- Văn bản
- Lịch sử
Definition 5.1. An information flow
Definition 5.1. An information flow occurs between a subject s ! S and an object o ! O if the
subject performs a read or write operation on the object. The information flow s " o is from the
1Historically, the term mandatory access control model has been used to describe specific access control models, such as the multilevel
secrecy models, but we use the broader definition in this book that is based on how the policies in these models are administered.
58 CHAPTER 5. VERIFIABLE SECURITYGOALS
subject to the object if the subject writes to the object. The information flow s # o is from the
object to the subject if the subject reads from the object.
Information flow represents how data moves among subjects and objects in a system.When
a subject (e.g., process) reads from an object (e.g., a file), the data from the object flows into the
subject’s memory. If there are secrets in the object, then information flow shows that these secrets
may flow to the subject when the subject reads the object. However, if the subject holds the secrets,
then information flow also can show that the subject may leak these secrets if the subject writes to
the object.
Note that every operation on an object is either an information flow read (i.e., extracts data
from the object), an information flow write (i.e., updates the object with new data), or a combination
of both. For example, execute reads the data from a file to prepare it for execution, so the process
reads from the file.When we delete a file from a directory, the directory’s set of files is changed. The
result is that an entire protection state of a mandatory protection system can be represented by a set
of information flow reads and writes.
Thus, any protection state can be represented by an information flow graph.
Definition 5.2. An information flow graph for a protection state is a directed graph G = (V ,E)
where: (1) the set of vertices V consists of the union of the set of subjects and set of objects in the
protection state and (2) the set of directed edges E consists of each read and write information flow
in the protection state.
An information flow graph for a protection state can be constructed as follows. First, we create
a vertex for each subject and object in the protection state. Then, we add the information flow edges.
To do this, we determine whether each operation in the protection state results in a read, write, or
combination information flow. Then, we add an information flow edge from a subject vertex to an
object vertex when the subject has permission to a write information flow operation for the object
in the protection state. Likewise, we add an information flow edge from an object vertex to a subject
vertex when the subject has permission to a read information flow operation in the protection state.
Example 5.3. Consider the access matrix shown in Figure 5.1. It defines the set of operations that
the subjects S1, S2, and S3 can perform on objects O1 and O2.Note that some operations, such as
append, getattr, and ioctl have to be mapped to their resultant information flows, write, read,
and both, respectively. As a result, this access matrix represents the corresponding information flow
graph shown in Figure 5.1.
Information flow is used in secure operating systems as an approximation for secrecy and
integrity. For secrecy, the information flow edges in the graph indicate all the paths by which data
may be leaked.We can use the graph to determine whether a secret object o may be leaked to an
subject performs a read or write operation on the object. The information flow s " o is from the
1Historically, the term mandatory access control model has been used to describe specific access control models, such as the multilevel
secrecy models, but we use the broader definition in this book that is based on how the policies in these models are administered.
58 CHAPTER 5. VERIFIABLE SECURITYGOALS
subject to the object if the subject writes to the object. The information flow s # o is from the
object to the subject if the subject reads from the object.
Information flow represents how data moves among subjects and objects in a system.When
a subject (e.g., process) reads from an object (e.g., a file), the data from the object flows into the
subject’s memory. If there are secrets in the object, then information flow shows that these secrets
may flow to the subject when the subject reads the object. However, if the subject holds the secrets,
then information flow also can show that the subject may leak these secrets if the subject writes to
the object.
Note that every operation on an object is either an information flow read (i.e., extracts data
from the object), an information flow write (i.e., updates the object with new data), or a combination
of both. For example, execute reads the data from a file to prepare it for execution, so the process
reads from the file.When we delete a file from a directory, the directory’s set of files is changed. The
result is that an entire protection state of a mandatory protection system can be represented by a set
of information flow reads and writes.
Thus, any protection state can be represented by an information flow graph.
Definition 5.2. An information flow graph for a protection state is a directed graph G = (V ,E)
where: (1) the set of vertices V consists of the union of the set of subjects and set of objects in the
protection state and (2) the set of directed edges E consists of each read and write information flow
in the protection state.
An information flow graph for a protection state can be constructed as follows. First, we create
a vertex for each subject and object in the protection state. Then, we add the information flow edges.
To do this, we determine whether each operation in the protection state results in a read, write, or
combination information flow. Then, we add an information flow edge from a subject vertex to an
object vertex when the subject has permission to a write information flow operation for the object
in the protection state. Likewise, we add an information flow edge from an object vertex to a subject
vertex when the subject has permission to a read information flow operation in the protection state.
Example 5.3. Consider the access matrix shown in Figure 5.1. It defines the set of operations that
the subjects S1, S2, and S3 can perform on objects O1 and O2.Note that some operations, such as
append, getattr, and ioctl have to be mapped to their resultant information flows, write, read,
and both, respectively. As a result, this access matrix represents the corresponding information flow
graph shown in Figure 5.1.
Information flow is used in secure operating systems as an approximation for secrecy and
integrity. For secrecy, the information flow edges in the graph indicate all the paths by which data
may be leaked.We can use the graph to determine whether a secret object o may be leaked to an
0/5000
Định nghĩa 5.1. Một luồng thông tin xảy ra giữa một chủ đề s! S và một đối tượng o! O Nếu việcđối tượng thực hiện một hoạt động đọc hoặc viết trên các đối tượng. Thông tin luồng s "o là từ các1Historically, mô hình kiểm soát truy cập bắt buộc hạn đã được sử dụng để mô tả các mô hình kiểm soát truy cập cụ thể, chẳng hạn như các đabí mật các mô hình, nhưng chúng tôi sử dụng định nghĩa rộng hơn trong cuốn sách này dựa trên các chính sách trong các mô hình này được quản lý như thế nào.58 CHƯƠNG 5. KIỂM CHỨNG SECURITYGOALStùy thuộc vào đối tượng nếu chủ đề viết để các đối tượng. O # s của dòng chảy của thông tin là từ cácđối tượng đến chủ đề nếu chủ đề đọc từ đối tượng.Dòng chảy thông tin thể hiện như thế nào dữ liệu di chuyển giữa các môn học và các đối tượng trong một hệ thống. Khimột chủ đề (ví dụ: quá trình) đọc từ một đối tượng (ví dụ:, một tập tin), các dữ liệu từ các đối tượng chảy vào cácchủ đề của bộ nhớ. Nếu không có bí mật trong các đối tượng, sau đó thông tin dòng chảy cho thấy rằng những bí mậtcó thể chảy đến chủ đề khi đối tượng đọc các đối tượng. Tuy nhiên, nếu đối tượng giữ bí mật,sau đó dòng chảy thông tin cũng có thể hiển thị rằng các chủ đề có thể rò rỉ những bí mật nếu chủ đề viết đểcác đối tượng.Lưu ý rằng mọi hoạt động trên một đối tượng hoặc một thông tin dòng chảy đọc (tức là, chất chiết xuất từ dữ liệutừ đối tượng), một thông tin dòng chảy ghi (ví dụ, Cập nhật các đối tượng với dữ liệu mới), hoặc kết hợpcủa cả hai. Ví dụ, thực hiện lần đọc dữ liệu từ một tập tin để chuẩn bị cho việc thực hiện, do đó, các quá trìnhđọc từ tập tin. Khi chúng tôi xóa một tập tin từ một thư mục, thư mục thiết lập tập tin được thay đổi. Cáckết quả là một nhà nước bảo vệ toàn bộ của một hệ thống bảo vệ bắt buộc có thể được đại diện bởi một tập hợpthông tin luồng lần đọc và viết.Vì vậy, bất kỳ tiểu bang bảo vệ có thể được đại diện bởi một biểu đồ dòng chảy thông tin.Định nghĩa 5.2. Một đồ thị dòng chảy thông tin về một nhà nước bảo vệ là đạo diễn đồ thị G = (V, E)nơi: (1) tập hợp các đỉnh V bao gồm các công đoàn của các thiết lập của các đối tượng và tập hợp các đối tượng trong cácbảo vệ nhà nước và (2) bao gồm các thiết lập của đạo diễn cạnh E của từng đọc và ghi thông tin dòng chảytrong nhà nước bảo vệ.Một biểu đồ dòng chảy thông tin về một nhà nước bảo vệ có thể được xây dựng như sau. Trước tiên, chúng tôi tạo ramột đỉnh cho mỗi chủ đề và đối tượng trong nhà nước bảo vệ. Sau đó, ta thêm cạnh dòng chảy thông tin.Để làm điều này, chúng tôi xác định cho dù từng hoạt động ở trạng thái bảo vệ kết quả trong một đọc, viết, hoặcsự kết hợp thông tin dòng chảy. Sau đó, chúng tôi thêm một cạnh dòng chảy thông tin từ một đỉnh đối tượng đến mộtđối tượng đỉnh khi đối tượng có quyền một hoạt động viết dòng chảy thông tin cho các đối tượngtrong nhà nước bảo vệ. Tương tự như vậy, chúng tôi thêm một cạnh dòng chảy thông tin từ một đỉnh đối tượng vào một chủ đềđỉnh khi đối tượng có quyền hoạt động dòng chảy thông tin đọc một bang bảo vệ.Ví dụ 5.3. Hãy xem xét các ma trận truy cập Hiển thị trong hình 5.1. Nó xác định các thiết lập hoạt động kinh doanh màcác đối tượng S1, S2, và S3 có thể thực hiện trên các đối tượng O1, O2. Lưu ý rằng một số hoạt động, chẳng hạn nhưphụ thêm, getattr, và ioctl phải được ánh xạ tới của dòng chảy thông tin kết quả, viết, đọc,và cả hai, tương ứng. Kết quả là, truy cập vào ma trận này đại diện cho dòng chảy thông tin tương ứngbiểu đồ hiển thị ở hình 5.1.Dòng chảy thông tin được sử dụng trong hệ điều hành an toàn như là một xấp xỉ bí mật vàtính toàn vẹn. Cho bí mật, cạnh dòng chảy thông tin trong biểu đồ cho thấy tất cả các đường dẫn của dữ liệucó thể bị rò rỉ. Chúng tôi có thể sử dụng biểu đồ để xác định liệu một o bí mật đối tượng có thể bị rò rỉ để một
đang được dịch, vui lòng đợi..
Định nghĩa 5.1. Một dòng chảy thông tin xảy ra giữa một chủ thể s! S và một đối tượng o! O nếu
đối tượng thực hiện một đọc hoặc ghi hoạt động trên các đối tượng. Các luồng thông tin s "o là từ
1Historically, việc bắt buộc mô hình điều khiển truy cập hạn đã được sử dụng để mô tả mô hình điều khiển truy cập cụ thể, chẳng hạn như đa
mô hình bí mật, nhưng chúng tôi sử dụng định nghĩa rộng hơn trong cuốn sách này được dựa trên các chính sách trong các mô hình này được quản lý.
58 CHƯƠNG 5. SECURITYGOALS kiểm chứng
tùy thuộc vào đối tượng khi đối tượng đã viết cho các đối tượng. các luồng thông tin s # o là từ các
đối tượng để đối tượng nếu đối tượng đọc từ các đối tượng.
dòng chảy thông tin đại diện cho dữ liệu như thế nào di chuyển giữa các đối tượng và các đối tượng trong một system.When
một chủ đề (ví dụ, quá trình) đọc từ một đối tượng (ví dụ, một tập tin), các dữ liệu từ các đối tượng chảy vào
bộ nhớ của đối tượng. Nếu có những bí mật trong các đối tượng, sau đó lưu thông tin cho thấy những bí mật
có thể chảy đến chủ đề này khi đối tượng đọc các đối tượng. Tuy nhiên, nếu chủ thể nắm giữ những bí mật,
sau đó luồng thông tin cũng có thể cho thấy rằng chủ thể có rò rỉ các bí mật nếu đối tượng viết cho
các đối tượng.
lưu ý rằng tất cả các hoạt động trên một đối tượng hoặc là một dòng chảy thông tin đọc (nghĩa là, xuất dữ liệu
từ các đối tượng), một ghi dòng thông tin (ví dụ, cập nhật các đối tượng với dữ liệu mới), hoặc một sự kết hợp
của cả hai. Ví dụ, thực hiện đọc dữ liệu từ một tập tin để chuẩn bị cho việc thực hiện, vì vậy quá trình
đọc từ file.When chúng ta xóa một tập tin từ một thư mục, thiết lập của thư mục của tập tin được thay đổi. Các
kết quả là toàn bộ trạng thái bảo vệ của một hệ thống bảo vệ bắt buộc có thể được đại diện bởi một tập hợp
các luồng thông tin đọc và viết.
Vì vậy, bất kỳ nhà nước bảo vệ có thể được đại diện bởi một biểu đồ luồng thông tin.
Định nghĩa 5.2. Một đồ thị luồng thông tin cho một trạng thái bảo vệ là một đạo diễn đồ thị G = (V, E)
trong đó: (1) tập hợp các đỉnh V bao gồm sự kết hợp của các bộ môn và tập hợp các đối tượng trong
trạng thái bảo vệ và (2) tập các cạnh đạo E gồm từng đọc và viết dòng chảy thông tin
trong trạng thái bảo vệ.
một đồ thị luồng thông tin cho một nhà nước bảo vệ có thể được xây dựng như sau. Đầu tiên, chúng ta tạo ra
một đỉnh cho từng đối tượng và đối tượng trong trạng thái bảo vệ. Sau đó, chúng tôi thêm các cạnh luồng thông tin.
Để làm được điều này, chúng tôi xác định xem mỗi hoạt động trong các kết quả trạng thái bảo vệ trong một đọc, viết, hoặc
dòng chảy thông tin kết hợp. Sau đó, chúng tôi thêm một cạnh luồng thông tin từ một đỉnh thuộc vào một
đỉnh đối tượng khi đối tượng có sự cho phép để một hoạt động viết thông tin lưu lượng cho các đối tượng
trong trạng thái bảo vệ. Tương tự như vậy, chúng tôi thêm một cạnh luồng thông tin từ một đỉnh đối tượng đến một chủ đề
đỉnh khi đối tượng có sự cho phép cho một hoạt động lưu chuyển thông tin đọc trong trạng thái bảo vệ.
Ví dụ 5.3. Hãy xem xét các ma trận truy cập hiện trong hình 5.1. Nó định nghĩa các thiết lập của các hoạt động mà
các đối tượng S1, S2, S3 và có thể thực hiện trên các đối tượng O1 và O2.Note rằng một số hoạt động, chẳng hạn như
phụ thêm, getattr, và ioctl đã được ánh xạ tới thông tin tổng hợp của các dòng, viết, đọc,
và cả hai, tương ứng. Kết quả là, ma trận truy cập này đại diện cho dòng chảy thông tin tương ứng
biểu đồ thể hiện trong hình 5.1.
Dòng chảy thông tin được sử dụng trong các hệ thống điều hành an toàn như một xấp xỉ cho bí mật và
toàn vẹn. Để giữ bí mật, các cạnh luồng thông tin trong đồ thị chỉ ra tất cả các đường dẫn mà dữ liệu
có thể được leaked.We có thể sử dụng đồ thị để xác định xem một đối tượng o bí mật chưa được tiết lộ cho một
đối tượng thực hiện một đọc hoặc ghi hoạt động trên các đối tượng. Các luồng thông tin s "o là từ
1Historically, việc bắt buộc mô hình điều khiển truy cập hạn đã được sử dụng để mô tả mô hình điều khiển truy cập cụ thể, chẳng hạn như đa
mô hình bí mật, nhưng chúng tôi sử dụng định nghĩa rộng hơn trong cuốn sách này được dựa trên các chính sách trong các mô hình này được quản lý.
58 CHƯƠNG 5. SECURITYGOALS kiểm chứng
tùy thuộc vào đối tượng khi đối tượng đã viết cho các đối tượng. các luồng thông tin s # o là từ các
đối tượng để đối tượng nếu đối tượng đọc từ các đối tượng.
dòng chảy thông tin đại diện cho dữ liệu như thế nào di chuyển giữa các đối tượng và các đối tượng trong một system.When
một chủ đề (ví dụ, quá trình) đọc từ một đối tượng (ví dụ, một tập tin), các dữ liệu từ các đối tượng chảy vào
bộ nhớ của đối tượng. Nếu có những bí mật trong các đối tượng, sau đó lưu thông tin cho thấy những bí mật
có thể chảy đến chủ đề này khi đối tượng đọc các đối tượng. Tuy nhiên, nếu chủ thể nắm giữ những bí mật,
sau đó luồng thông tin cũng có thể cho thấy rằng chủ thể có rò rỉ các bí mật nếu đối tượng viết cho
các đối tượng.
lưu ý rằng tất cả các hoạt động trên một đối tượng hoặc là một dòng chảy thông tin đọc (nghĩa là, xuất dữ liệu
từ các đối tượng), một ghi dòng thông tin (ví dụ, cập nhật các đối tượng với dữ liệu mới), hoặc một sự kết hợp
của cả hai. Ví dụ, thực hiện đọc dữ liệu từ một tập tin để chuẩn bị cho việc thực hiện, vì vậy quá trình
đọc từ file.When chúng ta xóa một tập tin từ một thư mục, thiết lập của thư mục của tập tin được thay đổi. Các
kết quả là toàn bộ trạng thái bảo vệ của một hệ thống bảo vệ bắt buộc có thể được đại diện bởi một tập hợp
các luồng thông tin đọc và viết.
Vì vậy, bất kỳ nhà nước bảo vệ có thể được đại diện bởi một biểu đồ luồng thông tin.
Định nghĩa 5.2. Một đồ thị luồng thông tin cho một trạng thái bảo vệ là một đạo diễn đồ thị G = (V, E)
trong đó: (1) tập hợp các đỉnh V bao gồm sự kết hợp của các bộ môn và tập hợp các đối tượng trong
trạng thái bảo vệ và (2) tập các cạnh đạo E gồm từng đọc và viết dòng chảy thông tin
trong trạng thái bảo vệ.
một đồ thị luồng thông tin cho một nhà nước bảo vệ có thể được xây dựng như sau. Đầu tiên, chúng ta tạo ra
một đỉnh cho từng đối tượng và đối tượng trong trạng thái bảo vệ. Sau đó, chúng tôi thêm các cạnh luồng thông tin.
Để làm được điều này, chúng tôi xác định xem mỗi hoạt động trong các kết quả trạng thái bảo vệ trong một đọc, viết, hoặc
dòng chảy thông tin kết hợp. Sau đó, chúng tôi thêm một cạnh luồng thông tin từ một đỉnh thuộc vào một
đỉnh đối tượng khi đối tượng có sự cho phép để một hoạt động viết thông tin lưu lượng cho các đối tượng
trong trạng thái bảo vệ. Tương tự như vậy, chúng tôi thêm một cạnh luồng thông tin từ một đỉnh đối tượng đến một chủ đề
đỉnh khi đối tượng có sự cho phép cho một hoạt động lưu chuyển thông tin đọc trong trạng thái bảo vệ.
Ví dụ 5.3. Hãy xem xét các ma trận truy cập hiện trong hình 5.1. Nó định nghĩa các thiết lập của các hoạt động mà
các đối tượng S1, S2, S3 và có thể thực hiện trên các đối tượng O1 và O2.Note rằng một số hoạt động, chẳng hạn như
phụ thêm, getattr, và ioctl đã được ánh xạ tới thông tin tổng hợp của các dòng, viết, đọc,
và cả hai, tương ứng. Kết quả là, ma trận truy cập này đại diện cho dòng chảy thông tin tương ứng
biểu đồ thể hiện trong hình 5.1.
Dòng chảy thông tin được sử dụng trong các hệ thống điều hành an toàn như một xấp xỉ cho bí mật và
toàn vẹn. Để giữ bí mật, các cạnh luồng thông tin trong đồ thị chỉ ra tất cả các đường dẫn mà dữ liệu
có thể được leaked.We có thể sử dụng đồ thị để xác định xem một đối tượng o bí mật chưa được tiết lộ cho một
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- “If you think adventure is dangerous, tr
- Use 1 mega headstart 1 left
- Vietnam has been ranked the fifth happie
- caught
- yeah i got it
- Quyến rũ
- Researchers in communication show that m
- hi sinh thời gian cho sự nghiệp cá nhânT
- Tôi nói thật đấy
- Bên ngân hàng tôi đã báo Mobidea chuyển
- Vielen dank voraus für ihnen Antwort
- tôi thực sự hạnh phúc vì đã tìm được một
- กูจะฆ่ามึง
- Future climate change and associated imp
- tôi rất vui khi được gặp bạn
- Không có 711
- Tôi nghĩ họ nên chuẩn bị lựa chọn một bộ
- but it illustrates to a large degree why
- brush down the horse
- đăng ký khai sinh tại.
- hiện nay trên thị trường hàng không việt
- Use 1 mega headstart 1 left
- I presume? You have been summoned to the
- a closer look1
