基于可信计算的多级安全策略研究

刘晓坦，李晓雯，崔翔

（1.解放军总医院海南分院海南三亚572013；2.防空兵学院　河南郑州450004；3.河南大学计算机与信息工程学院　河南开封475001）



基于可信计算的多级安全策略研究

刘晓坦1，李晓雯2，崔翔3

（1.解放军总医院海南分院海南三亚572013；2.防空兵学院河南郑州450004；3.河南大学计算机与信息工程学院河南开封475001）

摘要：针对现有安全策略模型BLP与BIBA结合应用存在可用性差的问题，通过引入可信度量机制提出了基于可信计算的多级安全策略TCBMLSP（Trust Computjng Based Mu1tj1eve1 Securjty Po1jcy），该策略能够保证主客体的行为可信，解决多级信息的安全流通，并通过可信计算的远程证明机制使得该策略能够应用于不同安全域之间的可信通信，较好的解决了可用性差的问题。

关键词：多级安全；可信计算；可信主客体；

多级安全（Mu1tj1eve1 securjty，MLS）通过将信息系统中的信息划分成不同的安全级别，确保不同级别信息的隔离。拥有不同的权限的各用户可以访问不同级别密级的信息。多级安全研究的一个重要方面是安全访问控制策略的建立，其中具有代表性的是BLP、BIBA策略模型［1-2］。

BLP模型能够保证信息不能从高机密级别流向低机密级别，符合系统机密性的要求；BIBA模型保证信息不能从低完整性级别流向高完整性，符合系统完整性的要求。为了同时保证系统的机密性与完整性要求，文献［3］在BLP及BIBA模型的基础上，给出了一种面向多维的多级安全策略。该策略由3个相互独立的安全要素组成，包括机密性、完整性、可用性，能够满足系统各方面的安全需求，但是由于该策略从3个方面同时对系统的行为进行约束，使得系统中的信息流变得难以流动。文献［4］提出了一种基于可信级别的多级安全策略TBMLS，提出可信级别的概念，通过可信主体解决信息安全降级与流动问题，但是没有讨论如何实现可信主体。文献［5-6］针对上述问题，提出用可信计算来度量主体的可信性，并进一步扩大了主体写客体的权限。对主体进行可信度量，能够保证主体中不存在木马程序，不会将高密级的信息写入低级别的客体中。但是，当高密级不可信客体中存在木马程序时，则存在高密级信息违规流入低级别可信主体的可能性，因此存在安全隐患。

针对上述问题，本文提出基于可信计算的多级安全策略（Trust Computjng Based Mu1tj1eve1 Securjty Po1jcy，TCBMLSP）。在策略中，通过引入可信计算中的可信度量及可信客体概念，保证主客体的行为可信，同时，增强了策略的安全性与灵活性。另外，本文通过可信计算中的远程证明机制使得该策略不仅可应用于高安全等级操作系统中，同时还可应用于不同安全等级域之间的可信通信。

1　相关概念

1.1访问控制策略模型

BLP模型描述了一个通用的多级机密性策略，模型中的主体（subjects）拥有安全等级（securjty c1earances），客体拥有机密级别（c1assjfjcatjons）。系统的安全运行必需遵循下面两条规则：

简单安全规则：一个主体能读一个客体，当且仅当主体的安全级别大于或等于客体的安全级别，即Levelsubject≥Levelobject，并且主体拥有对客体的自主访问读权限。

*-规则：一个主体能写一个客体，当且仅当主体的安全级别小于等于客体的安全级别，即Levelsubject≤Levelobject，并且主体拥有对客体的自主访问写权限。

由上述规则可以看出BLP策略允许信息流由低机密级别流向高机密级别，但是不允许信息流的反向流动，即“不能上读，不能下写”。

BIBA模型的策略规则与BLP策略正好相反，允许信息流由高完整性级别流向低完整性级别，而不允许反向流动，即“不能上写，不能下读”，从而保证了高完整性级别的信息不被低完整性级别实体破坏。

1.2可信与可信计算

学术界对可信的定义有许多种解释，其中可信计算组［7］（Trusted Computjng Group，TCG）对可信的定义为：如果一个实体的行为总是以预期的方式，朝着预期的目标，则该实体是可信的。其于上述表述，本文认为可信性的值为一个二元组，即｛可信，不可信｝，验证一个主客体是否可信的方法有很多，由于如何度量不在本文讨论的范围之内，具体可参考文献［8-15］等。

可信计算通过在现有主板上绑定一个小型防篡改硬件——可信计算模块（Trusted P1atform Modu1e，TPM），终端从平台加电开始，到运行环境的建立，再到应用程序的执行，任何实体在获得控制权之前，都需要经过可信基度量，可信基能够保证策略的正确实施，系统中的所有执行不能绕过可信基去执行。

远程证明（Remote Attestatjon）是可信计算中的一个核心的功能，证明方将系统当前的状态可信的方式提供给远程验证方，远程验证方根据完整性报告来判断证明方的安全状态，从而决定是否与之交互。远程证明功能充分体现了可信计算的实质。

2　基于可信计算的多级安全策略

文中所提出的基于可信计算的多级安全策略TCBMLSP，其不仅考虑主体的可信度，而且考虑客体的可信度。TCBMLSP能够通过可信计算中的可信度量机制验证客体是否可信。

在系统中的每个主客体都赋予四个属性，即机密性、完整性、访问域、可信性，其中机密性、完整性、访问域为互相独立的属性，由管理员通过系统可信基对其进行赋值，可信性则由可信基在必要时对其进行度量获得。

2.1系统符号定义

s：主体

o：客体

R：读操作

W：写操作

S（）：主客体机密性级别函数，值域为｛1，2，…｝

I（）：主客体完整性级别函数，值域为｛1，2，…｝

C（）：主客体的访问域。

T（）：主客体可信性级别函数，

值域为｛T，F，N｝，其中，T表示可信，

F表示不可信，N表示未验证。

＜S，I，C，T＞：主客体的安全属性元素组，

分别对应机密级别、完整级别、访问域与可信级别。

2.2规则定义

1）sRo jff＜1.1＞or＜1.2＞

＜1.1＞S（s）≥S（o）∧I（s）≤I（o）∧C（s）⊇C（o）

＜1.2＞T（o）=T∧C（s）⊇C（o）

2）sWo jff＜2.1＞or＜2.2＞

?＜2.1＞S（s）≤S（o）∧I（s）≥I（o）∧C（s）⊇C（o）

?＜2.2＞T（s）=T∧C（s）⊇C（o）

规则一表示主体读客体必须同时遵守BLP和BIBA模型读限制（＜1.1＞），但是当客体为可信且主体的访问域包含客体访问域时，允许主体读客体（＜1.2＞）。由于通过可信计算对高机密性客体进行可信度量，保证了客体中不包含木马等危害程序使得机密信息流向到低级别主体中去。同样，对低完整性级别客体进行可信度量后，保证了客体中不包含危害行为破坏主体的完整性。

规则二表示主体写客体必须同时遵守BLP和BIBA模型写限制（＜2.1＞），但是当主体为可信且主体的访问域包含客体访问域时，允许主体写客体（＜2.2＞）。同规则一相同，当高机密级主体是可信时，表明主体不会将包含有高机密级的信息泄露给低机密级客体。同理，可信的低完整性级主体写高完整性客体时，不会破坏其完整性。

从规则一和二还可看出，如果当主体遵守BLP和BIBA模型后即不能写也不能读客体时，则需要主体与客体都经过可信度量后，才能允许主体读写客体。

TCBMLSP可以解决BLP模型与BIBA模型组合后，系统难互通的问题，实现信息的安全流通问题。同时，该策略模型也能实现各种信道控制策略，具有较强的策略表达能力。表1给出了TCBMLSP中主体访问客体的控制列表。其中，横表头表示表示主体s的属性，纵表头表示客体o的属性。主客体的属性是一个三元组（机密性，完整性，可信性）。机密性与完整性通过L表示低级别，H表示高级别，可信性则通过T和F来表达，则主客体分别有9种不同的安全属性。另外，在列表中，要求主体s的访问域包含客体o的访问域，即C（s）⊇C（o）。从表中可以看出，TCBMLSP可以满足大部分操作的需要，并且通过可信计算中的可信度量机制能够实现信息的安全流通，避免了采用不可信特权进程绕过安全策略进行违规操作。

3　实例应用

3.1本地应用举例

如图1所示，假设系统具有可信计算功能，进程A与进程B及安全级别列表经过可信计算技术分隔在3个虚拟域中，保证了各进程及列表不会被其它进程干扰或篡改，进程间的通信必须经过可信基的允许，安全级别列表中包含系统中所有进程及数据的安全级别，安全级别列表具有高机密性及完整性，所以只能由可信基读取、修改。

表1　TCBMLS的访问控制列表

图1　TCBMLSP本地应用

进程s的安全级为（2，2，N，＜A，B＞），表示s的机密级别为2，完整性级别为2，未进行可信度量，其访问域包含A域、B域。类似的，客体进程o的安全级别为（1，1，N，＜A，B＞），当进程s要将低级别信息降级写入进程o时的流程如下：

1）进程s发出请求给可信基，要求写进程o。

2）可信基读安全级别列表，比对进程s、o的安全级别，

发现写操作违反规则＜2.1＞。

3）对主体进程s进行验证，验证进程s是否可信且

C（s）⊇C（o）

4）若验证通过，则满足规则＜2.2＞，允许s将信息写入进程o。

若验证不通过，则进程s有可能将高机密级信息写入低级别进程中，故禁止通信。

3.2远程应用举例

如图2所示，安全互联部件分别布署在两个域的出口处，域A与域B之间的通信通过安全互联部件进行并被加密，两个安全互联部件是可信的，并相互信任，一起构成了一个可信基。

图2　TCBMLSP远程应用

进程s的安全级为（2，2，N，＜A，B＞），客体进程o的安全级别为（1，1，N，＜A，B＞）。当高完整性s要读低完整性o时的流程如下：

1）s发出请求给A域的安全互联部件，要求读区域B中设备o中的数据。

2）A方安全互联部件通过B方安全互联部件取得客体o安全级别，并与s的安全级别对比。

3）发现读操作不满足规则＜1.1＞。

4）A方安全互联部件请求B方安全互联部件获得客体o的可信度。

5）B方安全互联部件通过远程证明机制获得客体o的可信度，并将结果返回给A方安全互联部件。

6）若o可信，则允许主体s读客体o。

4　功能分析与比较

与文献［4-6］相比，本文所提出的基于可信计算的多级安全策略TCBMLSP，不仅考虑主体的可信度，而且还考虑了客体的可信度。TCBMLSP通过引入可信客体，增加了策略的安全性与灵活性，不仅包含文献［4-6］中策略模型的所有表达，而且对系统所有的操作都进行了定义，所以不存在违规操作，保证了系统的安全性。另外，本文通过可信计算中的远程证明机制使得该策略不仅可应用于高安全等级操作系统中，同时还可应用于不同安全等级域之间的可信通信。

5　结束语

本文提出了基于可信计算的多级安全策略TCBMLSP，通过引入可信主客体的概念，在解决多级信息安全流通的同时，保证了主客体的行为可信，并通过可信计算的远程证明机制使其可应用于不同安全等级域之间的可信通信。下一步工作将通过非传递不干扰信息流理论对TCBMLSP进行建模与安全性证明。

参考文献：

［1］Be11 D E，LAPADULA L J.Secure computer system：mathematjca1 foundatjon and mode1［R］. mjtre corp，bedford Massachussetts：technjca11 report，1973.

［2］Sandhu RS.Lattjce-Based access contro1 mode1s.IEEE Computer，1993，26（11）：9-19.

［3］E1j Wjnjum，Bjorn Kjetj1 Mo1mann，A mu1tjdjmensjona1 approach to mu1tj1eve1 securjty［C］.Informatjon Management and Computer Securjty，2008.

［4］谢钧，许峰，黄皓，基于可信级别的多级安全策略及其状态机模型［J］.软件学报，2004，15（11）：1700-1708.

［5］黄强，沈昌祥，陈幼雷，等.基于可信计算的保密和完整性统一安全策略［J］.计算机工程与应用，2006，10：15-18.

［6］冯登国，秦宇，汪丹，等.可信计算技术研究［J］.计算机研究与发展.2011，8：1332-1349.

［7］杨蓓，吴振强，杨小勃.基于可信计算的多级安全模型［J］.计算机工程与应用.2011，47（27）：122-125.

［8］Trusted Computjng Group. TCG Specjfjcatjon Archjtecture Overvjew v1.3［EB/OL］：https：// www.Trusted computjng group.org/ specs/，2013.

［9］Xjnwen Zhang，Mjchae1 J.Covjngton，Songqjng Chen and RavjSandbu. SecureBus：Towards App1jcatjon -Transparent Trusted Computjng wjth Mandatory Access Contro1［A］. In：ASIACC'07［C］//Sjngapore：ACM Press，2007：117-126.

［10］刘昌平，范明钰，王光卫.开放网络环境完整性按需度量模型［J］.计算机研究与发展.2011，48（2）.

［11］王贵超.基于多级安全策略的RFID认证协议研究［D］.延边：延边大学.2014

［12］王辉，贾宗璞，申自浩，等.基于信息流的多级安全策略模型研究［J］.计算机科学.2010，1（37）：75-78.

［13］裴华艳，王焕民.基于可信计算的多租户隐私数据保护［J］.计算机系统应用.2015（24）10：248-252.

［14］MC Chuang，MC Chen.An anonymous mu1tj-server authentjcated key agreement scheme based on trust computjng usjng smart cards and bjometrjcs［J］.Expert Systems wjth App1jcatjons.2014，4（41）：1411-1418.

［15］Fjrdhous，M.；Ghaza1j，O.；Hassan，S. A trust computjng mechanjsm for c1oud computjng wjth mu1tj1eve1 thresho1djng ［C］.Industrja1 and Informatjon Systems（ICIIS），2011.

Research on trust comPutlng based multllevel securlty Pollcy

LIU Xjao-Tan1，LI Xjao-Wen2，CUI Xjang3
（1.Hainan branch of PLA General Hospital，Sanya 572013，China；2.Anti-air force college，Zhengzhou 450004，China；3.Institute of computer and information engineering，Henan University，Kaifeng 475001，China）

Abstract:Ajmjng at the prob1em of the securjty po1jcy exjstjng whjch Combjnate BLP and BIBA，In thjs paper，Trust computjng based mu1tj1eve1 securjty po1jcy has been jntroduced. Through the concept of trusted measurement，the subject and object's actjon can proved to be trust. It can so1ve the mu1tj1eve1 securjty jnformatjon transjtjon and can transjtjon the jnformatjon between two domajn usjng the remote attestatjon.

Key words:mu1tj1eve1 securjty；trusted computjng；trusted subject/object

中图分类号：TN918

文献标识码：A

文章编号：1674-6236（2016）07-0148-03

收稿日期：2015-11-15稿件编号：201511136

基金项目：国家重点基础研究发展计划（“973”计划）基金资助（2012CB315901）

作者简介：刘晓坦（1985—），女，河南周口人，硕士，助理工程师。研究方向：通信网络安全。