基于等級(jí)保護(hù)的多級(jí)安全訪問(wèn)控制模型

0 引言

2015年2月3日，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）在北京發(fā)布的《第35次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2014年12月，我國(guó)網(wǎng)民規(guī)模達(dá)6.49億，互聯(lián)網(wǎng)普及率為47.9%。在網(wǎng)絡(luò)越來(lái)越普及的今天，早期建設(shè)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施隱患重重，信息安全受到的威脅種類越來(lái)越多。如今各行各業(yè)的信息系統(tǒng)都需要在互聯(lián)網(wǎng)上交流傳播信息，時(shí)時(shí)刻刻都避免不了面對(duì)各種安全威脅。為了提高信息安全保障，必須采取各種信息安全的策略，其中最重要的就是等級(jí)保護(hù)。

以信息系統(tǒng)為主體，等級(jí)保護(hù)就是根據(jù)該信息系統(tǒng)的重要性采取相應(yīng)的保護(hù)策略，按照信息系統(tǒng)等級(jí)實(shí)行分級(jí)保護(hù)，不同等級(jí)的系統(tǒng)采取不同層度的防護(hù)策略，即對(duì)重要系統(tǒng)重點(diǎn)防護(hù)，對(duì)一般系統(tǒng)適度保護(hù)。等級(jí)保護(hù)與多級(jí)安全緊密相關(guān)，因?yàn)榈燃?jí)保護(hù)起源于美國(guó)對(duì)軍事安全所制定的多級(jí)安全策略。多級(jí)安全是指對(duì)信息系統(tǒng)里的主體和客體分別設(shè)置安全標(biāo)記、定級(jí)，依據(jù)主體、客體安全標(biāo)記的比較來(lái)決定主體對(duì)客體的訪問(wèn)是否允許。

由于多級(jí)安全網(wǎng)絡(luò)提出較晚，傳統(tǒng)安全通信模型主要服務(wù)于IP網(wǎng)絡(luò)。傳統(tǒng)安全通信模型最初并沒(méi)有考慮到多級(jí)安全，不能實(shí)現(xiàn)安全標(biāo)記與信息客體、數(shù)據(jù)流的綁定。所以，如果要在傳統(tǒng)模型中實(shí)現(xiàn)標(biāo)記強(qiáng)制訪問(wèn)控制，則實(shí)施起來(lái)非常復(fù)雜、代價(jià)太大，因此，傳統(tǒng)安全模型難以適應(yīng)多級(jí)安全的網(wǎng)絡(luò)安全通信目標(biāo)。另外，因?yàn)榛ヂ?lián)網(wǎng)紛繁復(fù)雜，多級(jí)安全應(yīng)用到互聯(lián)網(wǎng)時(shí)在靈活性、適應(yīng)性方面都存在巨大挑戰(zhàn)。嚴(yán)格遵循多級(jí)安全規(guī)則會(huì)導(dǎo)致部分網(wǎng)絡(luò)主體的訪問(wèn)受限，滿足不了網(wǎng)絡(luò)協(xié)同工作的需求。因?yàn)橐陨线@些原因，傳統(tǒng)安全通信模型無(wú)法直接應(yīng)用到多級(jí)安全網(wǎng)絡(luò)中。所以，面向多級(jí)安全的網(wǎng)絡(luò)安全通信仍然存在著一些亟待解決的問(wèn)題。比如，缺乏面向多級(jí)安全的網(wǎng)絡(luò)安全通信模型，信息系統(tǒng)中的各種對(duì)象的安全標(biāo)記一成不變，不夠靈活，無(wú)法適應(yīng)網(wǎng)絡(luò)通信的各種情況。因此，我們需要在具體通信中針對(duì)不同的訪問(wèn)請(qǐng)求，對(duì)對(duì)象的安全標(biāo)記適當(dāng)?shù)刈鲆恍┱{(diào)整。

1 安全標(biāo)記綁定技術(shù)

安全標(biāo)記綁定技術(shù)是多級(jí)安全中主體與客體資源訪問(wèn)控制、數(shù)據(jù)流控制的基礎(chǔ)，是確保多級(jí)安全網(wǎng)絡(luò)通信中實(shí)施多級(jí)安全控制的關(guān)鍵。目前的安全標(biāo)記綁定技術(shù)主要有以下三種：

1.1 傳統(tǒng)的安全標(biāo)記綁定技術(shù)

傳統(tǒng)的安全標(biāo)記綁定技術(shù)是在數(shù)據(jù)或者客體里比如在電子郵件首行、文檔的首部或尾部添加安全標(biāo)記，再進(jìn)行數(shù)字簽名。這種方法能實(shí)現(xiàn)一定的安全控制，但是對(duì)于異構(gòu)數(shù)據(jù)交換系統(tǒng)實(shí)現(xiàn)起來(lái)比較困難，并且這種方法是對(duì)客體或數(shù)據(jù)的整體控制，無(wú)法實(shí)現(xiàn)細(xì)粒度的安全標(biāo)記綁定。

1.2 基于 XML 的安全標(biāo)記綁定技術(shù)

基于 XML 的安全標(biāo)記綁定技術(shù)主要包括：為 XML 文檔強(qiáng)制訪問(wèn)控制，為 XML 對(duì)信息客體元數(shù)據(jù)的描述。

1.3 數(shù)據(jù)流與安全標(biāo)記綁定技術(shù)

數(shù)據(jù)流與安全標(biāo)記綁定是指數(shù)據(jù)流如何攜帶安全標(biāo)記，以期實(shí)現(xiàn)隨時(shí)隨地的數(shù)據(jù)流訪問(wèn)控制。這種技術(shù)是在安全通信協(xié)議的中額外增加安全標(biāo)記的選項(xiàng)，實(shí)現(xiàn)起來(lái)比較簡(jiǎn)單，但是該方法增加了 IP 報(bào)文的長(zhǎng)度。

2 面向多級(jí)安全的網(wǎng)絡(luò)模型

等級(jí)保護(hù)的實(shí)施體現(xiàn)在信息系統(tǒng)的多級(jí)安全，以確保客體資源的機(jī)密性與完整性。目前經(jīng)典的基于等級(jí)保護(hù)的多級(jí)安全模型主要包括 BLP模型和 Biba模型等。BLP 模型來(lái)源于具有嚴(yán)格機(jī)密性要求的政府和軍事應(yīng)用，其主要目標(biāo)是防止高密級(jí)信息泄漏給低密級(jí)的主體，在主體訪問(wèn)客體時(shí)實(shí)施強(qiáng)制訪問(wèn)控制，訪問(wèn)規(guī)則比較簡(jiǎn)單，在具體實(shí)施過(guò)程中還有不少問(wèn)題，比如靈活性差。Biba 模型的嚴(yán)格完整性策略能夠有效地保證數(shù)據(jù)的完整性，卻不能防止惡意的不可信主體人為故意泄露高安全級(jí)別的信息給低密級(jí)主體。其主要缺點(diǎn)在于主體和客體的完整性標(biāo)記都是固定不變的，嚴(yán)重缺乏靈活性。基于這樣的缺陷，在多級(jí)安全的網(wǎng)絡(luò)通信中，我們可以對(duì)符合條件的對(duì)象安全標(biāo)記進(jìn)行調(diào)整。并且，BLP模型側(cè)重于機(jī)密性，Biba模型側(cè)重于完整性，而在實(shí)際信息系統(tǒng)中，需要兼顧機(jī)密性和完整性，所以，可以考慮把 BLP模型和BiBa模型結(jié)合起來(lái)使用。

2.1 定義主要元素

（1）實(shí)體：可以是信息系統(tǒng)中的所有資源（進(jìn)程、文件、設(shè)備等）和用戶。

（2）主體：主動(dòng)發(fā)起對(duì)另一個(gè)實(shí)體的訪問(wèn)請(qǐng)求的實(shí)體，如用戶、執(zhí)行操作的進(jìn)程、主機(jī)、設(shè)備等，記為 Subject，簡(jiǎn)寫為S。

（3）客體：被動(dòng)接受主體發(fā)起的訪問(wèn)請(qǐng)求的實(shí)體，如消息、文件、目錄、分組、連接、設(shè)備等，記為Object，簡(jiǎn)寫為O。

（4）主體授權(quán)標(biāo)記：特定的可信主體可以獲得的特定權(quán)限，記為 SA = {（cmin，cmax），（imin，imax）}。其中，Scmin 和 Scmax分別表示主體S的最低和最高機(jī)密性級(jí)別；Simin和 Simax分別表示主體S的最低和最高完整性級(jí)別。

（5）客體安全類別：客體的機(jī)密性和完整性受到破壞時(shí)可能產(chǎn)生的影響，記為 OC = {cimp，iimp}。其中，Ocimp和 Oiimp分別表示客體O的機(jī)密性類別和完整性類別。

（6）主體安全標(biāo)記：主體的機(jī)密性級(jí)別、完整性級(jí)別和授權(quán)標(biāo)記，記為SL =（cmin，cmax，imin，imax）。

（7）客體安全標(biāo)記：客體的機(jī)密性級(jí)別、完整性級(jí)別和安全類別，記為OL =（cimp，iimp）。

（8）訪問(wèn)屬性：主體對(duì)客體的訪問(wèn)方式，記為 A= {r，w}。其中，r表示只讀、w 表示只寫。

2.2 模型的基本安全特性

下面分別就何時(shí)主體可以讀客體、主體可以寫客體進(jìn)行規(guī)定。為了便于說(shuō)明，定義如下：主體的機(jī)密性級(jí)別和完整性級(jí)別為 Sc、Si；客體的機(jī)密性級(jí)別和完整性級(jí)別分別為 Oc，Oi。主體的最高和最低機(jī)密性級(jí)別分別為Scmax，Scmin。

當(dāng)主體、客體的安全標(biāo)記符合下列規(guī)則之一時(shí)，主體可以讀客體：

（1）Sc不低于Oc，且Si不高于Oi；

（2）Sc不低于Oc，且Si高于Oi，但Oc高于Oi且Scmin不高于Oi；

（3）Sc低于Oc且Si不高于Oi，但Oi高于Oc且Scmax不低于Oc。

當(dāng)主體、客體的安全標(biāo)記符合下列規(guī)則之一時(shí)，主體可以寫客體：

（1）Sc不高于Oc且Si不低于Oi；

（2）Sc不高于Oc且Si低于Oi，但 Oc高于 Oi且Simax不低于Oi；

（3）Sc高于Oc且Si不低于Oi，但Oi高于Oc且Sc不高于Oc。

2.3 主體安全級(jí)別調(diào)整的原則

（1）如果主體和客體的安全標(biāo)記既符合 BLP 模型，也符合 Biba 模型，則不用調(diào)整主體的安全級(jí)別。

（2）如果主體、客體的安全標(biāo)記既不符合 BLP 模型也不符合 Biba模型，則不用調(diào)整主體的安全級(jí)別。

（3）如果主體、客體的安全標(biāo)記符合BLP 模型，但是不符合 Biba 模型，則：

①當(dāng)Oc高于Oi，即客體的機(jī)密性優(yōu)先于其完整性時(shí)，則可以調(diào)整Si，但是不能調(diào)整Sc；

②當(dāng)Oi高于Oc，即客體的完整性優(yōu)先于其機(jī)密性時(shí)，則不能調(diào)整Si，加上假設(shè)前提是主體、客體的完整性級(jí)別不符合Biba模型，所以不必調(diào)整主體的機(jī)密性級(jí)別，即此種情況下，對(duì)主體的機(jī)密性級(jí)別和完整性級(jí)別都不做調(diào)整。

（4）如果主體、客體的安全標(biāo)記符合 Biba 模型但是不符合 BLP 模型，則

①當(dāng)Oi高于Oc時(shí)，不可調(diào)整Si，只能調(diào)整Sc；

②當(dāng)Oc高于Oi時(shí)，則不可調(diào)整Sc，加上前提是主體、客體的完整性級(jí)別不符合 BLP 模型，所以不必調(diào)整主體的完整性級(jí)別Si。

以上的主體安全性調(diào)整原則可以用下圖1的流程來(lái)表示。

圖1 主體安全性調(diào)整原則示意圖

2.4 訪問(wèn)控制策略

（1）自主訪問(wèn)控制策略

自主訪問(wèn)控制是一種提供由用戶對(duì)自身所創(chuàng)建的客體的訪問(wèn)權(quán)限進(jìn)行控制的安全機(jī)制。這些訪問(wèn)權(quán)限包括允許或拒絕其它用戶對(duì)該用戶所創(chuàng)建的客體進(jìn)行讀、寫、刪除等操作，還可以進(jìn)行授權(quán)轉(zhuǎn)移等。自主訪問(wèn)控制的主要特點(diǎn)是由用戶自主進(jìn)行授權(quán)管理。

（2）強(qiáng)制訪問(wèn)控制策略

強(qiáng)制訪問(wèn)控制是指由系統(tǒng)按信息系統(tǒng)確定的規(guī)則對(duì)每一個(gè)用戶所創(chuàng)建的所有客體的訪問(wèn)權(quán)限進(jìn)行控制的安全機(jī)制。這種訪問(wèn)權(quán)限包括主體對(duì)客體的讀、寫、刪除等操作。強(qiáng)制訪問(wèn)控制的主要特點(diǎn)是由系統(tǒng)安全員而不是客體創(chuàng)建者進(jìn)行授權(quán)管理，通過(guò)強(qiáng)制訪問(wèn)控制安全策略，對(duì)主體訪問(wèn)客體的操作進(jìn)行控制，實(shí)現(xiàn)對(duì)客體的機(jī)密性和完整性保護(hù)。

2.5 訪問(wèn)控制流程

當(dāng)主體請(qǐng)求訪問(wèn)信息系統(tǒng)中客體資源后，該信息系統(tǒng)的多級(jí)安全子系統(tǒng)將截獲該訪問(wèn)請(qǐng)求，并從中解析出與訪問(wèn)控制相關(guān)的主體、客體、訪問(wèn)類型等關(guān)鍵信息，多級(jí)安全子系統(tǒng)查詢主體、客體安全標(biāo)記列表，得到該主體、客體的安全標(biāo)記信息，并依據(jù)主體、客體的安全標(biāo)記的具體匹配情況對(duì)該請(qǐng)求進(jìn)行判斷，具體的處理流程如圖2所示。

（1）如果該請(qǐng)求符合信息系統(tǒng)的自主訪問(wèn)控制策略，則該請(qǐng)求的判定結(jié)果為Yes，即系統(tǒng)允許該主體訪問(wèn)客體資源；否則將按后續(xù)步驟檢查該訪問(wèn)請(qǐng)求是否符合系統(tǒng)的強(qiáng)制訪問(wèn)控制策略。

（2）如果該請(qǐng)求符合系統(tǒng)的強(qiáng)制訪問(wèn)控制策略，即機(jī)密性標(biāo)記符合 BLP 模型且完整性標(biāo)記符合 Biba 模型，則系統(tǒng)將允許該主體執(zhí)行資源訪問(wèn)，否則進(jìn)行下一步。

（3）如果該請(qǐng)求中主體、客體的安全標(biāo)記符合 BLP 模型或 Biba 模型，系統(tǒng)將根據(jù)主體授權(quán)標(biāo)記和客體安全類別檢查判斷是否可以臨時(shí)調(diào)整主體在當(dāng)前訪問(wèn)中的機(jī)密性級(jí)別或完整性級(jí)別，然后再次判斷主體是否有權(quán)訪問(wèn)客體。如果主體安全級(jí)別調(diào)整過(guò)后符合訪問(wèn)要求，則允許該主體執(zhí)行資源訪問(wèn)，否則，系統(tǒng)將拒絕此次請(qǐng)問(wèn)請(qǐng)求。

（4）如果該請(qǐng)求中主、客體的安全標(biāo)記既不符合 BLP 模型，也不符合 Biba模型，則判定結(jié)果為No，即系統(tǒng)將拒絕此次訪問(wèn)請(qǐng)求。

圖2 訪問(wèn)控制處理流程

3 結(jié)語(yǔ)

結(jié)合 BLP 模型和 Biba 模型對(duì)機(jī)密性和完整性的訪問(wèn)控制策略，設(shè)定了主體和客體的安全標(biāo)記綁定，提出了一種比較靈活的基于客體自身安全屬性的機(jī)密性和完整性相統(tǒng)一的模型，定義了模型的基本安全特性，并給出了訪問(wèn)控制流程。實(shí)際網(wǎng)絡(luò)環(huán)境下的主體客體的多級(jí)安全訪問(wèn)控制很復(fù)雜，有待進(jìn)一步深入研究。