基于Petri网混合安全策略建模与验证.docVIP

基于Petri网混合安全策略建模与验证 　　摘要:提出了一种基于有色Petri网的建模方法，在系统的Petri网模型中可以对中国墙策略进行分析和验证。给出了基于有色Petri网的混合安全策略的形式化定义;并通过一个系统实例阐述了如何利用该方法对系统的混合安全性进行分析和验证。无论是在系统的设计阶段还是实现阶段，该方法都能够有效地提升系统的混合安全性。 　　关键词:中国墙策略; 有色Petri网; 模型; 安全; 验证 　　中图分类号:TP309文献标志码:A 　　文章编号:1001－3695(2008)02－0509－03 　　 　　安全性是信息系统的重要方面。几乎所有的机构都不会将它们的安全目标仅仅局限于单一的保密性或完整性之上，更多的需求是保密性和完整性兼顾的策略。中国墙模型[1]是一种同等考虑保密性与完整性的安全策略模型。该策略模型主要解决商业中的利益冲突问题，其重要性等同于Bell－LaPadula模型[2]在军事中的意义。Petri网作为一个形式化工具，非常适合用来描述离散的进程，并且能用来有效地分析系统的并发#65380;异步和不确定行为。在近期的研究中，Petri网已经被用来验证安全需求[3]#65380;工作流的定义[4， 5]以及强制访问控制的安全分析[6]。 　　在一个应用了中国墙策略的复杂商业进程中，策略是很难被验证的。因此本文详细阐述了如何在中国墙策略下对信息流进行系统地分析和验证。 　　 　　1中国墙策略和有色Petri网 　　 　　1.1中国墙策略 　　中国墙策略的主要目的是解决商业中的利益冲突问题。因此，该策略通常用于股票交易或者投资公司的经济活动等环境中。 　　定义1数据库的客体是指某家公司相关的信息条目。 　　定义2公司数据集(CD)包含了与某家公司相关的若干客体。 　　定义3利益冲突(COI)类包含了若干相互竞争的公司的数据集。 　　图1展示了符合上述定义的数据库中客体的组织结构。假设张三有权访问美洲银行的公司数据集(CD)中的客体，那么因为花旗银行的公司数据集和美洲银行的公司数据集在同一个COI类中，所以张三不能获得访问花旗银行CD中的客体的权限。因此，这种数据库结构就能规避利益冲突的威胁。 　　实际上，公司有些数据是可以公开的。中国墙策略将数据分为无害(sanitized)数据和有害(unsanitized)数据。另外，假设张三“曾经访问”过美洲银行CD中的客体，他也应该不能获得访问在同一个COI类中的花旗银行CD中客体的权限;否则，也会引起利益冲突。为了避免这种冲突的发生，以下规则应运而生，其中PR(s)表示s曾经读取过的客体集合。 　　规则1CW－简单安全条件。s能读取o，当且仅当以下任一条件满足: 　　a)存在一个o′，它是s曾经访问过的客体，并且CD(o′)=CD(o);b)对于所有的客体o′，o′∈PR(s)?? COI(o′) ≠ COI(o);c)o是无害客体。 　　最初PR(s) =?粒?并且假定最初的一个读请求总是被允许的。对于主体写客体的权限，有如下规则，以避免客体成为信息通道，使得主体能间接获得信息。 　　规则2CW－*－属性。主体s能写客体o，当且仅当以下两个条件同时满足:CW－简单安全条件允许s读o;对于所有有害客体o′，s能读取o′?? CD(o′) = CD(o)。 　　 　　对于中国墙策略的CPN模型，控制库所的引入代替了访问控制矩阵的概念。访问控制矩阵需要集中存储，而每个控制库所与一个主体相关联，可以分布式的部署。因此，在分布式的环境下，控制库所比访问控制矩阵更易于实现。 　　 　　3实例分析 　　 　　本文展示了如何通过上文中的定义以及覆盖图来分析一个系统或进程。是一份投资报告的准备过程。 　　3.1进程实例 　　假设张三和李四是同一个投资公司的分析师，并且李四是经理。进程实例是关于该投资公司中一份投资报告的准备过程。图3显示了该进程相应的CPN模型。 　　第一个变迁(主体)t??1，张三根据他从infodb2中读取的信息创建了一份投资报告的草稿p??3。然后经理李四(t??2)审阅了这份投资报告的草稿并提出了修改意见p??4。最后，张三(??t??3)根据草稿p??3和修改意见p??4完成了投资报告的最终稿p??5。并且，p??6是张三的控制库所，而p??7是李四的控制库所。 　　Infodb1由李四所提供咨询的公司资料组成;infodb2由张三所提供咨询的公司资料组成。图4显示了infodb1和infodb2中的内容，以及COI类。每个COI类中只有两个元素，是为了减少问题的复杂性。李四所使用的infodb1包括汇丰银行(颜色“b”)和沃尔沃公司(颜色“e”)的资料。张三所使用的inf