铁路信息系统网关设备中强制访问控制概述与实现

1 绪论

1.1课题研究的背景及意义
随着社会对信息系统的依赖性越来越高，其战略地位也逐步增强，战略资源必定引起国内及国外各种势力的高度关注，信息安全将面临更大的安全风险及更多样化的安全威胁。就目前信息系统的安全状况来看，主要面临以下几种安全威胁：
(1)窃取：合法用户，甚至非法用户(冒充合法用户进入系统)未经许可却直接或间接获得了对系统某项资源的访问权，从中窃取了有用的数据或骗取了某种服务，但不对信息做任何修改。这种攻击方式通常称为被动攻击。
(2)篡改：未经授权的用户成功获得了对某向资源的访问权后，对信息的全部或部分进行肆意的修改、删除、添加，改变其中内容的次序或形式，改变信息的流向，或者修改程序的功能，改变系统的状态和操作等，破坏信息的完整性、真实性和有效性。
(3)伪造：威胁源在未经许可的情形下，在系统中产生出虚伪的数据或服务。
(4)拒绝服务：威胁源使系统的资源受到破坏或不能使用，从而使数据的流动或所提供的服务终止。
(5)重放：在网络通信中重放以前截获到的过时信息，欺骗收方。
随着信息化技术的快速发展，铁路信息系统也紧跟时代潮流，抓住铁路发展的黄金期，有序高效的逐步推进。近年来，，高速铁路建设发展迅猛有效的提高了铁路的运量以及运力，随之而来的就是铁路相关业务的飞速发展。包括12306在内的许多铁路信息系统陆续上线运营，这对铁路信息化建设既是一个机遇，又是一个挑战。正如前文所提到的，由于信息化建设的深入发展，信息与资料越来越受到人们的重视，成为了最为宝贵的资源。但为此我们所面临的安全挑战也随之增长，安全需求也根据越来越多变的应用场景而随之改变。因此，提高对铁路信息系统的安全保障已迫在眉睫。
………

1.2访问控制的国内外研究现状
访问控制技术技术兴起于20世纪70年代，最初是为了解决大型主机上共享数据授权访问的管理问题。根据访问控制策略类型的差异，早期的安全策略分为自主访问控制(Discretionary Access Control, DAC)和强制访问控制(MandatoryAccess Control, MAC)两种类型。自主访问控制(Discretionary Access Control, DAC)是由客体的属主对自己的客体进行管理，由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体，这种控制方式是自主的。也就是说，在自主访问控制下，用户可以按自己的意愿，有选择地与其他用户共享他的文件[4]。自主访问控制是保护系统资源不被非法访问的一种有效手段。但是这种控制是自主的，即它是以保护用户的个人资源的安全为目标并以个人的意志为转移的。自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。强制访问控制(Mandatory Access Control, MAC)[5] [6] [7]是美国政府和军方源于对信息机密性的要求及防止特洛伊木马之类的攻击而研发的，其基本思路是依据主体和客体的安全属性的级别来决定主体是否拥有对客体的访问权限，主要用于多层次安全级别的军事系统中[2]。在强制访问控制机制下，系统内每个用户或主体被赋予一个安全属性来表示能够访问客体的敏感程度，同样系统内的每一个客体也被赋予一个安全属性，以反映其本身的敏感程度。系统通过比较主体和客体相应的安全属性的级别来决定是否授予一个主体对客体的访问请求。安全属性由系统策略管理员分配，具有强制性，用户或用户进程不能改变自身或其他主体或客体的安全属性[2]。
…..

2 BLP模型架构

2.1强制访问控制系统的安全性
上表为常用的访问控制模型的优缺点比较。从上表我们可以看出，自主访问控制(DAC)在授权灵活性上有这突出表现；强制访问控制(MAC)在系统的安全性、机密性及访问控制粒度上有着突出的表现；而基于角色的访问控制(RBAC)则是在直观理解性、授权灵活性、最小特权分配，职责分离，描述能力等方面有明显的优势；使用控制(UCON)在描述能力以及访问粒度控制上做的十分不错；而基于任务的访问控制(TBAC)和面向服务的访问控制模型(SOAC)都是在最小特权及职责分离方面具有一定优势；基于属性的访问控制(ABAC)则和使用控制(UCON)—样都在描述能力以及访问粒度控制上有不错的表现。综合各个常用的访问控制模式的优缺点，并根据本铁路信息系统的实际安全需求，我们认为此信息系统信息的安全性以及信息的机密性是重中之重的，同时，还要有细粒度的访问控制。因此我们认为，在此项目中，应用强制访问控制(MAC)对信息系统进行防护最能符合本项目的安全需求。故，在众多访问控制模型中，我们选择了强制访问控制，作为系统基础模型，并应用强制访问控制模型中最为基础，同时也是应用最为广泛、最为成熟的模型-BLP模型来设计并实现此强制访问控制系统。
……

2.2 Bell-LaPadula模型基本架构
强制访问控制最早应用于军事部门，并通过多级安全的概念来描述其控制，Bell-LaPadula模型简称为BLP模型，是最著名的多级安全模型。其出发点是维护系统的保密性，有效地防止信息泄露。BLP模型定义了系统、系统状态、状态间的转换规则、安全概念、制定了一组安全特性，对系统状态状态转换规则进行约束，如果它的初始状态是安全的，经过一系列规则都是保持安全的，那么可以证明该系统是安全的[12] [13]。当用户(用户进程)发出操作请求时，系统必须根据BLP模型的三条安全特性对用户(用户进程)的请求进行检查，当检查过后发现用户(用户进程)发出的请求是符合安全特性的操作请求时，则被认为该请求是安全的，并且被系统所认可及允许进而执行，否则会被拒绝执行。系统的状态随着用户的操作不断的发生着改变。
……….

3 网关设备中强制访问控制系统总体设计......... 17
3.1网关设备中强制访问控制系统总体架构......... 17
3.2 网关设备中强制访问控制系统各部分处理流程......... 20
3.3 小结......... 30
4 安全标记及访问控制模块的研究与设计......... 31
4.1 网关设备强制访问控制中标记的设计......... 31
4.2 访问控制处理......... 36
4.2.1访问控制处理流程.........36
4.2.2访问控制模块核心函数......... 36
4.3 ACC 模块......... 38
4.4 强制访问控制MAC模块......... 39
4.5 访问控制规则示例.........      42
4.6 小结......... 46
5 系统运行与测试......... 47
5.1 测试环境......... 47
5.2 测试内容及结果......... 48
5.3 标记测试抓包内容......... 52
5.4 结果分析......... 58

5 系统运行与测试

本网关设备中的强制访问控制系统接收前端路由器转发来的带有网络层(Network Layer)安全标记的访问请求，并进行协议分析级相关标记的处理，添加应用层(Application Layer)安全标记，经由代理转发模块将处理后添加过应用层安全标记的访问请求转发到目的应用服务器或其备份服务器。故在测试的过程中，我们根据系统实际运行的环境搭建了一个模拟环境用于系统的功能测试。在此次功能测试中，我们主要测试了此网关设备中的强制访问控制系统是否能够根据设定的相关安全标记判定主体(用户、用户进程)发出的访问请求是否能够获得对客体(应用服务器)相应的操作权限。同时，在访问请求进入此网关设备的前后进行抓包测试，查看本强制访问控制系统是否能够成功的添加正确的应用层安全。

结论

随着网络技术的快速发展，我国的信息化建设逐步深化，铁路信息化建设正在有条不紊的进行中。需求带来发展，而发展则会带来相应的安全问题。我们的目的就是发现安全问题，并解决这些安全问题，从而保证信息系统的安全。正如前文所提到的那样，传统纸质的信息存储方式正随着计算机技术、网络技术、信息化建设的逐步发展转化为数字化存储。同时，人们也越来越意识到这些存储在网络中的信息的重要性。这些信息存储在网络服务器中，使得我们获取相应的信息更加快速也更加便捷。而随之而来的问题就是，我们如何能够防止未经授权的用户或非法用户获取到诸如业务信息、个人资料等重要数据及电子信息。因此，访问控制作为一种限制用户获取相应数据的技术，是一个切实可行的解决方案，拥有自己独特的优势，发展前景相当可观。在一个成熟的系统安全保障方案中，访问控制永远是其中非常重要的一部分，因为只有做好了访问控制才能够保证系统中信息的安全。根据此铁路信息系统项目的安全需求，在分析过目前比较流行的爹种访问控制模型之后，确定了使用强制访问控制模型这一基础。根据自身项目安全特点，应用BLP模型保护信息的机密性。在控制系统安全性、机密性及访问控制粒度限制等方面，BLP模型的优势体现的十分明显。这也是强制访问控制在访问控制技术飞速发展的今天仍旧能够占有很重要地位的一个关键因素。
…………
参考文献（略）