[发明专利]一种安全操作系统强制访问控制机制的实施方法

摘要

一种安全操作系统强制访问控制机制的实施方法，属安全操作系统设计和实现领域。其主体是安全体系结构和访问控制流程。安全体系结构给出了操作系统为支持强制访问控制机制，在设计上的层次划分和模块之间的依赖关系，在实施方法中，由下到上分为四个层次：即驱动层、内核层、系统层和应用层，并包括：强制访问控制执行模块、标记管理模块、管理信息处理模块，安全初始化模块以及存储介质加密保护模块。强制访问控制流程给出了在安全操作系统中实施强制访问控制在时序、过程上先后关系。支撑模型、数据结构和钩子函数给出了实现的具体细节。强制访问控制机制是高安全等级操作系统必备的安全功能，该方法可广泛地应用于高安全等级操作系统的设计上。

主权项

1.本专利权利要求主要包括安全体系结构、强制访问控制流程和强制访问控制支撑模型三项：1.安全体系结构的划分强制访问控制机制是安全Linux操作系统的重要部分，整个系统主要包括：强制访问控制执行模块、标记管理模块、管理信息处理模块、安全初始化模块以及存储介质加密保护模块，模块的关系在附图1，以下是各个模块的关系。1)强制访问控制执行模块：强制访问控制执行模块在系统调用接口位置截取系统执行流程，并顺序执行以下功能：●调用标记管理模块完成系统中主客体的标识和强制访问控制验证工作。●根据标记管理模块返回的函数调用结果，对系统调用行为进行裁决。●根据裁决的结果，提取该次行为的审计信息，并将其发送到管理信息处理模块。●对被裁决为非法访问的行为，进行返回处理，并返回系统错误信息给应用子系统。2)标记管理模块：标记管理模块在系统内核层执行，完成如下一些安全功能：●根据管理信息处理模块提供的强制访问控制包，建立内核用户安全列表、客体安全列表和特权安全列表。●在系统执行创建新主体(fork，exec)和创建新客体(open，create)的操作时，从安全列表中查找对应的安全标记，并与主体/客体绑定。●在系统执行访问时，根据强制访问控制执行模块提供的主体/客体标记，对访问是否符合强制访问控制进行判决，如果判决允许，则返回允许结果给强制访问控制执行模块。●对不符合强制访问控制的访问，判断主体是否具有该客体的执行特权，如符合该特权，则返回特权允许信息给强制访问控制执行模块，否则返回禁止访问结果。3)管理信息处理模块：管理信息处理模块处理与安全管理相关的信息收发、筛选，包括强制访问控制模块的接收和审计模块的发送，具体功能如下：●接收安全管理中心发送的下拉安全管理策略数据包，检查其可信性，即完整性，而后将其解密后发送给标记管理模块。●接收强制访问控制处理模块中获取的审计信息，对其进行分类筛选，并根据其优先级次序将审计信息发送给审计子系统。●对需要完整性验证的客体访问操作，当标记管理模块返回不确定结果时，强制访问控制执行模块向管理信息处理模块发送对应审计信息，由管理信息处理模块的完整性验证进程执行完整性验证功能，并将结果向标记管理模块发送，然后通知强制访问控制执行模块。●对网络访问控制行为，当标记管理模块返回不确定结果时，强制访问控制执行模块向管理信息处理模块发送对应审计信息或执行完整性验证功能，管理信息处理模块据此组织可信接入申请数据包，并向对应的安全节点子系统发送，而后获取对应节点的可信接入应答数据包，返回可信接入确认数据包，然后通知强制访问控制执行模块。4)安全初始化模块：安全初始化模块完成功能如下：●系统从启动到正常运行过程中基于完整性度量的可信链建立，包括TPCM模块对BIOS的完整性检查，BIOS对可信引导程序的完整性检查，可信引导程序对可信初始系统的完整性检查，可信初始系统对运行环境的完整性检查。●在系统引导过程中，执行系统用户开机检查功能，为系统的启动分配初始主体信息。5)存储介质加密保护模块：存储介质加密保护模块对文件系统向存储介质的读写操作执行文件粒度的加密保护功能，防止绕过系统TCB机制对存储介质的直接访问行为导致泄密事故。注：其具体划分参加说明书附图1。2.强制访问控制实施流程系统在初始化过程中，安全管理中心需要对系统中的所有主体和客体实施身份管理、标记管理、授权管理和策略管理。身份管理是确定系统中的所有合法用户的身份、工作密钥、证书等与安全相关的内容。标记管理是根据业务系统的需要，结合客体资源的重要程度，确定系统中所有客体资源的安全级，生成全局客体标记列表，同时根据用户在业务系统中的权限和角色确定主体的安全标记，生成全局主体标记列表。授权管理是根据系统需求和安全状况，授予用户访问客体资源能力的权限，生成强制访问控制列表和特权列表。策略管理则是根据节点系统的需求，生成和执行主体相关的策略，包括强制访问控制策略、级别改变检查策略等，供节点系统执行。除此之外，系统审计员需要通过安全管理中心制定系统审计策略，实施系统的审计管理。系统初始化完成后，用户便可以请求访问系统资源，该请求将被强制访问控制模块截获。强制访问控制模块从用户请求中取出访问控制相关的主体、客体、操作三要素信息，然后查询全局主/客体列表，得到主/客体的标记信息。进而依据强制访问控制策略对该请求实施策略符合性检查。如果该请求符合系统强制访问控制策略，则系统将允许该主体执行资源访问。否则，系统将进行级别改变审核，即依据级别改变检查策略，判断发出该请求的主体是否有特权访问该客体。如果上述检查通过，系统同样允许该主体执行资源访问，否则，该请求将被系统拒绝执行。系统强制访问控制机制在执行强制访问控制过程中，需要根据系统审计员制定的审计策略，对用户的请求及安全决策结果进行审计，并且将生成的审计信息发送到审计服务器存储，供审计员管理。注：其具体流程参加说明书附图2。3.强制访问控制的支撑模型：二元多级安全模型强制访问控制机制应该建立在形式化的安全模型之上。经典的BLP模型是一个最早提出的防止敏感信息泄漏的机密性安全模型，而Biba模型是一个防止信息被非法的篡改和破坏的完整性模型。在当前复杂的计算环境下，在防止信息泄漏的基础上应该防止信息被非授权的修改，即在保护敏感信息机密性的同时保护信息的完整性，因此需要一个兼顾信息机密性和完整性的二元多级安全模型。以下是在实现安全操作系统时，所采用的安全策略模型的形式化描述：定义1主体、客体及操作：S为主体的集合，O为客体的集合，而A＝{r，w，a，e}表示主体对于客体访问方式的集合，其中r为读访问，w为写访问，a为追加写访问，e为执行访问。定义2机密性等级集合：L_C为机密性等级集合，其中C_f为正整数保密级函数集合，c_m＞c_n表示保密级c_m大于保密级c_n。K_c＝{k₁，k₂，....，k_n}为非等级机密性范畴，表示k₁包含于k₂。定义L_C上的满足偏序特性的“支配”关系≥，设l₁＝(c₁，k₁)∈L_c，l₂＝(c₂，k₂)∈L_c，l₁≥l₂当且仅当c₁≥c₂，定义3完整性等级集合：L_I为完整性等级集合，其中I_f为正整数完整级函数集合，i_m＞i_n表示完整级i_m大于完整级i_n。K_i＝{k₁，k₂，....，k_n}为非等级完整性范畴，表示k₁包含于k₂，设定义L_I上的满足偏序特性的“支配”关系≥，l₁＝(c₁，k₁)∈L_i，l₂＝(c₂，k₂)∈L_i，l₁≥l₂当且仅当i₁≥i₂，定义4系统状态：系统状态v，集合V中的元素v∈V＝{B×M×F×I×H}为一个系统状态，其中：当前存取集B：对于b＝(s×o×a)∈B，s∈S，o∈O，a∈A表示主体s以a的方式对于客体o进行访问；存取控制矩阵M：M＝{M是矩阵|m_ij∈M是主体s_i对于客体o_j的访问权限集合}；机密级等级函数F：是由三个分量组成，即f＝{f_s，f_c，f_o}，f_s为主体最大机密级函数，f_s(s)∈L_c表示主体最大机密级；f_c为主体当前机密级函数，f_c(s)∈L_c为主体当前机密级；f_o为客体机密级函数，f_o(s)∈L_c为客体机密级。完整级等级函数I：是由三个分量组成，I＝{I_s，I_c，I_o}，I_s为主体最大完整级函数，I_s(s)∈L_i表示主体最大完整级；L_c为主体当前完整级函数，I_c(s)∈L_i为主体当前完整级；I_o为客体完整级函数，I_o(s)∈L_i为客体完整级。客体间的层次结构H：H＝{h|h∈P(O)^o∩属性1∩属性2}。属性1：∀oi∈O,∀oj∈O,(oi≠oj⇒H(oi)∩H(oj)=φ);]]>属性2：!∃{o1,o2,o3,......ow}⊆O[∀r(1≤r≤w⇒or+1∈H(or))∩(ow+1≡o1)]]]>规则1：扩展自主安全一个状态v＝(b×m×f×i×h)满足可信自主安全，当且仅当规则2：扩展简单安全一个状态v＝(b×m×f×i×h)对于主体集S，s∈S满足可信扩展简单安全，当且仅当(s,o,x)∈b⇒]]>a)x＝e；b)x＝r，并且f_s(s)≥f_o(o)；c)x＝a，并且I_s(s)≥I_o(o)；d)x＝w，并且f_s(s)≥f_o(o)，I_s(s)≥I_o(o)；规则3：扩展读安全一个状态v＝(b×m×f×i×h)对于非可信主体S_ut，s∈S_ut满足扩展读安全，当且仅当(s,o,r)∈b⇒]]>a)f_c(s)≥f_o(o)，I_c(s)≤I_o(o)；b)f_c(s)≥f_o(o)，I_c(s)＞I_o(o)，if s∈S_t；c)f_c(s)＜f_o(o)，I_c(s)≤I_o(o)，if s∈S_t；规则4：扩展追加写安全一个状态v＝(b×m×f×i×h)对于非可信主体S_ut，s∈S_ut满足扩展读安全，当且仅当(s,o,a)∈b⇒]]>a)f_c(s)≤f_o(o)，I_c(s)≥I_o(o)，if s∈S_t；b)f_c(s)＞f_o(o)，I_c(s)≥I_o(o)，if s∈S_t；c)f_c(s)≤f_o(o)，I_c(s)＜I_o(o)，if s∈S_t；规则5：扩展写安全一个状态v＝(b×m×f×i×h)对于非可信主体S_ut满足扩展写安全，当且仅当a)f_c(s)＝f_o(o)，I_c(s)＝I_o(o)；b)f_c(s)＝f_o(o)，I_c(s)＜I_o(o)，if s∈S_t；c)f_c(s)＝f_o(o)，I_c(s)＞I_o(o)，if s∈S_t；d)f_c(s)＞f_o(o)，I_c(s)＝I_o(o)，if s∈S_t；e)f_c(s)＜f_o(o)，I_c(s)＝I_o(o)，if s∈S_t。