面向信息流安全模型与评估综述术.docVIP

面向信息流安全模型与评估综述术 　　摘要：对系统进行攻击的本质之一是在信息流动过程中的非授权泄露与修改，进而破坏系统的安全性，这使得非常有必要对信息流的安全进行分析。从安全保障目标和安全保障方式上对安全信息流模型进行了分类，综述了不同类型的信息流模型研究现状，分析了现有面向信息流的量化评估方法，展望了面向信息流安全评估的发展趋势。 　　关键词：信息流；机密性；完整性；量化评估 　　中图分类号：TP309　文献标识码：A　DOI：10.3969/j.issn.1003-6970.2012.01.01 　　引言 　　随着互联网技术的快速发展及各种新型网络应用(如云计算、物联网)的出现，针对网络信息系统的攻击变得越来越多样化和复杂化。实践表明：对系统进行攻击的本质之一是在信息流动过程中对系统进行非授权泄露与修改，进而破坏系统的安全性，这使得非常有必要对信息流的安全进行分析。 　　信息流概念是由Denning教授与1976年提出来，其主要目标是控制信息的非授权流动，最早的信息流模型却可以追溯到1973年由Bell和LaPaduJa提出来的机密性模型(称之为BLP模型)。虽然早期信息流模型目标是试图控制系统内各实体间的信息流动，保证信息不被非授权读取与修改，但是现在的信息流模型研究范围不再局限于单个系统，而是扩展到网络应用中，目前信息流模型已成为现代操作系统主要的安全模型之一。从安全保障目标看，信息流模型包括两类：机密性信息流模型和完整性信息流模型。从保障方式看，信息流模型也包含两类：隐式模型和显式模型。隐式模型阻止信息间接泄露或修改，与隐式模型相反，显式模型是阻止信息的直接泄露或修改。30多年来，人们对信息流安全的建模和评估做了广泛的研究。本文综述目前已有的建模和评估，同时在此基础上展望了未来的研究方向。本文第2节综述了面向信息流的机密性模型，第3节考察了面向信息流的完整性模型，第4节分析相关量化度量方法，最后展望未来的研究方向。 　　1面向信息流的机密性模型 　　面向信息流的机密性包括了两类：防止信息显式泄露模型(称之为显式泄露模型)和防止信息隐式泄露模型(称之为隐式泄露模型)，下面分别讨论。 ??　1.1显式泄露模型 　　在多级安全中，主体和客体被划分为不同的级别，给每个主体和客体赋予一个安全级，显式泄露模型的目标是保障高安全级信息不流向低安全级主体。BLP模型是防止信息显式泄露的经典模型，其方法是：当主体申请对客体进行操作时，安全机制通过机密级来判别是否允许其操作。如果主体的安全级高于客体，则允许其读而不允许其写。反过来，当主体的机密级低于客体的机密级时，允许其写，但不允许其读。这样就保证了高安全级信息不被泄露给安全级较低的主体，从而提供机密性。BLP以其简单且能有效地提供机密性而得到了广泛的应用，但是存在以下缺点：(1)没有对可信主体访问权限进行限制，权限过大可能会危及安全；(2)主客体敏感级在整个生命周期中不可变限制其灵活性。针对BLP模型的不足，引入了自动读(Auto-read)、自动写(Auto-write)及自动读写(Auto-read-write)归来自动调整非可信进程的安全级。另外，提出了SLCF(Security Label Common Framework)，并通过记录主体的访问历史来动态调整安全级，设计了DBLP(dynamicBLP)，并用主体安全级范围代替当前主体的安全级，然而，指出，这两种方式都存在安全隐患。如何增加BLP的灵活性具有重要的意义，但是，任何改进必须以安全为前提，否则，改进失去意义。 　　1.2信息隐式泄露模型 　　虽然BLP模型可有效地阻止信息直接泄露，但却不能防范信息的隐式泄露，这引发了防止信息隐式泄露的研究。最早建模隐式信息泄露的工作Goguen博士，其核心是基于无干扰(Non-Interference)：若低安全级用户通过外部观测来推断高安全级用户的行为(进而可泄露信息)，则称之为高安全级用户干扰低安全级用户。基于无干扰的方法总体思路是：首先设计合适的描述体系，而后分析信息流在什么类型情况下不存在干扰，进而比较在不同情况下，不同信息流之间的关系。具体地，无干扰工作可分为四类：非确定性无干扰、概率无干扰、时间无干扰及时间概率无干扰。非确定无干扰是指非确定性环境中低安全用户不可推断高安全级用户的行为，一个非确定干扰的简单例子是：if H then L，其中H表示高安全级用户的动作，L均为低安全级的动作，这样低安全级用户可通过观测自己的行为来判断高安全级用户是否执行H。与此相对应，概率无干扰、时间无干扰及时间概率无干扰分别考察在概率环境下、时间条件下及时间概率条件下低安全用户不可推断高安全级用户的行为。如，若将一个进程本身在非确定性的条件下不存在干扰称为NNI(