專(zhuān)利名稱(chēng):多級(jí)安全訪問(wèn)控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及安全訪問(wèn)技術(shù)。
背景技術(shù):
隨著網(wǎng)絡(luò)和信息技術(shù)的發(fā)展,電子軍務(wù)、電子政務(wù)以及一些軍工涉密網(wǎng)絡(luò)的涉密信息處理越來(lái)越成為一個(gè)急待解決的問(wèn)題,如果對(duì)這些敏感信息以及整個(gè)系統(tǒng)不采取有效的安全防范措施,其安全將會(huì)受到威脅,一旦信息丟失或非法訪問(wèn)就會(huì)造成不可估量的損失。
強(qiáng)制訪問(wèn)控制都是基于格理論的一種訪問(wèn)控制策略,它利用強(qiáng)制性的規(guī)定,防止信息的不安全流動(dòng),可以非常有效的防止特洛伊木馬的攻擊。美國(guó)國(guó)家計(jì)算機(jī)安全中心NCSC(National Computer Security Center)在其安全標(biāo)準(zhǔn)TCSEC(Trusted ComputerSecurity Evaluation Criteria)中將強(qiáng)制訪問(wèn)控制列為B級(jí)安全操作系統(tǒng)的基本要求。作為一種有效地對(duì)信息流的訪問(wèn)控制策略,強(qiáng)制訪問(wèn)控制中的多級(jí)安全機(jī)制在一些對(duì)安全要求很高的部門(mén),如電子政務(wù)、多級(jí)涉密軍工系統(tǒng)中對(duì)信息的安全維護(hù)作用是非常大的?;诟窭碚摰脑L問(wèn)控制模型被廣泛應(yīng)用于許多領(lǐng)域,尤其適用于信息流工作系統(tǒng)中。在模型中用到了偏序、格、安全類(lèi)的概念,下面先給出簡(jiǎn)要知識(shí)介紹。
設(shè)R是集合A上的關(guān)系,如果R是自反的,反對(duì)稱(chēng)的,傳遞的,則稱(chēng)R為A上的偏序關(guān)系,簡(jiǎn)稱(chēng)偏序,用符號(hào)“≤”表示偏序關(guān)系R,稱(chēng)R與建立它的基礎(chǔ)集合A關(guān)聯(lián)在一起的有序?qū)?lt;A,R>為偏序集。
如果(L,≤)是一個(gè)偏序集合,L中每一對(duì)元素a和b都有最大下界(下確界)和最小上界(上確界),則稱(chēng)二元組(L,≤)是格。
把強(qiáng)制訪問(wèn)控制系統(tǒng)中的信息劃分為不同的安全級(jí)別。系統(tǒng)中的每個(gè)實(shí)體均稱(chēng)之為一個(gè)對(duì)象,每個(gè)對(duì)象均對(duì)應(yīng)一個(gè)安全類(lèi)(sc),每個(gè)對(duì)象對(duì)應(yīng)的安全類(lèi)都有各自的安全等級(jí)和信息范圍,其中安全等級(jí)是指該對(duì)象所對(duì)應(yīng)的安全類(lèi)的安全級(jí)別。信息范圍是指系統(tǒng)中的某個(gè)對(duì)象有權(quán)知道的所有信息類(lèi)別的集合。為了實(shí)現(xiàn)相應(yīng)安全類(lèi)之間共知信息的交流,系統(tǒng)為每個(gè)對(duì)象劃分一個(gè)對(duì)象組,表示可訪問(wèn)該對(duì)象的安全類(lèi)的集合。
模型中是利用線性格與子集格的乘積格來(lái)描述系統(tǒng)中多級(jí)安全需求的。在實(shí)際系統(tǒng)中,線性格包括無(wú)密、秘密、機(jī)密和絕密四個(gè)安全等級(jí)(分別用1,2,3,4表示),并且歸屬于不同的信息類(lèi)別;子集格則是由所有信息類(lèi)別集合的子集組成。
如果A,B∈SC,(SC表示系統(tǒng)中所有安全類(lèi)的集合,sc表示集合中某個(gè)具體的安全類(lèi))且A≤B,則說(shuō)明信息A的安全類(lèi)不高于B的安全類(lèi),根據(jù)安全性策略的要求,只能允許信息在一個(gè)類(lèi)內(nèi)或向高級(jí)別的類(lèi)流動(dòng),但不允許向下或流向無(wú)關(guān)的類(lèi)。
要實(shí)現(xiàn)安全類(lèi)之間的訪問(wèn)需要,兩個(gè)安全類(lèi)A,B的安全等級(jí)滿(mǎn)足偏序關(guān)系,且信息范圍之間滿(mǎn)足集合間的包含關(guān)系,那么兩個(gè)安全類(lèi)共有的部分(共知信息)可以進(jìn)行交流;當(dāng)安全等級(jí)滿(mǎn)足偏序關(guān)系,但信息范圍不是包含關(guān)系,兩個(gè)安全類(lèi)的共知信息時(shí)就無(wú)法交流,這顯然不適合實(shí)際應(yīng)用環(huán)境對(duì)安全訪問(wèn)控制方法的需求。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題是,提供一種使共知信息的流通更為合理的多級(jí)安全訪問(wèn)控制方法。
本發(fā)明為解決上述技術(shù)問(wèn)題所采用的技術(shù)方案是,多級(jí)安全訪問(wèn)控制方法,包括以下步驟 a、判斷第一安全類(lèi)與第二安全類(lèi)是否滿(mǎn)足第一安全類(lèi)的安全等級(jí)小于等于第二安全類(lèi)的安全等級(jí),且第一安全類(lèi)的信息范圍包含于第二安全類(lèi)的信息范圍;如是,進(jìn)入步驟c;如否,進(jìn)入步驟b; b、判斷第二安全類(lèi)對(duì)應(yīng)的第二對(duì)象組是否有第一安全類(lèi),若是,進(jìn)入步驟c;若否,則拒絕訪問(wèn);所述第二安全類(lèi)對(duì)應(yīng)的第二對(duì)象組中有第一安全類(lèi)的條件是,第一安全類(lèi)的安全等級(jí)小于等于第二安全類(lèi)的安全等級(jí),且第一安全類(lèi)的信息范圍與第二安全類(lèi)的信息范圍的交集不為空; c、計(jì)算第一安全類(lèi)與第二安全類(lèi)之間的共知信息,所述共知信息為第一安全類(lèi)與第二安全類(lèi)的信息范圍之間的交集,當(dāng)?shù)谝话踩?lèi)與第二安全類(lèi)的安全等級(jí)相同,則第一安全類(lèi)與第二安全類(lèi)能相互訪問(wèn)對(duì)方的共知信息;當(dāng)?shù)谝话踩?lèi)的安全等級(jí)小于第二安全類(lèi)的安全等級(jí),則第二安全類(lèi)能訪問(wèn)與第一安全類(lèi)之間的共知信息。
在現(xiàn)有的多級(jí)安全訪問(wèn)控制的基礎(chǔ)上增加了步驟b,對(duì)不符合現(xiàn)有訪問(wèn)條件的安全類(lèi)再進(jìn)行一次是否有共知信息的判斷,當(dāng)安全等級(jí)滿(mǎn)足偏序關(guān)系,但信息范圍不是包含關(guān)系時(shí),兩個(gè)安全類(lèi)的共知信息也能進(jìn)行流動(dòng),使得共知信息的交流更為靈活,適應(yīng)實(shí)際應(yīng)用環(huán)境。
為了進(jìn)一步保證共知信息的安全,又引入了敏感等級(jí)的信息范圍,即信息范圍由信息類(lèi)別與其對(duì)應(yīng)的敏感等級(jí)組成;所述步驟b中,第一安全類(lèi)的安全等級(jí)小于等于第二安全類(lèi)的安全等級(jí),且第一安全類(lèi)的信息范圍與第二安全類(lèi)的信息范圍中信息類(lèi)別的交集不為空,則第一安全類(lèi)存儲(chǔ)于第二安全類(lèi)對(duì)應(yīng)的第二對(duì)象組中;所述步驟c中所述共知信息為第一安全類(lèi)與第二安全類(lèi)之間的信息類(lèi)別之間的交集,相交的信息類(lèi)別的敏感等級(jí)取第一安全類(lèi)的該相交信息類(lèi)別對(duì)應(yīng)的敏感等級(jí)與第二安全類(lèi)的該相交信息類(lèi)別對(duì)應(yīng)的敏感等級(jí)的最小值。
本發(fā)明的有益效果是,保證了信息只能在相同安全級(jí)別安全類(lèi)之間或者向高安全級(jí)別的安全類(lèi)流動(dòng),同時(shí)又實(shí)現(xiàn)了相同安全等級(jí)對(duì)象之間可以交流他們共知的信息,高安全等級(jí)對(duì)象可以訪問(wèn)與低安全等級(jí)對(duì)象間共知的信息,使多級(jí)安全訪問(wèn)更具有靈活性、實(shí)用性。引入敏感等級(jí)對(duì)信息類(lèi)別的安全級(jí)別進(jìn)行描述,細(xì)化了信息范圍內(nèi)每一個(gè)信息類(lèi)別的安全級(jí)別,防止了高敏感等級(jí)信息的泄露,使得本發(fā)明在靈活的基礎(chǔ)上,保證信息流動(dòng)的安全性。尤其是在動(dòng)態(tài)的多級(jí)安全信息系統(tǒng)中,對(duì)于建立跨級(jí)別的信息流動(dòng)需求來(lái)講,大大增加了系統(tǒng)工作的效率,更加能夠滿(mǎn)足涉密組織以及政府部門(mén)等對(duì)信息系統(tǒng)的控制要求。
具體實(shí)施例方式 系統(tǒng)中每個(gè)對(duì)象對(duì)應(yīng)的安全類(lèi)都有各自的安全等級(jí)和信息范圍,其中安全等級(jí)是指該對(duì)象所對(duì)應(yīng)的安全類(lèi)的安全級(jí)別。信息范圍是指系統(tǒng)中的某個(gè)對(duì)象有權(quán)知道的所有信息類(lèi)別的集合。信息范圍包括信息類(lèi)別及其對(duì)應(yīng)的敏感等級(jí)。其中信息類(lèi)別是指信息范圍中每個(gè)具體的信息。敏感等級(jí)定義是指信息類(lèi)別對(duì)應(yīng)的敏感程度,與對(duì)象的安全等級(jí)一樣,敏感等級(jí)也分為無(wú)密、秘密、機(jī)密和絕密四個(gè)級(jí)別,分別用1,2,3,4表示。
信息范圍可以表示為 f={(K1,L1),(K2,L2),...,(Km,Lm)},其中m表示信息類(lèi)別的個(gè)數(shù),Ki表示信息范圍F中第i個(gè)信息類(lèi)別,Li表示第i個(gè)信息類(lèi)別對(duì)應(yīng)的敏感等級(jí)。
安全類(lèi)定義為sc=(r,f)=(r,{Ki,Li}),r表示對(duì)象對(duì)應(yīng)的安全類(lèi)的安全等級(jí),f表示對(duì)應(yīng)的信息范圍,其中信息范圍由信息類(lèi)別K及對(duì)應(yīng)的敏感等級(jí)L組成。
用函數(shù)rank()表示安全類(lèi)對(duì)應(yīng)的安全等級(jí);函數(shù)fset()表示安全類(lèi)對(duì)應(yīng)的信息類(lèi)別集合;函數(shù)level()表示信息類(lèi)別對(duì)應(yīng)的敏感等級(jí)。
要滿(mǎn)足sc1≤sc2,則需r1≤r2,且f1≤f2;如f1={(a,1),(c,1)},f2={(a,1),(b,2),(c,2)},其中a,b,c表示信息類(lèi)別,要滿(mǎn)足f1≤f2,則需 (fset(f1)={a,c})≤(fset(f2)={a,b,c}),且 (level(f1,a)=1)≤(level(f2,a)=1),(level(f1,c)=1)≤(level(f2,c)=2) 那么對(duì)于兩個(gè)安全類(lèi)sc1=(1,{x,y})與sc2=(1,{x,z}),兩者有相同的安全等級(jí)和共知的信息{x},但是根據(jù)現(xiàn)有的技術(shù)策略如果(r1,f1)≤(r2,f2),則兩者可以交流共知的信息,很明顯,此處兩個(gè)安全類(lèi)之間的信息范圍不滿(mǎn)足包含關(guān)系,也就是子集{x,y}與{x,z}之間不是
關(guān)系,因此它們之間不能有任何信息的流動(dòng),這與實(shí)際應(yīng)用系統(tǒng)的需求是不相符的。
一個(gè)對(duì)象對(duì)應(yīng)的對(duì)象組是指系統(tǒng)中可以訪問(wèn)該對(duì)象的安全類(lèi)的集合。系統(tǒng)中每一個(gè)對(duì)象都對(duì)應(yīng)一個(gè)對(duì)象組。設(shè)系統(tǒng)中共有m個(gè)對(duì)象,各對(duì)象對(duì)應(yīng)的安全類(lèi)分別記為 sc1=(r1,f1),sc2=(r2,f2),...,scm=(rm,fm) 用sci表示系統(tǒng)中的第i個(gè)對(duì)象對(duì)應(yīng)的安全類(lèi),則sci(i=1,2,…,m)對(duì)應(yīng)的對(duì)象組記為 1≤i≤m,1≤ik<m,ij≠i,1≤j≤k 其中在Object_groupi中的各安全應(yīng)同時(shí)滿(mǎn)足以下兩個(gè)條件 (1)安全類(lèi)
與sc1之間有共知的信息,即
(2)安全類(lèi)
的安全等級(jí)不低于安全類(lèi)sc1的安全等級(jí),即 ij=1,2,...,k 系統(tǒng)中對(duì)象組的集合記為 G={Object_group1,Object_group2,…,Object_groupm} 劃分安全類(lèi)的對(duì)象組的方法如下 ①SCf=SCs=SC;定義SCf與SCs兩個(gè)初始變量,它們的初始值和系統(tǒng)中所有安全類(lèi)的集合SC的范圍是一樣的; ②如果
那么讀取sci∈SCf,SCf=SCf-{sci},SCs=SCs-{sci},否則結(jié)束循環(huán);首先從一個(gè)集合SCf中選取一個(gè)安全類(lèi)sci,為它在另一個(gè)集合SCs中篩選與它滿(mǎn)足條件的其它安全類(lèi),因此選取sci之后,集合SCf、SCs自動(dòng)將減去sci,也就是從一個(gè)集合中選取一個(gè)安全類(lèi),從另一個(gè)集合中選擇和它滿(mǎn)足關(guān)系的安全類(lèi),兩個(gè)集合的初始值是一樣的; ③如果
那么讀取scj∈SCs,SCs=SCs-{scj},否則轉(zhuǎn)到②; ④如果兩個(gè)安全類(lèi)sci、scj之間存在關(guān)系(ri,fi)≤(rj,fj),則安全類(lèi)scj可以訪問(wèn)安全類(lèi)sci,將scj存入對(duì)象組Object_groupi={scj};轉(zhuǎn)到③繼續(xù)判斷; ⑤如果兩個(gè)安全類(lèi)sci、scj之間不存在關(guān)系(ri,fi)≤(rj,fj),但是存在關(guān)系ri≤rj,并且
則將scj存入對(duì)象組Object_groupi={scj},轉(zhuǎn)到③繼續(xù)循環(huán)。
設(shè)系統(tǒng)中的兩個(gè)安全類(lèi)分別為 sc1=(r1,f1)=(r1,{(K11,L11),(K12,L12),...,(K1m,L1m)) sc2=(r2,f2)=(r2,{(K21,L21),(K22,L22),...,(K2n,L2n)) 系統(tǒng)為安全類(lèi)sc2劃分的對(duì)象組為Object_group2,安全類(lèi)sc1與安全類(lèi)sc2之間有信息流動(dòng)的需求時(shí),訪問(wèn)控制方法如下 (1)判斷是否(r1,f1)≤(r2,f2),如是,則進(jìn)入步驟(3);否則進(jìn)入步驟(2); (2)系統(tǒng)判斷Object_group2中是否有安全類(lèi)sc1,若沒(méi)有,則拒絕;若有則繼續(xù); (3)計(jì)算出兩個(gè)安全類(lèi)之間共知的信息范圍U U={(Ki,Li)|Ki∈(fset(f1)∩fset(f2)),Ki=K1j=K2k∧Li=min(L1j,L2k)};其中Ki∈(fset(f1)∩fset(f2))表示兩個(gè)信息范圍的交集,即共有的信息類(lèi)別。
Ki=K1j=K2k∧Li=minL1j,L2k)表示共有的信息類(lèi)別的敏感等級(jí)取兩者之間的較小值; (4)系統(tǒng)判斷兩個(gè)安全類(lèi)安全等級(jí)之間的關(guān)系,根據(jù)兩者之間的關(guān)系進(jìn)行信息流動(dòng),具體策略如下 若r1=r2,則兩個(gè)安全類(lèi)之間可以交流他們共知的信息,表示為 若r1<r2,則高安全等級(jí)的安全類(lèi)可以訪問(wèn)與低安全等級(jí)的安全類(lèi)之間共知的信息,表示為 實(shí)施例 如下表所示,為系統(tǒng)中各對(duì)象安全等級(jí)與文檔信息之間的對(duì)應(yīng)關(guān)系 安全類(lèi)sc2表示為(4,{(a,4),(b,4),(c,3),(d,3),(e,3),(f,4),(g,4),(h,3)});sc3表示為(3,{(i,3),(a,3),(d,2)}),sc4表示為(3,{(d,3),(c,2),(g,3),(b,3),(j,2)})。
系統(tǒng)為Object_group4劃分的對(duì)象組Object_group4={sc1,sc2,sc3},如下表所示 sc1大于系統(tǒng)中其它的安全類(lèi),所以sc1對(duì)其它類(lèi)的任一信息可隨意訪問(wèn)。根據(jù)現(xiàn)有技術(shù)sc2、sc3、sc4之間的信息范圍并無(wú)包含的關(guān)系,所以無(wú)法相互就共知的信息進(jìn)行交流,如信息類(lèi)別d為這三個(gè)安全類(lèi)共有,但因每個(gè)安全類(lèi)都有其它類(lèi)沒(méi)有的信息類(lèi)別,而影響了對(duì)共有信息類(lèi)別d的交流。本發(fā)明對(duì)訪問(wèn)限制進(jìn)行改進(jìn),以sc3發(fā)起對(duì)sc4的訪問(wèn)為例,給出具體的訪問(wèn)控制過(guò)程如下 ①接到sc3對(duì)sc4發(fā)起的訪問(wèn)請(qǐng)求之后,系統(tǒng)先判sc3的安全類(lèi)是否在系統(tǒng)為sc4劃分的對(duì)象組Object_group4中。由上表可知,sc3∈Object_group4,因此可繼續(xù)訪問(wèn); ②判斷出兩個(gè)安全類(lèi)sc4、sc3之間共知的文檔信息為U={(d,2)}; ③判斷兩個(gè)對(duì)象對(duì)應(yīng)的安全類(lèi)的安全等級(jí)的關(guān)系。這里,R4=3,R3=3,則sc3可以訪問(wèn)與sc4之間共知的文檔信息U={(d,2)}。
權(quán)利要求
權(quán)利要求1多級(jí)安全訪問(wèn)控制方法,一個(gè)安全類(lèi)由其安全等級(jí)及信息范圍組成,其特征在于,包括以下步驟
a、判斷第一安全類(lèi)與第二安全類(lèi)是否滿(mǎn)足,第一安全類(lèi)的安全等級(jí)小于等于第二安全類(lèi)的安全等級(jí),且第一安全類(lèi)的信息范圍包含于第二安全類(lèi)的信息范圍;如是,進(jìn)入步驟c;如否,進(jìn)入步驟b;
b、判斷第二安全類(lèi)對(duì)應(yīng)的第二對(duì)象組是否有第一安全類(lèi),若是,進(jìn)入步驟c;若否,則拒絕訪問(wèn);所述第二安全類(lèi)對(duì)應(yīng)的第二對(duì)象組中有第一安全類(lèi)的條件是,第一安全類(lèi)的安全等級(jí)小于等于第二安全類(lèi)的安全等級(jí),且第一安全類(lèi)的信息范圍與第二安全類(lèi)的信息范圍的交集不為空;
c、計(jì)算第一安全類(lèi)與第二安全類(lèi)之間的共知信息,所述共知信息為第一安全類(lèi)與第二安全類(lèi)的信息范圍之間的交集,當(dāng)?shù)谝话踩?lèi)與第二安全類(lèi)的安全等級(jí)相同,則第一安全類(lèi)與第二安全類(lèi)能相互訪問(wèn)對(duì)方的共知信息;當(dāng)?shù)谝话踩?lèi)的安全等級(jí)小于第二安全類(lèi)的安全等級(jí),則第二安全類(lèi)能訪問(wèn)與第一安全類(lèi)共知的信息。
權(quán)利要求2如權(quán)利要求1所述多級(jí)安全訪問(wèn)控制方法,其特征在于,所述信息范圍由信息類(lèi)別與其對(duì)應(yīng)的敏感等級(jí)組成;
所述步驟b中,第一安全類(lèi)的安全等級(jí)小于等于第二安全類(lèi)的安全等級(jí),且第一安全類(lèi)的信息范圍與第二安全類(lèi)的信息范圍中信息類(lèi)別的交集不為空,則第一安全類(lèi)存儲(chǔ)于第二安全類(lèi)對(duì)應(yīng)的第二對(duì)象組中;
所述步驟c中所述共知信息為第一安全類(lèi)與第二安全類(lèi)之間的信息類(lèi)別之間的交集,相交的信息類(lèi)別的敏感等級(jí)取第一安全類(lèi)的該相交信息類(lèi)別對(duì)應(yīng)的敏感等級(jí)與第二安全類(lèi)的該相交信息類(lèi)別對(duì)應(yīng)的敏感等級(jí)的最小值。
權(quán)利要求3如權(quán)利要求2所述多級(jí)安全訪問(wèn)控制方法,其特征在于,所述敏感等級(jí)分為4個(gè)級(jí)別。
全文摘要
本發(fā)明涉及安全訪問(wèn)技術(shù)。本發(fā)明所要解決的技術(shù)問(wèn)題是,提供一種使共知信息的流通更為合理的多級(jí)安全訪問(wèn)控制方法。在現(xiàn)有的多級(jí)安全訪問(wèn)控制的基礎(chǔ)上增加了步驟,對(duì)不符合現(xiàn)有訪問(wèn)條件的安全類(lèi)再進(jìn)行一次是否有共知信息的判斷,當(dāng)安全等級(jí)滿(mǎn)足偏序關(guān)系,但信息范圍不是包含關(guān)系時(shí),兩個(gè)安全類(lèi)的共知信息也能進(jìn)行流動(dòng),使得共知信息的交流更為靈活,適應(yīng)實(shí)際應(yīng)用環(huán)境。為了進(jìn)一步保證共知信息的安全,又引入了敏感等級(jí)的信息范圍。本發(fā)明在動(dòng)態(tài)的多級(jí)安全信息系統(tǒng)中,對(duì)于建立跨級(jí)別的信息流動(dòng)需求來(lái)講,大大增加了系統(tǒng)工作的效率,更加能夠滿(mǎn)足涉密組織以及政府部門(mén)等對(duì)信息系統(tǒng)的控制要求。
文檔編號(hào)H04L29/06GK101394413SQ20081030553
公開(kāi)日2009年3月25日 申請(qǐng)日期2008年11月13日 優(yōu)先權(quán)日2008年11月13日
發(fā)明者王艷艷, 劉賢洪, 康紅娟 申請(qǐng)人:四川長(zhǎng)虹電器股份有限公司