读书笔记——计算机安全学(二)—访问控制矩阵

访问控制矩阵

1. 保护系统描述了哪些条件下被保护的系统是安全的。访问控制矩阵是一种描述保护系统的经典方法。

2. 保护状态

系统状态是由所有内存、二级缓存、寄存器和系统中其他设备的状态构成的集合，这个集合中涉及安全保护的子集称为保护状态。

访问控制矩阵是用于描述当前保护状态的最精确的模型，它准确的描述了一个主体（活跃的实体，如一个进程）相对于系统中其他实体的权限。

只有系统中影响保护状态的状态转换才是指的关心的。

3. 访问控制矩阵模型

访问控制矩阵是用矩阵的形式描述系统的访问控制的模型，它由三元组(S,O,A)来定义，其中：

S是主体的集合——行标对应主体

O是客体的集合——列标对应客体

A是访问矩阵，矩阵元素A[s,o]是主体s在o上实施的操作

客体以及在其上实施的操作类型取决应用系统本身的特点

访问控制矩阵模型只是描述保护状态的抽象模型。

在访问控制矩阵中客体一般意味着文件、设备或者进程，但是客体其实可以小到进程之间发送的一条消息，也可以是大到整个系统。

4. 保护状态转换

进程执行操作——》保护系统的状态发生转换——》表示系统保护状态的访问控制矩阵也要做相应的更新。

定义影响访问控制矩阵的原语命令：

1） create subject s

这个原语用于创建一个主体s，注意在本命令执行之前，s 不能作为一个客体或者主体在系统中存在。这个 操作没有添加任何权限，它只是改变了访问控制矩阵本身。

2） create object o

这个原语命令用于创建一个新客体o，注意在本命令执行之前，o在系统中并不存在。和create subject操作类似，这个操作没有添加任何权限，它只是改变了访问控制矩阵本身。

3） enter r into a[s , 0]

这个原语命令用于将权限r添加到矩阵元素a[s ，o]中，注意在本命令执行前，a[s , o]可能已经有了某些权限，这样添加权限的意义和系统的具体实现是相关的（可以添加另一种权限，也可以多少都不做）

4） delete r from a[s , 0]

这个原语命令用于将权限r从矩阵元素a[s，o]中删除。注意在本命令执行之前，a[s,o]不一定要包括权限r,这种情况下，这个命令不做任何事情。

5） destroy subject s

这个原语命令用于删除主体s 。访问控制矩阵中相关s的行和列也要相应的删除。

6） destroy object o

这个原语用于删除客体o。访问控制矩阵中相关o的列也要相应地删除。

5. 单步命令：系统只能调用已定义的命令来改变系统状态，原语命令是不能直接调用的，

但是可以定义命令只包括一个原语命令，这样的命令称为单步命令。

6. 条件命令：只有单个条件的命令称为单一条件命令。有两个条件的命令称为双条件命令。

（1）所有条件都使用and来连接，不使用or。

（2）条件取反是不允许的——不能在访问控制矩阵中测试一个权限是否不存在。如：if r not in a[p,f]

总结：

访问控制矩阵是计算机安全中的最基本的抽象表示方法。在最抽象的层次，它可以表述任意的安全策略。在实践中，由于所需存储空间的限制，人们并不直接使用它，因为在大多数系统中可能有数以千计的主体和客体，这样就会需要大量的空间来存储访问控制矩阵，然而它的简单性使得它成为分析计算机安全的理想理论工具。

系统的状态转换改变系统的状态。状态转换一般用命令来表示。一个命令由一个可能的条件以及一个或多个原语命令构成。条件可能涉及对客体的拥有权限或者复制权限的能力。