1 緒論

1.1課題研究的背景及意義
隨著社會對信息系統(tǒng)的依賴性越來越高，其戰(zhàn)略地位也逐步增強，戰(zhàn)略資源必定引起國內(nèi)及國外各種勢力的高度關(guān)注，信息安全將面臨更大的安全風(fēng)險及更多樣化的安全威脅。就目前信息系統(tǒng)的安全狀況來看，主要面臨以下幾種安全威脅：
(1)竊取：合法用戶，甚至非法用戶(冒充合法用戶進(jìn)入系統(tǒng))未經(jīng)許可卻直接或間接獲得了對系統(tǒng)某項資源的訪問權(quán)，從中竊取了有用的數(shù)據(jù)或騙取了某種服務(wù)，但不對信息做任何修改。這種攻擊方式通常稱為被動攻擊。
(2)篡改：未經(jīng)授權(quán)的用戶成功獲得了對某向資源的訪問權(quán)后，對信息的全部或部分進(jìn)行肆意的修改、刪除、添加，改變其中內(nèi)容的次序或形式，改變信息的流向，或者修改程序的功能，改變系統(tǒng)的狀態(tài)和操作等，破壞信息的完整性、真實性和有效性。
(3)偽造：威脅源在未經(jīng)許可的情形下，在系統(tǒng)中產(chǎn)生出虛偽的數(shù)據(jù)或服務(wù)。
(4)拒絕服務(wù)：威脅源使系統(tǒng)的資源受到破壞或不能使用，從而使數(shù)據(jù)的流動或所提供的服務(wù)終止。
(5)重放：在網(wǎng)絡(luò)通信中重放以前截獲到的過時信息，欺騙收方。
隨著信息化技術(shù)的快速發(fā)展，鐵路信息系統(tǒng)也緊跟時代潮流，抓住鐵路發(fā)展的黃金期，有序高效的逐步推進(jìn)。近年來，，高速鐵路建設(shè)發(fā)展迅猛有效的提高了鐵路的運量以及運力，隨之而來的就是鐵路相關(guān)業(yè)務(wù)的飛速發(fā)展。包括12306在內(nèi)的許多鐵路信息系統(tǒng)陸續(xù)上線運營，這對鐵路信息化建設(shè)既是一個機(jī)遇，又是一個挑戰(zhàn)。正如前文所提到的，由于信息化建設(shè)的深入發(fā)展，信息與資料越來越受到人們的重視，成為了最為寶貴的資源。但為此我們所面臨的安全挑戰(zhàn)也隨之增長，安全需求也根據(jù)越來越多變的應(yīng)用場景而隨之改變。因此，提高對鐵路信息系統(tǒng)的安全保障已迫在眉睫。
………

1.2訪問控制的國內(nèi)外研究現(xiàn)狀
訪問控制技術(shù)技術(shù)興起于20世紀(jì)70年代，最初是為了解決大型主機(jī)上共享數(shù)據(jù)授權(quán)訪問的管理問題。根據(jù)訪問控制策略類型的差異，早期的安全策略分為自主訪問控制(Discretionary Access Control, DAC)和強制訪問控制(MandatoryAccess Control, MAC)兩種類型。自主訪問控制(Discretionary Access Control, DAC)是由客體的屬主對自己的客體進(jìn)行管理，由屬主自己決定是否將自己的客體訪問權(quán)或部分訪問權(quán)授予其他主體，這種控制方式是自主的。也就是說，在自主訪問控制下，用戶可以按自己的意愿，有選擇地與其他用戶共享他的文件[4]。自主訪問控制是保護(hù)系統(tǒng)資源不被非法訪問的一種有效手段。但是這種控制是自主的，即它是以保護(hù)用戶的個人資源的安全為目標(biāo)并以個人的意志為轉(zhuǎn)移的。自主訪問控制機(jī)制根據(jù)用戶指定方式或默認(rèn)方式，阻止非授權(quán)用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán)。阻止非授權(quán)用戶讀取敏感信息。強制訪問控制(Mandatory Access Control, MAC)[5] [6] [7]是美國政府和軍方源于對信息機(jī)密性的要求及防止特洛伊木馬之類的攻擊而研發(fā)的，其基本思路是依據(jù)主體和客體的安全屬性的級別來決定主體是否擁有對客體的訪問權(quán)限，主要用于多層次安全級別的軍事系統(tǒng)中[2]。在強制訪問控制機(jī)制下，系統(tǒng)內(nèi)每個用戶或主體被賦予一個安全屬性來表示能夠訪問客體的敏感程度，同樣系統(tǒng)內(nèi)的每一個客體也被賦予一個安全屬性，以反映其本身的敏感程度。系統(tǒng)通過比較主體和客體相應(yīng)的安全屬性的級別來決定是否授予一個主體對客體的訪問請求。安全屬性由系統(tǒng)策略管理員分配，具有強制性，用戶或用戶進(jìn)程不能改變自身或其他主體或客體的安全屬性[2]。
…..

2 BLP模型架構(gòu)

2.1強制訪問控制系統(tǒng)的安全性
上表為常用的訪問控制模型的優(yōu)缺點比較。從上表我們可以看出，自主訪問控制(DAC)在授權(quán)靈活性上有這突出表現(xiàn)；強制訪問控制(MAC)在系統(tǒng)的安全性、機(jī)密性及訪問控制粒度上有著突出的表現(xiàn)；而基于角色的訪問控制(RBAC)則是在直觀理解性、授權(quán)靈活性、最小特權(quán)分配，職責(zé)分離，描述能力等方面有明顯的優(yōu)勢；使用控制(UCON)在描述能力以及訪問粒度控制上做的十分不錯；而基于任務(wù)的訪問控制(TBAC)和面向服務(wù)的訪問控制模型(SOAC)都是在最小特權(quán)及職責(zé)分離方面具有一定優(yōu)勢；基于屬性的訪問控制(ABAC)則和使用控制(UCON)—樣都在描述能力以及訪問粒度控制上有不錯的表現(xiàn)。綜合各個常用的訪問控制模式的優(yōu)缺點，并根據(jù)本鐵路信息系統(tǒng)的實際安全需求，我們認(rèn)為此信息系統(tǒng)信息的安全性以及信息的機(jī)密性是重中之重的，同時，還要有細(xì)粒度的訪問控制。因此我們認(rèn)為，在此項目中，應(yīng)用強制訪問控制(MAC)對信息系統(tǒng)進(jìn)行防護(hù)最能符合本項目的安全需求。故，在眾多訪問控制模型中，我們選擇了強制訪問控制，作為系統(tǒng)基礎(chǔ)模型，并應(yīng)用強制訪問控制模型中最為基礎(chǔ)，同時也是應(yīng)用最為廣泛、最為成熟的模型-BLP模型來設(shè)計并實現(xiàn)此強制訪問控制系統(tǒng)。
……

2.2 Bell-LaPadula模型基本架構(gòu)
強制訪問控制最早應(yīng)用于軍事部門，并通過多級安全的概念來描述其控制，Bell-LaPadula模型簡稱為BLP模型，是最著名的多級安全模型。其出發(fā)點是維護(hù)系統(tǒng)的保密性，有效地防止信息泄露。BLP模型定義了系統(tǒng)、系統(tǒng)狀態(tài)、狀態(tài)間的轉(zhuǎn)換規(guī)則、安全概念、制定了一組安全特性，對系統(tǒng)狀態(tài)狀態(tài)轉(zhuǎn)換規(guī)則進(jìn)行約束，如果它的初始狀態(tài)是安全的，經(jīng)過一系列規(guī)則都是保持安全的，那么可以證明該系統(tǒng)是安全的[12] [13]。當(dāng)用戶(用戶進(jìn)程)發(fā)出操作請求時，系統(tǒng)必須根據(jù)BLP模型的三條安全特性對用戶(用戶進(jìn)程)的請求進(jìn)行檢查，當(dāng)檢查過后發(fā)現(xiàn)用戶(用戶進(jìn)程)發(fā)出的請求是符合安全特性的操作請求時，則被認(rèn)為該請求是安全的，并且被系統(tǒng)所認(rèn)可及允許進(jìn)而執(zhí)行，否則會被拒絕執(zhí)行。系統(tǒng)的狀態(tài)隨著用戶的操作不斷的發(fā)生著改變。
……….

3 網(wǎng)關(guān)設(shè)備中強制訪問控制系統(tǒng)總體設(shè)計......... 17
3.1網(wǎng)關(guān)設(shè)備中強制訪問控制系統(tǒng)總體架構(gòu)......... 17
3.2 網(wǎng)關(guān)設(shè)備中強制訪問控制系統(tǒng)各部分處理流程......... 20
3.3 小結(jié)......... 30
4 安全標(biāo)記及訪問控制模塊的研究與設(shè)計......... 31
4.1 網(wǎng)關(guān)設(shè)備強制訪問控制中標(biāo)記的設(shè)計......... 31
4.2 訪問控制處理......... 36
4.2.1訪問控制處理流程.........36
4.2.2訪問控制模塊核心函數(shù)......... 36
4.3 ACC 模塊......... 38
4.4 強制訪問控制MAC模塊......... 39
4.5 訪問控制規(guī)則示例.........      42
4.6 小結(jié)......... 46
5 系統(tǒng)運行與測試......... 47
5.1 測試環(huán)境......... 47
5.2 測試內(nèi)容及結(jié)果......... 48
5.3 標(biāo)記測試抓包內(nèi)容......... 52
5.4 結(jié)果分析......... 58

5 系統(tǒng)運行與測試

本網(wǎng)關(guān)設(shè)備中的強制訪問控制系統(tǒng)接收前端路由器轉(zhuǎn)發(fā)來的帶有網(wǎng)絡(luò)層(Network Layer)安全標(biāo)記的訪問請求，并進(jìn)行協(xié)議分析級相關(guān)標(biāo)記的處理，添加應(yīng)用層(Application Layer)安全標(biāo)記，經(jīng)由代理轉(zhuǎn)發(fā)模塊將處理后添加過應(yīng)用層安全標(biāo)記的訪問請求轉(zhuǎn)發(fā)到目的應(yīng)用服務(wù)器或其備份服務(wù)器。故在測試的過程中，我們根據(jù)系統(tǒng)實際運行的環(huán)境搭建了一個模擬環(huán)境用于系統(tǒng)的功能測試。在此次功能測試中，我們主要測試了此網(wǎng)關(guān)設(shè)備中的強制訪問控制系統(tǒng)是否能夠根據(jù)設(shè)定的相關(guān)安全標(biāo)記判定主體(用戶、用戶進(jìn)程)發(fā)出的訪問請求是否能夠獲得對客體(應(yīng)用服務(wù)器)相應(yīng)的操作權(quán)限。同時，在訪問請求進(jìn)入此網(wǎng)關(guān)設(shè)備的前后進(jìn)行抓包測試，查看本強制訪問控制系統(tǒng)是否能夠成功的添加正確的應(yīng)用層安全。

結(jié)論

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，我國的信息化建設(shè)逐步深化，鐵路信息化建設(shè)正在有條不紊的進(jìn)行中。需求帶來發(fā)展，而發(fā)展則會帶來相應(yīng)的安全問題。我們的目的就是發(fā)現(xiàn)安全問題，并解決這些安全問題，從而保證信息系統(tǒng)的安全。正如前文所提到的那樣，傳統(tǒng)紙質(zhì)的信息存儲方式正隨著計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、信息化建設(shè)的逐步發(fā)展轉(zhuǎn)化為數(shù)字化存儲。同時，人們也越來越意識到這些存儲在網(wǎng)絡(luò)中的信息的重要性。這些信息存儲在網(wǎng)絡(luò)服務(wù)器中，使得我們獲取相應(yīng)的信息更加快速也更加便捷。而隨之而來的問題就是，我們?nèi)绾文軌蚍乐刮唇?jīng)授權(quán)的用戶或非法用戶獲取到諸如業(yè)務(wù)信息、個人資料等重要數(shù)據(jù)及電子信息。因此，訪問控制作為一種限制用戶獲取相應(yīng)數(shù)據(jù)的技術(shù)，是一個切實可行的解決方案，擁有自己獨特的優(yōu)勢，發(fā)展前景相當(dāng)可觀。在一個成熟的系統(tǒng)安全保障方案中，訪問控制永遠(yuǎn)是其中非常重要的一部分，因為只有做好了訪問控制才能夠保證系統(tǒng)中信息的安全。根據(jù)此鐵路信息系統(tǒng)項目的安全需求，在分析過目前比較流行的爹種訪問控制模型之后，確定了使用強制訪問控制模型這一基礎(chǔ)。根據(jù)自身項目安全特點，應(yīng)用BLP模型保護(hù)信息的機(jī)密性。在控制系統(tǒng)安全性、機(jī)密性及訪問控制粒度限制等方面，BLP模型的優(yōu)勢體現(xiàn)的十分明顯。這也是強制訪問控制在訪問控制技術(shù)飛速發(fā)展的今天仍舊能夠占有很重要地位的一個關(guān)鍵因素。
…………
參考文獻(xiàn)（略）