一种基于BTG机制的Biba改进模型及系统的制作方法
【专利摘要】本发明公开了一种基于BTG(Break The Glass)机制的Biba改进模型及相应的访问控制系统(BTG?Biba系统)。使用常规策略对访问请求进行判断并给出访问决策;对被常规策略拒绝的访问请求,检查当前系统内系统标识位User_Btg和主体标识位Sub_Btg,当满足主体拥有BTG模式下特权及当前情况为紧急情况的条件下,系统使用BTG机制模型下的访问策略对访问请求再次进行判断并给出访问决策;对BTG模式下所有的系统授权及其相关信息记录到日志文件内并交给审计部门进行审计,完成对紧急情况下访问请求安全性的后验检查。本发明解决了Biba模型中不存在上下文环境检测、系统初始化对主客体分级不完善引起的跨域不可访问等一系列问题。
【专利说明】
一种基于BTG机制的B i ba改进模型及系统
技术领域
[0001] 本发明属于信息安全技术领域,尤其涉及一种基于BTG机制的Biba改进模型及系 统。
【背景技术】
[0002] 信息安全是指信息系统受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、 泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。随着计算机和网 络通信技术的发展,先后出现了一系列访问控制模型。访问控制模型也被大量应用于现实 系统中,包括操作系统、信息系统、管理系统和过程感知系统等,用于检测主体提出访问请 求并返回访问决策,进一步防范商业企业机密泄露、个人信息的泄露、保证系统内数据的一 致性等。如何在当前信息飞速变化的情况下既保护信息的安全又能具备一定的灵活性和实 时性,是必须解决的问题。原始的完整性保护模型Biba模型策略是静态策略,缺乏一定的灵 活性和实用性,在现实系统中应用并不广泛。BTG机制是一种后验机制,在该机制的监视和 保护下,系统先允许访问操作进行,再通过审计访问日志对访问操作的安全进行审验。原始 多级安全模型大多基于先验机制,即首先对访问请求进行判断,确定其安全后才允许进行。 因此,将BTG引入到Biba中,设计一种灵活、实用的访问控制模型及系统。
【发明内容】
[0003] 本发明的目的在于提供一种基于BTG机制的Biba改进模型及相应的访问控制系统 (BTG-Biba系统),旨在解决原始Biba模型不存在上下文环境监测以及不支持同等级主客体 间跨域访问等问题。
[0004] 本发明是这样实现的,一种基于BTG机制的Biba改进模型及BTG-Biba系统,所述 改进方法包括:BTG-Biba模型根据系统初始化配置,当检测到系统内主体访问请求后,使用 常规策略对该访问请求进行判断并给出访问决策;对被常规策略拒绝的访问请求,检查当 前系统内系统标识位User_Btg和主体标识位Sub_Btg,当满足主体拥有BTG模式下特权及当 前情况为紧急情况的条件下,系统使用BTG机制模型下的访问策略对访问请求再次进行判 断并给出访问决策;对BTG模式下所有的系统授权及其相关信息记录到日志文件内并交给 审计部门进行审计,完成对紧急情况下访问请求安全性的后验检查。
[0005] 进一步,所述基于基于BTG机制的Biba模型改进方法包括:BTG-Biba模型首先由系 统管理员进行初始化配置,包括预先从原始Biba模型三种策略(严格完整性策略,低水印策 略,环策略)中选择一种作为当前系统常规模式访问控制策略;预先配置BTG模式下权限表。 接下来,当检测到系统中主体对客体的访问请求时,调用Biba模型模块,利用常规策略访问 控制策略对该请求进行判断并给出访问决策:满足常规策略的访问请求主体被授权并允许 对客体进行该次访问,一次访问控制完成;不满足时常规策略时,主体所申请的访问请求被 拒绝。对被常规策略拒绝的访问请求,调用BTG机制模块,检测当前系统内系统标识位User_ Btg和主体标识位Sub_Btg,根据表达式Sys_Btg = User_Btg&&Sub_Btg进行判断系统此时是 否处于紧急状态下。若Sys_Btg = 0,则不为紧急状态,拒绝该次访问请求并返回拒绝决策。 若Sys_Btg=l,则当前处于紧急状态下,再调用BTG权限表对提出该次访问请求的主体进行 索引,当检测到该主体确实在BTG状态下有对该客体的该种访问权限时,对该主体授予BTG 模式下特殊权限,否则拒绝该次访问请求。接下来使用BTG机制模型下的访问策略对此次访 问请求再次进行判断并给出访问决策,一次访问控制完成。在BTG机制模型执行的过程中, 同时调用监控模块,将BTG模式下所有的系统授权及其相关信息记录到日志文件,并交给审 计部门进行审计,完成对紧急情况下访问请求安全性的后验检查。
[0006] 进一步,所述主体访问请求具体包括:
[0007] 步骤一,系统初始化配置,选择Biba模型的访问控制策略,这里选择严格完整性策 略,即主体可以读客体,当且仅当主体的完整性等级小于等于客体的完整性等级;主体可以 写客体,当且仅当主体的完整性等级大于等于客体的完整性等级;
[0008] 步骤二BTG状态开启;
[0009]步骤三,主体请求访问客体;
[0010] 步骤四,使用常规策略,即严格完整性策略并根据系统内主客体完整性等级进行 判断是否满足授权条件,若满足转步骤五,否则转步骤六;
[0011] 步骤五,当主体访问请求满足授权条件,系统对主体授权,主体可以对客体进行访 问;
[0012] 步骤六,当主体访问请求不满足授权条件,系统根据初始化配置,检查主体是否拥 有BTG机制下的特殊权限,若有转步骤七,否则转步骤八;
[0013] 步骤七,该主体具有BTG机制下的特殊权限,则系统根据此时的系统标识位User_ Btg和主体标志位Sub_Btg判断此时是否为紧急情况,确定是否需要对该次访问进行授权, 若需要转步骤九,否则转步骤十;
[0014] 步骤八,该主体没有BTG机制下的特殊权限,则该次访问请求被拒绝,主体不能对 客体进行该次访问;
[0015] 步骤九,当前为紧急状态,主体被授权允许在BTG模式下对客体进行访问,此时,主 体需要向其所属用户请求确认该次行为,若得到确认则转步骤十一,否则转步骤十二;
[0016] 步骤十,此时不是紧急情况,该访问请求被拒绝,转步骤十三;
[0017] 步骤十一,主体所属用户对该次访问进行确认,并置客体标识位Ob j_Btg为1,转步 骤十三;
[0018] 步骤十二,主体没有得到所属用户的确认,该访问请求被拒绝,转步骤十三;
[0019] 步骤十三,对BTG模式下的访问授权及其相关信息进行记录,并写入日志文件。;
[0020] 步骤十四,对日志文件进行审计,对所有BTG模式下的访问授权相关信息进行后验 检查。
[0021] 本发明的另一目的在于提供一种基于改进模型(BTG-Biba模型)的访问控制系统 (BTG-Biba系统),所述访问控制系统包括:
[0022 ]主体,用于主动申请对客体的访问请求;
[0023] 客体,用于被动接受主体的访问申请;
[0024] Biba模块,用于对主体申请对客体的访问请求利用访问控制策略进行判断并返回 访问决策;
[0025] BTG机制模块,用于对Biba模块返回拒绝访问决策的访问请求进行判断,通过检查 系统标识位,对当前情况下的上下文检测并根据BTG模式下的访问策略返回最终访问决策;
[0026] 监控模块,用于记录BTG机制模式下进行的访问授权决策相关信息,并将相关信息 送至审计部门进行审计。
[0027]进一步,所述监控模块包括:
[0028]日志记录模块,用于记录BTG机制模式下进行的访问授权决策相关信息;
[0029] 审计模块,用于将相关信息送至审计部门进行审计。
[0030] 本发明提供的基于BTG机制对Biba模型的改进方法,首先对系统进行初始化配置, 当主体进行访问请求后,对紧急情况和常规情况判断,依据BTG-Biba模型对系统内所有的 访问请求给出访问决策;基本原理是:常规模式下按照Biba模型进行访问控制,对于系统内 出现的紧急情况,根据系统初始化配置的文件,以单个主体对单个客体的单次访问作为访 问控制的细粒度,对常规情况下被拒绝的访问请求根据BTG模式下访问策略判断并给出访 问决策;改变了原始Biba模型中不存在上下文环境检测的模式,特别适合于解决由于系统 初始化对主客体分级不完善引起的跨域不可访问问题,也适用于对灵活性要求较高的现实 系统。
[0031] 与现有技术相比,本发明的有益效果是:
[0032] 1、解决Biba模型灵活性低,系统兼容性和可用性差的问题;
[0033] 2、解决Biba模型严格完整性策略过于严格,拒绝系统中可能存在的无恶意却必要 访问请求,导致系统无法正常得到反馈,正常运行的问题;
[0034] 3、解决Biba模型低水印策略会导致完整性等级随时间推移向某一特定级别收敛, 最终导致该策略在系统中失效,并使得系统生命周期缩短的问题;
[0035] 4、解决原始Biba模型环策略过于宽松,不能完全保证系统完整性的问题;
[0036] 5、解决主体的读写权限在实际系统中往往不同,对于读写权限采用统一完整性标 记的方法不够合理的问题,解决系统内同等级主客体间跨域不可访问问题;
[0037] 6、现实系统中,应用本模型进行访问控制,能为系统带来上下文环境,提高系统对 访问请求处理的实时性及灵活性。
【附图说明】
[0038]图1是本发明实施例提供的BTG-Biba模型处理系统结构示意图;
[0039] 图中:图中:1、主体;2、客体;3、Biba模型模块;4、BTG机制模块;5、监控模块。
[0040]图2是本发明实施例提供的基于BTG机制对Biba模型的改进方法流程图。
【具体实施方式】
[0041] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明 进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于 限定本发明。
[0042] 下面结合附图对本发明的应用原理作详细的描述。
[0043]如图1所示,本发明实施例的BTG-Biba模型主要包括:主体1、客体2、Biba模型模块 3、BTG机制模块4、监控模块5。
[0044] 主体1:是系统中存在的主体集合,例如进程等,主动申请对客体的访问请求。
[0045] 客体2:是系统中存在的客体集合,例如文件,数据等,被动接受主体的访问申请。
[0046] Biba模块3:与主体1、客体2连接,对主体申请对客体的访问请求利用访问控制策 略进行判断并返回访问决策。
[0047] BTG机制模块4:与Biba模块3、监控模块5连接,用于对Biba模块返回拒绝访问决策 的访问请求进行判断,通过检查系统标识位,对当前情况下的上下文检测并根据BTG模式下 的访问策略返回最终访问决策。
[0048]监控模块5:与BTG机制模块4连接,包括日志记录模块和审计模块。日志审计主要 用于记录BTG机制模式下进行的访问授权决策相关信息,并将相关信息送至审计部门进行 审计。
[0049]本发明实施例的BTG-Biba访问控制方法包括以下步骤:
[0050] 系统预先对一部分主客体进行初始化配置,接下来检查主体对客体的访问请求。 对于每一次主体申请的访问请求,首先使用在初始化阶段选择的原始Biba模型中的访问控 制策略进行访问控制判断,并返回访问控制决策。得到授权则该次访问被允许进行;未得到 授权,则使用BTG授权策略进行判断:首先检查当前系统内标识位:系统标识位Sys_Btg,用 户标识位User_Btg是否满足紧急情况条件,若不满足,则拒绝该次访问请求;若满足紧急情 况条件,则向该主体所属用户请求确认该次访问并检查客体标志位〇b j_Btg,确认后对该次 访问进行授权并置客体标志位为1。最后对此次访问授权相关信息记录进日志文件,并将日 志文件送入审计部门进行审计。
[0051] 下面结合具体实施例对本发明的应用原理作详细的描述。
[0052]如表1和表2所示:表1系统中存在2个主体,id为0的主体,其完整性等级为〈2,0>, id为1的主体,其完整性等级为〈2,1>;表2系统中存在10个客体,id为0的客体,其完整性等 级为〈〇,〇>,id为1的客体,其完整性等级为〈1,0>,id为2的客体,其完整性等级为〈2,0>,id 为3的客体,其完整性等级为〈3,0>,id为4的客体,其完整性等级为〈4,0>,id为5的客体,其 完整性等级为〈0,1>,id为6的客体,其完整性等级为〈1,1>,id为7的客体,其完整性等级为〈 2,1>,id为8的客体,其完整性等级为〈3,1>,id为9的客体,其完整性等级为〈5,1>。
[0053 ]系统初始化配置的在BTG模式下具有特权的主体及其相应的特权访问对象和方式 如表3:在BTG模式下,idO主体可以写id4客体,idO主体可以写id6客体,idO主体可以写id5 客体,idO主体可以写idO客体,idl主体可以写id3客体,idl主体可以写id3客体,idl主体可 以写idl客体,idl主体可以写id6客体;依据上述原理,BTG-Biba模型可以再常规状态下和 紧急状态下根据主客体完整性等级以及访问控制策略对所有的主体访问控制请求进行判 断并给出访问授权决策。BTG机制模式下,需要根据系统初始化配置以检查相应标识位并进 行授权决策;这里给出BTG-Biba访问控制系统内主体访问申请的步骤如图2:
[0054] S100:系统初始化配置,选择原始Biba模型的访问控制策略,这里选择严格完整性 策略,即主体可以读客体,当且仅当主体的完整性等级小于等于客体的完整性等级;主体可 以写客体,当且仅当主体的完整性等级大于等于客体的完整性等级。
[0055] S101:BTG 状态开启。
[0056] S102:主体请求访问客体。
[0057] S103:使用常规策略,即严格完整性策略并根据系统内主客体完整性等级如表1和 表2进行判断是否满足授权条件,若满足转S104,否则转S105。
[0058] S104:当主体访问请求满足授权条件,系统对主体授权,主体可以对客体进行访 问。
[0059] S105:当主体访问请求不满足授权条件,系统根据初始化配置,检查主体是否拥有 BTG机制下的特殊权限,若有转S106,否则转S107。
[0060] S106:该主体具有BTG机制下的特殊权限,则系统根据此时的系统标识位User_Btg 和主体标志位Sub_Btg判断此时是否为紧急情况,确定是否需要对该次访问进行授权,若 需要转S108,否则转S109。
[0061 ] S107:该主体没有BTG机制下的特殊权限,则该次访问请求被拒绝,主体不能对客 体进行该次访问。
[0062] S108:当前为紧急状态,主体被授权允许在BTG模式下对客体进行访问,此时,主体 需要向其所属用户请求确认该次行为。若得到确认则转S110,否则转S111。
[0063] S109:此时不是紧急情况,该访问请求被拒绝,转112。
[0064] S110:主体所属用户对该次访问进行确认,并置客体标识位Ob j_Btg为1,112。
[0065] S111:主体没有得到所属用户的确认,该访问请求被拒绝,转112。
[0066] S112:对BTG模式下的访问授权及其相关信息进行记录,并写入日志文件。
[0067] S113:对日志文件进行审计,对所有BTG模式下的访问授权相关信息进行后验检 查。
[0068] 表4按照表1和表2,表3的系统初始化及配置文件,以严格完整性策略为访问控制 策略,记录的BTG模式下系统授权访问相关信息,即日志文件。
[0069] 表1
[0078] C表示完整性等级,K表示完整性分类
[0079] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精 神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
【主权项】
1. 一种基于BTG机制的Biba改进模型及BTG-Biba系统,其特征在于,所述基于BTG机制 对B i ba模型的改进方法包括:BTG-B i ba模型根据系统初始化配置,当检测到系统内主体的 访问请求后,使用常规策略对该访问请求进行判断并给出访问决策;对被常规策略拒绝的 访问请求,检查当前系统内系统标识位User_Btg和主体标识位Sub_Btg,当满足主体拥有 BTG模式下特权及当前情况为紧急情况的条件下,系统使用BTG机制模型下的访问策略对访 问请求再次进行判断并给出最终访问决策;对BTG模式下所有的系统授权及其相关信息记 录到日志文件内并交给审计部门进行审计,完成对紧急情况下访问请求安全性的后验检 查。2. 如权利要求1所述的BTG-Biba系统,其特征在于,首先由系统管理员完成初始化配 置,包括从Biba模型的三种策略中选择一种作为当前系统常规模式访问控制策略;配置BTG 模式下的权限表。当检测到系统中主体对客体的访问请求时,调用Biba模型模块,利用常规 访问控制策略对该请求进行判断并给出访问决策:满足常规策略的访问请求主体被授权并 允许对客体进行该次访问,一次访问控制完成;不满足常规策略时,主体所申请的访问请求 被拒绝;对被常规策略拒绝的访问请求,调用BTG机制模块,检测当前系统内系统标识位 User_Btg和主体标识位Sub_Btg,根据表达式Sys_Btg = User_Btg&&Sub_Btg进行判断系统 此时是否处于紧急状态下;Sys_Btg = 0,则不为紧急状态,拒绝该次访问请求并返回拒绝决 策;若Sys_Btg=l,则当前处于紧急状态下;再调用BTG权限表对提出该次访问请求的主体 进行索引,当检测到该主体确实在BTG状态下有对该客体的该种访问权限时,对该主体授予 BTG模式下特殊权限,否则拒绝该次访问请求;使用BTG机制模型下的访问策略对此次访问 请求再次进行判断并给出访问决策,一次访问控制完成;在BTG-Biba系统执行的过程中,同 时调用监控模块,将BTG模式下所有的系统授权及其相关信息记录到日志文件,并交给审计 部门进行审计,完成对紧急情况下访问请求安全性的后验检查。3. 如权利要求1所述的BTG-Biba系统,其特征在于,所述主体访问请求具体包括: 步骤一,系统初始化配置,选择Biba模型的访问控制策略,这里选择严格完整性策略, 即主体读客体,当且仅当主体的完整性等级小于等于客体的完整性等级;主体写客体,当且 仅当主体的完整性等级大于等于客体的完整性等级; 步骤二,BTG状态开启; 步骤三,主体请求访问客体; 步骤四,使用常规策略,即严格完整性策略并根据系统内主客体完整性等级进行判断 是否满足授权条件,若满足转步骤五,否则转步骤六; 步骤五,当主体访问请求满足授权条件,系统对主体授权,主体对客体进行访问; 步骤六,当主体访问请求不满足授权条件,系统根据初始化配置,检查主体是否拥有 BTG机制下的特殊权限,若有转步骤七,否则转步骤八; 步骤七,该主体具有BTG机制下的特殊权限,则系统根据此时的系统标识位User_Btg和 主体标志位Sub_Btg判断此时是否为紧急情况,确定是否需要对该次访问进行授权,若需要 转步骤九,否则转步骤十; 步骤八,该主体没有BTG机制下的特殊权限,则该次访问请求被拒绝,主体不能对客体 进行该次访问; 步骤九,当前为紧急状态,主体被授权允许在BTG模式下对客体进行访问,此时,主体需 要向其所属用户请求确认该次行为,若得到确认则转步骤十一,否则转步骤十二; 步骤十,此时不是紧急情况,该访问请求被拒绝,转步骤十三; 步骤十一,主体所属用户对该次访问进行确认,并置客体标识位Ob j_Btg为1,转步骤十 -* · -·, 步骤十二,主体没有得到所属用户的确认,该访问请求被拒绝,转步骤十三; 步骤十三,对BTG模式下的访问授权及其相关信息进行记录,并写入日志文件; 步骤十四,对日志文件进行审计,对所有BTG模式下的访问授权相关信息进行后验检 查。4. 一种如权利要求1所述BTG-Biba系统,其特征在于,所述BTG-Biba模型系统包括: 主体,用于主动申请对客体的访问请求; 客体,用于被动接受主体的访问申请; Biba模块,用于对主体申请对客体的访问请求利用访问控制策略进行判断并返回访问 决策; BTG机制模块,用于对Biba模块返回拒绝访问决策的访问请求进行判断,通过检查系统 标识位,对当前情况下的上下文检测并根据BTG模式下的访问策略返回最终访问决策; 监控模块,用于记录BTG机制模式下进行的访问授权决策相关信息,并将相关信息送至 审计部门进行审计。5. 如权利要求4所述的BTG-Biba系统,其特征在于,所述监控模块包括: 日志记录模块,用于记录BTG机制模式下进行的访问授权决策的相关信息; 审计模块,用于将相关信息送至审计部门进行审计。
【文档编号】H04L29/06GK105933284SQ201610202110
【公开日】2016年9月7日
【申请日】2016年4月1日
【发明人】刘刚, 王灿, 张润南, 宋慧敏
【申请人】西安电子科技大学昆山创新研究院, 西安电子科技大学