Định nghĩa 5.1. Một dòng chảy thông tin xảy ra giữa một chủ thể s! S và một đối tượng o! O nếu
đối tượng thực hiện một đọc hoặc ghi hoạt động trên các đối tượng. Các luồng thông tin s "o là từ
1Historically, việc bắt buộc mô hình điều khiển truy cập hạn đã được sử dụng để mô tả mô hình điều khiển truy cập cụ thể, chẳng hạn như đa
mô hình bí mật, nhưng chúng tôi sử dụng định nghĩa rộng hơn trong cuốn sách này được dựa trên các chính sách trong các mô hình này được quản lý.
58 CHƯƠNG 5. SECURITYGOALS kiểm chứng
tùy thuộc vào đối tượng khi đối tượng đã viết cho các đối tượng. các luồng thông tin s # o là từ các
đối tượng để đối tượng nếu đối tượng đọc từ các đối tượng.
dòng chảy thông tin đại diện cho dữ liệu như thế nào di chuyển giữa các đối tượng và các đối tượng trong một system.When
một chủ đề (ví dụ, quá trình) đọc từ một đối tượng (ví dụ, một tập tin), các dữ liệu từ các đối tượng chảy vào
bộ nhớ của đối tượng. Nếu có những bí mật trong các đối tượng, sau đó lưu thông tin cho thấy những bí mật
có thể chảy đến chủ đề này khi đối tượng đọc các đối tượng. Tuy nhiên, nếu chủ thể nắm giữ những bí mật,
sau đó luồng thông tin cũng có thể cho thấy rằng chủ thể có rò rỉ các bí mật nếu đối tượng viết cho
các đối tượng.
lưu ý rằng tất cả các hoạt động trên một đối tượng hoặc là một dòng chảy thông tin đọc (nghĩa là, xuất dữ liệu
từ các đối tượng), một ghi dòng thông tin (ví dụ, cập nhật các đối tượng với dữ liệu mới), hoặc một sự kết hợp
của cả hai. Ví dụ, thực hiện đọc dữ liệu từ một tập tin để chuẩn bị cho việc thực hiện, vì vậy quá trình
đọc từ file.When chúng ta xóa một tập tin từ một thư mục, thiết lập của thư mục của tập tin được thay đổi. Các
kết quả là toàn bộ trạng thái bảo vệ của một hệ thống bảo vệ bắt buộc có thể được đại diện bởi một tập hợp
các luồng thông tin đọc và viết.
Vì vậy, bất kỳ nhà nước bảo vệ có thể được đại diện bởi một biểu đồ luồng thông tin.
Định nghĩa 5.2. Một đồ thị luồng thông tin cho một trạng thái bảo vệ là một đạo diễn đồ thị G = (V, E)
trong đó: (1) tập hợp các đỉnh V bao gồm sự kết hợp của các bộ môn và tập hợp các đối tượng trong
trạng thái bảo vệ và (2) tập các cạnh đạo E gồm từng đọc và viết dòng chảy thông tin
trong trạng thái bảo vệ.
một đồ thị luồng thông tin cho một nhà nước bảo vệ có thể được xây dựng như sau. Đầu tiên, chúng ta tạo ra
một đỉnh cho từng đối tượng và đối tượng trong trạng thái bảo vệ. Sau đó, chúng tôi thêm các cạnh luồng thông tin.
Để làm được điều này, chúng tôi xác định xem mỗi hoạt động trong các kết quả trạng thái bảo vệ trong một đọc, viết, hoặc
dòng chảy thông tin kết hợp. Sau đó, chúng tôi thêm một cạnh luồng thông tin từ một đỉnh thuộc vào một
đỉnh đối tượng khi đối tượng có sự cho phép để một hoạt động viết thông tin lưu lượng cho các đối tượng
trong trạng thái bảo vệ. Tương tự như vậy, chúng tôi thêm một cạnh luồng thông tin từ một đỉnh đối tượng đến một chủ đề
đỉnh khi đối tượng có sự cho phép cho một hoạt động lưu chuyển thông tin đọc trong trạng thái bảo vệ.
Ví dụ 5.3. Hãy xem xét các ma trận truy cập hiện trong hình 5.1. Nó định nghĩa các thiết lập của các hoạt động mà
các đối tượng S1, S2, S3 và có thể thực hiện trên các đối tượng O1 và O2.Note rằng một số hoạt động, chẳng hạn như
phụ thêm, getattr, và ioctl đã được ánh xạ tới thông tin tổng hợp của các dòng, viết, đọc,
và cả hai, tương ứng. Kết quả là, ma trận truy cập này đại diện cho dòng chảy thông tin tương ứng
biểu đồ thể hiện trong hình 5.1.
Dòng chảy thông tin được sử dụng trong các hệ thống điều hành an toàn như một xấp xỉ cho bí mật và
toàn vẹn. Để giữ bí mật, các cạnh luồng thông tin trong đồ thị chỉ ra tất cả các đường dẫn mà dữ liệu
có thể được leaked.We có thể sử dụng đồ thị để xác định xem một đối tượng o bí mật chưa được tiết lộ cho một
đang được dịch, vui lòng đợi..