信息流安全

玻尔百科

核心要点

信息流安全的基本原则是无干扰，它确保高安全级别的活动对于低安全级别的实体是完全不可观察的。
系统使用标签和数学格来强制执行安全策略，其中 Bell-LaPadula 模型的“不上读，不下写”规则是一个经典的实现。
有效的安全防护必须能检测到直接（显式）的数据传输，以及通过程序控制流和隐蔽信道产生的间接（隐式）泄露。
信息流原则应用于计算的各个层面，从安全处理器设计到操作系统级的强制访问控制，并与人工智能和合成生物学等领域相关联。

引言

在数字时代，保障信息安全至关重要。虽然防火墙和访问控制列表构建了关键的边界防御，但一个更深层次的挑战在于控制信息在系统内部如何移动和转换。这就是信息流安全的领域，一种复杂精妙的方法，它不仅关注谁可以访问数据，更关注数据被允许流向何处。它解决了防止敏感机密信息泄露到公共领域这一根本问题，即使是通过微妙和间接的方式。本文将深入探讨使这种控制成为可能的精妙理论和实用机制。

我们将开启一段旅程，从构成信息安全基础的核心思想开始。在“原则与机制”部分，我们将探讨无干扰的基本原则、安全格的数学之美，以及用于跟踪显式和隐式信息流的巧妙技术。我们将了解强制执行这些规则的数字守护者，如引用监控器（Reference Monitor）。随后，“应用与交叉学科关联”部分将展示这些抽象概念不仅是理论性的，更是现实世界系统中安全性的基石。我们将看到它们对从处理器架构、编译器到操作系统等方方面面的影响，甚至会发现其与合成生物学和科学伦理治理等不同领域之间令人惊讶的联系。

原则与机制

我们已经看到，保障信息安全并不仅仅是筑起高墙，更在于控制信息的流动本身。但具体来说，一台只会盲目遵循指令的计算机，如何强制执行像“保密”这样微妙的概念呢？答案并非单一的技巧，而是来自数学、逻辑和工程学思想的华美交响乐。这段旅程将我们从简单直观的规则引向我们所能确知的深刻极限。

无干扰原则：一个简单的思想

让我们从一个思想实验开始。想象在一个密封的房间里，两个人被一面单向镜隔开。一边是“秘密持有者”，我们可以说他处于高（High）安全域。另一边是“公共观察者”，处于低（Low）安全域。公共观察者可以看到外面的世界，但看不到秘密持有者。我们希望强制执行的基本规则是：秘密持有者采取的任何行动，都不应产生能被公共观察者观察到的任何效果。

这就是无干扰（non-interference）原则的核心。高安全域的世界绝不能“干扰”低安全域的世界。如果秘密持有者在纸上写了一条信息，观察者不应能读到。如果秘密持有者开关一盏灯，观察者不应看到灯光的闪烁。无论秘密持有者在做什么，观察者对整个世界的体验都应完全相同。这个简单而强大的思想是信息流安全的终极目标。但在复杂的计算机世界中强制执行它，要求我们对“信息”和“流”的真正含义有极其精确的定义。

标签之舞：让保密性可见

计算机无法理解像“保密”这样的抽象意图，它需要具体的指令。第一步是通过为系统中的每一条信息、每一个文件和每一个用户附加一个安全标签来使保密性变得可见。在最简单的情况下，这些标签就是 High 和 Low。

信息在这些标签之间流动的规则既简单又直观：信息总是可以“向上”流动，但绝不能“向下”流动。将一条公共新闻（低安全级别）分类为国家机密（高安全级别）是完全可以的。但将国家机密（高安全级别）泄露给公众（低安全级别）则是一场灾难性的失败。

这种“上坡/下坡”关系不仅仅是一个类比，它是一种被称为格（lattice）的精确数学结构。格就像一张秘密的路线图，精确定义了哪些安全级别比其他级别“更高”或“更低”。例如，一个系统可能有一个最低级别 $\ell_0$ （公共），一个最高级别 $\ell_3$ （绝密），以及两个中间级别 $\ell_1$ （工程）和 $\ell_2$ （财务），这两个中间级别彼此不可比较。信息可以从 $\ell_0$ 流向 $\ell_1$ ，从 $\ell_1$ 流向 $\ell_3$ ，但不能从 $\ell_1$ 流向 $\ell_2$ ，也不能从 $\ell_3$ 向下流向 $\ell_1$ 。从源 $p$ 到汇 $q$ 的信息流仅当其标签遵循格序时才被允许： $\lambda(p) \sqsubseteq \lambda(q)$ 。

当标签本身具有结构时，这种机制会变得更加强大。想象一个标签是一个偶对（保密级别, {类别集合}）。一份文档可能被标记为 $(L_1, \{\mathrm{ENG}\})$ 。如果我们将这份文档与另一份标记为 $(L_1, \{\mathrm{SAL}\})$ 的文档合并，那么生成的报告的标签是什么？安全策略规定，新标签必须是源标签的并（join）运算结果，即最小上界。在这种情况下， $(L_1, \{\mathrm{ENG}\}) \sqcup (L_1, \{\mathrm{SAL}\}) = (L_1, \{\mathrm{ENG}, \mathrm{SAL}\})$ 。现在，工程师和销售人员都可以访问这份新文档。这就是“高水位标记”原则的实际应用：结果数据的敏感度总是至少与用于创建它的最敏感信息的敏感度相同。

蛛丝马迹：显式流与隐式流

既然我们已经标记了数据，如何跟踪其移动呢？我们必须追踪信息可能采取的每一条路径。有些路径是显而易见的，而另一些则异常微妙。

显式流是直接的数据传输。当程序执行像 public_var = secret_var 这样的语句时，它正试图创建一个显式流。一个具有安全意识的系统会检查标签。如果 secret_var 是 High 而 public_var 是 Low，该操作必须被阻止。规则是通用的：当我们计算一个新值，如 x + 1，其标签将成为输入标签的并集。如果 x 的标签是 High，1 的标签是 Low，那么结果 x + 1 的标签必须是 $High \sqcup Low = High$ 。

隐式流则要狡猾得多。这是谍报技术中的手段，信息不是通过所说的内容来传递，而是通过所做的事情来传递。考虑下面这段简单的代码：

注意，secret_bit 的值从未被直接复制到 public_var。然而，通过观察 public_var 是1还是0，任何人都可以推断出 secret_bit 的值。信息已经通过程序的控制流泄露了！

为了捕捉这个幽灵，我们需要一个同样巧妙的机制：程序计数器（PC）标签。可以将PC标签看作是执行上下文本身的“污点”。当程序的路径依赖于一个 High 值时（如我们的 if 语句中），PC标签被提升为 High。现在，在该上下文中写入的任何变量都会自动被这个污点“溅射”。public_var 的最终标签不仅仅是它自己计算出的标签（Low，因为 0 和 1 是公共的），而是其自身标签与PC标签的并集： $Low \sqcup High = High$ 。系统现在看到一个 High 值正试图赋给一个 Low 变量，并阻止这次泄露。这个精妙的机制使得系统不仅能监管数据，还能监管程序本身的逻辑。

门卫：引用监控器及其规则

所以我们有了标签和跟踪信息流的规则。但由谁来强制执行它们呢？这个关键角色由引用监控器（Reference Monitor）扮演，它是操作系统的一个特殊部分，充当着一个廉洁正直的门卫。它必须是防篡改的，每一次访问都必须无一例外地调用它，而且它必须足够小，以便能被验证其正确性。

这个守护者执行着保密性的两大戒律，这些戒律最早在 Bell-LaPadula 模型中被形式化：

简单安全属性（“不上读”）： 一个主体（用户或进程）只有在自身安全级别高于或等于客体（文件或数据）级别时，才能读取该客体。用格的术语来说，对于一个主体 $s$ 读取客体 $o$ ，必须满足 $\lambda(o) \preceq \lambda(s)$ 。你就是不能阅读超出你权限级别的文档。
*-属性（“不下写”）： 一个主体只有在客体的安全级别高于或等于主体自身级别时，才能向该客体写入。也就是说，对于一个主体 $s$ 向客体 $o$ 写入，必须满足 $\lambda(s) \preceq \lambda(o)$ 。正是这条规则阻止了 High 级别的主体通过将信息写入 Low 级别的文档来泄露信息。

这两条简单的规则，当由引用监控器在每次读写操作中严格执行时，构成了强制访问控制的基石，巧妙地防止了大量潜在的泄露。

隐秘的泄露：隐蔽信道与根本局限

有了我们标记好的世界和执行规则的守护者，我们的系统最终安全了吗？唉，世界远比这复杂。对手是聪明的，他们能找到方法通过我们从未打算用作信道的渠道来发送信息。这些渠道被称为隐蔽信道（covert channels）。

考虑一个狡猾的场景。一个 High 安全级别的主体 $S_H$ 想向一个 Low 安全级别的主体 $S_L$ 泄露一个比特的信息。系统阻止 $S_H$ 向 $S_L$ 可读的任何文件写入。但是，系统允许 $S_H$ 授予其他用户读取文件的权限。为了发送一个 1， $S_H$ 授予 $S_L$ 读取特定文件 File_A 的权限。为了发送一个 0，它则不授予权限。现在， $S_L$ 甚至不需要读取该文件的内容。它只需尝试打开 File_A。如果操作成功，比特位就是 1。如果失败，比特位就是 0。信息已经流动了，不是通过数据，而是通过系统自身的保护状态！

这个问题的解决方法与问题本身一样深刻：我们必须认识到，修改权限是一种写入形式。授予一个 Low 级别用户可以观察到的权限，是对系统元数据的“向下写入”，这也必须被引用监控器所禁止。

这引出了一个更深层次的问题。我们能构建一个完美的安全检查器吗？一个能够分析任何其他程序并确定地告诉我们它是否没有信息泄露的程序？通过可计算性理论的视角得出的答案是一个响亮的“不”。无干扰属性是不可判定的（undecidable）。不存在任何算法能够保证在有限时间内对任何程序给出正确的“是/否”答案。

我们所能做的，是为它的反面属性——不安全性——构建一个识别器。我们可以编写一个程序来运行并测试另一个程序，如果发现泄漏，就可以发出警报。如果发现了泄漏，我们就能确信该程序是不安全的。但如果它一直运行而没有发现泄漏，我们永远无法百分之百确定。这个程序是真的安全，还是泄漏被隐藏得太过巧妙以至于我们还没找到？这是一个令人谦卑的领悟，关乎我们能够自动化和证明的事物的根本局限。

变化世界中的安全：撤销与状态

我们最后的挑战是，现实世界是动态的。用户的安全许可可能会在会话中途被降级。系统应该怎么做？

假设一个以 High 许可运行的主体已经读取了机密数据，这些数据现在存储在其程序的内存中。突然，管理员将该主体的许可降级为 Low。引用监控器现在将该主体视为 Low。根据“不下写”规则，该主体现在被允许向 Low 级别的文件写入。问题是显而易见的：程序现在可以将其内存中仍然持有的机密数据——即其残留污染（residual contamination）——直接写入一个公共文件中。

这说明了一个关键点：信息不仅仅是一个抽象的标签，它被物理地编码在机器的状态中。处理降级的唯一真正安全的方法是执行原子性的“净化”操作：系统必须冻结该主体的进程，精准地清除任何包含高于其新许可级别数据的内存、缓冲区或缓存，撤销其对旧的 High 级别文件的访问权限，然后才允许它恢复执行。

从一个保持秘密的简单愿望出发，我们穿越了数学格、逻辑规则和计算物理现实的广阔图景。信息流安全是人类智慧的证明，是一项持续而引人入胜的努力，旨在将逻辑秩序施加于混乱而强大的信息世界之上。

应用与交叉学科关联

我们花了一些时间探讨信息流的美妙而抽象的原则，以及那些控制秘密如何被容纳的格与规则。你可能会认为这纯粹是一场数学游戏，是理论家的游乐场。但事实远非如此。这些思想不仅仅是抽象的；它们是我们所构建的世界中安全的基石。信息流原则是我们数字堡垒的无形建筑师，是我们操作系统中的沉默守护者，而且，正如我们将看到的，它是一个如此基本的概念，以至于在生物学的基本构造甚至科学伦理学中都能找到它的回响。

现在，让我们开启一段从机器核心到生命与社会前沿的旅程，看一看这个精妙的思想——控制信息流——如何在各种令人惊讶的关键应用中体现出来。

数字基石：从内到外保护我们的计算机

在数字世界的最底层是处理器，即计算机快速思考的大脑。如果我们不能信任处理器，我们就什么都不能信任。但你如何命令一块硅片保守秘密呢？

你教给它信息流的规则。想象一下，我们可以在处理器内部的每一份数据上附加一个微小、无形的标签——一个“机密”标签或一个“公开”标签。当算术单元执行一个操作（如加法）时，它也必须为结果计算标签。规则简单而直观：如果任何输入是机密的，那么输出也必须是机密的。这是直接、显式的信息流。但真正的精妙之处，也就是秘密喜欢隐藏的地方，在于计算的副作用。如果用一个秘密数字做除法导致了“除零”警报怎么办？一个监视该警报的攻击者就能知道这个秘密是否为零！如果一个操作使用秘密输入“1”比使用“0”花费的时间更长怎么办？处理器时钟的滴答声本身就成了叛徒。

要构建一个真正安全的处理器，就必须消除这些“侧信道”。机器的设计必须使其在外部看来行为完全一致，无论其内部正在处理何种机密值。如果一个涉及机密的计算可能引发警报，该警报会从外部世界被悄悄抑制。如果其执行时间可能依赖于机密，该操作将被强制在恒定时间内完成。通过这种方式，处理器的外部表现就成了一张完美的扑克脸，不透露任何内部的机密波动。

设计者与攻击者之间的这场猫鼠游戏是真实存在的。臭名昭著的“Spectre”漏洞表明，现代处理器在对速度的不懈追求中，会执行一种称为推测执行（speculative execution）的“预见性”操作。它们猜测程序将要走的路径并提前执行指令。如果猜测错误，它们会抹去结果。但执行的幽灵依然存在——在共享内存缓存中留下的微弱模式。一个聪明的间谍程序看不到机密数据，但它可以通过测量访问时间来看到数据在缓存中留下的幽灵般的足迹。这是一种通过微体系结构本身的、微妙而短暂的信息流。即使在像GPU这样与CPU操作方式不同的大规模并行处理器上，类似依赖于机密的执行模式也可能被利用，在共享缓存中描绘出这些幽灵般的图像，从而创建一个可行的侧信道。保护硬件安全是一场持续的战斗，旨在发现并堵上这些微观的、无意的泄漏点。

从硬件向上，我们遇到了编译器——将人类可读代码转换成机器母语的大师级翻译。编译器是一个关键的检查点。它对整个程序有鸟瞰式的视野，并可以在程序运行前充当一个不知疲倦的安全审计员。这就是静态信息流控制（SIFC）的领域。利用从形式逻辑和编程语言理论中借鉴的技术，一个具有安全意识的编译器可以分析每一行代码，并从数学上证明没有任何信息能从一个‘高安全’变量流向一个‘低安全’变量。

它不仅必须跟踪明显的显式流，如 public_var = secret_var，还必须跟踪狡猾的隐式流。考虑语句 if (secret_bit == 1) { public_var = 1; } else { public_var = 0; }。没有任何秘密被直接赋给公共变量，但 public_var 的最终值却完美地揭示了 secret_bit。一个安全的编译器通过维护一个“程序计数器安全级别”来跟踪这一点，该级别在任何依赖于机密值的条件分支内部变为“机密”，从而有效地污染该块内的所有内容。

这种警惕性必须延伸到编译器最深层、最优化的地方。一种使代码更快的标准优化是通过“合并”不同变量的活跃范围到单个物理寄存器中来消除冗余指令。但是，如果一个变量持有秘密，而下一个变量持有公开数据呢？如果不加小心，同一个物理寄存器可能被两者共用。由于数据残留等物理效应，秘密的微弱痕迹可能会保留下来，泄漏到公开数据中。一个安全的编译器必须防止这种情况，也许可以通过将物理寄存器划分为不相交的“机密”和“公开”集合，确保这两个世界永远不会接触到同一块硅片。无干扰原则必须在任何地方都得到执行，即使是在最平凡的地方——包括编译器自己的错误信息。如果一条诊断信息“贴心地”引用了一行包含密码的代码，它就刚刚广播了秘密。一个安全的编译器必须编辑掉错误信息中任何依赖于机密值的部分，只报告错误的位置和类型。

操作系统：信息的中枢总站

操作系统（OS）是整个交响乐的总指挥。它管理着每个进程、每个文件、每个网络连接。它是信息的终极交通警察，并拥有强大的工具来执行交通规则。

其中最强大的工具是强制访问控制（MAC）。与用户可能犯错的自主访问控制模型不同，MAC是系统施加的一条铁律。考虑一下在医院保护病人记录的巨大挑战。我们有不同敏感度的数据：高度机密的个人可识别信息（PII）、用于研究的去标识化数据，以及公共健康统计数据。我们也有不同权限的用户：需要完全访问权限的医生，需要读取和追加笔记的护士，以及绝不能看到PII的研究人员。

一个MAC系统，例如实现了著名的 Bell-LaPadula 模型的系统，强制执行一条简单而严格的法则：“不上读，不下写”。一个拥有‘低’权限的研究人员不能读取一个‘高’安全级别的病人文件。更微妙的是，一位处理‘高’安全级别文件的医生，不能意外地将该信息写入一个‘低’安全级别的研究数据库。这条“不下写”规则是保密性的基石。但是，这样一来，去标识化的数据又该如何创建呢？解决方案是指定一个特殊的、经过严格审计的“可信主体”——一个被授予读取“高”和写入“低”的独特权限的程序，充当两个世界之间的安全网关。

MAC也是一种被称为“糊涂的代理人”（confused deputy）的经典漏洞的完美解药。这种情况发生在，一个特权程序被恶意用户欺骗，从而滥用其权限。想象一下云环境中的一个中心服务，它与来自不同租户的程序通信。如果它使用一个不可靠的标识符，比如对不同租户可能相同的数字用户ID，它就可能被迷惑，将租户A的数据中继给租户B。像SELinux这样启用了MAC的操作系统通过忽略这些脆弱的用户级细节来解决这个问题。相反，它依赖于不可伪造的、由内核强制执行的安全标签。当服务与租户A通信时，内核可以限制其行为，确保它只能访问租户A的资源，从而无论代理人变得多么“糊涂”，都能防止泄漏。

虽然MAC提供了静态、不可动摇的边界，但操作系统也可以扮演一个更动态的角色。污点跟踪是一种技术，操作系统实时监控信息流，几乎就像注入了荧光染料。当一个进程从一个敏感文件（源）读取时，操作系统就“污染”该进程。这种污染随后会传播。如果该进程写入文件或通过管道发送消息，污染就会流向该对象。如果另一个进程读取了被污染的对象，它也会被污染。操作系统在整个系统中跟踪这种染料的流动。如果一个被污染的进程试图向一个公共网络套接字（汇）发送数据，操作系统可以介入并阻止该操作，及时防止数据泄露。

超越硅基：信息流在更广阔世界中的应用

信息流的原则是如此基本，以至于它们超越了数字领域。我们现在看到这些思想以深刻的方式与其他科学学科联系起来。

在人工智能的世界里，我们现在可以训练机器学习模型来执行安全分析。一个程序的结构可以表示为控制流图，其中节点代表操作，边代表控制流。图神经网络（GNN）可以在这些图上进行训练，以发现不安全的模式。通过定义诸如“是污点源”或“是数据净化器”之类的节点特征，GNN的消息传递机制学会了在图中传播风险评分，从而有效地自动化了我们在操作系统中看到的那种污点分析。

也许最令人惊讶的跨学科联系位于合成生物学的前沿。科学家们正在探索使用DNA作为超密集、长期数据存储的媒介。人们可以将整个美国国会图书馆编码到一试管的工程细菌中。但这引发了一个宇宙级的安全问题。为了控制这些细菌，它们被设计成依赖于自然界中不存在的合成营养物。但什么来控制信息呢？是DNA本身。通过一种称为水平基因转移（HGT）的自然过程，细菌可以交换遗传物质。如果来自我们工程菌的编码数据的DNA被转移到一种野生的、生命力强的微生物中，敏感信息就可能逃逸到全球微生物组中。它将不受控制且不可逆转地复制、传播和存续。这是终极的信息泄露——一个秘密不仅被广播出去，而且被赋予了它自己的生命。

最后，信息流控制的概念甚至适用于科学与社会本身的治理。考虑“两用研究关切”（DURC）——这类研究既有合法的科学效益，也可能被滥用于有害目的，例如一项详细描述如何使病原体更危险的研究。公开发表这项工作可能是灾难性的。永不发表则会扼杀科学进步。困境在于如何管理这种危险知识的流动。解决方案与我们所见的安全模型相呼应：一种分层方法。核心科学结论公开发表，但具体的、“配方式”的细节被隐去。这些敏感信息随后被放置在一个受控访问的存储库中，只有经过审查的、合法的、具有适当凭证和监督的研究人员才能访问。这是一个针对人类知识的MAC模型，它建立了安全级别和可信的解密途径，在发现的益处与防止伤害的责任之间取得平衡。

从晶体管的翻转到出版的伦理，从编译器的逻辑到生命的演化，信息流原则是一个深刻而统一的主题。它教导我们，要保护一个秘密，不仅要警惕它流向何方，还要警惕它投下的每一个阴影和留下的每一个回响。在一个充满信息的世界里，这是一个关于秩序和控制的根本挑战。