[发明专利]一种计算机系统安全模型验证方法

权利要求书

1.一种计算机系统安全模型验证方法，其步骤为：

1)UML建模模块采用UML描述语言描述计算机系统安全模型的动、静态属性，得到计算机系统安全模型的UML模型；

2)将待验证安全属性用预定的形式化验证工具所采用的数理逻辑公式进行描述；

3)UML模型转换模块将该UML模型转换为该预定形式化验证工具所能处理的输入模型；

4)该预定形式化验证工具对该输入模型进行状态遍历，并计算2)中得到的公式在每个状态上的满足性，输出验证结果。

2.如权利要求1所述的方法，其特征在于所述UML模型包括访问发起机构和仲裁机构；所述访问发起机构采用UML描述语言的一状态机图描述所述计算机系统安全模型中主体对客体提出访问要求；所述仲裁机构采用UML描述语言的一状态机图依据所述计算机系统安全模型的安全策略来对所述计算机系统安全模型中主体提出的访问要求进行仲裁。

3.如权利要求2所述的方法，其特征在于所述访问发起机构采用UML描述语言的一状态机图描述所述计算机系统安全模型中主体对客体提出访问要求的方法为：所述访问发起机构首先经初始化确定主体s客体o的安全级别以及主体对客体的访问方式a；然后向将访问申请(s，o，a)交由所述访问仲裁机构进行仲裁，若批准，则实施状态迁移，进入下一个系统状态，而无论申请成功与否，都会进入第二次申请，如此循环。

4.如权利要求2所述的方法，其特征在于所述仲裁机构采用UML描述语言的一状态机图依据所述计算机系统安全模型的安全策略来对所述计算机系统安全模型中主体提出的访问要求进行仲裁的方法为：所述仲裁机构接到所述访问发起机构的访问申请后，依据计算机系统安全模型的访问控制规则对申请进行仲裁，并将结果返回给该访问申请机构；所述访问控制规则由该仲裁机构状态机图中的状态转换的守卫条件实现。

5.如权利要求2所述的方法，其特征在于所述状态机图中所涉及到的计算机系统安全模型的元素、属性由各自所对应的类图描述；所述类图用于保存对应状态机图中各个状态的属性并定义可能的行为。

6.如权利要求5所述的方法，其特征在于所述访问发起机构的类图保存了安全模型中所有与主、客体相关的属性，以及安全模型的各种敏感级，主体读过的客体的最高读敏感级read_level、主体写过的客体的最高写敏感级write_level，以及读申请动作和写申请动作。

7.如权利要求6所述的方法，其特征在于所述安全模型为DBLP模型；所述DBLP模型中各种敏感级包括：最小可写敏感级a_min_s、最大可读敏感级v_max_s、客体最大敏感级标签L_min_o、客体最小敏感级标签L_max_o和当前访问客体的敏感级标签level_c。

8.如权利要求5所述的方法，其特征在于所述访问仲裁机构的类图保存了请求批准动作、请求非法动作和仲裁结束动作。

9.如权利要求1所述的方法，其特征在于所述预定的形式化验证工具为模型检测器；所述模型检测器为基于线性时态逻辑的模型检测器。

10.如权利要求9所述的方法，其特征在于所述UML模型转换模块利用形式化的语义转换算法将该UML模型转换为所述模型检测器所能处理的输入模型。