一種基于信息流控制的多級安全通道模型

李海華

(1.中國人民解放軍戰略支援部隊信息工程大學，河南 鄭州 450002；2.河南工業貿易職業學院，河南 鄭州 450012)

0 引 言

網絡通信中，數據讀寫的安全十分重要，不同數據要求的安全級別也不相同，這就迫切需要構建等級保護理論模型，并明確其中的關鍵技術，提出一個面對網絡中信息的等級保護的思路。當前，面對等級保護的網絡安全通信，采用了面向等級保護的安全訪問控制與安全數據傳輸保護這兩項技術，而現有的這兩項技術在應對等級保護問題上，均存在一些不理想的地方。例如，對不同密級的網絡數據流沒有建立多密級安全通道來隔離與保護信息；提出的網絡信息流安全規則也不夠完備，要精確地控制與保護網絡中的信息流是十分困難的；并且信息也容易被泄露，還會出現隱蔽通道問題；對“安全標記保護級”中主體安全標記調整及客體安全標記綁定機制的研究也不充分，影響了系統的安全性、靈活性。

該文提出了一種基于安全標記的網絡安全通信模型NSMBL(Network Security Model Based on Label)，對模型元素進行說明；對模型的安全性規則從形式化的角度加以描述；給出了模型定理并加以證明；給出一個模型實例并與相關模型進行了性能對比[1]。

1 模型元素

1.1 元素定義

下面對模型中使用到的重要元素，從形式化角度定義如下[2]：

定義1 安全通道(T)：為數據流信息傳輸提供安全路徑，并且對安全級別劃分出不同的安全級別，安全通道中保護本通道級別及以下所有級別的信息通信。

定義2 實體(E)：

實體指系統中的對象，包含主體與客體，用(e)表示實體，用(E)表示所有實體的集合。

主體是訪問操作的實施者，如用戶執行某段代碼產生的進程，用(s)表示某個主體，(S)表示所有主體的集合。

客體是訪問操作的實施對象，如文件、共享內存、進程或其他數據，用(o)表示某個客體，用(O)表示所有客體的集合[3]。

定義3 安全客體(OS)：是傳輸信息跟安全標記綁定構成的對象。在安全通道中進行傳輸的數據一定是信息與安全標記綁定后形成的物理客體。

定義4 系統狀態(V)：

由主體、客體(包含安全客體)、安全屬性、主體的安全標記函數與客體的安全標記函數構成系統狀態，可以用一個四元組v=(b,M,F,OS)表示[4]，其中b是主體對客體的訪問屬性集合，M是訪問控制矩陣，F是主體或客體的安全標記函數，OS是安全客體。

定義5 安全系統(VS)：

1.2 操作集

在信息安全傳輸過程中，需要“打開”通道操作，接著，“寫(write)”操作完成“發送(send)”操作抽象定義的對象；信息到接收端后，“讀(read)”操作完成“接收(receive)”操作抽象定義的對象，最后，“關閉”操作[5]，嚴格限制信息的流入與流出。設?P,p∈S，操作集的定義如下：

①create(P1,P2)。一個主體創建了一個新的主體，那么，該新主體的安全標記繼承于原主體的安全標記。比如一個進程創建了另一個新進程，那么新進程的安全標記繼承于原進程的安全標記。

②create(p,o)。若客體o由主體p創建，那么o的安全標記繼承于p的安全標記。比如某進程創建了一個文件，那么，該文件的安全標記繼承于進程的安全標記。

③open(T=)。在向安全通道中發送數據前，先要打開安全通道T=，之后才能向安全通道中“寫”入數據。

④open(T=)。在從安全通道中取出數據前，先要打開安全通道T=，之后才能從安全通道中“讀”出數據。。

⑤open(T=)。在主題P1與P2之間交換數據時，需要先打開安全通道T=，這一通道中數據流是單向的P1→P2，即主題P1實施“寫”操作，主題實施“讀”操作。

⑥write(P,OS)。打開安全通道后，由主體P向客體OS寫入數據，這一通道中數據流是單向的P→OS，即主題P實施“寫”操作，客體OS實施“讀”操作。

⑦read(P,OS)。打開安全通道后，主體P從安全客體OS中讀取數據，這一通道中數據流是單向的OS→P，即主題P實施“讀”操作，客體OS實施“寫”操作。

⑧write(P1,P2,OS)。打開主體P1與P2之間的安全通道，P1將信息與安全標記綁定的數據寫入安全客體OS，P2從OS中讀取數據。信息流在安全通道中是單向流動的，也即P1→P2。

precondition::∧∧∈Tread(,open(P1,P2))

⑨read(P1,P2,OS)。首先打開安全通道，主體P1接收從主體P2發送來的數據。P2將數據寫入安全客體OS，并發送至安全通道，P1從OS中讀取數據，信息流在安全通道中是單向流動的，也即P2→P1。

2 模型安全規則

2.1 安全通道操作規則

通信雙方實體之間能夠建立不同密級的安全通道，不同密級的安全通道用于傳輸與保護不同密級的數據流信息。不同級別的主體依據其權限可以“打開”不同密級的安全通道，對通道中的安全客體實施“讀(接收)”或“寫(發送)”等操作。為了保證主體對安全通道及通道中安全客體操作的安全性，NSMBL模型給出了安全通道操作規則的集合[6]。

安全通道集合表示為T={T1,T2,…,Ti,…Tl}，其中Ti表示是密級為i的安全通道，安全通道能夠為不同密級數據信息流的傳輸提供安全保護。安全通道中數據流信息的流動具有方向性，Ti=表示P1,P2之間存在密級為i的安全通道Ti，且通道Ti中信息流動的方向為P1→P2；若Ti=，則表示通道中信息的流動方向為P2→P1；若安全通道中的數據信息可以雙向流動，則表示為Ti={∧}，P2?P1。

規則一(選擇安全通道)：

密級為i的安全通道Ti，安全通道中數據信息(安全客體)的密級必須小于或等于通道的密級，即?o∈OS,Fo(o)≤i，即不同密級的安全通道中只能夠流動小于或等于當前安全通道密級的數據信息。

規則二(建立安全通道)：

若主體P1的安全級為Fs(P1)，主體P2的安全級為Fs(P2)，若Fs(P1)；若Fs(P1)>Fs(P2)，則能夠建立安全通道Ti=；若Fs(P1)=Fs(P2)，則能夠建立安全通道Ti=∧。

規則三(打開安全通道)：

密級為i的安全通道只能夠被安全級別大于或等于通道安全級別的主體執行“打開”操作、發送(或接收)信息，密級低于安全通道密級的主體不能執行“打開”通道操作。

規則四(關閉安全通道)：

安全通道建立的雙方是成對出現的，如果通道的一方關閉，則另一方也必須關閉相應的通道；如果系統在運行過程中對主體的安全標記進行了調整，那么，必須依照安全規則對當前的安全通道進行相應處理，規則表示如下:

規則五(寫入通道信息)：

寫入通道是指主體將數據信息以安全客體的方式發送至安全通道中進行網絡傳輸，發送數據信息之前，首先必須打開安全通道，規則表示如下:

規則六(讀取通道信息)：

打開安全通道，主題P1或P2從安全通道接收客體OS中的數據，表示如下:

2.2 安全通道處理約束

(1)基本控制約束。

信息流從總體上可以分為單向信息流(a→b∨a←b)與雙向信息流(a?b)。

①信息流單向控制約束。

單向信息流發生的條件：當實體a的安全標記小于b的安全標記時，且通道Tab= “打開”，那么能夠產生單向信息流(a→b)，當實體a的安全標記大于b的安全標記時，且通道Tba= “打開”，那么能夠產生單向信息流(b→a)。單向信息流規則表示為：

②信息流雙向控制約束。

雙向信息流發生的條件為實體a與實體b的安全標記相等，且通道Tab=與通道Tba=同時都“打開”。雙向信息流規則表示為：

(a,b∈S,o∈OS,(F(a)=F(b))∧(open∧open))?(a?b)

(2)主客體信息流控制約束。

具體的信息流規則包含有主體與主體之間的信息流規則，主體與客體之間的信息流規則，分別存在有雙向信息流及單向信息流，下面分別進行討論[7]。

①主體-主體間信息流控制約束。

·主體間信息流單向控制約束。

該文將安全客體OS作為中間媒介進行數據信息交換，安全客體OS的安全標記等于其包含信息的最高密級。?i∈l,Ti=，且(?a,b∈S;o∈OS;open)=open ∧open，(?a,b∈S;o∈OS;open)=open∧open主體之間的單向信息流規則表示如下：

·主體間信息流雙向控制約束。

②主體-客體間信息流控制約束。

·主客體間信息流單向控制。

·主客體間信息流雙向控制。

(a∈S,o∈OS,(F(a)=F(o))∧(open∧open))?(a?o)

(3)隱蔽通道避免規則。

多級安全網絡中的隱蔽通道一般可以分為兩種：網絡存儲隱蔽通道與網絡時間隱蔽通道，前一種隱蔽通道是將數據信息加入至協議控制信息的選項中實現隱蔽信息流，如IP包頭選項字段等；后一種則利用網絡傳輸確認信息來構成隱蔽時間通道。對于前一種隱蔽通道需要具體對數據協議進行解析與分析來避免，比如當網絡信息由高密級實體傳輸至低密級時，必須經過相應的協議分析檢測設備等措施。這里對隱蔽時間通道進行分析，防止由于網絡確認信號的傳輸而造成隱蔽時間通道，從而帶來信息的泄露[8]。

當信息流由低級別實體流至高級別實體時LOW→HIGH，符合通道信息流安全規則，當信息流由高級別實體流至低級別實體時HIGH→LOW，不符合安全通道信息流安全規則，這里將“向下(↓)”的信息流分為如下兩種[7]。

(1)如果向下的數據信息是網絡傳輸確認信息，為了避免隱蔽時間通道的發生，依據Pump(見圖1)設計思想，同時增加過濾函數Filter(OS)。限制信息流隱蔽通道規則為：

圖1 隱蔽通道避免示意圖

(HIGH→LOW)?(HIGH→TP)∧(TP1→buffer)∧(TP2→buffer)∧(buffer→LOW)

(2)如果向下的數據信息是數據客體，為了防止數據信息的泄露，必須依據“安全標記調整規則”對主體的安全標記實施調整后才能夠發送數據[9]，實際應用中數據信息還需要經過過濾函數Filter(OS)的過濾，過濾函數Filter(OS)能夠基于安全客體中綁定的安全標記實現對數據信息進行過濾與降級，信息流規則表示為：

(HIGH→LOW)?(HIGH→TP)∧(TP1→buffer)∧(Filter(buffer))∧(TP2→buffer)∧(buffer→LOW)

2.3 安全標記調整規則

在一個主體的生命周期中，主體的安全標記存在一個上界值，一個下界值及當前安全標記值：(Fmax,Fmin,FC),Fmin≤FC≤Fmax，Fmax、Fmin、FC分別代表一個主體生命周期內的最大安全標記，最小安全標記及當前安全標記。主體的安全標記能夠按照安全標記調整規則在上界與下界之間進行調整。主體安全標記的調整分為安全標記靜態調整與安全標記動態調整，靜態調整是指依據主體的可信度評估值對主體的安全級實施“升級”或“降級”操作，經過安全標記靜態調整后，主體的訪問權限發生了變化；動態調整是指具體的某一次訪問操作出現“向下(↓)”的信息流時，評估此次訪問行為信息流泄露危害程度的大小，動態臨時調整主體安全標記，在完成訪問操作后，主體的安全標記必須恢復至原安全標記，經過安全標記動態調整后，主體的訪問權限沒有發生實際改變[10]。主體安全標記調整如圖2所示。

圖2 主體安全標記調整規則

(1)安全標記靜態調整規則。

針對主體歷史訪問行為可信程度與主體的應用需求，經過可信度評估Trust(S)后，實施靜態安全標記調整，調整后主體的訪問權限發生了變化。Trust(S)≥φ(UP)表示經可信度評估后，主體的可信度大于或等于升級閾值；Trust(S)?φ(UP)表示長時間內主體的可信度值非常接近于升級閾值；Trust(S)=φ(UP-DOWN)表示經可信度評估后，主體的可信度處于升級閾值與降級閾值區間內；Trust(S)<φ(UP)表示經可信度評估后，主體的可信度小于降級閾值；(Trust(S)?φ(DOWN)表示經可信度評估，主體長時間內可信度值非常接近于降級閾值；"need-to-upgrade"表示主體需要升級的策略，"must-to-down"表示主體強制降級策略，"no-change"表示主體的安全標記保持不變[11]，安全標記靜態調整表示如下：

(2)安全標記動態調整規則。

針對主體具體的某一次訪問行為，存在“向下(↓)”的信息流時，需要經過危害度評估函數Threat(S)的評估，依據評估的結果對主體安全標記實施動態臨時調整[12]，且當主體的訪問行為完成后，其安全標記必須恢復到原安全標記，主體實際的訪問權限并沒有發生改變。Threat(S)=0表示經危害度評估后此次訪問行為不存在危害，Threat(S)>0表示經危害度評估后存在危害[13]，安全標記動態調整規則可形式化表述如下：

3 模型定理

為了保證系統的安全狀態及經過安全規則轉換以后系統仍保持安全狀態[14]，模型中給出了六個定理，并且給出了定理的證明。

(1)對于任意(S,OS,RT∈A)∈b-b'滿足對于F的SSCP特性；

(2)對于任意(S,OS,RT∈A)∈b不滿足對于F的SSCP特性。

定理證明：

其中命題(2)的證明等價于其逆否命題的證明，即：

通過將以上命題(1)與命題(2)進行合并，得出：

進一步得出等價式子：

?(s,o,A)∈b'?(s,o,A) satisfyF'

或者：

?S*∈S?

定理證明：

定理的證明過程與定理1的證明相類似，略去證明。

對于任意：

(S,OS,RT∈A)∈b-b',A∈M

(S,OS,RT∈A)∈b-b'&&A?M?(o∈OS,(s,o,A)?b)

定理證明：

利用反證法進行證明，假設?(s,o,A)∈(S,O,RT)∧(s,o,A)∈b-b'?A?M，這顯然是與安全特性(6)相違背，所以定理得到了證明。

定理4 如果系統∑[RT,Q,WT,v0]保持SSCP規則，且系統以后的變化狀態遵守SSCP特性，則系統∑[RT,Q,WT,v0]滿足SSCP特性。

定理證明：

同樣可以利用反證法加以證明，證明過程如下：

假設系統設∑[RT,Q,WT,v0]存在一個時刻t時不滿足安全特性SSCP，那么有?t∈T,(r,p,q)∈∑[RT,Q,WT,v0]?(RT,D,vt,v)WT。設vt是系統∑[RT,Q,WT,v0]不符合SSCP的最小元，那么有vt-1滿足SSCP，且依據系統的安全狀態的轉換有(?rt∈RT,?d∈D,vt,v)WT，而根據安全系統所定義的安全狀態轉化函數能夠得到γ(rt∈RT,v)=(d∈D,vt)，所以存在有γ(rt,v)=(p,vt)，因為γ是系統的安全定義，因此vt滿足系統的安全特性，與(?rt∈RT,?d∈D,vt,v)WT不一致，推出了矛盾，所以定理4的命題是正確的[15]，證畢。

定理5 如果系統∑[RT,Q,WT,v0]保持*-SCP規則，且系統以后的變化狀態遵守*-SCP特性，則系統∑[RT,Q,WT,v0]滿足*-SCP特性。

定理證明：定理5的證明參照定理4的證明進行。

定理6 假設σ為一規則且有：

·如果(b2?b1)∧(F1=F2)，那么經過規則σ后系統狀態仍然是安全的，且保持系統原有的SSCP特性。

·如果(b2?b1)∧(F1=F2)，那么經過規則σ后系統狀態仍然是安全的，且保持系統原有的*-SCP特性。

·如果(b2?b1)∧(?m∈M1?m∈M2)，那么經過規則σ后系統狀態仍然是安全的，且保持原有安全特性。

·如果(b2?b1)∧(F1=F2)∧(?m∈M1?m∈M2)，那么規則σ能夠使信息系統保持安全狀態。

定理證明：

因為v1滿足SSCP，所以(S,OS,RT∈A)∈b，且給出了假設條件(b2?b1)可以得出((b2?b1)∧(S,OS,RT∈A)∈b)?(S,OS,RT∈A)∈b'，當F1=F2時，有?o∈OS,F2(s)≥F2(o)，滿足SSCP，證明完畢。同理以下的兩個命題也可以類似證明得到，而由前三個命題很容易可以推導出第四個命題的正確性。

4 模型實例及與相關模型性能對比

(1)模型實例。

下面通過兩個設備之間的通信說明NSMBL模型應用的具體過程(見圖3)。用戶A需要將密級為i的數據信息發送給用戶B，A的級別為i，B的級別大于i，符合模型的安全規則。設備1的級別為i，所以用戶A能夠登錄設備1，用戶B的級別為i+1，設備2的級別為i+1，用戶B能夠登錄設備2，因為F(A)，用戶A打開安全通道(F(A)≤i)?open，若用戶A能夠打開安全通道，即open=true，則A向客體OS寫入信息write發送出去，數據與相應安全標記綁定構成的安全客體通過密級為i的安全通道Ti以流的形式發送至B。B得知數據信息傳遞過來后，將用戶B的安全級別與安全通道Ti的安全級別進行比較，判別主體是否有權限打開安全通道并讀取其中的安全客體，(F(B)≥i)?open，若用戶B能夠打開安全通道，即open=true，則讀取通道內安全客體中的數據信息，read，否則刪除安全客體OS。

(2)與相關模型性能對比。

模型性能對比如表1所示。

表1 模型性能對比

5 結束語

多級互聯安全通道模型中涉及到主體、客體、安全標記、安全標記調整規則，通道操作集及約束處理機制，隱蔽通道避免規則等，在這些元素及操作上，構建一種基于安全標記的網絡安全通信模型NSMBL，模型中給出了六個定理，保證了多級網絡環境下不同密級信息流的隔離保護與安全傳輸，保證了系統的安全狀態及經過安全規則轉換以后系統仍保持安全狀態。