王 超

（解放軍信息工程大學(xué) 電子技術(shù)學(xué)院信息安全系，河南 鄭州450000）

0 引 言

在信息系統(tǒng)中，不同用戶的多次訪問行為之間會形成間接信息流，這種間接信息流的單個環(huán)節(jié)雖然都符合安全策略，但是從信息的最終流向上看卻有可能違反了安全策略，這種違反安全策略的間接信息流是一種非授權(quán)訪問行為，對重要信息資源的安全管控造成很大威脅，尤其是在跨域垮系統(tǒng)環(huán)境中。以往的安全理論和技術(shù)通常適用于單個信息系統(tǒng)，無法解決該難題。

1 相關(guān)研究

下面給出一個違規(guī)間接信息流的示例，如圖1所示。有兩個應(yīng)用系統(tǒng)：銷售系統(tǒng)和財(cái)務(wù)系統(tǒng)。銷售系統(tǒng)中保存有每個人的銷售報(bào)表，財(cái)務(wù)系統(tǒng)的財(cái)務(wù)人員會根據(jù)每個人的銷售報(bào)表發(fā)放獎金。

圖1 違規(guī)間接信息流

為防止公司的銷售人員進(jìn)行內(nèi)部價(jià)格競爭或拉對方客戶現(xiàn)象，在銷售系統(tǒng)中設(shè)置了安全限制，禁止查看他人的銷售報(bào)表，因此銷售人員李明無法查看劉軍的銷售報(bào)表。

但是在跨系統(tǒng)環(huán)境中，銷售系統(tǒng)所制訂的安全限制有可能被突破。如財(cái)務(wù)人員將劉軍的銷售報(bào)表讀取出來，然后 （有意或無意地）寫入到共享文件中，李明再從該文件中將劉軍的銷售報(bào)表讀出，其后果是：李明間接獲知了劉軍的銷售報(bào)表。該間接訪問行為符合銷售系統(tǒng)和財(cái)務(wù)系統(tǒng)的安全策略，但是事實(shí)上卻違反了銷售系統(tǒng)的安全策略。造成該現(xiàn)象的原因是兩個系統(tǒng)的訪問控制機(jī)制都是單獨(dú)實(shí)施的，系統(tǒng)間無法形成配合。

目前無論自主訪問控制模型還是強(qiáng)制訪問控制模型，都無法解決該問題。圖1所采用的訪問控制策略是典型的自主訪問控制，顯然自主訪問控制的安全性較低，無法解決違規(guī)間接信息流問題。RBAC模型［1］通過引入角色簡化了授權(quán)，但是訪問控制方式與自主訪問控制類似，只是對用戶的某次訪問請求是否符合角色的安全權(quán)限進(jìn)行了檢測，也無法防止違規(guī)間接信息流。

強(qiáng)制訪問控制模型的安全強(qiáng)度高于自主訪問控制模型，最具有代表性的是BLP模型［2］，它為主客體分配安全級，通過定義簡單安全公理、＊特性公理和自主安全性公理使得信息只能從低安全級流向高安全級。但是，BLP模型的安全狀態(tài)由 （b，M，f，H）組成，其中b表示當(dāng)前訪問行為的集合，由 （主體×客體×行為）構(gòu)成。也就是說b中所記錄的僅僅是每個直接訪問的行為，并未記錄訪問行為之間的傳遞關(guān)系，而這種傳遞關(guān)系是造成間接信息流的前提。眾多BLP改進(jìn)模型［3－6］以及其他強(qiáng)制訪問控制模型也都未能以間接信息流為背景進(jìn)行研究，無法檢測和防止違規(guī)間接信息流行為。

Denning提出了一種基于格的信息流模型［7］，他將信息流模型定義為五元組＜N，P，SC，⊕，→＞，其中SC表示主客體安全級，P和N分別表示主體和客體集合，符號“⊕”是一個滿足結(jié)合律和交換律的運(yùn)算符，符號 “→”表示信息流策略。該模型規(guī)定操作行為符合信息流策略 “→”時(shí)，模型是安全。信息流模型主要用于分析隱蔽通道，通?；诰幾g器來完成，給程序中的變量分配一個安全級，通過判別變量間的信息傳遞是否違背安全策略。信息流模型也只分析了一次操作和執(zhí)行是否違規(guī)，并未分析多操作所形成的間接訪問所帶來的信息泄漏威脅。

本文提出了一種基于信息流圖的聯(lián)合訪問控制模型。該模型以信息流圖作為輔助決策依據(jù)，對系統(tǒng)中的訪問行為進(jìn)行關(guān)聯(lián)分析，可以實(shí)現(xiàn)對間接信息流的安全性檢測，從而解決了違規(guī)間接信息流所帶來的信息失泄密和管理失控風(fēng)險(xiǎn)。

2 信息流圖

2.1 信息流圖的定義

定義1 信息流φ＝ （x1，x2，…，xt）∈ （X×X×…×X），X∈Uor O，表示一條x1→x2→…→xt的信息流。信息流由多個信息流向組成，信息流φ中相鄰元素之間構(gòu)成直接信息流向，不相鄰元素之間構(gòu)成間接流向。

符號→：（xi，xj）∈ （X×X）。表示一個從xi到xj的信息流向，記為xi→xj。

其中X∈Uor O。U＝ ｛u1，u2，...um｝，表示用戶的有限集合，包括所有信息系統(tǒng)中的用戶。O＝ ｛o1，o2，...，on｝。表示資源的有限集合，包括所有信息系統(tǒng)中的資源。一個信息流向可以由讀操作產(chǎn)生，也可以由一個寫操作產(chǎn)生。如用戶u1讀資源o1，則產(chǎn)生信息流向o1→u1，用戶u1寫資源o1，則產(chǎn)生信息流向u1→o1。

定義2 信息流圖T ＝ （φ1，φ2，…，φt）。信息流圖由1條或多條信息流構(gòu)成，如圖2所示。圖中的每一個節(jié)點(diǎn)為一個用戶或資源，有向邊為一個信息流向→，每一條路徑都是一個信息流φ。本模型中，信息流圖T記錄了跨級跨系統(tǒng)的訪問狀態(tài)，從信息流圖T中可以得到每個直接信息流向和間接信息流向，從而為分析違規(guī)間接信息流打下了基礎(chǔ)。

圖2 信息流

定義3 流策略＃x1→＃x2，表示允許一個信息流向x1→x2的策略。流策略是判定信息流向是否安全的依據(jù)之一。訪問控制矩陣中的每個元素都構(gòu)成了一條流策略，如M12＝r表示允許信息流向o2→u1的流策略＃o2→＃u1，若M12＝w，則表示允許信息流向u1→o2的流策略＃u1→＃o2。在強(qiáng)制訪問控制模型中，主客體的安全級之間也隱性地存在一條流策略，如主體u1的安全級為f （u1）＝l1，客體o2的安全級為f （o2）＝l2，且有l(wèi)1?l2，即l1支配l2，則存在一條流策略＃l2→＃u1。

2.2 信息流圖的安全特性與安全定理

特性1：直接流向安全特性。T滿足直接流向安全特性，iff →：（x，y）∈T，-＃x→＃y

信息流圖T滿足直接流向安全特性，當(dāng)且僅當(dāng)信息流圖T中的任意一個信息流向→：（x，y），都存在允許信息從x流向y的流策略。

特性2：間接流向安全特性：T滿足間接流向安全特性

信息流圖T滿足直接流向安全特性，當(dāng)且僅當(dāng)信息流圖T中，任意信息流中的任意間接信息流：： （x，y），在雙方信息系統(tǒng)中都存在允許信息從x流向y的流策略。

定理1 當(dāng)且僅當(dāng)任意信息流圖T滿足直接流向安全特性和間接流向安全特性時(shí)，信息流圖T為安全的。

3 系統(tǒng)建模及安全性定理

定義4 規(guī)則ρ：（R×T×C） D×T＊。

其中：R為訪問請求，R＝ （U×O×op），op∈ ｛r，w，d，…｝，在本模型中R可以是本地訪問請求，也可以是跨系統(tǒng)訪問請求。C為條件集合，D為判定集，D∈｛yes，no｝。

對規(guī)則的解釋為：在當(dāng)前狀態(tài)下，給出一個請求，在規(guī)則的作用下產(chǎn)生一個響應(yīng)和下一個狀態(tài)。如ρi：（rj，Tc，c1）＝ （dn，T＊）表示，當(dāng)信息流圖為Tc時(shí)，系統(tǒng)發(fā)出一個訪問請求rj，若滿足條件c1，規(guī)則ρi將產(chǎn)生一個響應(yīng)dn，信息流圖變化為T＊。

定理2 規(guī)則ρi： （rj，Tc，c1）＝ （dn，T＊）為安全規(guī)則，當(dāng)前僅當(dāng)若當(dāng)前信息流圖Tc是安全的，T＊也是安全的。

定義5 跨系統(tǒng)訪問控制系統(tǒng)∑＝ （R，D，W，T0，P）。

其中P為信息系統(tǒng)的流策略，在本模型中P包括所有信息系統(tǒng)的流策略；T0為初始信息流圖；W＝ ｛ρ1，ρ2，…，ρi｝為規(guī)則集合。

定理3 ∑ ＝ （R，D，W，T0，P）是安全系統(tǒng)，當(dāng)且僅當(dāng)W 為安全規(guī)則集且初始信息流圖T0為安全的。

由于空信息流圖是安全的，并且我們總能在信息系統(tǒng)中找到一個信息流圖為空的初始時(shí)刻，因此可以認(rèn)為T0恒為真。根據(jù)安全性定理3，訪問控制系統(tǒng)的安全性主要取決于規(guī)則集W的安全性，下面給出常用規(guī)則的定義，并進(jìn)行安全性證明。

4 主要規(guī)則及其安全性證明

4.1 讀規(guī)則

規(guī)則

其中：R1＝ （ui，oj，read）∈R，表示主體ui請求對oj的讀操作。符號表示在信息流圖Tc中，所有包含oj節(jié)點(diǎn)的信息流中oj的任意后向節(jié)點(diǎn)，oj的后向節(jié)點(diǎn)指在信息流方向位于oj后方的節(jié)點(diǎn)。符號表示在信息流圖Tc中，所有包含ui節(jié)點(diǎn)的信息流中ui的任意前向節(jié)點(diǎn)，ui的前向節(jié)點(diǎn)指在信息流方向位于ui前方的節(jié)點(diǎn)。

讀規(guī)則ρ1表示：若滿足條件c1，即存在信息流策略＃oj→＃ui和＃，規(guī)則ρ1給出yes響應(yīng)，允許執(zhí)行所請求的讀操作，并在信息流圖Tc中增加一條新的信息流向oj→ui；若滿足條件c2，即信息流圖Tc中已經(jīng)存在信息流向oj→ui，規(guī)則ρ1給出yes響應(yīng)，允許執(zhí)行所請求的讀操作，且信息流圖Tc不發(fā)生變化；若不符合條件c1和c2，規(guī)則ρ1給出no響應(yīng)，不允許執(zhí)行所請求的讀操作，信息流圖Tc保持不變。

證明：根據(jù)定理1和定理2，需要證明變化后的信息流圖為安全的，在規(guī)則中僅在條件c1時(shí)信息流圖發(fā)生了變化，只需證明信息流圖Tc＋oj→ui符合特性1和特性2，由于根據(jù)假設(shè)信息流圖Tc是安全的，因此只需證明新增加的信息流向符合特性1和特性2即可。

信息流圖Tc＋oj→ui相比Tc來說，新增了一條直接信息流向oj→ui和若干間接信息流向，在本模型中新增的間接信息流向統(tǒng)一由表示。由規(guī)則的條件可知，系統(tǒng)中存在流策略＃oj→＃ui和＃，因此新增加的間接信息流和直接信息流都不會違背系統(tǒng)的安全策略，符合特性1和特性2。得證。

4.2 寫規(guī)則

規(guī)則

其中：R2＝ （ui，oj，write）∈R，表示主體ui請求對oj的寫操作。符號表示在信息流圖Tc中，所有包含ui節(jié)點(diǎn)的信息流中ui的任意后向節(jié)點(diǎn)。符號表示在信息流圖Tc中，所有包含oj節(jié)點(diǎn)的信息流中oj的任意前向節(jié)點(diǎn)。

讀規(guī)則ρ2表示：若滿足條件c3，即存在信息流策略＃ui→＃oj和＃，規(guī)則ρ2給出yes響應(yīng)，允許執(zhí)行所請求的寫操作，并在信息流圖Tc中增加一條新的信息流向ui→oj；若滿足條件c4，即系統(tǒng)的信息流圖中已經(jīng)存在ui→oj，規(guī)則ρ2給出yes響應(yīng)，允許執(zhí)行所請求的褻操作，且信息流圖Tc不發(fā)生變化；若不符合條件c3和c4，規(guī)則ρ2不允許執(zhí)行所請求的寫操作，給出no響應(yīng)，信息流圖Tc保持不變。

證明：根據(jù)定理1和定理2，需要證明變化后的信息流圖為安全的，在規(guī)則中僅在條件c3時(shí)信息流圖發(fā)生了變化，只需證明信息流圖Tc＋ui→oj符合特性1和特性2，由于根據(jù)假設(shè)信息流圖Tc是安全的，因此只需證明新增加的信息流向符合特性1和特性2即可。

通過分析可知，信息流圖Tc＋ui→oj相比Tc來說，新增了一條直接信息流向ui→oj和若干間接信息流向，在本模型中新增的間接信息流向由表示。由于系統(tǒng)中存在流策略＃ui→＃oj和＃，因此新增加的間接信息流和直接信息流都不會違背系統(tǒng)的安全策略，符合特性1和特性2。得證。

4.3 其他規(guī)則

一個完整的模型除了最基本的讀寫規(guī)則外，還應(yīng)該定義和證明其他訪問和管理操作，受篇幅所限，在此僅給出規(guī)則列表，見表1。

表1 模型的其他規(guī)則

5 模型的安全性分析

5.1 模型的安全熵

信息熵是信息無序程度和事務(wù)不確定的度量［7］，越來越多的學(xué)者將其引入到對信息安全風(fēng)險(xiǎn)和事件不確定性的量化分析上［8－11］。本文利用熵來分析和度量模型中存在違規(guī)信息流 （包括直接和間接信息流）的不確定性，稱之為安全熵。

將訪問行為當(dāng)作隨機(jī)事件記為ai（i＝1 2，…，q），其發(fā)生的概率記為P （ai）。將訪問事件ai對判定安全熵的影響程度記為wi，。則違規(guī)信息流發(fā)生的可能性即為事件X［ai］的加權(quán)熵。

若訪問事件的概率空間 ［X，p （x）］和熵權(quán)空間［X，］如下

其中，p （ai）≥0 （i＝1，2，…，q）且p（ai）＝1，wi＝ ｛0，1｝，wi為1表示事件ai為違規(guī)信息流，為0表示合法信息流。

安全熵計(jì)算公式為

式 （1）只能反映由單次訪問事件造成違規(guī)信息流的可能性，即違規(guī)直接信息流的可能性。要度量間接信息流需要對多個訪問事件作為整體進(jìn)行考察，這就相當(dāng)于信息論中的離散無記憶信源的N次擴(kuò)展信源 （N次擴(kuò)展信源）。

設(shè)N次擴(kuò)展信源XN的概率空間為

其中，ai＝ （ai1，ai2，…，aiN）（i1，i2，…，iN＝1，2，…，q），并滿足

根據(jù)熵的定義，N次擴(kuò)展信源的加權(quán)熵為

式 （2）即為模型安全熵的計(jì)算公式。

5.2 模型的安全性分析與比較

若安全熵大于0，則說明系統(tǒng)必然存在發(fā)生違規(guī)信息流的可能性，安全熵越小，可能性越??；若安全熵為0，則發(fā)生違規(guī)信息流的可能性為0，模型的安全性最高?？疾焓剑?），使得安全熵的充要條件是：對于每個事件ai，其發(fā)生的概率為0或熵權(quán)為0。我們可將隨機(jī)N維事件分為合規(guī)事件am和違規(guī)事件an，則式 （2）可變形為

在自主訪問控制模型中，顯然無法從理論上保證P（an）＝0，因此其安全熵必然大于0。在BLP模型中，實(shí)現(xiàn)了強(qiáng)制訪問控制和自主訪問控制，由BLP模型的安全定理和規(guī)則可知，不同安全級之間的違規(guī)信息流的可能性為0，但是對于平級的信息流來說，主要依靠自主安全特性進(jìn)行約束，無法保證P （an）＝0。因此對于BLP模型來說盡管其安全熵要小于自主訪問控制模型的安全熵，但是仍然不等于0。

在本模型中，使用了信息流圖，提出了安全特性、安全定理和安全規(guī)則，從理論上保證了無法形成違規(guī)信息流，因此其P （an）＝0，模型的安全熵始終為0，安全性顯然高于其它模型。

以第1節(jié)的例子來說，若 “財(cái)務(wù)人員讀劉軍的銷售報(bào)表”、“財(cái)務(wù)人員寫共享文件”兩個操作可以順利執(zhí)行，按照模型的規(guī)則此時(shí)在信息流圖將形成信息流 “劉軍的銷售報(bào)表→財(cái)務(wù)人員→共享文件”，此時(shí)事件 “李明讀共享文件”發(fā)生時(shí)，讀規(guī)則將發(fā)現(xiàn)一條間接信息流向 “李明劉軍的銷售報(bào)表”，該間接信息流向與系統(tǒng)的安全策略違背，不允許該操作執(zhí)行。

6 結(jié)束語

本模型提出的安全特性、定理和規(guī)則可以有效防止違規(guī)信息流的發(fā)生，并具有間接信息流的安全性檢測和預(yù)防能力。通過對模型安全熵的分析可知，本模型在間接信息流的安全防護(hù)方面優(yōu)于傳統(tǒng)的安全模型，從理論上解決了傳統(tǒng)安全模型無法解決的違規(guī)間接信息流問題。本模型可廣泛適用于信息資源安全防護(hù)要求較高的場合和跨域跨系統(tǒng)環(huán)境中，提高了重要信息資源的安全管控能力。

［1］Saddhu R.Rationale for the RBAC96family of access control models［C］.Proceedings of the 1st ACM Workshop on Role－Based Access Control.New York：ACM Press，1997.

［2］Bel L D E，Lapadula L J.Secure computer systems：A mathematical model［R］.Bedford，Massachusetts：Technical Report M74－244，The MITRE Corporation，1973.

［3］LIU Ke－long，DING Li.Reconstruction of BLP model based on secure subject access ［J］.Journal on Communication，2007，28 （12）：25－32 （in Chinese）.［劉克龍，丁麗.基于 “安全主體訪問”概念對BLP模型的改造 ［J］.通信學(xué)報(bào)，2007，28（12）：25－32.］

［4］LIU Wei－peng，ZHANG Xing.Research of duality and multilevel security model Based on intransitive noninterference ［J］.Journal on Communication，2009，30 （2）：53－58 （in Chinese）.［劉威鵬，張興.基于非傳遞無干擾理論的二元多級安全模型研究 ［J］.通信學(xué)報(bào)，2009，30 （2）：53－58.］

［5］CHEN Jin，LV Hong－bing，PAN Xue－zeng.Hybrid mandatory model composed of BLP and Clark－Wilson policy ［J］.Computer Engineering and Applications，2011，47 （5）：65－68 （in Chinese）.［陳進(jìn)，呂紅兵，潘雪增.基于BLP和Clark－Wilson策略的混合強(qiáng)制模型 ［J］.計(jì)算機(jī)工程與應(yīng)用，2011，47（5）：65－68.］

［6］YU Sheng，ZHU Lu，SHEN Chang－xiang.Multilevel security model ［J］.Computer Engineering and Design，2010，31（13）：2939－2942 （in Chinese）. ［于舁，祝璐，沈昌祥.多級安 全 模 型 ［J］. 計(jì) 算 機(jī) 工 程 與 設(shè) 計(jì)，2010，31 （13）：2939－2942.］

［7］Denning D.A lattice model of secure information flow ［J］.Communications of the ACM，l976，19 （5）：236－243.

［8］FU Yu，WU Xiao－ping，YE Qing，et al.An approach for information systems security risk assessment on fuzzy set and entropy－weigh ［J］.ACTA Electronica Sinica，2010，38 （7）：1489－1494（in Chinese）.［付鈺，吳曉平，葉清，等.基于模糊集與熵權(quán)理論的信息系統(tǒng)安全風(fēng)險(xiǎn)評估研究 ［J］.電子學(xué)報(bào).2010，38 （7）：1489－1494.］

［9］ZHAO Dong－mei，MA Jian－feng，WANG Yue－sheng.Model of fuzzy risk assessment of the information system ［J］.Journal on Communication，2007，28 （4）：51－56 （in Chinese）. ［趙冬梅，馬建峰，王躍生.信息系統(tǒng)的模糊風(fēng)險(xiǎn)評估模型 ［J］.通信學(xué)報(bào)，2007，28 （4）：51－56.］

［10］ZHAO Dong－mei，ZHANG Yu－qing，MA Jian－feng.Fuzzy risk assessment of Entropy－weight coefficient method applied in network security ［J］.Computer Engineering，2004，30（18）：21－23 （in Chinese）. ［趙冬梅，張玉清，馬建峰.熵權(quán)系數(shù)法應(yīng)用于網(wǎng)絡(luò)安全的模糊風(fēng)險(xiǎn)評估 ［J］.計(jì)算機(jī)工程，2004，30 （18）：21－23.］

［11］HU Jun，SHEN Chang－xiang，ZHANG Xing.Quantitative analysis method to blp model［J］.Journal of Chinese Computer Systems，2009，30 （8）：1605－1610 （in Chinese）.［胡 俊，沈昌祥，張興.一種BLP模型的量化分析方法 ［J］.小型微型計(jì)算機(jī)系統(tǒng)，2009，30 （8）：1605－1610.］