[发明专利]一种基于信息流的多级安全访问控制模型

摘要

本发明基于信息流强制访问策略，提出了一种基于信息流的多级安全(Multilevel Security，MLS)访问控制模型。通过分析两种多级安全策略BIBA与BLP模型的联系与侧重点，利用多级安全的思想设计信息流访问规则，考虑现有模型的“单调性缺陷”，设计了针对特定信息流实施访问规则的可信代理(Trusted Agent，TA)模块，扩展了信息流传递的限制条件，同时系统仍能继续保持原有的可信等级。本发明公开的模型具有较好的信息流访问控制效果，并且适用于跨域系统的信息流传递。

主权项

一种基于信息流的多级安全访问控制模型，其特征在于，包括以下步骤：1)启动可信环境。平台基于国产龙芯3A2000处理器，系统内置集成有虚拟可信平台模块(Virtualized Trusted Platform Module，vTPM)的精简嵌入式操作系统。2)初始化可信环境。由可信标签(Trusted Label，TL)控制中心初始化系统中待度量实体属性，包括完整性等级(Integrity Level，IL)、机密性等级(Secret Level，SL)和安全访问域(Security Access Field，SAF)，即赋予属性相应数值，同时，将初始化信息写入系统全局安全策略配置文件。3)系统从初始可信环境开始运行。系统首先读取全局安全策略配置文件，并生成5个数据链表，分别用来存储系统中待度量实体的完整性等级、机密性等级、安全访问域、可信实体和所属域。完整性等级链表存储了系统中所有待度量实体当前的完整性等级数值，机密性等级链表存储了系统中所有待度量实体当前的机密性等级数值，安全访问域链表存储了系统中所有待度量实体当前的主/客体安全访问域，可信实体链表存储了系统中所有待度量实体中可信实体(排除不可信实体)，实体所属域链表存储了系统中所有待度量实体的所属主体。4)系统运行后，当实体请求访问客体时，系统的访问控制机制会对该请求进行拦截，并转入访问控制检查模式：4.1提取该访问请求的主体和客体对象。4.2检查主体、客体是否均存在于可信实体链表，存在，则转到4.2.1；否则，转到4.2.2。4.2.1将主、客体各属性应用到本专利所提出的多级安全访问控制模型，检查时候满足规则，如一致，则系统放行，允许此次访问请求，并将操作的主、客体分别加入对方的实体安全访问域链表中；否则，转到4.2.2。4.2.2经可信代理模块，转向验证其所属域，根据判定其是否为可信的所属域，对此次请求访问的主、客体的可信标签属性进行初始化。若主、客体不全为可信实体，则转到4.2.2.1；否则，转到4.2.2.2。4.2.2.1若实体所属域为不可信域，则系统自动拒绝此次访问操作；否则，继承原所属域赋予该实体的可信标签属性值，转到4.2.1。4.2.2.2若实体所属域为不可信域，则赋予其最低完整性等级、最低机密性等级，同时安全访问域为空集，转到4.2.1；否则，提升主体完整性等级至客体完整性等级一致，机密性等级不变，转到4.2.1。