面向信息流的安全模型与评估综述术

摘要：对系统进行攻击的本质之一是在信息流动过程中的非授权泄露与修改，进而破坏系统的安全性，这使得非常有必要对信息流的安全进行分析。从安全保障目标和安全保障方式上对安全信息流模型进行了分类，综述了不同类型的信息流模型研究现状，分析了现有面向信息流的量化评估方法，展望了面向信息流安全评估的发展趋势。

关键词：信息流；机密性；完整性；量化评估

中图分类号：TP309　文献标识码：A　DOI：10.3969/j.issn.1003-6970.2012.01.01

引言

随着互联网技术的快速发展及各种新型网络应用(如云计算、物联网)的出现，针对网络信息系统的攻击变得越来越多样化和复杂化。实践表明：对系统进行攻击的本质之一是在信息流动过程中对系统进行非授权泄露与修改，进而破坏系统的安全性，这使得非常有必要对信息流的安全进行分析。

信息流概念是由Denning教授与1976年提出来，其主要目标是控制信息的非授权流动，最早的信息流模型却可以追溯到1973年由Bell和LaPaduJa提出来的机密性模型(称之为BLP模型)。虽然早期信息流模型目标是试图控制系统内各实体间的信息流动，保证信息不被非授权读取与修改，但是现在的信息流模型研究范围不再局限于单个系统，而是扩展到网络应用中，目前信息流模型已成为现代操作系统主要的安全模型之一。从安全保障目标看，信息流模型包括两类：机密性信息流模型和完整性信息流模型。从保障方式看，信息流模型也包含两类：隐式模型和显式模型。隐式模型阻止信息间接泄露或修改，与隐式模型相反，显式模型是阻止信息的直接泄露或修改。30多年来，人们对信息流安全的建模和评估做了广泛的研究。本文综述目前已有的建模和评估，同时在此基础上展望了未来的研究方向。本文第2节综述了面向信息流的机密性模型，第3节考察了面向信息流的完整性模型，第4节分析相关量化度量方法，最后展望未来的研究方向。

1面向信息流的机密性模型

面向信息流的机密性包括了两类：防止信息显式泄露模型(称之为显式泄露模型)和防止信息隐式泄露模型(称之为隐式泄露模型)，下面分别讨论。

1.1显式泄露模型

在多级安全中，主体和客体被划分为不同的级别，给每个主体和客体赋予一个安全级，显式泄露模型的目标是保障高安全级信息不流向低安全级主体。BLP模型是防止信息显式泄露的经典模型，其方法是：当主体申请对客体进行操作时，安全机制通过机密级来判别是否允许其操作。如果主体的安全级高于客体，则允许其读而不允许其写。反过来，当主体的机密级低于客体的机密级时，允许其写，但不允许其读。这样就保证了高安全级信息不被泄露给安全级较低的主体，从而提供机密性。BLP以其简单且能有效地提供机密性而得到了广泛的应用，但是存在以下缺点：(1)没有对可信主体访问权限进行限制，权限过大可能会危及安全；(2)主客体敏感级在整个生命周期中不可变限制其灵活性。针对BLP模型的不足，引入了自动读(Auto-read)、自动写(Auto-write)及自动读写(Auto-read-write)归来自动调整非可信进程的安全级。另外，提出了SLCF(Security Label Common Framework)，并通过记录主体的访问历史来动态调整安全级，设计了DBLP(dynamicBLP)，并用主体安全级范围代替当前主体的安全级，然而，指出，这两种方式都存在安全隐患。如何增加BLP的灵活性具有重要的意义，但是，任何改进必须以安全为前提，否则，改进失去意义。

1.2信息隐式泄露模型

虽然BLP模型可有效地阻止信息直接泄露，但却不能防范信息的隐式泄露，这引发了防止信息隐式泄露的研究。最早建模隐式信息泄露的工作Goguen博士，其核心是基于无干扰(Non-Interference)：若低安全级用户通过外部观测来推断高安全级用户的行为(进而可泄露信息)，则称之为高安全级用户干扰低安全级用户。基于无干扰的方法总体思路是：首先设计合适的描述体系，而后分析信息流在什么类型情况下不存在干扰，进而比较在不同情况下，不同信息流之间的关系。具体地，无干扰工作可分为四类：非确定性无干扰、概率无干扰、时间无干扰及时间概率无干扰。非确定无干扰是指非确定性环境中低安全用户不可推断高安全级用户的行为，一个非确定干扰的简单例子是：if H then L，其中H表示高安全级用户的动作，L均为低安全级的动作，这样低安全级用户可通过观测自己的行为来判断高安全级用户是否执行H。与此相对应，概率无干扰、时间无干扰及时间概率无干扰分别考察在概率环境下、时间条件下及时间概率条件下低安全用户不可推断高安全级用户的行为。如，若将一个进程本身在非确定性的条件下不存在干扰称为NNI(Nondeterministic Non-Interference)、将进程在与任意环境(进程)交互时不存在非确定性干扰称为BNDC(Bi-simulation Non-deducibifity 0n Composition)，则一个进程属于BNDC，则它一定属于NNI，即BNDCCNNI，如图1，非确定无干扰的典型工作包。然而，在非确定性条件不存在干扰，并不意味在所有条件(比如，概率环境下)不存在干扰。Aldini博士等人分析了概率条件下的无干扰，指出了BSPNI(Bi-simulation Strong ProbabilisticNoninterference)、PBNDC(Probabilistic BNDC)

和SPBNDC(Strong PBNDC)等之间的关系一SPBNDCCPBNDC C BSPNI，如图2。在时间概率干扰方面，讨论不同信息流之间的关系，指出时间概率无干扰属于时间无干扰，也属于概率无干扰，但反之并不成立，如图3。此外，国内方面包括中国科技大学、浙江大学在内的很多学者也投入到信息流的研究中。

2面向信息流的完整性模型

完整性需要保障信息的非授权修改，经典的完整性模型是Biba模型，该模型包含了三个不同的子策略：low-water-mark策略，环策略和严格完整性策略。low-water-mark策略可只升不降低改变安全级，这种方式可保障完整性，但也带来了致命的缺陷：可能迅速导致主体不能访问大多数客体，从而失去可用性。严格完整性策略是BLP模型的对偶，正如命名所示，在这三种策略中严格完整性策略最最严格的。完整性策略的核心是：将主体和客体进行分级，并保障信息流只能从高安全级流向同等安全级或低安全级，进而提供完整性。该策略通过两个核心规则来实现：“不下读”(一个安全等级高的主体不能读取安全级别低的客体)和“不上写”(一个安全等级低的主体不能写安全级别高的客体)。由于严格完整性与BLP模型互为对偶，因此，也存在与BLP模型相似的问题：没有对可

信主体访问权限进行限制，权限过大可能会危及安全；(2)主客体敏感级在整个生命周期中不可变限制其灵活性。

针对严格完整性策略的不足，[18]给出一种基于Biba和Clark-Wilson策略的混合强制完整性模型。该模型的基本访问控制由Biba严格完整性策略来实现，同时根据可信主体在其生命周期所属的状态实施Biba低水标策略。对可信主体在其生命周期发生的状态转换及相应的低水标参数加以调整，采用Clark-Wilson模型来进行监控，有效解决了Biba策略的灵活性及安全性问题。

在信息流完整性实施方面，提出Biba模型中严格完整性政策的动态实施方案，并给出该方案在基于Linux的安全操作系统RFSOS中的实现，该方案既可以保证系统的完整性，又能提高系统的兼容性。为了构建安全分布式应用，Jif衍生系统嵌入了完整性策略，使得相关主体能够对“信息可被哪些主体修改”进行细粒度规格，并可对应用进行细粒度自动划分。Flume也嵌入完整性，阻止不可信的动态负载代码影响负载它的进程中的信息。Airvat集成信息流到MapReduce中，能同时提供机密性和完整性。4面向信息流的量化评估方法

安全是相对的，我们不可能保证绝对安全，只要不安全度在容许的范围即可，这就要求对安全进行量化评估。按照评价指标，信息流的量化评估工作可分为：基于香浓信息论的评价、基于Renyi熵的评价、基于猜测(guessed)熵的评价、基于拒绝数的评价、基于相似度的评价及基于信仰(belief)的评价等。

最早信息流量化工作可追溯到1982年，当时Denning给出了检测程序中信息泄露的方法。继Denning之后，研究者进行了大量的工作。具有代表性的是：Millent38j首次研究了无干扰与互信息的一致关系，给出了信息流中的状态机模型与香浓熵之间的关系。McLean等1区分了非确定信息流和概率信息流，给出了概率信息流的通用模型。但Denning和Millen方式的缺点在于其度量并不准确，McLean的缺点是很难区分高低安全级对象之间的因果关系。另外，这些工作都是基于香浓熵的，然而，2009年Smith指出即使某个变量很容易被猜测到，它也可能具有任意大的香浓熵，这导致基于香浓熵的方式并不一定准确，进而以Bayes风险为基础，利用Rdnyi最小熵来度量不确定性，以此给出信息泄露的度量方法。2005年Clarkson利用概率分布来建模攻击者的Belief，而后利用Bayesian技术来修正其信仰，进而利用相对熵来量化基于信仰的信息流。Hamadou认为基于Belief和Bayes风险方式量化信息流也是不准确的，进而提出了一种混合指标评价。Aldini等采用概率弱互模拟来标识信息的泄露，而后利用不同进程中相同的动作的最大概率差来度量信息的泄露。在抽象解释层面，Yasuoka分析了基于熵方式进行量化分析的难度和可能性，指出对于任意的，现有的方式都为非k-8afety，因此不能采用自组合方式来量化信息泄露。K6pf利用猜测熵给出了边界信道攻击的度量，并依据程序执行的次数来量化其信息泄露界。

2010年美国Cornell大学的Clarkson博士开启了面向信息流完整性的量化评估，他以互信息为基础，区分污染点和抑制点，给出了完整性破坏度的计算方法，作者认为量化污染点和抑制点对完整性是完备的，除了Clarkson博士外，目前还没有其它工作量化信息流完整性。

3展望

经过30年的发展，面向信息流的安全模型及量化评估取得了很大成绩，但也有许多问题亟待解决，大体上包括如下几个方面：

(1)在信息流隐式泄露度量方面，虽然研究者提出了很多度量方法，但几乎没有工作给出信息泄漏量的抽象解释，这阻止了度量方法的大规模应用；在很多时候并不关心信息的绝对泄露量，而更关心信息泄露量的上下界，但对信息泄露上界的研究很少，另外，在应用中如何确定符合实际需求的上界也是一个重要的研究问题。

(2)目前完整性的度量处于起步阶段，现有度量方式及评价指标都比较单一，没有考虑拓扑变化、污点及抑制点可能传播的情况，也没有考虑势差等因素对完整性的影响，其应用范围有限。为了有效地度量完整性，需要研究污染和抑制的传播条件、传播路径及易感群等，分析其传播动力学特征，分析拓扑结构与传播之间的相互作用机制，建立动态演绎的传播模型及预测技术，利用人工智能中的相关技术推(预)测可能的污点及抑制点，进而建立多指标量化评估技术，这些方面都亟待研究。

参考文献

[1]Denning D E，Denning P J.Certification of Programs forSecure Information Flow[J].Communications 0f the ACM.1977，20(7)：504 513.

[2]Bell D E，Lapadula L J.Secure Computer Systems：Mathematical Foundations and Model[J].MITRE CORPBEDFORD MA，1973，l(M74 244).

[3]何建波，卿斯汉，王超.对两个改进的BLP模型的分析[J].软件学报，2007，18(6)：1501 1509.

[4]A.Ott.Regel B asierte Zugriffskontrolle Nach DemGeneralized Framework for Access Control Ansatz AmBeispiel Linux[D].Universit t Hamburg，FachbereichInformatik，1997.

[5]梁洪亮，孙玉芳，赵庆松，张相锋，孙波.一个安全标记公共框架的设计与实现[J].软件学报，2003，14(3)：547 552.

[6]季庆光，卿斯汉，贺也平.一个改进的可动态调节的机密性策略模型[J].软件学报，2004，15(10)：1647 1557.

[7]Riccardo F，Roberto G.Classification of Security Properties(Part I：Information Flow)[C].Foundations of SecurityAnalysis and Design.LNCS 2171.2001

[8]Aldini A，Bravetti M，Gorrieri R.A Process AlgebraicApproach for the Analysis 0f Probabilistic NonInterference[J].Journal of Computer Security，2004，12(2)：191 245.

[9]Ruggero L，Andrea M S，Angelo T.A Classification 0fTime and/or Probability Dependent Security Properties[J].Electronic Notes in Theoretical Computer Science，2006，153：177 193.

[10] Goguen J，Meseguer J.Security Policies and Security