安全体系结构中的安全策略模型

收稿日期:2003-04-30;修订日期:2003-07-12

作者简介:黄新芳(1978-),男,河南渑池人,硕士研究生,主要研究方向:计算机安全保密;　李梁(1978-),男,河南信阳人,硕士研究生,主要研究方向:计算机安全保密;　赵霖(1941-),女,河北人,教授,主要研究方向:计算机安全保密.

文章编号:1001-9081(2003)10-0033-03

安全体系结构中的安全策略模型

黄新芳,李　梁,赵　霖

(西安电子科技大学计算机学院,陕西西安710071)

摘　要:安全体系结构对于系统安全性设计具有重要意义,文中介绍了关于安全的基本概念,然后介绍了一个四层的安全体系结构,并在此体系结构基础上,运用分层观点,从全新的角度提出了一个安全策略模型。

关键词:安全体系结构;安全策略;安全模型中图分类号

:TP309 文献标识码:A

Security Policy Model Implemented on Security Architecture

H UANG X in 2fang ,LI Liang ,ZH AO Lin

(School o f Computer Science and Engeneering ,Xidian Univer sity ,Xi πan Shaanxi 710071,China )

Abstract :Security architecture play a very important role during the design of system security.First ,this paper clarifies the concept of “security",then introduce a 42layer security architecture ,and based on it ,present a security policy m odel from the delamination point of view.

K ey w ords :security architecture ;security policy ;security m odel

1　引言

图1　四层结构示意图

计算机和网络的安全问题已经引起人们的广泛关注,研究和解决计算机及其网络的安全问题已经成为一门学科。为了解决安全问题,人们提出了多种方法和手段,安全体系结构就是最常采用的方式之一。安全体系结构提供一个通用的框架,在其中可以集成多种安全工具和系统,更好的解决设计安全系统的问题。

目前的安全技术虽然还不能完全达到要求,但是这一点已经引起人们的注意,随着对安全问题研究的深入和技术的发展,主动安全必能实现,这只是时间问题。对安全策略的研究能够为实现主动安全提供帮助。通过评估系统中的资源和资产,并分析其可能面临的风险和威胁,提出安全需求,安全策略可以从全局保证系统的安全。

2　四层安全体系结构

所谓安全体系结构就是把信息安全保障技术集成起来所构成的模型。它以安全防御为着眼点,以信息在系统中安全无缝的流动为目标,以系统的安全需求和安全策略为依据,为实现整个系统的安全提供基础,为安全系统的设计提供原理和原则。

安全体系结构应是一般的、抽象的体系结构,而不涉及具体的实际组件或软硬件。这里介绍的是一个四层的安全体系结构模型,我们的安全策略模型就是基于该体系结构模型的(如图1)。

1)多网层

大型的网络或者系统由于物理和安全等原因,通常都是由小型的网络和/或系统互联起来构成的,这些小型的系统和

/或网络通常是一些物理上隔开或逻辑上不同的通信网络。

在这个层面上保证安全有诸多困难,如确认远端系统用户的身份具有一定的困难性,隐蔽敏感信息变得非常困难,网络中很大的数据量也为构造数据流的隐蔽信道提供了可能性等,因此将其抽象为多网层。所有与网络间通信和数据流动等有关的安全问题都在这一层考虑。

2)单网层

这一层所关心的是构成多网层中的那些单个网络。单网层分析单个网络内存在的安全问题并给出相应的安全防范措施。

3)设备层

任何一个网络必然是由各种各样的设备构成的,从安全

第23卷第10期

2003年10月

计算机应用C om puter Applications

Vol.23,No.10

Oct.,2003

角度把构成网络的这些设备抽象成一个层次———设备层。设备层处理设备范围内出现的安全问题:传输链路、交换机和管理控制设施等设备中与安全有关的问题。

4)数据层

数据是网络中最重要的资源,贯穿于网络的各个层次。在对数据的存储、传输、转移过程中都可能存在安全问题。将数据层抽象出来便于集中考虑数据安全问题和利用现有有关数据安全的理论和技术。

上述安全体系结构为规划整体安全提供了一种有效的方法。

3　模型描述

定义安全模型Model,Model=,其中S是所有系统状态的集合,O是操作集合,A是状态转移函数,S0为系统初始状态。

在模型中要用到以下基本集合:

Sub:网络中所有主体的集合。在网络中存在着各种各样的网络实体,把这些网络实体按照访问还是被访问分成两类:主体和客体。主体包括网络中所有的用户以及代表用户执行任务的进程或程序。

Obj:网络中所有客体的集合。包括网络中的各种资源,如数据、文件、目录、打印机等。

Iuobj:信息单元对象的集合。Iuobj

SCls:安全等级的集合,在其上定义了一个称为支配的偏序关系≥。安全等级标识网络实体的安全属性,包括密级和范畴,密级表示对象的保密程度,如绝密(T)、机密(S)、秘密(C)和无密级(U),这是一个全序集合:T>S>C>U;范畴则更进一步区分实体的类别,如假设系统有三种范畴A,B, C,则可能的范畴集合有八种:{},{A},{B},{C},{A,B},{A, C},{B,C},{A,B,C}。

设有两个安全等级SL1和SL2,其中SL1=(L1,C L1), SL2=(L2,C L2),则SL1≥SL2当且仅当L1≥L2且C L1ΒC L2。

安全等级集合SC x={sc1,sc2,sc3,……,sc n}和安全等级sc之间的支配关系如下:

SC x>=sc,当且仅当sc i>=sc,Πi,1<=i<=n;

sc>=SC x,当且仅当sc>=sc i,Πi,1<=i<=n;

需要注意的是在偏序关系下,有些安全等级之间是不能比较的,如(C,A)和(C,B),这两个等级间互相都不具备支配关系,因为它们的范畴集合完全不同。

3.1　访问模式

对数据或信息的操作有多种,但是都可以归结到两种基本的操作上来,即Read(或者Observe,只读操作)和Write(或者Append,无读的写操作)。如下:

对任意网络实体,x,y,且x∈Sub,y∈Obj。用R(s,o)来表示访问模式集合,共有四种访问模式{r},{w},{Ф}。设有主体x和客体y,则:

R(x,y)={r}表示主体x可以从客体y读到y的属性以及y的一部分或全部信息,此时x不能对y进行任何修改编辑。

R(x,y)={w}表示主体x把一些信息写入客体y中,此时的写入可以是覆盖、删除或添加等实际操作,但是x不能读取y的内容。

R(x,y)={r,w}表示主体x可以对客体y进行读写操作。

R(x,y)={Ф}表示主体x既不能读也不能写客体y。

3.2　系统状态

对于任意时刻的系统状态s={Sub s,Obj s,subcls,objcls, authlist,connlist,M,contents}。

上式中各符号的含义如下:

Sub s:在状态s下的主体集合。

Obj s:在状态s下的客体集合。

subcls:SubϖSCls。是把主体映射到安全等级的函数。

objcls:ObjϖPS(SCls),这里PS表示幂集。objcls是把客体映射到一个或多个安全等级的函数,因为某些客体可能有不止一个安全等级,如一台计算机,有必要为其指派多个安全等级或一个安全等级范围,以使得在其中存储的多个安全等级的数据成为可能。

authlist:授权列表,是包含形如元素(sub,obj)的集合,sub ∈Sub s,obj∈Obj s。在集合中存在一个元素(sub1,obj1)表示主体sub1有授权访问客体obj1。

connlist:设备连接列表,是包含形如元素(nd1,nd2)的集合,nd1,nd2∈Obj s,nd1和nd2表示两个不同的网络设备。该列表给出了设备间经过授权的连接集合。

M:访问模式的集合。其中的元素形式为(sub1,iuobj1, R),sub1∈Sub s,iuobj1∈Obj s,R为sub1对iuobj1的访问模式。iuobj1∈Iuobj。

contents:IuobjϖS Trings。是把信息单元对象集合映射到字符集合的函数,它给出了信息单元对象的内容。

3.3　安全状态

模型是基于上述的四层安全体系结构的,为了定义安全状态,从体系结构的四个层次入手考虑。

1)多网层

保证多网层安全的关键在于建立网络间的可信关系以及对远端系统用户的认证。对于网络间的访问模式只考虑{r}和{Ф}。用trusty(net)表示与网络net建立了可信关系的网络集合;用auth(obj,sub)=true表示主体sub通过客体obj所在网络的认证。

性质1:设有两个网络net1和net2,Πsub1∈Sub s,iuobj1∈Obj s,其中sub1位于net1中,iuobj1位于net2中,则R(sub1, iuobj1)={r}当且仅当:

net1∈trusty(net2),auth(iuobj1,sub1)=true且subcls(sub1)≥objcls(iuobj1)。

2)单网层

在一个特定的小网络内,保证安全的主要手段是访问控制,即任何形式的访问都应该是经过授权的。

性质2:Πsub1∈Sub s,iuobj1∈Obj s,存在一个访问access(sub1,iuobj1)的必要条件为:

43

计算机应用2003年