基于安全熵的多级访问控制模型量化分析方法

车天伟，马建峰，王超，李娜

（1.西安电子科技大学计算机学院，西安710071；2.解放军信息工程大学郑州450001；3.西北工业大学计算机学院，西安710129）

基于安全熵的多级访问控制模型量化分析方法

车天伟1，马建峰1，王超2，李娜3

（1.西安电子科技大学计算机学院，西安710071；2.解放军信息工程大学郑州450001；3.西北工业大学计算机学院，西安710129）

针对访问控制模型的安全性分析与证明问题，提出了基于安全熵的量化分析方法.首先，结合信息论有关知识引入安全熵的概念，提出了系统对违规访问行为响应的不确定性计算方法；然后，基于安全熵提出了不同等级信息系统的安全性定理；最后，应用该方法对经典安全模型进行了量化分析，验证了该方法的实用性，并比较了这些访问控制模型安全性以及在等级化信息系统中的适用性.结果证明该方法可适用于访问控制模型的安全性度量以及系统的访问控制能力评估.

信息熵；安全熵；等级化访问控制模型；直接违规访问；流向违规访问

0引言

访问控制模型安全性证明的关键是找到一个公认的、无需证明的安全公理，然后在这个安全公理上进行推导，或使用安全公理对模型提出的安全假设进行证明，从而使模型安全性更可信.但是，即便是经过形式化证明的BLP模型［1-2］，也未对其提出的“简单安全性公理”、“*-特性公理”等假设的合理性、完备性和安全性等进行证明，因此有学者指出BLP模型的安全公理不能完全证明模型的安全性［3］.一个完备的访问控制模型首先必须明确是要满足哪些安全需求、防止哪些违规访问，并对如何降低系统允许这些违规访问的不确定性进行证明.

熵是度量不确定性的工具，最初用于热力学.美国数学家香农将其引入信息论，提出了信息熵的概念，用于信息无序程度的度量［4］.信息熵理论自提出以来已经在工程科学和社会科学的诸多领域得到应用.已有学者成功地将熵引入到对信息安全风险和事件不确定性的量化分析上［5-7］.

本文借鉴信息熵对事物不确定测度的思想和方法，提出了安全熵的概念，对系统的各种违规访问响应的不确定进行度量，从而为等级化访问控制模型的安全性量化分析提供了科学方法.

1安全熵

1.1安全熵的定义

在信息系统中，当用户发出一个访问请求时，系统会做出响应：允许或拒绝，并且这个响应的结果是唯一的，不会同时给出允许和拒绝响应.另外访问请求分为合法请求和违规请求两种.若将系统当成一个黑盒，对用户的每个访问请求，可能得到4种系统响应结果，分别为允许合法访问、拒绝合法访问、允许违规访问、拒绝违规访问.显然此响应结果可以作为评判一个系统好与坏的依据.如拒绝合法访问响应的数量越多，说明系统可用性越差；允许违规访问响应的数量越多，说明系统的机密性越差.为了全面度量一个系统对各种访问请求的响应不确定性，这里定义了安全熵的概念.

定义1（安全熵）：将一组访问请求B=b1,b2,···,bq作为输入，将系统对其中每个访问请求的响应结果作为考察对象，使用变量X表示响应结果，则X的取值为：允许合法访问、拒绝合法访问、允许违规访问、拒绝违规访问，分别记为响应a1,a2,a3,a4，使用p（ai）表示响应ai的统计概率，变量X的概率空间［X，p（X=ai）］为

为每个响应结果分配一个权值wi，表示响应对系统安全的影响因子，wi越大表示响应ai对系统安全性影响越大，反之对系统安全性影响越小.若wi的分布为

则X的安全熵为

1.2安全熵的含义

根据信息安全的常识，响应a2会对系统的可用性产生负面影响，响应a3会对系统的保密性产生负面影响，而响应a1和a4对系统的安全性影响较小.因此可令w2,w3≫w1,w4，此时式（1）所得安全熵的意义就是：针对一组访问请求，危害系统安全的响应事件发生的平均不确定性.熵值越大表示产生危害系统安全响应的不确定性越大，熵值越小表示系统产生安全危害较大的响应结果的不确定性越小.针对同一组访问请求，不同的访问控制模型的熵值越小，说明该模型产生危害系统安全响应的可能性越小.

若令w2＞0,w3＞0,w1=w4=0，且w2+w3=1，则安全熵可作为系统是否满足可用性和保密性的依据.若令w2=1,w3=w1=w4=0，则式（1）所得安全熵为作为系统是否满足可用性的依据.若令w3=1,w1=w2=w4=0，则式（1）所得安全熵为作为系统是否满足保密性的依据.

4种响应结果的数量与输入样本有关，若只输入合法事件，响应a3和a4的计数为0，同理若只输入违规访问，则响应a1和a2的计数为0.为了能够准确反映系统的安全性，要求输入样本应是完备的.另外，响应结果与输入样本的数量有关，若某一访问请求的输入次数远远高于其他访问，则响应结果将会失真.所以，计算安全熵时要求输入样本（访问请求）是完备的并且是概率分布均匀的.此时安全熵越小说明模型针对所有可能发生的访问请求，危害系统安全的响应结果的不确定性越小，模型安全性越高，当安全熵趋近于0，则达到理论上的安全.

1.3不同类型违规访问的安全熵

访问是否违规与应用需求有关，根据国家等级级保护标准GB/T17859-1999［8］中的访问控制要求，可将违规访问归类为直接违规访问、流向违规访问、间接违规访问3种类型.直接违规访问是指显式地违反访问控制矩阵等授权策略的访问.流向违规访问是指导致违反系统规定信息流向的访问，即导致信息从高安全级主客体流向低安全级主客体的访问.间接违规访问是指通过信息的多次间接传递关系，违反授权策略的访问行为.

如信息系统中的2个用户（s1、s2）和2个资源（o1、o2），其安全级的关系为f（s1）▷f（s2）▷f（o1）=f（o2），系统的授权策略为仅允许s1读o2、s2读o1、s2写o2.考察如下4个事件，b1：s2读o1，b2：s2写o2，b3：s1读o2，b4：s1读o1.由于b4显式违反了授权策略因此是直接非授权事件；事件序列b1b2b3造成信息从s1流向o1，相当于s1间接读了o1，因此事件序列b1b2b3为间接非授权事件.事件b1和b3造成的信息流向违反了系统规定的信息流向，因此为流向违规事件.

针对不同类型的非授权访问，式（1）的结果和含义也不同相同.若将“违规访问”限定为“直接违规访问”，则式（1）所得的安全熵在本文被称为直接安全熵，记HD（X）.同理，若将“违规访问”限定为“流向违规访问”，则式（1）所得的安全熵在本文被称为强制安全熵，记为HM（X）；若将“违规访问”限定为“间接违规访问”，则式（1）所得的安全熵在本文被称为间接安全熵，记为HI（X）.

2等级化访问控制模型的安全条件

2.1基于安全熵的模型安全属性

定理1（访问控制模型的直接安全性）访问控制模型具有直接安全性，当且仅当

证明此处需要证明，当HD（X）=0时，系统中不会发生“拒绝合法访问”和“允许直接违规访问”，即p（a2）=p（a3）=0.将响应ai的计数记为ni（i=1,2,3,4），令n1+n2=s，n3+n4=t，由于a1、a2和a3、a4分别是针对同一访问请求的不同响应结果，则有p（a1）+ p（a2）=s/q，p（a3）+p（a4）=t/q.按照常理，访问请求不可能全是违规或全是合法的，所

根据题设w2＞0,w3＞0,w2+w3=1，则w1=w4=0，带入安全熵公式得H（X）= -［p（a2）logp（a2）+p（a3）logp（a3）］.

由于p（a2）/=1,p（a3）/=1，若H（X）=0，则必有p（a2）=p（a3）=0.证毕.

同理可得：

定理2（访问控制模型的强制安全性）访问控制模型具有强制安全性，当且仅当

定理3（访问控制模型的间接安全性）访问控制模型具有间接安全性，当且仅当2.2等级化访问控制模型的安全性定理

若使用符号Θ2表示二级访问控制模型、Θ3表示三级访问控制模型、Θ4表示四级访问控制模型.下面根据二、三、四级信息系统的安全需求，在上节的安全属性基础上，给出等级化访问控制模型的安全性定理.

定理4（等级化访问控制模型安全性）二级访问控制模型Θ2满足安全需求，当且仅当HD（X）|Θ2≡0，其中w2＞0,w3＞0,w2+w3=1；三级访问控制模型Θ3满足安全需求，当且仅当HD（X）|Θ3≡0且HM（X）|Θ3≡0，其中w2＞0,w3＞0,w2+w3=1；四级访问控制模型Θ4满足安全需求，当且仅当HD（X）|Θ4≡0、HM（X）|Θ4≡0且HI（X）|Θ4≡0，其中w2＞0,w3＞0,w2+w3=1.

3基于安全熵的典型访问控制模型分析

下面使用基于安全熵的等级化访问控制模型的安全性分析方法，对典型的访问控制模型进行安全性分析，验证该方法的实用性，并指出各种访问控制模型的不足.

3.1访问控制矩阵模型（HRU）安全性分析

（1）直接安全性

设系统中有m个用户：u1,u2,···,um，有n个资源：o1,o2,···,om，将访问请求分解为读和写原子请求，则系统中可能发生的访问种类为2mn个，可分别用b1,b2,···bq（q=2 mn）表示.将访问分为两类：合法访问和直接违规访问q）.

HRU模型［9］依据访问控制矩阵对用户访问行为进行控制，只要是违反负授权的访问请求都会被拒绝，对任意∈B+的响应结果为a1，只要是不违反负授权的访问请求都会被允许，对任意∈B-的响应结果为a4，因此p（a2）和p（a3）=0.

可得响应结果X的统计概率分布为直接安全熵HD（X）|HRU≡0，因此HRU模型满足直接安全性.

（2）强制安全性

将系统中所有访问请求B=b1,b2,···,bq（q=2mn）分为：导致信息从低流向高的请求导致信息从高流向低的请求和导致信息平级流动的请求显然第二类请求B↓为流向违规访问.

由于HRU模型通过访问控制矩阵判别请求的合法性，因此访问请求b↑i和b↔1不一定满足访问控制矩阵策略，可能被拒绝也有可能被允许，无法使p（a2）≡0恒成立.同理流向违规访问B↓也不一定都会被拒绝，无法使p（a3）≡0恒成立.通过分析可知HRU模型对流向违规请求和合法请求的判定与信息流向无关，HM（X）|HRU/=0，无法从理论上保证强制安全性，拒绝合法请求和允许流向违规请求的事件都有可能发生.

（2）间接安全性

间接违规访问是由于多个非直接违规请求组成，可以将间接违规访问记为=由于有HD（X）|HUR≡0，因此系统会允许间接违规请求中每一个非直接违规请求，因此系统将允许任意间接违规请求，可得p（a3）＞0.间接安全熵HI（X）|HRU＞0，说明不满足间接安全性.

通过分析可知HRU模型满足直接安全性，不满足强制安全性和间接安全性.

3.2BLP模型安全性

（1）直接安全性与间接安全性

BLP模型采用自主访问控制和强制访问控制两种方式.自主访问控制采用了HRU模型，因此BLP模型的直接安全性与间接安全性的结论与HRU模型一致，即BLP模型满足直接安全性，不满足间接安全性.

（2）强制安全性

设系统中有m个用户：u1，u2,···,um，有n个资源：o1,o2,···,on，将系统中所有访问请求B=b1,b2,···,bq（q=2mn）作为输入，将访问请求分为：导致信息从低流向高的请求、导致信息从高流向低的请求和导致信息平级流动的请求，第二类请求B↓为流向违规请求.

BLP模型通过简单安全特性和*-特性禁止高安全级主体写低安全级客体以及低安全级主体读高安全级客体，防止信息从高安全级流向低安全级，因此任意流向违规访问∈B↓都会被BLP拒绝，任意非流向违规请求都会被允许，可得响应结果X的概

率分布为

因此HM（X）|BLP≡0，说明BLP模型满足强制安全性.

3.3RBAC模型安全性分析

RBAC模型［10-11］为用户分配了角色，基于角色进行授权，其授权结果与访问控制矩阵模型类似，因此RBAC模型的安全熵与HRU模型结果类似，即满足直接安全性，不满足强制安全性和间接安全性.

3.4FGBAC模型安全性分析

FGBAC模型［12］对BLP模型进行改进，引入了信息流图作为辅助判决工具，根据其读写规则的推理，系统在任意时刻对直接违规访问、流向违规访问和间接流向违规访问的响应都为“no”.因此可得

说明该模型满足自主安全性、强制安全性和间接安全性.

根据本文对典型访问控制模型的安全性分析，对照二、三、四级子系统的安全需求，得到了典型访问控制模型安全性和适用性结果，如表1和表2所示.

4结束语

本文提出了“安全熵”的概念，用以度量系统对访问请求响应结果的不确定性测度，通过对权值进行限定，得到衡量访问模型可用性和机密性的方法.在安全熵的基础上，提出了访问控制模型的安全性定理，并给出了满足二、三、四级子系统安全需求的访问控制模型的安全公理.本文基于该理论对典型访问控制模型进行了安全性分析，验证了该方法的实用性，并且总结了现有各种模型安全性和使用范围.本文所提出的基于安全熵的访问控制安全性分析方法，可广泛应用于访问控制模型的安全性证明和系统安全性分析上.

［1］BELL D E，LAPADULA L J.Secure Computer Systems：Mathematical Foundations，M74-244［R］.Bedford：Mass Mitre Corp，1973：66-79.

［2］BELL D E.Looking back at the Bell-La Padula model［C］//21st Annual Computer Security Applications Conference.Tucson，Arizona：［s.n.］，2005：337-351.

［3］司天歌，谭智勇，戴一奇.一种对多级安全模型安全性的分析方法［J］，计算机研究与发展，2008，45（10）：1711-1717.

［4］傅祖芸.信息论—基础理论与应用［M］.北京：电子工业出版社，2007.

［5］王贵宝，黄洪钟，张小玲.风险可能数——一种基于最大信息熵理论的风险度量和风险排序新方法［J］.航空学报，2009，30（9）：1684-1690.

［6］付钰，吴晓平，叶清等.模糊集与熵权理论的信息系统安全风险评估研究［J］.电子学报，2010，38（7）：1490-1494.

［7］赵冬梅，马建峰，王跃生.信息系统的模糊风险评估模型［J］.通信学报.2007，28（4）：51-56.

［8］国家质量技术监督局.GB/T 17859—1999计算机信息系统安全保护等级划分准则［S］.北京：中国标准出版社，1999.

［9］DENNING P.Third generation computer systems［J］.Computer Surveys，1971，3（4）：175-216.

［10］SANDHU R S，COYNE E J，FEINSTEIN H L.Role-based access control models［J］.IEEE Computer，1996，29（2）：38-47.

［11］翟征德，徐震，冯登国.域间动态角色转换的静态互斥角色约束违反［J］.计算机研究与发展，2008，45（4）：677-683.

［12］WANG C，CHEN X Y，LI N.An access control mode based on information flow graph［C］//Proceedings of the International Conference on Computational Intelligence and Security.Sanya：［s.n.］，2011：998-1000.

（责任编辑李艺）

A quantitative analysis technique for multi-classes access control model based on security entropy

CHE Tian-wei1，MA Jian-feng1，WANG Chao2，LI Na3
（1.School of Computer Science and Technology，Xidian University，Xi'an710071，China；2.PLA Information Engineering University，Zhengzhou450001，China；3.School of Computer Science and Technology，Northwestern Polytechnical University，Xi'an 710072，China）

To resolve the problem of quantitative analysis on classificatory information systems，a quantitative analysis technique is proposed based on security entropy.Firstly，the security entropy is put forward according to the information theory，to calculate the uncertainty of the system's determinations on the irregular access behaviors.Then the security theorems of classificatory information systems are defined based on security entropy.Finally，the typical access control models are analyzed by the technique，the technique's practicability is validated，and security and applicability of these models are compared.The result proves that the technique is suit for security quantitative analysis on access control model and evaluation to access control capability in information system.

information entropy；security entropy；classificatory access control model；directly unauthorized access；right about access

TP301.1

A

10.3969/j.issn.1000-5641.2015.01.021

1000-5641（2015）01-0172-06

2014-08

国家自然科学基金资助项目（60872041，61072066）；中央高校基本科研业务费专项资金资助项目（JYl0000903001.JYl0000901034）

车天伟，男，博士研究生，研究方向为计算机系统结构、计算机网络与信息安全.

E-mail：tianweiche@163.com.