基于網絡行為的強制訪問技術在鐵路客票系統中的應用*

姚 倩，宋 晶，戚建淮

（1.中國鐵路成都局集團有限公司，四川 成都 610081；2.西南交通大學，四川 成都 610031）

0 引言

強制訪問控制技術[1-2]是指在系統中根據安全策略，即依據主體和客體的安全屬性制定的訪問規則，對主體發出的訪問請求進行放行或阻攔的技術。主體和客體的安全屬性由管理員事先設定，只有主體和客體的安全屬性符合訪問規則時才能夠進行訪問響應操作。

經典強制訪問控制模型有BLP（Bell-Lapadula）模型[3]、Biba模型[4]、域內型增強（Domain and Type Enforcement，DTE）[5]模型等。BLP 模型主要應用于軍事系統，它的訪問規則是“不上讀、不下寫”，限定數據只能由低等級向高等級單向流動，存在數據流動授權不靈活，同等級數據不能流動，影響數據完整性的缺點。Biba 模型與BLP 模型對立，它的訪問規則為“不下讀、不上寫”，數據只能由高等級向低等級流動，存在數據流動授權不靈活，同等級數據不能流動，影響數據機密性的缺點。以實現信息的完整性保護為目的提出的DTE 模型主要應用于SELinux，它具有對進程的訪問權限進行細粒度的控制且配置靈活的優點，但模型較為復雜。目前，在技術研究方面，強制訪問控制技術主要的兩個發展方向：應用于特定場景進行改進[6-7]；與其他訪問控制技術結合進行改進[8]，在保持安全性的基礎上提高強制訪問控制靈活性。在應用研究方面，目前強制訪問控制技術主要的兩個發展方向：應用于主機操作系統上；應用于數據庫管理系統上[9]。然而在物理層面的主機、數據庫上實施強制訪問控制，需要占用很多的計算、內存等資源。在傳輸控制協議/網際協議（Transmission Control Protocol/Internet Protocol，TCP/IP）上進行訪問控制可以在特定的網絡服務點進行訪問控制，并且對不同層次可以執行強度不同的訪問控制，此外，可以在底層檢測出某些非法的訪問行為，避免后續操作，提升整體性能[10]。

鐵路客票預訂與發售系統[11-12]是為實現鐵路客運全路聯網售票、提高客運服務和運營水平而開發的超大型網絡應用系統。該系統由鐵路集團總公司、鐵路局集團公司、車站3 級分布式架構組成。鐵路客票系統為開放性強、實時性高、節點繁多、結構復雜的大型網絡系統。針對該系統的攻擊行為通常出現在業務流程中網絡通信這一環節。基于先驗知識的封堵查殺只能設法防御已知攻擊，難以抵御跨越信息物理邊界的未知威脅，因此對鐵路客票系統來說網絡層面的強制訪問控制更為重要。

本文在基于行為的訪問控制[13-15]基礎上，提出將強制訪問控制映射到網絡層面，利用基于5×5要素界定的強制訪問控制體系，規避在主機內對用戶、進程、文件和數據庫表進行標記并識別的困難，無須侵入主機內截獲系統數據，解除對操作系統的依賴。本文提出的體系覆蓋TCP/IP 5 層模型，能在特定的網絡服務點進行訪問控制，并且對不同的層次可以執行強度不同的訪問控制。此外，某些非法的訪問行為可以在底層被檢測出，避免后續操作。該體系主要通過5×5 要素界定、賦碼與編碼、可信任訪問控制、取證留存等幾個步驟實現對鐵路客票系統網絡通信層面的強制訪問控制，并由此保證了鐵路客票系統的威脅可追溯性、數據機密性以及程序完整性。

1 基于網絡行為的強制訪問技術

操作系統中所有操作都是對客體的讀取或修改，主機操作系統中訪問控制的本質就是控制系統中主體對客體的訪問權限。主機操作系統的訪問過程為主體發出訪問請求，經操作系統檢測后控制對應的客體響應訪問。同樣地，網絡層面的訪問過程，也是主體發出訪問請求，由路由、網關等網絡設備轉發至對應的客體。由于主機操作系統訪問過程與網絡層面訪問過程相似，通過將非受控系統環境下的程序執行和數據訪問等價投射于網絡平面予以形式化表達，對經由路由網關的訪問請求進行強制訪問控制。基于網絡行為的客票系統訪問體系如圖1所示。

圖1 基于網絡行為的客票系統訪問體系

1.1 5×5 要素界定

根據正常的網絡行為和惡意的網絡行為的數據流的統計特征具有差異這一特點，將網絡行為按要素進行特征提取，并將提取的特征經過賦碼后作為原始數據導入TCP/IP 5 層協議中。

將客票系統的實際業務行為進行特征提取并映射到網絡，用網絡行為5 要素進行標識，每種行為與標識之間呈現一一對應關系，即一種行為對應一種標識。其中，5 要素為主體、客體、空間、行為、時間。主體是網絡行為的動作發出者；客體是網絡行為的動作響應者；空間是主體和客體在網絡行為中所形成的訪問鏈路；行為是指主體和客體在網絡空間中形成的訪問行為；時間是指主客體在網絡空間中進行訪問行為的時間。將網絡行為按上述5 個要素進行標記。

將客票系統的網絡行為在TCP/IP 的5 層中進行數字化標識，即標識出物理層流量特征（比特流）、鏈路層流量特征（數據幀）、網絡層流量特征（數據報）、傳輸層流量特征（數據段）、應用層流量特征（應用數據），即將經5 要素標記后的網絡行為作為原始數據輸入TCP/IP 5 層協議中，經后文中的編碼賦碼步驟，在每一層形成對應標識，將每一層中的標識和原始數據一一對應。網絡棧表征式的強制訪問控制和代際審計方法如圖2所示。

圖2 網絡棧表征式的強制訪問控制和代際審計方法

1.2 賦碼與編碼

賦碼器通過所有的基礎資料對業務的網絡行為進行細分和標識，得到賦碼和標簽。一方面通過設計軟件的最初技術文檔及所形成的泳道圖等基礎資料，利用主體、客體、空間、行為、時間，5 個要素標識客票系統業務的網絡行為并進行賦碼；另一方面運用工作流軟件、工作流引擎中間件技術識別還原網絡行為在TCP/IP 5 層協議中的流量特征表達并進行賦碼，最終通過網絡行為形成定義、追溯及還原業務行為的5×5 編碼。

1.3 可信任訪問控制

在將客票系統的所有業務行為在網絡層面通過5×5 要素界定進行賦碼和編碼后，在業務系統正常運行的過程中，遍歷每一次行為周期并進行滾動。然后，基于“零信任”策略，對每一次業務的網絡行為依據5×5 編碼進行判斷：將匹配編碼的網絡行為判斷為已定義的可信任行為，正常放行，不進行阻斷與訪問控制操作；將無法匹配編碼的網絡行為判斷為非主體設定行為和環境擬態行為，并對此類異常行為進行訪問控制。對網絡行為進行訪問控制的流程如圖3 所示。

圖3 訪問控制流程

基于白名單策略，本方案將編碼信息作為唯一的可信根來進行訪問控制模塊的處理。只有已定義的可信任網絡行為可以正常操作，以此實現了基于編碼賦碼的強制訪問控制，確保數據的完整性和機密性。對業務的網絡行為的遍歷需要超強的計算能力，而先進類腦計算系統和算法可以為基于主體的強制訪問控制提供所需的大算力。

1.4 取證留存

在對判定為不合規的網絡行為進行阻斷強制控制的同時，進行審計取證、分類留存，以便后續出現問題時能夠按類別快速查出相關不合規網絡行為，移交至公安、國安或保密等相關部門。取證留存流程如圖4 所示。

圖4 取證留存流程

2 結語

本文首先分析了強制訪問控制技術和鐵路客票系統的研究現狀，其次提出了將網絡行為進行5×5要素界定的訪問控制體系，并將其應用于鐵路客票系統。利用該系統可以規避在主機內對用戶、進程、文件和數據庫表進行標記并識別的困難，無須侵入主機內截獲系統數據，解除了對操作系統的依賴。通過對可信任網絡行為進行5×5 編碼，對系統運行過程中業務的網絡行為進行合規性判斷和訪問控制。該體系覆蓋TCP/IP 五層模型，能在特定的網絡服務點進行訪問控制，節省計算、內存資源，并且對不同的層次可以執行強度不同的訪問控制，某些非法的訪問行為可以在底層被檢測出，避免后續操作，從而提升網絡性能，實現對鐵路客票系統在網絡通信層面的強制訪問控制，并保證了鐵路客票系統的威脅可追溯性、數據機密性以及程序完整性。