可信互联模型.pdfVIP

第36卷增刊2 北京工业大学学报 V01．36 Supp．2 JOURNALOFBEIJINGUNIVERSITYOF 2010年9月 TECHNOLOCY Sep．2010 可信互联模型 李萌萌，赵 勇 (北京工业大学计算机学院，北京100124) 摘要：提出一种可信互联模型，通过在系统的边界处建立身份映射和冲突检测机制。完成跨系统访同时的身 份转换，经过转换，访问决策仍然依据本系统自身的安全策略执行，这样，在保证互联互通的同时，确保了原系统 的安全性不被破坏．并且针对该模型进行了形式化证明，论证了其安全性． 关键词：可信互联；身份映射；冲突检测 309 中图分类号：TP 文献标志码：A 文章编号：0254—0037(2010)增刊2—0030—05 在美国国家安全局2000年发布的信息保障技术框架中…，根据计算机网络的拓扑结构，将网络信息 安全划分为3个层面的安全：1)内部用户应用环境安全；2)应用区域边界安全；3)网络传输安全．其中的 应用区域边界作为内部用户应用环境与外部网络传输之间信息交换的枢纽，能否做到防止内部信息非法 泄露、外部恶意代码和非法信息进入内部用户应用环境，以及拒绝外部用户恶意操作的访问请求将对内部 用户应用环境的安全有着重大影响．如何提高应用区域边界的安全性能成为网络信息安全中的一个非常 重要的环节． 2009年，我国正式发布了国家标准GB／T24856(信息系统等级保护安全技术设计要求》．标准中明确 指出要进行定级系统互联设计旧1，要求对相同或不同等级的定级系统之间的互联、互通、互操作进行安全 保护，按安全策略对信息流向进行严格控制，确保进出安全计算环境、安全区域边界以及安全通信网络的 数据安全；在各定级系统的计算环境安全、区域边界安全和通信网络安全的基础上，通过安全管理中心增 加相应的安全互联策略，保持用户身份、主／客体标记、访问控制策略等安全要素的一致性，对互联系统之 间的互操作和数据交换进行安全保护． 1 研究现状 目前，在多个安全信息系统独立保护的环境下，针对系统间相互访问、信息共享需求的产生，一个安全 信息系统内的主体要对另一个安全信息系统内的客体进行访问，必须通过请求访问资源所在系统的访问 控制系统的权限检查，只有被请求访问资源所在系统的访问控制系统认知，并且具有恰当权限的主体才能 通过检查进而进行访问．由于各系统采用的访问控制系统也分处于不同系统中，访问控制要素间相互独 立，因此必须解决不同系统之间主体的不可认知问题，即被请求访问资源所在系统的访问控制系统首先要 确定哪些主体可以访问本系统的资源¨1． 针对在系统互联方面存在的需求和面临的问题，国内正在开展关于可信互联关键技术的初步研究，也 提出了一些初见成效的理念和方法，但是目前还处于起步阶段，对于支持可信互联的具体模型以及证明其 安全性的形式化描述等方面的研究还不够深入． 在文献[3]中，提出了一个能够支持多安全域间信息安全共享的控制模型——基于角色的多域环境 收稿日期：2009·12-05． 博士启动基金资助项目(X0007999200901)． 作者简介：李萌萌(1984一)，女，北京人，博士研究生． 增刊2 李萌萌，等：可信互联模型 3l 立起各域访问控制要素之间的关联，并引入基于有效性约束的边界策略，确保对外域的授权在本域的安全 策略之下进行，保证对外域的授权和访问都符合本域的总体安全目标．该模型中所指的安全域可以对应 到每个独立的安全信息系统，但是，这里只是针对使用基于角色的访问控制策略的系统展开的研究，无法 形成能够指导采用多种安全策略的信息系统间安全互联的通用模型． 2可信互联模型 2．1模型解决的问题 在独立的信息系统中，普遍采用基于角色的访问控制策略或基于标识的访问控制策略作为安全策略， 保证信息