基于Windows+CE强制访问控制技术的研究和实现.pdfVIP

j：三苎兰：：奎兰!!耋：：釜：!： ：： 基于Windows CE强制访问控制 技术的研究与实现 李欢 雷航 电子科技太学计算机学院，成都，610054 摘要本文研究了强制访问控制(MAC)技术并给出其形式化的描速；分析了微软奁司的嵌入式操作系 统Windows CE，井指出其在访问控制方面的不足}设计实现了一个强制访问控制原型，并验证了该模型的有 效性。 关键词嵌入式系统，访问控制，强书j访问控帝5，WindowsCE 1 引 言 随着嵌入式系统的应用越来越广泛，安全问题显得越来越重要。操作系统作为嵌入式系统的核心，它的安 全是构筑在其上的应用以及整个系统安全性的根本保障。访问控制技术是实现操作系统安全的核心技术，通 过控制用户对系统信息资源的访问．达到实现系统信息资源的保密性和完整性的目的。依据由谁负责设置安 全规则，通常有3种操作系统访问控制技术：自主访问控制技术、强制访问控制技术和基于角色的访问控制 技术。 自主访问控制(DAC)的基本思想是：系统中的主体(用户或用户进程)可以自主地将其拥有的对客体的 访问权限(全部或部分地)授予其他主体。自主访问控制的缺陷在于它是建立在用户本身能够保证客体的可 信性的假设基础上的，而这个假设通常币能成立。它不能防止特洛伊木马的攻击。 强制游问控制(MAC)通过无法回避的存取限制来阻止直接或间接地非法入侵，能够防止信息的不安全流 动，可以非常有效地防止特洛伊木马的攻击。 2 强制访问控制 强制访问控制(MAC)源于对信息机密性的要求以及对防止特洛伊木马等攻击的需求。系统中的主窖体 都被分配一个固定的安全属性，利用安全属性决定一个主体是否可以访问某个客体。安全属性是强制性的，由 安全管理员分配，用户或用户进程不能改变自身或其他主客体的安全属性。 2．1 MAC概述 在强制访阔控制技术中，系统为主体和客休都分配一个安全属性，而且这一属性一般不能更改，系统通过 此较主’客体的安全属性来决定一个主体是否能够访问某个客体。如果访问请求能通过MAC，则主体访问客 体；否则拒绝访问。如果系统认为具有某一安全属性的主体不能访问具有一定安全属性的客体，那么任何人 (包括该客体的主人)都不能使该主体访问该客体。即使存在特洛伊木马，强制访问控制也能保证信息可以在 安全属性的格中按一个方向流动，这就是比自主访问控制更“安全”的地方。 2．2 MAC的形式化描述 下面利用集合和关系的概念，对MAC进行简单的形式化描述。 (1)实体：操作系统的所有系统元素，包括用户和各种资源，所有实体的集合记为E。 (2)主体：可对其他实体实施动作的主动实体，所有主体的集合记为S。 (3)客体：可以接受其他实体动作的被动实体，所有客体的集合记为O。 (4)安全级别：寅体的安全属性之一。表示实体具有多大的安全上的权利，所有安全级别的集合记为 (5)安全类别：实体的安全属性之～，表示实体涉及到多大的安全范围，所有安全类别的集合定义为 TotalSC。 50 中国西部嵌入式系统与单片机技术论坛2005学术年会论文集 安全类别是一个集合，不能比较，但是有包含关系。 类别。 可比。 主体的安全类别包含客体的安全类别并且主体的安全级别大于或等于客体的安全级别，主体才能对客体进行 读操作，满足简单安全特性。所谓的“上写”是指，仅当主体的安全类别包含客体的安全类别并且主体的安全等 级小于或等于客体的安全等级，主体才能对客体进行丐操作，满足*特性。遵循这样的准则，信息流只能从低 安全级向高安全级流动，任何违反非循环信息流的行为都是被禁止的。 2．3 MAC与DAc的比较 强制访问控制与自主访问控制的不同主要在于：强制安全控制基于对访问主体安全级别和访问客体安全 级别比较，主体对客体的访问必须完全依据管理员所定的策略，它实际上是一种集中式的访问控制方式；而自 主访问实现了．用户访问控制决策，是一种分散式的控制方式。但是MAC和DAC并币完全互相排斥