浅谈强制访问控制MAC.pdf

h

浅谈强制访问控制（MAC）

【摘要】访问控制：安全保障机制的核心内容，是实现数据保密性和完整性的主要手段。访

问控制是为了限制访问主体（或成为发起者，是一个主动的实体：如用户、进程、服务等）,

对访问客体（需要保护的资源的）访问权限。从而使计算机系统在合法范围内合用访问控制机

制决定用户及代表一定用户利益的程序能干什么、及做到什么程度。

访问控制分类：1）传统访问控制：自主访问控制DAC,强制访问控制MAC；2）新型访问控

制：基于角色的访问控制RBAC,基于任务的访问控制TBAC……。本文主要谈论传统访问控制中

的强制访问控制MAC。

【关键词】访问控制、强制访问控制、Bell-Lapadula安全模型

引言

随着我国经济的持续发展和国际地位的不断提高，我.国的基础信息网络和重要信息系统面

临的安全威胁和安全隐患比较严重，计算机病毒传播和网络非法入侵十分猖獗，网络违法犯罪

持续大幅上升，给用户造成严重损失。

访问控制是信息安全保障机制的核心内容，它是实现数据保密性和完整性机制的主要手段。

访问控制是为了限制访问主体（或称为发起者，是一个主动的实体；如用户、进程、服务等），

对访问客体（需要保护的资源）的访问权限，从而使计算机系统在合法范围内使用；访问控制机

制决定用户及代表一定用户利益的程序能做什么，及做到什么程度。

访问控制，作为提供信息安全保障的主要手段，及最为突出的安全机制，被广泛地应用于

防火墙、文件访问、VP7及物理安全等多个方面。其中，强制访问控制就在次方面有很重要的作

用。

访问控制从实现的基本理念来分有以下两种：

1）强制访问控制（Mandatoryaccesscontrol）

2）自主访问控制（Discretionaryaccesscontrol）

本文主要谈论强制访问控制控制，包括其定义.原理及其分类。

h

一、强制访问控制

MAC（MandatoryAccessControl）源于对信息机密性的要求以及防止特洛伊木马之类

的攻击。MAC通过无法回避的存取限制来阻止直接或间接的非法入侵。系统中的主/客体都被分

配一个固定的安全属性，利用安全属性决定一个主体是否可以访问某个客体。安全属性是强制

性的，由安全管理员（SecurityOfficer）分配，用户或用户进程不能改变自身或其它主/客体

的安全属性。MAC的本质是基于格的非循环单向信息流政策。系统中每个主体都被授予一个安全

证书，而每个客体被指定为一定的敏感级别。访问控制的两个关键规则是：不向上读和不向下

写，即信息流只能从低安全级向高安全级流动。任何违庚非循环信息流的行为都是被禁止的。

MAC起初主要用于军方的应用中，并且常与DAC结合使用，主体只有通过了DAC与MAC的

检查后，才能访问某个客体。由于MAC对客体施加了更严格的访问控制，因而可以防止特洛伊

木马之类的程序偷窃，同时MAC对用户意外泄漏机密信息也有预防能力。但如果用户恶意泄漏

信息，则可能无能为力。由于MAC增加了不能回避的访问限制，因而影响了系统的灵活性；另一

方面，虽然MAC增强了信息的机密性，但不能实施完整性控制；再者网上信息更需要完整性，否

则会影响MAC的网上应用。在MAC系统实现单向信息流的前提是系统中不存在逆向潜信道。逆

向潜信道的存在会导致信息违反规则的流动。但现代计算机系统中这种潜信道是难以去除的.如

大呈的共享存储器以及为提升硬件性能而采用的各种Cache等，这给系统增加了安全隐患。

二、强制访问控制的原理

在强制访问控制下，用户（或其他主体）与文件（或其他客体）都被标记了固定的安全属

性（如安全级、访问权限等），在每次访问发生时，系统检测安全属性以便确定一个用户是否有

权访问该文件。

强制访问控制是强加”给访问主体的，即系统强制主体服从访问控制政策。强制访问控制

（MAC）的主要特征是对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制

访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是

实施强制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能