基于动态可信度的可调节安全模型.doc

第10期聂晓伟等：基于动态可信度的可调节安全模型45基于动态可信度的可调节安全模型聂晓伟1,3，冯登国1,2,3(1. 中国科学院 研究生院 信息安全国家重点实验室，北京100039;2.中国科学院 软件研究所 信息安全国家重点实验室，北京 100190; 3. 信息安全共性技术国家工程研究中心，北京 100190)摘 要：提出一个基于动态可信度的可调节安全模型MSMBDTD (modified security model based on dynamic trusted degree)，它在可信计算的可信认证和度量的基础上，定义可信度判定规则，对系统运行过程中可信度的变化实施动态分析，在此基础上分别调节主体的访问权限，使可信度和访问范围保持一致，实现基于可信度的访问控制。文中对MSMBDTD进行了形式化描述，并分析和证明了模型的安全性。关键词：安全体系结构；安全模型；可信度；动态调节中图分类号：TP309 文献标识码：A 文章编号：1000-436X(2008)10-0037-08Modified security model based on dynamic trusted degreeNIE Xiao-wei1, 3, FENG Deng-guo1,2,3(1. State Key Laboratory of Information Security of Graduate University, Chinese Academy of Science, Beijing 100039, China;2. State Key Laboratory of Information Security of Institute of Software, Chinese Academy of Sciences, Beijing 100190, China;3. National Engineering and Research Centre of Information Security, Beijing 100190, China)Abstract: A modified security model based on dynamic trusted degree security model MSMBDTD (modified security model based on dynamic trusted degree) was proposed. Based on the trusted authentication and measurement of trusted computing, MSMBDTD first gave definition of trusted degree rule. Then it analyzed dynamic transformation of trusted degree in the course of system running. And also it modified access privilege of subject, which made access range be in conformance with trusted degree. Finally, after formal description and safety analysis with proof are given, MSMBDTD can support access control based on trusted degree. Key words: security architecture; security model; trusted degree; dynamic modified1 引言收稿日期：2008-06-21；修回日期：2008-09-27基金项目：国家高技术研究发展计划（“863”计划）基金资助项目（2006AA01Z454, 2007AA01Z412）；国家科技支撑计划资助项目（2006BAH02A02）Foundation Items: The National High Technology Research and Development Program of China (863 Program) (2006AA01Z454, 2007AA01Z412); The Projects in the National Science & Technology Pillar Program (2006BAH02A02)以可信硬件TPM为信任根的可信平台，采取可信认证和度量技术可以实时获取用户身份和进程状态，在分布式环境下实现基于可信度的访问控制，其中安全模型是其正确性的保证。目前可信平台对于主客体间的访问控制主要采取BLP1和Biba2等传统模型，但该类传统模型具有如下缺陷：1) 该类模型仅仅给出可信主体的定义，但并没有给出判定其可信程度的依据，导致实施困难，因此必须制定可信度的判定规则，确定主客体的可信度，使基于可信度的访问控制具备可实施性。2) 该类模型中，进程可信度或遵循静态不变的原则(tranquility)，或者单调递减，缺乏可用性，因此必须对用户和进程的可信度分别进行分析，定义可信度调节规则，提高模型的可用性。3) 该类模型中，可信主体权限过大，容易受到攻击而带来的安全隐患，因此必须对可信主体的访问权限实施限制，使其符合自身职能，满足最小特权化需求。针对上述问题，本文将以可信认证和可信度量为依据，给出可信度的定义规则，动态监控和调节主客体可信度的变化，在此基础上，对不同可信度主体实施访问控制，形成一个基于动态可信度的可调节的安全模型(MSMBDTD, modified security model based on dynamic trusted degree)，满足基于可信度的访问控制需求。2 相关工作相关工作主要包括以下2个方面：1) 传统工作在可信主体最小特权方面的模型改进研究。在可信主体最小特权化方面的代表性工作主要有：Bell和Mayer在文献3和4提出Bell模型及其修订版，将可信主体的特权限制在相应的范围内，但模型并未考虑可信主体信任度的变化，意味着可信主体特权保持不变，存在安全缺陷。为了进一步限制可信主体特权，Schell和Lee分别在文献5和文献6中提出多级可信主体和部分可信主体的概念，但并没有给出主体敏感标记动态调整方案。文献7通过给出可信主体离散序列机制DLS实现可信主体最小特权化，值得借鉴，但无法阻止木马程序通过发送合法的状态切换请求实施攻击。2) 传统工作在动态安全级别方面的模型改进研究。为了克服传统模型遵循的静态原则的缺陷，文献2提出了Biba的主客体低水印模型，该模型中主客体的完整性级别不是静态不变的，而是它前一个状态的函数，从而保证了主客体的完整性级别是动态的、单调和非递增的，但这种调节方法使得系统运行过程中所有的主体都有可能因为访问某个低完整性客体而导致完整性降低，从而无法访问其他客体，降低了系统的可用性。文献8和文献9基于历史主体敏感标记方案，建立具有动态适应性的ABLP模型和改进的动态标记模型DBLP，但都缺乏可用性，同时都没有考虑可信主体的信任度变化。3) 可信平台访问控制的研究。目前可信平台访问控制仍以传统安全模型为主：文献10提出基于远程证明的完整性策略执行体系(PEA，policy enforcement architecture)，根据客户终端的进程的度量值和可信度建立对应关系，实施访问控制，但并没有考虑用户的可信度，仍然是一种静态的方式。文献11基于可信平台开发了可信Linux客户端(TLC，trusted Linux client)，保证计算机启动、系统加载、进程运行的可信性，由于采用BLP和Biba模型控制信息流，仍然面临传统模型的安全问题。文献12在可信模块TPM上建立可信引用机(TRM，trusted reference monitor)，根据进程的可信度量值作为访问控制判定依据，缺乏通用性。文献13提出基于可信状态的多级安全模型MSMBTS，利用可信状态调节访问范围，但是直接建立可信状态和保密级的映射，缺乏合理性，同时采取可信代理对可信主体实施授权，引入了新的安全隐患。综上所述，传统的模型改进工作主要存在的问题有：缺乏对主客体可信度进行定义和判定的依据，导致实施困难性，对可信主体特权限制过粗，不符合最小特权原则。对安全级别的动态调节不具备可用性。可信平台的可信度量和认证为可信度提供了可信依据，但直接将其作为访问控制依据缺乏可扩展性，同时大部分可信平台访问控制仍然遵循传统的访问控制模型，不能完全实现基于可信度的访问控制。针对上述问题，提出一种新的解决思路：采取可信平台的可信认证和度量机制定义和判定主客体的可信度，对主体在运行过程中可信度变化和调节制定规则，对不同可信度的主体分别实施访问控制：对于可信主体，根据可信主体的职能定义其的访问特权，实现最小特权；对于中等可信主体，实施和传统模型相同的访问控制规则；对于低级可信主体，严格限制其的访问范围，可以有效克服传统模型在实施基于可信度访问控制时的缺乏可用性、静态性、可信主体特权过大的缺陷，更好的实施基于可信度的访问控制。本文围绕建立MSMBDTD模型展开，主要工作包括：第3节给出了MSMBDTD的内容，主要包括模型的设计思想、可信度规则和安全规则，第4节分析和证明模型的正确性，第5节通过比较和分析总结MSMBDTD的特性，第6节为结束语。3 基于动态可信度的可调节安全模型本节首先提出模型的设计思想，定义模型的组成元素，给出可信度规则、访问控制规则的形式化描述，从而形成基于动态可信度的多级安全模型MSMBDTD。3.1 MSMBDTD的设计MSMBDTD的总体结构如图1所示，在实施层，采取可信平台的可信认证和可信度量为可信度提供可信依据，在实体层，将主体表示为用户及其启动的进程的二元形式，在模型层设计可信度规则和安全规则如下。1) 可信度规则的设计。采取可信认证和可信度量分别建立用户及进程的可信度，进一步定义主体可信度。对运行中的进程，给出主体的可信度变化和调节规则，实现动态的可信度规则。2) 安全规则的设计。在可信度规则的基础上，根据可信度将主体分为可信主体、中等可信主体和低可信主体，分别实施访问控制。可信主体安全规则。为实现可信主体特权的细粒度控制，文献7提出离散序列DLS方案：“根据可信主体的职能，将可信主体的生命周期分解为一系列非可信状态，每个状态下都有相应的敏感级别，可以将主体访问范围限制在其的应用逻辑范围，较好的支持可信主体最小特权化”。针对DLS方案无法保证状态间转换安全性的缺陷，本文进一步根据可信度量值可以惟一标记可信状态的特性，用可信度量值标记可信主体可以访问的客体集合，同时通过可信度量实时获取请求进程的状态，从而有效防止木马对可信主体的攻击。图1 MSMBDTD的结构中等可信度主体安全规则。对于中等可信度主体，主要保证其对客体的访问不会破坏系统的保密性，主要采取BLP访问控制规则。低可信度主体安全规则。对于低可信度主体，严格限制其对客体的访问权限。3.2 MSMBDTD的描述3.2.1 MSMBDTD的组成元素定义1 基本变量S为主体集，可以看作用户集U及启动进程集P的有序对，有。为客体集，对于单个客体o，有。定义2 可信度单个可信度，表示对实体保持安全性和可靠性的可置信程度，DT代表可信度集合，其中表示可信，表示中级可信，表示低级可信，表示非可信，按照可信度的高低，有：。对客体和主体可信度分别定义如下。1) 主体可信度。对单个主体，可信度表示为，分别对应，对单个用户，可信度表示为，对于用户可信度的判定主要建立在可信认证的基础上；对单个进程，可信度表示为，对于进程可信度的判定则主要建立在可信度量的基础上。根据主体s所处可信度，主体集S可以分为可信主体集，；中级可信主体集，；低级可信主体集，；不可信主体集，。2) 客体可信度。对单个客体，可信度表示为。根据客体所处可信度，客体集O可以分为可信客体集，；中级可信客体集，；低级可信客体集，；不可信客体集，。定义3 可信度量值对单个进程，可信度量值表示为，表示对进程实施度量的结果值。度量算法采用散列算法，同时为了保证可信性，采取TPM提供的可信扩展机制SHA1算法将其保存至平台配置寄存器(PCR, platform configuration register)，可记为可信度量值是进程的可信状态的客观依据，具有惟一性，因此可以通过一定的映射关系获得进程的可信度，作为访问控制的基础和依据。定义4 进程标准可信度表为实现可信度量值到可信度的映射关系，根据可信度量值的惟一性，参考现有的标准安全漏洞库(如CVE库14等)，定义进程标准可信度表，表示当前已知的可信度量值集合，表示对应的可信度集合，根据可信度定义，同样有 ，分别具有如下含义：，进程不含已知安全漏洞，可信度为可信。，进程由于软件配置或设计的原因，存在安全漏洞，可能会引起各类攻击，但该类漏洞局限于本地的输入数据，可以通过可信计算提供的度量机制对该类漏洞进行监控，可信度为中级可信。，进程存在网络安全漏洞，易被远程攻击者利用实施攻击，该类攻击并不能通过TPM的度量机制进行监控，可信度为低级可信。，进程是已知各类攻击程序，可信度为非可信。定义5 可信度函数进程可信度映射函数，表示进程的可信度量值到可信度的映射关系，具体映射关系将在可信度规则中的可信度映射规则给出。主体可信度函数，表示主体的用户和对应启动进程到主体可信度的映射关系。客体可信度函数，表示客体到可信度的映射关系。定义6 操作方式集合在MSMBDTD中，主体S对客体O的访问集合，其中：只读：读包含在客体中的信息，通常又称为“读”。添加：向客体中添加信息，且不读客体中的信息，通常称为”追加写”。执行：执行一个客体(可执行文件)。读写：向客体中同时读和添加信息，通常又称为“写”。创建：创建一个客体。定义7 安全级别单个安全级别，标识主客体的访问关系和范围。其中表示安全级别集合，对于，具有偏序关系，分别表示相等，被支配，支配和不可比较。对于主体s，安全级别为，分别对应最大安全级别和当前安全级别，满足支配关系：。对于客体o，对应安全级别为。用表示系统的最高安全级，表示系统的最低安全级，安全级别从低到高有：。定义8 安全级别函数安全级别函数，表示主体或客体到对应安全级别的映射关系，分别有：当前安全级别函数，最大安全级别函数。客体安全级别函数。定义9 系统状态一个系统状态，其中表示系统状态集合，记录当前主体对客体的访问操作集合。为访问控制矩阵，为当前客体间的层次结构。定义10 可信主体特权表表示可信主体特权表，标志每个可信主体在运行周期中可以访问的客体范围，其中P表示幂集，为可信主体启动进程的可信度量值和可以访问的客体安全级别集合的对应关系。该表依据每个可信主体职权制定，将可信主体对应进程的可信度量值作为查询主键值，对发出请求的可信主体进行查询，返回判定结果。3.2.2 可信度规则本规则主要定义可信度量值到可信度的映射关系，进一步对主客体可信度实施区分和判定，规定访问控制过程中可信度的转换关系，增强模型的抗动态攻击能力和可实施性。1) 可信度判定规则。 可信度映射规则。对应可信度量值，可信度为，对定义如下 该映射规则表示当进程可信度量值和进程标准可信度表匹配时，该进程可信度为对应已知标准进程的可信度，当不匹配时，该进程可信度为不可信。 主体可信度判定规则。对于单个主体，其可信度为，分别对应用户可信度、进程可信度。，即主体的可信度为对应用户及启动进程可信度的最小值， 客体可信度判定规则。对单个客体，可信度为，单个主体，可信度为，有，即客体的可信度继承于生成该客体的主体的可信度。2) 可信度转换规则。 可信度降低规则。一个系统状态，对主体集S，s对应可信度，对客体集O，o的可信度，满足主体低可信度规则，当且仅当：且，其中表示s对o访问后的可信度。即非不可信主体仅可访问不高于自身可信度的非不可信客体，且访问后主体的可信度降为客体的可信度。 可信度调节规则。一个系统状态，对主体集S，s对应可信度，p对应可信度量值，对客体集O，o的可信度，满足可信度调节规则，当且仅当：，其中表示对s调节后的目标可信度，表示对u重新实施可信认证后获得的可信度，表示对p重新度量后获得的度量值。即非不可信主体可以调节自己的可信度，当且仅当目标可信度在对相应用户和进程重新实施可信认证和可信度量的基础上依据主体可信度判定规则转换而成。3.2.3 安全规则本规则主要在可信度规则的基础上，对不同类型的主客体实施访问控制，实现基于可信度的访问控制。1) 自主安全规则。系统状态，满足可信自主安全规则，当且仅当。2) 可信主体安全规则。系统状态，对主体集S，可信主体集，客体集O，满足可信主体安全规则，当且仅当：，表示被访问的客体的安全级别，表示访问时p的可信度量值。该规则表明可信主体在访问任一客体时，根据可信度量值和客体安全级别在相应的可信主体特权表tTSP中查询，如果匹配方允许访问，否则将终止该可信进程的运行。根据3.2.2节定义的可信度降低规则，当某个可信主体在运行过程中因为访问低于自身可信度的客体而导致可信度降低时，该主体已不属于可信主体，依据本规则，该主体无法按照可信主体特权表对客体实施访问。此时，必须经过3.2.2节定义的可信度调节规则，对主体可信度重新验证，将可信度提升为可信，方可依据本规则实施访问。该规则将可信主体对安全规则的超越限制在和可信主体职能对应的特权表中，从而实现可信主体最小特权。3) 中等可信度主体安全规则。系统状态，对主体集S，中等可信主体集，对客体集O，o的可信度，满足中等可信主体安全规则，当且仅当：该规则表示中等可信度主体对客体的访问和BLP规则一致。 4) 低可信度主体安全规则。系统状态，对主体集S，低可信度主体集,，客体集O，满足严格访问控制规则，当且仅当该规则表示对于低级可信主体，其的访问权限被严格限制在和主体自身当前安全级别相同的客体上。上述规则针对不同可信度主客体实施访问控制，使得可信度和访问范围保持一致，较好满足基于可信度的访问控制需求。4 MSMBDTD的安全性分析本节对MSMBDTD的可信度规则、安全级别调节规则、访问控制规则的安全性给出分析和证明，验证MSMBDTD的正确性和合理性。4.1 可信度规则分析对MSMBDTD的可信度规则的安全性分析如下：1) 可信度映射规则的安全性分析。对于MSMBDTD可信度映射规则，进程的可信度和标准进程可信度一致，当且仅当进程可信度量值和标准进程可信度量值一致，否则为不可信。根据可信度量值是进程可信度的惟一标记，此时可信度准确反映了进程的可信状态，具备安全性。2) 可信度判定规则的安全性分析。对于MSMBDTD可信度判定规则，主体的可信度为用户和对应进程的可信度的最小值，可以防止恶意用户通过合法进程的攻击，同时防止进程在运行过程中因为可信度的降低带来的安全隐患，具备安全性。3) 可信度转换规则的安全性分析。对于MSMBDTD的低可信度规则和可信度调节规则的安全性分别分析如下。 可信度降低规则的安全性分析。对于MSMBDTD低可信规则，可信度高的主体仅能访问低于自身可信度的客体，且在访问后降为客体可信度，当主体进程在访问过程中因访问低可信度客体时，其的可信度也会相应的降低，从而防止木马程序对可信主体的破坏，具备安全性。 可信度调节规则的安全性分析。定理1 若，对应主体集，满足低可信度规则，则经过可信度调节规则，其进入的状态仍满足主体低可信度规则。证明 对于定理，需证明对，P对应可信度量值，在状态v下可信度为，在v满足低可信度规则的条件下，对s实施可信度调节规则后的状态，此时s对应可信度，仍满足低可信度规则。 设v对应主客体访问集合b，有，根据其满足低可信度规则，有且，其中表示s对o访问后的可信度。对s实施基于可信度调节规则，s对应可信度，系统进入，对应主客体访问集合，有，表示因可信度变化而引入的新的访问，表示因可信度变化而取消的访问，根据可信度调节规则有，表示对u重新实施可信认证后获得的可信度，表示对p重新实施可信度量后获得的可信度。根据可信认证和可信度量的惟一性，是主体s的可信状态的真实反映，此时s仍遵循低可信度规则，有，且，其中表示s对访问后的可信度。定理1得证。基于上述分析，MSMBDTD实现对可信度的定义和判定，同时制定的可信度转换规则，可以有效保护系统的可信度，增强了模型的安全性，具备正确性和合理性。4.2 安全规则分析MSMBDTD中，在可信度一定的条件下，中等和低等可信度主体在运行过程中安全级别不能发生变化，此时的自主安全规则、中等和低等可信度主体安全规则对它们符合BLP规则，这里主要证明可信主体对BLP规则的超越符合最小特权原则。定理2 若，对应可信主体集，则经过可信主体安全规则，系统最小特权原则。证明 对，p的可信度量值为， 设v对应主客体访问集合b，对，根据可信主体安全规则，有即可以访问的客体安全级别精确对应于可信主体特权表，根据的惟一性，此时对应可信度，即仍然保持可信，同时和可信主体职能保持一致。因此在运行过程中其的状态通过可信度量受到监控，其对客体的访问和主体的职能保持一致。定理2得证。基于上述分析，MSMBDTD在实现基于可信度的访问控制的基础上，和BLP访问规则保持一致，同时可信主体对安全规则的超越符合最小特权原则，具备安全性和合理性。5 MSMBDTD的总结通过和相关工作的对比，对MSMBDTD的特性总结如下。1) 可信度的判定规则。表1给出MSMBDTD和当前可信平台访问控制工作在可信度定义和判定方面的比较。目前大部分可信平台访问控制直接将可信度量值作为可信度的依据，缺乏映射关系，没有对可信度实施判定和分级，不够完善，缺乏可实施性。MSMBDTD分别对用户、进程、客体的可信度实施判定和分级， 表1可信度判定对比MSMBDTDPEA10TLC11TRM12MSMBTS13用户可信度进程可信度客体可信度可信度分级提高了基于可信度访问控制的精度，在完备性和可实施性方面表现更佳。2) 可信度的动态变化。MSMBDTD和目前动态安全模型中可信度的变化比较如图2所示。在传统模型中，可信度变化呈现单一趋势，主体可信度单调递减，容易导致系统中所有进程都进入低可信度状态，降低了系统的可用性。在MSMBDTD中，除了不可信主体之外，主体可信度可以在不同可信度之间切换，同时采取可信认证和度量保证切换的安全性，提高了系统的可用性。(a) 传统模型中的可信度变化(b) MSMBDTD中的可信度变化图2 可信度的动态变化比较3) 基于可信度的访问控制范围。图3给出MSMBDTD和当前主要相关工作在基于可信度的访问控制范围方面的比较。在可信主体方面，相比传统模型可信主体特权不受限制，MSMBDTD根据可信进程的职能建立可信主体特权表tTSP，通过可信度量值标记可信主体访问范围，保证该主体的可信状态，有效防止木马通过攻击可信进程发起的攻击，更加符合最小特权需要。在中级和低级可信度主体方面，相比传统模型中，主客体访问权限和可信度无关，MSMBDTD对中级可信度主体读写实施BLP安全规则，将低级可信主体对客体的访问严格限制在和主体安全级别相同的范围内。可以实现访问控制中保密性的需求。综上，MSMBDTD可以有效实现可信主体最小特权，同时根据主体的可信度的不同，对其的访问权限实施限制，使可信度和访问范围保持一直，更加符合基于可信度的访问控制需求。图3 访问控制范围比较 6 结束语传统模型在基于可信度的访问控制方面具有可实施性差、可信度静态和单调性、可信主体权限过大的缺陷，不能很好满足可信平台访问控制。在本文提出的MSMBDTD模型中，对用户、进程、客体的可信度分别进行分析，制定判定和转换规则，在此基础上对处于不同可信度的主客体进行访问控制，使得访问范围和可信度保持一致，实现基于可信度的访问控制，满足可信平台访问控制需求。MSMBDTD需要改进的方面主要表现在可信度判定方面：1)对已知进程的可信度判定。MSMBDTD中，可信度量值到可信度的映射主要建立在已知通用安全库的基础上，其的准确性受到制约，需要建立专门的可信度量值标准库。2)对未知进程的可信度判定。MSMBDTD中，对于和标准库不符的进程，直接将其可信度标记为不可信，缺乏可扩展性，需要引入属性证书等方法来增强模型的可扩展性。参考文献：1BELL D E, LAPADULA L J. Secure Computer System: Unified Exposition and Multics InterpretationR. Mitre Corporation: Technical Report 01730, 1976.2BIBA K J. Integrity Considerations for Secure Computer SystemsR. Mitre Corporation, Bedford, MA, USA: Technical Report MTR 3153, 1977.3BELL D. Secure computer systems: a network interpretationA. Proceedings of the 2nd Aerospace Computer Security ConferenceC. McLean, Virginian, 1986.32-39.4MAYER L F. An interpretation of a refined bell-la padula model for the TMach kernelA. Proceedings of the 4th Aerospace Computer Security ConferenceC. Orlando, FL, 1988.368-378.5RR S, TAO T F, HECKMAN M. Designing the GEMSOS security kernel for security and performanceA. Proceedings of the 8th National Computer Security ConfC. 1985.108-119.6TMP L. Using mandatory integrity to enforce commercial securityA. Proceedings of the IEEE Symposium on Security and PrivacyC. 1988.140-1467武延军，梁洪亮，赵琛.一个支持可信主体特权最小化的多级安全模型J.软件学报，2007, 18(3): 730-738.WU Y J, LIANG H L, ZHAO C. A multi-level security model with least privilege support for tr