强制访问控制

1. 强制访问控制MAC是强加给访问主体的，即系统强制主体服从访问控制政策

2. 安全标签：

a) 强制访问控制对访问主体和受控对象标识两个安全标签，一个是具有偏序关系的安全等级标签，另一个是非等级分类标签，他们是实施强制访问控制的依据，系统通过比较主体和客体的访问标签来决定一个主体是否能够访问某个客体。用户的程序不能更改它自己以及任何其他客体的安全标签，只有管理员才能确定用户和组的访问权限

b) 安全标签是限制和附属在主体和客体的上的一组安全属性信息

举个例子就是，将军军衔的人可以访问部队的绝密数据，校尉级的只能访问部队命令数据，在一个部队的数据库中，分为绝密资料数据和普通军令数据，来了一个人，看到他的军衔是将军，那么它可以访问这两个数据库，如果看到他的军衔是大校，那么它只能访问普通军令数据库，军衔是主体的访问标签，数据的秘密等级是客体的访问标签

c) 其实通过上面的例子可以简单的进行理解，在实际的应用中，有一个访问控制标签列表（ACSLL）是限定一个用户对一个客体目标访问的安全属性集合，就像把上面的例子列了一个表，现在来看，某个用户在请求访问一个客体时，，会判断它的安全级别是比请求的高还是低，如果低的话，拒绝访问，如果高的话可以访问

3. 强制访问策略：强制访问策略将每个主体与客体赋予一个访问级别，就像上面的那个例子一样，强制访问控制系统根据主体和客体的敏感标记来决定访问模式，模式包括

a) 向下读RD：主体安全级别高于客体安全级别时允许的读操作

b) 向上读RU：主体安全级别低于客体安全级别所允许的读操作

c) 向下写WD：主体安全级别高于客体安全级别允许执行的写操作

d) 向上写WU：主体安全级别低于客体安全级别所允许的写操作

4. 由于安全性，这种方式一直被军方所使用，下面讲述两种被广泛使用的强制访问控制安全模型

a) BLP模型：在BLP模型中，不上读，不下写，也就是，不允许低安全等级的用户读取高安全等级的信息，不允许高敏感度的信息写入低敏感度的区域，禁止信息从高级别流向低级别，强制访问控制通过这种梯度的安全标签实现信息的单向流通

b) Biba模型：由于BLP模型存在不保护信息的完整性和可用性，不涉及访问控制等缺点，所以使用Biba模型作为一个补充,它针对的是信息的完整性保护,主要用于非军事领域,Biba模型使用不下读，不上写的原则来保证数据的完整性，在实际的应用中主要是避免应用程序修改某些重要的系统程序或系统数据库，这样可以使资源的完整性得到保障

c) Chinese Wall模型，一开始听到这个名字我以为是北邮方校长的那个杰作呢。Chinese Wall模型一般是用于多边安全系统（也就是多个组织间的访问控制系统）中的安全模型，应用在可能存在利益冲突的组织中，最初是为投资银行设计的。Chinese Wall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突，Chinese Wall模型有两个基础主要属性，1 用户必须选择一个它可以访问的区域 2 用户必须自动拒绝来自其他与用户所选区域的利益冲突区域的访问。这种工作模式同时包含了DAC和MAC的属性，银行家可以选择为谁工作（DAC），一旦选择了之后，它就只能为这个客户工作(MAC),一个典型的例子就是防火墙内部与外网相连的一台服务器，假如这台服务器禁止转发数据，那么这台服务器就暴露在外网之中，也就是说该服务器只能与外网通信，不能与内部网络通信

5. 基于角色的访问控制模型（RBAC）

a) 基本定义：基于角色的访问控制，模型的要素包括用户，角色和许可，用户是一个可以独立访问计算机系统中的数据或用数据表示的其他资源的主体，角色是一个工作位置，代表了一种权利、责任和资格，许可是允许一个或多个客体执行的操作。在这个过程中，一个用户可以有多种角色，一个角色也可以有多个用户，每个角色可以拥有多种许可，每个许可也可以授予多个不同的角色，每个操作可以施加于多个客体，每个客体也可以接受多个操作

b)  基本思想：将访问的许可权分配给一定的角色，用户通过饰演一定不同的角色来获得这些角色的访问许可权，比如实验室的那个OA系统不就是提前定义好一些角色，比如教师，超级管理员等等，然后让那些老师在系统中扮演一定的角色来获得一定的权限，不同的角色拥有不同的操作集，这些操作集由管理员分配给用户

c) 相比较而言，这是一种比较适用于企业的安全策略，具有灵活性，安全性等特点，角色由系统管理员来进行定义和分配，用户与客体无直接的联系，用户只有通过角色来享有对应的权限，从而访问相应的客体，因此用户不能自主的将访问权限授予别人，这是RBAC与DAC的根本区别所在

d) RBAC与MAC的根本区别在于，MAC是基于多级安全需求的，而RBAC不是

首发于我的个人网站: 点击打开链接