课件5：3_2节保护系统安全理论.ppt

课件5 ;3.2 基于状态变换的安全系统理论*;需要提醒的是，一个系统被证明是安全的，并不意味着它就是安全的，安全性仅仅对应抽象模型而言的。为了证明安全性，还需要表明系统是正确地实现了模型，即安全的保护系统需要有安全性和正确性两者保证。因此，安全性仅属于实际安全系统的理论证明的一部分。 ;3.2.1 一般性保护系统 ;泄漏（或释放）的概念 ;(定义3.12续);释放不一定是坏事，作为共享的任何系统都会有许多释放，事实上，许多主体自愿地把它们的权利释放（转授）给其他“可信”的主体。问题是一个权利r的转授是否违反系统的安全性政策。 现在我们假定访问矩阵中的主体都是非可信的，即所有可信的主体都已从矩阵中剔除。在此假设下，我们给出以下安全的定义。 ;安全性定义;有关安全性的可判定性问题;定理3.2.1意味着安全保护系统的集合不是递归的，即不可能存在单一的算法足以判定所有系统的安全性问题，不过，我们能生成所有不安全系统的表，这有以下定理。 定理3.2-2 不安全系统的集合是递归可枚举的。 不过，我们不能枚举所有安全系统，因为一个系统是递归的当且仅当它和它的补都是递归可枚举的。;此外，必须注意，以上两定理并不排除构造单个保护系统并证明它们是安全的可能性，也不排除在模型上增加实用性限制使得安全性问题是可判定的，甚至是易处理的可能性。下边我们即将讨论这些问题。 ;3.2.2 若干受限制的保护系统 ;;其次我们能够忽略含有多于一个create操作的命令序列。理由是所有在访问矩阵的新元素中增加或检查权利的命令，能够用已存在的矩阵元素中增加或检查权利的命令取代；这通过把实际参数从新主体和客体更改为已存在的主体和客体可以简单地做到。不过，为了保证矩阵至少有一个元素可以增加权利，在初始状态没有主体的情况中保存一个create subject命令是必须的。 ;这意味着我们需要考虑的仅有命令序列是由enter（增加）操作和至少一个create subject操作组成的那些序列。 现在，不同的enter操作的个数不多于gnsno，这里g是权利集合R的成员个数，ns=|S|+1是主体个数，而no=|O|+1是客体个数。因为enter操作在命令序列???的次序是不重要的，所以必须被检查的命令序列个数是由 +1 所界限，证毕。 ;;;3.2.3 获取—授予系统(TGS) ;获取规则;图3-21 获取规则 ;2、授予规则;3、创建规则;4、撤消规则;TGS应用于目录; ;获取—授予模型描述系统中权力（权利）的转授。它不描述不能转授的权利的保护状态。因此，它是从完全状态中仅抽取出回答有关安全性问题所需的信息。 ;TGS应用于访问矩阵; 用TGS表示访问矩阵;TGS的理论性应用; ;定理3.2-7;图3-27 直接tg-连结的四种情况 ;情况3证明;图3-28 情况3的证明 ;定理3.2-8; ;; ;;定理3.2-9;; ;;关于偷窃问题的讨论 ; ;定理3.2-11;;虽然，获取一批标准模型并不模拟任何特定系统，但它描述了许多系统，特别是能力系统的许多侧面。其结论是有意义的，因为它表明在适当约束的系统中，安全性判定不仅可能而且是相对地简单。一般系统的安全性问题之所以不可判定是因为系统的命令是不受约束。