一種基于流圖的信息互動關(guān)系模型

一種基于流圖的信息互動關(guān)系模型

1缺少對單次訪問行為的安全檢測在計算機科學(xué)系統(tǒng)中，訪問控制機制基于適當?shù)牟呗钥刂朴脩舻脑L問行為，以避免未經(jīng)授權(quán)操作。但由于現(xiàn)有的訪問控制機制大多只針對當前發(fā)生的單次訪問行為,未對多個訪問行為所導(dǎo)致的信息間接傳遞進行安全性檢測,無法完成對信息的間接傳遞控制,因此系統(tǒng)中將不可避免地出現(xiàn)多個訪問行為“共謀”導(dǎo)致的非授權(quán)訪問行為,這對安全保密要求較高的應(yīng)用場合而言,將產(chǎn)生較高的信息失泄密風險。針對該問題,本文提出一種基于信息流圖的風險控制模型。2相關(guān)研究2.1資源讀訪問o1或o1例信息系統(tǒng)中有2個用戶(u1,u2)和2個資源(o1,o2),其訪問控制矩陣M如圖1所示。顯然,根據(jù)其安全策略用戶u1對資源o1沒有讀訪問權(quán)限,但用戶u1和u2可以達成共謀:u2將o1中的信息內(nèi)容讀出,并寫入到o2中,由u1將信息從o2中讀出。通過上述操作,u1即可達到讀訪問o1的目的。在上述訪問過程中,雖然每一個訪問行為并不違反系統(tǒng)的安全策略,但最終結(jié)果確實是造成了違反安全策略的訪問行為。2.2基于深度侵權(quán)的策略沖突檢測算法BLP模型是一個經(jīng)過嚴格數(shù)學(xué)證明的多級安全模型,通過限制信息從高安全級流向低安全級,可保證信息的機密性。BLP模型從20世紀70年代提出以來,一直作為典型的機密性模型沿用至今,在我國等級保護標準中,3級及3級以上信息系統(tǒng)的訪問控制就是以BLP模型為藍本進行的描述。但BLP模型對同安全級之間的信息流仍是通過2.1節(jié)示例中類似的訪問控制矩陣進行控制,也無法完全避免這種共謀訪問行為的發(fā)生。對BLP模型的改進研究,也都未能以防止共謀訪問為目標,理論上無法進行共謀訪問風險控制。RBAC模型是另一個常用的訪問控制模型,它通過為用戶分配角色,將對用戶的授權(quán)轉(zhuǎn)變?yōu)閷巧氖跈?quán),從而簡化了授權(quán),并提高了授權(quán)的安全性。但RBAC模型的訪問控制還是以類似2.1節(jié)示例中的訪問控制矩陣方式進行,訪問控制矩陣中的每一行由用戶變?yōu)榻巧?并未對訪問行為進行關(guān)聯(lián)分析,仍然存在違反安全策略的共謀訪問風險。策略沖突檢測算法和模型的研究主要是針對由于安全策略配置不合理所造成的策略沖突,是一種事前預(yù)防行為,可用于防止可提前預(yù)測的共謀訪問行為。但多數(shù)共謀訪問行為都是無法進行預(yù)測的,并且由于共謀訪問行為往往是通過合理的正常操作而實施,若從策略上限制一切可能導(dǎo)致共謀訪問的行為,將會對正常的訪問操作造成非常大的影響,使合法操作無法進行。3信息流及其安全3.1信息流特征定義1信息流向b=(x1,x2)∈(X×X),X∈UorO,其中,U={u1,u2,…,um},表示用戶的有限集合;O={o1,o2,…,on},表示資源的有限集合。信息流向(x1,x2)表示一個從x1到x2的信息流向,為直觀表示,也可記為x1→x2。一個信息流向可以由一個讀操作產(chǎn)生,也可以由一個寫操作產(chǎn)生。如用戶u1讀資源o1,則產(chǎn)生信息流向o1→u1;用戶u1寫資源o1,則產(chǎn)生信息流向u1→o1。定義2信息流φ=(x1,x2,…,xt)∈(X×X×…×X),X∈UorO,表示一條x1→x2→…→xt的信息流。信息流由多個信息流向組成,信息流φ中相鄰元素之間構(gòu)成直接信息流向,不相鄰元素之間構(gòu)成間接流向。如在信息流φ1={x1,x2,x3,x4}中,x1→x2為直接信息流向,為間接信息流向。間接信息流向由b’表示,為與直接流向有所區(qū)別,本文中使用符號表示。定義3流策略#x1→#x2,表示允許一個信息流向x1→x2的策略。訪問控制矩陣中的每個元素都可以構(gòu)成一條流策略。如M12表示流策略#x1→#x2。流策略是判定信息流向是否安全的依據(jù)之一。定義4信息流圖T,表示信息系統(tǒng)中訪問所產(chǎn)生的信息流關(guān)系,圖中的每一個節(jié)點為一個用戶或資源,有向邊為一個信息流向→,每一條路徑都是一個信息流φ。在本文模型中,使用信息流圖T描述多級互聯(lián)系統(tǒng)中的信息流向關(guān)系。定義5共謀訪問CT:對于信息流圖T中任意間接信息流向b’={x,y},當且僅當不存在策略#x→#y(該間接信息流向違背安全策略)時,該間接信息流向為共謀訪問。3.2存在比[x#y對于任意信息流,當且僅當信息流中的任意間接信息流向b’={x,y},都存在策略#x→#y(說明該信息流向符合策略),該信息流不存在共謀訪問。當且僅當信息流圖中的任意信息流中不包含共謀訪問時,信息流圖T不存在共謀訪問。4狀態(tài)1:4共享性狀態(tài)下的信息流圖定義6規(guī)則W:(R′Tc)?D′T*|L,其中,R∈b為請求信息流向,即用戶發(fā)出對客體資源的訪問時所造成的信息流向;D∈{yes,no}為響應(yīng)集,yes表示允許訪問,no表示拒絕訪問;L為邏輯;Tc為當前的信息流圖;T*為下一個狀態(tài)的信息流圖。對規(guī)則的解釋為:當信息流圖為T時,對于任意一個訪問請求R,根據(jù)某個邏輯L,系統(tǒng)將產(chǎn)生一個唯一響應(yīng)D,并且將信息流圖改變?yōu)門*,即定理3W:(R′T)?D′T*為安全規(guī)則,,當且僅當任意當前狀態(tài)下的信息流圖T不包含共謀訪問,下一個狀態(tài)的信息流圖T*中也不包含共謀訪問時,W為安全規(guī)則。定義7風險控制模型Θ=(R,D,W,T0,P),其中,P為訪問控制策略;T0為初始信息流圖。定理4Θ=(R,D,W,T0,P)為安全系統(tǒng),Θ為安全系統(tǒng),當且僅當W為安全規(guī)則且初始信息流圖T0中不包含共謀訪問。在系統(tǒng)剛啟動還沒有發(fā)生訪問時,初始信息流圖T0為空,因此,CT?T0恒為真,根據(jù)定理4,風險控制模型的安全性主要取決于規(guī)則W,下文將給出規(guī)則W的定義,并進行安全性證明。5規(guī)則及其安全性的證明5.1規(guī)則的定義和同化規(guī)則本文模型的規(guī)則W包括3個子規(guī)則,分別記為w1~w3,令Ri=(x,y),規(guī)則W的定義如下:在信息流圖Tc中,xb為x的任意前序節(jié)點;yf為y的任意后序節(jié)點,如圖2中虛線箭頭所示。5.2w2邏輯第二規(guī)則w1和w2的解釋及安全性證明如下:(1)規(guī)則w1邏輯l1:當前信息流圖Tc中已經(jīng)存在信息流向(x,y)。解釋:當發(fā)生信息流向請求Ri時,若當前信息流圖Tc中已經(jīng)存在信息流向(x,y),則系統(tǒng)給出yes響應(yīng),允許操作Ri,信息流圖不發(fā)生變化。證明:根據(jù)定理3,設(shè)當前信息流圖為Tc為安全的,只需證明訪問后的信息流圖是安全的即可。由于訪問前后信息流圖Tc未發(fā)生變化,因此規(guī)則w1符合定理3。證畢。(2)規(guī)則w2邏輯l21:Tc中不包含信息流向(x,y)。邏輯l22:系統(tǒng)存在策略允許信息流向x→y。邏輯l23:系統(tǒng)存在策略允許x的任意前序節(jié)點xb到y(tǒng)的任意后序節(jié)點yf的信息流向解釋:當發(fā)生信息流向請求Ri時,若同時滿足邏輯l21、l22和l23時,則系統(tǒng)給出yes響應(yīng),信息流圖發(fā)生變化,添加信息流向x→y。證明:設(shè)當前信息流圖Tc中不包含共謀訪問。對照訪問前后的信息流圖變化情況,新的信息流圖中增加了信息流向bnew,從而產(chǎn)生信息流φnew,如圖3中虛線箭頭所示。根據(jù)定理3,設(shè)當前信息流圖為Tc為安全的,只需證明信息流φnew中也不包含共謀訪問即可。將信息流φnew分為3個部分:uf06aXb,bnew和bYuf06a。由于Tc中不包含共謀訪問,因此由uf06aXb中的元素所構(gòu)成的信息流中不包含共謀訪問,同理,由uf06aYb中的元素所構(gòu)成的信息流中也不包含共謀訪問。由于有條件l22,存在策略允許信息流向x→y,bnew是符合安全策略的。條件l22保證了由uf06aXb中的任意元素和uf06aYb中的任意元素之間形成的間接信息流都符合策略。因此,φnew中不包含共謀訪問,信息流圖Tc||(x→y)中不包含共謀訪問。根據(jù)定理2,規(guī)則w2為安全的。得證。(3)規(guī)則w3若不符合邏輯l1和l2,則規(guī)則w3不允許訪問請求Ri發(fā)生,給出no響應(yīng),信息流圖不發(fā)生變化。顯而易見,由于信息流圖沒有發(fā)生變化,規(guī)則w3是安全的。6基于安全熵模型的安全分析6.1模型安全性分析熵這一概念最初用于熱力學(xué),美國數(shù)學(xué)家香農(nóng)將熱力學(xué)熵引入信息論,提出了信息熵的概念,用于信息無序程度的度量。隨著信息安全理論研究的深入,越來越多的學(xué)者已經(jīng)將熵引入到對信息安全風險和事件不確定性的量化分析上。文獻[9-10]采用熵權(quán)系數(shù)法,確定各種風險評估因素的權(quán)重取值,文獻通過信息熵,計算各個風險因素在系統(tǒng)風險評估中所占的比例,文獻基于條件熵的概念,提出用安全門限來分析方法以分析下向信息流動的安全性,并給出了下向信息流安全的條件。本文利用加權(quán)熵來分析和度量所提出的風險控制模型的安全性。將系統(tǒng)或模型中存在非授權(quán)訪問行為的可能性定義為安全熵,將訪問事件記為ai,i=1,2,…,q,其發(fā)生的概率記為P(ai)。將訪問事件ai對非授權(quán)訪問的影響程度記為wi,則非授權(quán)訪問發(fā)生的可能性即為訪問事件ai的加權(quán)熵。若訪問行為的概率空間[X,p(x)]和熵權(quán)空間[X,w]如下:眾所周知,在信息論中上式所得結(jié)果為離散無記憶信源的加權(quán)熵,只能反映由單次訪問行為所造成的非授權(quán)訪問的可能性,無法度量多個訪問行為共同完成策略違背的可能性。因此,需要引入離散無記憶信源的N次擴展信源。設(shè)N次擴展信源XN的概率空間為:其中,ai=(ai1,ai2,…,aiN),i1,i2,…,iN=1,2,…,q,并滿足:根據(jù)信息熵的定義,N次擴展信源的熵為:6.2其他不同行為的可能引起嚴重間的共創(chuàng)訪問在2.1節(jié)的共謀訪問示例中,根據(jù)其訪問控制策略,系統(tǒng)只允許u1讀o2、u2讀o1和u2寫o2,記為事件ai,i=1,2,3,為不失一般性令其等概率發(fā)生,則ai的概率空間[X,p(x)]為:根據(jù)每個事件對安全熵判斷的影響度,令事件ai的熵權(quán)空間[X,w]為:根據(jù)安全熵計算公式,得到其安全熵為:Hw(X)=0。隨機事件X[a1,a2,a3]的一維安全熵為0,說明單次訪問情況下發(fā)生非授權(quán)訪問的可能性為0。由于訪問控制矩陣是對主體訪問客體的行為進行的授權(quán),因此發(fā)生由二次操作構(gòu)成的共謀訪問的可能性等于0,Hw(X2)=0。事件X[a1,a2,a3]的三維擴展X3為:[a1a1a1,a1a1a2,a1a1a3,a1a2a1,a1a2a2,a1a2a3,a1a3a1,a1a3a2,a1a3a3,a2a1a1,a2a1a2,a2a1a3,a2a2a1,a2a2a2,a2a2a3,a2a3a1,a2a3a2,a2a3a3,a3a1a1,a3a1a2,a3a1a3,a3a2a1,a3a2a2,a3a2a3,a3a3a1,a3a3a2,a3a3a3],令其等概率發(fā)生,則概率空間[X3,p(x)]為:通過分析可知,在上述三維隨機事件中,a1a2a3為共謀訪問行為,違背了安全策略,令其熵權(quán)系數(shù)為1,其他為0。則X3的熵權(quán)空間[X3,w]為:則三維安全熵為:Hw(X3)=–p(a1a2a3)/lbp(a1a2a3)=lb27/27,其物理意義是發(fā)生由3次操作構(gòu)成的共謀訪問的可能性大于0。由于三維以上的隨機事件中包含了三維隨機事件,因此Hw(XN)>0(N≥3)。通過上述分析可知,當發(fā)生3次以上訪問操作時,必然存在發(fā)生共謀訪問的可能性。6.3第二,關(guān)于a3的安全作業(yè)概率空間,a下面分析本文提出的風險控制模型的安全熵。事件a1a2a3將產(chǎn)生一條O1→U2→O2→U1的信息流,該信息流中存在著間接信息流向這違背了模型的安全性定理1,安全規(guī)則將不會執(zhí)行a3操作,因此在風險控制模型的保護下,a1a2a3發(fā)生的概率為0。三維擴展事件的概率空間[X3,p(x)]為:三維安全熵H’(X3)=0。在維數(shù)大于3的隨機事件X的擴展中,由于包含a1a