首页 理论教育 多级安全模型研究现状:信息时代的计算机安全技术

多级安全模型研究现状:信息时代的计算机安全技术

时间:2023-10-26 理论教育 版权反馈
【摘要】:BIBA模型的安全策略主要是为主体、客体分配安全标记,依据BIBA模型的安全特性,通过比较主、客体的完整性安全级别和范畴,来控制主体对客体的操作。同时,在多级安全环境下,中国墙模型中的利益冲突主要体现为客体数据聚合问题,这也是BLP模型未考虑的。

多级安全模型研究现状:信息时代的计算机安全技术

模型是建立多级安全网络信息系统间安全通信的基础。因此,笔者在给出面向多级安全的网络安全通信内涵的基础上,对其相关的多级安全模型进行了分析,讨论了其研究现状。

(一)经典的多级安全模型

经典的多级安全模型主要包括BLP模型、BIBA模型、Chinese-Wall(中国墙模型)、DTE模型、Denning信息流格模型等,通常用于多级安全环境下的强制访问控制,以确保客体资源的机密性与完整性。

1.BLP模型

BLP(Bell&Lapadula)是一个保密性多级安全模型,是模拟符合军事安全策略最为经典的计算机操作模型,它于1973年由戴维·贝尔(David Bell)和莱纳德·拉帕杜拉(Leonard Lapadula)提出,并在1976年修订与完善,是目前多级安全信息系统的设计基础。

BLP模型开创了安全模型理论的先河。它是一个状态机模型,形式化地定义了信息系统、系统状态以及系统状态间的转换定理、规则,依据状态间的转换及约束,可证明系统的安全性。其基本思路是:假设系统中一个状态v是安全的,那么经过系统状态规则、定理后,系统的下一个状态也是安全的,即可推导证明系统的安全性。

BLP模型的安全策略分为自主安全策略(Discretionary Access Control,简称DAC)和强制安全策略(Mandatory Access Control,简称 MAC)两部分。其中,DAC采用访问控制矩阵,依据访问控制矩阵中主体对客体的访问权限,限定主体对客体的访问;而MAC则是为主体和客体分配安全标记(包括保密性安全级别和范畴),依据BLP模型的安全特性,通过比较主、客体的安全标记来限定主体对客体的访问及操作范围。

尽管BLP模型能够实施强制访问控制,防止将高级别信息泄露给低级别的主体,但是其在实施过程中还存在着诸多问题,如灵活性与网络适应性差,客体聚合而引起信息泄密等。

2.BIBA模型

BIBA模型是毕巴(K.J.Biba)于1997年提出的一个完整性多级安全模型,是与BLP模型相反的模型,用于保护客体的完整性。BIBA模型的安全策略主要是为主体、客体分配安全标记(包括完整性安全级别和范畴),依据BIBA模型的安全特性,通过比较主、客体的完整性安全级别和范畴,来控制主体对客体的操作。

BIBA模型定义了多种客体操作,包括修改、读取、执行、引用等。其中,修改是指对客体进行写操作,该操作必须满足BIBA模型的“*-”特性;读取是指从客体读取信息,符合BIBA模型的简单完整性原则;执行是主体对客体的运行管理操作;引用则是指主体对另一主体的调用访问。

尽管BIBA模型保证了系统的完整性,但是其不能防止不可信实体故意泄露高安全级别的信息,因此有学者将BLP模型与BIBA模型结合起来进行使用,对于一般的实体采用BLP模型,而对于可信任的实体采用BIBA模型。但是,由于应用的复杂性,特别是在机密性和完整性都要求较高时,就容易出现客体无法访问的情况。正是存在这个原因,使得BIBA模型只能在Multics和VAX等少数的系统中实现。

3.中国墙(Chinese wall)模型

布鲁尔(Brewer)和纳什(Nash)依据真实环境下的商业策略模型,提出了中国墙模型,以用于控制用户对利益冲突数据的访问。该模型将信息分为三个层次:最高层为依据单位利益冲突划分的冲突类COI(Conflict Of Interest),具有利益冲突的单位可归为同一个COI,每个单位当且仅当属于一个COI;下一层为单位的数据集合CD(Company Dataset);而最下层为单位的数据对象。中国墙模型下数据的层次划分如图4-1所示。

图4-1 中国墙模型下数据的层次划分

中国墙安全策略是依据利益冲突限定用户对同一COI中CD的访问,犹如在各个利益冲突单位之间构筑了“城墙”。假设s曾访问过COIj中的CDi,则主体访问规则为:①主体s可以访问“城墙”内数据对象,即s可以访问CDi中的数据,不能访问其他CDk,CDk∈COIj;②若s未曾访问过COIk,则s可以访问COIk中任意一个CD。一旦s访问了COIk中的CDf,则s后续的访问必须遵循第一条规则。

中国墙模型在推出之后,由于其安全策略不同于BLP模型而备受关注,但是其只能适用于一定的应用范围,并未考虑多级访问控制的限制条件。同时,在多级安全环境下,中国墙模型中的利益冲突主要体现为客体数据聚合问题,这也是BLP模型未考虑的。

4.DTE模型

DTE(Domain and Type Enforcement)模型是由博伯特(Boebert)和凯恩(Kain)提出的。该模型为系统中每一个主体指定一个“域”的属性,表示主体作用的范围。通常来讲,具有相同安全属性或相同类别的主体可划分为同一个域;而为系统中的客体指定一个“Type”的属性,将具有相同安全级别的客体划归为同一类型。DTE模型安全策略是依据主体域和客体类型的访问能力关系,限定主体对客体的访问,侧重于保护数据的完整性。DTE安全策略可表示为三元组(D,T,P),称作“域类型关系表”,其中D为主体的域,T为客体的类型,P表示安全域对客体类型的访问操作,如读、写、目录转移等。同时,为了确保域和域的安全交互,DTE模型引入了“域间关系表”,描述域间的访问模式,如创建、切换、信号发送等。DTE模型是可配置的内核层访问控制机制,系统中的所有进程都要受到DTE模型的控制,尽管T实施较为灵活,已在SE-linux中得到了改进实现,但是访问控制列表较为复杂,而且文件类型属性需要一种新的不兼容的文件格式,应用起来较为困难。

5.Denning信息流格模型

丹宁(Denning)于1976提出了一个基于格的信息流控制模型,该模型通过引入数学理论——格,分析、证明与确保计算机系统中信息流动的安全性,是对存取控制模型的一种有效补充,可有效地识别隐蔽通道。

Denning将一个信息流模型FM定义为:FM=<N,P,SC,⊕,→>。其中,“N”为客体集合,包括用户、文件、程序段,甚至程序变量等;“P”是进程集合;“SC”为安全等级的集合;“⊕”为安全等级上的合并操作符,如a⊕b表示客体a和b运算后结果的安全等级,该操作符满足结合律和交换律;“→”指的是安全等级间的信息流动关系,如A→B表示允许安全等级A的信息可以流入安全等级B。Denning信息流模型的安全要求可表述为:FM是安全的,当且仅当一个操作序列的执行不会产生违反关系“→”规定的信息流。在这一安全假设下,Denning信息流模型形成了在<SC,→,⊕>上的格。信息流格的叙述如下:

①<SC,→>是一个偏序集。

②SC是一个有限集。

③SC有一个下界L,使得∀A∈SC,L→A。既然<SC,→>是一个偏序集,那么关系“→”须满足自反、传递和反对称,即对于∀A,B,C∈SC,则有:

自反性:A→A;

传递性:A→B,B→C,则有A→C;

反对称:A→B,B→A,则有 A→B。

④“⊕”是SC上最小上界操作符。

对于∀A,B,C∈SC,最小上界操作符“⊕”具有以下性质:

A→A⊕B,B→B⊕A;(www.xing528.com)

A→C且B→C⇒A⊕B→C。

Denning信息流模型不对主、客体的存取进行检查,而是控制客体之间信息的传输,依据客体的安全等级对当前操作行为进行决策。尽管Denning信息流分析模型可有效地识别隐蔽通道,防止敏感信息的泄漏,但是其并不能解决由于信息聚合而引起的信息泄露。

(二)扩展的多级安全模型

针对经典模型存在的不足,有学者提出了诸多改进,主要集中在机密性与完整性统一,BLP模型的灵活性与适应性,以及信息流控制等方面的研究。

1.机密性与完整性统一的研究

BLP模型保证的是系统的机密性,而不能保证客体的完整性;而BIBA模型保证了系统完整性,但不能保证机密性。因此,为了同时保证信息系统的机密性与完整性,许多学者对BLP模型与BIBA模型的融合进行了研究,主要目的是为了拓展和增强BLP模型的完整性,从而实现多级安全模型机密性与完整性保护的统一。

迪维托(Divito)、帕姆奎斯特(Palmquist)等人在Specification and verification of the ASOS kernel中提出了ASOS(Army Secure Operating System)模型,在该模型中,安全标记由保密性标记和完整性标记组成,保密性标记用于机密性保护,而完整性标记用于完整性保护,这个模型尽管能在一定程度上为系统提供完整性服务,但是该规则的结合易造成资源的拒绝访问。

蔡谊、郑志溶和沈昌祥在《基于多级安全策略的二维标识模型》中提出了基于多级安全策略的二维标识模型,该模型通过引入可信度标识,依据特权主体检查低可信度主体添加数据的有效性,来确保客体的完整性。尽管该方法可以改善BLP模型的完整性,但是其完整性策略不够严格,实现较为复杂,而且对被添加数据进行有效性检查较为困难。

Yihe Liu和Xingshu Chen在New Information Security Model Based on BLP Model and Biba Model中给出了一个BLP和BIBA的融合模型EX_BLP_Biba,该模型引入了“信息关心度”的概念,用于反映人们对信息安全属性的关心程度,以α,β分别表示机密性、完整性的信息关心度,主体、客体的安全级则依据公式C(E)=αT(E)-βI(E)进行计算,其中E表示主体或客体,T(E)为保密性等级,I(E)为完整性等级,据此来实现机密性与完整性的结合,但是该方法仅考虑了机密性、完整性的相对重要程度,而忽视了主、客体的安全级别,易造成信息泄露,且信息关心度也无法进行有效衡量。

周正、刘毅和沈昌祥在《一种新的保密性与完整性统一安全策略》中将机密性和完整性作为计算机安全中的两个维度,两个维度遵循不同的级别划分标准,在两个维度上综合实施访问控制,但该方法并未考虑标记的冲突问题。张俊、周正、李建等人在《基于逻辑的安全策略系统建模与验证》的基础上发表了《基于MLS策略的机密性和完整性动态统一模型》,动态调整主体安全标记,解决机密性、完整性一致时的冲突问题,但是安全标记的调整可能会造成安全级别的退化,易导致信息的泄漏。

刘彦明、董庆宽和李小平在《BLP模型的完整性增强研究》中,通过为主体安全标记增加最高上写等级,为客体安全标记增加最低上写等级,以控制上写的范围,从而提高了BLP模型的完整性。该方法尽管在一定程度上降低了客体完整性破坏的风险,但并没有从根本上解决BLP模型的完整性问题。

由此可见,多级安全模型实现机密性与完整性的统一较为困难,但是在保证系统机密性的同时,尽量降低系统或客体完整性破坏的风险还是可行的。

2.BLP模型灵活性、适应性研究

尽管BLP模型的严格机密性策略能够有效地保证系统的机密性,但是主、客体安全标记的静态性使得绝大多数主体访问受限,从而限制了一些合法的访问行为,致使其网络实施难度大、适应性差。尽管BLP模型也给出了“可信主体”的概念,使得可信主体能够违反安全特性进行违规操作,但是缺乏有效的约束机制,使得可信主体可以任意地进行违规操作,这样容易造成泄密问题。

石文昌、孙玉芳和梁洪亮所著的《经典BLP安全公理的一种适应性标记实施方法及其正确性》,以及季庆光、卿斯汉和贺也平所著的《一个改进的可动态调节的机密性策略模型》都试图通过调整安全标记来增加BLP模型的灵活性。其中,前者提出了一个自适应的BLP模型——ABLP,允许主体安全标记随着流入、流出主体信息的安全标记的变化而进行适应性的调整,通过动态改变主体当前的安全标记来增强BLP的灵活性;而后者提出了一个可动态调节的机密性策略模型,通过设定一个动态可调控的安全标记区间,实现主体安全标记的动态变化,以此增强多级安全实施的灵活性。但是,这两种改进方案在实际的应用过程中,安全标记的调整范围会随着主体违规行为的发生而缩小,使得安全标记一旦调整便将无法恢复,可能出现极端情况,使得安全标记调整失效,从根本意义上讲,并没有解决多级安全的灵活性、适应性问题。

程(Cheng)、罗哈吉(Rohatgi)和凯瑟(Keser)发表了 Fuzzy Multi-level security:An Experiment on Quantified Risk-Adaptive Access contro l,试图依据风险改变强制访问控制的实施方式来解决BLP模型的灵活性与适应性问题。该著作中给出了“模糊多级安全”的概念,将安全标记量化为客体对主体的诱惑程度,计算主体对客体泄密的风险,依据风险范围控制主体对客体的访问。该方法虽然在一定程度上改变了强制访问控制的实施方式,但是并未解决特殊情况下高级别主体写低级别客体、低级别主体读高级别客体等BLP模型的网络适应性问题。

智勇、刘铎、司天歌等人在《一种具有可信度特征的多级安全模型》中给出了一个具有可信度特征的多级安全模型。该模型为BLP模型中的可信主体分配了可信度标记,借鉴罗哈吉等人风险的计算方法,给出了主体可信度评估函数,用于评估主体访问请求的可信度,并以可信度评估机制为基础,给出了可信主体的约束机制,控制可信主体的违规操作,防止其权限过大,从而增加系统的灵活性。但是,在BLP模型中,为了控制可信主体的泄密风险,可信主体的数量是有限的,而在多级安全网络中主体的数量是庞大的,因而缺乏对普通主体权限的赋予,而且对主体违规操作后安全标记与客体资源的变化情况未进行考虑,易造成主体泄密、客体资源无法引用等问题,比如,高级别主体写高敏感级的信息到低敏感级的客体时,由于客体敏感级的提升,使得其他主体无法访问该资源。

由此可见,在保证信息系统机密性的同时,还要提高多级安全的灵活性,这也是多级安全应用到网络中亟待解决的关键问题。尽管上述方法在一定程度上可以解决一定范围的系统灵活性,但是在实际的多级安全网络环境下,仍然面临着适应性与安全性的问题。

3.信息流控制研究

信息流控制是多级安全的研究方向之一,它主要通过信息流控制规则,控制客体之间信息的流动,以避免隐蔽通道,防止信息的泄漏。

安德烈(Andrei)、安德鲁(Andrew)和迈尔斯(Myers)所著的Language-Based Information-Flow security,安德鲁(Andrew)、迈尔斯(Myers)和芭芭拉利斯科夫(Barbara Liskov)所著的Decentralized Model for Information Flow Control,以及安德鲁(Andrew)和迈尔斯(Myers)所著的Practical Mostly-static Information Flow Control,都试图通过用代码语言级控制信息的流动,以确保系统的安全性。其中,第一部著作在分析与研究Denning信息流控制模型的基础上,提出了基于语言的信息流安全,旨在通过可编程语言技术指定和实施信息流策略,特别是采用静态程序分析与实施信息流策略,给出了一个结构化的理论;第二部著作提出了一个基于权力下放的信息流控制模型,以解决互不信任和分布式授权系统之间的信息流控制问题,该模型允许用户与不信任代码之间共享信息,并通过信息流控制规则,控制代码传输共享信息给其他代码;第三部著作提出了实际的多静态信息流控制,通过Jflow语言描述了客体对象、子集、访问控制等,以实施程序中静态信息流保护。

谢弗(Shaffer)和莱文(Levin)等人在Toward a security domain model for static analysis and verification of information systems中给出了多级安全环境下安全域模型,提出了“可信主体行为”的概念。主体行为依赖于信息流的表示和程序执行过程产生的控制依赖性,通过对程序进行静态分析,识别非法的信息流、访问控制缺陷、隐蔽通道等。

虽然上述著作是由不同的团队研究的,但是研究的内容均是从程序语言的角度来描述信息流的控制,不但不易实现,而且未考虑如何将该研究内容应用到网络环境中。

综上所述,笔者认为,在多级安全网络环境中,多级安全模型的研究不应仅仅限定在机密性与完整性统一的研究上,更应该在考虑模型的网络灵活性、适应性的同时,研究如何防止信息系统互联而带来的新风险,以增强网络环境的多级安全控制。

(三)网络安全通信模型

目前,网络安全通信模型的研究主要集中在边界防护、组网与传输等方面。

陈兴蜀、刘益和、约翰(John)等人都试图通过多种安全机制融合、网络信息流控制,实现多级安全网络信息系统间的互联互通。其中,陈兴蜀的《应用区域边界的安全体系结构及实用模型研究》和刘益和的《应用区域边界安全体系结构的模型研究》都在参考沈昌祥院士提出的“三纵三横,两个中心”的信息安全保障技术框架的基础上,给出了应用区域边界安全体系结构,构建了基于此体系结构的信息安全模型。他们试图通过中间件技术,在计算节点上集认证、加密传输、角色与强制访问控制等功能为一体,建立应用服务控制,实现应用层资源的访问控制与安全传输。尽管该体系结构为应用边界安全控制提供了手段,但是该体系结构在多级安全属性的支持方面还存在着不足。比如,安全标记与客体的绑定,不仅面临着角色访问控制与强制访问控制、访问控制与安全传输的协同、融合问题,还面临着多级安全在网络实施中的适应性、灵活性、信息聚合泄密等问题,因此不能完全满足多级安全网络信息系统间安全互联的实际需求。约翰等人在Logical Network Boundary Controller中给出了一个逻辑网络边界控制方法,它通过将物理分散的计算节点组成不同等级的逻辑网络,依据强制访问控制规则,限定逻辑网络间信息的流动。但该方法不支持逻辑网内部的操作,也未给出具体的实施方法,还不支持信息的保密通信,因此与面向多级安全的网络安全通信还存在着一定的区别,不能满足其应用需求。刘益和的《多密级子网的网络安全信息流模型》则通过赋予网络不同的安全级别,试图构造一个符合“格理论”的网络安全信息流模型,以实现系统间的安全互联。但是,如果网络严格按照“格理论”进行数据流动,则将限制网络的灵活性、可用性,也将面临与BLP模型类似的问题。

陈性元和王涛等人都从传输与组网的角度对传统网络的安全通信进行了研究。陈性元在《基于虚拟子网的安全VPN技术研究》中提出了一个基于虚拟子网的安全VPN模型,该模型通过IP安全隧道、虚拟子网的精确描述,从真正意义上体现了VPN的安全传输与组网功能,具有较强的通用性和网络可扩展性,能够有效地解决IP网络中的安全通信问题。但是,该模型的设计是以传统IP网络为基础的,未与多级安全属性特征进行有效结合,因此也难以满足多级安全网络信息系统的安全通信需求。王涛、卢显良和段翰聪在《基于SSL的P2P安全通信模型》中提出了面向SSL的安全通信模型,依赖于PKI技术、安全套接层协议SSL等构建了P2P网络环境下的安全通信,着重从认证、密钥协商、安全传输等方面实现通信安全。但是,该模型缺乏精确的形式化描述与安全证明,侧重于系统的工程实现,仅仅满足面向连接的服务,不具有通用性和扩展性;而且,该模型也未与多级安全属性进行结合,同样不能满足多级安全网络信息系统间的安全通信需求。

与此同时,笔者所在的团队也一直致力于多级安全网络信息系统安全互联的研究,针对其研究,也提出了相关的模型。比尔索默菲尔德(Bill sommerfeld)在Labeld IPsec Phase 1:Label-aware SADB Design中针对集中式多级互联环境,提出了基于逻辑的安全策略描述框架AACF。该框架可将常用的安全策略模型描述为逻辑程序,依据逻辑程序系统间的定理可证明、验证系统安全策略是否符合安全策略模型,解决了多级互联系统中各子模块安全策略统一表达与策略决策问题;针对分布式多级互联环境,提出了基于逻辑的具有分布式证明功能的安全策略描述框架LBSPF,其为AACF的扩展,实现了各个子系统中逻辑程序的组合,解决了分布式环境下,各个子系统间互联策略的统一表示与策略决策问题。由此提供了多级互联系统的建模工具,为多级互联安全模型建立奠定了基础。包义保在《基于逻辑的安全策略系统建模与验证》中提出了基于信息流强约束的多级互联访问控制模型,依据信息流图,建立了二、三、四级信息系统间信息流流动的安全性判定方法,对用户的间接违规访问进行了规则性约束,以此构建了单级系统访问控制模型和多级互联访问控制模型,并采用“安全熵”理论量化了信息流,证明了模型的安全性。该模型的研究为等级化信息系统安全互联过程中信息流控制提供了较好的方法,较为有效地消除了间接违规信息流,为实施更为具体的信息系统间的安全互联奠定了基础。由于该模型并不为具体的实施性模型,因此它并没有解决经典的多级安全模型在网络应用中面临的问题,但是其为多级安全网络通信中数据流流向控制提供了上层指导,可有效地杜绝间接信息流的泄密问题。而本章内容正是在这两位学者研究结论的基础上,给出了网络信息系统间安全通信的实施性模型。

综上所述,较为成熟的安全通信模型主要服务于传统的IP网络,多级安全网络中研究得较少,缺少有效的理论与技术支撑,主要表现在四方面:首先,传统的安全通信模型对多级安全属性未给予充分支持,缺乏安全标记与信息客体、数据流的有效绑定,难以满足多级安全控制的需求;其次,传统模型中的安全机制与标记访问控制间的融合、协同问题,由于传统模型中安全机制并未与标记强制访问控制进行一体化设计,缺乏有效的联动机制,实施的复杂度较高,因此难以适应多级安全网络实际的安全通信需求;再次,多级安全应用到实际网络中,存在着灵活性、适应性问题,由于多级安全规则的严格性,使得大多网络主体的访问受限,网络实施难度较大,无法满足网络协同工作的需求;最后,传统安全通信模型在多级安全网络中的应用中易引起新的泄密风险,如缺乏对信息聚合的控制,可造成聚合信息泄密。由此可见,尽管一些体系、建议在一定程度上可以实现系统间的安全传输,但是它们仍然不能够满足多级安全网络信息系统间的安全通信需求,亟待进一步研究与深化。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈