[发明专利]一种基于信息流的多级安全访问控制模型

权利要求书

1.一种基于信息流的多级安全访问控制模型，其特征在于，包括以下步骤：

1)启动可信环境。平台基于国产龙芯3A2000处理器，系统内置集成有虚拟可信平台模块(Virtualized Trusted Platform Module，vTPM)的精简嵌入式操作系统。

2)初始化可信环境。由可信标签(Trusted Label，TL)控制中心初始化系统中待度量实体属性，包括完整性等级(Integrity Level，IL)、机密性等级(Secret Level，SL)和安全访问域(Security Access Field，SAF)，即赋予属性相应数值，同时，将初始化信息写入系统全局安全策略配置文件。

3)系统从初始可信环境开始运行。系统首先读取全局安全策略配置文件，并生成5个数据链表，分别用来存储系统中待度量实体的完整性等级、机密性等级、安全访问域、可信实体和所属域。完整性等级链表存储了系统中所有待度量实体当前的完整性等级数值，机密性等级链表存储了系统中所有待度量实体当前的机密性等级数值，安全访问域链表存储了系统中所有待度量实体当前的主/客体安全访问域，可信实体链表存储了系统中所有待度量实体中可信实体(排除不可信实体)，实体所属域链表存储了系统中所有待度量实体的所属主体。

4)系统运行后，当实体请求访问客体时，系统的访问控制机制会对该请求进行拦截，并转入访问控制检查模式：

4.1提取该访问请求的主体和客体对象。

4.2检查主体、客体是否均存在于可信实体链表，存在，则转到4.2.1；否则，转到4.2.2。

4.2.1将主、客体各属性应用到本专利所提出的多级安全访问控制模型，检查时候满足规则，如一致，则系统放行，允许此次访问请求，并将操作的主、客体分别加入对方的实体安全访问域链表中；否则，转到4.2.2。

4.2.2经可信代理模块，转向验证其所属域，根据判定其是否为可信的所属域，对此次请求访问的主、客体的可信标签属性进行初始化。若主、客体不全为可信实体，则转到4.2.2.1；否则，转到4.2.2.2。

4.2.2.1若实体所属域为不可信域，则系统自动拒绝此次访问操作；否则，继承原所属域赋予该实体的可信标签属性值，转到4.2.1。

4.2.2.2若实体所属域为不可信域，则赋予其最低完整性等级、最低机密性等级，同时安全访问域为空集，转到4.2.1；否则，提升主体完整性等级至客体完整性等级一致，机密性等级不变，转到4.2.1。

2.如权利要求1所述的一种基于信息流的多级安全访问控制模型，其特征在于系统在启动后会进行可信环境的初始化工作，包括：

根据BIBA模型的规定，系统在任何情况下，可信的实体都应该和不可信的实体相隔绝，并且只允许高完整性等级的实体访问低完整性等级的实体，否则，会导致接收低完整性等级信息流的实体完整性等级降低，进而影响整个系统完整性等级的下降，形成“单调性缺陷”。

根据BLP模型的规定，为了防止机密信息的泄漏，禁止低机密性等级的实体读取高机密性等级实体的信息流，或高机密性等级的实体将信息流写入低机密性等级实体，即系统全局禁止向上读和向下写等访问操作，以此来保证系统机密信息的保密性。

综上所述，为了实现对系统实体的信息流安全访问控制，需分别对其完整性和机密性进行验证，即为系统中待度量实体的完整性等级和机密性等级进行初始化，对于系统启动后，存在于可信环境中的实体赋予最高完整性等级和机密性等级。

对于每个实体来说，在一次信息流传递过程中，既可以是主体，也可以是客体，所以存在2种不同的安全访问域，分别是主体安全访问域集合和客体安全访问域集合，表示该实体作为主体时已建立联系的可访问客体集合或表示该实体作为客体时已建立联系的可被访问主体集合，初始化均为空集。