車天偉，馬建峰，王超，李娜

（1.西安電子科技大學(xué)計(jì)算機(jī)學(xué)院，西安710071；2.解放軍信息工程大學(xué)鄭州450001；3.西北工業(yè)大學(xué)計(jì)算機(jī)學(xué)院，西安710129）

基于安全熵的多級(jí)訪問控制模型量化分析方法

車天偉1，馬建峰1，王超2，李娜3

（1.西安電子科技大學(xué)計(jì)算機(jī)學(xué)院，西安710071；2.解放軍信息工程大學(xué)鄭州450001；3.西北工業(yè)大學(xué)計(jì)算機(jī)學(xué)院，西安710129）

針對(duì)訪問控制模型的安全性分析與證明問題，提出了基于安全熵的量化分析方法.首先，結(jié)合信息論有關(guān)知識(shí)引入安全熵的概念，提出了系統(tǒng)對(duì)違規(guī)訪問行為響應(yīng)的不確定性計(jì)算方法；然后，基于安全熵提出了不同等級(jí)信息系統(tǒng)的安全性定理；最后，應(yīng)用該方法對(duì)經(jīng)典安全模型進(jìn)行了量化分析，驗(yàn)證了該方法的實(shí)用性，并比較了這些訪問控制模型安全性以及在等級(jí)化信息系統(tǒng)中的適用性.結(jié)果證明該方法可適用于訪問控制模型的安全性度量以及系統(tǒng)的訪問控制能力評(píng)估.

信息熵；安全熵；等級(jí)化訪問控制模型；直接違規(guī)訪問；流向違規(guī)訪問

0引言

訪問控制模型安全性證明的關(guān)鍵是找到一個(gè)公認(rèn)的、無需證明的安全公理，然后在這個(gè)安全公理上進(jìn)行推導(dǎo)，或使用安全公理對(duì)模型提出的安全假設(shè)進(jìn)行證明，從而使模型安全性更可信.但是，即便是經(jīng)過形式化證明的BLP模型［1-2］，也未對(duì)其提出的“簡單安全性公理”、“*-特性公理”等假設(shè)的合理性、完備性和安全性等進(jìn)行證明，因此有學(xué)者指出BLP模型的安全公理不能完全證明模型的安全性［3］.一個(gè)完備的訪問控制模型首先必須明確是要滿足哪些安全需求、防止哪些違規(guī)訪問，并對(duì)如何降低系統(tǒng)允許這些違規(guī)訪問的不確定性進(jìn)行證明.

熵是度量不確定性的工具，最初用于熱力學(xué).美國數(shù)學(xué)家香農(nóng)將其引入信息論，提出了信息熵的概念，用于信息無序程度的度量［4］.信息熵理論自提出以來已經(jīng)在工程科學(xué)和社會(huì)科學(xué)的諸多領(lǐng)域得到應(yīng)用.已有學(xué)者成功地將熵引入到對(duì)信息安全風(fēng)險(xiǎn)和事件不確定性的量化分析上［5-7］.

本文借鑒信息熵對(duì)事物不確定測(cè)度的思想和方法，提出了安全熵的概念，對(duì)系統(tǒng)的各種違規(guī)訪問響應(yīng)的不確定進(jìn)行度量，從而為等級(jí)化訪問控制模型的安全性量化分析提供了科學(xué)方法.

1安全熵

1.1安全熵的定義

在信息系統(tǒng)中，當(dāng)用戶發(fā)出一個(gè)訪問請(qǐng)求時(shí)，系統(tǒng)會(huì)做出響應(yīng)：允許或拒絕，并且這個(gè)響應(yīng)的結(jié)果是唯一的，不會(huì)同時(shí)給出允許和拒絕響應(yīng).另外訪問請(qǐng)求分為合法請(qǐng)求和違規(guī)請(qǐng)求兩種.若將系統(tǒng)當(dāng)成一個(gè)黑盒，對(duì)用戶的每個(gè)訪問請(qǐng)求，可能得到4種系統(tǒng)響應(yīng)結(jié)果，分別為允許合法訪問、拒絕合法訪問、允許違規(guī)訪問、拒絕違規(guī)訪問.顯然此響應(yīng)結(jié)果可以作為評(píng)判一個(gè)系統(tǒng)好與壞的依據(jù).如拒絕合法訪問響應(yīng)的數(shù)量越多，說明系統(tǒng)可用性越差；允許違規(guī)訪問響應(yīng)的數(shù)量越多，說明系統(tǒng)的機(jī)密性越差.為了全面度量一個(gè)系統(tǒng)對(duì)各種訪問請(qǐng)求的響應(yīng)不確定性，這里定義了安全熵的概念.

定義1（安全熵）：將一組訪問請(qǐng)求B=b1,b2,···,bq作為輸入，將系統(tǒng)對(duì)其中每個(gè)訪問請(qǐng)求的響應(yīng)結(jié)果作為考察對(duì)象，使用變量X表示響應(yīng)結(jié)果，則X的取值為：允許合法訪問、拒絕合法訪問、允許違規(guī)訪問、拒絕違規(guī)訪問，分別記為響應(yīng)a1,a2,a3,a4，使用p（ai）表示響應(yīng)ai的統(tǒng)計(jì)概率，變量X的概率空間［X，p（X=ai）］為

為每個(gè)響應(yīng)結(jié)果分配一個(gè)權(quán)值wi，表示響應(yīng)對(duì)系統(tǒng)安全的影響因子，wi越大表示響應(yīng)ai對(duì)系統(tǒng)安全性影響越大，反之對(duì)系統(tǒng)安全性影響越小.若wi的分布為

則X的安全熵為

1.2安全熵的含義

根據(jù)信息安全的常識(shí)，響應(yīng)a2會(huì)對(duì)系統(tǒng)的可用性產(chǎn)生負(fù)面影響，響應(yīng)a3會(huì)對(duì)系統(tǒng)的保密性產(chǎn)生負(fù)面影響，而響應(yīng)a1和a4對(duì)系統(tǒng)的安全性影響較小.因此可令w2,w3?w1,w4，此時(shí)式（1）所得安全熵的意義就是：針對(duì)一組訪問請(qǐng)求，危害系統(tǒng)安全的響應(yīng)事件發(fā)生的平均不確定性.熵值越大表示產(chǎn)生危害系統(tǒng)安全響應(yīng)的不確定性越大，熵值越小表示系統(tǒng)產(chǎn)生安全危害較大的響應(yīng)結(jié)果的不確定性越小.針對(duì)同一組訪問請(qǐng)求，不同的訪問控制模型的熵值越小，說明該模型產(chǎn)生危害系統(tǒng)安全響應(yīng)的可能性越小.

若令w2＞0,w3＞0,w1=w4=0，且w2+w3=1，則安全熵可作為系統(tǒng)是否滿足可用性和保密性的依據(jù).若令w2=1,w3=w1=w4=0，則式（1）所得安全熵為作為系統(tǒng)是否滿足可用性的依據(jù).若令w3=1,w1=w2=w4=0，則式（1）所得安全熵為作為系統(tǒng)是否滿足保密性的依據(jù).

4種響應(yīng)結(jié)果的數(shù)量與輸入樣本有關(guān)，若只輸入合法事件，響應(yīng)a3和a4的計(jì)數(shù)為0，同理若只輸入違規(guī)訪問，則響應(yīng)a1和a2的計(jì)數(shù)為0.為了能夠準(zhǔn)確反映系統(tǒng)的安全性，要求輸入樣本應(yīng)是完備的.另外，響應(yīng)結(jié)果與輸入樣本的數(shù)量有關(guān)，若某一訪問請(qǐng)求的輸入次數(shù)遠(yuǎn)遠(yuǎn)高于其他訪問，則響應(yīng)結(jié)果將會(huì)失真.所以，計(jì)算安全熵時(shí)要求輸入樣本（訪問請(qǐng)求）是完備的并且是概率分布均勻的.此時(shí)安全熵越小說明模型針對(duì)所有可能發(fā)生的訪問請(qǐng)求，危害系統(tǒng)安全的響應(yīng)結(jié)果的不確定性越小，模型安全性越高，當(dāng)安全熵趨近于0，則達(dá)到理論上的安全.

1.3不同類型違規(guī)訪問的安全熵

訪問是否違規(guī)與應(yīng)用需求有關(guān)，根據(jù)國家等級(jí)級(jí)保護(hù)標(biāo)準(zhǔn)GB/T17859-1999［8］中的訪問控制要求，可將違規(guī)訪問歸類為直接違規(guī)訪問、流向違規(guī)訪問、間接違規(guī)訪問3種類型.直接違規(guī)訪問是指顯式地違反訪問控制矩陣等授權(quán)策略的訪問.流向違規(guī)訪問是指導(dǎo)致違反系統(tǒng)規(guī)定信息流向的訪問，即導(dǎo)致信息從高安全級(jí)主客體流向低安全級(jí)主客體的訪問.間接違規(guī)訪問是指通過信息的多次間接傳遞關(guān)系，違反授權(quán)策略的訪問行為.

如信息系統(tǒng)中的2個(gè)用戶（s1、s2）和2個(gè)資源（o1、o2），其安全級(jí)的關(guān)系為f（s1）?f（s2）?f（o1）=f（o2），系統(tǒng)的授權(quán)策略為僅允許s1讀o2、s2讀o1、s2寫o2.考察如下4個(gè)事件，b1：s2讀o1，b2：s2寫o2，b3：s1讀o2，b4：s1讀o1.由于b4顯式違反了授權(quán)策略因此是直接非授權(quán)事件；事件序列b1b2b3造成信息從s1流向o1，相當(dāng)于s1間接讀了o1，因此事件序列b1b2b3為間接非授權(quán)事件.事件b1和b3造成的信息流向違反了系統(tǒng)規(guī)定的信息流向，因此為流向違規(guī)事件.

針對(duì)不同類型的非授權(quán)訪問，式（1）的結(jié)果和含義也不同相同.若將“違規(guī)訪問”限定為“直接違規(guī)訪問”，則式（1）所得的安全熵在本文被稱為直接安全熵，記HD（X）.同理，若將“違規(guī)訪問”限定為“流向違規(guī)訪問”，則式（1）所得的安全熵在本文被稱為強(qiáng)制安全熵，記為HM（X）；若將“違規(guī)訪問”限定為“間接違規(guī)訪問”，則式（1）所得的安全熵在本文被稱為間接安全熵，記為HI（X）.

2等級(jí)化訪問控制模型的安全條件

2.1基于安全熵的模型安全屬性

定理1（訪問控制模型的直接安全性）訪問控制模型具有直接安全性，當(dāng)且僅當(dāng)

證明此處需要證明，當(dāng)HD（X）=0時(shí)，系統(tǒng)中不會(huì)發(fā)生“拒絕合法訪問”和“允許直接違規(guī)訪問”，即p（a2）=p（a3）=0.將響應(yīng)ai的計(jì)數(shù)記為ni（i=1,2,3,4），令n1+n2=s，n3+n4=t，由于a1、a2和a3、a4分別是針對(duì)同一訪問請(qǐng)求的不同響應(yīng)結(jié)果，則有p（a1）+ p（a2）=s/q，p（a3）+p（a4）=t/q.按照常理，訪問請(qǐng)求不可能全是違規(guī)或全是合法的，所

根據(jù)題設(shè)w2＞0,w3＞0,w2+w3=1，則w1=w4=0，帶入安全熵公式得H（X）= -［p（a2）logp（a2）+p（a3）logp（a3）］.

由于p（a2）/=1,p（a3）/=1，若H（X）=0，則必有p（a2）=p（a3）=0.證畢.

同理可得：

定理2（訪問控制模型的強(qiáng)制安全性）訪問控制模型具有強(qiáng)制安全性，當(dāng)且僅當(dāng)

定理3（訪問控制模型的間接安全性）訪問控制模型具有間接安全性，當(dāng)且僅當(dāng)2.2等級(jí)化訪問控制模型的安全性定理

若使用符號(hào)Θ2表示二級(jí)訪問控制模型、Θ3表示三級(jí)訪問控制模型、Θ4表示四級(jí)訪問控制模型.下面根據(jù)二、三、四級(jí)信息系統(tǒng)的安全需求，在上節(jié)的安全屬性基礎(chǔ)上，給出等級(jí)化訪問控制模型的安全性定理.

定理4（等級(jí)化訪問控制模型安全性）二級(jí)訪問控制模型Θ2滿足安全需求，當(dāng)且僅當(dāng)HD（X）|Θ2≡0，其中w2＞0,w3＞0,w2+w3=1；三級(jí)訪問控制模型Θ3滿足安全需求，當(dāng)且僅當(dāng)HD（X）|Θ3≡0且HM（X）|Θ3≡0，其中w2＞0,w3＞0,w2+w3=1；四級(jí)訪問控制模型Θ4滿足安全需求，當(dāng)且僅當(dāng)HD（X）|Θ4≡0、HM（X）|Θ4≡0且HI（X）|Θ4≡0，其中w2＞0,w3＞0,w2+w3=1.

3基于安全熵的典型訪問控制模型分析

下面使用基于安全熵的等級(jí)化訪問控制模型的安全性分析方法，對(duì)典型的訪問控制模型進(jìn)行安全性分析，驗(yàn)證該方法的實(shí)用性，并指出各種訪問控制模型的不足.

3.1訪問控制矩陣模型（HRU）安全性分析

（1）直接安全性

設(shè)系統(tǒng)中有m個(gè)用戶：u1,u2,···,um，有n個(gè)資源：o1,o2,···,om，將訪問請(qǐng)求分解為讀和寫原子請(qǐng)求，則系統(tǒng)中可能發(fā)生的訪問種類為2mn個(gè)，可分別用b1,b2,···bq（q=2 mn）表示.將訪問分為兩類：合法訪問和直接違規(guī)訪問q）.

HRU模型［9］依據(jù)訪問控制矩陣對(duì)用戶訪問行為進(jìn)行控制，只要是違反負(fù)授權(quán)的訪問請(qǐng)求都會(huì)被拒絕，對(duì)任意∈B+的響應(yīng)結(jié)果為a1，只要是不違反負(fù)授權(quán)的訪問請(qǐng)求都會(huì)被允許，對(duì)任意∈B-的響應(yīng)結(jié)果為a4，因此p（a2）和p（a3）=0.

可得響應(yīng)結(jié)果X的統(tǒng)計(jì)概率分布為直接安全熵HD（X）|HRU≡0，因此HRU模型滿足直接安全性.

（2）強(qiáng)制安全性

將系統(tǒng)中所有訪問請(qǐng)求B=b1,b2,···,bq（q=2mn）分為：導(dǎo)致信息從低流向高的請(qǐng)求導(dǎo)致信息從高流向低的請(qǐng)求和導(dǎo)致信息平級(jí)流動(dòng)的請(qǐng)求顯然第二類請(qǐng)求B↓為流向違規(guī)訪問.

由于HRU模型通過訪問控制矩陣判別請(qǐng)求的合法性，因此訪問請(qǐng)求b↑i和b?1不一定滿足訪問控制矩陣策略，可能被拒絕也有可能被允許，無法使p（a2）≡0恒成立.同理流向違規(guī)訪問B↓也不一定都會(huì)被拒絕，無法使p（a3）≡0恒成立.通過分析可知HRU模型對(duì)流向違規(guī)請(qǐng)求和合法請(qǐng)求的判定與信息流向無關(guān)，HM（X）|HRU/=0，無法從理論上保證強(qiáng)制安全性，拒絕合法請(qǐng)求和允許流向違規(guī)請(qǐng)求的事件都有可能發(fā)生.

（2）間接安全性

間接違規(guī)訪問是由于多個(gè)非直接違規(guī)請(qǐng)求組成，可以將間接違規(guī)訪問記為=由于有HD（X）|HUR≡0，因此系統(tǒng)會(huì)允許間接違規(guī)請(qǐng)求中每一個(gè)非直接違規(guī)請(qǐng)求，因此系統(tǒng)將允許任意間接違規(guī)請(qǐng)求，可得p（a3）＞0.間接安全熵HI（X）|HRU＞0，說明不滿足間接安全性.

通過分析可知HRU模型滿足直接安全性，不滿足強(qiáng)制安全性和間接安全性.

3.2BLP模型安全性

（1）直接安全性與間接安全性

BLP模型采用自主訪問控制和強(qiáng)制訪問控制兩種方式.自主訪問控制采用了HRU模型，因此BLP模型的直接安全性與間接安全性的結(jié)論與HRU模型一致，即BLP模型滿足直接安全性，不滿足間接安全性.

（2）強(qiáng)制安全性

設(shè)系統(tǒng)中有m個(gè)用戶：u1，u2,···,um，有n個(gè)資源：o1,o2,···,on，將系統(tǒng)中所有訪問請(qǐng)求B=b1,b2,···,bq（q=2mn）作為輸入，將訪問請(qǐng)求分為：導(dǎo)致信息從低流向高的請(qǐng)求、導(dǎo)致信息從高流向低的請(qǐng)求和導(dǎo)致信息平級(jí)流動(dòng)的請(qǐng)求，第二類請(qǐng)求B↓為流向違規(guī)請(qǐng)求.

BLP模型通過簡單安全特性和*-特性禁止高安全級(jí)主體寫低安全級(jí)客體以及低安全級(jí)主體讀高安全級(jí)客體，防止信息從高安全級(jí)流向低安全級(jí)，因此任意流向違規(guī)訪問∈B↓都會(huì)被BLP拒絕，任意非流向違規(guī)請(qǐng)求都會(huì)被允許，可得響應(yīng)結(jié)果X的概

率分布為

因此HM（X）|BLP≡0，說明BLP模型滿足強(qiáng)制安全性.

3.3RBAC模型安全性分析

RBAC模型［10-11］為用戶分配了角色，基于角色進(jìn)行授權(quán)，其授權(quán)結(jié)果與訪問控制矩陣模型類似，因此RBAC模型的安全熵與HRU模型結(jié)果類似，即滿足直接安全性，不滿足強(qiáng)制安全性和間接安全性.

3.4FGBAC模型安全性分析

FGBAC模型［12］對(duì)BLP模型進(jìn)行改進(jìn)，引入了信息流圖作為輔助判決工具，根據(jù)其讀寫規(guī)則的推理，系統(tǒng)在任意時(shí)刻對(duì)直接違規(guī)訪問、流向違規(guī)訪問和間接流向違規(guī)訪問的響應(yīng)都為“no”.因此可得

說明該模型滿足自主安全性、強(qiáng)制安全性和間接安全性.

根據(jù)本文對(duì)典型訪問控制模型的安全性分析，對(duì)照二、三、四級(jí)子系統(tǒng)的安全需求，得到了典型訪問控制模型安全性和適用性結(jié)果，如表1和表2所示.

4結(jié)束語

本文提出了“安全熵”的概念，用以度量系統(tǒng)對(duì)訪問請(qǐng)求響應(yīng)結(jié)果的不確定性測(cè)度，通過對(duì)權(quán)值進(jìn)行限定，得到衡量訪問模型可用性和機(jī)密性的方法.在安全熵的基礎(chǔ)上，提出了訪問控制模型的安全性定理，并給出了滿足二、三、四級(jí)子系統(tǒng)安全需求的訪問控制模型的安全公理.本文基于該理論對(duì)典型訪問控制模型進(jìn)行了安全性分析，驗(yàn)證了該方法的實(shí)用性，并且總結(jié)了現(xiàn)有各種模型安全性和使用范圍.本文所提出的基于安全熵的訪問控制安全性分析方法，可廣泛應(yīng)用于訪問控制模型的安全性證明和系統(tǒng)安全性分析上.

［1］BELL D E，LAPADULA L J.Secure Computer Systems：Mathematical Foundations，M74-244［R］.Bedford：Mass Mitre Corp，1973：66-79.

［2］BELL D E.Looking back at the Bell-La Padula model［C］//21st Annual Computer Security Applications Conference.Tucson，Arizona：［s.n.］，2005：337-351.

［3］司天歌，譚智勇，戴一奇.一種對(duì)多級(jí)安全模型安全性的分析方法［J］，計(jì)算機(jī)研究與發(fā)展，2008，45（10）：1711-1717.

［4］傅祖蕓.信息論—基礎(chǔ)理論與應(yīng)用［M］.北京：電子工業(yè)出版社，2007.

［5］王貴寶，黃洪鐘，張小玲.風(fēng)險(xiǎn)可能數(shù)——一種基于最大信息熵理論的風(fēng)險(xiǎn)度量和風(fēng)險(xiǎn)排序新方法［J］.航空學(xué)報(bào)，2009，30（9）：1684-1690.

［6］付鈺，吳曉平，葉清等.模糊集與熵權(quán)理論的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究［J］.電子學(xué)報(bào)，2010，38（7）：1490-1494.

［7］趙冬梅，馬建峰，王躍生.信息系統(tǒng)的模糊風(fēng)險(xiǎn)評(píng)估模型［J］.通信學(xué)報(bào).2007，28（4）：51-56.

［8］國家質(zhì)量技術(shù)監(jiān)督局.GB/T 17859—1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則［S］.北京：中國標(biāo)準(zhǔn)出版社，1999.

［9］DENNING P.Third generation computer systems［J］.Computer Surveys，1971，3（4）：175-216.

［10］SANDHU R S，COYNE E J，F(xiàn)EINSTEIN H L.Role-based access control models［J］.IEEE Computer，1996，29（2）：38-47.

［11］翟征德，徐震，馮登國.域間動(dòng)態(tài)角色轉(zhuǎn)換的靜態(tài)互斥角色約束違反［J］.計(jì)算機(jī)研究與發(fā)展，2008，45（4）：677-683.

［12］WANG C，CHEN X Y，LI N.An access control mode based on information flow graph［C］//Proceedings of the International Conference on Computational Intelligence and Security.Sanya：［s.n.］，2011：998-1000.

（責(zé)任編輯李藝）

A quantitative analysis technique for multi-classes access control model based on security entropy

CHE Tian-wei1，MA Jian-feng1，WANG Chao2，LI Na3
（1.School of Computer Science and Technology，Xidian University，Xi'an710071，China；2.PLA Information Engineering University，Zhengzhou450001，China；3.School of Computer Science and Technology，Northwestern Polytechnical University，Xi'an 710072，China）

To resolve the problem of quantitative analysis on classificatory information systems，a quantitative analysis technique is proposed based on security entropy.Firstly，the security entropy is put forward according to the information theory，to calculate the uncertainty of the system's determinations on the irregular access behaviors.Then the security theorems of classificatory information systems are defined based on security entropy.Finally，the typical access control models are analyzed by the technique，the technique's practicability is validated，and security and applicability of these models are compared.The result proves that the technique is suit for security quantitative analysis on access control model and evaluation to access control capability in information system.

information entropy；security entropy；classificatory access control model；directly unauthorized access；right about access

TP301.1

A

10.3969/j.issn.1000-5641.2015.01.021

1000-5641（2015）01-0172-06

2014-08

國家自然科學(xué)基金資助項(xiàng)目（60872041，61072066）；中央高?；究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)資金資助項(xiàng)目（JYl0000903001.JYl0000901034）

車天偉，男，博士研究生，研究方向?yàn)橛?jì)算機(jī)系統(tǒng)結(jié)構(gòu)、計(jì)算機(jī)網(wǎng)絡(luò)與信息安全.

E-mail：tianweiche@163.com.