Definition 5.1. An information flow

Definition 5.1. An information flow occurs between a subject s ! S and an object o ! O if thesubject performs a read or write operation on the object. The information flow s " o is from the1Historically, the term mandatory access control model has been used to describe specific access control models, such as the multilevelsecrecy models, but we use the broader definition in this book that is based on how the policies in these models are administered.58 CHAPTER 5. VERIFIABLE SECURITYGOALSsubject to the object if the subject writes to the object. The information flow s # o is from theobject to the subject if the subject reads from the object.Information flow represents how data moves among subjects and objects in a system.Whena subject (e.g., process) reads from an object (e.g., a file), the data from the object flows into thesubject’s memory. If there are secrets in the object, then information flow shows that these secretsmay flow to the subject when the subject reads the object. However, if the subject holds the secrets,then information flow also can show that the subject may leak these secrets if the subject writes tothe object.Note that every operation on an object is either an information flow read (i.e., extracts datafrom the object), an information flow write (i.e., updates the object with new data), or a combinationof both. For example, execute reads the data from a file to prepare it for execution, so the processreads from the file.When we delete a file from a directory, the directory’s set of files is changed. The
result is that an entire protection state of a mandatory protection system can be represented by a set
of information flow reads and writes.
Thus, any protection state can be represented by an information flow graph.
Definition 5.2. An information flow graph for a protection state is a directed graph G = (V ,E)
where: (1) the set of vertices V consists of the union of the set of subjects and set of objects in the
protection state and (2) the set of directed edges E consists of each read and write information flow
in the protection state.
An information flow graph for a protection state can be constructed as follows. First, we create
a vertex for each subject and object in the protection state. Then, we add the information flow edges.
To do this, we determine whether each operation in the protection state results in a read, write, or
combination information flow. Then, we add an information flow edge from a subject vertex to an
object vertex when the subject has permission to a write information flow operation for the object
in the protection state. Likewise, we add an information flow edge from an object vertex to a subject
vertex when the subject has permission to a read information flow operation in the protection state.
Example 5.3. Consider the access matrix shown in Figure 5.1. It defines the set of operations that
the subjects S1, S2, and S3 can perform on objects O1 and O2.Note that some operations, such as
append, getattr, and ioctl have to be mapped to their resultant information flows, write, read,
and both, respectively. As a result, this access matrix represents the corresponding information flow
graph shown in Figure 5.1.
Information flow is used in secure operating systems as an approximation for secrecy and
integrity. For secrecy, the information flow edges in the graph indicate all the paths by which data
may be leaked.We can use the graph to determine whether a secret object o may be leaked to an

Định nghĩa 5.1. Một dòng chảy thông tin xảy ra giữa một chủ thể s! S và một đối tượng o! O nếu
đối tượng thực hiện một đọc hoặc ghi hoạt động trên các đối tượng. Các luồng thông tin s "o là từ
1Historically, việc bắt buộc mô hình điều khiển truy cập hạn đã được sử dụng để mô tả mô hình điều khiển truy cập cụ thể, chẳng hạn như đa
mô hình bí mật, nhưng chúng tôi sử dụng định nghĩa rộng hơn trong cuốn sách này được dựa trên các chính sách trong các mô hình này được quản lý.
58 CHƯƠNG 5. SECURITYGOALS kiểm chứng
tùy thuộc vào đối tượng khi đối tượng đã viết cho các đối tượng. các luồng thông tin s # o là từ các
đối tượng để đối tượng nếu đối tượng đọc từ các đối tượng.
dòng chảy thông tin đại diện cho dữ liệu như thế nào di chuyển giữa các đối tượng và các đối tượng trong một system.When
một chủ đề (ví dụ, quá trình) đọc từ một đối tượng (ví dụ, một tập tin), các dữ liệu từ các đối tượng chảy vào
bộ nhớ của đối tượng. Nếu có những bí mật trong các đối tượng, sau đó lưu thông tin cho thấy những bí mật
có thể chảy đến chủ đề này khi đối tượng đọc các đối tượng. Tuy nhiên, nếu chủ thể nắm giữ những bí mật,
sau đó luồng thông tin cũng có thể cho thấy rằng chủ thể có rò rỉ các bí mật nếu đối tượng viết cho
các đối tượng.
lưu ý rằng tất cả các hoạt động trên một đối tượng hoặc là một dòng chảy thông tin đọc (nghĩa là, xuất dữ liệu
từ các đối tượng), một ghi dòng thông tin (ví dụ, cập nhật các đối tượng với dữ liệu mới), hoặc một sự kết hợp
của cả hai. Ví dụ, thực hiện đọc dữ liệu từ một tập tin để chuẩn bị cho việc thực hiện, vì vậy quá trình
đọc từ file.When chúng ta xóa một tập tin từ một thư mục, thiết lập của thư mục của tập tin được thay đổi. Các
kết quả là toàn bộ trạng thái bảo vệ của một hệ thống bảo vệ bắt buộc có thể được đại diện bởi một tập hợp
các luồng thông tin đọc và viết.
Vì vậy, bất kỳ nhà nước bảo vệ có thể được đại diện bởi một biểu đồ luồng thông tin.
Định nghĩa 5.2. Một đồ thị luồng thông tin cho một trạng thái bảo vệ là một đạo diễn đồ thị G = (V, E)
trong đó: (1) tập hợp các đỉnh V bao gồm sự kết hợp của các bộ môn và tập hợp các đối tượng trong
trạng thái bảo vệ và (2) tập các cạnh đạo E gồm từng đọc và viết dòng chảy thông tin
trong trạng thái bảo vệ.
một đồ thị luồng thông tin cho một nhà nước bảo vệ có thể được xây dựng như sau. Đầu tiên, chúng ta tạo ra
một đỉnh cho từng đối tượng và đối tượng trong trạng thái bảo vệ. Sau đó, chúng tôi thêm các cạnh luồng thông tin.
Để làm được điều này, chúng tôi xác định xem mỗi hoạt động trong các kết quả trạng thái bảo vệ trong một đọc, viết, hoặc
dòng chảy thông tin kết hợp. Sau đó, chúng tôi thêm một cạnh luồng thông tin từ một đỉnh thuộc vào một
đỉnh đối tượng khi đối tượng có sự cho phép để một hoạt động viết thông tin lưu lượng cho các đối tượng
trong trạng thái bảo vệ. Tương tự như vậy, chúng tôi thêm một cạnh luồng thông tin từ một đỉnh đối tượng đến một chủ đề
đỉnh khi đối tượng có sự cho phép cho một hoạt động lưu chuyển thông tin đọc trong trạng thái bảo vệ.
Ví dụ 5.3. Hãy xem xét các ma trận truy cập hiện trong hình 5.1. Nó định nghĩa các thiết lập của các hoạt động mà
các đối tượng S1, S2, S3 và có thể thực hiện trên các đối tượng O1 và O2.Note rằng một số hoạt động, chẳng hạn như
phụ thêm, getattr, và ioctl đã được ánh xạ tới thông tin tổng hợp của các dòng, viết, đọc,
và cả hai, tương ứng. Kết quả là, ma trận truy cập này đại diện cho dòng chảy thông tin tương ứng
biểu đồ thể hiện trong hình 5.1.
Dòng chảy thông tin được sử dụng trong các hệ thống điều hành an toàn như một xấp xỉ cho bí mật và
toàn vẹn. Để giữ bí mật, các cạnh luồng thông tin trong đồ thị chỉ ra tất cả các đường dẫn mà dữ liệu
có thể được leaked.We có thể sử dụng đồ thị để xác định xem một đối tượng o bí mật chưa được tiết lộ cho một