CN101394413A

CN101394413A - 多级安全访问控制方法

Info

Publication number: CN101394413A
Application number: CNA2008103055373A
Authority: CN
Inventors: 王艳艳; 刘贤洪; 康红娟
Original assignee: Sichuan Changhong Electric Co Ltd
Current assignee: Sichuan Changhong Electric Co Ltd
Priority date: 2008-11-13
Filing date: 2008-11-13
Publication date: 2009-03-25

Abstract

本发明涉及安全访问技术。本发明所要解决的技术问题是，提供一种使共知信息的流通更为合理的多级安全访问控制方法。在现有的多级安全访问控制的基础上增加了步骤，对不符合现有访问条件的安全类再进行一次是否有共知信息的判断，当安全等级满足偏序关系，但信息范围不是包含关系时，两个安全类的共知信息也能进行流动，使得共知信息的交流更为灵活，适应实际应用环境。为了进一步保证共知信息的安全，又引入了敏感等级的信息范围。本发明在动态的多级安全信息系统中，对于建立跨级别的信息流动需求来讲，大大增加了系统工作的效率，更加能够满足涉密组织以及政府部门等对信息系统的控制要求。

Description

多级安全访问控制方法

技术领域

本发明涉及安全访问技术。

背景技术

随着网络和信息技术的发展，电子军务、电子政务以及一些军工涉密网络的涉密信息处理越来越成为一个急待解决的问题，如果对这些敏感信息以及整个系统不采取有效的安全防范措施，其安全将会受到威胁，一旦信息丢失或非法访问就会造成不可估量的损失。

强制访问控制都是基于格理论的一种访问控制策略，它利用强制性的规定，防止信息的不安全流动，可以非常有效的防止特洛伊木马的攻击。美国国家计算机安全中心NCSC(National Computer Security Center)在其安全标准TCSEC(Trusted ComputerSecurity Evaluation Criteria)中将强制访问控制列为B级安全操作系统的基本要求。作为一种有效地对信息流的访问控制策略，强制访问控制中的多级安全机制在一些对安全要求很高的部门，如电子政务、多级涉密军工系统中对信息的安全维护作用是非常大的。基于格理论的访问控制模型被广泛应用于许多领域，尤其适用于信息流工作系统中。在模型中用到了偏序、格、安全类的概念，下面先给出简要知识介绍。

设R是集合A上的关系，如果R是自反的，反对称的，传递的，则称R为A上的偏序关系，简称偏序，用符号“≤”表示偏序关系R，称R与建立它的基础集合A关联在一起的有序对<A，R>为偏序集。

如果(L，≤)是一个偏序集合，L中每一对元素a和b都有最大下界(下确界)和最小上界(上确界)，则称二元组(L，≤)是格。

把强制访问控制系统中的信息划分为不同的安全级别。系统中的每个实体均称之为一个对象，每个对象均对应一个安全类(sc)，每个对象对应的安全类都有各自的安全等级和信息范围，其中安全等级是指该对象所对应的安全类的安全级别。信息范围是指系统中的某个对象有权知道的所有信息类别的集合。为了实现相应安全类之间共知信息的交流，系统为每个对象划分一个对象组，表示可访问该对象的安全类的集合。

模型中是利用线性格与子集格的乘积格来描述系统中多级安全需求的。在实际系统中，线性格包括无密、秘密、机密和绝密四个安全等级(分别用1，2，3，4表示)，并且归属于不同的信息类别；子集格则是由所有信息类别集合的子集组成。

如果A，B∈SC，(SC表示系统中所有安全类的集合，sc表示集合中某个具体的安全类)且A≤B，则说明信息A的安全类不高于B的安全类，根据安全性策略的要求，只能允许信息在一个类内或向高级别的类流动，但不允许向下或流向无关的类。

要实现安全类之间的访问需要，两个安全类A，B的安全等级满足偏序关系，且信息范围之间满足集合间的包含关系，那么两个安全类共有的部分(共知信息)可以进行交流；当安全等级满足偏序关系，但信息范围不是包含关系，两个安全类的共知信息时就无法交流，这显然不适合实际应用环境对安全访问控制方法的需求。

发明内容

本发明所要解决的技术问题是，提供一种使共知信息的流通更为合理的多级安全访问控制方法。

本发明为解决上述技术问题所采用的技术方案是，多级安全访问控制方法，包括以下步骤：

a、判断第一安全类与第二安全类是否满足：第一安全类的安全等级小于等于第二安全类的安全等级，且第一安全类的信息范围包含于第二安全类的信息范围；如是，进入步骤c；如否，进入步骤b；

b、判断第二安全类对应的第二对象组是否有第一安全类，若是，进入步骤c；若否，则拒绝访问；所述第二安全类对应的第二对象组中有第一安全类的条件是，第一安全类的安全等级小于等于第二安全类的安全等级，且第一安全类的信息范围与第二安全类的信息范围的交集不为空；

c、计算第一安全类与第二安全类之间的共知信息，所述共知信息为第一安全类与第二安全类的信息范围之间的交集，当第一安全类与第二安全类的安全等级相同，则第一安全类与第二安全类能相互访问对方的共知信息；当第一安全类的安全等级小于第二安全类的安全等级，则第二安全类能访问与第一安全类之间的共知信息。

在现有的多级安全访问控制的基础上增加了步骤b，对不符合现有访问条件的安全类再进行一次是否有共知信息的判断，当安全等级满足偏序关系，但信息范围不是包含关系时，两个安全类的共知信息也能进行流动，使得共知信息的交流更为灵活，适应实际应用环境。

为了进一步保证共知信息的安全，又引入了敏感等级的信息范围，即信息范围由信息类别与其对应的敏感等级组成；所述步骤b中，第一安全类的安全等级小于等于第二安全类的安全等级，且第一安全类的信息范围与第二安全类的信息范围中信息类别的交集不为空，则第一安全类存储于第二安全类对应的第二对象组中；所述步骤c中所述共知信息为第一安全类与第二安全类之间的信息类别之间的交集，相交的信息类别的敏感等级取第一安全类的该相交信息类别对应的敏感等级与第二安全类的该相交信息类别对应的敏感等级的最小值。

本发明的有益效果是，保证了信息只能在相同安全级别安全类之间或者向高安全级别的安全类流动，同时又实现了相同安全等级对象之间可以交流他们共知的信息，高安全等级对象可以访问与低安全等级对象间共知的信息，使多级安全访问更具有灵活性、实用性。引入敏感等级对信息类别的安全级别进行描述，细化了信息范围内每一个信息类别的安全级别，防止了高敏感等级信息的泄露，使得本发明在灵活的基础上，保证信息流动的安全性。尤其是在动态的多级安全信息系统中，对于建立跨级别的信息流动需求来讲，大大增加了系统工作的效率，更加能够满足涉密组织以及政府部门等对信息系统的控制要求。

具体实施方式

系统中每个对象对应的安全类都有各自的安全等级和信息范围，其中安全等级是指该对象所对应的安全类的安全级别。信息范围是指系统中的某个对象有权知道的所有信息类别的集合。信息范围包括信息类别及其对应的敏感等级。其中信息类别是指信息范围中每个具体的信息。敏感等级定义是指信息类别对应的敏感程度，与对象的安全等级一样，敏感等级也分为无密、秘密、机密和绝密四个级别，分别用1，2，3，4表示。

信息范围可以表示为：

f＝{(K₁，L₁)，(K₂，L₂)，...，(K_m，L_m)}，其中m表示信息类别的个数，K_i表示信息范围F中第i个信息类别，L_i表示第i个信息类别对应的敏感等级。

安全类定义为：sc＝(r，f)＝(r，{K_i，L_i})，r表示对象对应的安全类的安全等级，f表示对应的信息范围，其中信息范围由信息类别K及对应的敏感等级L组成。

用函数rank()表示安全类对应的安全等级；函数fset()表示安全类对应的信息类别集合；函数level()表示信息类别对应的敏感等级。

要满足sc₁≤sc₂，则需r₁≤r₂，且f₁≤f₂；如f₁＝{(a，1)，(c，1)}，f₂＝{(a，1)，(b，2)，(c，2)}，其中a，b，c表示信息类别，要满足f₁≤f₂，则需

(fset(f₁)＝{a，c})≤(fset(f₂)＝{a，b，c})，且

(level(f₁，a)＝1)≤(level(f₂，a)＝1)，(level(f₁，c)＝1)≤(level(f₂，c)＝2)

那么对于两个安全类sc₁＝(1，{x，y})与sc₂＝(1，{x，z})，两者有相同的安全等级和共知的信息{x}，但是根据现有的技术策略：如果(r₁，f₁)≤(r₂，f₂)，则两者可以交流共知的信息，很明显，此处两个安全类之间的信息范围不满足包含关系，也就是：子集{x，y}与{x，z}之间不是

关系，因此它们之间不能有任何信息的流动，这与实际应用系统的需求是不相符的。

一个对象对应的对象组是指系统中可以访问该对象的安全类的集合。系统中每一个对象都对应一个对象组。设系统中共有m个对象，各对象对应的安全类分别记为：

sc₁＝(r₁，f₁)，sc₂＝(r₂，f₂)，...，sc_m＝(r_m，f_m)

用sc_i表示系统中的第i个对象对应的安全类，则sc_i(i＝1，2，…，m)对应的对象组记为：

Object_{group}_{i} = {{sc}_{i_{1}}, {sc}_{i_{2}}, . . ., {sc}_{i_{k}}}

1≤i≤m，1≤i_k<m，i_j≠i，1≤j≤k

其中在Object_group_i中的各安全

{sc}_{i_{j}} (1 \leq i_{j} \leq k)

应同时满足以下两个条件：

(1)安全类与sc₁之间有共知的信息，即：

(2)安全类

的安全等级不低于安全类sc₁的安全等级，即：

rank ({sc}_{i_{j}}) &GreaterEqual; rank ({sc}_{i})

i_j＝1，2，...，k

系统中对象组的集合记为：

G＝{Object_group₁，Object_group₂，…，Object_group_m}

划分安全类的对象组的方法如下：

①SC_f＝SC_s＝SC；定义SC_f与SC_s两个初始变量，它们的初始值和系统中所有安全类的集合SC的范围是一样的；

②如果

那么读取sc_i∈SC_f，SC_f＝SC_f-{sc_i}，SC_s＝SC_s-{sc_i}，否则结束循环；首先从一个集合SC_f中选取一个安全类sc_i，为它在另一个集合SC_s中筛选与它满足条件的其它安全类，因此选取sc_i之后，集合SC_f、SC_s自动将减去sc_i，也就是从一个集合中选取一个安全类，从另一个集合中选择和它满足关系的安全类，两个集合的初始值是一样的；

③如果那么读取sc_j∈SC_s，SC_s＝SC_s-{sc_j}，否则转到②；

④如果两个安全类sc_i、sc_j之间存在关系(r_i，f_i)≤(r_j，f_j)，则安全类sc_j可以访问安全类sc_i，将sc_j存入对象组Object_groupi＝{sc_j}；转到③继续判断；

⑤如果两个安全类sc_i、sc_j之间不存在关系(r_i，f_i)≤(r_j，f_j)，但是存在关系r_i≤r_j，并且

则将sc_j存入对象组Object_groupi＝{sc_j}，转到③继续循环。

设系统中的两个安全类分别为：

sc₁＝(r₁，f₁)＝(r₁，{(K₁₁，L₁₁)，(K₁₂，L₁₂)，...，(K_1m，L_1m))

sc₂＝(r₂，f₂)＝(r₂，{(K₂₁，L₂₁)，(K₂₂，L₂₂)，...，(K_2n，L_2n))

系统为安全类sc₂划分的对象组为Object_group₂，安全类sc₁与安全类sc₂之间有信息流动的需求时，访问控制方法如下：

(1)判断是否(r₁，f₁)≤(r₂，f₂)，如是，则进入步骤(3)；否则进入步骤(2)；

(2)系统判断Object_group₂中是否有安全类sc₁，若没有，则拒绝；若有则继续；

(3)计算出两个安全类之间共知的信息范围U：

U＝{(K_i，L_i)|K_i∈(fset(f₁)∩fset(f₂))，K_i＝K_1j＝K_2k∧Li＝min(L_1j，L_2k)}；其中K_i∈(fset(f₁)∩fset(f₂))表示两个信息范围的交集，即共有的信息类别。

K_i＝K_1j＝K_2k∧L_i＝minL_1j，L_2k)表示共有的信息类别的敏感等级取两者之间的较小值；

(4)系统判断两个安全类安全等级之间的关系，根据两者之间的关系进行信息流动，具体策略如下：

若r₁＝r₂，则两个安全类之间可以交流他们共知的信息，表示为：

r_{1} \overset{U}{&LeftRightArrow;} r_{2}

若r₁<r₂，则高安全等级的安全类可以访问与低安全等级的安全类之间共知的信息，表示为：

r_{1} \overset{U}{&LeftRightArrow;} r_{2 .}

实施例

如下表所示，为系统中各对象安全等级与文档信息之间的对应关系：

对象	安全等级	信息范围
对象	安全等级	信息范围	SC₁	4	{(a，4)，(b，4)，(c，3)，(d，3)，(e，3)，(f，4)，(g，4)，(h，3)，(i，3)，(j，2)，(k，2)，(l，1)}
SC₂	4	{(a，4)，(b，4)，(c，3)，(d，3)，(e，3)，(f，4)，(g，4)，(h，3)}	SC₁	4
SC₂	4	{(a，4)，(b，4)，(c，3)，(d，3)，(e，3)，(f，4)，(g，4)，(h，3)}	SC₃	3	{(i，3)，(a，3)，(d，2)}
SC₄	3	{(d，3)，(c，2)，(g，3)，(b，3)，(j，2)}	SC₃	3	{(i，3)，(a，3)，(d，2)}
SC₄	3	{(d，3)，(c，2)，(g，3)，(b，3)，(j，2)}	SC₅	2	{(k，2)，(e，1)，(j，2)，(l，1)}
SC₆	2	{(e，1)，(j，2)，(k，2)}	SC₅	2	{(k，2)，(e，1)，(j，2)，(l，1)}
SC₆	2	{(e，1)，(j，2)，(k，2)}	SC₇	1	{(b，1)，(g，1)}

安全类sc₂表示为(4，{(a，4)，(b，4)，(c，3)，(d，3)，(e，3)，(f，4)，(g，4)，(h，3)})；sc3表示为(3，{(i，3)，(a，3)，(d，2)})，sc4表示为(3，{(d，3)，(c，2)，(g，3)，(b，3)，(j，2)})。

系统为Object_group₄划分的对象组Object_group₄＝{sc₁，sc₂，sc₃}，如下表所示：

SC₁	sc₁＝(4，{(a，4)，(b，4)，(c，3)，(d，3)，(e，3)，(f，4)，(g，4)，(h，3)，(i，3)，(j，2)，(k，2)，(l，1)})
SC₁		SC₂	sc₂＝(4，{(a，4)，(b，4)，(c，3)，(d，3)，(e，3)，(f，4)，(g，4)，(h，3)})
SC₃	SC₃＝(3，{(i，3)，(a，3)，(d，2)})	SC₂	sc₂＝(4，{(a，4)，(b，4)，(c，3)，(d，3)，(e，3)，(f，4)，(g，4)，(h，3)})

sc₁大于系统中其它的安全类，所以sc₁对其它类的任一信息可随意访问。根据现有技术sc₂、sc₃、sc₄之间的信息范围并无包含的关系，所以无法相互就共知的信息进行交流，如信息类别d为这三个安全类共有，但因每个安全类都有其它类没有的信息类别，而影响了对共有信息类别d的交流。本发明对访问限制进行改进，以sc₃发起对sc₄的访问为例，给出具体的访问控制过程如下：

①接到sc₃对sc₄发起的访问请求之后，系统先判sc₃的安全类是否在系统为sc₄划分的对象组Object_group₄中。由上表可知，sc₃∈Object_group₄，因此可继续访问；

②判断出两个安全类sc₄、sc₃之间共知的文档信息为：U＝{(d，2)}；

③判断两个对象对应的安全类的安全等级的关系。这里，R₄＝3，R₃＝3，则sc₃可以访问与sc₄之间共知的文档信息：U＝{(d，2)}。

Claims

【权利要求1】多级安全访问控制方法，一个安全类由其安全等级及信息范围组成，其特征在于，包括以下步骤：

a、判断第一安全类与第二安全类是否满足，第一安全类的安全等级小于等于第二安全类的安全等级，且第一安全类的信息范围包含于第二安全类的信息范围；如是，进入步骤c；如否，进入步骤b；

b、判断第二安全类对应的第二对象组是否有第一安全类，若是，进入步骤c；若否，则拒绝访问；所述第二安全类对应的第二对象组中有第一安全类的条件是，第一安全类的安全等级小于等于第二安全类的安全等级，且第一安全类的信息范围与第二安全类的信息范围的交集不为空；

c、计算第一安全类与第二安全类之间的共知信息，所述共知信息为第一安全类与第二安全类的信息范围之间的交集，当第一安全类与第二安全类的安全等级相同，则第一安全类与第二安全类能相互访问对方的共知信息；当第一安全类的安全等级小于第二安全类的安全等级，则第二安全类能访问与第一安全类共知的信息。
【权利要求2】如权利要求1所述多级安全访问控制方法，其特征在于，所述信息范围由信息类别与其对应的敏感等级组成；

所述步骤b中，第一安全类的安全等级小于等于第二安全类的安全等级，且第一安全类的信息范围与第二安全类的信息范围中信息类别的交集不为空，则第一安全类存储于第二安全类对应的第二对象组中；

所述步骤c中所述共知信息为第一安全类与第二安全类之间的信息类别之间的交集，相交的信息类别的敏感等级取第一安全类的该相交信息类别对应的敏感等级与第二安全类的该相交信息类别对应的敏感等级的最小值。
【权利要求3】如权利要求2所述多级安全访问控制方法，其特征在于，所述敏感等级分为4个级别。