基于n維安全熵的訪問控制模型量化分析

基于n維安全熵的訪問控制模型量化分析

一、基于n維安全熵的方法的降階模型的研究。在對(duì)于管理訪問權(quán)限是實(shí)現(xiàn)用戶訪問資源策略的安全技術(shù)，防止用戶未經(jīng)授權(quán)訪問資源。訪問控制經(jīng)過幾十年的發(fā)展,現(xiàn)在已經(jīng)成為各種信息平臺(tái)系統(tǒng)最基本的安全手段,能夠?yàn)橄到y(tǒng)的安全提供最直接有效的保護(hù)。訪問控制過程經(jīng)過數(shù)學(xué)抽象之后,可建立訪問控制模型,目前訪問控制模型正在成為了國內(nèi)外學(xué)者重點(diǎn)研究的對(duì)象。在我們查閱相關(guān)文獻(xiàn)時(shí)發(fā)現(xiàn),訪問控制模型針對(duì)非法訪問的控制力,其安全性及其用戶資源與訪問次數(shù)的內(nèi)在關(guān)系并沒有給出明確而科學(xué)的定義與關(guān)聯(lián)。對(duì)于不同的訪問控制模型的優(yōu)劣也沒給出詳細(xì)比較,更沒有給出明確而嚴(yán)格的公式定義,這對(duì)信息系統(tǒng)的管理者在選擇合適的訪問控制模型的時(shí)候,造成很大的困擾和混亂。為了解決控制模型的定量化分析問題,借鑒安全熵的概念,首先研究了自主訪問控制模型的N維安全熵定義。然后以N維安全熵的方法對(duì)基于角色的控制模型(RBAC模型)的安全性進(jìn)行量化分析。為了解決管理信息系統(tǒng)中的不同類別、不同層次角色訪問時(shí)所產(chǎn)生的安全性問題,提出了擴(kuò)展的RBAC訪問控制模型(EXRBAC),并用N維安全熵的方法對(duì)EXRBAC進(jìn)行了量化分析。經(jīng)過對(duì)這自主訪問控制、RBAC、EXRBAC三種訪問控制模型的安全性進(jìn)行分析和比較,結(jié)果顯示,在多類別、多層次角色訪問前提下,EXRBAC模型其安全性有明顯提升。二、獨(dú)立檢測(cè)模型及其n維安全熵1、置訪問控制的性質(zhì)自主訪問控制模型是一種基于主體對(duì)客體訪問控制的技術(shù),客體擁有者能夠設(shè)置訪問控制屬性來拒絕或者允許其他主體對(duì)該客體的訪問。它的基本思想是:對(duì)于某一個(gè)信息資源,允許某主體能夠指定其他主體對(duì)該信息資源是否具有訪問或執(zhí)行的權(quán)限,所以自主訪問控制模型就是基于主客和客體之間的訪問控制模型。2、q—自主訪問控制的N維安全熵熵是德國物理學(xué)家R.Clausius(克勞修斯)在19世紀(jì)60年代提出來的。熵作為一個(gè)熱力學(xué)概念,可以表示一個(gè)物質(zhì)系統(tǒng)中能量衰竭程度。但是通過泛化熵的概念,可以用做某些系統(tǒng)秩序性程度的度量,如信息熵、測(cè)度熵、拓?fù)潇氐?而信息熵就是對(duì)信息無序程度的一種度量,即能量化分析信息的安全性和事件的不確定性。由信息熵得到啟發(fā),將系統(tǒng)中的授權(quán)訪問事件當(dāng)作隨機(jī)事件,所以該熵可以描述訪問事件的不確定性測(cè)度。為了與Shannon的信息熵區(qū)別開來,這里被定義為安全熵。所以對(duì)于一個(gè)信息系統(tǒng)來說,安全熵是其非授權(quán)行為的最大不確定性測(cè)度。設(shè)系統(tǒng)中的多個(gè)訪問事件當(dāng)作多個(gè)離散事件組成的序列:由信息熵公式得到安全熵公式:其中,P—訪問控制模型的控制策略;ωi—訪問事件對(duì)應(yīng)的熵權(quán);q—控制模型產(chǎn)生的訪問事件數(shù);p(ai)—這q個(gè)訪問事件發(fā)生對(duì)應(yīng)的概率。前面所描述的安全熵都是在單次訪問行為下定義的,但是在實(shí)際信息系統(tǒng)中,信息還可以間接地通過多次訪問行為進(jìn)行傳遞。為了更直觀地反映多操作產(chǎn)生的信息流對(duì)非授權(quán)訪問的影響,在這里舉一個(gè)實(shí)例來說明。如圖1所示,系統(tǒng)中有用戶u1和u2,有資源o1和o2,對(duì)于某個(gè)系統(tǒng)訪問控制條件有如下定義:(4)u1對(duì)o2沒有寫操作權(quán)限。依據(jù)(1)--(4)條定義可以看出,對(duì)于(1)(2)(3)的訪問請(qǐng)求可以被允許,而(4)u1對(duì)o2的寫操作會(huì)被拒絕。但是,由直接操作(1)(2)(3)組成的信息流導(dǎo)致了信息由u1流向了o2,即間接地導(dǎo)致了信息流(5)的產(chǎn)生,形成了一種違反控制條件(4)的非授權(quán)訪問事件。我們定義安全熵就是對(duì)訪問控制系統(tǒng)非授權(quán)訪問事件所導(dǎo)致的不確定性的測(cè)度,通過多次操作訪問的信息流來實(shí)現(xiàn)對(duì)系統(tǒng)N維安全熵的定義。信息系統(tǒng)中的訪問行為可以簡(jiǎn)化為讀、寫兩種操作,在定義安全熵之前簡(jiǎn)化分解自主訪問控制模型操作,分為讀r和寫w兩個(gè)基本操作,設(shè)用戶數(shù)和資源數(shù)各為m和n,故可以得出在該系統(tǒng)中,用戶對(duì)資源的操作方式為q=2mn種。對(duì)于上述的幾個(gè)授權(quán)訪問操作組合形成的間接訪問,會(huì)影響到非授權(quán)訪問控制,對(duì)于系統(tǒng)中存在的每一條非授權(quán)訪問事件,可以形成種長(zhǎng)度為j的不同組合形式的間接非授權(quán)訪問事件。但是這j的長(zhǎng)度只是N維操作中的一部分,所以這不同的j個(gè)操作也需要符合排列組合方式,其方式有種。除了這j個(gè)操作,本身具有N-j個(gè)操作為正常授權(quán)操作,故而所有的操作組合起來后形成N維操作。N-j個(gè)操作屬于原始操作集,有種組合形式,所以最終得到N維j次訪問組合的違反該條非授權(quán)訪問途徑有種。系統(tǒng)若有k條負(fù)授權(quán),則最多會(huì)有種訪問違規(guī)情況。然而,對(duì)于實(shí)際系統(tǒng)中m和n(用戶和資源數(shù))都非常大,因此可以進(jìn)行如下簡(jiǎn)化:由于j為由3到N的奇數(shù),在這里將這多個(gè)j形成的違規(guī)途徑求和,形成最大非授權(quán)事件實(shí)現(xiàn)途徑K:由安全熵的定義公式(4),對(duì)于這K種途徑都是非授權(quán)事件,所以熵權(quán)ωi為1。取等概率信息熵是最大的,即P(ai)=(1/q)N,此時(shí)自主訪問控制的N維安全熵如下:其中,k—非授權(quán)訪問事件數(shù);N—操作訪問次數(shù)(維數(shù));三、rbac模型及其n維安全熵1、rbac模型RBAC是基于角色的訪問控制模型,所有用戶和資源之間的訪問都是通過角色來實(shí)現(xiàn)的。RBAC模型定義主要包括用戶、角色、客體、操作、權(quán)限和會(huì)話6個(gè)基本元素,基本模型如圖2所示。RBAC的權(quán)限被賦予角色,而不是用戶。當(dāng)一個(gè)角色被指定給一個(gè)用戶,此用戶就擁有了該角色所包含的權(quán)限,會(huì)話是用戶與角色集合之間的映射集合。2、rbac訪問控制模型由于RBAC模型是基于角色的訪問控制模型,所以,RBAC訪問控制模型的安全熵與角色有一定的關(guān)系。圖3為RBAC訪問控制模型的訪問流圖,與圖1的區(qū)別是用戶與資源之間通過角色集R來訪問,但是同樣通過多次訪問可以實(shí)現(xiàn)用戶對(duì)資源的非授權(quán)操作(訪問)。依據(jù)自主訪問控制模型安全熵的計(jì)算方法,將“用戶-角色-資源”或“資源-角色-用戶”當(dāng)作一條長(zhǎng)度為1的訪問事件,訪問事件維度N可以看作與自主訪問控制模型的維度一樣。同樣可以對(duì)訪問行為進(jìn)行分解,分為讀r和寫w兩個(gè)基本操作,設(shè)用戶數(shù)和資源數(shù)各為m和n,每一個(gè)用戶訪問資源途徑為qE種,有:其中,q=2mn;u—為角色集R中的角色數(shù)。與公式(5)不同,在其基礎(chǔ)上每一個(gè)訪問事件都需要乘以角色數(shù)u,則N維訪問操作需要乘以u(píng)N,則RBAC訪問控制模型的最大非授權(quán)事件實(shí)現(xiàn)途徑為:同樣取等概率信息熵是最大的,有PE(ai)=(1/qE)N,所以得到RBAC訪問控制模型的N維安全熵為:其中,k—非授權(quán)訪問事件數(shù);N—操作訪問次數(shù)(維數(shù));q=2mn。四、建立exrbac訪問控制模型和n維安全熵分析1、擴(kuò)展rbac模型在RBAC中,所有的角色分配是按照平級(jí)情況進(jìn)行分配的。但是在實(shí)際系統(tǒng)中,有些角色和角色之間有一定的上下級(jí)關(guān)系和區(qū)分。例如:銷售員和銷售經(jīng)理這兩個(gè)角色,銷售經(jīng)理是更高層次,他應(yīng)該有銷售員的所有權(quán)限。而且角色之間沒有互斥或相容的關(guān)系,例如:在一個(gè)學(xué)校的管理系統(tǒng)中,學(xué)生和老師是不可能同時(shí)賦予給同一個(gè)用戶,所以在用戶分配角色的時(shí)候需要做互斥處理?；谶@些實(shí)際需求,本文改進(jìn)了RBAC模型,建立了擴(kuò)展RBAC訪問控制模型—EXRBAC。EXRBAC模型中,角色集包含排斥運(yùn)算和分級(jí)運(yùn)算。其中排斥運(yùn)算將角色分為相斥角色、相容角色,對(duì)于相斥角色集合來說,用戶只能擁有集合中一個(gè)角色,而對(duì)于相容角色集合,用戶可以擁有多個(gè)角色。分級(jí)運(yùn)算,是為了減少角色賦予權(quán)限操作復(fù)雜性,直接可以通過角色分級(jí)實(shí)現(xiàn)角色授權(quán)。2、求最大角色規(guī)模EXRBAC訪問控制模型和RBAC訪問控制模型一樣,用戶可以通過角色來獲取對(duì)資源的讀寫權(quán)限。但是,EXRBAC中角色有互斥或分級(jí)運(yùn)算等,所以一個(gè)用戶的最大角色擁有量不等于原始角色量u,那么如何求最大角色擁有量呢?假設(shè)原始角色集分為P1個(gè)互斥角色集、相容角色集和P2個(gè)分級(jí)角色集,對(duì)于互斥角色集和分級(jí)角色集,用戶只能擁有每個(gè)集合中的一個(gè)角色。假設(shè)最大角色擁有量為u0,則有:其中,P1—互斥角色集數(shù);P2—分級(jí)角色集數(shù);同理,EXRBAC的N維事件序列在k條負(fù)授權(quán)時(shí),可能形成的非授權(quán)事件數(shù)量最大為KER,用u0替換u代入公式(7)中,得到:同樣,用u0替換u代入公式(8)中,EXRBAC模型N維安全熵為:其中,k—非授權(quán)訪問事件數(shù);五、添加角色后的rbac模型分析現(xiàn)在假設(shè)k=1(1條負(fù)授權(quán)),m=100,n=50,u=10,最大角色擁有量u0=7,則三種模型的安全熵計(jì)算結(jié)果如表1所示。由表1可以看出訪問控制模型的安全熵隨維度N增大而增大,就是說明操作多了會(huì)導(dǎo)致系統(tǒng)安全性的下降。同時(shí),添加角色后的RBAC模型中安全熵相比較自主訪問控制模型大,說明添加角色雖然能使系統(tǒng)操作更靈活,但是犧牲了其一定的安全性。最后就是EXRBAC模型比基本RBAC模型安全熵低,說明對(duì)原始角色進(jìn)行處理后的算法使得系統(tǒng)的安全性和可控性得到了提升。六、擴(kuò)展型rbac模型就如何評(píng)價(jià)訪問控制模型,用基于N維安全熵的方法進(jìn)行量化分析研究。首先引入自主訪問控制模型以及其N維安全熵,然后定義了RBAC訪問控制模型的N維安全熵。通過對(duì)RBAC模型的研究,發(fā)現(xiàn)其模型有一定不足之處,提出一種擴(kuò)展型RBAC訪問控