機能

Share

|

概念的には、機能のように行列の列のアクセス制御します。 件名に関連付けられているが、各一組のペアで、各ペアのセットを含むオブジェクトと権利。 件名にアクセスすることができ、このリストに関連付けられているオブジェクトの名前のいずれかの方法で示された名前の権利をします。 もっと正式に：

oのオブジェクトに設定しましょう、とrの権利の設定、システムです。 能力を一組のペアをリストcはc = （ （おお、 r ） ： 。含まれておお、 r ）研究含まれています。 キャップにしようとする関数に判別し、特定の能力のリストをcに関連付けられた米件名 リストの解釈能力キャップ（秒） = （ （大井、里） ： 1 < =私< ） = nの件名は、 5月のアクセス権を使用して、大井里します。

私たちを短縮"機能リスト"としてc - listにします。

オブジェクトのアイデンティティ機能をカプセル化します。 ときに処理能力を男性に代わって、ユーザーの場合、オペレーティングシステムを判別する能力を調べ、両方のオブジェクトにアクセスすると、タイトルにして、処理がします。 この仕事を反映する方法capabiliiesをメモリ管理;の場所のオブジェクトには、メモリの能力をカプセル化します。 能力なしで、このプロセスのオブジェクトにすることはできません名前を与えることは、希望の方法でアクセスできます。

例： unixファイルを開くには、ファイル名を与えたプロセスをカーネルにします。 カーネルを取得し、ファイルのinode番号を介して、ファイルの名前解決される階層します。 一度のinodeが得られた場合、システムにアクセスするかを決定しなければならない場合はリクエストを使用してアクセス制御の権限を付与します。 アクセスが認められた場合は、オペレーティングシステムと呼ばれる機能は、ファイルディスクリプタを返します。 この機能は、ファイルをきつく縛られオブジェクトので、たとえファイルが削除され、新しいは、同じ名前のファイルが作成されると、そのファイルディスクリプタまだ、前のファイルを指します。

" codewords "アイリフは、似たような機能をします。 "能力"でのアクセスを制御する方法をオブジェクトのメモリまたは二次記憶します。 ファブリー全身このアイデアに基づいたアドレッシング機能を実装します。

この機能は、もっと面白いのアーキテクチャに比べてアクセス制御リストします。 アクセス制御リスト、およびプロセスのアイデンティティは、オペレーティングシステムの管理下に置かれます。 不在の欠陥で、ユーザーのプロセスを変更することができただけで、オペレーティングシステムのサービスを呼び出しています。 しかし、プロセスを識別する必要があり能力を使用するためにすることではないので、いくつかのプロセスを制御する能力が必要があります。 処理能力を築くことができた場合は、その後使用するには、アクセス制御失敗します。

機能の実装

3つのメカニズムを使用して保護する機能：タグで、保護メモリ、および暗号化します。

タグ付きのアーキテクチャを設定するには、ハードウェアの各単語のビットに関連付けられています。 このタグには2つの州：設定していません。 タグが設定した場合は、通常のプロセスを読むことができません。しかし、その言葉を変更します。 タグはunsetしている場合は、普通のプロセスを読むことができたり、修正したり単語です。 さらに、通常のプロセスを変更することはできませんした状態でのタグ;プロセッサの特権モードにしなければならないしています。

例： b5700使用されるタグ付きのアーキテクチャ（とはいえませんでした保護メカニズムとしての機能を使用します） 。 タグのビットとの3つのフィールドの内訳はどのように示されたアーキテクチャを治療するワード（ポインタ、記述、型など）にします。

を使用するには、より多くの共通の保護またはセグメンテーションページングビットに関連付けられています。 すべての機能が保存されたページ（セグメント）してプロセスを変更することができません。しかし、読んでいます。 このハードウェアは必要ありません以外の特別な目的で使用して、メモリ管理スキームで使用されます。 しかし、処理能力を間接参照する必要があり、通常のポインタを通してではなく、直接します。

例：キャップシステムませんでしたプロセスを変更できるようにしたセグメントの手順で横たわった。 また、この機能をセグメント別に保存されます。 分離フェンスを登録する手順と機能します。

3つ目は、別の暗号化機能を使用します。 タグとの目標を防ぐためには、メモリ保護機能が変化します。 これは親類に整合性のチェックをします。 暗号化には別のメカニズムをチェックサムの情報の整合性をチェックしています。 各機能には、暗号化チェックサムに関連付けられている、デジタル化され、チェックサムが暗号化キーを使用する暗号システムのオペレーティングシステムで知られています。

処理能力をプレゼントするときに、オペレーティングシステムは、システムの最初のrecomputesのチェックサムを暗号化する機能に関連付けられています。 その後、どちらかenciphersチェックサムを使用して暗号化キーと比較し、それを1つの能力に保存され、またはdeciphersチェックサムを提供する能力と比較し、それをチェックサムを計算します。 マッチすれば、この機能は不変です。 そうでない場合、この機能が拒否されます。

例：アメーバのシステムは、分散システムの機能を使用してオブジェクトの名前です。 設立され、能力に対応するオブジェクトが返されます。 オブジェクトを使用した場合、プログラムの対応能力をプレゼントします。 能力の名前をエンコードするオブジェクト（ 24ビット）は、サーバーで作成した（ 48ビット） 、および権利（ 8ビット）は、 128ビットの数量です。 最初のうちは、すべての著作権はオンになっています。 最後の48ビットが使用されるフィールドをチェックします。 これは、ランダムな番号を作成時に指定しています。 （能力が与えられているため、オブジェクトの所有者は、所有者の権利を変更することができずに危険性を自由にします。 ）その数は保存され、テーブルに対応したサーバーを指定しオブジェクトを作成したので、いつで、サーバーの能力が提示され、それ乱数が正しいかどうかを検証します。 攻撃者はランダムな番号を知る必要ができるようにするために偽造する機能です。 しかし、タネンバウムの注意事項として、そのシステムは脆弱な場合、能力は明らかにします。

コピーして増幅機能

能力をコピーする能力を与える権利能力を意味します。 フェーシャルトリートメントを防ぐためのプロセスから無差別の権利、フラグが関連付けられている能力をコピーします。 プロセスの能力をコピーすることはできません別のプロセスにコピーしない限り、フラグが設定されます。 処理能力をコピーしている場合は、コピーするかもしれないフラグがオフ（の裁量でのプロセスまたはカーネルのどちらか）します。

例：アメーバ興味深いスキームを使用します。 コピーする権利を制御することはありませんします。 しかし、それらのコピーを使用する権利には、制限することができます。 ユーザーの願いを許可するユーザーと仮定マットホリーを読んで、彼が所有するオブジェクトです。 彼は彼の能力を通過してオブジェクトをリクエストすると、サーバーに制限する機能を備えて読んでいます。 サーバーのオブジェクトを作成するための新しい機能がオンになって右だけで、読んでいます。 今はフィールドの権利を除いて、すべて0のビット読んで、これは1 。 これはxor'edをランダムにチェックすると入力したハッシュ関数は暗号化します。 出力は、この機能のための新しい乱数ます。 能力の制限は、マットに戻る渡され、それをホリーに施しをします。 ホリー能力を使用したときは、サーバーは注意して、少なくとも1つのビットの権利フィールドは0です。 かかる権利の欄に入力し、それを乱数のxorの、元の能力（のテーブルに格納され） 、およびその結果ハッシュします。 結果的にマッチした場合、ハッシュ乱数の能力は、能力が有効;さもなければ、それはありません。

増幅は、増加の権限が必要です。 モジュラープログラミングの考えには、その中でも特に抽象的なデータ型は、必要としたプロセスの権利には、オブジェクトが増幅されます。

理由を理解し、抽象データ型を検討するために、次のカウンタです。

 カウンターモジュール;プロシージャエントリをインクリメント（ varクリック率：整数） ;クリック率を開始： =クリック率+ 1 ;最後に;機能のエントリgetval （クリック率：整数） ;開始getval ： =クリック率;最後に;プロシージャエントリをクリア（ varクリック率：整数） ;開始クリック率： = 0 ;最後に;終了します。 

xは宣言していると仮定するカウンタです。 抽象データ型の規則に反対することを許可されカウンタモジュールのみにアクセスします。 このため、最初の能力はxする権利が含まれカウンタモジュールを呼び出せるようにするだけです。 しかし、オブジェクトが渡されたときにカウンタモジュールは、プロセスをできるようにしなければなりませ読み出しおよび書き込みをしています。 このため、一時的に機能しなければならない増幅モジュールのカウンターの中には、アクティブにします。

例：システムの精ハイドラ使用されたテンプレートを増幅する増幅するプロセスの権利を主張します。 各手順に関連付けられているモジュールは、テンプレートの権利を追加して、必要に応じて機能します。 たとえば、テンプレートを追加してgetval手続きを読む権利をご希望の方は手続きをアクティブにします。 ご希望の手続きを増加させるために、テンプレートの読み取りおよび書き込み権限を追加します。

例：インテルiapx 432系似たようなメカニズムを実装して、ハードウェアのです。 その"デスクリプタへのアクセス"機能に対応しています。 3つのビットは、システムのさまざまな機能を制御する機能です。 これらのビットの1つの増幅権利をコントロールします。 ときに抽象データ型モジュールは、建設、許可ビットのコントロールオブジェクトの種類（データの種類を定義）を設定する権限が必要な手続きをしています。 手続きが呼び出されたときに、システムをチェックし、ビット増幅します。 設定する場合は、権利を所有するオブジェクトの種類を制御するにはor'edの権利は、記述のオブジェクトに渡されます。 この組み合わせを利用できるようにする著作権の手続きを定義しています。

著作権の取り消し

能力は、システムでは、オブジェクトにアクセスできるようにする必要があり取消しのすべての機能にアクセスできるように付与してオブジェクトを取り消されます。 概念的には、各プロセスの可能性があるチェックしており、機能を削除しました。 費用のような操作は受け入れられない、しかし、代替方法が使用されています。

最も単純なメカニズムは間接ます。 グローバルオブジェクトを定義する1つまたは複数の表に示します。 この計画は、各オブジェクトに対応するエントリをテーブルにします。 機能していないオブジェクトの名前を直接;彼らの名前には、表のエントリに対応するオブジェクトです。

このスキームにはいくつかの利点があります。 第一に、機能を取り消すには、テーブルのエントリは、グローバルオブジェクトは無効になります。 その後は、任意の参照を取得するとテーブルのエントリが無効ですが拒否されます。 第二に、いくつかの場合のみに機能が取り消され、オブジェクトには複数のエントリは、それぞれに対応するさまざまな権利を設定するか、別のグループのユーザーにします。

例：アメーバ本質的にこのスキームを使用します。 能力を取り消すには、オブジェクトの所有者の要求を使用して、サーバを変更するとランダムな番号を発行する新しい機能です。 この既存のすべての機能を無効にします。

代替機構失効マネージャー抽象データ型を使用します。 抽象データ型に含まれている各手続きは、失効します。 アクセスが取り消されたときには、愚かなタイプマネージャへのアクセスを禁止される対象者のさらなる権利が取り消されます。 この影響はありません別の方法でアクセスして、オブジェクトの抽象的なデータ型の基礎とします。 たとえば、ファイルにアクセスすることが取り消される場合があり、しかし、この手法はないのアクセスをブロックする代替の種類に基づいてセグメントマネージャです。 この手法のscp3システムに使用されます。

比較してアクセス制御リスト

2つの質問の根底にアクセスコントロールを使用する：

理論的には、アクセス制御リストのいずれかの機能またはこれらの質問に答えることができます。 最初の質問のため、機能は、簡単な;ただリストの要素をc - listの件名に関連します。 2つ目の質問は、 aclのは、単純な;リストの要素だけで、そのオブジェクトのアクセス制御リストします。 がaclベースのシステムでは、最初の質問に答えるのに必要なすべてのオブジェクトをスキャンされます。 aclを抽出し、システムのすべてのエントリに関連付けられた件名に質問します。 能力ベースのシステムでは、 2つ目の質問に答えることを必要とされるすべての科目をスキャンされます。 システムのすべての機能を抽出し、問題のオブジェクトに関連付けられています。

ハーバートカーガーと推測している実用的な違いが2つ目の質問に答える理由は、複数のシステムのアクセス制御リストを使用するよりも機能します。 この質問は、最初に尋ねたよりも頻繁にします。 事件の応答としての焦点をシフトから"誰がアクセスしたオブジェクト"を含む"何でした他の件名にアクセスして、 "能力をより多くの共通のベースのシステムになることができます。