[理学]浅谈强制访问控制MAC.doc

浅谈强制访问控制（MAC）【摘要】访问控制：安全保障机制的核心内容，是实现数据保密性和完整性的主要手段。访问控制是为了限制访问主体（或成为发起者，是一个主动的实体：如用户、进程、服务等），对访问客体（需要保护的资源的）访问权限。从而使计算机系统在合法范围内合用 访问控制机制决定用户及代表一定用户利益的程序能干什么、及做到什么程度。访问控制分类：1）传统访问控制：自主访问控制DAC，强制访问控制MAC；2）新型访问控制：基于角色的访问控制RBAC，基于任务的访问控制TBAC。本文主要谈论传统访问控制中的强制访问控制MAC。【关键词】访问控制、强制访问控制、Bell-Lapadula安全模型引言随着我国经济的持续发展和国际地位的不断提高，我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重，计算机病毒传播和网络非法入侵十分猖獗，网络违法犯罪持续大幅上升，给用户造成严重损失。访问控制是信息安全保障机制的核心内容，它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体（或称为发起者，是一个主动的实体；如用户、进程、服务等），对访问客体（需要保护的资源）的访问权限，从而使计算机系统在合法范围内使用；访问控制机制决定用户及代表一定用户利益的程序能做什么，及做到什么程度。访问控制，作为提供信息安全保障的主要手段，及最为突出的安全机制, 被广泛地应用于防火墙、文件访问、VPN及物理安全等多个方面。其中，强制访问控制就在次方面有很重要的作用。访问控制从实现的基本理念来分有以下两种：1)强制访问控制（Mandatory access control）2)自主访问控制（Discretionary access control）本文主要谈论强制访问控制控制，包括其定义、原理及其分类。一、强制访问控制MAC ( Mandatory Access Control ) 源于对信息机密性的要求以及防止特洛伊木马之类的攻击。MAC通过无法回避的存取限制来阻止直接或间接的非法入侵。系统中的主/客体都被分配一个固定的安全属性, 利用安全属性决定一个主体是否可以访问某个客体。安全属性是强制性的, 由安全管理员 ( Security Officer ) 分配, 用户或用户进程不能改变自身或其它主 /客体的安全属性。MAC的本质是基于格的非循环单向信息流政策。系统中每个主体都被授予一个安全证书, 而每个客体被指定为一定的敏感级别。访问控制的两个关键规则是: 不向上读和不向下写, 即信息流只能从低安全级向高安全级流动。任何违反非循环信息流的行为都是被禁止的。MAC起初主要用于军方的应用中, 并且常与DAC结合使用, 主体只有通过了 DAC与 MAC的检查后, 才能访问某个客体。由于 MAC对客体施加了更严格的访问控制, 因而可以防止特洛伊木马之类的程序偷窃, 同时 MAC 对用户意外泄漏机密信息也有预防能力。但如果用户恶意泄漏信息, 则可能无能为力。由于 MAC增加了不能回避的访问限制, 因而影响了系统的灵活性; 另一方面, 虽然MAC增强了信息的机密性, 但不能实施完整性控制; 再者网上信息更需要完整性, 否则会影响 MAC的网上应用。在 MAC系统实现单向信息流的前提是系统中不存在逆向潜信道。逆向潜信道的存在会导致信息违反规则的流动。但现代计算机系统中这种潜信道是难以去除的, 如大量的共享存储器以及为提升硬件性能而采用的各种 Cache 等, 这给系统增加了安全隐患。二、强制访问控制的原理在强制访问控制下，用户（或其他主体）与文件（或其他客体）都被标记了固定的安全属性（如安全级、访问权限等），在每次访问发生时，系统检测安全属性以便确定一个用户是否有权访问该文件。强制访问控制是“强加”给访问主体的，即系统强制主体服从访问控制政策。强制访问控制（MAC）的主要特征是对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能改变他自己及任何其它客体的敏感标记，从而系统可以防止特洛伊木马的攻击。强制访问控制一般与自主访问控制结合使用，并且实施一些附加的、更强的访问限制。一个主体只有通过了自主与强制性访问限制检查后，才能访问某个客体。用户可以利用自主访问控制来防范其它用户对自己客体的攻击，由于用户不能直接改变强制访问控制属性，所以强制访问控制提供了一个不可逾越的、更强的安全保护层以防止其它用户偶然或故意地滥用自主访问控制。控制思想：每个客体都有既定的安全属性，每个客体也都有既定的安全属性，主体对客体是否执行特定的操作取决于两者安全属性之间的关系。实现方式：所在主体（用户、进程）和客体（文件、数据）都被分配了安全标签，安全标签标识一个安全等级。主体被分配一个安全等级；客体也被分配一个安全等级访问控制执行时对主体和客体的安全级别进行划分适用范围：MAC进行了很强的等级划分，通常用于多级安全军事系统。强制访问策略将每个用户及文件赋于一个访问级别，如，最高秘密级（Top Secret），秘密级（Secret），机密级（Confidential）及无级别级（Unclassified）。其级别为TSCU，系统根据主体和客体的敏感标记来决定访问模式。访问模式包括：下读（read down）：用户级别大于文件级别的读操作；上写（Write up）：用户级别小于文件级别的写操作；下写（Write down）：用户级别等于文件级别的写操作；上读（read up）：用户级别小于文件级别的读操作；图1 Bell-Lapadula安全模型依据Bell-Lapadula安全模型所制定的原则是利用不上读/不下写来保证数据的保密性（见图1）。即不允许低信任级别的用户读高敏感度的信息，也不允许高敏感度的信息写入低敏感度区域，禁止信息从高级别流向低级别。强制访问控制通过这种梯度安全标签实现信息的单向流通。依据Biba安全模型所制定的原则是利用不下读/不上写来保证数据的完整性（见图2）。在实际应用中，完整性保护主要是为了避免应用程序修改某些重要的系统程序或系统数据库。图2 Biba安全模型三、强制访问控制方法操作系统的某一合法用户可任意运行一段程序来修改该用户拥有的文件访问控制信息，而操作系统无法区别这种修改是用户自己的合法操作还是计算机 病毒的非法操作；另外，也没有什么一般的方法能够防止计算机病毒将信息通过共享客体从一个进程传送给另一个进程。为此，人们认识到必须采取更强有力的访问控制手段，这就是强制访问控制。在强制访问控制中，系统对主体与客体都分配一个特殊的一般不能更改的安全属性，系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。用户为某个目的而运行的程序，不能改变它自己及任何其它客体的安全属性，包括该用户自己拥有的客体。强制访问控制还可以阻止 某个进程生成共享文件并通过这个共享文件向其它进程传递信息。强制访问控制对专用的或简单的系统是有效的，但对通用、大型系统并不那么有效。一般强制访问控制采用以下几种方法：（1）限制访问控制。一个持洛伊木马可以攻破任何形式的自主访问控制，由于自主控制方式允许用户程序来修改他拥有文件的存取控制表，因而为非法者带来可乘之机。MAC可以不提供这一方便，在这类系统中，用户要修改存取控制表的唯一途径是请求一个特权系统调用。该调用的功能是依据用户终端输入的信息，而不是靠另一个程序提供的信息来修改存取控制信息。（2）过程控制在通常的计算机系统中，只要系统允许用户自己编程，就没办法杜绝特洛伊木马。但可以对其过程采取某些措施，这种方法称为过程控制。例如，警告用户不要运行系统目录以外的任何程序。提醒用户注意，如果偶然调用一个其它目录的文件时，不要做任何动作，等等。需要说明的一点是，这些限制取决于用户本身执行与否。（3）系统限制要对系统的功能实施一些限制。比如，限制共享文件，但共享文件是计算机系统的优点，所以是不可能加以完全限制的。再者，就是限制用户编程。不过这种做法只适用于某些专用系统。在大型的，通用系统中，编程能力是不可能去除的。四、强制访问控制实例下面介绍一个实例：Unix文件系统强制访问控制机制的Multics方案。Multics方案是Unix文件系统强制访问控制机制的多种方案之一，其他的还有Linus IV方案、Secure Xenix方案、Tim Thomas方案等。在Multics方案中，文件系统和Unix文件系统一样，是一个树形结构，所有的用户和文件（包括目录文件）都有一个相应的安全级。用户对文件的访问需要遵守下述安全策略： 仅当用户的安全级别不低于文件的安全级别时，用户才可以读文件； 仅当用户的安全级别不高于文件的安全级别时，用户才可以写文件。一个文件的创建和删除被认为是对文件所在目录（文件的父目录）的写操作，所以当一个用户创建或者删除文件时，他的安全级一定不能高于文件父目录的安全级。这种限制与Unix文件系统是不相容的，因为在Unix文件系统中，有些用户可以读安全级别比自己低的文件。例如，在Unix文件系统中有一个共享的/TMP目录用于存放临时文件，为使用户能读他们存放在/TMP下的文件，用户的安全级别应该不低于Multics方案的安全级。这就是Multics方案中强制访问控制策略矛盾，因为在Multics方案中，用户如果想写/TMP目录，他的安全级别就必须不高于/TMP目录的安全级别。结束语服务器操作系统安全，就是访问控制的安全。利用强制访问控制，可以解决很多的问题，本文详细介绍了强制访问控制的各个方面，相信此文能使大家更了解访问控制的原理。访问控制是个古老而又新颖、 简单而又复杂。网络技术的发展使访问控制技术的研究成为热点，应用系统的多样性又决定了访问控制的复杂性, 很难统一到一个简单的标准之内。由于 MAC 能够很好地适应实际组织的安