車天偉，馬建峰，王超，李娜

（1.西安電子科技大學(xué)計(jì)算機(jī)學(xué)院，西安710071；2.解放軍信息工程大學(xué)鄭州450001；3.西北工業(yè)大學(xué)計(jì)算機(jī)學(xué)院，西安710129）

基于安全熵的多級訪問控制模型量化分析方法

車天偉1，馬建峰1，王超2，李娜3

（1.西安電子科技大學(xué)計(jì)算機(jī)學(xué)院，西安710071；2.解放軍信息工程大學(xué)鄭州450001；3.西北工業(yè)大學(xué)計(jì)算機(jī)學(xué)院，西安710129）

針對訪問控制模型的安全性分析與證明問題，提出了基于安全熵的量化分析方法.首先，結(jié)合信息論有關(guān)知識引入安全熵的概念，提出了系統(tǒng)對違規(guī)訪問行為響應(yīng)的不確定性計(jì)算方法；然后，基于安全熵提出了不同等級信息系統(tǒng)的安全性定理；最后，應(yīng)用該方法對經(jīng)典安全模型進(jìn)行了量化分析，驗(yàn)證了該方法的實(shí)用性，并比較了這些訪問控制模型安全性以及在等級化信息系統(tǒng)中的適用性.結(jié)果證明該方法可適用于訪問控制模型的安全性度量以及系統(tǒng)的訪問控制能力評估.

信息熵；安全熵；等級化訪問控制模型；直接違規(guī)訪問；流向違規(guī)訪問

0引言

訪問控制模型安全性證明的關(guān)鍵是找到一個(gè)公認(rèn)的、無需證明的安全公理，然后在這個(gè)安全公理上進(jìn)行推導(dǎo)，或使用安全公理對模型提出的安全假設(shè)進(jìn)行證明，從而使模型安全性更可信.但是，即便是經(jīng)過形式化證明的BLP模型［1-2］，也未對其提出的“簡單安全性公理”、“*-特性公理”等假設(shè)的合理性、完備性和安全性等進(jìn)行證明，因此有學(xué)者指出BLP模型的安全公理不能完全證明模型的安全性［3］.一個(gè)完備的訪問控制模型首先必須明確是要滿足哪些安全需求、防止哪些違規(guī)訪問，并對如何降低系統(tǒng)允許這些違規(guī)訪問的不確定性進(jìn)行證明.

熵是度量不確定性的工具，最初用于熱力學(xué).美國數(shù)學(xué)家香農(nóng)將其引入信息論，提出了信息熵的概念，用于信息無序程度的度量［4］.信息熵理論自提出以來已經(jīng)在工程科學(xué)和社會科學(xué)的諸多領(lǐng)域得到應(yīng)用.已有學(xué)者成功地將熵引入到對信息安全風(fēng)險(xiǎn)和事件不確定性的量化分析上［5-7］.

本文借鑒信息熵對事物不確定測度的思想和方法，提出了安全熵的概念，對系統(tǒng)的各種違規(guī)訪問響應(yīng)的不確定進(jìn)行度量，從而為等級化訪問控制模型的安全性量化分析提供了科學(xué)方法.

1安全熵

1.1安全熵的定義

在信息系統(tǒng)中，當(dāng)用戶發(fā)出一個(gè)訪問請求時(shí)，系統(tǒng)會做出響應(yīng)：允許或拒絕，并且這個(gè)響應(yīng)的結(jié)果是唯一的，不會同時(shí)給出允許和拒絕響應(yīng).另外訪問請求分為合法請求和違規(guī)請求兩種.若將系統(tǒng)當(dāng)成一個(gè)黑盒，對用戶的每個(gè)訪問請求，可能得到4種系統(tǒng)響應(yīng)結(jié)果，分別為允許合法訪問、拒絕合法訪問、允許違規(guī)訪問、拒絕違規(guī)訪問.顯然此響應(yīng)結(jié)果可以作為評判一個(gè)系統(tǒng)好與壞的依據(jù).如拒絕合法訪問響應(yīng)的數(shù)量越多，說明系統(tǒng)可用性越差；允許違規(guī)訪問響應(yīng)的數(shù)量越多，說明系統(tǒng)的機(jī)密性越差.為了全面度量一個(gè)系統(tǒng)對各種訪問請求的響應(yīng)不確定性，這里定義了安全熵的概念.

定義1（安全熵）：將一組訪問請求B=b1,b2,···,bq作為輸入，將系統(tǒng)對其中每個(gè)訪問請求的響應(yīng)結(jié)果作為考察對象，使用變量X表示響應(yīng)結(jié)果，則X的取值為：允許合法訪問、拒絕合法訪問、允許違規(guī)訪問、拒絕違規(guī)訪問，分別記為響應(yīng)a1,a2,a3,a4，使用p（ai）表示響應(yīng)ai的統(tǒng)計(jì)概率，變量X的概率空間［X，p（X=ai）］為

為每個(gè)響應(yīng)結(jié)果分配一個(gè)權(quán)值wi，表示響應(yīng)對系統(tǒng)安全的影響因子，wi越大表示響應(yīng)ai對系統(tǒng)安全性影響越大，反之對系統(tǒng)安全性影響越小.若wi的分布為

則X的安全熵為

1.2安全熵的含義

根據(jù)信息安全的常識，響應(yīng)a2會對系統(tǒng)的可用性產(chǎn)生負(fù)面影響，響應(yīng)a3會對系統(tǒng)的保密性產(chǎn)生負(fù)面影響，而響應(yīng)a1和a4對系統(tǒng)的安全性影響較小.因此可令w2,w3?w1,w4，此時(shí)式（1）所得安全熵的意義就是：針對一組訪問請求，危害系統(tǒng)安全的響應(yīng)事件發(fā)生的平均不確定性.熵值越大表示產(chǎn)生危害系統(tǒng)安全響應(yīng)的不確定性越大，熵值越小表示系統(tǒng)產(chǎn)生安全危害較大的響應(yīng)結(jié)果的不確定性越小.針對同一組訪問請求，不同的訪問控制模型的熵值越小，說明該模型產(chǎn)生危害系統(tǒng)安全響應(yīng)的可能性越小.

若令w2＞0,w3＞0,w1=w4=0，且w2+w3=1，則安全熵可作為系統(tǒng)是否滿足可用性和保密性的依據(jù).若令w2=1,w3=w1=w4=0，則式（1）所得安全熵為作為系統(tǒng)是否滿足可用性的依據(jù).若令w3=1,w1=w2=w4=0，則式（1）所得安全熵為作為系統(tǒng)是否滿足保密性的依據(jù).

4種響應(yīng)結(jié)果的數(shù)量與輸入樣本有關(guān)，若只輸入合法事件，響應(yīng)a3和a4的計(jì)數(shù)為0，同理若只輸入違規(guī)訪問，則響應(yīng)a1和a2的計(jì)數(shù)為0.為了能夠準(zhǔn)確反映系統(tǒng)的安全性，要求輸入樣本應(yīng)是完備的.另外，響應(yīng)結(jié)果與輸入樣本的數(shù)量有關(guān)，若某一訪問請求的輸入次數(shù)遠(yuǎn)遠(yuǎn)高于其他訪問，則響應(yīng)結(jié)果將會失真.所以，計(jì)算安全熵時(shí)要求輸入樣本（訪問請求）是完備的并且是概率分布均勻的.此時(shí)安全熵越小說明模型針對所有可能發(fā)生的訪問請求，危害系統(tǒng)安全的響應(yīng)結(jié)果的不確定性越小，模型安全性越高，當(dāng)安全熵趨近于0，則達(dá)到理論上的安全.

1.3不同類型違規(guī)訪問的安全熵

訪問是否違規(guī)與應(yīng)用需求有關(guān)，根據(jù)國家等級級保護(hù)標(biāo)準(zhǔn)GB/T17859-1999［8］中的訪問控制要求，可將違規(guī)訪問歸類為直接違規(guī)訪問、流向違規(guī)訪問、間接違規(guī)訪問3種類型.直接違規(guī)訪問是指顯式地違反訪問控制矩陣等授權(quán)策略的訪問.流向違規(guī)訪問是指導(dǎo)致違反系統(tǒng)規(guī)定信息流向的訪問，即導(dǎo)致信息從高安全級主客體流向低安全級主客體的訪問.間接違規(guī)訪問是指通過信息的多次間接傳遞關(guān)系，違反授權(quán)策略的訪問行為.

如信息系統(tǒng)中的2個(gè)用戶（s1、s2）和2個(gè)資源（o1、o2），其安全級的關(guān)系為f（s1）?f（s2）?f（o1）=f（o2），系統(tǒng)的授權(quán)策略為僅允許s1讀o2、s2讀o1、s2寫o2.考察如下4個(gè)事件，b1：s2讀o1，b2：s2寫o2，b3：s1讀o2，b4：s1讀o1.由于b4顯式違反了授權(quán)策略因此是直接非授權(quán)事件；事件序列b1b2b3造成信息從s1流向o1，相當(dāng)于s1間接讀了o1，因此事件序列b1b2b3為間接非授權(quán)事件.事件b1和b3造成的信息流向違反了系統(tǒng)規(guī)定的信息流向，因此為流向違規(guī)事件.

針對不同類型的非授權(quán)訪問，式（1）的結(jié)果和含義也不同相同.若將“違規(guī)訪問”限定為“直接違規(guī)訪問”，則式（1）所得的安全熵在本文被稱為直接安全熵，記HD（X）.同理，若將“違規(guī)訪問”限定為“流向違規(guī)訪問”，則式（1）所得的安全熵在本文被稱為強(qiáng)制安全熵，記為HM（X）；若將“違規(guī)訪問”限定為“間接違規(guī)訪問”，則式（1）所得的安全熵在本文被稱為間接安全熵，記為HI（X）.

2等級化訪問控制模型的安全條件

2.1基于安全熵的模型安全屬性

定理1（訪問控制模型的直接安全性）訪問控制模型具有直接安全性，當(dāng)且僅當(dāng)

證明此處需要證明，當(dāng)HD（X）=0時(shí)，系統(tǒng)中不會發(fā)生“拒絕合法訪問”和“允許直接違規(guī)訪問”，即p（a2）=p（a3）=0.將響應(yīng)ai的計(jì)數(shù)記為ni（i=1,2,3,4），令n1+n2=s，n3+n4=t，由于a1、a2和a3、a4分別是針對同一訪問請求的不同響應(yīng)結(jié)果，則有p（a1）+ p（a2）=s/q，p（a3）+p（a4）=t/q.按照常理，訪問請求不可能全是違規(guī)或全是合法的，所

根據(jù)題設(shè)w2＞0,w3＞0,w2+w3=1，則w1=w4=0，帶入安全熵公式得H（X）= -［p（a2）logp（a2）+p（a3）logp（a3）］.

由于p（a2）/=1,p（a3）/=1，若H（X）=0，則必有p（a2）=p（a3）=0.證畢.

同理可得：

定理2（訪問控制模型的強(qiáng)制安全性）訪問控制模型具有強(qiáng)制安全性，當(dāng)且僅當(dāng)

定理3（訪問控制模型的間接安全性）訪問控制模型具有間接安全性，當(dāng)且僅當(dāng)2.2等級化訪問控制模型的安全性定理

若使用符號Θ2表示二級訪問控制模型、Θ3表示三級訪問控制模型、Θ4表示四級訪問控制模型.下面根據(jù)二、三、四級信息系統(tǒng)的安全需求，在上節(jié)的安全屬性基礎(chǔ)上，給出等級化訪問控制模型的安全性定理.

定理4（等級化訪問控制模型安全性）二級訪問控制模型Θ2滿足安全需求，當(dāng)且僅當(dāng)HD（X）|Θ2≡0，其中w2＞0,w3＞0,w2+w3=1；三級訪問控制模型Θ3滿足安全需求，當(dāng)且僅當(dāng)HD（X）|Θ3≡0且HM（X）|Θ3≡0，其中w2＞0,w3＞0,w2+w3=1；四級訪問控制模型Θ4滿足安全需求，當(dāng)且僅當(dāng)HD（X）|Θ4≡0、HM（X）|Θ4≡0且HI（X）|Θ4≡0，其中w2＞0,w3＞0,w2+w3=1.

3基于安全熵的典型訪問控制模型分析

下面使用基于安全熵的等級化訪問控制模型的安全性分析方法，對典型的訪問控制模型進(jìn)行安全性分析，驗(yàn)證該方法的實(shí)用性，并指出各種訪問控制模型的不足.

3.1訪問控制矩陣模型（HRU）安全性分析

（1）直接安全性

設(shè)系統(tǒng)中有m個(gè)用戶：u1,u2,···,um，有n個(gè)資源：o1,o2,···,om，將訪問請求分解為讀和寫原子請求，則系統(tǒng)中可能發(fā)生的訪問種類為2mn個(gè)，可分別用b1,b2,···bq（q=2 mn）表示.將訪問分為兩類：合法訪問和直接違規(guī)訪問q）.

HRU模型［9］依據(jù)訪問控制矩陣對用戶訪問行為進(jìn)行控制，只要是違反負(fù)授權(quán)的訪問請求都會被拒絕，對任意∈B+的響應(yīng)結(jié)果為a1，只要是不違反負(fù)授權(quán)的訪問請求都會被允許，對任意∈B-的響應(yīng)結(jié)果為a4，因此p（a2）和p（a3）=0.

可得響應(yīng)結(jié)果X的統(tǒng)計(jì)概率分布為直接安全熵HD（X）|HRU≡0，因此HRU模型滿足直接安全性.

（2）強(qiáng)制安全性

將系統(tǒng)中所有訪問請求B=b1,b2,···,bq（q=2mn）分為：導(dǎo)致信息從低流向高的請求導(dǎo)致信息從高流向低的請求和導(dǎo)致信息平級流動(dòng)的請求顯然第二類請求B↓為流向違規(guī)訪問.

由于HRU模型通過訪問控制矩陣判別請求的合法性，因此訪問請求b↑i和b?1不一定滿足訪問控制矩陣策略，可能被拒絕也有可能被允許，無法使p（a2）≡0恒成立.同理流向違規(guī)訪問B↓也不一定都會被拒絕，無法使p（a3）≡0恒成立.通過分析可知HRU模型對流向違規(guī)請求和合法請求的判定與信息流向無關(guān)，HM（X）|HRU/=0，無法從理論上保證強(qiáng)制安全性，拒絕合法請求和允許流向違規(guī)請求的事件都有可能發(fā)生.

（2）間接安全性

間接違規(guī)訪問是由于多個(gè)非直接違規(guī)請求組成，可以將間接違規(guī)訪問記為=由于有HD（X）|HUR≡0，因此系統(tǒng)會允許間接違規(guī)請求中每一個(gè)非直接違規(guī)請求，因此系統(tǒng)將允許任意間接違規(guī)請求，可得p（a3）＞0.間接安全熵HI（X）|HRU＞0，說明不滿足間接安全性.

通過分析可知HRU模型滿足直接安全性，不滿足強(qiáng)制安全性和間接安全性.

3.2BLP模型安全性

（1）直接安全性與間接安全性

BLP模型采用自主訪問控制和強(qiáng)制訪問控制兩種方式.自主訪問控制采用了HRU模型，因此BLP模型的直接安全性與間接安全性的結(jié)論與HRU模型一致，即BLP模型滿足直接安全性，不滿足間接安全性.

（2）強(qiáng)制安全性

設(shè)系統(tǒng)中有m個(gè)用戶：u1，u2,···,um，有n個(gè)資源：o1,o2,···,on，將系統(tǒng)中所有訪問請求B=b1,b2,···,bq（q=2mn）作為輸入，將訪問請求分為：導(dǎo)致信息從低流向高的請求、導(dǎo)致信息從高流向低的請求和導(dǎo)致信息平級流動(dòng)的請求，第二類請求B↓為流向違規(guī)請求.

BLP模型通過簡單安全特性和*-特性禁止高安全級主體寫低安全級客體以及低安全級主體讀高安全級客體，防止信息從高安全級流向低安全級，因此任意流向違規(guī)訪問∈B↓都會被BLP拒絕，任意非流向違規(guī)請求都會被允許，可得響應(yīng)結(jié)果X的概

率分布為

因此HM（X）|BLP≡0，說明BLP模型滿足強(qiáng)制安全性.

3.3RBAC模型安全性分析

RBAC模型［10-11］為用戶分配了角色，基于角色進(jìn)行授權(quán)，其授權(quán)結(jié)果與訪問控制矩陣模型類似，因此RBAC模型的安全熵與HRU模型結(jié)果類似，即滿足直接安全性，不滿足強(qiáng)制安全性和間接安全性.

3.4FGBAC模型安全性分析

FGBAC模型［12］對BLP模型進(jìn)行改進(jìn)，引入了信息流圖作為輔助判決工具，根據(jù)其讀寫規(guī)則的推理，系統(tǒng)在任意時(shí)刻對直接違規(guī)訪問、流向違規(guī)訪問和間接流向違規(guī)訪問的響應(yīng)都為“no”.因此可得

說明該模型滿足自主安全性、強(qiáng)制安全性和間接安全性.

根據(jù)本文對典型訪問控制模型的安全性分析，對照二、三、四級子系統(tǒng)的安全需求，得到了典型訪問控制模型安全性和適用性結(jié)果，如表1和表2所示.

4結(jié)束語

本文提出了“安全熵”的概念，用以度量系統(tǒng)對訪問請求響應(yīng)結(jié)果的不確定性測度，通過對權(quán)值進(jìn)行限定，得到衡量訪問模型可用性和機(jī)密性的方法.在安全熵的基礎(chǔ)上，提出了訪問控制模型的安全性定理，并給出了滿足二、三、四級子系統(tǒng)安全需求的訪問控制模型的安全公理.本文基于該理論對典型訪問控制模型進(jìn)行了安全性分析，驗(yàn)證了該方法的實(shí)用性，并且總結(jié)了現(xiàn)有各種模型安全性和使用范圍.本文所提出的基于安全熵的訪問控制安全性分析方法，可廣泛應(yīng)用于訪問控制模型的安全性證明和系統(tǒng)安全性分析上.

［1］BELL D E，LAPADULA L J.Secure Computer Systems：Mathematical Foundations，M74-244［R］.Bedford：Mass Mitre Corp，1973：66-79.

［2］BELL D E.Looking back at the Bell-La Padula model［C］//21st Annual Computer Security Applications Conference.Tucson，Arizona：［s.n.］，2005：337-351.

［3］司天歌，譚智勇，戴一奇.一種對多級安全模型安全性的分析方法［J］，計(jì)算機(jī)研究與發(fā)展，2008，45（10）：1711-1717.

［4］傅祖蕓.信息論—基礎(chǔ)理論與應(yīng)用［M］.北京：電子工業(yè)出版社，2007.

［5］王貴寶，黃洪鐘，張小玲.風(fēng)險(xiǎn)可能數(shù)——一種基于最大信息熵理論的風(fēng)險(xiǎn)度量和風(fēng)險(xiǎn)排序新方法［J］.航空學(xué)報(bào)，2009，30（9）：1684-1690.

［6］付鈺，吳曉平，葉清等.模糊集與熵權(quán)理論的信息系統(tǒng)安全風(fēng)險(xiǎn)評估研究［J］.電子學(xué)報(bào)，2010，38（7）：1490-1494.

［7］趙冬梅，馬建峰，王躍生.信息系統(tǒng)的模糊風(fēng)險(xiǎn)評估模型［J］.通信學(xué)報(bào).2007，28（4）：51-56.

［8］國家質(zhì)量技術(shù)監(jiān)督局.GB/T 17859—1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則［S］.北京：中國標(biāo)準(zhǔn)出版社，1999.

［9］DENNING P.Third generation computer systems［J］.Computer Surveys，1971，3（4）：175-216.

［10］SANDHU R S，COYNE E J，F(xiàn)EINSTEIN H L.Role-based access control models［J］.IEEE Computer，1996，29（2）：38-47.

［11］翟征德，徐震，馮登國.域間動(dòng)態(tài)角色轉(zhuǎn)換的靜態(tài)互斥角色約束違反［J］.計(jì)算機(jī)研究與發(fā)展，2008，45（4）：677-683.

［12］WANG C，CHEN X Y，LI N.An access control mode based on information flow graph［C］//Proceedings of the International Conference on Computational Intelligence and Security.Sanya：［s.n.］，2011：998-1000.

（責(zé)任編輯李藝）

A quantitative analysis technique for multi-classes access control model based on security entropy

CHE Tian-wei1，MA Jian-feng1，WANG Chao2，LI Na3
（1.School of Computer Science and Technology，Xidian University，Xi'an710071，China；2.PLA Information Engineering University，Zhengzhou450001，China；3.School of Computer Science and Technology，Northwestern Polytechnical University，Xi'an 710072，China）

To resolve the problem of quantitative analysis on classificatory information systems，a quantitative analysis technique is proposed based on security entropy.Firstly，the security entropy is put forward according to the information theory，to calculate the uncertainty of the system's determinations on the irregular access behaviors.Then the security theorems of classificatory information systems are defined based on security entropy.Finally，the typical access control models are analyzed by the technique，the technique's practicability is validated，and security and applicability of these models are compared.The result proves that the technique is suit for security quantitative analysis on access control model and evaluation to access control capability in information system.

information entropy；security entropy；classificatory access control model；directly unauthorized access；right about access

TP301.1

A

10.3969/j.issn.1000-5641.2015.01.021

1000-5641（2015）01-0172-06

2014-08

國家自然科學(xué)基金資助項(xiàng)目（60872041，61072066）；中央高校基本科研業(yè)務(wù)費(fèi)專項(xiàng)資金資助項(xiàng)目（JYl0000903001.JYl0000901034）

車天偉，男，博士研究生，研究方向?yàn)橛?jì)算機(jī)系統(tǒng)結(jié)構(gòu)、計(jì)算機(jī)網(wǎng)絡(luò)與信息安全.

E-mail：tianweiche@163.com.