強制訪問控制模型的自主化研究

◆李曄鋒

（1.北京工業大學計算機學院 北京 100124；2.寧波工程學院電信學院 浙江 315211）

強制訪問控制模型的自主化研究

◆李曄鋒1,2

（1.北京工業大學計算機學院 北京 100124；2.寧波工程學院電信學院 浙江 315211）

強制訪問控制是評價計算機系統安全性的標準之一，具有重要的研究意義。但由于它缺乏靈活性，不具有普遍的應用價值，一般在機密度較高的商業或軍工領域才有所應用。本文研究了強制訪問控制模型的自主化，并提出了一種具有自主控制特性的強制訪問控制模型，具有靈活性以及一定的安全性。

計算機安全；強制訪問控制；自主化

0 引言

訪問控制是系統安全的關鍵技術[1]，其任務是通過限制用戶對數據信息的訪問能力及范圍,保證信息資源不被非法使用和訪問[2]。如今一些訪問控制模型已被廣泛應用到各種系統中，其中最具有代表性的是自主訪問控制（DAC）、強制訪問控制（MAC）和基于角色的訪問控制（RBAC）[3]。

1985 年由美國國防部制定的《可信計算機系統評估標準》（TCSEC）為計算機系統的安全劃分為四個大類、七個等級，其中實現簡單的自主訪問控制和審計功能即能達到C1級，而強制訪問控制則是評價更高B1級的基本條件之一。與其它的訪問控制技術相比，MAC具有更高的安全性和更強的機密性，并且占用的存儲空間較少，但它的缺點是靈活性不夠、可操作性差[4]。因此，學術界一直在對強制訪問控制模型不斷改進，試圖讓它像DAC一樣具有一定的自主性，以期增強它的靈活性，同時又不過于損失安全性。

本文首先概要地說明了強制訪問控制模型，包括經典模型的描述和當前的研究現狀；然后提出了一種具有自主化特性的MAC，其核心分別是訪問控制矩陣、局部性和繼承性；最后對全文進行了總結。

1 強制訪問控制模型概述

1.1 經典強制訪問控制模型

強制訪問控制（MAC）最早出現在20世紀70年代，是美國政府和軍方源于對信息機密性的要求以及防止特洛伊木馬之類的攻擊而研發的。它是一種基于安全級標記的訪問控制方法，即對于系統中的每一個主體和客體都會被賦予一個安全級（Security Level），用于限制主體對客體的訪問操作。大多數系統中的安全級分為四種：絕密（Top Secret）、秘密（Secret）、機密（Confidential）和無級別（Unclassified），從高到低分別表示為T＞S＞C＞U。對于經典的Bell-LaPudula模型[5]，它的訪問控制判定規則如表1所示（R表示讀、W表示寫）：

表1 Bell-LaPudula模型的訪問控制判定規則

Bell-LaPudula的特性可以概括為兩以下兩點：

（1）簡單安全特性：若主體S的安全級高于客體O的安全級，則主體S可讀客體O。

（2）*-特性：若主體S的安全級低于客體O的安全級，則主體S可寫客體O。

Bell-LaPudula模型的特性簡單描述為為“下讀上寫”，可以防止低安全級的主體讀取高安全級的信息，原則上制止了信息從高級別的實體流向低級別的實體，它是一種基于保密性的強制訪問控制模型。但是，由于低安全級的主體對于高安全性的客體擁有寫權限，可以修改其中的內容，因此這種模型無法保證客體的完整性不被破壞。

類似地，Biba模型[6]針對信息完整性而設計，它的特性與Bell-LaPudula模型完全相反，即“上讀下寫”。它的缺點也是顯而易見，只確保完整性卻無法兼顧保密性。Dion模型[7]結合了Bell-LaPudula模型和Biba模型的特征，為每一個主體和客體賦予兩個安全級，分別對應保密性和完整性，進一步提高了數據的安全性，但是系統的靈活性受到了更大的影響。

1.2 強制訪問控制模型的研究現狀

從21世紀初開始，信息安全領域的學者著手在Bell-LaPudula模型和Biba模型的基礎上進行改造，以滿足在特定場合中的安全需求。最直接的方法是改進如表1所示的判定規則，如王琨等提出的EBLP模型[8]和曹四化等提出的基于用戶意愿的BLP模型[9]等。

另一種思路是把MAC和其它具有靈活性的訪問控制技術進行結合，提出了新的訪問控制模型。如Osborn考慮把MAC和RBAC結合，把原先作用于主體的安全級分配給角色[10]，這種思想在李立新等提出的安全系統中得到了改進和強化[11]。

此外，為了進一步提高訪問控制的靈活性，一些研究允許特定的用戶（超級管理員或安全管理員）臨時修改主體和客體的安全級。如吳飛林等在MySQL中實現了一種可定制的強制訪問控制模型[12]，并且在不同的數據庫中得到了應用和發展[13][14]。這種思路無需修改判定規則，也無需對經典模型進行大幅度擴展，同時又提高了靈活性，為當前多數的操作系統和數據庫管理系統所采用的主要手段。

2 一種具有自主控制特性的強制訪問控制模型

在1.2節中提到的修改主體和客體安全級的方法是一種強制訪問控制模型“自主化”的思想，通過賦予特定用戶權限去修改模型中的關鍵屬性，滿足不同場合下的訪問控制需求，以達到靈活性的目標。本文提出了另一種具有自主性的強制訪問控制模型，其不同點在于把針對性放在訪問控制判定規則上，不需要修改用戶的安全級。

2.1 訪問控制矩陣

表1所示的訪問控制判定規則可以用一個4×4的矩陣表示，在Bell-LaPudula模型和Biba模型中，它一旦確定就不能進行更改，固定在了系統實現代碼中。本文提出的思想是首先對該訪問控制矩陣進行更改，包括對安全級和訪問權限進行重新定義如下：

定義1 安全級

主體和客體的安全級由范圍為[1, N]的正整數表示，取值越小表示安全級越高，N的值在系統安裝時確定，以后不得更改。

使用正整數表示安全級有兩種優點：首先，把安全級的名字跟它的真正意義分開。表1中的T、S、C和U只是代號，在一個系統中以這種方式命名，但是在另一個系統中可能使用其它的名字。其次，不同的系統安全級的數量也有可能不同，即使N值較大不但不影響系統使用，反而增強了可擴展性。

定義2 權限

權限是一個用二進制表示的正整數，其中每一位表示一種原子權限（讀、寫、執行等，分別對應為100、010和001）。這樣，所有權限可以用111表示，反之無權限用000表示，滿足最小特權原則，增強系統的安全性。

定義3 訪問控制矩陣

訪問控制矩陣是k階方陣，表示為M=[m（i, j）]，其中i, j∈[1, k], k≤N。矩陣中的每一項m（i, j）的值為定義2中的權限值，i對應主體的安全級，j對應客體的安全級。整個矩陣被對角線劃分為“左下區”和“右上區”兩個部分，分別對應i＜j和i＞j的情況。此外，還對矩陣作如下的限制：

（1）只有在i=j時，即對角線的元素才允許執行操作。這一點保證同安全級的主體對客體擁有執行操作，保證安全性。

（2）當i＜j時，m（i-1, j）≤m（i, j）；當i＞j時，m（i+1, j）≤m（i, j）。這一點表示主體與客體的安全級差距越大，擁有的權限只會越小。

（3）在“左下區”或“右上區”內不能同時出現原子的讀或寫權限。這一點與第（2）點結合表示主體與客體的安全級差距到了一定的程度，信息只能單向流動。

特別地，當矩陣的左下區均為原子寫權限、右上區均為原子讀操作時，滿足Bell-LaPudula模型，稱該矩陣為BLP矩陣，反之則稱為Biba矩陣。

2.2 模型的自主化

一個文件系統通常由目錄和文件組成，并且目錄還能嵌套，形成多級的層次結構。類似地，一個DBMS可能由多個數據庫組成，每個數據庫中會有多張表。無論系統的結構多復雜，在傳統的MAC模型中，只有唯一的訪問控制矩陣，并且作用于系統中任何的主體與客體。

本文提出的擴展模型的核心思想在于，允許系統中存在多個訪問控制矩陣，由特定的管理員用戶進行設置。它包含三個特性：

（1）整個系統擁有一個訪問控制矩陣，稱為“全局矩陣”或者“根矩陣”。

（2）每個域（如目錄、數據庫等）擁有自己的訪問控制矩陣，稱為“局部矩陣”，并規定局部矩陣的階數不能超過全局矩陣的階數N。

（3）如果某個目錄沒有顯式地定義局部矩陣，則它的訪問控制規則可以從全局矩陣或者父目錄的局部矩陣繼承。這一點稱為模型的“繼承性”。

下面通過一個例子來說明模型的自主性和靈活性：在一個共享的主目錄下有多個子目錄，假設目錄1中存放絕密文件，它的訪問控制矩陣為M1；目錄2中存放普通的文本文件，如用戶留言、共享文檔等，它的訪問控制矩陣為M2。現在，安全管理員可以根據存放在目錄中的文件安全級設置對應的訪問控制矩陣。

假設目錄1中的絕密文件的安全級只有1和2，那么M1可為二階BLP矩陣，使得只有安全級為1和2的主體能夠遵循“下讀上寫”的原則進行操作，其它安全級的主體沒有任何權限，從一定程度保護絕密文件的完整性不被破壞。

假設目錄2中的普通文件的最低安全級為N，那么可以設置矩陣M2為N階，它的右上區所有權限值為110，左下區所有權限值為000，這樣任何安全級的主體都可以對比它安全級低的文件擁有讀寫操作，滿足特殊場合的訪問控制需求，又因為客體安全級已為最低，矩陣的左下區取值沒有任何意義。

在提高了靈活性的同時，模型也有不足之處：首先，它需要額外的存儲空間為每個域維護訪問控制矩陣；其次，安全管理員權限變得極其重要，一旦丟失或者被竊取將造成嚴重的后果。

3 結束語

本文通過分析MAC的特點和研究現狀，提出了一種具有自主性的強制訪問控制模型。該模型重新定義了安全級和權限的概念，作為訪問控制矩陣的基本元素，并且特定的用戶可以為每一個域維護自身的訪問控制矩陣，充分體現了模型的全局性、局部性和繼承性。總體而言，該模型不但具有更高的靈活性，而且在安全性方面也有提升。

[1]封富君, 李俊山.新型網絡環境下的訪問控制技術[J].軟件學報, 2007.

[2]王于丁, 楊家海, 徐聰等.云計算訪問控制技術研究綜述[J].軟件學報, 2015.

[3]李曄鋒.MongoDB的RBAC訪問控制技術研究[J].網絡安全技術與應用, 2017.

[4]周洲儀. 操作系統強制訪問控制關鍵技術研究[D].中國科學院軟件研究所, 2009.

[5]Bell D E, Lapadula L J. Secure Computer Systems: Mathematical Foundations[J]. Proceedings of the Cornputer Secilrity Formdations Workshop Vu, 2007.

[6]Biba K J.Integrity Considerations for Secure Computer Systems[J].Electronic Systems Div Air Force Hanscom Afb,1977.

[7]Dion L C. A Complete Protection Model[C]// Security and Privacy, 1981 IEEE Symposium on. IEEE, 1981.

[8]王琨, 孫超, 文峰等.基于擴展BLP模型的強制存取控制的研究與實現[J].沈陽理工大學學報, 2006.

[9]曹四化,何鴻君.基于用戶意愿的改進BLP模型IB_BLP[J].計算機工程, 2006.

[10]Osborn S. Mandatory access control and role-based access control revisited[C]// ACM Workshop on Role-Based Access Control. ACM, 1997.

[11]李立新, 陳偉民.強制訪問控制在基于角色的安全系統中的實現[J].軟件學報, 2000.

[12]吳飛林, 王曉艷, 郎波.基于MySQL的可定制強制訪問控制的研究與實現[J].計算機應用研究, 2007.

[13]周述文.達夢數據庫強制訪問控制機制研究[D].華中科技大學, 2008.

[14]朱祥彬.安全數據庫強制訪問控制的研究與實現[D].吉林大學, 2010.