基于網(wǎng)絡(luò)行為的強(qiáng)制訪問技術(shù)在鐵路客票系統(tǒng)中的應(yīng)用*

姚 倩，宋 晶，戚建淮

（1.中國鐵路成都局集團(tuán)有限公司，四川 成都 610081；2.西南交通大學(xué)，四川 成都 610031）

0 引言

強(qiáng)制訪問控制技術(shù)[1-2]是指在系統(tǒng)中根據(jù)安全策略，即依據(jù)主體和客體的安全屬性制定的訪問規(guī)則，對主體發(fā)出的訪問請求進(jìn)行放行或阻攔的技術(shù)。主體和客體的安全屬性由管理員事先設(shè)定，只有主體和客體的安全屬性符合訪問規(guī)則時(shí)才能夠進(jìn)行訪問響應(yīng)操作。

經(jīng)典強(qiáng)制訪問控制模型有BLP（Bell-Lapadula）模型[3]、Biba模型[4]、域內(nèi)型增強(qiáng)（Domain and Type Enforcement，DTE）[5]模型等。BLP 模型主要應(yīng)用于軍事系統(tǒng)，它的訪問規(guī)則是“不上讀、不下寫”，限定數(shù)據(jù)只能由低等級(jí)向高等級(jí)單向流動(dòng)，存在數(shù)據(jù)流動(dòng)授權(quán)不靈活，同等級(jí)數(shù)據(jù)不能流動(dòng)，影響數(shù)據(jù)完整性的缺點(diǎn)。Biba 模型與BLP 模型對立，它的訪問規(guī)則為“不下讀、不上寫”，數(shù)據(jù)只能由高等級(jí)向低等級(jí)流動(dòng)，存在數(shù)據(jù)流動(dòng)授權(quán)不靈活，同等級(jí)數(shù)據(jù)不能流動(dòng)，影響數(shù)據(jù)機(jī)密性的缺點(diǎn)。以實(shí)現(xiàn)信息的完整性保護(hù)為目的提出的DTE 模型主要應(yīng)用于SELinux，它具有對進(jìn)程的訪問權(quán)限進(jìn)行細(xì)粒度的控制且配置靈活的優(yōu)點(diǎn)，但模型較為復(fù)雜。目前，在技術(shù)研究方面，強(qiáng)制訪問控制技術(shù)主要的兩個(gè)發(fā)展方向：應(yīng)用于特定場景進(jìn)行改進(jìn)[6-7]；與其他訪問控制技術(shù)結(jié)合進(jìn)行改進(jìn)[8]，在保持安全性的基礎(chǔ)上提高強(qiáng)制訪問控制靈活性。在應(yīng)用研究方面，目前強(qiáng)制訪問控制技術(shù)主要的兩個(gè)發(fā)展方向：應(yīng)用于主機(jī)操作系統(tǒng)上；應(yīng)用于數(shù)據(jù)庫管理系統(tǒng)上[9]。然而在物理層面的主機(jī)、數(shù)據(jù)庫上實(shí)施強(qiáng)制訪問控制，需要占用很多的計(jì)算、內(nèi)存等資源。在傳輸控制協(xié)議/網(wǎng)際協(xié)議（Transmission Control Protocol/Internet Protocol，TCP/IP）上進(jìn)行訪問控制可以在特定的網(wǎng)絡(luò)服務(wù)點(diǎn)進(jìn)行訪問控制，并且對不同層次可以執(zhí)行強(qiáng)度不同的訪問控制，此外，可以在底層檢測出某些非法的訪問行為，避免后續(xù)操作，提升整體性能[10]。

鐵路客票預(yù)訂與發(fā)售系統(tǒng)[11-12]是為實(shí)現(xiàn)鐵路客運(yùn)全路聯(lián)網(wǎng)售票、提高客運(yùn)服務(wù)和運(yùn)營水平而開發(fā)的超大型網(wǎng)絡(luò)應(yīng)用系統(tǒng)。該系統(tǒng)由鐵路集團(tuán)總公司、鐵路局集團(tuán)公司、車站3 級(jí)分布式架構(gòu)組成。鐵路客票系統(tǒng)為開放性強(qiáng)、實(shí)時(shí)性高、節(jié)點(diǎn)繁多、結(jié)構(gòu)復(fù)雜的大型網(wǎng)絡(luò)系統(tǒng)。針對該系統(tǒng)的攻擊行為通常出現(xiàn)在業(yè)務(wù)流程中網(wǎng)絡(luò)通信這一環(huán)節(jié)?；谙闰?yàn)知識(shí)的封堵查殺只能設(shè)法防御已知攻擊，難以抵御跨越信息物理邊界的未知威脅，因此對鐵路客票系統(tǒng)來說網(wǎng)絡(luò)層面的強(qiáng)制訪問控制更為重要。

本文在基于行為的訪問控制[13-15]基礎(chǔ)上，提出將強(qiáng)制訪問控制映射到網(wǎng)絡(luò)層面，利用基于5×5要素界定的強(qiáng)制訪問控制體系，規(guī)避在主機(jī)內(nèi)對用戶、進(jìn)程、文件和數(shù)據(jù)庫表進(jìn)行標(biāo)記并識(shí)別的困難，無須侵入主機(jī)內(nèi)截獲系統(tǒng)數(shù)據(jù)，解除對操作系統(tǒng)的依賴。本文提出的體系覆蓋TCP/IP 5 層模型，能在特定的網(wǎng)絡(luò)服務(wù)點(diǎn)進(jìn)行訪問控制，并且對不同的層次可以執(zhí)行強(qiáng)度不同的訪問控制。此外，某些非法的訪問行為可以在底層被檢測出，避免后續(xù)操作。該體系主要通過5×5 要素界定、賦碼與編碼、可信任訪問控制、取證留存等幾個(gè)步驟實(shí)現(xiàn)對鐵路客票系統(tǒng)網(wǎng)絡(luò)通信層面的強(qiáng)制訪問控制，并由此保證了鐵路客票系統(tǒng)的威脅可追溯性、數(shù)據(jù)機(jī)密性以及程序完整性。

1 基于網(wǎng)絡(luò)行為的強(qiáng)制訪問技術(shù)

操作系統(tǒng)中所有操作都是對客體的讀取或修改，主機(jī)操作系統(tǒng)中訪問控制的本質(zhì)就是控制系統(tǒng)中主體對客體的訪問權(quán)限。主機(jī)操作系統(tǒng)的訪問過程為主體發(fā)出訪問請求，經(jīng)操作系統(tǒng)檢測后控制對應(yīng)的客體響應(yīng)訪問。同樣地，網(wǎng)絡(luò)層面的訪問過程，也是主體發(fā)出訪問請求，由路由、網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)至對應(yīng)的客體。由于主機(jī)操作系統(tǒng)訪問過程與網(wǎng)絡(luò)層面訪問過程相似，通過將非受控系統(tǒng)環(huán)境下的程序執(zhí)行和數(shù)據(jù)訪問等價(jià)投射于網(wǎng)絡(luò)平面予以形式化表達(dá)，對經(jīng)由路由網(wǎng)關(guān)的訪問請求進(jìn)行強(qiáng)制訪問控制?；诰W(wǎng)絡(luò)行為的客票系統(tǒng)訪問體系如圖1所示。

圖1 基于網(wǎng)絡(luò)行為的客票系統(tǒng)訪問體系

1.1 5×5 要素界定

根據(jù)正常的網(wǎng)絡(luò)行為和惡意的網(wǎng)絡(luò)行為的數(shù)據(jù)流的統(tǒng)計(jì)特征具有差異這一特點(diǎn)，將網(wǎng)絡(luò)行為按要素進(jìn)行特征提取，并將提取的特征經(jīng)過賦碼后作為原始數(shù)據(jù)導(dǎo)入TCP/IP 5 層協(xié)議中。

將客票系統(tǒng)的實(shí)際業(yè)務(wù)行為進(jìn)行特征提取并映射到網(wǎng)絡(luò)，用網(wǎng)絡(luò)行為5 要素進(jìn)行標(biāo)識(shí)，每種行為與標(biāo)識(shí)之間呈現(xiàn)一一對應(yīng)關(guān)系，即一種行為對應(yīng)一種標(biāo)識(shí)。其中，5 要素為主體、客體、空間、行為、時(shí)間。主體是網(wǎng)絡(luò)行為的動(dòng)作發(fā)出者；客體是網(wǎng)絡(luò)行為的動(dòng)作響應(yīng)者；空間是主體和客體在網(wǎng)絡(luò)行為中所形成的訪問鏈路；行為是指主體和客體在網(wǎng)絡(luò)空間中形成的訪問行為；時(shí)間是指主客體在網(wǎng)絡(luò)空間中進(jìn)行訪問行為的時(shí)間。將網(wǎng)絡(luò)行為按上述5 個(gè)要素進(jìn)行標(biāo)記。

將客票系統(tǒng)的網(wǎng)絡(luò)行為在TCP/IP 的5 層中進(jìn)行數(shù)字化標(biāo)識(shí)，即標(biāo)識(shí)出物理層流量特征（比特流）、鏈路層流量特征（數(shù)據(jù)幀）、網(wǎng)絡(luò)層流量特征（數(shù)據(jù)報(bào)）、傳輸層流量特征（數(shù)據(jù)段）、應(yīng)用層流量特征（應(yīng)用數(shù)據(jù)），即將經(jīng)5 要素標(biāo)記后的網(wǎng)絡(luò)行為作為原始數(shù)據(jù)輸入TCP/IP 5 層協(xié)議中，經(jīng)后文中的編碼賦碼步驟，在每一層形成對應(yīng)標(biāo)識(shí)，將每一層中的標(biāo)識(shí)和原始數(shù)據(jù)一一對應(yīng)。網(wǎng)絡(luò)棧表征式的強(qiáng)制訪問控制和代際審計(jì)方法如圖2所示。

圖2 網(wǎng)絡(luò)棧表征式的強(qiáng)制訪問控制和代際審計(jì)方法

1.2 賦碼與編碼

賦碼器通過所有的基礎(chǔ)資料對業(yè)務(wù)的網(wǎng)絡(luò)行為進(jìn)行細(xì)分和標(biāo)識(shí)，得到賦碼和標(biāo)簽。一方面通過設(shè)計(jì)軟件的最初技術(shù)文檔及所形成的泳道圖等基礎(chǔ)資料，利用主體、客體、空間、行為、時(shí)間，5 個(gè)要素標(biāo)識(shí)客票系統(tǒng)業(yè)務(wù)的網(wǎng)絡(luò)行為并進(jìn)行賦碼；另一方面運(yùn)用工作流軟件、工作流引擎中間件技術(shù)識(shí)別還原網(wǎng)絡(luò)行為在TCP/IP 5 層協(xié)議中的流量特征表達(dá)并進(jìn)行賦碼，最終通過網(wǎng)絡(luò)行為形成定義、追溯及還原業(yè)務(wù)行為的5×5 編碼。

1.3 可信任訪問控制

在將客票系統(tǒng)的所有業(yè)務(wù)行為在網(wǎng)絡(luò)層面通過5×5 要素界定進(jìn)行賦碼和編碼后，在業(yè)務(wù)系統(tǒng)正常運(yùn)行的過程中，遍歷每一次行為周期并進(jìn)行滾動(dòng)。然后，基于“零信任”策略，對每一次業(yè)務(wù)的網(wǎng)絡(luò)行為依據(jù)5×5 編碼進(jìn)行判斷：將匹配編碼的網(wǎng)絡(luò)行為判斷為已定義的可信任行為，正常放行，不進(jìn)行阻斷與訪問控制操作；將無法匹配編碼的網(wǎng)絡(luò)行為判斷為非主體設(shè)定行為和環(huán)境擬態(tài)行為，并對此類異常行為進(jìn)行訪問控制。對網(wǎng)絡(luò)行為進(jìn)行訪問控制的流程如圖3 所示。

圖3 訪問控制流程

基于白名單策略，本方案將編碼信息作為唯一的可信根來進(jìn)行訪問控制模塊的處理。只有已定義的可信任網(wǎng)絡(luò)行為可以正常操作，以此實(shí)現(xiàn)了基于編碼賦碼的強(qiáng)制訪問控制，確保數(shù)據(jù)的完整性和機(jī)密性。對業(yè)務(wù)的網(wǎng)絡(luò)行為的遍歷需要超強(qiáng)的計(jì)算能力，而先進(jìn)類腦計(jì)算系統(tǒng)和算法可以為基于主體的強(qiáng)制訪問控制提供所需的大算力。

1.4 取證留存

在對判定為不合規(guī)的網(wǎng)絡(luò)行為進(jìn)行阻斷強(qiáng)制控制的同時(shí)，進(jìn)行審計(jì)取證、分類留存，以便后續(xù)出現(xiàn)問題時(shí)能夠按類別快速查出相關(guān)不合規(guī)網(wǎng)絡(luò)行為，移交至公安、國安或保密等相關(guān)部門。取證留存流程如圖4 所示。

圖4 取證留存流程

2 結(jié)語

本文首先分析了強(qiáng)制訪問控制技術(shù)和鐵路客票系統(tǒng)的研究現(xiàn)狀，其次提出了將網(wǎng)絡(luò)行為進(jìn)行5×5要素界定的訪問控制體系，并將其應(yīng)用于鐵路客票系統(tǒng)。利用該系統(tǒng)可以規(guī)避在主機(jī)內(nèi)對用戶、進(jìn)程、文件和數(shù)據(jù)庫表進(jìn)行標(biāo)記并識(shí)別的困難，無須侵入主機(jī)內(nèi)截獲系統(tǒng)數(shù)據(jù)，解除了對操作系統(tǒng)的依賴。通過對可信任網(wǎng)絡(luò)行為進(jìn)行5×5 編碼，對系統(tǒng)運(yùn)行過程中業(yè)務(wù)的網(wǎng)絡(luò)行為進(jìn)行合規(guī)性判斷和訪問控制。該體系覆蓋TCP/IP 五層模型，能在特定的網(wǎng)絡(luò)服務(wù)點(diǎn)進(jìn)行訪問控制，節(jié)省計(jì)算、內(nèi)存資源，并且對不同的層次可以執(zhí)行強(qiáng)度不同的訪問控制，某些非法的訪問行為可以在底層被檢測出，避免后續(xù)操作，從而提升網(wǎng)絡(luò)性能，實(shí)現(xiàn)對鐵路客票系統(tǒng)在網(wǎng)絡(luò)通信層面的強(qiáng)制訪問控制，并保證了鐵路客票系統(tǒng)的威脅可追溯性、數(shù)據(jù)機(jī)密性以及程序完整性。