng)用在以下方面： ? 1. 為研究提供框架 ：可為安全理論研究提供一個(gè)基礎(chǔ) ， 允許研究者把注意力集中在問題突出的特型上 ， 毋需顧及實(shí)現(xiàn)細(xì)節(jié)； ? 2. 用作設(shè)計(jì)工具 ：即用于概括在構(gòu)造的系統(tǒng)的實(shí)現(xiàn)目標(biāo) ， 以指導(dǎo)設(shè)計(jì)； ? 3. 證明 “ 設(shè)計(jì)與實(shí)現(xiàn) ” 的正確性工具 ：因?yàn)槟Ｐ褪切问交?， 允許做出形式斷言并對其進(jìn)行改進(jìn)； ? 4. 用作教育工具： 形式化模型免去了自然語言陳述的模糊性 ， 同時(shí)它不反映系統(tǒng)的細(xì)節(jié) ， 容易理解其實(shí)質(zhì)； ? 5. 用作比較和評(píng)估的工具 。 每一項(xiàng) A[s,o]是一條 訪問規(guī)則 ， 說明用戶s可以訪問客體 o的條件和允許 s在 o上完成的運(yùn)算 。在后來的發(fā)展中把引用監(jiān)視器作為是用安全核技術(shù)的保護(hù)系統(tǒng)的模型，它是負(fù)責(zé)實(shí)施系統(tǒng)安全策略的硬件與軟件的復(fù)合體。 2023/3/19 42 ? 在絕大多數(shù)情況下 ， 安全核 就是一個(gè)初級(jí)的操作系統(tǒng) 。 ? 這里安全策略的具體體現(xiàn)是訪問判定，而訪問判定則以訪問控制數(shù)據(jù)庫中的抽象信息為依據(jù)。而監(jiān)控器這個(gè)術(shù)語只用來表示初級(jí)的操作系統(tǒng)。 2023/3/19 50 隔離性原則 ? 它本身不能校篡改。 ? 為了滿足可驗(yàn)證性 ， 引用監(jiān)控器模型應(yīng)該能夠精確地定義安全的含義 ， 盡可能地從中盡量剔除與安全無關(guān)的功能 ， 使內(nèi)核盡可能小 ， 盡可能使內(nèi)核接口功能簡單明快 。 ? 因此，引用監(jiān)控器方法是盡可能遵循這三項(xiàng)原則，但任何人都不能擔(dān)保一個(gè)基于安全內(nèi)核的系統(tǒng)是完全絕對安全的。例如 C2級(jí)系統(tǒng)就要求對每一個(gè)主體的每一次訪問都必須進(jìn)行身份核查。根據(jù)自主訪問控制的規(guī)則，允許一個(gè)合法的用戶自主地將它擁有的客體訪問權(quán)分配給其它用戶。 ? 一個(gè)命令的條件可能為空。它無法實(shí)現(xiàn)多級(jí)安全策略。 ? 主體：操作和令牌。 03:14:5603:14:5603:143/19/2023 3:14:56 AM 1以我獨(dú)沈久，愧君相見頻。 , March 19, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 上午 3時(shí) 14分 56秒 上午 3時(shí) 14分 03:14: 楊柳散和風(fēng)，青山澹吾慮。 2023年 3月 上午 3時(shí) 14分 :14March 19, 2023 1業(yè)余生活要有意義，不要越軌。 03:14:5603:14:5603:14Sunday, March 19, 2023 1知人者智，自知者明。 :14:5603:14:56March 19, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 19日星期日 上午 3時(shí) 14分 56秒 03:14: 1比不了得就不比，得不到的就不要。 ? NTFS的訪問控制 ? 從文件中得到安全描述符（包含自主訪問控制表）； ? 與訪問令牌（包含安全標(biāo)識(shí)）一起由 SRM進(jìn)行訪問檢查 Linux (自主訪問控制 ) ? 設(shè)備和目錄同樣看作文件。這種方法相應(yīng)于將訪問矩陣以行的方式來存儲(chǔ)。 ? 精確 — 有能力忠實(shí)地反映策略和系統(tǒng)形態(tài)。在訪問矩陣模型中定義了 6個(gè)本原操作，如下表所示： 2023/3/19 58 ? 這些操作是以訪問矩陣中一定主 、 客體和權(quán)利是否存在為條件的 ， 并負(fù)責(zé)對系統(tǒng)保護(hù)狀態(tài)監(jiān)控器的控制 。 監(jiān)控器模型無法不讓 B間接獲得這種信息 。監(jiān)視器模型不適應(yīng)更復(fù)雜的安全要求。 2023/3/19 52 實(shí)踐中的問題 ? 剛提出引用監(jiān)控器概念時(shí)，人們認(rèn)為能夠構(gòu)造一個(gè)足夠小的安全核來窮盡測試驗(yàn)證，且認(rèn)為模型與實(shí)現(xiàn)間的一致性可通過測試由模型所定義的系統(tǒng)的所有安全狀態(tài)來證明，至少可以使足夠多的狀態(tài)滿足測試要求，使得安全漏洞幾乎不可能出現(xiàn)。硬件的作用是使內(nèi)核能防止用戶程序訪問內(nèi)核代碼和數(shù)據(jù)，這與完整性原則中內(nèi)核防止進(jìn)程之間非法通信是屬于同一種內(nèi)存管理機(jī)制。 2023/3/19 48 引用監(jiān)控器及安全核的使用原則 ? 引用監(jiān)控器及其對應(yīng)的安全核必須滿足以下三個(gè)原則： ? 完備性原則 ? 隔離性原則 ? 可驗(yàn)證性原則 2023/3/19 49 完備性原則 ? 主體在沒有對安全內(nèi)核的引用監(jiān)控器請求并獲準(zhǔn)時(shí)，不能訪問客體。所有主體對客體的訪問都要利用存于訪問控制數(shù)據(jù)庫中的訪問控制信息，并根據(jù)引用監(jiān)控器中的安全策略由引用監(jiān)控器進(jìn)行監(jiān)督和限制。但這并不是說可以很容易地買到一個(gè)或者可以十分容易地構(gòu)造一個(gè)安全核，也不是說基于安全核的系統(tǒng)就是最安全的 。 ? 因此 ， 常常把引用監(jiān)控器的概念與安全核等同看待 ， 特別是在討論原理性問題時(shí) ， 這兩個(gè)術(shù)語常?？梢曰Q使用 。 2023/3/19 37 訪問矩陣模型 ? 數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型 數(shù)據(jù)庫的訪問規(guī)則通常用四元組（ s,o,r,p）形式給出，其中 p是謂詞表達(dá)的相關(guān)條件。其思想是所有主體必須根據(jù)系統(tǒng)存取授權(quán)表來實(shí)現(xiàn)對客體的存取，對客體的每次存取以及授權(quán)的改變都必須通過引用監(jiān)控器。 數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型是 Coway在 Cornell大學(xué)提出的。 *. *.*.rw oj 訪問能力表 （ Access Capabilities List） ? 基于訪問控制矩陣 行 的自主訪問控制。 oj ? 問題： 主體、客體數(shù)量大，影響訪問效率。 ? 決定該用戶可以對某一系統(tǒng)資源進(jìn)行何種類型的訪問。 3. 允許我們設(shè)計(jì)一個(gè)有能力執(zhí)行多種策略的機(jī)制。 概 念 ? 通常應(yīng)用在操作系統(tǒng)的安全設(shè)計(jì)上。 訪問控制與其他安全服務(wù)的關(guān)系模型 引用監(jiān) 控器 身份認(rèn)證 訪問控制 授權(quán)數(shù)據(jù)庫 用戶 目標(biāo) 目標(biāo) 目標(biāo) 目標(biāo) 目標(biāo) 審 計(jì) 安全管理員 訪問控制決策單元 訪問矩陣 ? 定義