一种基于流图的信息互动关系模型.docxVIP

一种基于流图的信息互动关系模型 1 缺少对单次访问行为的安全检测 在计算机科学系统中，访问控制机制基于适当的策略控制用户的访问行为，以避免未经授权操作。但由于现有的访问控制机制大多只针对当前发生的单次访问行为,未对多个访问行为所导致的信息间接传递进行安全性检测,无法完成对信息的间接传递控制,因此系统中将不可避免地出现多个访问行为“共谋”导致的非授权访问行为,这对安全保密要求较高的应用场合而言,将产生较高的信息失泄密风险。针对该问题,本文提出一种基于信息流图的风险控制模型。 2 相关研究 2.1 资源读访问o1或o1 例信息系统中有2个用户(u1,u2)和2个资源(o1,o2),其访问控制矩阵M如图1所示。显然,根据其安全策略用户u1对资源o1没有读访问权限,但用户u1和u2可以达成共谋:u2将o1中的信息内容读出,并写入到o2中,由u1将信息从o2中读出。通过上述操作,u1即可达到读访问o1的目的。在上述访问过程中,虽然每一个访问行为并不违反系统的安全策略,但最终结果确实是造成了违反安全策略的访问行为。 2.2 基于深度侵权的策略冲突检测算法 BLP模型是一个经过严格数学证明的多级安全模型,通过限制信息从高安全级流向低安全级,可保证信息的机密性。BLP模型从20世纪70年代提出以来,一直作为典型的机密性模型沿用至今,在我国等级保护标准中,3级及3级以上信息系统的访问控制就是以BLP模型为蓝本进行的描述。但BLP模型对同安全级之间的信息流仍是通过2.1节示例中类似的访问控制矩阵进行控制,也无法完全避免这种共谋访问行为的发生。对BLP模型的改进研究,也都未能以防止共谋访问为目标,理论上无法进行共谋访问风险控制。 RBAC模型是另一个常用的访问控制模型,它通过为用户分配角色,将对用户的授权转变为对角色的授权,从而简化了授权,并提高了授权的安全性。但RBAC模型的访问控制还是以类似2.1节示例中的访问控制矩阵方式进行,访问控制矩阵中的每一行由用户变为角色,并未对访问行为进行关联分析,仍然存在违反安全策略的共谋访问风险。 策略冲突检测算法和模型的研究主要是针对由于安全策略配置不合理所造成的策略冲突,是一种事前预防行为,可用于防止可提前预测的共谋访问行为。但多数共谋访问行为都是无法进行预测的,并且由于共谋访问行为往往是通过合理的正常操作而实施,若从策略上限制一切可能导致共谋访问的行为,将会对正常的访问操作造成非常大的影响,使合法操作无法进行。 3 信息流及其安全 3.1 信息流特征 定义1信息流向b=(x1,x2)∈(X×X),X∈U or O,其中,U={u1,u2,…,um},表示用户的有限集合;O={o1,o2,…,on},表示资源的有限集合。 信息流向(x1,x2)表示一个从x1到x2的信息流向,为直观表示,也可记为x1→x2。一个信息流向可以由一个读操作产生,也可以由一个写操作产生。如用户u1读资源o1,则产生信息流向o1→u1;用户u1写资源o1,则产生信息流向u1→o1。 定义2信息流φ=(x1,x2,…,xt)∈(X×X×…×X),X∈U or O,表示一条x1→x2→…→xt的信息流。 信息流由多个信息流向组成,信息流φ中相邻元素之间构成直接信息流向,不相邻元素之间构成间接流向。如在信息流φ1={x1,x2,x3,x4}中,x1→x2为直接信息流向,为间接信息流向。间接信息流向由b’表示,为与直接流向有所区别,本文中使用符号表示。 定义3流策略#x1→#x2,表示允许一个信息流向x1→x2的策略。 访问控制矩阵中的每个元素都可以构成一条流策略。如M12表示流策略#x1→#x2。流策略是判定信息流向是否安全的依据之一。 定义4信息流图T,表示信息系统中访问所产生的信息流关系,图中的每一个节点为一个用户或资源,有向边为一个信息流向→,每一条路径都是一个信息流φ。 在本文模型中,使用信息流图T描述多级互联系统中的信息流向关系。 定义5共谋访问CT: 对于信息流图T中任意间接信息流向b’={x,y},当且仅当不存在策略#x→#y(该间接信息流向违背安全策略)时,该间接信息流向为共谋访问。 3.2 存在比[x#y 对于任意信息流,当且仅当信息流中的任意间接信息流向b’={x,y},都存在策略#x→#y(说明该信息流向符合策略),该信息流不存在共谋访问。 当且仅当信息流图中的任意信息流中不包含共谋访问时,信息流图T不存在共谋访问。 4 状态1:4共享性状态下的信息流图 定义6规则W:(R′Tc)?D′T*|L,其中,R∈b为请求信息流向,即用户发出对客体资源的访问时所造成的信息流向;D∈{yes,no}为响应集,yes表示允许访问,no表示拒绝访问;L为逻辑;Tc为当前的信息流图;T*为下一个状态的信息流图。 对规则的解释为:当信