Lecture_06_Access_Control_part1-ar.pdf
Uploaded by
CooperativeAlpenhorn1988
Taibah University
Transcript
Computer Security CS433 Chapter 4 Access Control (Part 1) Lecture 06 College of Computer Science and Engineering Course Coordinator: Prof. Fatemah Alharbi Instructor: Prof. Fatemah Alharbi Computer Security CS433 Chapter 4 Access Control (Part 1) Lecture 06...
Computer Security CS433 Chapter 4 Access Control (Part 1) Lecture 06 College of Computer Science and Engineering Course Coordinator: Prof. Fatemah Alharbi Instructor: Prof. Fatemah Alharbi Computer Security CS433 Chapter 4 Access Control (Part 1) Lecture 06 06 الفصل الرابع التحكم في الوصول (الجزء األول) المحاضرةCS433 أمن الكمبيوتر College of Computer Science and Engineering Course Coordinator: Prof. Fatemah Alharbi Instructor: Prof. Fatemah Alharbi فاطمة الحربي.د. أ: فاطمة الحربي المدرب.د. أ:كلية علوم وهندسة الحاسوب منسق المقرر @xFxBot ) | ُترجمت بواسطة1( صفحة Objectives Explain how access control fits into the broader context that includes authentication, authorization, and audit. Define the four major categories of access control policies. Distinguish among subjects, objects, and access rights. 2/17 Computer Security 433 – Lecture_06 Objectives أهداف Explain how access control fits into the broader context that includes authentication, authorization, and audit.. اشرح كيف يتناسب التحكم في الوصول مع السياق األوسع الذي يتضمن المصادقة والترخيص والتدقيق Define the four major categories of access control policies.. تحديد الفئات األربع الرئيسية لسياسات التحكم في الوصول Distinguish among subjects, objects, and access rights.. التمييز بين المواضيع واألشياء وحقوق الوصول Computer Security 433 – Lecture_06 Lecture_06 – 433 أمن الحاسوب @xFxBot ) | ُترجمت بواسطة2( صفحة Access Control ITU-T Recommendation X.800 definition: “The prevention of unauthorized use of a resource, including the prevention of use of a resource in an unauthorized manner.” RFC 2828 defines computer security as: “Measures that implement and assure security services in a computer system, particularly those that assure access control service”. 3/17 Computer Security 433 – Lecture_06 Access Control التحكم في الوصول ITU-T Recommendation X.800 definition: :ITU-T X.800 تعريف التوصية “The prevention of unauthorized use of a resource, including the prevention of use of a resource in an unauthorized manner.” ". بما في ذلك منع استخدام المورد بطريقة غير مصرح بها، "منع االستخدام غير المصرح به للمورد RFC 2828 defines computer security as: : أمان الكمبيوتر على النحو التاليRFC 2828 يحدد “Measures that implement and assure security services in a computer system, particularly those that assure access control service”.." وخاصة تلك التي تضمن خدمة التحكم في الوصول، "اإلجراءات التي تنفذ وتؤكد الخدمات األمنية في نظام الكمبيوتر @xFxBot ) | ُترجمت بواسطة3( صفحة Computer Security 433 – Lecture_06 Lecture_06 – 433 أمن الحاسوب @xFxBot ) | ُترجمت بواسطة3( صفحة Granting of a right or Access Control permission to an entity to access a Principles system resource. Authentication Authorization Audit Verification that the credentials of a user or an entity are valid. An independent review and examination of system records and activities 4/17 Computer Security 433 – Lecture_06 Access Control Principles مبادئ التحكم في الوصول Granting of a right or منح الحق أو permission to an إذن ل entity to access a كيان للوصول إلى system resource..مورد النظام Authentication المصادقة @xFxBot ) | ُترجمت بواسطة4( صفحة Authorization الترخيص Audit مراجعة Verification that the التحقق من أن credentials of a user or بيانات اعتماد المستخدم أو an entity are valid..كيان صالح An independent review مراجعة مستقلة @xFxBot ) | ُترجمت بواسطة4( صفحة and examination of وفحص system records and سجالت النظام و Computer Security 433 – Lecture_06 Lecture_06 – 433 أمن الحاسوب activities أنشطة @xFxBot ) | ُترجمت بواسطة4( صفحة Access Control Policies (1/2) Dictates: What types of access are permitted? under what circumstances? by whom? 5/17 Computer Security 433 – Lecture_06 Access Control Policies (1/2) )1/2( سياسات التحكم في الوصول Dictates: : يملي What types of access are permitted? ما هي أنواع الوصول المسموح بها؟ under what circumstances? تحت أي ظروف؟ by whom? من؟ Computer Security 433 – Lecture_06 Lecture_06 – 433 أمن الحاسوب @xFxBot ) | ُترجمت بواسطة5( صفحة Access Control Policies (2/2) Access control policies are generally grouped into the following categories: Discretionary access control (DAC): Controls access based on the identity of the requestor and on access rules (authorizations) stating what requestors are (or are not) allowed to do. This policy is termed discretionary because an entity might have access rights that permit the entity, by its own volition, to enable another entity to access some resource. Mandatory access control (MAC): Controls access based on comparing security labels (which indicate how sensitive or critical system resources are) with security clearances (which indicate system entities are eligible to access certain resources). This policy is termed mandatory because an entity that has clearance to access a resource may not, just by its own volition, enable another entity to access that resource. Role-based access control (RBAC): Controls access based on the roles that users have within the system and on rules stating what accesses are allowed to users in given roles. Attribute-based access control (ABAC): Controls access based on attributes of the user, the resource to be accessed, and current environmental conditions. 6/17 Computer Security 433 – Lecture_06 Access Control Policies (2/2) )2/2( سياسات التحكم في الوصول Access control policies are generally grouped into the following categories: : يتم تجميع سياسات التحكم في الوصول عموًم ا في الفئات التالية Discretionary access control (DAC): Controls access based on the identity of the requestor and on access rules (authorizations) stating what requestors are (or are not) allowed to do. يتحكم في الوصول استناًد ا إلى هوية الطالب وقواعد الوصول (التفويضات) التي:)DAC( التحكم في الوصول التقديري.توضح ما ُيسمح (أو ال ُيسمح) لمقدمي الطلبات بالقيام به This policy is termed discretionary because an entity might have access rights that permit the entity, by its own volition, to enable another entity to access some resource. ، بمحض إرادته، ُيطلق على هذه السياسة اسم السلطة التقديرية ألن الكيان قد يتمتع بحقوق الوصول التي تسمح للكيان.بتمكين كيان آخر من الوصول إلى بعض الموارد @xFxBot ) | ُترجمت بواسطة6( صفحة Mandatory access control (MAC): Controls access based on comparing security labels (which indicate how sensitive or critical system resources are) with security clearances (which indicate system entities are eligible to access certain resources). يتحكم في الوصول بناًء على مقارنة ملصقات األمان (التي تشير إلى مدى:)MAC( التحكم اإللزامي في الوصول.)حساسية أو أهمية موارد النظام) مع التصاريح األمنية (التي تشير إلى أن كيانات النظام مؤهلة للوصول إلى موارد معينة This policy is termed mandatory because an entity that has clearance to access a resource may not, just by its own volition, enable another entity to access that resource. تمكين، بمحض إرادته، ُتسمى هذه السياسة إلزامية ألن الكيان الذي لديه تصريح للوصول إلى أحد الموارد ال يجوز له.كيان آخر من الوصول إلى ذلك المورد Role-based access control (RBAC): Controls access based on the roles that users have within the system and on rules stating what accesses are allowed to users in given roles. يتحكم في الوصول بناًء على األدوار التي يمتلكها المستخدمون داخل:)RBAC( التحكم في الوصول المستند إلى الدور.النظام وعلى القواعد التي توضح أنواع الوصول المسموح بها للمستخدمين في أدوار معينة @xFxBot ) | ُترجمت بواسطة6( صفحة Attribute-based access control (ABAC): Controls access based on attributes of the user, the resource to be accessed, and current environmental conditions. يتحكم في الوصول استناًد ا إلى سمات المستخدم والمورد الذي سيتم:)ABAC( التحكم في الوصول المستند إلى السمات.الوصول إليه والظروف البيئية الحالية Computer Security 433 – Lecture_06 Lecture_06 – 433 أمن الحاسوب @xFxBot ) | ُترجمت بواسطة6( صفحة Access Control Requirements The following are concepts and features that should be supported by an access control system: 1. Reliable input: The old maxim garbage-in-garbage-out applies with special force to access control. An access control system assumes that a user is authentic; thus, an authentication mechanism is needed as a front end to an access control system. Other inputs to the access control system must also be reliable. 2. Support for fine and coarse specifications: The access control system should support fine-grained specifications, allowing access to be regulated at the level of individual records in files, and individual fields within records. The system should also support fine- grained specification in the sense of controlling each individual access by a user rather than a sequence of access requests. 3. Least privilege: This is the principle that access control should be implemented so that each system entity is granted the minimum system resources and authorizations that the entity needs to do its work. 4. Separation of duty: This is the practice of dividing the steps in a system function among different individuals, so as to keep a single individual from subverting the process. 5. Open and closed policies: The most useful, and most typical, class of access control policies are closed policies. In a closed policy, only accesses that are specifically authorized are allowed. In some applications, it may also be desirable to allow an open policy for some classes of resources. In an open policy, authorizations specify which accesses are prohibited; all other accesses are allowed. 6. Policy combinations and conflict resolution: An access control mechanism may apply multiple policies to a given class of resources. In this case, care must be taken that there are no conflicts such that one policy enables a particular access while another policy denies it. Or, if such a conflict exists, a procedure must be defined for conflict resolution. 7. Administrative policies: As was mentioned, there is a security administration function for specifying the authorization database that acts as an input to the access control function. Administrative policies are needed to specify who can add, delete, or modify authorization rules. In turn, access control and other control mechanisms are needed to enforce the administrative policies. 8. Dual control: When a task requires two or more individuals working in tandem. 7/17 Computer Security 433 – Lecture_06 Access Control Requirements متطلبات التحكم في الوصول The following are concepts and features that should be supported by an access control system: : فيما يلي المفاهيم والميزات التي يجب أن يدعمها نظام التحكم في الوصول Reliable input: The old maxim garbage-in-garbage-out applies with special force to access control.. يتم تطبيق المبدأ القديم المتمثل في "إخراج القمامة إلى داخل القمامة" بقوة خاصة للتحكم في الوصول:مدخالت موثوقة An access control system assumes that a user is authentic; thus, an authentication mechanism is needed as a front end to an access control system. هناك حاجة إلى آلية المصادقة كواجهة أمامية لنظام التحكم،يفترض نظام التحكم في الوصول أن المستخدم أصلي؛ وبالتالي.في الوصول Other inputs to the access control system must also be reliable..ويجب أيًض ا أن تكون المدخالت األخرى لنظام التحكم في الوصول موثوقة @xFxBot ) | ُترجمت بواسطة7( صفحة Support for fine and coarse specifications: The access control system should support fine- grained specifications, allowing access to be regulated at the level of individual records in files, and individual fields within records. مما يسمح بتنظيم الوصول، يجب أن يدعم نظام التحكم في الوصول المواصفات الدقيقة:دعم المواصفات الدقيقة والخشنة. والحقول الفردية داخل السجالت،على مستوى السجالت الفردية في الملفات The system should also support fine- grained specification in the sense of controlling each individual access by a user rather than a sequence of access requests. يجب أن يدعم النظام أيًض ا المواصفات الدقيقة بمعنى التحكم في كل وصول فردي بواسطة المستخدم بدًال من تسلسل طلبات.الوصول Least privilege: This is the principle that access control should be implemented so that each system entity is granted the minimum system resources and authorizations that the entity needs to do its work. هذا هو المبدأ الذي يقضي بضرورة تنفيذ التحكم في الوصول بحيث يتم منح كل كيان نظام الحد األدنى من:االمتياز األقل.موارد النظام والتفويضات التي يحتاجها الكيان للقيام بعمله @xFxBot ) | ُترجمت بواسطة7( صفحة Separation of duty: This is the practice of dividing the steps in a system function among different individuals, so as to keep a single individual from subverting the process.. وذلك لمنع فرد واحد من تخريب العملية، هو ممارسة تقسيم الخطوات في وظيفة النظام بين أفراد مختلفين:فصل الواجبات Open and closed policies: The most useful, and most typical, class of access control policies are closed policies.. إن فئة سياسات التحكم في الوصول األكثر فائدة واألكثر نموذجية هي السياسات المغلقة:السياسات المفتوحة والمغلقة In a closed policy, only accesses that are specifically authorized are allowed.. ُيسمح فقط بالوصول المصرح به بشكل خاص،في السياسة المغلقة In some applications, it may also be desirable to allow an open policy for some classes of resources.. قد يكون من المرغوب أيًض ا السماح بسياسة مفتوحة لبعض فئات الموارد،في بعض التطبيقات In an open policy, authorizations specify which accesses are prohibited; all other accesses are allowed.. تحدد التفويضات عمليات الوصول المحظورة؛ ُيسمح بجميع عمليات الوصول األخرى،في السياسة المفتوحة @xFxBot ) | ُترجمت بواسطة7( صفحة Policy combinations and conflict resolution: An access control mechanism may apply multiple policies to a given class of resources.. قد تطبق آلية التحكم في الوصول سياسات متعددة على فئة معينة من الموارد:مجموعات السياسات وحل النزاعات In this case, care must be taken that there are no conflicts such that one policy enables a particular access while another policy denies it. يجب الحرص على عدم وجود تعارضات بحيث تتيح إحدى السياسات وصوًال معيًنا بينما ترفضه سياسة،في هذه الحالة.أخرى Or, if such a conflict exists, a procedure must be defined for conflict resolution.. يجب تحديد إجراء لحل التعارض، في حالة وجود مثل هذا التعارض،أو Administrative policies: As was mentioned, there is a security administration function for specifying the authorization database that acts as an input to the access control function. هناك وظيفة إدارة أمنية لتحديد قاعدة بيانات الترخيص التي تعمل كمدخل لوظيفة التحكم في، كما ذكرنا:السياسات اإلدارية.الوصول @xFxBot ) | ُترجمت بواسطة7( صفحة Administrative policies are needed to specify who can add, delete, or modify authorization rules..هناك حاجة إلى سياسات إدارية لتحديد من يمكنه إضافة قواعد التفويض أو حذفها أو تعديلها In turn, access control and other control mechanisms are needed to enforce the administrative policies.. هناك حاجة إلى التحكم في الوصول وآليات التحكم األخرى إلنفاذ السياسات اإلدارية،وفي المقابل Dual control: When a task requires two or more individuals working in tandem.. عندما تتطلب المهمة شخصين أو أكثر يعملون جنًبا إلى جنب:التحكم المزدوج Computer Security 433 – Lecture_06 Lecture_06 – 433 أمن الحاسوب @xFxBot ) | ُترجمت بواسطة7( صفحة Access Control Basic Elements subject entity concept equates with that of process capable of typically held accountable for the actions accessing they initiate objects often have three classes: owner, group, world object entity used to contain and/or receive resource to information which access is protection depends on the environment controlled in which access control operates access right: the way in e.g., read, write, execute, which a subject delete, create, search may access an object 8/17 Computer Security 433 – Lecture_06 Access Control Basic Elements العناصر األساسية للتحكم في الوصول subject entity capable of accessing objects كيان خاضع قادر على الوصول إلى األشياء object هدف concept equates with that of process المفهوم يساوي تلك العملية typically held accountable for the actions they initiate عادًة ما يكون مسؤوًال عن اإلجراءات التي يبادرون بها often have three classes: owner, group, world العالم، المجموعة، المالك: غالبًا ما يكون هناك ثالث فئات @xFxBot ) | ُترجمت بواسطة8( صفحة entity used to contain and/or receive أو االستقبال/ الكيان المستخدم الحتواء و resource to which access is controlled الموارد التي يتم التحكم في الوصول إليها information معلومة protection depends on the environment in which access control operates access right: the way in which a subject may access an الطريقة التي يمكن للموضوع من خاللها: تعتمد الحماية على البيئة التي يعمل فيها التحكم في الوصول وحق الوصول الوصول إلى e.g., read, write, execute, delete, create, search بحث، إنشاء، حذف، تنفيذ، كتابة، قراءة، على سبيل المثال @xFxBot ) | ُترجمت بواسطة8( صفحة Computer Security 433 – Lecture_06 Lecture_06 – 433 أمن الحاسوب @xFxBot ) | ُترجمت بواسطة8( صفحة Discretionary Access Control (DAC) A scheme in which an entity may enable another entity to access some resource Often provided using an access matrix: One dimension consists of identified subjects that may attempt data access to the resources The other dimension lists the objects that may be accessed Each entry in the matrix indicates the access rights of a particular subject for a particular object 9/17 Computer Security 433 – Lecture_06 Discretionary Access Control (DAC) )DAC( التحكم في الوصول التقديري A scheme in which an entity may enable another entity to access some resource مخطط يمكن من خالله لكيان تمكين كيان آخر من الوصول إلى بعض الموارد Often provided using an access matrix: : يتم توفيره غالًبا باستخدام مصفوفة الوصول One dimension consists of identified subjects that may attempt data access to the resources يتكون أحد األبعاد من موضوعات محددة قد تحاول الوصول إلى البيانات إلى الموارد The other dimension lists the objects that may be accessed البعد اآلخر يسرد الكائنات التي يمكن الوصول إليها Each entry in the matrix indicates the access rights of a particular subject for a particular object يشير كل إدخال في المصفوفة إلى حقوق الوصول لموضوع معين لكائن معين @xFxBot ) | ُترجمت بواسطة9( صفحة Computer Security 433 – Lecture_06 Lecture_06 – 433 أمن الحاسوب @xFxBot ) | ُترجمت بواسطة9( صفحة Access Matrix – Example 1 10/17 Computer Security 433 – Lecture_06 Access Matrix – Example 1 1 مصفوفة الوصول – مثال Computer Security 433 – Lecture_06 Lecture_06 – 433 أمن الحاسوب @xFxBot ) | ُترجمت بواسطة10( صفحة Access Control Structures – Example 1 An access matrix is usually sparse and is implemented by decomposition in one of two ways: 1. Access Control Lists (ACLs) where matrix is decomposed by columns 2. Capability Tickets where matrix is decomposed by raws 11/17 Computer Security 433 – Lecture_06 Access Control Structures – Example 1 1 هياكل التحكم في الوصول – مثال An access matrix is usually sparse and is implemented by decomposition in one of two ways: : عادة ما تكون مصفوفة الوصول متفرقة ويتم تنفيذها عن طريق التحلل بإحدى طريقتين Access Control Lists (ACLs) where matrix is decomposed by columns ) حيث يتم تقسيم المصفوفة حسب األعمدةACLs( قوائم التحكم في الوصول Capability Tickets where matrix is decomposed by raws تذاكر القدرة حيث تتحلل المصفوفة بواسطة المواد الخام Computer Security 433 – Lecture_06 Lecture_06 – 433 أمن الحاسوب @xFxBot ) | ُترجمت بواسطة11( صفحة Authorization Table for Files in Example 1 12/17 Computer Security 433 – Lecture_06 Authorization Table for Files in Example 1 1 جدول التفويض للملفات في المثال Computer Security 433 – Lecture_06 Lecture_06 – 433 أمن الحاسوب @xFxBot ) | ُترجمت بواسطة12( صفحة An Access Control Model The model assumes a set of subjects, a set of objects, and a set of rules that govern the access of subjects to objects It define the protection state of a system to be the set of information, at a given point in time, that specifies the access rights for each subject with respect to each object. To represent the protection state, we extend the universe of objects in the access control matrix to include the following: Processes: Access rights include the ability to delete a process, stop (block), and wake up a process. Devices: Access rights include the ability to read/write the device, to control its operation (e.g., a disk seek), and to block/unblock the device for use. Memory locations or regions: Access rights include the ability to read/write certain regions of memory that are protected such that the default is to disallow access. Subjects: Access rights with respect to a subject have to do with the ability to grant or delete access rights of that subject to other objects, as explained subsequently. 13/17 Computer Security 433 – Lecture_06 An Access Control Model نموذج التحكم في الوصول The model assumes a set of subjects, a set of objects, and a set of rules that govern the access of subjects to objects ومجموعة من القواعد التي تحكم وصول، ومجموعة من الكائنات، يفترض النموذج مجموعة من الموضوعات الموضوعات إلى الكائنات It define the protection state of a system to be the set of information, at a given point in time, that specifies the access rights for each subject with respect to each object. والتي تحدد حقوق الوصول لكل موضوع فيما يتعلق، في وقت معين، تحدد حالة الحماية للنظام بأنها مجموعة المعلومات.بكل كائن To represent the protection state, we extend the universe of objects in the access control matrix to include the following: : قمنا بتوسيع عالم الكائنات في مصفوفة التحكم في الوصول لتشمل ما يلي، لتمثيل حالة الحماية @xFxBot ) | ُترجمت بواسطة13( صفحة Processes: Access rights include the ability to delete a process, stop (block), and wake up a process.. تتضمن حقوق الوصول القدرة على حذف العملية وإيقافها (حظرها) وتنشيطها: العمليات Devices: Access rights include the ability to read/write the device, to control its operation (e.g., a disk seek), and to block/unblock the device for use. البحث عن، والتحكم في تشغيله (على سبيل المثال،كتابة الجهاز/ تتضمن حقوق الوصول القدرة على قراءة: األجهزة.إلغاء حظر الجهاز لالستخدام/ وحظر،)قرص Memory locations or regions: Access rights include the ability to read/write certain regions of memory that are protected such that the default is to disallow access. كتابة مناطق معينة من الذاكرة محمية بحيث يكون/ تتضمن حقوق الوصول القدرة على قراءة: مواقع أو مناطق الذاكرة.الوضع االفتراضي هو عدم السماح بالوصول Subjects: Access rights with respect to a subject have to do with the ability to grant or delete access rights of that subject to other objects, as explained subsequently. تتعلق حقوق الوصول المتعلقة بموضوع ما بالقدرة على منح أو حذف حقوق الوصول الخاصة بهذا: الموضوعات. كما هو موضح الحًقا،الموضوع إلى كائنات أخرى @xFxBot ) | ُترجمت بواسطة13( صفحة Computer Security 433 – Lecture_06 Lecture_06 – 433 أمن الحاسوب @xFxBot ) | ُترجمت بواسطة13( صفحة Extended Access Control Matrix 14/17 Computer Security 433 – Lecture_06 Extended Access Control Matrix مصفوفة التحكم في الوصول الموسعة Computer Security 433 – Lecture_06 Lecture_06 – 433 أمن الحاسوب @xFxBot ) | ُترجمت بواسطة14( صفحة Access Control Function It suggests that every access by a subject to an object is mediated by the controller for that object, and that the controller’s decision is based on the current contents of the matrix. In addition, certain subjects have the authority to make specific changes to the access matrix. A request to modify the access matrix is treated as an access to the matrix, with the individual entries in the matrix treated as objects. Such accesses are mediated by an access matrix controller, which controls updates to the matrix. 15/17 Computer Security 433 – Lecture_06 authority to make specific changes to the access matrix..سلطة إجراء تغييرات محددة على مصفوفة الوصول A request to modify the access matrix is treated as an access to the matrix, with the individual entries in the matrix treated as objects. حيث يتم التعامل مع اإلدخاالت الفردية في،يتم التعامل مع طلب تعديل مصفوفة الوصول على أنه وصول إلى المصفوفة.المصفوفة ككائنات Such accesses are mediated by an access matrix controller, which controls updates to the matrix.. التي تتحكم في تحديثات المصفوفة،يتم التوسط في عمليات الوصول هذه بواسطة وحدة تحكم مصفوفة الوصول Access Control Function وظيفة التحكم في الوصول @xFxBot ) | ُترجمت بواسطة15( صفحة It suggests that every access by a subject to an object is mediated by the controller for that object, and that the controller’s decision is based on the current contents of the matrix. وأن قرار وحدة التحكم يعتمد على، يقترح أن كل وصول من قبل موضوع إلى كائن يتم بوساطة وحدة التحكم لهذا الكائن.المحتويات الحالية للمصفوفة In addition, certain subjects have the 15/17 Computer Security 433 – Lecture_06 Lecture_06 – 433 أمن الكمبيوتر15/17 بعض المواضيع لديها، باإلضافة إلى ذلك @xFxBot ) | ُترجمت بواسطة15( صفحة Protection Domains (1/2) A set of objects together with access rights to those objects More flexibility when associating capabilities with protection domains In terms of the access matrix, a row defines a protection domain User can spawn processes with a subset of the access rights of the user 16/17 Computer Security 433 – Lecture_06 Protection Domains (1/2) )1/2( مجاالت الحماية A set of objects together with access rights to those objects مجموعة من الكائنات مع حقوق الوصول إلى تلك الكائنات More flexibility when associating capabilities with protection domains المزيد من المرونة عند ربط اإلمكانيات بمجاالت الحماية In terms of the access matrix, a row defines a protection domain يحدد الصف مجال الحماية، فيما يتعلق بمصفوفة الوصول User can spawn processes with a subset of the access rights of the user يمكن للمستخدم إنتاج العمليات بمجموعة فرعية من حقوق الوصول الخاصة بالمستخدم Computer Security 433 – Lecture_06 Lecture_06 – 433 أمن الحاسوب @xFxBot ) | ُترجمت بواسطة16( صفحة Protection Domains (2/2) Association between a process and a domain can be static or dynamic Example: One form of protection domain has to do with the distinction made in many operating systems, such as UNIX, between user and kernel mode. In user mode, certain areas of memory are protected from use and certain instructions may not be executed In kernel mode, privileged instructions may be executed and protected areas of memory may be accessed Read section 4.4 in textbook (page 124) to see an example for UNIX file access control 17/17 Computer Security 433 – Lecture_06 Protection Domains (2/2) )2/2( مجاالت الحماية Association between a process and a domain can be static or dynamic يمكن أن يكون االرتباط بين العملية والمجال ثابًتا أو ديناميكًيا Example: : مثال One form of protection domain has to do with the distinction made in many operating systems, such as UNIX, between user and kernel mode. بين وضع المستخدم ووضع،UNIX مثل، أحد أشكال مجال الحماية يتعلق بالتمييز الذي يتم في العديد من أنظمة التشغيل.kernel In user mode, certain areas of memory are protected from use and certain instructions may not be executed تتم حماية مناطق معينة من الذاكرة من االستخدام وقد ال يتم تنفيذ تعليمات معينة، في وضع المستخدم @xFxBot ) | ُترجمت بواسطة17( صفحة In kernel mode, privileged instructions may be executed and protected areas of memory may be accessed قد يتم تنفيذ التعليمات المميزة ويمكن الوصول إلى المناطق المحمية من الذاكرة،kernel في وضع Read section 4.4 in textbook (page 124) to see an example for UNIX file access control UNIX ) لالطالع على مثال للتحكم في الوصول إلى ملف124 في الكتاب المدرسي (صفحة4.4 اقرأ القسم Computer Security 433 – Lecture_06 Lecture_06 – 433 أمن الحاسوب @xFxBot ) | ُترجمت بواسطة17( صفحة
