- 1、本文档共5页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
h
浅谈强制访问控制(MAC)
【摘要】访问控制:安全保障机制的核心内容,是实现数据保密性和完整性的主要手段。访
问控制是为了限制访问主体(或成为发起者,是一个主动的实体:如用户、进程、服务等),
对访问客体(需要保护的资源的)访问权限。从而使计算机系统在合法范围内合用访问控制机
制决定用户及代表一定用户利益的程序能干什么、及做到什么程度。
访问控制分类:1)传统访问控制:自主访问控制DAC,强制访问控制MAC;2)新型访问控
制:基于角色的访问控制RBAC,基于任务的访问控制TBAC……。本文主要谈论传统访问控制中
的强制访问控制MAC。
【关键词】访问控制、强制访问控制、Bell-Lapadula安全模型
引言
随着我国经济的持续发展和国际地位的不断提高,我.国的基础信息网络和重要信息系统面
临的安全威胁和安全隐患比较严重,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪
持续大幅上升,给用户造成严重损失。
访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。
访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),
对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机
制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。
访问控制,作为提供信息安全保障的主要手段,及最为突出的安全机制,被广泛地应用于
防火墙、文件访问、VP7及物理安全等多个方面。其中,强制访问控制就在次方面有很重要的作
用。
访问控制从实现的基本理念来分有以下两种:
1)强制访问控制(Mandatoryaccesscontrol)
2)自主访问控制(Discretionaryaccesscontrol)
本文主要谈论强制访问控制控制,包括其定义.原理及其分类。
h
一、强制访问控制
MAC(MandatoryAccessControl)源于对信息机密性的要求以及防止特洛伊木马之类
的攻击。MAC通过无法回避的存取限制来阻止直接或间接的非法入侵。系统中的主/客体都被分
配一个固定的安全属性,利用安全属性决定一个主体是否可以访问某个客体。安全属性是强制
性的,由安全管理员(SecurityOfficer)分配,用户或用户进程不能改变自身或其它主/客体
的安全属性。MAC的本质是基于格的非循环单向信息流政策。系统中每个主体都被授予一个安全
证书,而每个客体被指定为一定的敏感级别。访问控制的两个关键规则是:不向上读和不向下
写,即信息流只能从低安全级向高安全级流动。任何违庚非循环信息流的行为都是被禁止的。
MAC起初主要用于军方的应用中,并且常与DAC结合使用,主体只有通过了DAC与MAC的
检查后,才能访问某个客体。由于MAC对客体施加了更严格的访问控制,因而可以防止特洛伊
木马之类的程序偷窃,同时MAC对用户意外泄漏机密信息也有预防能力。但如果用户恶意泄漏
信息,则可能无能为力。由于MAC增加了不能回避的访问限制,因而影响了系统的灵活性;另一
方面,虽然MAC增强了信息的机密性,但不能实施完整性控制;再者网上信息更需要完整性,否
则会影响MAC的网上应用。在MAC系统实现单向信息流的前提是系统中不存在逆向潜信道。逆
向潜信道的存在会导致信息违反规则的流动。但现代计算机系统中这种潜信道是难以去除的.如
大呈的共享存储器以及为提升硬件性能而采用的各种Cache等,这给系统增加了安全隐患。
二、强制访问控制的原理
在强制访问控制下,用户(或其他主体)与文件(或其他客体)都被标记了固定的安全属
性(如安全级、访问权限等),在每次访问发生时,系统检测安全属性以便确定一个用户是否有
权访问该文件。
强制访问控制是强加”给访问主体的,即系统强制主体服从访问控制政策。强制访问控制
(MAC)的主要特征是对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制
访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是
实施强制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能
您可能关注的文档
- 浅谈北斗定位导航系统与GPS的差异.pdf
- 浅谈不当解雇的法律责任.pdf
- 浅谈大比例尺数字高程模型DEM制作方法的经验和体会.pdf
- 浅谈对学生学业的考核方法.pdf
- 浅谈高清视频监控系统.pdf
- 浅谈驾驶员素质对安全行车的影响.pdf
- 浅谈劳动法的价值取向.pdf
- 浅谈煤矿企业群众安全监督工作.pdf
- 浅谈幕墙公司创新.pdf
- 浅谈如何更好保障育龄妇女的合法权益.pdf
- 山西省三县八校2024学年高三第一次教学质量检查考试生物试题含解析.pdf
- 小王子阅读测试题.pdf
- 山东省德州市成考专升本2022-2023学年艺术概论模拟练习题三附答案.pdf
- 山东省淄博市博山重点达标名校2024届中考语文全真模拟试题含解析.pdf
- 广东省汕头市潮阳区2024届学业水平考试数学试题模拟卷二.pdf
- 广东省深圳市2023-2024学年高一上册期末数学学情检测模拟试题合集2套.pdf
- 广东省广州市重点达标名校2024届中考物理最后一模试卷含解析.pdf
- 广东省广州市2024年初中学业水平考试数学猜题卷 原卷.pdf
- 小学综合实践报告(真题11篇).pdf
- 年国家开放大学电大《社会保障学》作业辅导题库.pdf
文档评论(0)