文档介绍:资源保护模型
一般来讲,一个系统拥有积极的和消极的两部分。
积极的部分,例如进程或线程,代表了用户的行为;
消极的部分,类似于资源,在保护系统中叫做对象。在下面要讨论的保护模型中,进程按权限要求去访问对象。
一个进程在不同时刻,依赖于其当前所做的任务,对某对象有不同的权限。
例如,一个执行系统调用的进程拥有访问操作系统的权限,它一般也拥有用户所有的权限。举例来说,当使用系统表和操作系统资源时,UNIX系统在一个二进制文件中用SetUID位来允许此文件暂时性地拥有超级用户权限。
在任何给定的时刻,某进程拥有的特定的一套权限都遵从于其所在的保护域。因此任何关于使用某进程的决定的对象必须包括此进程执行的所在保护域的因素。
一个保护系统由一套指定保护策略的对象、主体和规则构成,它体现了通过系统保护状态定义的主体的可访问性。系统要保证为每次对象的调用都检查保护状态,如图7-4中的X通过主体S进行的检查。内部保护状态只有通过一套执行了外部安全策略的规则才能被改变。
策略
保护状态
状态传送
规则
主体X
对象
XX
SX
保护状态可抽象化为访问矩阵。在访问矩阵A中,用行代表主体,用列代表对象,所有主体也是对象,因为进程需要能对其他进程实施控制。A[S,X]中的每个入口是一个描述对象S对对象X的访问权的集合。每次访问包含以下步骤
步骤1:
主体对对象初始化类型α使用。
步骤2:
保护系统验证S并代表S产生(S,α,X),由于身份由系统提供,这个主体不能伪造主体身份。
步骤3:
对象X的检查器查询A[S,X],如果α∈A[S,X]则访问有效,若α!∈A[S,X]则访问无效。
检查器
X
SX
访问授权
(S,α,X)
X
S α
访问矩阵保护机制可用于执行许多不同的安全策略。例如,假设某简单系统是如下构成的:
subjects = {S1,S2,S3}
objects = subjects ∪{F1,F2,D1,D2}
这里F1和F2表示文件,D1、D2表示设备。图8-6是一个代表了一个系统保护状态的访问矩阵,每个主体对其自身有控制权。S1对S2有阻止、唤醒和占有的特权,对S3有占有的特权。文件F1可被S1进行读*和写*。S2是F1的所有者,S3对F1有删除权。
保护系统用策略规则来控制用于切换保护状态的手段。就是说,可通过选用在矩阵中出现的访问类型和定义一套保护状态转换规则来定义策略
例如,在图7-7中显示的规则实现了一则特定的保护策略。它们是用图7-6中所示的访问类型来定义的。在图中,S0试图通过执行改变访问矩阵入口A[S,X]的命令来改变保护状态。例如,S0试图批准S3对D2的读的访问权,仅当此指令的所有者属于A[S0,X]时,此指令才可执行。这导致读的访问权加入到A[S3,D2]中。这个安全策略的例子的目的是为了提出伪装、共享参数和限制问题的。
Graham、Denning[1972]定义了一个保护系统:
l       伪装:此模型要求该实现能阻止某主体伪装成另一主体。验证模块可复杂到任何安全策略所要达到的,在此模块验证完此主体后,它为S产生出一个不可伪造的标记来执行一个到X的α访问,然后把它送入X的检查器。这就杜绝了伪装。