基于可信計算的多級安全策略研究

劉曉坦，李曉雯，崔翔

（1.解放軍總醫院海南分院海南三亞572013；2.防空兵學院　河南鄭州450004；3.河南大學計算機與信息工程學院　河南開封475001）

?

基于可信計算的多級安全策略研究

劉曉坦1，李曉雯2，崔翔3

（1.解放軍總醫院海南分院海南三亞572013；2.防空兵學院河南鄭州450004；3.河南大學計算機與信息工程學院河南開封475001）

摘要：針對現有安全策略模型BLP與BIBA結合應用存在可用性差的問題，通過引入可信度量機制提出了基于可信計算的多級安全策略TCBMLSP（Trust Computjng Based Mu1tj1eve1 Securjty Po1jcy），該策略能夠保證主客體的行為可信，解決多級信息的安全流通，并通過可信計算的遠程證明機制使得該策略能夠應用于不同安全域之間的可信通信，較好的解決了可用性差的問題。

關鍵詞：多級安全；可信計算；可信主客體；

多級安全（Mu1tj1eve1 securjty，MLS）通過將信息系統中的信息劃分成不同的安全級別，確保不同級別信息的隔離。擁有不同的權限的各用戶可以訪問不同級別密級的信息。多級安全研究的一個重要方面是安全訪問控制策略的建立，其中具有代表性的是BLP、BIBA策略模型［1-2］。

BLP模型能夠保證信息不能從高機密級別流向低機密級別，符合系統機密性的要求；BIBA模型保證信息不能從低完整性級別流向高完整性，符合系統完整性的要求。為了同時保證系統的機密性與完整性要求，文獻［3］在BLP及BIBA模型的基礎上，給出了一種面向多維的多級安全策略。該策略由3個相互獨立的安全要素組成，包括機密性、完整性、可用性，能夠滿足系統各方面的安全需求，但是由于該策略從3個方面同時對系統的行為進行約束，使得系統中的信息流變得難以流動。文獻［4］提出了一種基于可信級別的多級安全策略TBMLS，提出可信級別的概念，通過可信主體解決信息安全降級與流動問題，但是沒有討論如何實現可信主體。文獻［5-6］針對上述問題，提出用可信計算來度量主體的可信性，并進一步擴大了主體寫客體的權限。對主體進行可信度量，能夠保證主體中不存在木馬程序，不會將高密級的信息寫入低級別的客體中。但是，當高密級不可信客體中存在木馬程序時，則存在高密級信息違規流入低級別可信主體的可能性，因此存在安全隱患。

針對上述問題，本文提出基于可信計算的多級安全策略（Trust Computjng Based Mu1tj1eve1 Securjty Po1jcy，TCBMLSP）。在策略中，通過引入可信計算中的可信度量及可信客體概念，保證主客體的行為可信，同時，增強了策略的安全性與靈活性。另外，本文通過可信計算中的遠程證明機制使得該策略不僅可應用于高安全等級操作系統中，同時還可應用于不同安全等級域之間的可信通信。

1　相關概念

1.1訪問控制策略模型

BLP模型描述了一個通用的多級機密性策略，模型中的主體（subjects）擁有安全等級（securjty c1earances），客體擁有機密級別（c1assjfjcatjons）。系統的安全運行必需遵循下面兩條規則：

簡單安全規則：一個主體能讀一個客體，當且僅當主體的安全級別大于或等于客體的安全級別，即Levelsubject≥Levelobject，并且主體擁有對客體的自主訪問讀權限。

*-規則：一個主體能寫一個客體，當且僅當主體的安全級別小于等于客體的安全級別，即Levelsubject≤Levelobject，并且主體擁有對客體的自主訪問寫權限。

由上述規則可以看出BLP策略允許信息流由低機密級別流向高機密級別，但是不允許信息流的反向流動，即“不能上讀，不能下寫”。

BIBA模型的策略規則與BLP策略正好相反，允許信息流由高完整性級別流向低完整性級別，而不允許反向流動，即“不能上寫，不能下讀”，從而保證了高完整性級別的信息不被低完整性級別實體破壞。

1.2可信與可信計算

學術界對可信的定義有許多種解釋，其中可信計算組［7］（Trusted Computjng Group，TCG）對可信的定義為：如果一個實體的行為總是以預期的方式，朝著預期的目標，則該實體是可信的。其于上述表述，本文認為可信性的值為一個二元組，即｛可信，不可信｝，驗證一個主客體是否可信的方法有很多，由于如何度量不在本文討論的范圍之內，具體可參考文獻［8-15］等。

可信計算通過在現有主板上綁定一個小型防篡改硬件——可信計算模塊（Trusted P1atform Modu1e，TPM），終端從平臺加電開始，到運行環境的建立，再到應用程序的執行，任何實體在獲得控制權之前，都需要經過可信基度量，可信基能夠保證策略的正確實施，系統中的所有執行不能繞過可信基去執行。

遠程證明（Remote Attestatjon）是可信計算中的一個核心的功能，證明方將系統當前的狀態可信的方式提供給遠程驗證方，遠程驗證方根據完整性報告來判斷證明方的安全狀態，從而決定是否與之交互。遠程證明功能充分體現了可信計算的實質。

2　基于可信計算的多級安全策略

文中所提出的基于可信計算的多級安全策略TCBMLSP，其不僅考慮主體的可信度，而且考慮客體的可信度。TCBMLSP能夠通過可信計算中的可信度量機制驗證客體是否可信。

在系統中的每個主客體都賦予四個屬性，即機密性、完整性、訪問域、可信性，其中機密性、完整性、訪問域為互相獨立的屬性，由管理員通過系統可信基對其進行賦值，可信性則由可信基在必要時對其進行度量獲得。

2.1系統符號定義

s：主體

o：客體

R：讀操作

W：寫操作

S（）：主客體機密性級別函數，值域為｛1，2，…｝

I（）：主客體完整性級別函數，值域為｛1，2，…｝

C（）：主客體的訪問域。

T（）：主客體可信性級別函數，

值域為｛T，F，N｝，其中，T表示可信，

F表示不可信，N表示未驗證。

＜S，I，C，T＞：主客體的安全屬性元素組，

分別對應機密級別、完整級別、訪問域與可信級別。

2.2規則定義

1）sRo jff＜1.1＞or＜1.2＞

＜1.1＞S（s）≥S（o）∧I（s）≤I（o）∧C（s）?C（o）

＜1.2＞T（o）=T∧C（s）?C（o）

2）sWo jff＜2.1＞or＜2.2＞

?＜2.1＞S（s）≤S（o）∧I（s）≥I（o）∧C（s）?C（o）

?＜2.2＞T（s）=T∧C（s）?C（o）

規則一表示主體讀客體必須同時遵守BLP和BIBA模型讀限制（＜1.1＞），但是當客體為可信且主體的訪問域包含客體訪問域時，允許主體讀客體（＜1.2＞）。由于通過可信計算對高機密性客體進行可信度量，保證了客體中不包含木馬等危害程序使得機密信息流向到低級別主體中去。同樣，對低完整性級別客體進行可信度量后，保證了客體中不包含危害行為破壞主體的完整性。

規則二表示主體寫客體必須同時遵守BLP和BIBA模型寫限制（＜2.1＞），但是當主體為可信且主體的訪問域包含客體訪問域時，允許主體寫客體（＜2.2＞）。同規則一相同，當高機密級主體是可信時，表明主體不會將包含有高機密級的信息泄露給低機密級客體。同理，可信的低完整性級主體寫高完整性客體時，不會破壞其完整性。

從規則一和二還可看出，如果當主體遵守BLP和BIBA模型后即不能寫也不能讀客體時，則需要主體與客體都經過可信度量后，才能允許主體讀寫客體。

TCBMLSP可以解決BLP模型與BIBA模型組合后，系統難互通的問題，實現信息的安全流通問題。同時，該策略模型也能實現各種信道控制策略，具有較強的策略表達能力。表1給出了TCBMLSP中主體訪問客體的控制列表。其中，橫表頭表示表示主體s的屬性，縱表頭表示客體o的屬性。主客體的屬性是一個三元組（機密性，完整性，可信性）。機密性與完整性通過L表示低級別，H表示高級別，可信性則通過T和F來表達，則主客體分別有9種不同的安全屬性。另外，在列表中，要求主體s的訪問域包含客體o的訪問域，即C（s）?C（o）。從表中可以看出，TCBMLSP可以滿足大部分操作的需要，并且通過可信計算中的可信度量機制能夠實現信息的安全流通，避免了采用不可信特權進程繞過安全策略進行違規操作。

3　實例應用

3.1本地應用舉例

如圖1所示，假設系統具有可信計算功能，進程A與進程B及安全級別列表經過可信計算技術分隔在3個虛擬域中，保證了各進程及列表不會被其它進程干擾或篡改，進程間的通信必須經過可信基的允許，安全級別列表中包含系統中所有進程及數據的安全級別，安全級別列表具有高機密性及完整性，所以只能由可信基讀取、修改。

表1　TCBMLS的訪問控制列表

圖1　TCBMLSP本地應用

進程s的安全級為（2，2，N，＜A，B＞），表示s的機密級別為2，完整性級別為2，未進行可信度量，其訪問域包含A域、B域。類似的，客體進程o的安全級別為（1，1，N，＜A，B＞），當進程s要將低級別信息降級寫入進程o時的流程如下：

1）進程s發出請求給可信基，要求寫進程o。

2）可信基讀安全級別列表，比對進程s、o的安全級別，

發現寫操作違反規則＜2.1＞。

3）對主體進程s進行驗證，驗證進程s是否可信且

C（s）?C（o）

4）若驗證通過，則滿足規則＜2.2＞，允許s將信息寫入進程o。

若驗證不通過，則進程s有可能將高機密級信息寫入低級別進程中，故禁止通信。

3.2遠程應用舉例

如圖2所示，安全互聯部件分別布署在兩個域的出口處，域A與域B之間的通信通過安全互聯部件進行并被加密，兩個安全互聯部件是可信的，并相互信任，一起構成了一個可信基。

圖2　TCBMLSP遠程應用

進程s的安全級為（2，2，N，＜A，B＞），客體進程o的安全級別為（1，1，N，＜A，B＞）。當高完整性s要讀低完整性o時的流程如下：

1）s發出請求給A域的安全互聯部件，要求讀區域B中設備o中的數據。

2）A方安全互聯部件通過B方安全互聯部件取得客體o安全級別，并與s的安全級別對比。

3）發現讀操作不滿足規則＜1.1＞。

4）A方安全互聯部件請求B方安全互聯部件獲得客體o的可信度。

5）B方安全互聯部件通過遠程證明機制獲得客體o的可信度，并將結果返回給A方安全互聯部件。

6）若o可信，則允許主體s讀客體o。

4　功能分析與比較

與文獻［4-6］相比，本文所提出的基于可信計算的多級安全策略TCBMLSP，不僅考慮主體的可信度，而且還考慮了客體的可信度。TCBMLSP通過引入可信客體，增加了策略的安全性與靈活性，不僅包含文獻［4-6］中策略模型的所有表達，而且對系統所有的操作都進行了定義，所以不存在違規操作，保證了系統的安全性。另外，本文通過可信計算中的遠程證明機制使得該策略不僅可應用于高安全等級操作系統中，同時還可應用于不同安全等級域之間的可信通信。

5　結束語

本文提出了基于可信計算的多級安全策略TCBMLSP，通過引入可信主客體的概念，在解決多級信息安全流通的同時，保證了主客體的行為可信，并通過可信計算的遠程證明機制使其可應用于不同安全等級域之間的可信通信。下一步工作將通過非傳遞不干擾信息流理論對TCBMLSP進行建模與安全性證明。

參考文獻：

［1］Be11 D E，LAPADULA L J.Secure computer system：mathematjca1 foundatjon and mode1［R］. mjtre corp，bedford Massachussetts：technjca11 report，1973.

［2］Sandhu RS.Lattjce-Based access contro1 mode1s.IEEE Computer，1993，26（11）：9-19.

［3］E1j Wjnjum，Bjorn Kjetj1 Mo1mann，A mu1tjdjmensjona1 approach to mu1tj1eve1 securjty［C］.Informatjon Management and Computer Securjty，2008.

［4］謝鈞，許峰，黃皓，基于可信級別的多級安全策略及其狀態機模型［J］.軟件學報，2004，15（11）：1700-1708.

［5］黃強，沈昌祥，陳幼雷，等.基于可信計算的保密和完整性統一安全策略［J］.計算機工程與應用，2006，10：15-18.

［6］馮登國，秦宇，汪丹，等.可信計算技術研究［J］.計算機研究與發展.2011，8：1332-1349.

［7］楊蓓，吳振強，楊小勃.基于可信計算的多級安全模型［J］.計算機工程與應用.2011，47（27）：122-125.

［8］Trusted Computjng Group. TCG Specjfjcatjon Archjtecture Overvjew v1.3［EB/OL］：https：// www.Trusted computjng group.org/ specs/，2013.

［9］Xjnwen Zhang，Mjchae1 J.Covjngton，Songqjng Chen and RavjSandbu. SecureBus：Towards App1jcatjon -Transparent Trusted Computjng wjth Mandatory Access Contro1［A］. In：ASIACC'07［C］//Sjngapore：ACM Press，2007：117-126.

［10］劉昌平，范明鈺，王光衛.開放網絡環境完整性按需度量模型［J］.計算機研究與發展.2011，48（2）.

［11］王貴超.基于多級安全策略的RFID認證協議研究［D］.延邊：延邊大學.2014

［12］王輝，賈宗璞，申自浩，等.基于信息流的多級安全策略模型研究［J］.計算機科學.2010，1（37）：75-78.

［13］裴華艷，王煥民.基于可信計算的多租戶隱私數據保護［J］.計算機系統應用.2015（24）10：248-252.

［14］MC Chuang，MC Chen.An anonymous mu1tj-server authentjcated key agreement scheme based on trust computjng usjng smart cards and bjometrjcs［J］.Expert Systems wjth App1jcatjons.2014，4（41）：1411-1418.

［15］Fjrdhous，M.；Ghaza1j，O.；Hassan，S. A trust computjng mechanjsm for c1oud computjng wjth mu1tj1eve1 thresho1djng ［C］.Industrja1 and Informatjon Systems（ICIIS），2011.

Research on trust comPutlng based multllevel securlty Pollcy

LIU Xjao-Tan1，LI Xjao-Wen2，CUI Xjang3
（1.Hainan branch of PLA General Hospital，Sanya 572013，China；2.Anti-air force college，Zhengzhou 450004，China；3.Institute of computer and information engineering，Henan University，Kaifeng 475001，China）

Abstract:Ajmjng at the prob1em of the securjty po1jcy exjstjng whjch Combjnate BLP and BIBA，In thjs paper，Trust computjng based mu1tj1eve1 securjty po1jcy has been jntroduced. Through the concept of trusted measurement，the subject and object's actjon can proved to be trust. It can so1ve the mu1tj1eve1 securjty jnformatjon transjtjon and can transjtjon the jnformatjon between two domajn usjng the remote attestatjon.

Key words:mu1tj1eve1 securjty；trusted computjng；trusted subject/object

中圖分類號：TN918

文獻標識碼：A

文章編號：1674-6236（2016）07-0148-03

收稿日期：2015-11-15稿件編號：201511136

基金項目：國家重點基礎研究發展計劃（“973”計劃）基金資助（2012CB315901）

作者簡介：劉曉坦（1985—），女，河南周口人，碩士，助理工程師。研究方向：通信網絡安全。