基于信息論的訪問控制策略安全性分析

基于信息論的訪問控制策略安全性分析

1信息熵與行為定義訪問控制策略是指用戶如何使用信息系統(tǒng)信息資源的規(guī)則、指南和定義，是制定控制規(guī)則和安全程序的必要基礎(chǔ)。典型的訪問控制策略主要包括獨(dú)立的訪問控制策略和強(qiáng)制訪問控制策略。然而，獨(dú)立訪問控制策略和強(qiáng)制訪問控制策略只是對(duì)用戶的訪問行為進(jìn)行定義和解釋，并控制基于非法行為的訪問控制策略的控制。我們能解決哪些安全問題？安全性與用戶和資源的訪問時(shí)間之間的關(guān)系是什么？不同應(yīng)用控制策略的優(yōu)勢(shì)是什么？目前，由于缺乏控制戰(zhàn)略訪問的量化分析和測(cè)量方法，這些問題沒有明確、科學(xué)的答案，信息系統(tǒng)管理者選擇合適的訪問控制策略或安全機(jī)制是混亂和困難的。在這項(xiàng)工作中，我們參考了信息熵在事物上不確定測(cè)量的概念，提出了安全熵的概念，并提供了科學(xué)方法來分析訪問控制策略。2安全熵2.1信息熵理論的應(yīng)用熵這一概念最初用于熱力學(xué),美國數(shù)學(xué)家香農(nóng)將其引入信息論,提出了信息熵的概念.信息熵用于信息無序程度的度量.信息熵理論可以在工程科學(xué)和社會(huì)科學(xué)的諸多領(lǐng)域得到應(yīng)用,已有學(xué)者將熵引入到對(duì)信息安全風(fēng)險(xiǎn)和事件不確定性的量化分析上.也有學(xué)者基于信息熵理論對(duì)經(jīng)典的BLP訪問控制模型進(jìn)行了量化分析,使用條件熵設(shè)置安全門限來度量模型的安全性,給出了“下向信息流”安全的條件,并證明了該條件下系統(tǒng)仍保持其保密性,但該方法僅限于對(duì)“下向信息流”方面.(1)離散型隨機(jī)信源的信息熵模型對(duì)于離散型隨機(jī)信源(變量)X,其符號(hào)集為A:ai(i=12,…,q),q為符號(hào)集的個(gè)數(shù),事件ai發(fā)生的概率記為P(ai),其概率空間[X,p(x)]如下:[XΡ(x)]=[a1a2p(a1)p(a2)...aqp(aq)]該離散型隨機(jī)信源的信息熵為:Η(X)=-q∑i=1p(ai)logp(ai)其中,p(ai)≥0(i=1,2,…,q)且q∑i=1p(ai)=1(2)n維隨機(jī)矢量的聯(lián)合概率分布一系列離散隨機(jī)變量構(gòu)成隨機(jī)矢量,即由多個(gè)離散變量構(gòu)成的隨機(jī)變量序列X=(X1…Xi…XN),其中每個(gè)隨機(jī)變量Xi(i=1,2,…,N).若多維隨機(jī)序列中各維離散隨機(jī)變量的概率分布都相同,且相互之間是無依賴的、統(tǒng)計(jì)獨(dú)立的,則N維隨機(jī)矢量的聯(lián)合概率分布滿足P(X)=P(X1X2…XN)=P1(X1)P2(X2)…PN(XN)若不同時(shí)刻的離散隨機(jī)變量取值于同一符號(hào)集A:{a1,…,aq}則有Ρ(x=ai)=Ρ(ai1,ai2,?,aiΝ)=q∏ik=1Ρ(aik)式中,ai是N維隨機(jī)矢量的一個(gè)取值,即ai=(ai1,ai2,…,aiN),而P(aik)是符號(hào)集A的一維概率分布.根據(jù)信息熵的定義,N次擴(kuò)展信源的熵Η(X)=Η(XΝ)=-∑XΝp(X)logp(X)=-∑XΝp(ai)logp(ai)其中∑XΝ為對(duì)所有N維隨機(jī)矢量求和的簡(jiǎn)寫.(3)信源x權(quán)重的確定香農(nóng)定義的信息熵是撇開人的主觀因素的,它只是概率的函數(shù).但在實(shí)際場(chǎng)合中,各隨機(jī)事件雖以一定的概率發(fā)生,而各種事件的發(fā)生對(duì)人們有著不同的價(jià)值和效用.為了把主觀價(jià)值和主觀意義引進(jìn)信息的測(cè)度中,對(duì)每一個(gè)事件ai指定一個(gè)非負(fù)實(shí)數(shù)ωi≥0(i=1,2,…,q),這組實(shí)數(shù)稱為事件的權(quán)重.若信源X的權(quán)重分布[X,ωi]為[Xω]=[a1a2ω1ω2...aqωq]則信源X的加權(quán)熵為Η(X)=-q∑i=1ωip(ai)logp(ai)2.2“非授權(quán)訪問事件”的安全熵值定義1(安全熵)非授權(quán)訪問行為的最大不確定性測(cè)度.我們將系統(tǒng)中的訪問事件作為隨機(jī)變量看待,則加權(quán)熵可用來描述訪問事件的不確定性測(cè)度.由于安全熵是對(duì)非授權(quán)事件的整體測(cè)度,可令非授權(quán)事件的權(quán)值為1,合規(guī)事件(符合安全策略的事件)的權(quán)值為0.由此得到的加權(quán)熵反映了“非授權(quán)訪問事件”的不確定性測(cè)度,為了與香農(nóng)的信息熵有所區(qū)別,本文稱之為安全熵.眾所周知,實(shí)際的信息系統(tǒng)中信息失泄往往是由多次訪問行為共同作用的結(jié)果.因此,為了反映多個(gè)訪問行為對(duì)信息安全的影響,可將訪問事件看作由多個(gè)離散事件構(gòu)成的事件序列X=(X1…Xi…XN).按照信息論中定義,將隨機(jī)矢量中離散變量的個(gè)數(shù)N稱為隨機(jī)矢量的維數(shù).N維事件序列的安全熵稱為N維安全熵.3不同策略安全熵定義2(策略安全熵)策略安全熵HP(X)指違反某策略P的非授權(quán)訪問事件X的最大平均不確定性測(cè)度.ΗΡ(X)=-q∑i=1ωip(ai)logp(ai)其中,p(ai)≥0(i=1,2,…,q),且q∑i=1p(ai)=1,ωi≥0(i=1,2,…,q),P為安全策略.策略安全熵描述了某個(gè)安全策略下的發(fā)生非授權(quán)事件的整體概率測(cè)度,反映了安全策略對(duì)訪問行為的控制力度,因此策略的安全熵可以認(rèn)為是策略的安全強(qiáng)度的一種體現(xiàn).策略熵越小說明該策略下非授權(quán)事件的有序程度越大,混亂程度越小,非授權(quán)事件的不確定性越小,策略的安全強(qiáng)度越大.策略熵越大則說明該策略下非授權(quán)事件的有序程度越小,混亂程度越大,非授權(quán)事件的不確定性越大,策略的安全強(qiáng)度越小.定義3(自主策略安全熵)違反自主訪問控制策略的非授權(quán)事件平均不確定性,記為HPd(X).N維事件的自主策略安全熵稱為N維自主策略安全熵,記為HPd(XN).定義4(強(qiáng)制策略安全熵)違反強(qiáng)制訪問控制策略的非授權(quán)事件平均不確定性,記為HPm(X).N維事件的強(qiáng)制策略安全熵稱為N維強(qiáng)制策略安全熵,記為HPm(X).4典型訪問控制策略的安全熵4.1獨(dú)立訪問控制策略的安全熵(1)k條負(fù)授權(quán)策略定理1一維自主策略安全熵ΗΡd(X)=(q+1)log(q)2其中q=2mn,m,n分別為用戶和資源的個(gè)數(shù).證明系統(tǒng)的訪問操作都可以分解為讀r和寫w原子操作,對(duì)于m個(gè)用戶和n個(gè)資源,可能發(fā)生的操作方式為2mn種.則隨機(jī)事件X的符號(hào)集為A:ai(i=12,…,q),q=2mn.不失一般性,令隨機(jī)事件等概率發(fā)生,P(ai)=1/q(i=12,…,q).若系統(tǒng)存在k條負(fù)授權(quán),發(fā)生違規(guī)操作的可能性就有k(k≤q)種可能性,不妨將非授權(quán)事件的事件集合記為{a1,a2,…,ak}.則k條負(fù)授權(quán)策略時(shí)的隨機(jī)事件X的概率分布[X,P(ai)]為[XΡ(ai)]=[a1...akak+1...aq1q1q1q1q1q1q]由于合法事件對(duì)系統(tǒng)的安全性沒有影響,可令非授權(quán)事件的熵權(quán)為1,合規(guī)事件的熵權(quán)為0,得隨機(jī)事件X的熵權(quán)分布[X,ωi]為[Xω]=[a1...akak+1...aq111000]根據(jù)安全熵的計(jì)算公式,k條負(fù)策略時(shí)的一維自主策略安全熵HPd(k)(X)為ΗΡd(k)(X)=-∑i=1qωip(ai)logp(ai)=-∑i=1k1×p(ai)logp(ai)-∑i=k+1q0×p(ai)logp(ai)=klog(q)q平均一維自主策略安全熵HPd(X)為ΗΡd(X)=∑k=0qΗΡd(k)(X)q=∑k=1qklog(q)q=log(q)q∑k=1qk=(q+1)log(q)2得證.(2)非授權(quán)事件發(fā)生情況定理2N維自主策略安全熵ΗΡd(XΝ)=∑k=1q∑i=1[Ν/2]kCΝ2i(12)iq(Ν-i-1)(q+1)q/2(log(qΝ)qΝ)其中q=2mn,m,n分別為用戶和資源的個(gè)數(shù).證明在主體和客體之間,可能通過多次訪問實(shí)現(xiàn)間接違規(guī),如對(duì)于負(fù)授權(quán)“?(s2,o1,r)”,可以通過s1讀o1,s1寫o2,s2讀o2來實(shí)現(xiàn)間接的信息傳遞,也就是用戶s2得到了o2中的信息,這顯然違反了該負(fù)授權(quán),但是由于其他的三個(gè)事件可能并未違反安全策略,因此在自主訪問控制策略中,這種間接信息流是允許發(fā)生的.由于訪問事件都是用戶對(duì)資源的操作,因此這種間接非授權(quán)訪問都是在奇數(shù)次訪問時(shí)所形成.對(duì)于一條負(fù)授權(quán),可以形成Cn-1(j-1)/2Cm-1(j-1)/2種長(zhǎng)度為j不同組合形式的間接非授權(quán)事件.包含某一長(zhǎng)度為j的間接非授權(quán)事件的N維事件序列共有q(N-j)種可能的排列組合方式.因此共有CjNCn-1(j-1)/2Cm-1(j-1)/2q(N-j)種j次訪問違規(guī)的情況.對(duì)于k條負(fù)授權(quán),最多有kCjNCn-1(j-1)/2Cm-1(j-1)/2q(N-j)種可能性.實(shí)際的信息系統(tǒng)中mn通常很大,因此非授權(quán)事件可能數(shù)的計(jì)算可以簡(jiǎn)化kCΝjCn-1(j-1)/2Cm-1(j-1)/2≈kn(j-1)/2m(j-1)/2≈k(mn)(j-1)/2=kCΝj(q2)(j-1)/2.由此N維事件序列在k條負(fù)授權(quán)時(shí),可能形成的非授權(quán)事件數(shù)量最大為∑j=3,5,...ΝkCΝj(q2)(j-1)/2q(Ν-j)=∑j=3,5,...ΝkCΝj(12)(j-1)/2q(Ν-j)+(j-1)/2=∑j=3,5,...ΝkCΝj(12)(j-1)/2q(Ν-(j-1)/2+1)≈∑i=2[Ν/2]kCΝ2i(12)iq(Ν-i-1)對(duì)k取均值得∑k=1q∑i=1[Ν/2]kCΝ2i(12)iq(Ν-i-1)(q+1)q/2在信息論中事件等概率時(shí)的信息熵的最大,因此令隨機(jī)事件等概率發(fā)生,即P(ai)=(1/q)N,此時(shí)計(jì)算得到的N維自主安全熵最大.ΗΡd(XΝ)|ΗRU=-∑k=1q∑i=1[Ν/2]kCΝ2i(12)iq(Ν-i-1)(q+1)q/2(1qΝ)log(1qΝ)=∑k=1q∑i=1[Ν/2]kCΝ2i(12)iq(Ν-i-1)(q+1)q/2(log(qΝ)qΝ)得證.4.2強(qiáng)制性訪問控制策略的安全熵(1)基于安全熵的安全熵權(quán)定理3一維強(qiáng)制策略安全熵ΗΡm(X)=log(6)3證明強(qiáng)制訪問控制策略與具體某個(gè)用戶或資源無關(guān),僅與用戶和資源安全級(jí)之間的關(guān)系有關(guān),如(機(jī)密性策略):信息不能從高安全級(jí)流向低安全級(jí).用戶和資源之間可能的事件為{信息從高安全級(jí)用戶流向低安全級(jí)資源,信息從低安全級(jí)用戶流向高安全級(jí)資源,信息從同安全級(jí)用戶流向同安全級(jí)資源,信息從低安全級(jí)資源流向高安全級(jí)用戶,信息從高安全級(jí)資源流向低安全級(jí)用戶,信息從同安全級(jí)資源流向同安全級(jí)用戶},分別記為{a1,a2,…,a6}.我們將用戶和資源之間的信息流向作為隨機(jī)變量X,則X的符號(hào)集為A:ai(i=1,2,…,6).不失一般性,令隨機(jī)事件等概率發(fā)生,P(ai)=1/6,根據(jù)強(qiáng)制訪問控制策略,a1和a5為非授權(quán)事件,得隨機(jī)事件X的熵權(quán)分布[Xω]=[a1a2a3a4a5a6100010]根據(jù)安全熵的計(jì)算公式,一維強(qiáng)制策略安全熵HPm(X)為ΗΡm(X)=-∑i=16ωip(ai)logp(ai)=-1×p(a1)logp(a1)-1×p(a5)logp(a5)=log63得證.(2)多次合規(guī)事件的非授權(quán)事件屬性定理4N維強(qiáng)制策略安全熵ΗΡm(X)=log(6)3證明強(qiáng)制訪問控制是一種流策略,這種流策略是符合偏序關(guān)系的格,而格具有傳遞性,Denning已對(duì)此進(jìn)行了定義和證明.因此強(qiáng)制訪問控制策略無法形成類似自主訪問控制策略那樣的間接違規(guī)信息流,多次合規(guī)事件不會(huì)形成一次非授權(quán)事件.對(duì)于隨機(jī)事件序列X=(X1X2,…,XN),某個(gè)符號(hào)(維)是否為非授權(quán)事件與之前和之后的事件無關(guān),只與本次事件是否為非授權(quán)事件有關(guān).這就相當(dāng)于計(jì)算信息論中無記憶平穩(wěn)信源N維擴(kuò)展信源的信息熵,有H(X)=NH(X)因此可得ΗΡm(X)=ΝΗΡm(X)=Νlog(6)3得證.5訪問控制策略的安全分析基于訪問控制策略的安全熵,我們對(duì)其安全性進(jìn)行分析.(1)間接信息流對(duì)非授權(quán)訪問行為的控制自主訪問控制策略的一維安全熵僅與q相關(guān),因此對(duì)于單次訪問事件,非授權(quán)訪問行為的發(fā)生只與信息系統(tǒng)中的用戶數(shù)和資源數(shù)量相關(guān),并且非授權(quán)事件的整體測(cè)度不會(huì)隨著訪問次數(shù)的增加而改變.由于隨著q的增大,安全熵越來越大,因此自主訪問控制策略在用戶數(shù)和資源數(shù)增加時(shí),非授權(quán)訪問行為的混亂程度增大,說明對(duì)非授權(quán)訪問行為的控制力度越來越弱,當(dāng)q非常大時(shí),自主訪問控制策略對(duì)非授權(quán)訪問行為的控制將非常困難.相比一維安全熵,其N維安全熵除了與q相關(guān)外,還與事件序列的維數(shù)N相關(guān),這說明訪問次數(shù)影響著非授權(quán)行為發(fā)生的可能性,N越大,則非授權(quán)訪問行為的數(shù)量越多,混亂程度越大.N維安全熵實(shí)質(zhì)上反映的是由于間接信息流所導(dǎo)致的非授權(quán)訪問行為的不確定性測(cè)度.(2)強(qiáng)制訪問控制策略的安全性高于自主訪問控制策略強(qiáng)制訪問控制策略的一維安全熵是一個(gè)常數(shù),說明強(qiáng)制訪問控制策略中發(fā)生非授權(quán)事件的可能性與系統(tǒng)中的資源和用戶個(gè)數(shù)無關(guān),因此對(duì)任何強(qiáng)制訪問控制策略保護(hù)下的信息系統(tǒng),非授權(quán)事件行為的預(yù)期是一致的,即使當(dāng)q非常大時(shí),強(qiáng)制訪問控制策略對(duì)非授權(quán)訪問行為的控制也是不變的.并且由于HPd(X)>>HPm(X),說明強(qiáng)制訪問控制策略對(duì)非授權(quán)訪問行為的控制力度要遠(yuǎn)遠(yuǎn)大于自主訪問控制,因此不難得出結(jié)論:強(qiáng)制訪問控制策略的安全性高于自主訪問控制策略.強(qiáng)制訪問控制策略的N維安全熵不再是個(gè)常數(shù),