计算机安全AC.pptVIP

访问控制矩阵 访问控制矩阵 Overview 访问控制矩阵 Access Control Matrix，ACM 保护状态的转换 命令 条件命令 保护状态 保护状态 系统状态是所有内存、二级缓存、寄存器和系统中其他设备状态的集合 涉及安全保护的状态的集合为保护状态 P：保护状态集合，Q：P中的合法状态 Q：安全；P-Q不安全 状态转换 系统状态转换中影响到保护状态的才是本章关心的 访问控制矩阵 描述当前保护状态的最精确的模型 访问控制矩阵 Subjects S = { s1,…,sn } Objects O = { o1,…,om } Rights R = { r1,…,rk } Entries A[si, oj] ? R A[si, oj] = { rx, …, ry } means subject si has rights rx, …, ry over object oj 保护状态用(S，O，A) 表示 例子 1 进程 p, q 文件 f, g 权限 r, w, x, a(添加), o f g p q p rwo r rwxo w q a ro r rwxo 例子 2 Procedures inc_ctr, dec_ctr, manage Variable counter Rights +, –, call counter inc_ctr dec_ctr manage inc_ctr + dec_ctr – manage call call call 访问控制矩阵的变体 能力表：ACM的行 访问控制列表：ACM的列 保护状态转换 状态X，操作? |– 代表状态的转换 Xi |– ? Xi+1: 操作? 将系统从状态 Xi 转化到Xi+1 Xi |– * Xi+1: 一些列操作? 将系统从状态 Xi 转化到Xi+1 Commands often called transformation procedures 基本转换操作 Harrison-Ruzzo-Ullman （1976） 定义的基本命令（或原语） create subject s; create object o Creates new row, column in ACM; creates new column in ACM destroy subject s; destroy object o Deletes row, column from ACM; deletes column from ACM enter r into A[s, o] Adds r rights for subject s over object o delete r from A[s, o] Removes r rights from subject s over object o 多个基本命令组合成复合命令 例子 创建文件 进程 p 创建文件 f ，拥有 r、 w 权限 command create file(p, f) create object f ; enter own into A[p, f]; enter r into A[p, f]; enter w into A[p, f]; end 令进程 p 成为文件的 g 拥有者 command make owner(p, g) enter own into A[p, g]; end 单步命令 基本命令不能直接调用，但可定义只包含一个基本命令的命令： 单步命令 只包含一个基本命令（原语） 条件命令 如果 p 拥有 f ，那么给与 q 对 f 的r权限, command grant read file 1(p, f, q) if own in A[p, f] then enter r into A[q, f]; end 单一条件命令 Single condition in this command 多条件命令 如果 p 拥有 f 且p对q有c权利，那么给与 q 对 f 的r和w权限 command grant?read?file?2(p, f, q) if own in A[p, f] and c in A[p, q] then enter r into A[q, f]; enter w into A[q, f]; end 条件只用and连接 Or 条件等价于两个独立的条件命令 模型中没有条件取反 即：不能在访问控制矩阵中测试一个权限是否缺少 Harrison-Ruzzo-Ullman基本结果 Overview Harrison-Ruzzo-Ullman 结果， 1976 J. ACM HRU模型 Overview Safety Q