基于安全熵的量化分析理论

基于安全熵的量化分析理论

0间接非授权访问行为的消除技术间接非授权访问是一种通过多次信息交换信息来实现信息披露的合作访问行为。该访问通常由多个合法的访问行为构成,但是这些合法访问行为造成的信息最终流向却违反了访问控制策略。一个简单的例子是,系统中的某个机密情报只允许张三访问,不允许其他人访问,但是张三可以将该情报读取出来,然后将其写入到共享文件中给其他人访问。此例中,张三读机密情报、张三写共享文件、其他人访问共享文件就是一种间接非授权访问。显然,这种访问对系统造成的后果非常严重。经典的访问控制方法和技术,如基于访问控制矩阵的访问控制、基于角色的访问控制、使用控制等,只能对单次访问行为是非违规进行判定,无法防止间接非授权访问行为。即便是公认安全性较高的BLP模型,也仅能防止导致信息从高安全级流向低安全级的间接非授权访问行为,对导致信息在相同安全级主客体之间流动的间接非授权访问行为则无能为力。文献提出了一种基于信息流图的访问控制方法,可以消除间接非授权行为,但是并未从理论上进行证明。熵是度量不确定性的工具,最初用于热力学,美国数学家香农将其引入信息论,提出了信息熵的概念,用于信息无序程度的度量。信息熵理论自提出以来已经在工程科学和社会科学的诸多领域得到应用,已有学者成功地将熵引入到对信息安全风险和事件不确定性的量化分析上。文中借鉴信息熵对事物不确定测度的思想和方法,提出了安全熵的概念,对系统的各种违规访问响应的不确定进行度量,从而为间接非授权访问行为的量化分析提供了一种方法。1安全熵1.1各系统响应的不确定性在信息系统中,当用户发出一个访问请求时,系统会做出响应:允许或拒绝,并且这个响应的结果是唯一的,不会同时给出允许和拒绝响应。另外,访问请求分为合法请求和违规请求两种。若将系统当成一个黑盒,对用户的每个访问请求,可能得到4种系统响应结果,分别为允许合法访问、拒绝合法访问、允许违规访问、拒绝违规访问。显然,此响应结果可以作为评判一个系统好与坏的依据,如拒绝合法访问响应的数量越多,说明系统可用性越差,允许违规访问响应的数量越多,说明系统的机密性越差。为了全面度量一个系统对各种访问请求的响应不确定性,这里定义了安全熵的概念。为每个响应结果分配一个权值wi,表示响应对系统安全的影响因子,wi越大表示响应ai对系统安全性影响越大,反之对系统安全性影响越小。若wi的分布为:则X的安全熵为:1.2访问请求达到3.2分天然安全熵根据信息安全的常识,响应a2会对系统的可用性产生负面影响,响应a3会对系统的保密性产生负面影响,而响应a1和a4对系统的安全性影响较小,因此可令,此时式(1)所得安全熵的意义就是:针对一组访问请求,危害系统安全的响应事件发生的平均不确定性。熵值越大,表示产生危害系统安全响应的不确定性越大,熵值越小,表示产生危害系统安全响应的不确定性越小。针对同一组访问请求,不同的访问控制模型的熵值越小,说明该模型产生危害系统安全响应的可能性越小。若令w2>0,w3>0,w1=w4=0,且w2+w3=1,则安全熵可作为系统是否满足可用性和保密性的依据。若令w2=1,w3=w1=w4=0,则式(1)所得安全熵作为系统是否满足可用性的依据。若令w3=1,w1=w2=w4=0,则式(1)所得安全熵作为系统是否满足保密性的依据。4种响应结果的数量与输入样本有关,若只输入合法事件,响应a3和a4的计数为0,同理,若只输入违规访问,则响应a1和a2的计数为0。为了能够准确反映系统的安全性,要求输入样本应是完备的。另外,响应结果与输入样本的数量有关,若某一访问请求的输入次数远远高于其他访问,则响应结果将会失真。所以,计算安全熵时要求输入样本(访问请求)是完备的并且是概率分布均匀的。此时,安全熵越小,说明模型针对所有可能发生的访问请求产生危害系统安全的响应结果的不确定性越小,模型安全性越高,当安全熵趋近于0时,则达到理论上的安全。1.3间接安全熵/间接安全熵针对间接非授权访问问题,可将式(1)中的“违规访问”限定为“间接非授权访问”,则式(1)所得的安全熵在文中被称为间接安全熵,记为HI(X)。2两组不同访问请求并无违规访问针对间接非授权访问问题,文中给出了一个新的安全属性:间接安全性,即系统中存在间接非授权访问的可能性,并基于安全熵提出了判断系统是否具有间接安全性的定理。定理1(系统的间接安全性):访问控制模型具有间接安全性,当且仅当其中w2>0,w3>0,w2+w3=1。证明:此处需要证明当HI(X)=0时,系统中不会发生“拒绝合法访问”和“允许间接违规访问”,即p(a2)=p(a3)=0。将响应ai的计数记为ni(i=1,2,3,4),令n1+n2=s,n3+n4=t,由于a1、a2和a3、a4分别是针对同一访问请求的不同响应结果,则有p(a1)+p(a2)=s/q,p(a3)+p(a4)=t/q。按照常理,访问请求不可能全是违规或全是合法的,所以s,t>0,由于,可得p(a2)≠1,p(a3)≠1。根据题设w2>0,w3>0,w2+w3=1,则w1=w4=0,带入安全熵公式得:3典型访谈控制模型的间接安全熵下面使用基于安全熵的间接安全性定理,对典型的访问控制模型进行安全性分析,验证该方法的实用性。3.1多次访问的间接信息流访问控制矩阵模型依据访问控制策略判断访问行为的合法性。设系统中有m个用户:u1,u2,…,um,有n个资源:o1,o2,…,om,将访问请求分解为读和写原子请求,则系统中可能发生的单次访问种类为2mn个,可分别用b1,b2,…,bq(q=2mn)表示。在主体和客体之间,可能通过多次访问实现间接违规,如对于负授权“(s2,o1,r)”,可以通过s1读o1,s1写o2,s2读o2来实现间接的信息传递,也就是用户s2得到了o2中的信息,这显然违反了该负授权,但是由于其他的3个事件可能并未违反安全策略,因此在访问控制矩阵模型中,这种间接信息流是允许发生的。由于访问事件都是用户对资源的操作,因此这种间接非授权访问都是在奇数次访问时所形成,因此将待考察对象定义为事件序列a=(a1a2,…,aN),其中a1a2,…,aN∈(b1b2,…,bq),N为趋近于无限大的整数。(1)间接非授权事件1)存在3维间接非授权事件的可能性。对于一条负授权,可以有C1m-1C1n-1种组合形成3维间接非授权事件,这些间接非授权事件为一系列固定顺序的访问事件组合,即信息流动的起点和终点固定,中间环节随意选取。N维事件序列中,可能包含某个3维间接非授权事件的排列组合方式共有q(N-3)种,共有CN3C1m-1C1n-1qN-3种可能性。(2)维k负载时间k条负授权时,不考虑相互交叉情况,最大可能有间接违规情况可能数:。(3)间接安全熵与hru模型令随机事件等概率发生,即P(bi)=(1/q)N,此时计算得到的间接安全熵为:访问控制矩阵模型的间接安全熵不等于0,因此HRU模型不满足间接安全性,并且其间接安全熵除了与q相关外,还与事件序列的维数N相关,这说明访问次数影响着间接非授权行为发生的可能性,N越大,非授权访问行为的数量越多,混乱程度越大。3.2u3000补充信息-特性+bue400BLP模型依据主客体安全级判定访问请求的安全性,按照信息的流向可以将访问请求分为:导致信息从低流向高的请求B↑={b1↑,b2↑,…,b↑q/3}、导致信息从高流向低的请求B↓={b1↓,b2↓,…,b↓q/3}和导致信息平级流动的请求Bue300={b1ue300,b2ue300,…,bue300q/3},q=2mn含义同3.1节。BLP模型通过简单安全特性和*-特性防止信息从高安全级流向低安全级,因此任意流向违规访问bi↓∈B↓都会被BLP拒绝,任意非流向违规请求bi→∈Bue300和bi↑∈B↑都会被允许,所以间接非授权访问只能由bi→和bi↑构成。BLP模型使用访问控制矩阵对bi→和bi↑进行控制,因此根据3.1节的结论,其安全熵为:因此BLP模型的间接安全熵不等于0,存在间接非授权访问。3.3间接安全熵与访问控制矩阵模型的对比RBAC模型为用户分配了角色,基于角色进行授权,其授权结果与访问控制矩阵模型类似,因此RBAC模型的间接安全熵与访问控制矩阵模型结果类似,不同的是q=2rn,其中r为角色数,且通常角色数r远远小于用户数量m。3.4辅助判决工具FGBAC模型对BLP模型进行改进,引入了信息流图作为辅助判决工具,根据其读写规则的推理,系统在任意时刻对间接非授权访问的响应都为“no”。因此任意时刻,该模型中发生间接非授权访问的概率为0,其间接安全熵恒等于0。4实机病员的足间接安全性分析文中提出了“安全熵”的概念,用以度量系统对间接非授权访问请求响应结果的不确定性测度。在安全熵的基础上,提出了访问控制系统或模型的间接安全性定理,并计算了典型访问控制模型的间接安全熵,对它们的间接安全性进行了分析,验证了该方法的实用性。文中所提出的基于安全熵的间接非授权访问分析理论,可广泛应用于系统中是否存在满足间接安全性的证明和安全性分析上。定义1(安全熵):将一组访问请求B=b1,b2,…,bq作为输入,将系统对其中每个访问请求的响应结果作为考察对象,使用变量X表示响应结果,则X的取值为:允许合法访问、拒绝合法访问、允许违规访问、拒绝违规访问,分别记为响应a1,a2,a3,a4,使用p(ai)表示响应ai的统计概率,变量X的概率空间[X,p(X=ai)]为,其中。由于p(a2)≠1,p(a3)≠1,若HI(X)=0,则必有p(a2)=p(a3)=0。得证。2