基于安全熵的量化分析理論

基于安全熵的量化分析理論

0間接非授權(quán)訪(fǎng)問(wèn)行為的消除技術(shù)間接非授權(quán)訪(fǎng)問(wèn)是一種通過(guò)多次信息交換信息來(lái)實(shí)現(xiàn)信息披露的合作訪(fǎng)問(wèn)行為。該訪(fǎng)問(wèn)通常由多個(gè)合法的訪(fǎng)問(wèn)行為構(gòu)成,但是這些合法訪(fǎng)問(wèn)行為造成的信息最終流向卻違反了訪(fǎng)問(wèn)控制策略。一個(gè)簡(jiǎn)單的例子是,系統(tǒng)中的某個(gè)機(jī)密情報(bào)只允許張三訪(fǎng)問(wèn),不允許其他人訪(fǎng)問(wèn),但是張三可以將該情報(bào)讀取出來(lái),然后將其寫(xiě)入到共享文件中給其他人訪(fǎng)問(wèn)。此例中,張三讀機(jī)密情報(bào)、張三寫(xiě)共享文件、其他人訪(fǎng)問(wèn)共享文件就是一種間接非授權(quán)訪(fǎng)問(wèn)。顯然,這種訪(fǎng)問(wèn)對(duì)系統(tǒng)造成的后果非常嚴(yán)重。經(jīng)典的訪(fǎng)問(wèn)控制方法和技術(shù),如基于訪(fǎng)問(wèn)控制矩陣的訪(fǎng)問(wèn)控制、基于角色的訪(fǎng)問(wèn)控制、使用控制等,只能對(duì)單次訪(fǎng)問(wèn)行為是非違規(guī)進(jìn)行判定,無(wú)法防止間接非授權(quán)訪(fǎng)問(wèn)行為。即便是公認(rèn)安全性較高的BLP模型,也僅能防止導(dǎo)致信息從高安全級(jí)流向低安全級(jí)的間接非授權(quán)訪(fǎng)問(wèn)行為,對(duì)導(dǎo)致信息在相同安全級(jí)主客體之間流動(dòng)的間接非授權(quán)訪(fǎng)問(wèn)行為則無(wú)能為力。文獻(xiàn)提出了一種基于信息流圖的訪(fǎng)問(wèn)控制方法,可以消除間接非授權(quán)行為,但是并未從理論上進(jìn)行證明。熵是度量不確定性的工具,最初用于熱力學(xué),美國(guó)數(shù)學(xué)家香農(nóng)將其引入信息論,提出了信息熵的概念,用于信息無(wú)序程度的度量。信息熵理論自提出以來(lái)已經(jīng)在工程科學(xué)和社會(huì)科學(xué)的諸多領(lǐng)域得到應(yīng)用,已有學(xué)者成功地將熵引入到對(duì)信息安全風(fēng)險(xiǎn)和事件不確定性的量化分析上。文中借鑒信息熵對(duì)事物不確定測(cè)度的思想和方法,提出了安全熵的概念,對(duì)系統(tǒng)的各種違規(guī)訪(fǎng)問(wèn)響應(yīng)的不確定進(jìn)行度量,從而為間接非授權(quán)訪(fǎng)問(wèn)行為的量化分析提供了一種方法。1安全熵1.1各系統(tǒng)響應(yīng)的不確定性在信息系統(tǒng)中,當(dāng)用戶(hù)發(fā)出一個(gè)訪(fǎng)問(wèn)請(qǐng)求時(shí),系統(tǒng)會(huì)做出響應(yīng):允許或拒絕,并且這個(gè)響應(yīng)的結(jié)果是唯一的,不會(huì)同時(shí)給出允許和拒絕響應(yīng)。另外,訪(fǎng)問(wèn)請(qǐng)求分為合法請(qǐng)求和違規(guī)請(qǐng)求兩種。若將系統(tǒng)當(dāng)成一個(gè)黑盒,對(duì)用戶(hù)的每個(gè)訪(fǎng)問(wèn)請(qǐng)求,可能得到4種系統(tǒng)響應(yīng)結(jié)果,分別為允許合法訪(fǎng)問(wèn)、拒絕合法訪(fǎng)問(wèn)、允許違規(guī)訪(fǎng)問(wèn)、拒絕違規(guī)訪(fǎng)問(wèn)。顯然,此響應(yīng)結(jié)果可以作為評(píng)判一個(gè)系統(tǒng)好與壞的依據(jù),如拒絕合法訪(fǎng)問(wèn)響應(yīng)的數(shù)量越多,說(shuō)明系統(tǒng)可用性越差,允許違規(guī)訪(fǎng)問(wèn)響應(yīng)的數(shù)量越多,說(shuō)明系統(tǒng)的機(jī)密性越差。為了全面度量一個(gè)系統(tǒng)對(duì)各種訪(fǎng)問(wèn)請(qǐng)求的響應(yīng)不確定性,這里定義了安全熵的概念。為每個(gè)響應(yīng)結(jié)果分配一個(gè)權(quán)值wi,表示響應(yīng)對(duì)系統(tǒng)安全的影響因子,wi越大表示響應(yīng)ai對(duì)系統(tǒng)安全性影響越大,反之對(duì)系統(tǒng)安全性影響越小。若wi的分布為:則X的安全熵為:1.2訪(fǎng)問(wèn)請(qǐng)求達(dá)到3.2分天然安全熵根據(jù)信息安全的常識(shí),響應(yīng)a2會(huì)對(duì)系統(tǒng)的可用性產(chǎn)生負(fù)面影響,響應(yīng)a3會(huì)對(duì)系統(tǒng)的保密性產(chǎn)生負(fù)面影響,而響應(yīng)a1和a4對(duì)系統(tǒng)的安全性影響較小,因此可令,此時(shí)式(1)所得安全熵的意義就是:針對(duì)一組訪(fǎng)問(wèn)請(qǐng)求,危害系統(tǒng)安全的響應(yīng)事件發(fā)生的平均不確定性。熵值越大,表示產(chǎn)生危害系統(tǒng)安全響應(yīng)的不確定性越大,熵值越小,表示產(chǎn)生危害系統(tǒng)安全響應(yīng)的不確定性越小。針對(duì)同一組訪(fǎng)問(wèn)請(qǐng)求,不同的訪(fǎng)問(wèn)控制模型的熵值越小,說(shuō)明該模型產(chǎn)生危害系統(tǒng)安全響應(yīng)的可能性越小。若令w2>0,w3>0,w1=w4=0,且w2+w3=1,則安全熵可作為系統(tǒng)是否滿(mǎn)足可用性和保密性的依據(jù)。若令w2=1,w3=w1=w4=0,則式(1)所得安全熵作為系統(tǒng)是否滿(mǎn)足可用性的依據(jù)。若令w3=1,w1=w2=w4=0,則式(1)所得安全熵作為系統(tǒng)是否滿(mǎn)足保密性的依據(jù)。4種響應(yīng)結(jié)果的數(shù)量與輸入樣本有關(guān),若只輸入合法事件,響應(yīng)a3和a4的計(jì)數(shù)為0,同理,若只輸入違規(guī)訪(fǎng)問(wèn),則響應(yīng)a1和a2的計(jì)數(shù)為0。為了能夠準(zhǔn)確反映系統(tǒng)的安全性,要求輸入樣本應(yīng)是完備的。另外,響應(yīng)結(jié)果與輸入樣本的數(shù)量有關(guān),若某一訪(fǎng)問(wèn)請(qǐng)求的輸入次數(shù)遠(yuǎn)遠(yuǎn)高于其他訪(fǎng)問(wèn),則響應(yīng)結(jié)果將會(huì)失真。所以,計(jì)算安全熵時(shí)要求輸入樣本(訪(fǎng)問(wèn)請(qǐng)求)是完備的并且是概率分布均勻的。此時(shí),安全熵越小,說(shuō)明模型針對(duì)所有可能發(fā)生的訪(fǎng)問(wèn)請(qǐng)求產(chǎn)生危害系統(tǒng)安全的響應(yīng)結(jié)果的不確定性越小,模型安全性越高,當(dāng)安全熵趨近于0時(shí),則達(dá)到理論上的安全。1.3間接安全熵/間接安全熵針對(duì)間接非授權(quán)訪(fǎng)問(wèn)問(wèn)題,可將式(1)中的“違規(guī)訪(fǎng)問(wèn)”限定為“間接非授權(quán)訪(fǎng)問(wèn)”,則式(1)所得的安全熵在文中被稱(chēng)為間接安全熵,記為HI(X)。2兩組不同訪(fǎng)問(wèn)請(qǐng)求并無(wú)違規(guī)訪(fǎng)問(wèn)針對(duì)間接非授權(quán)訪(fǎng)問(wèn)問(wèn)題,文中給出了一個(gè)新的安全屬性:間接安全性,即系統(tǒng)中存在間接非授權(quán)訪(fǎng)問(wèn)的可能性,并基于安全熵提出了判斷系統(tǒng)是否具有間接安全性的定理。定理1(系統(tǒng)的間接安全性):訪(fǎng)問(wèn)控制模型具有間接安全性,當(dāng)且僅當(dāng)其中w2>0,w3>0,w2+w3=1。證明:此處需要證明當(dāng)HI(X)=0時(shí),系統(tǒng)中不會(huì)發(fā)生“拒絕合法訪(fǎng)問(wèn)”和“允許間接違規(guī)訪(fǎng)問(wèn)”,即p(a2)=p(a3)=0。將響應(yīng)ai的計(jì)數(shù)記為ni(i=1,2,3,4),令n1+n2=s,n3+n4=t,由于a1、a2和a3、a4分別是針對(duì)同一訪(fǎng)問(wèn)請(qǐng)求的不同響應(yīng)結(jié)果,則有p(a1)+p(a2)=s/q,p(a3)+p(a4)=t/q。按照常理,訪(fǎng)問(wèn)請(qǐng)求不可能全是違規(guī)或全是合法的,所以s,t>0,由于,可得p(a2)≠1,p(a3)≠1。根據(jù)題設(shè)w2>0,w3>0,w2+w3=1,則w1=w4=0,帶入安全熵公式得:3典型訪(fǎng)談控制模型的間接安全熵下面使用基于安全熵的間接安全性定理,對(duì)典型的訪(fǎng)問(wèn)控制模型進(jìn)行安全性分析,驗(yàn)證該方法的實(shí)用性。3.1多次訪(fǎng)問(wèn)的間接信息流訪(fǎng)問(wèn)控制矩陣模型依據(jù)訪(fǎng)問(wèn)控制策略判斷訪(fǎng)問(wèn)行為的合法性。設(shè)系統(tǒng)中有m個(gè)用戶(hù):u1,u2,…,um,有n個(gè)資源:o1,o2,…,om,將訪(fǎng)問(wèn)請(qǐng)求分解為讀和寫(xiě)原子請(qǐng)求,則系統(tǒng)中可能發(fā)生的單次訪(fǎng)問(wèn)種類(lèi)為2mn個(gè),可分別用b1,b2,…,bq(q=2mn)表示。在主體和客體之間,可能通過(guò)多次訪(fǎng)問(wèn)實(shí)現(xiàn)間接違規(guī),如對(duì)于負(fù)授權(quán)“(s2,o1,r)”,可以通過(guò)s1讀o1,s1寫(xiě)o2,s2讀o2來(lái)實(shí)現(xiàn)間接的信息傳遞,也就是用戶(hù)s2得到了o2中的信息,這顯然違反了該負(fù)授權(quán),但是由于其他的3個(gè)事件可能并未違反安全策略,因此在訪(fǎng)問(wèn)控制矩陣模型中,這種間接信息流是允許發(fā)生的。由于訪(fǎng)問(wèn)事件都是用戶(hù)對(duì)資源的操作,因此這種間接非授權(quán)訪(fǎng)問(wèn)都是在奇數(shù)次訪(fǎng)問(wèn)時(shí)所形成,因此將待考察對(duì)象定義為事件序列a=(a1a2,…,aN),其中a1a2,…,aN∈(b1b2,…,bq),N為趨近于無(wú)限大的整數(shù)。(1)間接非授權(quán)事件1)存在3維間接非授權(quán)事件的可能性。對(duì)于一條負(fù)授權(quán),可以有C1m-1C1n-1種組合形成3維間接非授權(quán)事件,這些間接非授權(quán)事件為一系列固定順序的訪(fǎng)問(wèn)事件組合,即信息流動(dòng)的起點(diǎn)和終點(diǎn)固定,中間環(huán)節(jié)隨意選取。N維事件序列中,可能包含某個(gè)3維間接非授權(quán)事件的排列組合方式共有q(N-3)種,共有CN3C1m-1C1n-1qN-3種可能性。(2)維k負(fù)載時(shí)間k條負(fù)授權(quán)時(shí),不考慮相互交叉情況,最大可能有間接違規(guī)情況可能數(shù):。(3)間接安全熵與hru模型令隨機(jī)事件等概率發(fā)生,即P(bi)=(1/q)N,此時(shí)計(jì)算得到的間接安全熵為:訪(fǎng)問(wèn)控制矩陣模型的間接安全熵不等于0,因此HRU模型不滿(mǎn)足間接安全性,并且其間接安全熵除了與q相關(guān)外,還與事件序列的維數(shù)N相關(guān),這說(shuō)明訪(fǎng)問(wèn)次數(shù)影響著間接非授權(quán)行為發(fā)生的可能性,N越大,非授權(quán)訪(fǎng)問(wèn)行為的數(shù)量越多,混亂程度越大。3.2u3000補(bǔ)充信息-特性+bue400BLP模型依據(jù)主客體安全級(jí)判定訪(fǎng)問(wèn)請(qǐng)求的安全性,按照信息的流向可以將訪(fǎng)問(wèn)請(qǐng)求分為:導(dǎo)致信息從低流向高的請(qǐng)求B↑={b1↑,b2↑,…,b↑q/3}、導(dǎo)致信息從高流向低的請(qǐng)求B↓={b1↓,b2↓,…,b↓q/3}和導(dǎo)致信息平級(jí)流動(dòng)的請(qǐng)求Bue300={b1ue300,b2ue300,…,bue300q/3},q=2mn含義同3.1節(jié)。BLP模型通過(guò)簡(jiǎn)單安全特性和*-特性防止信息從高安全級(jí)流向低安全級(jí),因此任意流向違規(guī)訪(fǎng)問(wèn)bi↓∈B↓都會(huì)被BLP拒絕,任意非流向違規(guī)請(qǐng)求bi→∈Bue300和bi↑∈B↑都會(huì)被允許,所以間接非授權(quán)訪(fǎng)問(wèn)只能由bi→和bi↑構(gòu)成。BLP模型使用訪(fǎng)問(wèn)控制矩陣對(duì)bi→和bi↑進(jìn)行控制,因此根據(jù)3.1節(jié)的結(jié)論,其安全熵為:因此BLP模型的間接安全熵不等于0,存在間接非授權(quán)訪(fǎng)問(wèn)。3.3間接安全熵與訪(fǎng)問(wèn)控制矩陣模型的對(duì)比RBAC模型為用戶(hù)分配了角色,基于角色進(jìn)行授權(quán),其授權(quán)結(jié)果與訪(fǎng)問(wèn)控制矩陣模型類(lèi)似,因此RBAC模型的間接安全熵與訪(fǎng)問(wèn)控制矩陣模型結(jié)果類(lèi)似,不同的是q=2rn,其中r為角色數(shù),且通常角色數(shù)r遠(yuǎn)遠(yuǎn)小于用戶(hù)數(shù)量m。3.4輔助判決工具FGBAC模型對(duì)BLP模型進(jìn)行改進(jìn),引入了信息流圖作為輔助判決工具,根據(jù)其讀寫(xiě)規(guī)則的推理,系統(tǒng)在任意時(shí)刻對(duì)間接非授權(quán)訪(fǎng)問(wèn)的響應(yīng)都為“no”。因此任意時(shí)刻,該模型中發(fā)生間接非授權(quán)訪(fǎng)問(wèn)的概率為0,其間接安全熵恒等于0。4實(shí)機(jī)病員的足間接安全性分析文中提出了“安全熵”的概念,用以度量系統(tǒng)對(duì)間接非授權(quán)訪(fǎng)問(wèn)請(qǐng)求響應(yīng)結(jié)果的不確定性測(cè)度。在安全熵的基礎(chǔ)上,提出了訪(fǎng)問(wèn)控制系統(tǒng)或模型的間接安全性定理,并計(jì)算了典型訪(fǎng)問(wèn)控制模型的間接安全熵,對(duì)它們的間接安全性進(jìn)行了分析,驗(yàn)證了該方法的實(shí)用性。文中所提出的基于安全熵的間接非授權(quán)訪(fǎng)問(wèn)分析理論,可廣泛應(yīng)用于系統(tǒng)中是否存在滿(mǎn)足間接安全性的證明和安全性分析上。定義1(安全熵):將一組訪(fǎng)問(wèn)請(qǐng)求B=b1,b2,…,bq作為輸入,將系統(tǒng)對(duì)其中每個(gè)訪(fǎng)問(wèn)請(qǐng)求的響應(yīng)結(jié)果作為考察對(duì)象,使用變量X表示響應(yīng)結(jié)果,則X的取值為:允許合法訪(fǎng)問(wèn)、拒絕合法訪(fǎng)問(wèn)、允許違規(guī)訪(fǎng)問(wèn)、拒絕違規(guī)訪(fǎng)問(wèn),分別記為響應(yīng)a1,a2,a3,a4,使用p(ai)表示響應(yīng)ai的統(tǒng)計(jì)概率,變量X的概率空間[X,p(X=ai)]為,其中。由于p(a2)≠1,p(a3)≠1,若HI(X)=0,則必有p(a2)=p(a3)=0。得證。2