返回
[理学]浅谈强制访问控制mac

[理学]浅谈强制访问控制mac

ID:23709783

大小:49.00 KB

页数:5页

时间:2018-11-10

[理学]浅谈强制访问控制mac_第1页
[理学]浅谈强制访问控制mac_第2页
[理学]浅谈强制访问控制mac_第3页
[理学]浅谈强制访问控制mac_第4页
[理学]浅谈强制访问控制mac_第5页
资源描述:

《[理学]浅谈强制访问控制mac》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、浅谈强制访问控制(MAC)【摘要】访问控制:安全保障机制的核心内容,是实现数据保密性和完整性的主要手段。访问控制是为了限制访问主体(或成为发起者,是一个主动的实体:如用户、进程、服务等),对访问客体(需要保护的资源的)访问权限。从而使计算机系统在合法范围内合用访问控制机制决定用户及代表一定用户利益的程序能干什么、及做到什么程度。访问控制分类:1)传统访问控制:自主访问控制DAC,强制访问控制MAC;2)新型访问控制:基于角色的访问控制RBAC,基于任务的访问控制TBAC……。本文主要谈论传统访问控制中的强制访问

2、控制MAC。【关键词】访问控制、强制访问控制、Bell-Lapadula安全模型引言随着我国经济的持续发展和国际地位的不断提高,我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,给用户造成严重损失。访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;

3、访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。访问控制,作为提供信息安全保障的主要手段,及最为突出的安全机制,被广泛地应用于防火墙、文件访问、VPN及物理安全等多个方面。其中,强制访问控制就在次方面有很重要的作用。访问控制从实现的基本理念来分有以下两种:1)强制访问控制(Mandatoryaccesscontrol)2)自主访问控制(Discretionaryaccesscontrol)本文主要谈论强制访问控制控制,包括其定义、原理及其分类。一、强制访问控制MAC(MandatoryAc

4、cessControl)源于对信息机密性的要求以及防止特洛伊木马之类的攻击。MAC通过无法回避的存取限制来阻止直接或间接的非法入侵。系统中的主/客体都被分配一个固定的安全属性,利用安全属性决定一个主体是否可以访问某个客体。安全属性是强制性的,由安全管理员(SecurityOfficer)分配,用户或用户进程不能改变自身或其它主/客体的安全属性。MAC的本质是基于格的非循环单向信息流政策。系统中每个主体都被授予一个安全证书,而每个客体被指定为一定的敏感级别。访问控制的两个关键规则是:不向上读和不向下写,即信息流只

5、能从低安全级向高安全级流动。任何违反非循环信息流的行为都是被禁止的。MAC起初主要用于军方的应用中,并且常与DAC结合使用,主体只有通过了DAC与MAC的检查后,才能访问某个客体。由于MAC对客体施加了更严格的访问控制,因而可以防止特洛伊木马之类的程序偷窃,同时MAC对用户意外泄漏机密信息也有预防能力。但如果用户恶意泄漏信息,则可能无能为力。由于MAC增加了不能回避的访问限制,因而影响了系统的灵活性;另一方面,虽然MAC增强了信息的机密性,但不能实施完整性控制;再者网上信息更需要完整性,否则会影响MAC的网上应

6、用。在MAC系统实现单向信息流的前提是系统中不存在逆向潜信道。逆向潜信道的存在会导致信息违反规则的流动。但现代计算机系统中这种潜信道是难以去除的,如大量的共享存储器以及为提升硬件性能而采用的各种Cache等,这给系统增加了安全隐患。二、强制访问控制的原理在强制访问控制下,用户(或其他主体)与文件(或其他客体)都被标记了固定的安全属性(如安全级、访问权限等),在每次访问发生时,系统检测安全属性以便确定一个用户是否有权访问该文件。强制访问控制是“强加”给访问主体的,即系统强制主体服从访问控制政策。强制访问控制(MA

7、C)的主要特征是对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能改变他自己及任何其它客体的敏感标记,从而系统可以防止特洛伊木马的攻击。强制访问控制一般与自主访问控制结合使用,并且实施一些附加的、更强的访问限制。一个主体只有通过了自主与强制性访问限制检查后,才能访问某个客体。用户可以利用自主访问控制来防范其它用

8、户对自己客体的攻击,由于用户不能直接改变强制访问控制属性,所以强制访问控制提供了一个不可逾越的、更强的安全保护层以防止其它用户偶然或故意地滥用自主访问控制。控制思想:每个客体都有既定的安全属性,每个客体也都有既定的安全属性,主体对客体是否执行特定的操作取决于两者安全属性之间的关系。实现方式:所在主体(用户、进程)和客体(文件、数据)都被分配了安全标签,安全标签标识一个安全等级。——主体

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。