（信号与信息处理专业论文）多实体间基于行为的安全风险评估模型研究.pdf

中文摘要 摘要：移动通信网络目前正处于高速发展之中，它在人们的社会生活中所占有的 地位日显重要，在给人们生活带来便利的同时，也带来了很多安全问题。并且随 着信息技术的广泛深入应用，信息安全问题变得越来越复杂。目前在移动通信系 统中主要通过对鉴权机制和密码算法等技术的研究以提高安全，而忽略了在信息 安全中很重要的方法一安全风险评估，因此研究一种安全风险评估模型具有很 高的理论价值和实际意义。 目前，国际上主要使用信息安全风险管理解决系统和组织的安全问题。同时， 国内外很多专家一致认为，信息安全风险评估是信息安全风险管理的关键，而信 息安全风险管理是解决组织和系统安全问题最有效和科学的方法。如何对系统及 组织进行安全风险评估，确认系统内存在的安全威胁并及时维护，最大限度地降 低系统和组织的风险，已经成为信息安全领域研究的一个重要内容。安全风险评 估模型研究是安全风险评估的研究重点。目前已有很多安全风险评估模型，主要 是针对计算机网络及系统的安全评估，针对无线移动通信系统网络结构的安全风 险评估模型较少。 本文介绍了信息安全风险评估的相关概念和经典安全风险评估方法，同时分 析了移动通信系统的安全结构，并制定在移动通信系统中进行安全风险评估所要 遵从的安全目标以及安全原则。在研究国内外常见的几种信息安全标准和分析安 全风险评估方法的基础上，构造了基于多实体间行为的安全风险评估模型，解决 了移动通信系统中多个实体同时进行安全风险评估的问题，并对安全风险评估结 果进行灵敏度分析，以确保在实际环境中评估结果达到高准确度。 本文提出的多实体间基于实体行为的安全评估模型，是综合考虑定性与定量 相结合的安全评估方法以及各个评价指标的权重，同时结合模糊数学的思想，并 遵从移动通信系统的安全目标和安全原则，在多个实体间针对各个安全指标做出 分析和评估，最后对安全风险值的准确度进行分析。 关键词：安全风险评估；实体行为；安全评价指标；权重决策；灵敏度； 分类号：t p 3 9 3 m a b s t r a c t a b s t r a c t ：m o b i l ec o m m u n i c a t i o nn e t w o r ki sn o wi nr a p i dd e v e l o p m e n t i t s p o s i t i o no c c u p i e db yp e o p l e ss o c i a ll i v e si si n c r e a s i n g l yi m p o r t a n t i tb r i n g st h e c o n v e n i e n c et op e o p l e sl i v e s ，b u ta l s ob r o u g h tal o to fs e c u r i t yi s s u e s a n dw i t ht h e e x t e n s i v ea p p l i c a t i o no fi n f o r m a t i o nt e c h n o l o g y , i n f o r m a t i o ns e c u r i t yi s s u e sb e c o m e m o r ea n dm o r ec o m p l e x c u r r e n t l yi n t h em o b i l ec o m m u n i c a t i o ns y s t e m , m a i n l y t h r o u g hm e c h a n i s m sa n de r y p t o g r a p h i ca l g o r i t h m ss u c ha sa u t h e n t i c a t i o nt e c h n o l o g y r e s e a r c ht oi m p r o v es e c u r i t y , w h i l ei g n o r i n gv e r yi m p o r t a n ti nt h ei n f o r m a t i o ns e c u r i t y a p p r o a c h - s e c u r i t yr i s k 弱戳姗c n t 8 0t h es t u d yo fas e c u r i t yr i s ka s s e s s m e n tm o d e li s 1 l i g ht h e o r e t i e a la n dp r a c t i c a ls i g n i f i c a n c e c u r r e n t l y , t h e r e i s g e n e r a l l yu s e d t os o l v et h ei n f o r m a t i o n s e c u r i t y r i s k m a n a g e m e n ts y s t e ma n do r g a n i z a t i o n a ls e c u r i t yi s s u e s a n yo r g a n i z a t i o na n ds y s t e m r e l i a b i l i t yi ss u i t a b l ef o rt h ei n f o r m a t i o ns e c u r i t yl e v e lo fp r e p a r a t i o n a th o m ea n d a b r o a d ，m a n ye x p e r t sa g r e et h a ti n f o r m a t i o ns e c u r i t yr i s km a n a g e m e n ti st h em o s t e f f e c t i v ea n ds c i e n t i f i cm e t h o dt oa d d r e s so r g a n i z a t i o n a la n ds y s t e ms e c u r i t y t h e i n f o r m a t i o ns e c u r i t yr i s ka s s e s s m e n ti st h ek e yt oi n f o r m a t i o ns e c u r i t yr i s km a n a g e m e n t i th a sb e c o m ea ni m p o r t a n te l e m e n ti nt h er e s e a r c hf i e l do fi n f o r m a t i o ns e c u r i t yh o wt o c o n d u c ts e c u r i t yr i s ka s s e s s m e n to fs y s t e m sa n do r g a n i z a t i o n sa n dc o n f i r mt h ee x i s t e n c e o fo r g a n i z e ds e c u r i t yt h r e a t sa n dt i m e l ym a i n t e n a n c eo fs y s t e m sa n do r g a n i z a t i o n st o m i n i m i z et h er i s ko fr e s e a r c hi nt h ei n f o r m a t i o ns e c u r i t y s e c u r i t yi u s ka s s e s s m e n t m o d e li sr e s e a r c hp r i o r i t i e so fs e c u r i t yr i s ka s s e s s m e n t a tp r e s e n t , m a n yo ft h er i s k a s s e s s m e n tm o d e lf o rs a f e t ya s s e s s m e n t , m a i n l yf o rc o m p u t e rn e t w o r ka n ds y s t e m s e c u r i t ya s s e s s m e n t ，f o rt h ew i r e l e s sm o b i l ec o m m u n i c a t i o ns y s t e mn e t w o r ks e c u r i t y r i s ka s s e s s m e n tm o d e lf o rl e s s t t l i sa r t i c l ed e s c r i b e st h ei n f o r m a t i o ns e c u r i t yr i s ka s s e s s m e n tc o n c e p t sa n dc l a s s i c s e c u r i t yr i s ka s s e s s m e n tm e t h o d s ，a n da n a l y z e st h es t r u c t u r eo fm o b i l ec o m m u n i c a t i o n s y s t e m s ，c o m m o ni n t h es t u d yo fs e v e r a ld o m e s t i ca n di n t e m a t i o n a li n f o r m a t i o n s e c u r i t ys t a n d a r d sa n da n a l y s i so fs e c u r i t yr i s ka s s e s s m e n tm e t h o d o l o g y , b a s e do nt h i s c o n s t r u c t e db a s e do nt h es a f e t yb e h a v i o ra m o n g m u l t i - e n t i t yr i s ka s 翻e s s m 蛐tm o d e lt o s o l v es e c u r i t yr i s ka s s e s s m e n t sf o rm u l t i p l ee n t i t i e so ft h em o b i l ec o m m u r f i c a t i o n s y s t e ma t t h es a m et i m e , a n ds e n s i t i v i t ya n a l y s i sw i t ht h er e s u l t so fs e c u r i t yr i s k a s s e s s m e n tt oe n s u r et h a ta s s e s s m e n tr e s u l t si nar e a le n v i r o n m e n tt oa c h i e v eh i g h 泓吸a u y p r o p o s e di nt h i sp a p e rm u l t i - b e h a v i o ri n t e r - e n t i t ys e c u r i t ya s s e s s m e n tb a s e do nt h e e n t i t ym o d e l ，i sc o n s i d e r i n gac o m b i n a t i o no fq u a l i t a t i v ea n dq u a n t i t a t i v es a f e t y a s s e s s n l 耐m e t h o d sa n dt h ew e i g h to fe a c he v a l u a t i o ni n d e x ，c o m b i n e dw i t hf u z z y t h i n k i n g , i nan u m b e ro fe n t i t i e st od oa n a l y s i sa n de v a l u a t i o nf o re a c hs e c u r i t yi n d e x f i n a l l ya n a l y s i st h ea c c u r a c yo f t h ev a l u eo fas e c u r i t yr i s kr e s u l t k e y w o r d s ：s e c u r i t yr i s ka s s e s s m e n t ；p h y s i c a lb e h a v i o r ；, s a f e t ye v a l u a t i o ni n d e x ； w c d g h td e c i s i o n - m a k i n g ；p o s i t i v i s t i cr e l i a b i l i t ys e n s i t i v i t y ；, c l a s s n o ：t p 3 9 3 v 致谢 本论文的工作是在我的导师杨义先教授的悉心指导下完成的，杨义先教授严 谨的治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢两年来 杨义先老师对我的关心和指导。 杨义先教授悉心指导我们完成了实验室的科研工作，在学习上和生活上都给 予了我很大的关心和帮助，在此向杨义先老师表示衷心的谢意。 杨义先教授对于我的科研工作和论文都提出了许多的宝贵意见，在此表示衷 心的感谢。 在实验室工作及撰写论文期间，王健老师、张坤、教传博、李川等同学对我 论文中的研究工作给予了热情帮助，在此向他们表达我的感激之情。 另外也感谢我的家人，他们的理解和支持使我能够在学校专心完成我的学业。 1 绪论 到目前为止，移动通信系统的发展历程大致经历了三代，第三代移动通信系 统也已开始投入商用。3 g 移动网络作为移动通信系统的重要组成部分，对国家信 息基础建设和国民经济的发展具有重大意义。对3 g 移动通信网络安全性方面的研 究工作也伴随着网络本身的发展，对信息化建设也有着重大的意义。 移动通信系统安全风险评估是加强移动通信系统安全保障体系建设和管理的 关键环节。通过移动通信系统安全风险评估工作的开展，可以发现移动通信系统 安全存在的主要问题和矛盾，找到解决诸多关键问题的办法。风险评估的目的是 为国家信息化发展而服务，对信息安全保障体系的建设起到促进作用，并可提高 信息系统的安全保护能力。通过建立安全风险评估模型，分析移动通信系统安全 环境、移动通信系统安全状况，采取并完善安全保障措施，使之更加安全可靠， 并使信息安全策略具有持续性和一致性。 对于不同的对象，风险评估会体现出不同的意义： l 、对系统建设者、所有者来说，风险评估提倡了一种风险管理的理念； 2 、对评估者、系统管理者来说，风险评估是一种方法论； 3 、对信息安全主管机关来说，风险评估又是一种管理措施； 目前国际上已经有很多专家设计出不同的信息安全风险评估模型，如由美国 贝尔电报公司开发的，采用逻辑的方法进行风险评估的f a t ( f a u l tt r e e a n a l y s i s ， 故障树分析法) 【1 1 ；文献2 中介绍了2 0 世纪6 0 年代由美国航天局研发的故障模式 及危害性分析f m e c a 方法，对产品找出单点故障并进行分析 2 1 ；r e d m i l le 和 c h u d l e i g hm 等人研究和分析了威胁与可操作性h a z o p 模型，主要针对操作过程 中出现的偏差和变动，分析其产生的原因，以明确系统和装置的主要风险1 3 j ；为了 提高信息系统安全评估的准确性和有效性，付茂沼等人研究和分析了模糊综合分 析在信息安全评估中的应用 4 1 ；针对信息安全风险评估数据难以获取、不确定性特 点，吕俊杰和王元卓等人提出一种信息安全风险模糊群决策评估方法【5 】；当然还有 其它很多模型和方法，b p 神经网络模型6 1 、故障树分析法 7 1 、德尔菲模型f 引、层次 分析法a h p 9 】等等。但都或多或少的存在一些问题。有的风险评估往往只给出较 为粗糙的报告，有的则使用技术工具检测一下，没有形成系统的规范的评论；很 多专家提出风险评估需要分级分类的观点，但并没有达成共识；由于没有统一的 评估标准，对相同的系统评估，不同评估单位得出不同的评估结果。并且这些模 型主要对是针对计算机网络进行的风险评估，不能直接对宽带无线移动系统进行 风险评估。 在风险评估过程中，人们往往都侧重于研究系统的风险等级，以及影响风险 等级的一些基本要素，如：威胁、脆弱性、资产等，很少有人关注所给方案的合 理性、客观性、科学性等。 本文在综合考虑了影响风险的各因素后，对多个实体的实体行为进行分析， 结合定量与定性结合的方法，利用模糊数学理论，同时研究分析了3 g 移动通信系 统的安全结构，提出一种安全风险评估模型，并对关系矩阵的不一致性进行调整， 使其在可接受的范围内，从而使计算出的权重更合理；并在此基础上，对灵敏度 分析进行了研究，以安全评价指标权重及评语集合在小范围内变化为前提，对评 估结果进行分析，保证综合评估结果的准确度，最后得出相对客观、全面、合理 的评估结果，为保证系统的安全性做出了一定的贡献。 1 1 安全风险评估 1 1 1 安全风险评估发展简介 在信息时代，信息安全标准化已经是必然需求，制定信息安全评估标准是信 息安全的一个重要模块，因此世界各国都非常重视研究系统安全标准。经过多年 发展，信息系统安全的评估认证已成为信息化进程中的一个重要领域，受到了各 界的广泛关注，为各个领域信息系统的安全性水平的提高发挥了重要作用，信息 安全的标准化推进了安全评估技术，使之向全球化发展【1 0 1 。 信息系统安全风险评估主要由两大部分组成：一是执行评估时所要参照的标 准，风险评估所依据的标准；二是如何进行风险评估的问题，即进行风险评估所 采用的方法。一般意义上来讲，评估的指南和依据是标准，没有标准依据的风险 评估没有任何意义【l 。因此，已有的信息安全风险评估标准的分析将对本文安全 风险评估模型的研究有着重要的理论意义。本节内容主要分析和研究国内外的信 息安全评估标准。 1 、国外风险评估标准发展 从上世纪8 0 年代开始，世界各国制订了很多信息安全评估标准。按照时间的 推进主要有：1 9 8 5 年的桔皮书t c s e c ( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o n c r i t e r i a ) ，1 9 8 9 年的英国安全标准，德国标准，法国标准，1 9 9 1 有i t s e c ( i n f o r m a t i o n o nt e e l m o l o g ys e c u r i t ye v a l u a t i o nc r i t e r i a ) ，1 9 9 3 有加拿大标准、联邦标准草案f c ， v i 01 9 9 6 ，c c ( c o m m o nc r i t e r i a ) 通用标准，v 2 01 9 9 8 ，v 2 11 9 9 9 ，1 9 9 5 有澳 大利亚标准、英国b s 7 7 9 9 ，国际i s o i e c 系列标准，2 0 0 0 的美国n i s t 、德国b m p 等。 ( 1 ) t c s e c 可信计算机系统评估准则，是信息安全技术关于安全评估的第一 个正式标准，1 9 8 5 年由美国国防部发布，简称t c s e c ，也称桔皮书f 1 2 】。此标准主 要提出了军用信息安全技术方面的要求，因此作为一个军用标准使用。t c s e c 将 计算机系统的安全划分为d 、c 、b 、a 共4 类，每个类之下又分为七个级别。 ( 2 ) i t s e c 信息技术安全性评估准则，在1 9 9 0 年5 月，由法国、德国、荷 兰以及英国基于自己国家现有的工作出版的信息技术安全评估标准。随后在1 9 9 1 年，欧洲标准化委员会正式公开i t s e c l 2 版【1 3 】。该标准将安全概念分为评估和功 能两部分。与t c s e c 不同，i t s e c 将完整性和可用性与保密性作为同等重要的因 素，将可信计算机的概念提高到可信信息技术的高度来认识是i t s e c 的一大贡献， 对国际信息安全的研究产生了深刻的影响【1 3 】。i t s e c 定义了从e 0 级到e 7 级的7 个安全等级，对于每个系统，安全功能可分别定义。 ( 3 ) c t c p e c ( c a n a d i a nt r u s t e dc o m p u t e rp r o d u c te v a l u a t i o nc r i t e r i a ) ，加拿 大的可信计算机产品评估准则，因政府需求而设计与1 9 8 9 年发布1 0 版本【1 4 1 。该 标准在1 9 9 3 年公布了3 0 版，与i t s e c 相似，该标准将安全分为功能性需求和保 证性需要两部分。 ( 4 ) a s n z s4 3 6 0 风险管理标准，是澳大利亚和新西兰联合开发的风险管理 标准，1 9 9 5 年发布1 0 版本。风险管理分为建立环境、风险识别、风险分析、风 险评价、风险处理、风险监控与回顾、通信与咨询七个步骤【1 5 】。该标准将评估对 象定位在信息系统，对信息安全风险评估具有指导作用。 2 、国内安全风险评估标准简介 相对国际发展，我国信息安全标准的研究开始的比较晚，基本上从上世纪9 0 年代末启动，主要采用国际相似的方法以及修改相关的国际标准。目前己经颁布 的标准有：g b t1 8 3 3 6 2 0 0 1 ( 信息技术安全技术信息技术信息安全评估准则【1 6 - 1 s ； g b t1 9 7 1 6 2 0 0 5 信息技术信息安全管理实用规则 1 9 1 ；g b t1 9 7 1 5 1 - 2 0 0 5 ：信 息技术信息技术安全管理指南第l 部分：信息技术安全概念和模型【2 ：g b t 9 3 6 1 - 2 0 0 0 计算机场地安全要求【2 l 】；g b1 7 8 5 9 1 9 9 9 0 ， p 肪= l ( 4 3 ) t _ - 1 假设以取值是等概率的，即= 吉，当l = 1 ，2 ，时，由( 6 ) 式可得 名= t y 薹。- - 。毛t = 专砉l 由此可得到概率矩阵p = 最】，这是每个评估小组的结果， 到第f 种类的安全威胁会触及第七个安全评价指标的概率： n m 气= ( 雄) ( n m ) ，i l ( 4 4 ) 最后利用4 5 式得 ( 4 5 ) 2 、评语集与安全评估指标的映射 由于安全评价等级与安全评价指标之间的关系在很多情况下界限不是很清 楚，所采用模糊数学的思想定义。安全评价等级与安全评价指标之间的关系矩阵 的确定根据下面所给出的双映射的定义，即k 的给出并非单纯的单向确定。 定义l ：设向量x = “，而，) ，】，= 秒i ，y 2 ，靠) ， 由给定模糊映射4 6 式， 3 2 似州酗蝴巾= x = 等+ 鲁+ + 等 ( 4 6 ) = ( 屯1 ，毛。2 ，墨一) f ( 】，) ， i = l ，2 ，刀 以向量( 岛1 ，岛2 ，k 1 m ) o = l ，2 ，行) 为行构造模糊矩阵，即可确定唯一模糊关系 4 7 式，其中k ，( 而，乃) = 局，= f ( x ，x y ) 。 k f = 毛1 白2 毛一 屯。，屯。：屯朋 吒i 吒。2 吒一 当给定模糊关系4 8 式， k f = 向。毛：毛一 岛。屯z 屯辫 屯。l 吒2 吒一 ( 4 7 ) ( 4 8 ) 可令五：x 斗r ( d ，卜厶( 而) = ( 向1 毛，2 ，毛朋) e r f f ) 。 其中五是x 到y 的模糊映射，五( 蕾) o = l ，2 ，刀，j = l ，2 ，朋) 。由此就确定了 模糊映射五。 定义2 ：设向量x = “，而，毛) ，y = y l ，y 2 ，y 。 ， 由给定模糊关系4 9 式， k = 毛。白。：毛， 岛。岛：红。用 吒，。吒，：吒。 ， a = ( q ，a 2 ，) r ( x ) ( 4 9 ) 可以确定一个模糊线性变换，即 a i - , r k ( 裟aa 抑 k = b 之扣舭r ( r ) ) = = ( 岛，6 2 ，6 朋) ) 称砭是模糊关系k 诱导出的，岛= 口，墨，( - = 1 ，2 ，埘) 。 1 = i 当模糊线性变换砭：砭= a k 确定了，并给出m ，那么由模糊关系方程就可 以确定一个模糊矩阵k ，因此就可以确定模糊关系k 。 3 3 4 3 2 直接行为与间接行为 l 、直接行为 对移动通信系统中的实体所有活动进行记录与统计，分析每项活动的发起端 的行为，以计算实体直接行为所带来的风险值。 根据以下条件计算出移动通信系统中所要评估的每个实体发生的各种实体行 为向量。 氖实体行为出现的次数( 频数) b 实体行为发生的时间( 频率) c 时间衰减因子( 衰减因子越小，衰减度越大，对实体行为的影响越大) 从上一次评估时间厶开始，记录到目前为止该实体所有行为，每一次记录包含 此次行为的时间，汪l ，。其中f 表示同一行为第f 次发生，最后统计得到某一实 体行为发生的次数c o u n t ，即 f c o u n t 实体行为发生的频数 c = w t ( c o u n t ，t ，万) = t = t i 一“ 实体行为发生的频率 l 艿时间衰减因子 由于这些实体行为的发生并不是我们所能预料的，所以不能使用线性的计算 方法对其统计，故我们选择指数函数来计算c = 心，c 2 ，c t ) 。 c k = 。f ( c o u n t ，t ，艿) = e 矽 k = 1 ，2 ，( 4 1 0 扣1 由于不同的实体行为向量会带来不同的或者相同的安全威胁，在此可根据专 家给出的对应关系计算出安全威胁向量w 。 安全威胁与安全评价指标之间的关系如图4 2 所示。一种安全威胁可能会触及 一个或者多个安全评价指标；对一个安全评价指标的评估一般需要分析多个安全 威胁，才会得到较准确的值。 厂安全威胁、 7 安全评价、 指标 啾 p 7 剖 蚓 囤 撼 耐旧 图4 2 安全威胁与安全评价指标关系图 f i g u r e4 2s e c u r i t yt h r e a t sa n ds a f e t ye v a l u a t i o ni n d e xd i a g r a m 3 4 依照安全威胁与安全评价指标之间的映射关系p = l ，i = l ，2 ，m , k = 1 ，2 以) ， 根据安全威胁与安全评价指标的对应关系计算每个实体所占安全评价指标的比例 向量。 p = p l ，lp l 。2 p i 乳。1p z 。2 p 2 p 所。ip m 。2 ，。 ( 4 1 2 ) b = o p ( 4 1 3 ) 2 、间接行为 移动通信系统中的每个实体的活动与操作以一进一出的形式进行，对一个实 体的评估只从自身的行为分析，不够客观和全面，分析参与要评估实体发起的活 动的其它进入端的实体对该实体的评判，使得评估更具科学性，同时削弱了主观 性。 进入端的实体根据自己与出口端的交互记录，对出口端的实体给出安全评价， 定义为向量a = “，i = l ，2 ，刀) 。 根据上一小节中定义的安全评语等级与安全评价指标之间的映射关系 k r = 锄：汪1 ，2 ，n ；j = 1 ，2 ，川) ，由评语等级与安全评价指标之间的对应关系得 到安全评价指标的比例向量矿 b 一= a k = 彳 岛，毛，：毛。_ 屯。哎，：岛糟 屯。- 吒：屯。 ( 4 1 4 ) 到此，由出口端的实体出发的直接行为以及由进入端的实体出发的间接行为 的计算完毕。 上述过程只是针对一个实体进行描述，而在实际评估过程中，选定移动通信 系统中的多个实体，统计和分析它们之间的所有活动，从直接行为与间接行为的 角度分析评估，使得整个评估过程简化，并缩短评估时间。 3 5 图4 3 实体行为运算过程 f i g u r e4 3o p e r a t i o np r o c e s so f e n t i t yb e h a v i o r 在得到实体的直接行为和间接行为所触及的安全评价指标向量后，根据4 1 5 式计算实体最终触及的安全评价指标。 b = a b + ( 1 - a ) b ( 4 1 5 ) 其中，口是权衡因子，0 以，c o ，因此当判断一致时，c = 0 。 关于如何衡量a 值可否被接受，本文引用s a a t y 实验的结果，为了计算一致 性指标构造最不一致的情况。试验结果为如表4 5 所示。 表4 5c j r 可接受值 t a b l e4 5a c c e p t a b l ev a l u e so fc i nl234567 89 1 01 1 c r000 5 80 9 01 1 21 2 41 3 21 4 11 4 51 4 91 5 1 当c i c r 0 1 时，则不一致性超出最大可接受范 围，此时就要调整不一致性：当r i = c i c r o 1 时，认为所得关系矩阵的判断可 以接受，则一致性检验结束得到权重值形。 一致性性关系矩阵4 = ( 吻) 满足= 瓴= l ，2 ， ) 。所以完全一致，有 = 幸，o _ ，p ；i ，p = l ，2 ，刀) ；等式不成立，不完全一致，可得偏离值： y 扩= l 一i ，o _ ，p ；j ，p = l ，2 ，捍) ( 4 2 5 ) 当得到最大偏离值后，修改h ；，的值。为使尽可能小的修改相对决策人评估值， 又使一致性可接受，对的值进行如下修改： r 。 、 = h e - ti t b - - 2 ) 卜( 一h r 4 ) t 2 ( f p ；f ，= l ，2 ，刀)( 4 2 6 ) l p t l j 或 广。1 = 【1 ( 刀一4 ) 】宰l ( h ) - m a x ( h , ) - r a i n ( h , k ) l o ，p ；i , j = 1 ，2 ，刀) l p i ij ( 4 2 7 ) 修改和j j l ，f 的值，即调整关系矩阵h = ( ) 。 最后依照调整后的矩阵计算对应最大特征值的特征向量可得到最终权重值。 需要注意的是，整个过程的进行必须有决策人的监督，并且要适时采用决策人的 意见，使调整结果具有科学性和客观性。 4 4 2 综合评估 在做完4 3 节所阐述的多实体间基于行为所触及安全评价指标后，本节将介绍 所设计的安全风险评估模型的整体流程。具体的流程如图4 5 所示。 图4 5 模型总体框架 f i g u r e4 5g e n e r a lf r a m e w o r km o d e l s 首先如4 3 节所描述的，对实体的直接行为分析，得到安全威胁向量，根据安 全威胁和安全评价指标之间的映射关系p 雎= ( 磁) ( n m ) ，整理可知由分析实 体的直接行为得到的安全风险状态。 尸1 。 然后统计与所评估实体交互的其它实体对其的安全等级的评定，可以得到安 全评语向量a ，根据安全评语集合与安全评估指标之间的映射关系 k ，= 岛，i = 1 ，2 ，n ；= l ，2 ，辨) ，利用公式b = 口- k 计算由实体的间接行为得 到的安全风险状态。 由于在环境的不同以及开发者的需求不同，在评估过程中直接行为与间接行 为的比重自然也就不同，本文设计一个权衡因子口，0 口l ，用以调节直接行为 与间接行为的比例。 由公式b = a b + ( 1 一a ) b 获得该实体最终的安全风险状态值曰。 由改进的权重决策算法对3 g 移动通信系统中的安全评价指标的进行分析，得 到3 g 移动通信系统中安全评价指标的权重刀。使用权重万调整实体的安全风险状 态值曰，得到所需要的综合评估结果。 由公式4 2 7 得到所评估实体的在各个安全评价指标处的安全值，其中， d i a g ( m ) 表示以向量万为对角线上的元素构造对角矩阵。 t = b a i a g ( w ) ( 4 2 8 ) 在得到每个实体在各个指标处的安全状态后，利用公式4 2 8 得到每个实体整 体的安全值。 丁= m b t ( 4 2 9 ) 最后根据给定的阈值f ，判断待评定实体的安全性。如果计算出的安全综合评 价大于f ，则该实体在本次评估中不存在安全隐患的，只需要进行正常的维护即可； 4 1 如果计算出的可信值小于孝，则说明该实体在本次评估中是存在安全隐患的，我们 需要对该实体进行风险处理，其中阈值善可根据大数定理得出。 最后将本次评估的数据记录，以供下次评估作参考。 4 5 本文模型与经典模型对比 4 5 1 与c c 标准对照 c c 元素模型设计 图4 6 模型设计与c c 对照 f i g u r e4 6t h em o d e ld e s i g na n dc cc o n t r o l 在第二章中，介绍了通用安全风险评估标准，按照c c 和c e m 中的元素，本 文设计模型中的各类运算具体分类如图4 6 所示。 本文所设计模型严格按照c c 标准的评估框架结构进行： l 、模型以计算出b = a b + ( 1 一a ) b 为保证类，使得评估过程得到一个准确的 结果。如果无法得到保证类，那么整个风险评估将无法进行。 2 、实体的直接行为与间接行为则构成保证类的两个组件，以确保保证类的顺 利进行。任何一个组件失败，则风险评估失败。 3 、评估者行为主要体现在针对定义安全评价指标对实体的评估，特别是安全 威胁和安全评价指标以及安全评语和安全评价指标之间映射的实现。 4 、权重决策算法和灵敏度分析作为到评估的形式元素和证据内容进行，主要 体现风险评估模型的科学性以及准确度。 4 2 4 5 2 与经典模型对比 本章以上内容描述了多实体问基于行为的安全风险评估模型，本节内容则将 本文所设计的安全风险评估模型与典型风险评估模型进行对比分析，具体内容如 表4 6 所示。 表4 6 经典安全风险评估方法对比 t a b l e4 6c l a s s i cs e c u r i t yr i s ka s s e s s m e n tc o m p a r i s o n 安全评估方法适用状态评估特点 数据资料不够充分或分 德尔菲法析者数学基础较为薄弱科学性，模糊性 经 时 典 资料比较充分或者风险 模 故障树分析法对信息资产的危害可能客观性，科学性，准确性 比较大时 型 非定量事件需要作定量 层次分析法分析的简便有效的一种 客观性，科学性， 方法 模糊性准确性 本 文多实体间基于行为主要针对移动通信系统客观性，科学性， 模的安全评估模型设计模糊性准确性，动态性 型 第一，本文所设计的安全风险评估模型是在分析3 g 移动通信系统的网络特点 以及安全结构的基础上，遵从本文制定的3 g 移动通信系统的安全目标以及安全原 则，针对移动通信系统中的实体进行安全风险评估，比经典的安全评估模型更适 合于移动通信系统中的安全风险评估。 第二，本文所设计的安全风险评估模型通过对移动通信系统中实体的直接行 为和间接行为的统计分析，以达到对系统中实体的安全风险评估。不仅从实体自 身的角度出发，而且参考同一活动中其它实体的评语集合，这样就大大减少了在 安全风险评估过程中的主观性。另外，直接行为与间接行为的数学运算采用概率 统计和模糊数学的思想，使得评估更具客观性的同时又突显了安全评估的模糊性 和准确性特点。 第三，很多安全风险评估方法以及模型中对各个安全评价指标采取一致的均 等或者线性的处理方法，本文采用特征值法改进了a h p 模型中的权重决策方法， 保证了各个评价指标之间的关系举证的一致性，以达到得到的评价指标的权重更 4 3 具科学性。 第四，与经典评估方法和模型不同的是，本文所设计的安全风险评估模型在 得到综合评估结果后，通过灵敏度的分析，以确保在实际环境中一些风险因素受 客观因素的影响在小范围内变化时，模型评估结果的受影响程度，更加具体的描 述了安全风险评估的准确性。 故障树分析法f a t 是通过分析已经发生的故障对系统进行防范和维护，是很 被动的一种方法，而本文所设计的安全风险评估模型则是通过移动通信系统中实 体的日常行为的统计和分析，发现实体内以及系统中存在的安全隐患，及早进行 防范和维护。德尔菲则对专家经验知识依赖性太强，即便经过多轮的汇总，最终 还是通过专家的主观经验对系统进行评估，而本文设计的模型则通过直接行为和 间接行为的分析进行安全风险评估，即从实体主观方面出发，同时采取了其它实 体客观的评价。 4 6 本章小结 在本章中，主要以实体行为为依据，考虑到安全风险评估具有主观性、动态 性、模糊性和不确定性的特征，将实体行为分为直接行为和间接行为。通过对实 体直接行为和间接行为所触及安全威胁的分析，计算实体在各个安全评价指标的 安全系数。然后通过对各个安全评价指标的权重的衡量，给出最终实体的安全风 险评估值。过程中采用了模糊映射的定义，主要在于体现安全风险评估的模糊性 和不确定性。 由于模型中多次依靠专家经验，为了使模型结果更具客观性和科学性，最后 通过权重决策弱化主观经验带来的片面性，改进的权重决策算法通过特征值法解 决了关系矩阵的一致性问题，保证了评估过程中的关系矩阵的一致性。 5 仿真与分析 5 1 实验场景分析 在3 g 移动通信系统中，应用层主要涉及的以下两个活动，一是用户终端与网 络服务的交互过程，另一个是用户终端与用户终端的交互过程。在这两个交互过 程中就将整个接入域和非接入域的安全问题包含在内。我们通过对活动交互逻辑 过程的研究分析模型在3 g 移动通信系统中的实现。 首先来看用户终端与网络服务的交互，此处以非漫游架构为例进行分析，其 交互过程如图5 1 所示，图中u e 为用户终端，e u t r a n 为e v o l v e d 演进的全球 陆地无线接入网，g e r a n 是边缘无线接入网，u t r a n 是陆地无线接入网，m m e 是移动管理实体，s g s n 是g p r s 服务支持节点，h s s 为归属服务，s g w 为服务 网关，p d n - g w 为公用数据网关，p c r f 是指策略与计费功能。 图5 13 g 系统中用户接入e p s 非漫游架构 f i g u r e5 13 g p p a c c e s st on o n - r o a m i n ga r c h i t e c t u r ee p s 当用户需要某种服务的时候，首先会与其所在区域的基站连接，通过基站的 转载与核心网进行认证与鉴权的过程。当用户终端通过核心网的认证后，可与服 务提供者联系，并享受所需服务。这个过程中可能存在的以下状况t 1 、u e 接入的是一个“伪基站 ，误导u e 接入非法网站； 2 、u e 无法通过本地基站e n b 的无线承载传输服务请求； 3 、u e 在m m e 处的鉴权与认证无法通过( 本应该可以通过) ，出现该现象可 能有以下原因： ( 1 ) h s s 中并没有与该u e 有关的信息； ( 2 ) h s s 中有关u e 的信息被非法修改； ( 3 ) 系统本身存在漏洞，使得h s s 在搜索的时候无法找到u e 的信息； ( 4 ) 信令在e u t r a n 通过接口s 1 m m e 发往m m e 的过程中被修改； 4 5 4 、l y e 的服务请求无法通过s g w 和p d n g w 网关，出现该现象可能有以下 原因： ( 1 ) 由于费用问题无法通过网关，u e 的费用无法支付本次的连接； ( 2 ) m m e 发往s g w 的信令被非法修改； ( 3 ) 在e u t r a n 处通过接口s 1 u 发往s - g w 的信令被非法修改： 5 、u e 在使用口业务时，表现的一些非正常范围内的行为。例如，u e 访问 在其访问权限以外的服务，例如该u e 只有访问权限，但该u e 试图改写所访问内 容； 6 、u e 在权限内无法享受网络服务，可能因素： ( 1 ) 网络服务器出现故障，该服务无法提供； ( 2 ) 网络服务器出于恶意行为拒绝提供给u e 服