（计算机软件与理论专业论文）可扩展安全控制模型的研究.pdf

可扩展安全控制模型的研究 摘要 计算机应用已经渗透到了社会生活的各个方面，利用计算机对信 息进行收集、加工、存储、分析以及交换等各种处理，越来越成为必 不可少的手段。而对于任何一个完善的信息系统，最重要的需求之一 就是安全。在传统的访问控制方面，研究人员已经提出了多种访问控 制的策略和模型，如自主存取控制、强制存取控制、b e l l l a p a d u l a 策略和基于角色的访问控制等，但是它们还是各有局限。目前，访问 控制模型的发展方向体现在：新的多变的应用环境和复杂的对象类 型，使得访问控制需求不再是单一访问控制策略可以满足的，访问控 制模型应该必须能够描述多种访问控制策略。本文根据国内外已有的 研究成果及应用情况，系统地研究了多种经典的安全策略与模型。在 此基础上，我们提出了一个可扩展的安全控制模型。该模型采用面向 过程的安全控制定义方式，支持授权规则、权限转移规则以及义务规 则的定义。用户可以基于安全控制规则和安全控制过程的定义来进一 步描述多种安全控制策略。而整个模型及安全策略的形式化定义则是 基于一种扩充的时态逻辑系统。本文所做的工作内容及贡献在于： 第一，提出了一种可扩展的安全控制模型，在此框架下，基于授 权、权限转移和义务三种安全规则，安全控制过程的定义以及可变对 象属性的概念，我们可以灵活地描述不同的安全策略。 第二，在经典的动作时态逻辑t l a 的基础上，通过对系统状态序 ， 列语义和动作语义进行扩展，并引入更丰富的时态操作符，将其扩展 为t l s e c a 。并在t l s e c a 的框架下对安全控制规则和安全控制过程 进行了较为精确的形式化定义。 第三，在t l s e c a 的框架下，对安全属性进行了较为系统的分类。 并进一步以t l s e c a 作为描述信息流安全属性的基本手段，定义了确 定和非确定系统以及传递和非传递非干扰安全属性。 第四，对系统模型、安全模型以及安全属性采取统一的形式化定 义方法，对具体的访问控制模型和应用模型及其各自特定的安全属性 进行了形式化定义，并使用定理证明和模型检查两种技术，对不同的 安全属性进行了验证。 第五，在s c h n e i d e r 安全自动机理论的基础上提出了可扩展的安全 自动机，用以描述基于执行监控器的安全控制执行机制。同时给出了 各种安全自动机执行能办的定义，进一步分析了基于类似事务处理方 式的安全控制执行机制的执行能力。 最后，在t l s e c a 的框架下，对一个实际的安全系统s e l i n u x 的安全策略配置语义和安全控制执行机制进行了基本的建模和分析。 关键词：安全模型，安全控制，可扩展，时态逻辑，属性验证，执行 ， 机制 r e s e a r c ho ne x t e n s i b l es e c u r i 坶c o n t r o lm o d e l a b s t r a c t a sw i d eu s eo fc o m p u t e r si no u rs o c i e t y ，i th a sb e c o m eai n d i s p e n s a b l e a p p r o a c h t o c o l l e c t i n g ，p r o c e s s 洫g ， s t o r i n g ，a n a l y z i n ga n de x c h a n g i n g i n f o m a t i o n f o ra n yw e l l - b u i l ti n f o r m a t i o ns y s t e m ，s e c u r i t ys h o u l db eo n eo f t h em o s ti m p o r t a n tp r o b i e m s w i t ht r a d i t i o n a la c c e s sc o n t i 0 1t e c h n 0 1 0 9 y m a n yk i n d so fp o l i c i e sa n dm o d e l sa r ep r o p o s e d ，s u c ha sd i s c r e t i o n a r ya c c e s s c o n t r o i ，m a n d a t o 巧a c c e s sc o n t r o l ， b e i l l a p a d u l am o d e la n dr o l e - b a s e d a c c e s sc o n t r o lm o d e le t c b u ta no ft h e mh a v et h e i ro w nl i m i t s t h el a t e s t r e s e a r c h e st e n dt om o d e l sf o rf l e x i b l ea n de x t e n s i b l es e c u r i t yp o l i c i e s b a s e d o na n a l y s i so fm a r l yt y p i c a ls e c l i r i t ) ，m o d e l s ，w e p r o p o s e d a ne x t e n s i b i e s e c u r i t y c o n t r o lm o d e li nt h i s p a p e r ， w h i c h p r o v i d e sp r o c e s s o r i e n t e d d e f i n i t i o nm e t h o df o rs e c u r i t yc o n t r o la n ds u p p o i r ta u t h o r i z a t i o n ，d e l e g a t i o n a n do b l i g a t i o nr u l e sd e 6 n i t i o n o n ec a nd e f i n ef l e x i b l es e c u r i t y p 0 1 i c i e s b a s e do nt h e s et w oa p p r o a c h e s t h er e s e a r c hc o n t e n t sa n dc o n t r i b u t i o n so ft h i sp a p e ra r ea sf o l l o w i n g f i r s t l y ，w ep r o p o s e da ne x t e n s i b l es e c u r i 够c o m r 0 1m o d e l b a s e do n a u t h o r i z a t i o n ，d e l e g a t i o n 。a n do b l i g a t i o nm l e s ， s e c u r i t y c o n t r o l p r o c e s s d e n n i t i o n s ，a n da l t e r a b l eo b i je c ta t t r i b u t e s ，o n ec a nd e s c r i b em a n yk i n d so f s e c u r i t yp 0 1 i c i e sw i t haf l e x i b l ea p p r o a c h s e c o n d l y ，w ee x t e n d e dt h ec l a s s i ct e m p o r a ll o g i c o fa c t i o n s ( t l a ) t o t l s e c aw i t he n h a n c e ds y s t e ms t a t e - a c t i o ns e q u e n c es e m a n t i c sa 1 1 dm o r e t e m p o r a lo p e r a t o r s b a s e do nt h i sm o r ep o w e r 如1l o g i c 丹a m e w o r k ，w ea l s o d e f i n e dt h es e c u r 时c o n t r o lp r o c e s sa 1 1 dm l e sf o m l a l l y t h i r d l y ， w e p r o p o s e d am o r es y s t e m a t i cc l a s s i f i c a t i o no fs e c u r i t y p r o p e r t i e s ，a n dd e f i n e dt r a n s i t i v eo ri n t r a n s i t i v en o n i n t e r f e r e n c ep r o p e n yi na d e t e m i n i s t i co ru n d e t e m i n i s t i cs y s t e mb a s e do nt l s e c a f o u r t h l y ，w ew o r k e do nt h ed e f i n i t i o n so fat r a d i t i o n a l a c c e s sc o n 订o l m o d e l ，a na p p l i c a t i o n l e v e ls e c u r i t ym o d e la n dt h e i ro w ns e c u r i t yp r o p e n i e s w ba l s ov e r i f i e dt h e s ep r o p e i r t i e su s i n gt h e o r e mp r o v i n ga n dm o d e lc h e c k i n g m e t h o d f i f t l l l y ，w ei m p r o v e dt h es c h n e i d e rs e c u r i t ya u t o m a t aa n dp r o p o s e da n e x t e n s i b l es e c u r i t y a u t o m a t a ， w h i c hc a nb eu s e dt od e f i n ea b i n t yo f e n f o r c e m e n tm e c h a n i s m w ea n a l y z e dt h ee n f o r c e m e n ta b i l i t yo fs e c u r i t y c o n t r o lm e c h a n i s mb a s e do nt r a n s a c t i o n - p r o c e s s i n ga l i k e 如n c t i o n s l a s t l y ，w ed e f i n e da n da n a l y z e dt h eb a s i cm o d e lo fs e c u r i t yp o l i c y c o n f i g u r a t i o no fa r e a ls e c u r i t ys y s t e m - s e l i n u xi nt h et l s e c a 丘a m e w o r k k e yw o r d s ：s e c u r i t ym o d e l ，s e c u r i 够c o n t r o l ，e x t e n s i b l e ，t e m p o r a ll o g i c ， p r o p e r 哆v e r i f i c a t i o n ，e n f o r c e m e n tm e c h a n i s m s 上海交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定， 同意学校保留并向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅和借阅。本人授权上海交通大学可以将本学位 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或扫描等复制手段保存和汇编本学位论文。 保密口，在一年解密后适用本授权书。 本学位论文属于 不保密d 。 ( 请在以上方框内打“”) 学位论文作者签名： 指导教师签名：玩臀九 日期加r 年9 月日 上海交通大学 学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究工作所取得的成果。除文中已经注明引用的内容外， 本论文不包含任何其他个人或集体己经发表或撰写过的作品成果。 对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式 标明。本人完全意识到本声明的法律结果由本人承担。 学位论文储虢沪亨 f 日期矿万年罗月猸 f 上海交通大学博士学位论文 可扩展安全控制模型的研究 第一章绪论 1 1 背景 计算机应用已经渗透到了社会生活的各个方面。利用计算机对信息进行收集、加工、存 储、分析以及交换等各种处理，越来越成为必不可少的手段。对于任何一个完善的信息系统， 其中最重要的一个需求之一就是安全，而许多计算机系统处理的是涉及政府机构、军事部门、 金融系统以及某些私人数据等敏感信息，这些信息系统的安全性则是成为首先要满足的需 求。从广义来讲，计算机安全要防止诸多不安全因素，包括物理上的不安全因素( 如防火设 施不完善) 、自然灾害、计算机自身的不安全( 如硬件上用于内存保护的页表失效、软件设计 和安装的漏洞) 、介质不安全( 磁盘、磁带管理不善) 、计算机电磁辐射可被截取分析、通信上 的不安全因素，尤其是人( 包括失职的系统管理员和系统攻击者) 的不安全因素。目前对计算 机安全的研究主要包括三个方面 1 】 2 】： 保密性( s e c r e c y ) ：防止信息泄露给未授权用户( 或攻击者) 。 完整性( i n t e g r 时) ：防止信息被未授权用户修改。 可用性( a v a i l a b i i 时) ：不拒绝已被授权用户的对所请求资源的访问。 计算机安全的研究已经深入到了计算机科学理论和工程的各个领域。人们不仅在理论上 对安全问题进行探讨，而且在工程上也在考虑如何加强包括计算机软、硬件在内的多层次系 统的安全。从上世6 0 年代末，人们开始从深层次上考虑计算机安全原则。这个工作基本上 是在美国的几家大学和公司中进行，研究成果包括引用监控器( r e f e r e n c em o n i t o r ) 、强制性安 全策略和b e l l l a p a d u l a 安全模型 3 】。美国国防部于1 9 8 3 年推出了“可信计算机系统评估 准则”( t c s e c ) 【4 】，它是迄今为止一个最有影响力的计算机安全评估标准。在此后，理论 上的探讨侧重于各种安全模型和密码理论的研究，而工程上的开发除了硬件上对安全设计的 各种考虑外，软件领域的安全以操作系统安全、网络安全和数据库安全三个领域最重要，其 研究基础是安全访问控制模型研究。访问控制决定了用户对系统资源拥有的访问权限，防止 非法用户的访问和合法用户的非法使用。 要对一个信息系统实行有效的保护则需要对目标系统的所有与安全相关的操作( 动作) 进行控制，只有经授权的动作才能发生。这个过程我们称作安全控制。要实现一个安全控制 系统则根据哪些动作需要控制而定义相应的规则，以及计算机系统可以执行的功能实现。这 样一个复杂过程通常是建立在以下的基本概念上： 安全策略( s e c u r i t yp o l i c y ) ：根据安全控制需求所定义的( 高层) 规则。 安全模型( s e c u r i t vm o d e l ) ：对安全控制策略进行形式化的定义，同时提供对安全 控制系统的相关安全属性的定义与证明方法。 4 上海交通大学博士学位论文可扩展安全控制模型的研究 安全执行机制( s e c u r i t ye n f o r c e m e n tm e c h a l l i s m ) ：定义了实现安全策略所定义的安 全控制需求的底层软硬件功能。 以上三个概念实际上是将安全系统的设计与实现在不同层次上进行了分离，提供了类似 于传统的多阶段软件开发模式的优势。特别是将模型、策略与机制进行分离，对于理论研究 以及具体应用可以起到三种作用：( 1 ) 独立于具体实现研究安全需求：( 2 ) 对不同的安全策 略进行比较研究，以及对相同的策略不同的执行机制的研究；( 3 ) 研究与实现可执行多种安 全策略的机制。近几年来的许多研究与应用工作都是围绕这三点展开的，并且还在不断深入 进行。 2 2 本文的研究内容与贡献 本文的目标是为了在越来越复杂的应用环境中保护计算机系统的信息安全而系统地研 究一个可扩展的安全控制模型及其形式化定义与验证的相关问题，以满足广泛而多变的安全 控制需求，从而使得重要的信息资源不被非授权用户窃取和修改。 本文的研究内容包括以下几个部分： 1 )可扩展的安全控制模型 2 )安全控制模型中的安全控制策略的表达 3 )安全控制模型的形式化定义 4 )安全属性的定义与验证 5 )可扩展的安全执行机制 6 )实际安全系统的建模与分析 传统的访问控制模型从直接面向用户，已经发展到基于角色的访问控制模型，提出了多 种框架，但是它们还是各有局限。访问控制模型的发展方向体现在：新的多变的应用环境和 复杂的对象类型，使得访问控制需求不是单一访问控制策略可以满足的，访问控制模型应该 可以描述多种访问控制策略。我们为此提出了一个可扩展的安全控制模型，其基本特点是： 面向过程的安全控制的定义。 支持授权规则、权限转移规则以及义务规则的定义 基于规则和安全控制过程的定义可以描述多种安全控制策略。 模型及安全策略的形式化定义基于扩充的时态逻辑系统 安全模型是用来精确地、形式化地描述信息系统的相关安全特性，同时要提供对安全系 统的行为进行描述和验证的方法及手段。安全系统是指基于某种安全模型以及相应的执行机 制，能够对系统产生的各种行为进行某种程度上的安全控制的信息系统。本文对可扩展的安 全控制模型的研究涉及三个方面：基本的系统模型、安全控制规则的定义以及安全属性的定 义与验证。用以解决三个重要的基本问题：目标需要进行安全控制的相关元素：如何定义安 全控制的需求；如何证明受控制的目标系统相对于给定的安全属性是安全的。最后，为实现 安全策略所定义的安全控制需求，我们还需要进一步研究安全系统的安全策略执行机制的一 气 上海交通大学博士学位论文 可扩展安全控制模型的研究 些相关问题。 本文根据国内外已有的研究成果及应用情况，系统地研究了可扩展的安全控制模型，在 此基础上提出了安全属性的分类，对安全( 应用) 模型的特定安全属性进行了实际验证，并 进一步研究了可扩展的安全执行机制。其主要贡献在于： 1 )提出了一种可扩展的安全控制模型，基于授权、权限转移和义务三种安全规则、安 全控制过程的定义以及可变对象属性的概念，可以灵活地描述不同的安全策略。 2 )在经典的动作时态逻辑t l a 的基础上，对系统状态序列语义进行扩展，并引入更丰 富的时态操作符、扩展动作的语义。从而进一步扩展为t l s e c a 。并在t l s e c a 的 框架下对安全控制规则和安全控制过程进行了较为精确的形式化定义。 3 )在t l s e c a 的框架下，对安全属性进行了较为系统的分类。并进一步以t l s e c a 作 为描述信息流安全属性的基本手段，定义了确定和非确定系统以及传递和非传递非 干扰安全属性。 4 )对系统模型、安全模型以及安全属性采取统一的形式化定义方法，以t l a + 作为基 本的描述语言，针对具体的访问控制模型和应用模型及其各自特定的安全属性的形 式化定义进行了基于定理证明和模型检查的实际验证。 5 ) 在s c h n e i d e r 安全自动机理论的基础上提出了可扩展的安全自动机，用以描述基于 执行监控器的安全控制执行机制。同时给出了各种安全自动机执行能力的定义，进 一步分析了基于类似事务处理的方式的安全控制执行机制的执行能力。 6 )在t l s e c a 的框架下，对一个实际的安全系统( s e l i n u x ) 的安全策略配置语义和 安全控制执行机制进行了基本的建模和分析。 2 4 本文的章节安排 第一章为绪论部分，介绍了本文的研究背景、研究内容与贡献。 第二章对已有的多种经典的安全策略、安全模型以及安全操作系统进行阐述和分析 第三章提出了可扩展的安全控制模型，该模型将安全控制看作是一个过程，基于各种元 素定义不同的规则，用以目标系统在相应的安全相关动作发生过程中施行全程控制。另一方 面，我们基于t l a 时态逻辑系统进行扩充而得到t l s e c a ，在此基础上给出了可扩展的安 全控制模型的形式化定义。 第四章在t l s e c a 的框架下对安全属性进行了较为系统的分类，对基本安全属性和高级 安全属性之间的关系进行了探讨。并进一步对高级安全属性中最重要的信息流安全属性进行 了研究。 第五章以t l a + 作为基本的描述语言，使用t l a 的定理证明规则以及t l c 模型检查器， 分别针对具体的访问控制模型和应用模型及其各自特定的安全属性的形式化定义进行了基 于定理证明和模型检查的实际验证。 第六章在s c h n e i d e r 安全自动机理论的基础上提出了可扩展的安全自动机，并定义了各 上海交通大学博士学位论文可扩展安全控制模型的研究 种安全自动机的执行能力，分析了基于类似事务处理的方式的安全控制执行机制的执行能 力。并进一步分析了安全监控器的组合性质。 第七章对安全操作系统s e l i n u x 的安全策略配置语义和内核安全控制机制作了基本的 阐述和分析，并在可扩展的安全控制模型框架下，基于t l s e c a 对s e l i n u x 安全策略配置模 型和安全执行机制进行了形式化定义。并对s e 乙i n u x 的信息流安全属性作了有限的分析。 第八章对本文的研究工作进行总结，并提出了进一步的研究展望。 上海交通大学博士学位论文可扩展安全控制模型的研究 第二章安全模型与安全操作系统 安全模型是用来精确地、形式化地描述信息系统的相关安全特性，安全系统是指基于某 种安全模型以及相应的执行机制，能够对系统内的安全进行某种程度上的控制的信息系统。 安全模型提供对安全系统的行为进行描述和验证的方法及手段。本章将对已有的多种经典的 安全策略、安全模型以及安全操作系统进行阐述和分析，从而引入进步提出新的安全控制 模型的必要性。 2 1 安全策略 安全策略( s e c u r i t ) ，p o l i c y ) 是明确地由系统实施的安全性规则集合，可用系统的某个 模型描述。在不同的安全级别同样的规则具体要求会不一样。因为安全策略必须由模型来描 述，所以有时候策略和模型是混同起来的。现在的安全系统一般要求是策略透明的( p o l i c y n e u 仃a 1 ) 。迄今为止，学术界已经提出了多种安全策略并进行了深入研究。 2 1 1 自主访问控制和强制访问控制 系统中安全机制的主要目的是控制存取信息，主要有两种不同类型的访问控制方式：自 主访问控制( d i s c r e t i o n a r y a c c e s s c o n 们1 ) 和强制访问控制( m a n d a t o r y a c c e s s c o n 仃0 1 ) 【4 】。 七十年代，随着分时系统的出现，自主访问控制( d a c ) 也逐渐兴起。d a c 是最常用 的，它是基于客体主体的所属关系的访问控制，根据主体及或主体所属的主体组的识别来 限制对客体的访问，这种控制是自主的。自主是指对其他主体具有授予某种访问控制权限的 主体可以根据自己的意愿将访问控制权限的某个子集授予其他主体或从其他主体那里收回 他所授予的访问权限。也就是说，d a c 的思想是将用户作为客体的拥有者，这样用户便可 自主地决定其他的哪些用户可以以何种方式来访问他拥有的客体。例如，用户a 是客体x 的拥有者。那么，用户a 就可以根据自己的意愿将对客体x 的访问控制权限授予用户b 。 这样，用户b 就可以对客体x 进行相应的访问了。同样，在一段时间后，如果用户a 不想 再让用户b 拥有对客体x 的访问权限，用户a 就可以根据自己的意愿收回这些访问权。其 后，用户b 就不可再访问客体x 了。用户可自主地在系统中定义谁可以存取他们的文件， 如u n i x 系统中文件主通过c h m o d 命令和a l c e d i t 命令可以设定自己的文件可以被哪些用户 访问。在这种访问控制下，用户( 或用户程序或用户进程) 可选择同其他用户共享文件。 d a c 的优点是：其自主性为用户提供了极大的灵活性，从而使之适用于许多系统和应 用，但也正是这种自主性，使得特洛伊木马可以通过共享客体从一个进程传给另一个进程。 8 上海交通大学博士学位论文可扩展安全控制模型的研究 因此，d a c 的最大缺点是它没有保证信息的“真正安全”。 强制访问控制( m a c ) 是针对特洛伊木马的威胁而提出的。m a c 依据主体和客体的安 全级别来决定主体是否有对客体的访问权。m c 最先的主要目的是针对军事领域，防止信 息的非法泄露，进行信息流控制，如在军事领域应用中的b e l j l a p a d u l a 策略( 这里将它归 属到多级安全策略中描述) 。在m a c 下，主体和客体都有固定的安全属性，这些属性由系 统使用，以决定某个主体是否可以存取某个客体。安全属性由管理部门或操作系统自动地按 照严格的规则设置。这些属性不能由用户或程序修改。这就好像在一个居住小区里，小区里 面的住户可以有权给自己的房间加锁( 对应于d a c ) ，而这个小区也有一些基本的安全防范 措施( 对应于m c ) ，任何人不能违背。d a c 和c 的主要区别总结于表2 1 中。 安全设置人安全设置规则 d a c文件主任意设置 m a c 系统安全员依据一定的规则 表2 1d a c 和m a c 的区别 在敏感信息处理系统( 军用的或民用的) 中，信息不属于系统的某个用户而是属于某个机构 或部门，访问控制要基于雇佣关系即用户在机构中的职能，d a c 不适用于这类需求，另外 d a c 授权管理繁琐，必须处理级联授权和每一个客体主体访问关系。而m c 在控制粒度 上讲不满足最小特权原则，因为具有一定安全属性的主体可以访问与其安全属性相匹配的所 有客体。所以d a c 和m a c 己不能满足大多数敏感信息处理系统的安全需求。 2 1 2 多级安全策略m l s m l s ( m u l t il e v e ls e c u r i t yp o l i c y ) 是用信息流关系来表述的，在此策略中，系统的每 个实体与一个级别相连，这些级别组成一个偏序集合，信息可从一个实体流向一个相同或更 高级别的实体。最有名的两个多级安全策略是b e l l l a p a d u l a 策略( b l p ) 【3 】和b i b a 策略 7 】。 _b e l l l a p a d u i a 策略 m i t r e 公司的b e l l 和l a p a d u l a 合作的安全模型b e l l l a p a d u l a 模型 3 】是一个经典的多级 安全策略，它以军事部门的安全控制作为其现实基础，恰当地体现了军事部门的安全策略， 然后用到计算机的安全设计中来。它侧重于信息的保密性。是军事部门中最重要的安全控制 方法。基于b e l l l a p a d u l a 策略的强制访问控制主要是基于主体和客体在系统中的“安全级” 来控制主体对客体的访问控制，安全级包括“密级”和“部门集”两个方面。为实施强制型 安全控制，每个主体和客体均被赋予“安全级”，客体的安全级表现了客体中所含信息的敏 感程度，而主体的安全级别则反映了主体对敏感信息的可信程度。在一般的情况下，安全级 是线性有序的。其实现机制包括三点：主体的安全级高于客体，当且仅当主体的密级高于 客体的密级，且主体的部门集包含客体的部门集；“简单安全”原则，主体可以读客体， 9 上海交通大学博士学位论文可扩展安全控制模型的研究 当且仅当主体安全级高于或等于客体；“牛特性”，主体可以写客体，当且仅当主体安全 级低于或等于客体。c 的最大优点是：它使得系统中的信息流成为单向不可逆的，防止 信息从高安全级别的客体流向低安全级别的客体，从而有效地防止了特洛伊木马的破坏。但 是m a c 的缺点是：它无法给用户提供较大的灵活性，同时也没有解决当高安全级别的信息 可通过低安全级别的信息的组合而推导出来时产生的安全问题。自主访问控制就是主体有权 决定自己和他人对其拥有的客体所具有的访问权限。b l p 采用有穷状态机来作为构造该模 型的基础。首先给出了安全状态的定义，然后定义了一些状态转换规则，这些规则可以保证 系统的状态是安全的。已经证明，满足简单安全特性和+ 特性的状态是安全状态。b l p 模型 的建立，将军事安全模型赋予形式化定义并展示了其应用前景。它已经作为许多系统或原型 的实现的理论基础。b l p 模型在m u l t i c s 中得到了成功应用。 一 b i b a 策略 b i b a 模型 7 是另一种多级安全策略，它侧重于信息的完整性。它与b e l l l a p a d u l a 模型类 似，也是将系统中的主体与客体划分为不同的安全级别。但其主要的两条安全控制规则却是 相反：简单完整性原则，即主体只能读完整级不小于它的客体( 向上读) ：完整性星原则， 即只有在客体的完整级小于或等于主体的完整性级别时主体方可写客体( 向下写) 。 2 1 3c l a r i 【- w i l s o n 策略 c 1 a r k w i l s o n 是一种完整性( i n t e g r i t y ) 策略 6 ，它所关心的是数据的正确性，预 防欺诈( f r a u d ) 甚于泄露( d i s c l o s u r e ) 。受保护的数据称作受约束数据项( c o n s t r a i n e dd a t a i t e m ，c d i ) ，c d i 的正确性通过两种途径保证。一是完整性确认过程( i v p ) ，一个i v p 可以 三类方式确认c d i 的完整性：某个特定c d i 的内部一致性，c d i 之间的一致性以及c d i 与外 部世界的一致性。第二种途径是只能允许某些转换过程( t p ) 可以更改c d i ，这些t p 已被 确定将c d i 的状态转换为正确的状态。正确性以特定于应用的方式定义。欺诈的预防是由职 责分离机制保证，只有某些用户可通过特定的t p 更改c d i 。 2 1 4c h i i l e s ew a i l 策略 c h i n e s ew a l l ( “中国墙”) 策略【8 】是一种基于不同机构间利益冲突的安全策略，是基于 商业领域的特点( 有别于军用系统) 而提出的，主要用于提供商业服务的金融机构( 例如证 券公司) ，不适用于其他机构。在b e l l l a p a d u l a 中，数据的访问以数据的级别为依据，在 c h i n e s ew a l l 中数据的访问为主体( s u b i e c t ) 已拥有哪些数据的访问权限所限制。该策略的 基本思想是将数据集( d a t a s e t s ) 分成不同的“利益冲突类”( c o n f l i c to f i n t e r e s tc l a u s s e s ) ，强 制规则规定：所有主体只可以访问每个利益冲突类中至多一个数据集，至于选择哪个数据集 则没有限制，只要满足强制规则即可。b r o w e r 等提出了一个实现c h i n e s ew a l l 的模型。信 息以层次化的形式存储，底层是不同的单个客体，第二层次将这些客体分类为不同的“公司 1 0 上海交通大学博士学位论文 可扩展安全控制模型的研究 数据集( c o m p a n yd a t 雒e t s ) ，例如c o m p a n y a 和c o m p a l l y - b 。最高层再将所有的数据集 分类，每一类代表相互竞争的公司集合，即利益冲突类。具有两个基本访问规则：简单安全 规则( s i m p l es e c u r i 妙) 和星特性( + - p r o p e n y ) 。前者表示：( 主体) 一旦访问了某个数据集， 那么他将不能再访问与该数据集处于同一利益冲突类的其它任何数据集。后者表示：仅当同 时满足下面两个条件时才可执行写访问，1 访问满足简单安全规则，2 写请求访问一个公司 数据集，另一个不同的公司数据集中的客体( 包含有未清洁的信息u n s a n i t i z e di n f o n n a t i o n ) 不可被读入到此数据集中。 2 1 5 责任分离策略 责任分离( s 印a r a t i o no f d u 够，s o d ) 是将任务和相关权限分离，要求几个用户协同完成 敏感任务，以减少欺骗行为和错误的发生几率。早在计算机出现之前，责任分离就已经广泛 应用于实际生活中。在基于角色的访问控制系统中，责任分离是一项重要的安全原则，是防 止欺骗行为和错误发生的一种基本技术，是用来规范多个用户协同控制的一种策略。它要求 由两个或更多的用户一起来完成某一任务或一组相关的任务。这一原则的目的就是通过将执 行任务的权限分散给多个用户，以利于互相监督、互相制约、协同工作，从而达到减少欺骗 行为发生概率的目的。在现实生活中这样的例子比比皆是，比如银行信贷、网上定货等等。 如果一个人同时担任两个互斥的角色，如顾客和收银员，他就可以很方便地舞弊，骗取钱财； 而如果这两个角色必须由不同的用户来扮演，除非二者合谋，则欺骗行为的风险增大，从而 降低了欺骗行为发生的几率。对于责任分离这一基本安全原则，有许多相关文献 9 ，l o ，1 1 ，1 2 ，1 3 ，1 4 ，1 5 】。s a n d h u 在尼醐c ，中仅仅简单提到了对互斥角色的约束 9 。f e t l r a i o l o 等人 1 0 】定义了三种责任分离：静态的责任分离( s t a l i cs e p a r a t i o no f d u t y ) 、动态的责任分离 ( d y n a m i cs e p a r a t i o no f d u t y ) 和责任的操作分离( o p e r a t i o n a ls e p 删i o no f d u 妫。其中责任的 操作分离是指没有任何一个角色可以拥有完成某一商业职能( b u s i n e s s 如n c t i o n ) 所需的所有 权限，但是这隐含的前提是完成此商业职能的所有角色的成员没有交集，从而保证没有一个 用户可以单独完成这一商业职能。r i c h a r dk u h n 1 1 提出了实现责任分离的一种方法：角色 互斥。分析了角色互斥的性质，包括互斥发生的时间是在授权时还是在运行时，这对应于静 态和动态的责任分离：还分析了角色互斥的程度，即互斥的角色所拥有的权限是否有交集。 但是没有考虑角色层次的影响。a h n 【1 2 详细的讨论了静态和动态的责任分离，却没有考虑 任务的因素。b e n i n o 1 3 】在工作流环境中对用户和角色的所属关系提出了三种类型的约束： 静态约束、动态约束和混合约束。 2 2 安全模型 构造一个形式化的安全模型并证明其正确，而后将之用于系统设计中，可以使系统的安 上海交通大学博士学位论文 可扩展安全控制模型的研究 全性得到最大限度的保证。随着对信息安全研究的重视，出现了各种各样的安全模型，对一 些典型的安全模型进行分析研究，从中得到在实际中进行安全性设计的启发，并适当应用于 系统的安全性设计，可以使系统的安全结构清晰，最大限度地避免安全“盲点”。安全模型 被用来精确且形式化地描述信息系统的安全相关特征，安全模型主要包括状态机模型、访问 模型、信息流模型。访问模型是从主体与客体的安全属性的角度来描述系统安全状态的，通 过比较它们的安全属性确定主体对客体的存取方式，所有建立在主体对客体存取基础上的模 型都可称为访问模型。它包括访问矩阵模型和访问控制模型( a c c e s sc o n t r o lm o d e l ) 。其中有 穷状态机模型作为一个基本概念来介绍，其它模型以有穷状态机模型为概念基础。 2 2 1 有穷状态机模型 介绍有穷状态机模型( f i n i t e s t a t em a c h i n em o d e l ) 的原因在于有穷状态机模型是当前大 多数安全模型的基础。相当多的安全模型其实质都是有穷状态机模型。它将系统描述成一个 抽象的数学状态机：其中状态变量( s t a t ev a r i a b l e s ) 表征机器状态，转移函数( 仃a n s i t i o n f u n c t i o n s ) 描述状态变量如何变化。只要该模型的初始状态是安全的，并且所有的转移函数 也是安全的( 即一个安全状态通过状态转移函数只能达到新的安全状态) ，那么数学推理的 必然结果是：系统只要从某个安全状态起动，无论按照何种顺序调用系统功能，系统将总是 保持在安全状态。注意：两个转移函数都是原语性质的，认为它们的执行不花时间。状态机 模型是一种相当古老而又基本的模型，它的概念已渗透到了各个技术领域，每个作建模工作 的人都能理解状态机模型。但该种模型在诸如软件开发等过程中没能起重要作用，因为对操 作系统的所有可能状态变量建模是不现实的。而安全模型仅仅涉及与安全有关状态变量，其 状态机模型要简单得多。 2 2 2 访问矩阵模型 访问矩阵模型( a c c e s sm a t r i xm o d e l ) 是状态机模型的一种，开发于七十年代，是对操 作系统保护机制的通用化描述。由于其在操作系统安全性设计中的简单性和通用性，因此一 直吸引着人们的兴趣。它更主要的是对操作系统安全机制进行抽象，而不是对军事上的安全 概念给以形式化定义。对安全保护机制这种高层次的抽象( 即仅仅指明了系统存在着主体、 客体和存取模式，却没有说明这些主体、客体或存取模式究竟是什么和其它细节) ，带来了 灵活性和广泛的适用性。只要解释适当，它可以和实际的计算机系统符合。它将系统的安全 状态表示成一个大的矩形阵列：每个主体拥有一行，每个客体拥有一列，交叉项表示主体对 客体的访问模式。访问矩阵定义了系统的安全状态，这些状态又被状态转移规则( 即上文的 状态转移函数) 引导到下一个状态。这些规则和访问矩阵构成了这种保护机制的核心。这种 模型只限于为系统提供机制，具体的控制策略则包含在访问矩阵的当前状态中，使得依据这 种方法实现一个系统时可以很好地实现机制和策略的分离。 1 2 上海交通大学博士学位论文可扩展安全控制模型的研究 在实际的计算机系统中，当把访问矩阵作为一个二维数组来实现时，它往往是一个稀疏 矩阵，具体表示如下： 彳= 引 访问矩阵中每个元素a i i 即为主体s i 对客体o i 的访问权限。在实际应用中，直接将访问 矩阵加以实现显然是低效和不可取的，目前对访问矩阵的存放有三种方式： 1 ) 按行存放，这种方法叫“权限表( c a p a b i l i t yl i s t ) ”法。它是利用在主体上附加一 个客体明细表的方法来实现访问矩阵的。在这种方法中，每个主体都有一个权限表， 它表示了该主体可对哪些客体进行何种形式的访问，其形式如图2 1 所示。可以看 出权限表实际上就是将访问矩阵按行存放，利用权限表可以很快的得到某一个主体 所拥有的所有权限。 b o b f i l e lf i l e 2 o w n r r f i l e lf i l e 2 r o 峨l k w 图2 1 权限表 2 )按列存放，这种方法叫“访问控制表”( a c c e s sc o n t r o l l i s t ，a c l ) 。它是利用在客 体上附加一个主体明细表的方法来表示访问矩阵的。在这种方法中，每个客体都有 一个访问控制表，它表示可访问该客体的所有主体和这些主体对该客体的访问权 限。其形式如图2 2 所示。典型地，系统中每个文件都有一个相应的a c l 表来控 制各个主体对它的存取权限。比如在u n i x 文件系统中，将用户分成用户主 ( o w n e r ) 、用户组( 伊o u p ) 和其它用户( o t l l e r ) 三类，分别标明各类用户对文件 的存取权限。一般而言，权限表法或访问控制表法常常将主体对客体的存取权限交 给客体的拥有者去制订，因而这两种方法，尤其是a c l 法，常常和d a c 联系在 一起。 1 3 0 o o 竹 一 。l 上海交通大学博士学位论文 可扩展安全控制模型的研究 f i l e l f i l e 2 j o h na l i c eb o b o 峨r r r j1 | | 】f a 1 i c e 丁o h nb o b o 瓶jw r r r j l | ： 图2 2 访问控制表 3 ) 授权关系表( a u t h o r i z a t i o nr e l a t i o n s ) ，是上面两种方式的综合。无论是访问控制表 还是权限表都存在着缺点，用授权关系表来实现访问矩阵则综合了访问控制表和权 限表各自在检索效率上的优势。授权关系表中的每一项都是一个三元组，它定义了 一个主体和一个客体以及主体