5.2.?标记的概念

5.2.1. 主体标记
5.2.2. 标记比较

强制访问控制的基础是敏感度标记。敏感度标记包含两个基本要素:等级和范围。

等级是一线性有序的名称序列,序列中存在着一定的级别关系。比如,绝密、秘密、机密、普通之间满足大小关系:绝密>秘密>机密>普通。而范围是一个集合,由一个或者多个名称组成,各个名称之间彼此独立无序。采用形式化描述如下:

用L=(l1,l2,...,lp)来表示等级,其中li(1≤i≤p)表示第i个等级,澳门游戏平台注册网站称其为第i个等级元素;用集合C={c1,c2,...,cm}及其子集来表示范围,其中每一个元素都是一个名称。标记S={S1,S2,...,Sn}是由Si(1≤i≤n)组成的集合。Si是等级元素与范围组成的二元组Si=(li,Ci),li∈L,Ci∈C。

标记之间的偏序关系定义为:对S中的劝拿庞蜗菲教ㄗ⒉嵬锯两个元素Si=(li,Ci)和Sj=(lj,Cj),当且仅当li≤lj且Ci是Ci的子集时,有Si≤Sj

注意

等级是必须的,且一个标记中只能有一个等级。

注意

范围是可选部分,可以指定0个或者多个范围。因此,一个标记中可指定的范围个数最当没有指定任何范围时,系统认为包含策略中的所有范围。当明确指定多个范围时,不同范围间用英文逗号分隔。注意,UXDB在同一个策略中最多支持32个范围,多只能有32个。

注意

等级和范围1,…N来自同一个已存在的策略。因此,应当在使用标记之前创建策略,确定所有合法的等级和范围。UXDB对等级和范围的名字长度也作出规定,不能超过NAMEDATALEN(该值是64)。

5.2.1.?主体标记

数据库中的主体有五个标记:最大读标记,最大写标记,最小写标记,默认会话标记和默认写标记。安全员为用户设置标记时,一次性指定这五个标记的内容。

表?5.1.?标记类型

标记类型含义
最大读标记用户在进行读写操作时,所能达到的最高安全级别。
最大写标记用户在进行写操作时,所能达到的最高安全级别。
最小写标记用户在进行写操作时,所能达到的最低安全级别。用户的最小写标记最大写标记。
默认会话标记保留。默认会话标记最大读标记。
默认写标记用户插入元组时,元组的默认标记。最小写标记默认写标记,默认写标记最大写标记支配。

5.2.2.?标记比较

标记比较关系运算定义:如果(policyid1,level1,scope1)>=(policyid2,level2,scope2)成立,那么policyid1必须与policyid2相等(没有标记时,policyid为0),level1数值大于等于level2(没有标记是,level数值为0),scope1包含scope2(没有标记时scope为空)。Scope采用位编码,类型是OID(unsigned int)方便集合运算。

  • 行级保护比较:

    select: max_read >= row_label
    insert: 直接插入,标记为default_write
    update: max_write >= row_label >= min_write
    delete: max_write >= row_label
  • 列级保护比较:

    select: max_read >= column_label
    insert: max_write >= column_label >= min_write
    update: max_write >= column_label >= min_write
    delete: max_write >= column_label
XML 地图 | Sitemap 地图