chap3：訪問控制策略B

計(jì)算機(jī)平安

ComputerSecurity2024/1/241訪問控制戰(zhàn)略2024/1/242提要訪問控制原理訪問控制戰(zhàn)略平安核技術(shù)的實(shí)際根底援用監(jiān)控器援用監(jiān)控器與平安核的關(guān)系援用監(jiān)控器及平安核的運(yùn)用原那么援用監(jiān)控器模型的缺陷2024/1/243訪問控制原理訪問控制是根據(jù)一套為信息系統(tǒng)規(guī)定的平安戰(zhàn)略和支持這些平安戰(zhàn)略的執(zhí)行機(jī)制實(shí)現(xiàn)的。將兩者分開討論的益處：1.獨(dú)立地討論系統(tǒng)的訪問要求，不與這些要求如何實(shí)現(xiàn)聯(lián)絡(luò)起來。2.可比較和對(duì)比不同的訪問控制戰(zhàn)略和執(zhí)行同樣戰(zhàn)略的不同機(jī)制。3.允許我們?cè)O(shè)計(jì)一個(gè)有才干執(zhí)行多種戰(zhàn)略的機(jī)制。2024/1/245概念通常運(yùn)用在操作系統(tǒng)的平安設(shè)計(jì)上。定義：在保證授權(quán)用戶能獲取所需資源的同時(shí)回絕非授權(quán)用戶的平安機(jī)制。目的：為了限制訪問主體對(duì)訪問客體的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)運(yùn)用；它決議用戶能做什么，也決議代表一定用戶身份的進(jìn)程能做什么。未授權(quán)的訪問包括：未經(jīng)授權(quán)的運(yùn)用、泄露、修正、銷毀信息以及頒發(fā)指令等。非法用戶進(jìn)入系統(tǒng)。合法用戶對(duì)系統(tǒng)資源的非法運(yùn)用。訪問控制模型根本組成任務(wù)識(shí)別和確認(rèn)訪問系統(tǒng)的用戶。決議該用戶可以對(duì)某一系統(tǒng)資源進(jìn)展何種類型的訪問。訪問控制與其他平安效力的關(guān)系模型援用監(jiān)控器身份認(rèn)證訪問控制授權(quán)數(shù)據(jù)庫用戶目的目的目的目的目的審計(jì)平安管理員訪問控制決策單元訪問矩陣定義客體(O)主體(S)權(quán)限(A)讀(R)寫(W)擁有(Own)執(zhí)行(E)更改(C)舉例MEM1MEM2File1File2File3File4User1r,w,eo,r,eUser2r,w,eo,r,e問題：稀疏矩陣，浪費(fèi)空間。訪問控制類型自主訪問控制強(qiáng)迫訪問控制基于角色訪問控制訪問控制自主訪問控制基于對(duì)主體或主體所屬的主體組的識(shí)別來限制對(duì)客體的訪問，這種控制是自主的。自主指主體可以自主地將訪問權(quán)或訪問權(quán)的某個(gè)子集授予其他主體。如用戶A可將其對(duì)目的O的訪問權(quán)限傳送給用戶B,從而使不具備對(duì)O訪問權(quán)限的B可訪問O。缺陷：信息在挪動(dòng)過程中其訪問權(quán)限關(guān)系會(huì)被改動(dòng)：平安問題訪問控制表〔AccessControlList〕基于訪問控制矩陣列的自主訪問控制。每個(gè)客體都有一張ACL，用于闡明可以訪問該客體的主體及其訪問權(quán)限。舉例：oj表示客體j，si.rw表示主體si具有rw屬性。s0.rs1.es2.rwoj問題：主體、客體數(shù)量大，影響訪問效率。處理：引入用戶組，用戶可以屬于多個(gè)組。主體標(biāo)識(shí)=主體.組名如Liu.INFO表示INFO組的liu用戶。*.INFO表示一切組中的用戶。*.*表示一切用戶。liu.INFO.rw表示對(duì)INFO組的用戶liu具有rw權(quán)限。*.INFO.rw表示對(duì)INFO組的一切用戶具有rw權(quán)限。*.*.rw表示對(duì)一切用戶具有rw權(quán)限。Liu.INFO.r*.INFO.e*.*.rwoj訪問才干表

〔AccessCapabilitiesList〕基于訪問控制矩陣行的自主訪問控制。為每個(gè)主體〔用戶〕建立一張?jiān)L問才干表，用于表示主體能否可以訪問客體，以及用什么方式訪問客體。舉例：強(qiáng)迫訪問控制為一切主體和客體指定平安級(jí)別，比如絕密級(jí)、級(jí)、級(jí)、無秘級(jí)。不同級(jí)別的主體對(duì)不同級(jí)別的客體的訪問是在強(qiáng)迫的平安戰(zhàn)略下實(shí)現(xiàn)的。只需平安管理員才干修正客體訪問權(quán)和轉(zhuǎn)移控制權(quán)?！矊?duì)客體擁有者也不例外〕MAC模型絕密級(jí)級(jí)級(jí)無秘級(jí)寫寫讀讀完好性嚴(yán)密性平安戰(zhàn)略保證信息完好性戰(zhàn)略級(jí)別低的主體可以讀高級(jí)別客體的信息〔不嚴(yán)密〕，級(jí)別低的主體不能寫高級(jí)別的客體〔保證信息完好性〕保證信息性戰(zhàn)略級(jí)別低的主體可以寫高級(jí)別客體的信息〔不保證信息完好性〕，級(jí)別低的主體不可以讀高級(jí)別的客體〔嚴(yán)密〕舉例：Multics操作系統(tǒng)的訪問控制〔嚴(yán)密性戰(zhàn)略〕：僅當(dāng)用戶的平安級(jí)別不低于文件的平安級(jí)別時(shí)，用戶才可以讀文件；僅當(dāng)用戶的平安級(jí)別不高于文件的平安級(jí)別時(shí)，用戶才可以寫文件；舉例：Security-EnhancedLinux(SELinux)forRedHatEnterpriseLinuxAppArmorforSUSELinuxandUbuntuTrustedBSDforFreeBSD基于角色的訪問控制來源于UNIX系統(tǒng)或別的操作系統(tǒng)中組的概念〔基于組的自主訪問控制的變體〕每個(gè)角色與一組用戶和有關(guān)的動(dòng)作相互關(guān)聯(lián)，角色中所屬的用戶可以有權(quán)執(zhí)行這些操作角色與組的區(qū)別組：一組用戶的集合角色：一組用戶的集合+一組操作權(quán)限的集合適宜公用目的的計(jì)算機(jī)系統(tǒng)，比如軍用計(jì)算機(jī)系統(tǒng)。RBAC模型用戶角色權(quán)限訪問控制資源1、認(rèn)證2、分派3、懇求4、分派5、訪問一個(gè)基于角色的訪問控制的實(shí)例在銀行環(huán)境中，用戶角色可以定義為出納員、分行管理者、顧客、系統(tǒng)管理者和審計(jì)員訪問控制戰(zhàn)略的一個(gè)例子如下：〔1〕允許一個(gè)出納員修正顧客的帳號(hào)記錄〔包括存款和取款、轉(zhuǎn)帳等〕，并允許查詢一切帳號(hào)的注冊(cè)項(xiàng)〔2〕允許一個(gè)分行管理者修正顧客的帳號(hào)記錄〔包括存款和取款，但不包括規(guī)定的資金數(shù)目的范圍〕并允許查詢一切帳號(hào)的注冊(cè)項(xiàng)，也允許創(chuàng)建和終止帳號(hào)〔3〕允許一個(gè)顧客只訊問他本人的帳號(hào)的注冊(cè)項(xiàng)〔4〕允許系統(tǒng)的管理者訊問系統(tǒng)的注冊(cè)項(xiàng)和開關(guān)系統(tǒng)，但不允許讀或修正用戶的帳號(hào)信息〔5〕允許一個(gè)審計(jì)員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修正任何事情系統(tǒng)需求添加出納員、分行管理者、顧客、系統(tǒng)管理者和審計(jì)員角色所對(duì)應(yīng)的用戶，按照角色的權(quán)限對(duì)用于進(jìn)展訪問控制。維護(hù)系統(tǒng)的訪問矩陣模型操作系統(tǒng)的訪問矩陣模型是由lampsonDenning在20世紀(jì)70年代初提出，后經(jīng)Graham和Denning相繼改良的。

數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型是Coway在Cornell大學(xué)提出的。2024/1/2430維護(hù)系統(tǒng)的訪問矩陣模型模型是用形狀和形狀轉(zhuǎn)換的概念定義。其中的形狀是用訪問矩陣表示的，形狀轉(zhuǎn)換是用命令描畫的。該模型的特點(diǎn)：簡明：易懂、易了解、易證明；通用：有才干綜合不同戰(zhàn)略和運(yùn)用于多種實(shí)現(xiàn)；準(zhǔn)確：有才干忠實(shí)地反映戰(zhàn)略和系統(tǒng)形狀；與數(shù)據(jù)式樣無關(guān)。2024/1/2431維護(hù)系統(tǒng)的訪問矩陣模型訪問矩陣模型是描畫維護(hù)系統(tǒng)的一種有效手段，可以運(yùn)用在以下方面：1.為研討提供框架：可為平安實(shí)際研討提供一個(gè)根底，允許研討者把留意力集中在問題突出的特型上，毋需顧及實(shí)現(xiàn)細(xì)節(jié)；2.用作設(shè)計(jì)工具：即用于概括在構(gòu)造的系統(tǒng)的實(shí)現(xiàn)目的，以指點(diǎn)設(shè)計(jì)；3.證明“設(shè)計(jì)與實(shí)現(xiàn)〞的正確性工具：由于模型是方式化的，允許做出方式斷言并對(duì)其進(jìn)展改良；4.用作教育工具：方式化模型免去了自然言語陳說的模糊性，同時(shí)它不反映系統(tǒng)的細(xì)節(jié)，容易了解其本質(zhì)；5.用作比較和評(píng)價(jià)的工具。2024/1/2432訪問矩陣模型三類要素：系統(tǒng)中的客體集O，是系統(tǒng)中被訪問因此也是被維護(hù)的對(duì)對(duì)象，如文件、程序、存儲(chǔ)區(qū)等；每一個(gè)客體o∈O可由它們的名字獨(dú)一地標(biāo)識(shí)別與識(shí)別；系統(tǒng)中的主體集S，是系統(tǒng)中訪問操作的發(fā)起者，如用戶、進(jìn)程、執(zhí)行域等；每一個(gè)主體s∈S可由它們的名字獨(dú)一地標(biāo)識(shí)別與識(shí)別；鑒于主體和客體之間存在控制與被控制的關(guān)系，故以為主體也是一種類型的客體，因此有S∈O；系統(tǒng)中主體對(duì)客體的訪問權(quán)限集合R，O、S、R三者之間的關(guān)系是以矩陣A的方式表示的，它的行對(duì)應(yīng)某個(gè)主體，列對(duì)應(yīng)某個(gè)客體，集合R是矩陣的項(xiàng)〔元素〕的集合，每個(gè)項(xiàng)用A[s,o]表示，其中存放著主體s對(duì)客體o的訪問權(quán)或某些特權(quán)。2024/1/2433訪問矩陣模型一個(gè)實(shí)例：M1M2F1F2P1P2P1r,w,eown,r,ep2r,w,eown,r,e2024/1/2434訪問控制的概念是與平安核技術(shù)聯(lián)絡(luò)在一同的。1971年，Lampson提出了援用監(jiān)控器的想象。其思想是一切主體必需根據(jù)系統(tǒng)存取授權(quán)表來實(shí)現(xiàn)對(duì)客體的存取，對(duì)客體的每次存取以及授權(quán)的改動(dòng)都必需經(jīng)過援用監(jiān)控器。1972年，RorerSchell提出了平安核的概念，并把它定義為實(shí)現(xiàn)援用監(jiān)控器的軟件與硬件。1974年，Mitre證明了構(gòu)筑平安內(nèi)核的能夠性。2024/1/2435訪問矩陣模型數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型主體通常是用戶，客體是文件、關(guān)系、記錄或記錄中的字段。每一項(xiàng)A[s,o]是一條訪問規(guī)那么，闡明用戶s可以訪問客體o的條件和允許s在o上完成的運(yùn)算。訪問規(guī)那么是訪問權(quán)概念的推行。規(guī)那么可以闡明內(nèi)容無關(guān)條件〔即能否訪問的條件與被訪問的客體的內(nèi)容無關(guān)〕或內(nèi)容相關(guān)條件。其他還有時(shí)間相關(guān)、上下文相關(guān)、歷史相關(guān)等。2024/1/2436訪問矩陣模型數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型數(shù)據(jù)庫的訪問規(guī)那么通常用四元組〔s,o,r,p〕方式給出，其中p是謂詞表達(dá)的相關(guān)條件。例如：工資管理員只能讀月工資不大于200元的雇員的屬性表示為：〔s,o,r,p〕=〔工資管理員，EMPLOEE，READ，SALARY≤200〕2024/1/2437平安核與援用監(jiān)控器2024/1/2438援用監(jiān)視器〔ReferenceMonitor〕最簡單的訪問控制模型是援用監(jiān)視器，好比用戶與目的之間帶護(hù)衛(wèi)的大門。援用監(jiān)視器的概念是與平安核技術(shù)聯(lián)絡(luò)在一同的。平安核是RogerSchell在1972年初次提出的，并把它定義為援用監(jiān)視器的軟件與硬件。在后來的開展中把援用監(jiān)視器作為是用平安核技術(shù)的維護(hù)系統(tǒng)的模型，它是擔(dān)任實(shí)施系統(tǒng)平安戰(zhàn)略的硬件與軟件的復(fù)合體。2024/1/2439援用監(jiān)控器與平安核的關(guān)系援用監(jiān)控器只是一個(gè)學(xué)術(shù)概念，并不涉及實(shí)現(xiàn)它的詳細(xì)方法。平安核那么是一種實(shí)現(xiàn)援用監(jiān)控器的技術(shù)。雖然還有其它系統(tǒng)構(gòu)造方法也可以滿足援用監(jiān)控器的要求，但是沒有一種方法像平安核那樣普遍。因此，經(jīng)常把援用監(jiān)控器的概念與平安核等同對(duì)待，特別是在討論原理性問題時(shí)，這兩個(gè)術(shù)語經(jīng)常可以互換運(yùn)用。2024/1/2440平安核技術(shù)的實(shí)際根底在一個(gè)大的操作系統(tǒng)內(nèi)，只需相對(duì)比較小的一部分軟件擔(dān)任實(shí)施系統(tǒng)平安。經(jīng)過對(duì)操作系統(tǒng)的重構(gòu)，將與平安有關(guān)的軟件隔離在操作系統(tǒng)的一個(gè)可信核內(nèi)，而操作系統(tǒng)的大部分軟件無需擔(dān)任系統(tǒng)平安。平安核部分包括硬件與一個(gè)鑲嵌的硬件與操作系統(tǒng)之間的軟件層，這些軟／硬件是可信的，并且位于平安防線之內(nèi)；與此對(duì)應(yīng)的，操作系統(tǒng)位于平安防線之外，與運(yùn)用程序結(jié)合在一同，是不可信的。2024/1/2441在絕大多數(shù)情況下，平安核就是一個(gè)初級(jí)的操作系統(tǒng)。平安核為操作系統(tǒng)提供效力，正如操作系統(tǒng)為運(yùn)用程序提供效力一樣。同時(shí)，正如操作系統(tǒng)對(duì)運(yùn)用程序設(shè)置一些必要的限制一樣，平安核對(duì)操作系統(tǒng)也要提出一些限制，雖然操作系統(tǒng)在實(shí)施由平安核實(shí)現(xiàn)的平安戰(zhàn)略方面不起任何作用，但操作系統(tǒng)要保證系統(tǒng)的運(yùn)轉(zhuǎn)并且要防止由于程序錯(cuò)誤或惡性程序引起的回絕效力，在運(yùn)用程序或操作系統(tǒng)中的任何錯(cuò)誤都不能違反平安戰(zhàn)略。2024/1/2442在構(gòu)造高度平安的操作系統(tǒng)時(shí)，平安核技術(shù)是目前獨(dú)一最常用的技術(shù)。但這并不是說可以很容易地買到一個(gè)或者可以非常容易地構(gòu)造一個(gè)平安核，也不是說基于平安核的系統(tǒng)就是最平安的。2024/1/2443援用監(jiān)控器模型援用監(jiān)控器是擔(dān)任實(shí)施系統(tǒng)平安戰(zhàn)略的硬件與軟件的組合體，可看作是運(yùn)用平安核技術(shù)的維護(hù)系統(tǒng)的模型。援用監(jiān)控器的關(guān)鍵作用是要對(duì)主體到到客體的每一次訪問都要實(shí)施控制，并對(duì)每一次訪問活動(dòng)進(jìn)展審計(jì)記錄，當(dāng)用戶需求訪問目的的時(shí)候，首先向監(jiān)控器提出訪問懇求，監(jiān)控器根據(jù)用戶懇求核對(duì)訪問者的權(quán)限，以便確定能否允許這次訪問。2024/1/2444援用監(jiān)控器用來處置資源的訪問控制這一特定的平安要求。這里平安戰(zhàn)略的詳細(xì)表達(dá)是訪問斷定，而訪問斷定那么以訪問控制數(shù)據(jù)庫中的籠統(tǒng)信息為根據(jù)。在訪問控制數(shù)據(jù)庫中，籠統(tǒng)信息包括系統(tǒng)的平安形狀以及平安屬性與訪問權(quán)限等信息，表達(dá)了系統(tǒng)的平安控制條件。訪問控制數(shù)據(jù)庫，它隨著主、客體的添加與刪除以及訪問權(quán)限與平安屬性的改動(dòng)而改動(dòng)。2024/1/2445對(duì)訪問控制數(shù)據(jù)庫的任何修正都要按一定的平安戰(zhàn)略受援用監(jiān)控器的控制。一切主體對(duì)客體的訪問都要利用存于訪問控制數(shù)據(jù)庫中的訪問控制信息，并根據(jù)援用監(jiān)控器中的平安戰(zhàn)略由援用監(jiān)控器進(jìn)展監(jiān)視和限制。系統(tǒng)中發(fā)生的重要平安事件都存于審計(jì)文件中，以便跟蹤、分析和審計(jì)。2024/1/2446在計(jì)算機(jī)出現(xiàn)的初期，曾運(yùn)用監(jiān)控器來識(shí)別系統(tǒng)中的程序，它控制著其它程序的運(yùn)轉(zhuǎn)。隨著系統(tǒng)功能的不斷提高，監(jiān)控器變得越來越大，又開場把它稱作操作系統(tǒng)。而監(jiān)控器這個(gè)術(shù)語只用來表示初級(jí)的操作系統(tǒng)。援用監(jiān)控器是一種特殊的監(jiān)控器，它僅擔(dān)任控制對(duì)系統(tǒng)資源的訪問。通常，與平安有關(guān)的其它系統(tǒng)功能也位于平安防線內(nèi)，但它們并不是援用監(jiān)控器的組成部分，普通把它們稱作可信系統(tǒng)功能。在系統(tǒng)平安防線外的一切系統(tǒng)功能都由操作系統(tǒng)來管理。2024/1/2447援用監(jiān)控器及平安核的運(yùn)用原那么援用監(jiān)控器及其對(duì)應(yīng)的平安核必需滿足以下三個(gè)原那么：完備性原那么隔離性原那么可驗(yàn)證性原那么2024/1/2448完備性原那么主體在沒有對(duì)平安內(nèi)核的援用監(jiān)控器懇求并獲準(zhǔn)時(shí)，不能訪問客體。也就是講，一切的信息訪問都必需經(jīng)過平安內(nèi)核。完備性原那么要求支持平安內(nèi)核構(gòu)造的系統(tǒng)硬件必需保證任何程序都要經(jīng)過平安核的控制進(jìn)展訪問。由于內(nèi)核必需使各個(gè)進(jìn)程獨(dú)立，并保證未經(jīng)過內(nèi)核檢查的各進(jìn)程不能相互聯(lián)絡(luò)，因此，假設(shè)一臺(tái)機(jī)器的硬件允許一切進(jìn)程不加約束就能訪問物理內(nèi)存的公共頁面，這種機(jī)器就不適宜于建立平安內(nèi)核。2024/1/2449隔離性原那么它本身不能校篡改。隔離性要求內(nèi)核有防篡改才干。實(shí)現(xiàn)時(shí)必需將映射援用監(jiān)控器的平安核與外部系統(tǒng)嚴(yán)密地隔離起來，以防止進(jìn)程對(duì)平安核進(jìn)展非法修正。實(shí)現(xiàn)隔離性原那么也需求硬件與軟件的支持。硬件的作用是使內(nèi)核能防止用戶程序訪問內(nèi)核代碼和數(shù)據(jù)，這與完好性原那么中內(nèi)核防止進(jìn)程之間非法通訊是屬于同一種內(nèi)存管理機(jī)制。此外，還必需防止用戶程序執(zhí)行內(nèi)核用于內(nèi)存管理的特權(quán)指令。當(dāng)然，這些對(duì)內(nèi)存訪問的控制可以多層環(huán)域技術(shù)來實(shí)現(xiàn)，也可以把內(nèi)核代碼裝入系統(tǒng)的ROM中來提供更強(qiáng)的隔離性。2024/1/2450驗(yàn)證性原那么它本身的正確性能得到證明或驗(yàn)證。為了滿足可驗(yàn)證性，援用監(jiān)控器模型應(yīng)該可以準(zhǔn)確地定義平安的含義，盡能夠地從中盡量剔除與平安無關(guān)的功能，使內(nèi)核盡能夠小，盡能夠使內(nèi)核接口功能簡單明快。并且還要證明模型中的功能與平安的定義是一致的。為了使內(nèi)核具有可驗(yàn)證性，該當(dāng)支持平安內(nèi)核可驗(yàn)證性的根本技術(shù)是建立平安內(nèi)核的數(shù)學(xué)模型，然后對(duì)模型進(jìn)展方式化的或者非方式化的一致性論證。模型的構(gòu)造方法應(yīng)該有利于使模型本身的平安性得到某種相應(yīng)的證明。2024/1/2451實(shí)際中的問題剛提出援用監(jiān)控器概念時(shí)，人們以為可以構(gòu)造一個(gè)足夠小的平安核來窮盡測實(shí)驗(yàn)證，且以為模型與實(shí)現(xiàn)間的一致性可經(jīng)過測試由模型所定義的系統(tǒng)的一切平安形狀來證明，至少可以使足夠多的形狀滿足測試要求，使得平安破綻幾乎不能夠出現(xiàn)。但從實(shí)踐中看，除非平安核具有簡單功能，否那么要想進(jìn)展全面徹底的測試是不能夠的。迄今為止，沒有哪個(gè)大系統(tǒng)能完全滿足上述一切三項(xiàng)原那么。此外，單純的測試還缺乏以證明平安核的平安性，還必需進(jìn)展模型到代碼之間的一致性驗(yàn)證。因此，援用監(jiān)控器方法是盡能夠遵照這三項(xiàng)原那么，但任何人都不能擔(dān)保一個(gè)基于平安內(nèi)核的系統(tǒng)是完全絕對(duì)平安的。2024/1/2452援用監(jiān)控器模型的缺陷援用監(jiān)控器模型的優(yōu)點(diǎn)是易于實(shí)現(xiàn)。但有以下缺乏：援用監(jiān)控器主要還是作為單級(jí)平安模型運(yùn)用的，受監(jiān)視的目的要么允許被訪問，要么不允許被訪問。受監(jiān)控的目的只需簡單的平安性，即二級(jí)平安性。監(jiān)視器模型不順應(yīng)更復(fù)雜的平安要求。2024/1/2453系統(tǒng)中一切對(duì)受監(jiān)控目的的訪問要求都由監(jiān)控器檢查核實(shí)，監(jiān)控程序?qū)⒈活l繁調(diào)用，這將使監(jiān)控器能夠成為整個(gè)系統(tǒng)的瓶頸，影響系統(tǒng)效率。假設(shè)允許監(jiān)視器記錄下某用戶第一次訪問時(shí)用戶的權(quán)限信息，以便在該用戶以后的訪問中直接查詢這些權(quán)限信息。雖然這樣可以加快訪問速度，但這種處置方法容易產(chǎn)生平安破綻，不能滿足高平安級(jí)別系統(tǒng)的要求。例如C2級(jí)系統(tǒng)就要求對(duì)每一個(gè)主體的每一次訪問都必需進(jìn)展身份核對(duì)。2024/1/2454監(jiān)控器只能控制直接訪問，不能控制間接訪問。假設(shè)只需用戶A有權(quán)接納機(jī)要文件并擔(dān)任登記任務(wù)，把收到的文件標(biāo)題與收到日期記錄到計(jì)算機(jī)文件FILE中；用戶B無權(quán)接納機(jī)要文件，也無權(quán)閱讀FILE的內(nèi)容，但有權(quán)閱讀文件目錄和文件的屬性〔如文件長度、修正日期等〕。用戶B可以根據(jù)FILE文件的修正日期和文件的長度變化判別用戶A能否收到新的機(jī)要文件。監(jiān)控器模型無法不讓B間接獲得這種信息。這是一種信息流控制問題，我們將在以后討論。2024/1/2455也有不少系統(tǒng)采用平安核技術(shù)去實(shí)現(xiàn)多級(jí)平安功能，實(shí)現(xiàn)BLP模型的自主與強(qiáng)迫平安戰(zhàn)略。平安核技術(shù)普通提供兩種典型的支持自主訪問控制的功能：提供一種直接的核調(diào)用，它允許一個(gè)用戶〔或一個(gè)進(jìn)程〕對(duì)某個(gè)客體設(shè)置訪問權(quán)；對(duì)主體到客體的每一次訪問都按所設(shè)置的訪問權(quán)進(jìn)展訪問監(jiān)控。根據(jù)自主訪問控制的規(guī)那么，允許一個(gè)合法的用戶自主地將它擁有的客體訪問權(quán)分配給其它用戶。而平安核雖然可以對(duì)主體修正客體訪問權(quán)的操作加以控制，但并不能控制對(duì)客體設(shè)置何種訪問權(quán)，這就使特洛伊木馬攻擊有可乘之機(jī)了。雖然也可以采取一些措施加以防備，但終，因訪問監(jiān)控器模型本身的缺陷，無法從根本上處理問題。2024/1/2456形狀轉(zhuǎn)換維護(hù)系統(tǒng)的形狀變化表達(dá)為訪問方式的變化，系統(tǒng)形狀的轉(zhuǎn)換是依托一套本原命令來實(shí)現(xiàn)的，這些命令是用一系列改動(dòng)訪問矩陣內(nèi)容的本原操作來定義的。在訪問矩陣模型中定義了6個(gè)本原操作，如下表所示：2024/1/24572024/1/2458這些操作是以訪問矩陣中一定主、客體和權(quán)益能否存在為條件的，并擔(dān)任對(duì)系統(tǒng)維護(hù)形狀監(jiān)控器的控制。假定命令執(zhí)行前，系統(tǒng)的維護(hù)形狀是Q=〔S，O，A〕；當(dāng)某命令執(zhí)行后，系統(tǒng)地維護(hù)形狀變?yōu)镼’=(S’,O’,A’);每條命令執(zhí)行的條件和執(zhí)行后構(gòu)成的新形狀Q’。2024/1/2459這里r表示權(quán)益，s和o表示1到k之間的整數(shù)。一個(gè)命令的條件能夠?yàn)榭?。但假定每條命令至少完成一個(gè)操作。2024/1/24602024/1/2461西安電子科技大學(xué)計(jì)算機(jī)與網(wǎng)絡(luò)平安教育部重點(diǎn)實(shí)驗(yàn)室模型評(píng)價(jià)訪問矩陣模型具有以下優(yōu)點(diǎn)：簡明—易懂、易了解、易證明。通用—有才干綜合不同戰(zhàn)略和運(yùn)用于多種實(shí)現(xiàn)。準(zhǔn)確—有才干忠實(shí)地反映戰(zhàn)略和系統(tǒng)形狀。與數(shù)據(jù)式樣無關(guān)。2024/1/2462模型評(píng)價(jià)基于訪問矩陣的訪問控制模型在擁有它無可比較的優(yōu)點(diǎn)的同時(shí)，也有其本身設(shè)計(jì)帶來的缺陷：假設(shè)不詳細(xì)檢查整個(gè)訪問矩陣，很難保證系統(tǒng)的平安性；在大型系統(tǒng)中，訪問矩陣非常龐大，但其中很多元素是空的，因此以矩陣的方法來實(shí)現(xiàn)訪問矩陣是不太現(xiàn)實(shí)的；由于客體的擁有者可以授予或取消其它主體對(duì)該客體的訪問權(quán)限，這就呵斥了很難預(yù)測訪問權(quán)限是在系統(tǒng)中是如何傳播的，給系統(tǒng)的管理呵斥了很大的困難。不能防備特洛伊木馬。它無法實(shí)現(xiàn)多級(jí)平安戰(zhàn)略。2024/1/2463模型的實(shí)現(xiàn)方法1、訪問控制列表(AccessControlLists)較流行的實(shí)現(xiàn)訪問矩陣的方法是訪問控制列表，又稱為ACLs.在這種實(shí)現(xiàn)方法中，每一個(gè)客體與一個(gè)ACL相對(duì)應(yīng)：指明系統(tǒng)中的每一個(gè)主體獲得對(duì)此客體的訪問的相應(yīng)授權(quán)，如讀、寫、執(zhí)行等等。2024/1/2464西安電子科技大學(xué)計(jì)算機(jī)與網(wǎng)絡(luò)平安教育部重點(diǎn)實(shí)驗(yàn)室文件File1的訪問控制列表(ACLs)2024/1/2465西安電子科技大學(xué)計(jì)算機(jī)與網(wǎng)絡(luò)平安教育部重點(diǎn)實(shí)驗(yàn)室2．權(quán)能(Capabilities)列表相對(duì)于訪問控制列表ACLs基于客體來實(shí)現(xiàn)訪問矩陣來說，權(quán)能列表那么是基于主體來實(shí)現(xiàn)訪問矩陣的。在這種方法中，每一個(gè)主體與一稱為“權(quán)能列表(CapabilitiesLists)〞的列表相聯(lián)絡(luò)，該列表指明系統(tǒng)中的某一個(gè)主體擁有對(duì)哪些客體的訪問權(quán)限。這種方法相應(yīng)于將訪問矩陣以行的方式來存儲(chǔ)。2024/