第 3 期 周从华等:基于 PAT 的使用控制模型的形式化规约与安全性分析 ·55·
判定发生在访问过程中,且在执行访问操作前完
成主客体相关属性的更新。
7) onA2:由授权决定的使用控制决策,决策
判定发生在访问过程中,且在执行访问的过程中
完成主客体相关属性的更新。
8) onA3:由授权决定的使用控制决策,决策
判定发生在访问过程中,且在访问结束后完成主
客体相关属性的更新。
3.1.1 核模型 preA0
在 preA0 中授权决策由系统执行,且发生在
访问之前,同时主体和客体的属性在访问全程中
没有任何变化。利用 TCSP#描述的 preA0 如下。
preA0_S_O_R(s, o, r) = tryaccess.s.o.r->if(P1
&& … &&Pn){permitaccess.s.o.r->doaccess.s.o.r->end.
s.o.r->Skip}else{denyaccess.s.o.r->Skip}
在 preA0_S_O_R(s,o,r)中,P1&&…&&Pn 是
建立在主体和客体属性上的授权谓词。当该谓词
为真时,访问得到许可,并开始执行,否则访问
被系统予以拒绝。为了区分不同的访问进程,在
进程的命名上,preA0 表示决策和属性更新的类
型,S 表示具 有 某种共同特性的主体 集 ,如
STUDENT 表示由学生形成的主体的集合,O 表示
具有某种共同特性的客体集,如 FILE 表示由文
件形成的集合,R 表示权限的类型,如 READ 表
示读权限。为了方便读者体会如何使用 TCSP#建
模以及与以往形式化规范工作的区别,本文的实
例尽量选自文献[5]。
实例 1 在强制访问控制模型中,每个主体
和客体均有一个安全级别,主体对客体的访问主
要通过安全级别的比较来实现。现在以经典的面
向信息保密的 BLP(Bell-LaPadula)
[17]
模型为例,
来说明如何利用 TCSP#具体描述 preA0 策略。
BLP 对主体和客体都赋予一定的安全级别,同时
将安全级别进行排序。用户不能改变自身和客体
的安全级别,只有管理员才能够确定用户的访问
权限。在实施访问控制时,系统先对访问主体和
受控客体的安全级别属性进行比较,再决定访问
主体能否访问受控客体。应用于保障信息保密性
的访问主要有以下 2 种方式。
1) 向下读:主体安全级别高于客体的安全级
别时允许查阅的读操作。
2) 向上写:主体安全级别低于客体的安全级
别时允许写操作。
第一种方式的 TCSP#规范描述如下,其中
s_level,o_level 分别表示主体和客体的安全等级。
preA0_S_O_READ(s,o,r)=tryaccess.s.o.r->if
(s_level>o_level){permitaccess.s.o.r->doaccess.s.o.r
-> end.s.o.r ->Skip}else{denyaccess.s.o.r ->Skip}
第二种方式的 TCSP#规范描述如下。
preA0_S_O_WRITE(s,o,w)=tryaccess.s.o.w->
if (s_level<=o_level){permitaccess.s.o.w->doaccess.
s.o.w->end.s.o.w->Skip}else{denyaccess.s.o.w->Skip}
3.1.2 核模型 preA1
preA1 与 preA0 的主要不同在于在访问控制
实施之前主客体的属性可能会被更新。一般情况
下,更新操作发生在主体发出访问请求且请求得
到许可之后。利用 TCSP#描述的 preA1 如下。
preA1_S_O_R(s,o,r)=tryaccess.s.o.r->if(P1&&
… &&Pn){permitaccess.s.o.r->preupdate.s.o.r{ … }->
doaccess.s.o.r->end.s.o.r->Skip}else{denyaccess.s.o.r
-> Skip}
在属性更新操作 preupdate{…}中可以完成多
个 属 性 的 更 新 , 同 时 还 有 时 序 性 约 束 , 如
preupdate{x=x+1;y=y+1}表示先完成对 x 的更新,
然后完成对 y 的更新。
实例 2 在一个按次计费的数字版权保护系
统中,主体拥有属性 credit,表示拥有的存款,客
体拥有属性 value,表示每次访问的代价。当主体
的 credit 超过客体的 value 时,主体可以对客体执
行读的访问。在访问开始前,主体的存款 credit
将减少 value。具体的访问过程如下。
preA1_S_O_READ(s,o,r)=tryaccess.s.o.r->if
(s_credit>=o_value){permitaccess.s.o.r->preupdate.
s.o.r{s_credit=s_credit-o_value;}->doaccess.s.o.r->
end.s.o.r->Skip}else{denyaccess.s.o.r->Skip}
3.1.3 核模型 preA2
在模型 preA2 中,授权决策由系统在访问之
前检测,且在访问过程中会有多个属性值被更新。
利用 TCSP#描述的 preA2 如下。
preA2_S_O_R(s,o,r)=tryaccesss.o.r->if(P1&& …
&&Pn){permitaccess.s.o.r->doaccess.s.o.r->onup
date.s.o.r{…}->end.s.o.r->Skip}else{denyaccess.s.o.r
00038-4
剩余15页未读,继续阅读
weixin_38725260
- 粉丝: 2
- 资源: 909
我的内容管理
展开
最新资源
- JDK 17 Linux版本压缩包解压与安装指南
- C++/Qt飞行模拟器教员控制台系统源码发布
- TensorFlow深度学习实践:CNN在MNIST数据集上的应用
- 鸿蒙驱动HCIA资料整理-培训教材与开发者指南
- 凯撒Java版SaaS OA协同办公软件v2.0特性解析
- AutoCAD二次开发中文指南下载 - C#编程深入解析
- C语言冒泡排序算法实现详解
- Pointofix截屏:轻松实现高效截图体验
- Matlab实现SVM数据分类与预测教程
- 基于JSP+SQL的网站流量统计管理系统设计与实现
- C语言实现删除字符中重复项的方法与技巧
- e-sqlcipher.dll动态链接库的作用与应用
- 浙江工业大学自考网站开发与继续教育官网模板设计
- STM32 103C8T6 OLED 显示程序实现指南
- 高效压缩技术:删除重复字符压缩包
- JSP+SQL智能交通管理系统:违章处理与交通效率提升
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
