淺談強(qiáng)制訪問控制MAC

h【摘要】訪問控制：安全保障機(jī)制的核心內(nèi)容，是實(shí)現(xiàn)數(shù)據(jù)保密性和完整性的主要手段。訪問控制是為了限制訪問主體（或成為發(fā)起者，是一個(gè)主動(dòng)的實(shí)體：如用戶、進(jìn)程、服務(wù)等）,對(duì)訪問客體（需要保護(hù)的資源的）訪問權(quán)限。從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)合用訪問控制機(jī)制決定用戶及代表一定用戶利益的程序能干什么、及做到什么程度。制：基于角色的訪問控制RBAC,基于任務(wù)的訪問控制TBAC……。本文主要談?wù)搨鹘y(tǒng)訪問控制中的強(qiáng)制訪問控制MAC。隨著我國經(jīng)濟(jì)的持續(xù)發(fā)展和國際地位的不斷提高，我.國的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)面臨的安全威脅和安全隱患比較嚴(yán)重，計(jì)算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗，網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升，給用戶造成嚴(yán)重?fù)p失。訪問控制是信息安全保障機(jī)制的核心內(nèi)容，它是實(shí)現(xiàn)數(shù)據(jù)保密性和完整性機(jī)制的主要手段。訪問控制是為了限制訪問主體（或稱為發(fā)起者，是一個(gè)主動(dòng)的實(shí)體；如用戶、進(jìn)程、服務(wù)等制決定用戶及代表一定用戶利益的程序能做什么，及做到什么程度。訪問控制，作為提供信息安全保障的主要手段，及最為突出的安全機(jī)制，被廣泛地應(yīng)用于防火墻、文件訪問、VP7及物理安全等多個(gè)方面。其中，強(qiáng)制訪問控制就在次方面有很重要的作訪問控制從實(shí)現(xiàn)的基本理念來分有以下兩種：1）強(qiáng)制訪問控制（Mandatoryaccesscontrol）2）自主訪問控制（Discretionaryaccesscontrol）本文主要談?wù)搹?qiáng)制訪問控制控制，包括其定義.原理及其分類。hMAC（MandatoryAccessControl）源于對(duì)信息機(jī)密性的要求以及防止特洛伊木馬之類的攻擊。MAC通過無法回避的存取限制來阻止直接或間接的非法入侵。系統(tǒng)中的主/客體都被分配一個(gè)固定的安全屬性，利用安全屬性決定一個(gè)主體是否可以訪問某個(gè)客體。安全屬性是強(qiáng)制性的，由安全管理員（SecurityOfficer）分配，用戶或用戶進(jìn)程不能改變自身或其它主/客體的安全屬性。MAC的本質(zhì)是基于格的非循環(huán)單向信息流政策。系統(tǒng)中每個(gè)主體都被授予一個(gè)安全證書，而每個(gè)客體被指定為一定的敏感級(jí)別。訪問控制的兩個(gè)關(guān)鍵規(guī)則是：不向上讀和不向下寫，即信息流只能從低安全級(jí)向高安全級(jí)流動(dòng)。任何違庚非循環(huán)信息流的行為都是被禁止的。MAC起初主要用于軍方的應(yīng)用中，并且常與DAC結(jié)合使用，主體只有通過了DAC與MAC的檢查后，才能訪問某個(gè)客體。由于MAC對(duì)客體施加了更嚴(yán)格的訪問控制，因而可以防止特洛伊木馬之類的程序偷竊，同時(shí)MAC對(duì)用戶意外泄漏機(jī)密信息也有預(yù)防能力。但如果用戶惡意泄漏則會(huì)影響MAC的網(wǎng)上應(yīng)用。在MAC系統(tǒng)實(shí)現(xiàn)單向信息流的前提是系統(tǒng)中不存在逆向潛信道。逆向潛信道的存在會(huì)導(dǎo)致信息違反規(guī)則的流動(dòng)。但現(xiàn)代計(jì)算機(jī)系統(tǒng)中這種潛信道是難以去除的.如大呈的共享存儲(chǔ)器以及為提升硬件性能而采用的各種Cache等，這給系統(tǒng)增加了安全隱患。二、強(qiáng)制訪問控制的原理在強(qiáng)制訪問控制下，用戶（或其他主體）與文件（或其他客體）都被標(biāo)記了固定的安全屬性（如安全級(jí)、訪問權(quán)限等），在每次訪問發(fā)生時(shí)，系統(tǒng)檢測(cè)安全屬性以便確定一個(gè)用戶是否有強(qiáng)制訪問控制是"強(qiáng)加”給訪問主體的，即系統(tǒng)強(qiáng)制主體服從訪問控制政策。強(qiáng)制訪問控制（MAC）的主要特征是對(duì)所有主體及其所控制的客體（例如：進(jìn)程、文件、段、設(shè)備）實(shí)施強(qiáng)制實(shí)施強(qiáng)制訪問控制的依據(jù)。系統(tǒng)通過比較主體和客體的敏感標(biāo)記來決定一個(gè)主體是否能夠訪問某個(gè)客體。用戶的程序不能改變他自己及任何其它客體的敏感標(biāo)記，從而系統(tǒng)可以防止特洛伊強(qiáng)制訪問控制一般與自主訪問控制結(jié)合使用，并且實(shí)施一些附加的、更強(qiáng)的訪問限制。一個(gè)主體只有通過了自主與強(qiáng)制性訪問限制檢查后，才能訪問某個(gè)客體。用戶可以利用自主訪問控制來防范其它用戶對(duì)自己客體的攻擊，由于用戶不能直接改變強(qiáng)制訪問控制屬性，所以強(qiáng)制訪問控制提供了一個(gè)不可逾越的、更強(qiáng)的安全保護(hù)層以防止其它用戶偶然或故意地濫用自主訪控制思想：每個(gè)客體都有既定的安全屬性，每個(gè)客體也都有既定的安全屬性，主體對(duì)客體h是否執(zhí)行特定的操作取決于兩者安全屬性之間的關(guān)系。實(shí)現(xiàn)方式：所在主體(用戶、進(jìn)程)和客體(文件、數(shù)據(jù))都被分配了安全標(biāo)簽，安全標(biāo)簽標(biāo)識(shí)一個(gè)安全等級(jí)。——主體被分配一個(gè)安全等級(jí)；客體也被分配一個(gè)安全等級(jí)——訪問控制執(zhí)行時(shí)對(duì)主體和客體的安全級(jí)別進(jìn)行劃分級(jí)(Secret)，機(jī)密級(jí)(Confidential)及無級(jí)別級(jí)(Unclassified)。其級(jí)別為T>S>C>U,系統(tǒng)根據(jù)主體和客體的敏感標(biāo)記來決定訪問模式。訪問模式包括：下讀(readdown):用戶級(jí)別大于文件級(jí)別的讀操作；上寫(Wliteup):用戶級(jí)別小于文件級(jí)別的寫操作；下寫(Wlitedown):用戶級(jí)別等于文件級(jí)別的寫操作；上讀(readup)：用戶級(jí)別小于文件級(jí)別的讀操作；客體客體主體客體禁止讀尸允許寫,=圖1Bell-Lapadula安全模型依據(jù)Bell-Lapadula安全模型所制定的原則是利用不上讀/不下寫來保證數(shù)據(jù)的保密性(見圖1)。即不允許低信任級(jí)別的用戶讀高敏感度的信息，也不允許高敏感度的信息寫入低敏感度區(qū)域，禁止信息從高級(jí)別流向低級(jí)別。強(qiáng)制訪問控制通過這種梯度安全標(biāo)簽實(shí)現(xiàn)信息的單依據(jù)Biba安全模型所制定的原則是利用不下讀/不上寫來保證數(shù)據(jù)的完整性(見圖2)。在實(shí)際應(yīng)用中，完整性保護(hù)主要是為了避免應(yīng)用程序修改某些重要的系統(tǒng)程序或系統(tǒng)數(shù)據(jù)庫。主體客體主體客體h圖2Biba安全模型三、強(qiáng)制訪問控制方法操作系統(tǒng)的某一合法用戶可任意運(yùn)行一段程序來修改該用戶擁有的文件訪問控制信息，而操作系統(tǒng)無法區(qū)別這種修改是用戶自己的合法操作還是計(jì)算機(jī)病毒的非法操作；另外，也沒有什么一般的方法能夠防止計(jì)算機(jī)病毒將信息通過共享客體從一個(gè)進(jìn)程傳送給另一個(gè)進(jìn)程。為此，對(duì)主體與客體都分配一個(gè)特殊的一般不能更改的安全屬性，系統(tǒng)通過比較主體與客體的安全屬性來決定一個(gè)主體是否能夠訪問某個(gè)客體。用戶為某個(gè)目的而運(yùn)行的程序，不能改變它自己及任何其它客體的安全屬性，包括該用戶自己擁有的客體。強(qiáng)制訪問控制還可以阻止某個(gè)進(jìn)程生成共享文件并通過這個(gè)共享文件向其它進(jìn)程傳遞信息。強(qiáng)制訪問控制對(duì)專用的或簡單的系統(tǒng)是有效的，但對(duì)通用、大型系統(tǒng)并不那么有效。一般強(qiáng)制訪問控制采用以下幾種方法：一個(gè)持洛伊木馬可以攻破任何形式的自主訪問控制，由于自主控制方式允許用戶程序來修改他擁有文件的存取控制表，因而為非法者帶來可乘之機(jī)。山\C可以不提供這一方便，在這類系統(tǒng)中，用戶要修改存取控制表的唯一途徑是請(qǐng)求一個(gè)特權(quán)系統(tǒng)調(diào)用。該調(diào)用的功能是依據(jù)用戶終端輸入的信息，而不是靠另一個(gè)程序提供的信息來修改存取控制信息。（2）過程控制在通常的計(jì)算機(jī)系統(tǒng)中，只要系統(tǒng)允許用戶自己編程，就沒辦法杜絕特洛伊木馬。但可以程序。提醒用戶注意，如果偶然調(diào)用一個(gè)其它目錄的文件時(shí)，不要做任何動(dòng)作，等等。需要說明的一點(diǎn)是，這些限制取決于用戶本身執(zhí)行與否。h在大型的，通用系統(tǒng)中，編程能力是不可能去除的。Multics方案是Unix文件系統(tǒng)強(qiáng)制訪問控制機(jī)制的多種方案之一，其他的還有LinusIV方在Multics方案中，文件系統(tǒng)和Unix文件系統(tǒng)一樣，是一個(gè)樹形結(jié)構(gòu)，所有的用戶和文件（包括目錄文件）都有一個(gè)相應(yīng)的安全級(jí)。用戶對(duì)文件的訪問需要遵守下述安全策略：①僅當(dāng)用戶的安全級(jí)別不低于文件的安全級(jí)別時(shí)，用戶才可以讀文件；②僅當(dāng)用戶的安全級(jí)別不高于文件的安全級(jí)別時(shí)，用戶才可以寫文件。一個(gè)文件的創(chuàng)建和刪除被認(rèn)為是對(duì)文件所在目錄（文件的父目錄）的寫操作，所以當(dāng)一個(gè)用戶創(chuàng)建或者刪除文件時(shí)，他的安全級(jí)一定不能高于文件父目錄的安全級(jí)。這種限制與Unix文在Unix文件系統(tǒng)中有一個(gè)共享的/TMP目錄用于存放臨時(shí)文件，為便用戶能讀他們存放在