[发明专利]一种基于强制访问控制技术的可信应用环境构建方法

说明书

(一)技术领域

本发明属于安全操作系统领域，是一种利用强制访问技术、可信计算技术等实现可信应用环境的构建方法，该方法不仅能够实现自我保护，而且还能为系统上层应用提供安全、可信运行环境，维持应用的可信状态。

(二)背景技术

应用环境是用户的工作环境，是应用代理用户行使权限、执行任务的场所，随着信息化的推进，特别是网络的发展，使得各种新的应用层出不穷，应用环境变得越来越复杂，而应用环境的可信性直接影响着整个信息系统的安全性。如果应用环境不可信，应用在运行的过程当中就可能遭受来自环境中的恶意干扰或者攻击，一旦潜伏在应用程序中这种安全漏洞被利用，整个信息系统将面临被破坏的危险。因此，构建可信应用环境，不仅可以保护信息系统的完整性、应用的可用性，而且能为信息系统的整体安全提供保障。

我国重要信息系统遵循等级保护制度，而访问控制技术则是等级保护制度的核心内容。国标GB17859-1999规定，三级以上的信息系统，普遍要求强制访问控制技术。在强制访问控制机制下，系统中的每个进程、每个文件客体都被赋予了相应的安全属性(安全标记)，这些安全属性是不能随意改变的。当一个应用进程访问一个客体时，就要调用强制访问控制机制，根据相应的访问方式，比较进程的安全属性和客体的安全属性，从而确定是否允许访问。强制访问技术要求系统中的每一个主客体都要进行安全标记，而安全标记一般包括级别和类别两个方面。

强制访问技术的实现一般基于两种安全策略模型，即BLP保密性模型和Biba的完整性模型，而可信应用环境的构建主要的目标是保护环境中的应用不受外界的恶意干扰，保障其能够按照预期行为运行，因此，本专利主要考虑对客体文件的完整性标记，即使用Biba模型进行安全标记。Biba模型的访问规则如下：

当主体的类别范畴包含于客体的类别范畴，并且主体的完整性级别高于客体的完整性级别时，主体可以写客体。

当主体的类别范畴包含于客体的类别范畴，并且主体的完整性级别低于客体的完整性级别时，主体可以读客体。

可信计算技术是当前的热点，可信计算提出了信任链传递的概念，利用可信链传递技术，可以保证信任从硬件到操作系统的可信，而可信计算技术的可信度量只能保证应用的初态可信，但是如何保证应用的运行时信任度不衰减，从而把信任延伸到应用系统，维持信任链的传递是构建可信应用环境面临的挑战。

许多Linux操作系统发行版本，都是由基本系统和很多软件包构成的，每个不同的应用程序包括应用程序运行所依赖的工具或库文件都是以软件包的形式提供给用户的，软件包通常包含了应用程序、相关配置以及一些运行所使用的库文件等等。常用的软件包格式有两种，Red Hat、Fedora等发行版本使用RPM；Debian和Ubuntu使用.deb格式。软件包之间存在着依赖关系，这些依赖关系形成一个逻辑树结构，一个软件包在这个逻辑树结构中有自己的位置，仅当树中它的所有后代节点相对的软件包都正确安装时，软件包所支持的应用程序才能正确运行。系统所提供的应用安装流程实际上是安装一个特定的软件包以及安装这个软件包所依赖的其它软件包。

(三)发明内容

本发明的目的在于提供一种基于强制访问控制技术的可信应用环境的构建方法，以实现对系统所支持不同应用的安全域划分并且进行隔离保护，减少或者屏蔽环境中其它应用非预期的干扰，以保持应用在运行的过程当中的安全可信状态。

为达到上述目的，本发明的技术方案是这样实现的：

1.一种基于强制访问控制技术的可信应用环境的构建方法，包括应用安装包的完整性标记和实现应用安全隔离两部分，应用安装包的完整性标记部分使用分级分类的标记规则来描述操作系统环境软件包之间的依赖关系，即当系统选定要支持的n个应用后，通过相关的软件包管理工具就能得到能使这些应用正常运行时所依赖的所有软件包，并且可以建立这些软件包依赖关系的数据库，这些复杂的软件包关系可以建立一个逻辑树，使用特定的标记算法对软件包依赖逻辑树进行分级分类。具体的标记步骤分为级别标记和类别标记两部分：

其构建方法如下：

步骤一：级别标记，即将基本系统标为最高级别，根据软件包的依赖关系，从基本系统开始进行逐层遍历，完成对系统所有软件包的级别标记，用级别标记为系统软件包划分完整级别，确保依赖关系只存在于低完整级别和高完整级别之间。