1 緒論

1.1課題研究的背景及意義
隨著社會(huì)對(duì)信息系統(tǒng)的依賴(lài)性越來(lái)越高，其戰(zhàn)略地位也逐步增強(qiáng)，戰(zhàn)略資源必定引起國(guó)內(nèi)及國(guó)外各種勢(shì)力的高度關(guān)注，信息安全將面臨更大的安全風(fēng)險(xiǎn)及更多樣化的安全威脅。就目前信息系統(tǒng)的安全狀況來(lái)看，主要面臨以下幾種安全威脅：
(1)竊�。汉戏ㄓ脩�(hù)，甚至非法用戶(hù)(冒充合法用戶(hù)進(jìn)入系統(tǒng))未經(jīng)許可卻直接或間接獲得了對(duì)系統(tǒng)某項(xiàng)資源的訪問(wèn)權(quán)，從中竊取了有用的數(shù)據(jù)或騙取了某種服務(wù)，但不對(duì)信息做任何修改。這種攻擊方式通常稱(chēng)為被動(dòng)攻擊。
(2)篡改：未經(jīng)授權(quán)的用戶(hù)成功獲得了對(duì)某向資源的訪問(wèn)權(quán)后，對(duì)信息的全部或部分進(jìn)行肆意的修改、刪除、添加，改變其中內(nèi)容的次序或形式，改變信息的流向，或者修改程序的功能，改變系統(tǒng)的狀態(tài)和操作等，破壞信息的完整性、真實(shí)性和有效性。
(3)偽造：威脅源在未經(jīng)許可的情形下，在系統(tǒng)中產(chǎn)生出虛偽的數(shù)據(jù)或服務(wù)。
(4)拒絕服務(wù)：威脅源使系統(tǒng)的資源受到破壞或不能使用，從而使數(shù)據(jù)的流動(dòng)或所提供的服務(wù)終止。
(5)重放：在網(wǎng)絡(luò)通信中重放以前截獲到的過(guò)時(shí)信息，欺騙收方。
隨著信息化技術(shù)的快速發(fā)展，鐵路信息系統(tǒng)也緊跟時(shí)代潮流，抓住鐵路發(fā)展的黃金期，有序高效的逐步推進(jìn)。近年來(lái)，，高速鐵路建設(shè)發(fā)展迅猛有效的提高了鐵路的運(yùn)量以及運(yùn)力，隨之而來(lái)的就是鐵路相關(guān)業(yè)務(wù)的飛速發(fā)展。包括12306在內(nèi)的許多鐵路信息系統(tǒng)陸續(xù)上線運(yùn)營(yíng)，這對(duì)鐵路信息化建設(shè)既是一個(gè)機(jī)遇，又是一個(gè)挑戰(zhàn)。正如前文所提到的，由于信息化建設(shè)的深入發(fā)展，信息與資料越來(lái)越受到人們的重視，成為了最為寶貴的資源。但為此我們所面臨的安全挑戰(zhàn)也隨之增長(zhǎng)，安全需求也根據(jù)越來(lái)越多變的應(yīng)用場(chǎng)景而隨之改變。因此，提高對(duì)鐵路信息系統(tǒng)的安全保障已迫在眉睫。
………

1.2訪問(wèn)控制的國(guó)內(nèi)外研究現(xiàn)狀
訪問(wèn)控制技術(shù)技術(shù)興起于20世紀(jì)70年代，最初是為了解決大型主機(jī)上共享數(shù)據(jù)授權(quán)訪問(wèn)的管理問(wèn)題。根據(jù)訪問(wèn)控制策略類(lèi)型的差異，早期的安全策略分為自主訪問(wèn)控制(Discretionary Access Control, DAC)和強(qiáng)制訪問(wèn)控制(MandatoryAccess Control, MAC)兩種類(lèi)型。自主訪問(wèn)控制(Discretionary Access Control, DAC)是由客體的屬主對(duì)自己的客體進(jìn)行管理，由屬主自己決定是否將自己的客體訪問(wèn)權(quán)或部分訪問(wèn)權(quán)授予其他主體，這種控制方式是自主的。也就是說(shuō)，在自主訪問(wèn)控制下，用戶(hù)可以按自己的意愿，有選擇地與其他用戶(hù)共享他的文件[4]。自主訪問(wèn)控制是保護(hù)系統(tǒng)資源不被非法訪問(wèn)的一種有效手段。但是這種控制是自主的，即它是以保護(hù)用戶(hù)的個(gè)人資源的安全為目標(biāo)并以個(gè)人的意志為轉(zhuǎn)移的。自主訪問(wèn)控制機(jī)制根據(jù)用戶(hù)指定方式或默認(rèn)方式，阻止非授權(quán)用戶(hù)訪問(wèn)客體。訪問(wèn)控制的粒度是單個(gè)用戶(hù)。沒(méi)有存取權(quán)的用戶(hù)只允許由授權(quán)用戶(hù)指定對(duì)客體的訪問(wèn)權(quán)。阻止非授權(quán)用戶(hù)讀取敏感信息。強(qiáng)制訪問(wèn)控制(Mandatory Access Control, MAC)[5] [6] [7]是美國(guó)政府和軍方源于對(duì)信息機(jī)密性的要求及防止特洛伊木馬之類(lèi)的攻擊而研發(fā)的，其基本思路是依據(jù)主體和客體的安全屬性的級(jí)別來(lái)決定主體是否擁有對(duì)客體的訪問(wèn)權(quán)限，主要用于多層次安全級(jí)別的軍事系統(tǒng)中[2]。在強(qiáng)制訪問(wèn)控制機(jī)制下，系統(tǒng)內(nèi)每個(gè)用戶(hù)或主體被賦予一個(gè)安全屬性來(lái)表示能夠訪問(wèn)客體的敏感程度，同樣系統(tǒng)內(nèi)的每一個(gè)客體也被賦予一個(gè)安全屬性，以反映其本身的敏感程度。系統(tǒng)通過(guò)比較主體和客體相應(yīng)的安全屬性的級(jí)別來(lái)決定是否授予一個(gè)主體對(duì)客體的訪問(wèn)請(qǐng)求。安全屬性由系統(tǒng)策略管理員分配，具有強(qiáng)制性，用戶(hù)或用戶(hù)進(jìn)程不能改變自身或其他主體或客體的安全屬性[2]。
…..

2 BLP模型架構(gòu)

2.1強(qiáng)制訪問(wèn)控制系統(tǒng)的安全性
上表為常用的訪問(wèn)控制模型的優(yōu)缺點(diǎn)比較。從上表我們可以看出，自主訪問(wèn)控制(DAC)在授權(quán)靈活性上有這突出表現(xiàn)；強(qiáng)制訪問(wèn)控制(MAC)在系統(tǒng)的安全性、機(jī)密性及訪問(wèn)控制粒度上有著突出的表現(xiàn)；而基于角色的訪問(wèn)控制(RBAC)則是在直觀理解性、授權(quán)靈活性、最小特權(quán)分配，職責(zé)分離，描述能力等方面有明顯的優(yōu)勢(shì)；使用控制(UCON)在描述能力以及訪問(wèn)粒度控制上做的十分不錯(cuò)；而基于任務(wù)的訪問(wèn)控制(TBAC)和面向服務(wù)的訪問(wèn)控制模型(SOAC)都是在最小特權(quán)及職責(zé)分離方面具有一定優(yōu)勢(shì)；基于屬性的訪問(wèn)控制(ABAC)則和使用控制(UCON)—樣都在描述能力以及訪問(wèn)粒度控制上有不錯(cuò)的表現(xiàn)。綜合各個(gè)常用的訪問(wèn)控制模式的優(yōu)缺點(diǎn)，并根據(jù)本鐵路信息系統(tǒng)的實(shí)際安全需求，我們認(rèn)為此信息系統(tǒng)信息的安全性以及信息的機(jī)密性是重中之重的，同時(shí)，還要有細(xì)粒度的訪問(wèn)控制。因此我們認(rèn)為，在此項(xiàng)目中，應(yīng)用強(qiáng)制訪問(wèn)控制(MAC)對(duì)信息系統(tǒng)進(jìn)行防護(hù)最能符合本項(xiàng)目的安全需求。故，在眾多訪問(wèn)控制模型中，我們選擇了強(qiáng)制訪問(wèn)控制，作為系統(tǒng)基礎(chǔ)模型，并應(yīng)用強(qiáng)制訪問(wèn)控制模型中最為基礎(chǔ)，同時(shí)也是應(yīng)用最為廣泛、最為成熟的模型-BLP模型來(lái)設(shè)計(jì)并實(shí)現(xiàn)此強(qiáng)制訪問(wèn)控制系統(tǒng)。
……

2.2 Bell-LaPadula模型基本架構(gòu)
強(qiáng)制訪問(wèn)控制最早應(yīng)用于軍事部門(mén)，并通過(guò)多級(jí)安全的概念來(lái)描述其控制，Bell-LaPadula模型簡(jiǎn)稱(chēng)為BLP模型，是最著名的多級(jí)安全模型。其出發(fā)點(diǎn)是維護(hù)系統(tǒng)的保密性，有效地防止信息泄露。BLP模型定義了系統(tǒng)、系統(tǒng)狀態(tài)、狀態(tài)間的轉(zhuǎn)換規(guī)則、安全概念、制定了一組安全特性，對(duì)系統(tǒng)狀態(tài)狀態(tài)轉(zhuǎn)換規(guī)則進(jìn)行約束，如果它的初始狀態(tài)是安全的，經(jīng)過(guò)一系列規(guī)則都是保持安全的，那么可以證明該系統(tǒng)是安全的[12] [13]。當(dāng)用戶(hù)(用戶(hù)進(jìn)程)發(fā)出操作請(qǐng)求時(shí)，系統(tǒng)必須根據(jù)BLP模型的三條安全特性對(duì)用戶(hù)(用戶(hù)進(jìn)程)的請(qǐng)求進(jìn)行檢查，當(dāng)檢查過(guò)后發(fā)現(xiàn)用戶(hù)(用戶(hù)進(jìn)程)發(fā)出的請(qǐng)求是符合安全特性的操作請(qǐng)求時(shí)，則被認(rèn)為該請(qǐng)求是安全的，并且被系統(tǒng)所認(rèn)可及允許進(jìn)而執(zhí)行，否則會(huì)被拒絕執(zhí)行。系統(tǒng)的狀態(tài)隨著用戶(hù)的操作不斷的發(fā)生著改變。
……….

3 網(wǎng)關(guān)設(shè)備中強(qiáng)制訪問(wèn)控制系統(tǒng)總體設(shè)計(jì)......... 17
3.1網(wǎng)關(guān)設(shè)備中強(qiáng)制訪問(wèn)控制系統(tǒng)總體架構(gòu)......... 17
3.2 網(wǎng)關(guān)設(shè)備中強(qiáng)制訪問(wèn)控制系統(tǒng)各部分處理流程......... 20
3.3 小結(jié)......... 30
4 安全標(biāo)記及訪問(wèn)控制模塊的研究與設(shè)計(jì)......... 31
4.1 網(wǎng)關(guān)設(shè)備強(qiáng)制訪問(wèn)控制中標(biāo)記的設(shè)計(jì)......... 31
4.2 訪問(wèn)控制處理......... 36
4.2.1訪問(wèn)控制處理流程.........36
4.2.2訪問(wèn)控制模塊核心函數(shù)......... 36
4.3 ACC 模塊......... 38
4.4 強(qiáng)制訪問(wèn)控制MAC模塊......... 39
4.5 訪問(wèn)控制規(guī)則示例.........      42
4.6 小結(jié)......... 46
5 系統(tǒng)運(yùn)行與測(cè)試......... 47
5.1 測(cè)試環(huán)境......... 47
5.2 測(cè)試內(nèi)容及結(jié)果......... 48
5.3 標(biāo)記測(cè)試抓包內(nèi)容......... 52
5.4 結(jié)果分析......... 58

5 系統(tǒng)運(yùn)行與測(cè)試

本網(wǎng)關(guān)設(shè)備中的強(qiáng)制訪問(wèn)控制系統(tǒng)接收前端路由器轉(zhuǎn)發(fā)來(lái)的帶有網(wǎng)絡(luò)層(Network Layer)安全標(biāo)記的訪問(wèn)請(qǐng)求，并進(jìn)行協(xié)議分析級(jí)相關(guān)標(biāo)記的處理，添加應(yīng)用層(Application Layer)安全標(biāo)記，經(jīng)由代理轉(zhuǎn)發(fā)模塊將處理后添加過(guò)應(yīng)用層安全標(biāo)記的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)到目的應(yīng)用服務(wù)器或其備份服務(wù)器。故在測(cè)試的過(guò)程中，我們根據(jù)系統(tǒng)實(shí)際運(yùn)行的環(huán)境搭建了一個(gè)模擬環(huán)境用于系統(tǒng)的功能測(cè)試。在此次功能測(cè)試中，我們主要測(cè)試了此網(wǎng)關(guān)設(shè)備中的強(qiáng)制訪問(wèn)控制系統(tǒng)是否能夠根據(jù)設(shè)定的相關(guān)安全標(biāo)記判定主體(用戶(hù)、用戶(hù)進(jìn)程)發(fā)出的訪問(wèn)請(qǐng)求是否能夠獲得對(duì)客體(應(yīng)用服務(wù)器)相應(yīng)的操作權(quán)限。同時(shí)，在訪問(wèn)請(qǐng)求進(jìn)入此網(wǎng)關(guān)設(shè)備的前后進(jìn)行抓包測(cè)試，查看本強(qiáng)制訪問(wèn)控制系統(tǒng)是否能夠成功的添加正確的應(yīng)用層安全。

結(jié)論

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，我國(guó)的信息化建設(shè)逐步深化，鐵路信息化建設(shè)正在有條不紊的進(jìn)行中。需求帶來(lái)發(fā)展，而發(fā)展則會(huì)帶來(lái)相應(yīng)的安全問(wèn)題。我們的目的就是發(fā)現(xiàn)安全問(wèn)題，并解決這些安全問(wèn)題，從而保證信息系統(tǒng)的安全。正如前文所提到的那樣，傳統(tǒng)紙質(zhì)的信息存儲(chǔ)方式正隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、信息化建設(shè)的逐步發(fā)展轉(zhuǎn)化為數(shù)字化存儲(chǔ)。同時(shí)，人們也越來(lái)越意識(shí)到這些存儲(chǔ)在網(wǎng)絡(luò)中的信息的重要性。這些信息存儲(chǔ)在網(wǎng)絡(luò)服務(wù)器中，使得我們獲取相應(yīng)的信息更加快速也更加便捷。而隨之而來(lái)的問(wèn)題就是，我們?nèi)绾文軌蚍乐刮唇?jīng)授權(quán)的用戶(hù)或非法用戶(hù)獲取到諸如業(yè)務(wù)信息、個(gè)人資料等重要數(shù)據(jù)及電子信息。因此，訪問(wèn)控制作為一種限制用戶(hù)獲取相應(yīng)數(shù)據(jù)的技術(shù)，是一個(gè)切實(shí)可行的解決方案，擁有自己獨(dú)特的優(yōu)勢(shì)，發(fā)展前景相當(dāng)可觀。在一個(gè)成熟的系統(tǒng)安全保障方案中，訪問(wèn)控制永遠(yuǎn)是其中非常重要的一部分，因?yàn)橹挥凶龊昧嗽L問(wèn)控制才能夠保證系統(tǒng)中信息的安全。根據(jù)此鐵路信息系統(tǒng)項(xiàng)目的安全需求，在分析過(guò)目前比較流行的爹種訪問(wèn)控制模型之后，確定了使用強(qiáng)制訪問(wèn)控制模型這一基礎(chǔ)。根據(jù)自身項(xiàng)目安全特點(diǎn)，應(yīng)用BLP模型保護(hù)信息的機(jī)密性。在控制系統(tǒng)安全性、機(jī)密性及訪問(wèn)控制粒度限制等方面，BLP模型的優(yōu)勢(shì)體現(xiàn)的十分明顯。這也是強(qiáng)制訪問(wèn)控制在訪問(wèn)控制技術(shù)飛速發(fā)展的今天仍舊能夠占有很重要地位的一個(gè)關(guān)鍵因素。
…………
參考文獻(xiàn)（略）