23、基于对象系统的面向目的访问控制模型

基于对象系统的面向目的访问控制模型

1. 引言

在访问控制模型中，考虑主体通过何种操作访问何种对象是非常重要的。只有当每个对象都按照访问规则进行操作时，系统才是安全的。然而，传统的访问控制模型无法解决信息在主体和对象之间非法流动的限制问题。

为了防止非法信息流动，出现了基于格的模型。在这个模型中，系统中的每个主体和对象都被赋予一个安全类，并且定义了安全类之间的流关系，表示一个类中的信息是否可以流向另一个类。在强制模型中，访问规则的指定要满足主体和对象之间的流关系；在基于角色的模型中，角色代表应用程序中的功能或工作，访问规则将主体与角色绑定。

分布式应用通常采用基于对象的模型，如CORBA。每个对象封装了数据结构和方法。例如，一个人可以从银行账户中取钱用于家庭开支，但不能用于饮酒。因此，在基于对象的系统中，讨论主体操作对象的目的是至关重要的。

面向目的的访问控制模型通过指定访问规则，表明主体为了什么目的通过对象的某个方法操作该对象，以确保信息流动合法。在基于对象的系统中，对象之间的方法调用是嵌套的，即使每对对象之间的面向目的规则满足信息流动关系，也可能会通过嵌套调用导致信息在对象之间非法流动。本文将探讨如何指定面向目的的访问规则，以确保嵌套调用中的信息流动合法。

2. 面向目的的模型

2.1 基于对象的模型

基于格的模型旨在保证信息流动合法。在这个模型中，主体和对象被视为实体，每个实体被赋予一个安全类A(ei)。如果一个安全类s1中的实体信息可以流向另一个安全类s2中的实体，则称s1可以流向s2（s1 → s2）；如果s1 → s2且s2 → s1，则称s1和s2等价（s1 = s2）；对于安全