劉曉坦，李曉雯，崔翔

（1.解放軍總醫(yī)院海南分院海南三亞572013；2.防空兵學(xué)院　河南鄭州450004；3.河南大學(xué)計(jì)算機(jī)與信息工程學(xué)院　河南開封475001）

?

基于可信計(jì)算的多級安全策略研究

劉曉坦1，李曉雯2，崔翔3

（1.解放軍總醫(yī)院海南分院海南三亞572013；2.防空兵學(xué)院河南鄭州450004；3.河南大學(xué)計(jì)算機(jī)與信息工程學(xué)院河南開封475001）

摘要：針對現(xiàn)有安全策略模型BLP與BIBA結(jié)合應(yīng)用存在可用性差的問題，通過引入可信度量機(jī)制提出了基于可信計(jì)算的多級安全策略TCBMLSP（Trust Computjng Based Mu1tj1eve1 Securjty Po1jcy），該策略能夠保證主客體的行為可信，解決多級信息的安全流通，并通過可信計(jì)算的遠(yuǎn)程證明機(jī)制使得該策略能夠應(yīng)用于不同安全域之間的可信通信，較好的解決了可用性差的問題。

關(guān)鍵詞：多級安全；可信計(jì)算；可信主客體；

多級安全（Mu1tj1eve1 securjty，MLS）通過將信息系統(tǒng)中的信息劃分成不同的安全級別，確保不同級別信息的隔離。擁有不同的權(quán)限的各用戶可以訪問不同級別密級的信息。多級安全研究的一個(gè)重要方面是安全訪問控制策略的建立，其中具有代表性的是BLP、BIBA策略模型［1-2］。

BLP模型能夠保證信息不能從高機(jī)密級別流向低機(jī)密級別，符合系統(tǒng)機(jī)密性的要求；BIBA模型保證信息不能從低完整性級別流向高完整性，符合系統(tǒng)完整性的要求。為了同時(shí)保證系統(tǒng)的機(jī)密性與完整性要求，文獻(xiàn)［3］在BLP及BIBA模型的基礎(chǔ)上，給出了一種面向多維的多級安全策略。該策略由3個(gè)相互獨(dú)立的安全要素組成，包括機(jī)密性、完整性、可用性，能夠滿足系統(tǒng)各方面的安全需求，但是由于該策略從3個(gè)方面同時(shí)對系統(tǒng)的行為進(jìn)行約束，使得系統(tǒng)中的信息流變得難以流動(dòng)。文獻(xiàn)［4］提出了一種基于可信級別的多級安全策略TBMLS，提出可信級別的概念，通過可信主體解決信息安全降級與流動(dòng)問題，但是沒有討論如何實(shí)現(xiàn)可信主體。文獻(xiàn)［5-6］針對上述問題，提出用可信計(jì)算來度量主體的可信性，并進(jìn)一步擴(kuò)大了主體寫客體的權(quán)限。對主體進(jìn)行可信度量，能夠保證主體中不存在木馬程序，不會(huì)將高密級的信息寫入低級別的客體中。但是，當(dāng)高密級不可信客體中存在木馬程序時(shí)，則存在高密級信息違規(guī)流入低級別可信主體的可能性，因此存在安全隱患。

針對上述問題，本文提出基于可信計(jì)算的多級安全策略（Trust Computjng Based Mu1tj1eve1 Securjty Po1jcy，TCBMLSP）。在策略中，通過引入可信計(jì)算中的可信度量及可信客體概念，保證主客體的行為可信，同時(shí)，增強(qiáng)了策略的安全性與靈活性。另外，本文通過可信計(jì)算中的遠(yuǎn)程證明機(jī)制使得該策略不僅可應(yīng)用于高安全等級操作系統(tǒng)中，同時(shí)還可應(yīng)用于不同安全等級域之間的可信通信。

1　相關(guān)概念

1.1訪問控制策略模型

BLP模型描述了一個(gè)通用的多級機(jī)密性策略，模型中的主體（subjects）擁有安全等級（securjty c1earances），客體擁有機(jī)密級別（c1assjfjcatjons）。系統(tǒng)的安全運(yùn)行必需遵循下面兩條規(guī)則：

簡單安全規(guī)則：一個(gè)主體能讀一個(gè)客體，當(dāng)且僅當(dāng)主體的安全級別大于或等于客體的安全級別，即Levelsubject≥Levelobject，并且主體擁有對客體的自主訪問讀權(quán)限。

*-規(guī)則：一個(gè)主體能寫一個(gè)客體，當(dāng)且僅當(dāng)主體的安全級別小于等于客體的安全級別，即Levelsubject≤Levelobject，并且主體擁有對客體的自主訪問寫權(quán)限。

由上述規(guī)則可以看出BLP策略允許信息流由低機(jī)密級別流向高機(jī)密級別，但是不允許信息流的反向流動(dòng)，即“不能上讀，不能下寫”。

BIBA模型的策略規(guī)則與BLP策略正好相反，允許信息流由高完整性級別流向低完整性級別，而不允許反向流動(dòng)，即“不能上寫，不能下讀”，從而保證了高完整性級別的信息不被低完整性級別實(shí)體破壞。

1.2可信與可信計(jì)算

學(xué)術(shù)界對可信的定義有許多種解釋，其中可信計(jì)算組［7］（Trusted Computjng Group，TCG）對可信的定義為：如果一個(gè)實(shí)體的行為總是以預(yù)期的方式，朝著預(yù)期的目標(biāo)，則該實(shí)體是可信的。其于上述表述，本文認(rèn)為可信性的值為一個(gè)二元組，即｛可信，不可信｝，驗(yàn)證一個(gè)主客體是否可信的方法有很多，由于如何度量不在本文討論的范圍之內(nèi)，具體可參考文獻(xiàn)［8-15］等。

可信計(jì)算通過在現(xiàn)有主板上綁定一個(gè)小型防篡改硬件——可信計(jì)算模塊（Trusted P1atform Modu1e，TPM），終端從平臺加電開始，到運(yùn)行環(huán)境的建立，再到應(yīng)用程序的執(zhí)行，任何實(shí)體在獲得控制權(quán)之前，都需要經(jīng)過可信基度量，可信基能夠保證策略的正確實(shí)施，系統(tǒng)中的所有執(zhí)行不能繞過可信基去執(zhí)行。

遠(yuǎn)程證明（Remote Attestatjon）是可信計(jì)算中的一個(gè)核心的功能，證明方將系統(tǒng)當(dāng)前的狀態(tài)可信的方式提供給遠(yuǎn)程驗(yàn)證方，遠(yuǎn)程驗(yàn)證方根據(jù)完整性報(bào)告來判斷證明方的安全狀態(tài)，從而決定是否與之交互。遠(yuǎn)程證明功能充分體現(xiàn)了可信計(jì)算的實(shí)質(zhì)。

2　基于可信計(jì)算的多級安全策略

文中所提出的基于可信計(jì)算的多級安全策略TCBMLSP，其不僅考慮主體的可信度，而且考慮客體的可信度。TCBMLSP能夠通過可信計(jì)算中的可信度量機(jī)制驗(yàn)證客體是否可信。

在系統(tǒng)中的每個(gè)主客體都賦予四個(gè)屬性，即機(jī)密性、完整性、訪問域、可信性，其中機(jī)密性、完整性、訪問域?yàn)榛ハ嗒?dú)立的屬性，由管理員通過系統(tǒng)可信基對其進(jìn)行賦值，可信性則由可信基在必要時(shí)對其進(jìn)行度量獲得。

2.1系統(tǒng)符號定義

s：主體

o：客體

R：讀操作

W：寫操作

S（）：主客體機(jī)密性級別函數(shù)，值域?yàn)椋?，2，…｝

I（）：主客體完整性級別函數(shù)，值域?yàn)椋?，2，…｝

C（）：主客體的訪問域。

T（）：主客體可信性級別函數(shù)，

值域?yàn)椋鸗，F(xiàn)，N｝，其中，T表示可信，

F表示不可信，N表示未驗(yàn)證。

＜S，I，C，T＞：主客體的安全屬性元素組，

分別對應(yīng)機(jī)密級別、完整級別、訪問域與可信級別。

2.2規(guī)則定義

1）sRo jff＜1.1＞or＜1.2＞

＜1.1＞S（s）≥S（o）∧I（s）≤I（o）∧C（s）?C（o）

＜1.2＞T（o）=T∧C（s）?C（o）

2）sWo jff＜2.1＞or＜2.2＞

?＜2.1＞S（s）≤S（o）∧I（s）≥I（o）∧C（s）?C（o）

?＜2.2＞T（s）=T∧C（s）?C（o）

規(guī)則一表示主體讀客體必須同時(shí)遵守BLP和BIBA模型讀限制（＜1.1＞），但是當(dāng)客體為可信且主體的訪問域包含客體訪問域時(shí)，允許主體讀客體（＜1.2＞）。由于通過可信計(jì)算對高機(jī)密性客體進(jìn)行可信度量，保證了客體中不包含木馬等危害程序使得機(jī)密信息流向到低級別主體中去。同樣，對低完整性級別客體進(jìn)行可信度量后，保證了客體中不包含危害行為破壞主體的完整性。

規(guī)則二表示主體寫客體必須同時(shí)遵守BLP和BIBA模型寫限制（＜2.1＞），但是當(dāng)主體為可信且主體的訪問域包含客體訪問域時(shí)，允許主體寫客體（＜2.2＞）。同規(guī)則一相同，當(dāng)高機(jī)密級主體是可信時(shí)，表明主體不會(huì)將包含有高機(jī)密級的信息泄露給低機(jī)密級客體。同理，可信的低完整性級主體寫高完整性客體時(shí)，不會(huì)破壞其完整性。

從規(guī)則一和二還可看出，如果當(dāng)主體遵守BLP和BIBA模型后即不能寫也不能讀客體時(shí)，則需要主體與客體都經(jīng)過可信度量后，才能允許主體讀寫客體。

TCBMLSP可以解決BLP模型與BIBA模型組合后，系統(tǒng)難互通的問題，實(shí)現(xiàn)信息的安全流通問題。同時(shí)，該策略模型也能實(shí)現(xiàn)各種信道控制策略，具有較強(qiáng)的策略表達(dá)能力。表1給出了TCBMLSP中主體訪問客體的控制列表。其中，橫表頭表示表示主體s的屬性，縱表頭表示客體o的屬性。主客體的屬性是一個(gè)三元組（機(jī)密性，完整性，可信性）。機(jī)密性與完整性通過L表示低級別，H表示高級別，可信性則通過T和F來表達(dá)，則主客體分別有9種不同的安全屬性。另外，在列表中，要求主體s的訪問域包含客體o的訪問域，即C（s）?C（o）。從表中可以看出，TCBMLSP可以滿足大部分操作的需要，并且通過可信計(jì)算中的可信度量機(jī)制能夠?qū)崿F(xiàn)信息的安全流通，避免了采用不可信特權(quán)進(jìn)程繞過安全策略進(jìn)行違規(guī)操作。

3　實(shí)例應(yīng)用

3.1本地應(yīng)用舉例

如圖1所示，假設(shè)系統(tǒng)具有可信計(jì)算功能，進(jìn)程A與進(jìn)程B及安全級別列表經(jīng)過可信計(jì)算技術(shù)分隔在3個(gè)虛擬域中，保證了各進(jìn)程及列表不會(huì)被其它進(jìn)程干擾或篡改，進(jìn)程間的通信必須經(jīng)過可信基的允許，安全級別列表中包含系統(tǒng)中所有進(jìn)程及數(shù)據(jù)的安全級別，安全級別列表具有高機(jī)密性及完整性，所以只能由可信基讀取、修改。

表1　TCBMLS的訪問控制列表

圖1　TCBMLSP本地應(yīng)用

進(jìn)程s的安全級為（2，2，N，＜A，B＞），表示s的機(jī)密級別為2，完整性級別為2，未進(jìn)行可信度量，其訪問域包含A域、B域。類似的，客體進(jìn)程o的安全級別為（1，1，N，＜A，B＞），當(dāng)進(jìn)程s要將低級別信息降級寫入進(jìn)程o時(shí)的流程如下：

1）進(jìn)程s發(fā)出請求給可信基，要求寫進(jìn)程o。

2）可信基讀安全級別列表，比對進(jìn)程s、o的安全級別，

發(fā)現(xiàn)寫操作違反規(guī)則＜2.1＞。

3）對主體進(jìn)程s進(jìn)行驗(yàn)證，驗(yàn)證進(jìn)程s是否可信且

C（s）?C（o）

4）若驗(yàn)證通過，則滿足規(guī)則＜2.2＞，允許s將信息寫入進(jìn)程o。

若驗(yàn)證不通過，則進(jìn)程s有可能將高機(jī)密級信息寫入低級別進(jìn)程中，故禁止通信。

3.2遠(yuǎn)程應(yīng)用舉例

如圖2所示，安全互聯(lián)部件分別布署在兩個(gè)域的出口處，域A與域B之間的通信通過安全互聯(lián)部件進(jìn)行并被加密，兩個(gè)安全互聯(lián)部件是可信的，并相互信任，一起構(gòu)成了一個(gè)可信基。

圖2　TCBMLSP遠(yuǎn)程應(yīng)用

進(jìn)程s的安全級為（2，2，N，＜A，B＞），客體進(jìn)程o的安全級別為（1，1，N，＜A，B＞）。當(dāng)高完整性s要讀低完整性o時(shí)的流程如下：

1）s發(fā)出請求給A域的安全互聯(lián)部件，要求讀區(qū)域B中設(shè)備o中的數(shù)據(jù)。

2）A方安全互聯(lián)部件通過B方安全互聯(lián)部件取得客體o安全級別，并與s的安全級別對比。

3）發(fā)現(xiàn)讀操作不滿足規(guī)則＜1.1＞。

4）A方安全互聯(lián)部件請求B方安全互聯(lián)部件獲得客體o的可信度。

5）B方安全互聯(lián)部件通過遠(yuǎn)程證明機(jī)制獲得客體o的可信度，并將結(jié)果返回給A方安全互聯(lián)部件。

6）若o可信，則允許主體s讀客體o。

4　功能分析與比較

與文獻(xiàn)［4-6］相比，本文所提出的基于可信計(jì)算的多級安全策略TCBMLSP，不僅考慮主體的可信度，而且還考慮了客體的可信度。TCBMLSP通過引入可信客體，增加了策略的安全性與靈活性，不僅包含文獻(xiàn)［4-6］中策略模型的所有表達(dá)，而且對系統(tǒng)所有的操作都進(jìn)行了定義，所以不存在違規(guī)操作，保證了系統(tǒng)的安全性。另外，本文通過可信計(jì)算中的遠(yuǎn)程證明機(jī)制使得該策略不僅可應(yīng)用于高安全等級操作系統(tǒng)中，同時(shí)還可應(yīng)用于不同安全等級域之間的可信通信。

5　結(jié)束語

本文提出了基于可信計(jì)算的多級安全策略TCBMLSP，通過引入可信主客體的概念，在解決多級信息安全流通的同時(shí)，保證了主客體的行為可信，并通過可信計(jì)算的遠(yuǎn)程證明機(jī)制使其可應(yīng)用于不同安全等級域之間的可信通信。下一步工作將通過非傳遞不干擾信息流理論對TCBMLSP進(jìn)行建模與安全性證明。

參考文獻(xiàn)：

［1］Be11 D E，LAPADULA L J.Secure computer system：mathematjca1 foundatjon and mode1［R］. mjtre corp，bedford Massachussetts：technjca11 report，1973.

［2］Sandhu RS.Lattjce-Based access contro1 mode1s.IEEE Computer，1993，26（11）：9-19.

［3］E1j Wjnjum，Bjorn Kjetj1 Mo1mann，A mu1tjdjmensjona1 approach to mu1tj1eve1 securjty［C］.Informatjon Management and Computer Securjty，2008.

［4］謝鈞，許峰，黃皓，基于可信級別的多級安全策略及其狀態(tài)機(jī)模型［J］.軟件學(xué)報(bào)，2004，15（11）：1700-1708.

［5］黃強(qiáng)，沈昌祥，陳幼雷，等.基于可信計(jì)算的保密和完整性統(tǒng)一安全策略［J］.計(jì)算機(jī)工程與應(yīng)用，2006，10：15-18.

［6］馮登國，秦宇，汪丹，等.可信計(jì)算技術(shù)研究［J］.計(jì)算機(jī)研究與發(fā)展.2011，8：1332-1349.

［7］楊蓓，吳振強(qiáng)，楊小勃.基于可信計(jì)算的多級安全模型［J］.計(jì)算機(jī)工程與應(yīng)用.2011，47（27）：122-125.

［8］Trusted Computjng Group. TCG Specjfjcatjon Archjtecture Overvjew v1.3［EB/OL］：https：// www.Trusted computjng group.org/ specs/，2013.

［9］Xjnwen Zhang，Mjchae1 J.Covjngton，Songqjng Chen and RavjSandbu. SecureBus：Towards App1jcatjon -Transparent Trusted Computjng wjth Mandatory Access Contro1［A］. In：ASIACC'07［C］//Sjngapore：ACM Press，2007：117-126.

［10］劉昌平，范明鈺，王光衛(wèi).開放網(wǎng)絡(luò)環(huán)境完整性按需度量模型［J］.計(jì)算機(jī)研究與發(fā)展.2011，48（2）.

［11］王貴超.基于多級安全策略的RFID認(rèn)證協(xié)議研究［D］.延邊：延邊大學(xué).2014

［12］王輝，賈宗璞，申自浩，等.基于信息流的多級安全策略模型研究［J］.計(jì)算機(jī)科學(xué).2010，1（37）：75-78.

［13］裴華艷，王煥民.基于可信計(jì)算的多租戶隱私數(shù)據(jù)保護(hù)［J］.計(jì)算機(jī)系統(tǒng)應(yīng)用.2015（24）10：248-252.

［14］MC Chuang，MC Chen.An anonymous mu1tj-server authentjcated key agreement scheme based on trust computjng usjng smart cards and bjometrjcs［J］.Expert Systems wjth App1jcatjons.2014，4（41）：1411-1418.

［15］Fjrdhous，M.；Ghaza1j，O.；Hassan，S. A trust computjng mechanjsm for c1oud computjng wjth mu1tj1eve1 thresho1djng ［C］.Industrja1 and Informatjon Systems（ICIIS），2011.

Research on trust comPutlng based multllevel securlty Pollcy

LIU Xjao-Tan1，LI Xjao-Wen2，CUI Xjang3
（1.Hainan branch of PLA General Hospital，Sanya 572013，China；2.Anti-air force college，Zhengzhou 450004，China；3.Institute of computer and information engineering，Henan University，Kaifeng 475001，China）

Abstract:Ajmjng at the prob1em of the securjty po1jcy exjstjng whjch Combjnate BLP and BIBA，In thjs paper，Trust computjng based mu1tj1eve1 securjty po1jcy has been jntroduced. Through the concept of trusted measurement，the subject and object's actjon can proved to be trust. It can so1ve the mu1tj1eve1 securjty jnformatjon transjtjon and can transjtjon the jnformatjon between two domajn usjng the remote attestatjon.

Key words:mu1tj1eve1 securjty；trusted computjng；trusted subject/object

中圖分類號：TN918

文獻(xiàn)標(biāo)識碼：A

文章編號：1674-6236（2016）07-0148-03

收稿日期：2015-11-15稿件編號：201511136

基金項(xiàng)目：國家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃（“973”計(jì)劃）基金資助（2012CB315901）

作者簡介：劉曉坦（1985—），女，河南周口人，碩士，助理工程師。研究方向：通信網(wǎng)絡(luò)安全。