7.4.1资源保护模型.pptVIP

7.4.1 资源保护模型 一般来讲，一个系统拥有积极的和消极的两部分。 积极的部分，例如进程或线程，代表了用户的行为； 消极的部分，类似于资源，在保护系统中叫做对象。在下面要讨论的保护模型中，进程按权限要求去访问对象。 一个进程在不同时刻，依赖于其当前所做的任务，对某对象有不同的权限。 例如，一个执行系统调用的进程拥有访问操作系统的权限，它一般也拥有用户所有的权限。举例来说，当使用系统表和操作系统资源时，UNIX系统在一个二进制文件中用SetUID位来允许此文件暂时性地拥有超级用户权限。 在任何给定的时刻，某进程拥有的特定的一套权限都遵从于其所在的保护域。因此任何关于使用某进程的决定的对象必须包括此进程执行的所在保护域的因素。 一个保护系统由一套指定保护策略的对象、主体和规则构成，它体现了通过系统保护状态定义的主体的可访问性。系统要保证为每次对象的调用都检查保护状态，如图7-4中的X通过主体S进行的检查。内部保护状态只有通过一套执行了外部安全策略的规则才能被改变。 保护状态可抽象化为访问矩阵。在访问矩阵A中，用行代表主体，用列代表对象，所有主体也是对象，因为进程需要能对其他进程实施控制。A[S，X]中的每个入口是一个描述对象S对对象X的访问权的集合。每次访问包含以下步骤 步骤1： 主体对对象初始化类型α使用。 步骤2： 保护系统验证S并代表S产生（S，α，X），由于身份由系统提供，这个主体不能伪造主体身份。 步骤3： 对象X的检查器查询A[S，X]，如果α∈A[S，X]则访问有效，若α！∈A[S，X]则访问无效。 访问矩阵保护机制可用于执行许多不同的安全策略。例如，假设某简单系统是如下构成的： subjects = {S1，S2，S3} objects = subjects ∪ {F1，F2，D1，D2} 这里F1和F2表示文件，D1、D2表示设备。图8-6是一个代表了一个系统保护状态的访问矩阵，每个主体对其自身有控制权。S1对S2有阻止、唤醒和占有的特权，对S3有占有的特权。文件F1可被S1进行读*和写*。S2是F1的所有者，S3对F1有删除权。 7.4.2保护状态的改变 保护系统用策略规则来控制用于切换保护状态的手段。就是说，可通过选用在矩阵中出现的访问类型和定义一套保护状态转换规则来定义策略 例如，在图7-7中显示的规则实现了一则特定的保护策略。它们是用图7-6中所示的访问类型来定义的。在图中，S0试图通过执行改变访问矩阵入口A[S,X]的命令来改变保护状态。例如，S0试图批准S3对D2的读的访问权，仅当此指令的所有者属于A[S0，X]时，此指令才可执行。这导致读的访问权加入到A[S3,D2]中。这个安全策略的例子的目的是为了提出伪装、共享参数和限制问题的。 Graham、Denning[1972]定义了一个保护系统： l?????? 伪装：此模型要求该实现能阻止某主体伪装成另一主体。验证模块可复杂到任何安全策略所要达到的，在此模块验证完此主体后，它为S产生出一个不可伪造的标记来执行一个到X的α访问，然后把它送入X的检查器。这就杜绝了伪装。 l?????? 限制和分配权限：对解决限制问题的模块和规则来说，它们必须提供一种机制，在此机制下，权限被限制于指定的主体集合里。拷贝标志限制了传输过程中的权限繁殖，同时，所有权成为批准权限的前提。然而，还有很多值得考虑的敏感问题。能够限制主体繁殖权限和信息的想法是值得期待的。因为读的访问提供了复制信息的能力，在确信其不含有权限和信息的条件下，允许一个不可信的子系统提供服务是困难的。通常，这需要保证可疑的主体是无记忆性的---即它不具备保存信息或将信息泄漏给其他主体的能力。这意味着只要考虑程序的行为就可完全解决限制问题。若不可信主体不能证实为无记忆性的，限制问题就无法解决。 l?????? 参数共享：我们可通过只允许不可信主体对对象的间接访问仔细地检查参数共享。某所有者主体可创建一个“门卫”主体来保护对象不受不可信主体的有害访问。本质上，这导致用户把访问权控制委托给了“门卫”。最终用户只需要用户有对“门卫”主体的访问权就可获得对对象的明确的占有权。所有者可在任何时刻取消不可信任子系统对“门卫”的访问，而“门卫”可对不可信主体的每次访问进行验证。 l?????? 特洛伊木马：特洛伊木马问题的产生是因为某进程假定另一进程的权限在代表它运行。本模型把两个使用相同权限的进程区别为不同的主体，本模型使利用一套恰当的规则来解决特洛伊木马问题成为可能---不同于我们在上面例子中的解决方法。然而，许多规则集可能会为特定策略解决问题但并不能保证独立于策略的解决方案。 7.4.3保护机制的开销 7.5 内部授权的实现 要实现机