专利名称:一种基于强制访问控制技术的可信应用环境构建方法
技术领域:
本发明属于安全操作系统领域,是一种利用强制访问技术、可信计算技术 等实现可信应用环境的构建方法,该方法不仅能够实现自我保护,而且还能 为系统上层应用提供安全、可信运行环境,维持应用的可信状态。
(二)
背景技术:
应用环境是用户的工作环境,是应用代理用户行使权限、执行任务的场所, 随着信息化的推进,特别是网络的发展,使得各种新的应用层出不穷,应用 环境变得越来越复杂,而应用环境的可信性直接影响着整个信息系统的安全 性。如果应用环境不可信,应用在运行的过程当中就可能遭受来自环境中的 恶意干扰或者攻击, 一旦潜伏在应用程序中这种安全漏洞被利用,整个信息 系统将面临被破坏的危险。因此,构建可信应用环境,不仅可以保护信息系 统的完整性、应用的可用性,而且能为信息系统的整体安全提供保障。
我国重要信息系统遵循等级保护制度,而访问控制技术则是等级保护制
度的核心内容。国标GB17859-1999规定,三级以上的信息系统,普遍要求强 制访问控制技术。在强制访问控制机制下,系统中的每个进程、每个文件客 体都被赋予了相应的安全属性(安全标记),这些安全属性是不能随意改变的。 当一个应用进程访问一个客体时,就要调用强制访问控制机制,根据相应的 访问方式,比较进程的安全属性和客体的安全属性,从而确定是否允许访问。 强制访问技术要求系统中的每一个主客体都要进行安全标记,而安全标记一 般包括级别和类别两个方面。
强制访问技术的实现一般基于两种安全策略模型,即BLP保密性模型和 Biba的完整性模型,而可信应用环境的构建主要的目标是保护环境中的应用不受外界的恶意千扰,保障其能够按照预期行为运行,因此,本专利主要考
虑对客体文件的完整性标记,即使用Biba模型进行安全标记。Biba模型的访 问规则如下
当主体的类别范畴包含于客体的类别范畴,并且主体的完整性级别高于 客体的完整性级别时,主体可以写客体。
当主体的类别范畴包含于客体的类别范畴,并且主体的完整性级别低于 客体的完整性级别时,主体可以读客体。
可信计算技术是当前的热点,可信计算提出了信任链传递的概念,利用 可信链传递技术,可以保证信任从硬件到操作系统的可信,而可信计算技术 的可信度量只能保证应用的初态可信,但是如何保证应用的运行时信任度不 衰减,从而把信任延伸到应用系统,维持信任链的传递是构建可信应用环境 面临的挑战。
许多Linux操作系统发行版本,都是由基本系统和很多软件包构成的, 每个不同的应用程序包括应用程序运行所依赖的工具或库文件都是以软件包 的形式提供给用户的,软件包通常包含了应用程序、相关配置以及一些运行 所使用的库文件等等。常用的软件包格式有两种,RedHat、 Fedom等发行版 本使用RPM; Debian和Ubuntu使用.deb格式。软件包之间存在着依赖关系, 这些依赖关系形成一个逻辑树结构, 一个软件包在这个逻辑树结构中有自己 的位置,仅当树中它的所有后代节点相对的软件包都正确安装时,软件包所 支持的应用程序才能正确运行。系统所提供的应用安装流程实际上是安装一 个特定的软件包以及安装这个软件包所依赖的其它软件包。
发明内容
本发明的目的在于提供一种基于强制访问控制技术的可信应用环境的构 建方法,以实现对系统所支持不同应用的安全域划分并且进行隔离保护,减 少或者屏蔽环境中其它应用非预期的干扰,以保持应用在运行的过程当中的安全可信状态。
为达到上述目的,本发明的技术方案是这样实现的
l.一种基于强制访问控制技术的可信应用环境的构建方法,包括应用安装 包的完整性标记和实现应用安全隔离两部分,应用安装包的完整性标记部分 使用分级分类的标记规则来描述操作系统环境软件包之间的依赖关系,即当 系统选定要支持的n个应用后,通过相关的软件包管理工具就能得到能使这
些应用正常运行时所依赖的所有软件包,并且可以建立这些软件包依赖关系 的数据库,这些复杂的软件包关系可以建立一个逻辑树,使用特定的标记算 法对软件包依赖逻辑树进行分级分类。具体的标记步骤分为级别标记和类别
标记两部分
其构建方法如下
步骤一级别标记,即将基本系统标为最高级别,根据软件包的依赖关 系,从基本系统开始进行逐层遍历,完成对系统所有软件包的级别标记,用 级别标记为系统软件包划分完整级别,确保依赖关系只存在于低完整级别和 高完整级别之间。
对于步骤一中的级别标记采用由底层向上追溯的算法,级别用无符号整 数来表示。首先处于最底层的基本操作系统定为级别最高的0级,第0层; 查找只依赖于基本操作系统的安装软件包,将它们的级别定为1级,并属于 第l层;依次类推,对于一个表征某个应用程序的软件包,只要其依赖于第n 层中级别是n级的软件包,那么这个软件包就被定为n+l级、并属于第n+l 层。其中n为大于等于0的整数。
步骤二类别标记,即根据级别标记将系统的软件包排序,建立一个符 合单向依赖关系的软件包队列,从队列尾部开始,对队列中的每个软件包, 将其类别标识添加到与其有直接依赖关系的所有软件包之上,以完成对系统所有软件包的类别标记,用类别标记描述软件包对应用的支撑关系。
我们使用类别来标识软件包所属的范畴和支撑关系,并且使用和所支持
应用数目相同的n位串来表示类别。以基本系统为队列头,将系统中所有软 件包按照完整性级别进行排序,高完整级别排在前面,低完整级别排在后面, 同一级别任意排序,形成一个软件包队列,然后采用由队列尾部回溯的算法
标记类别,具体的标记步骤如下
首先将这n个应用排一个序位,找出能代表这n个应用程序正常启动或 运行的安装包(比如象代表应用mysql的mysql-server包)可以称之应用的表 征包,并把它们对应位串的序位置l。
其次从队列的尾部包开始遍历,锁定位串不为全0的包,然后查找这个 队列中该包所依赖的其它包,并将自己的位串与之相或操作。直到最后基本 操作系统的位串被全部标记成全1为止。
经过完整性标记后,软件包之间就形成了一种只有单向依赖关系的层次 式结构,参见图l只有两个应用^、 4的标记情况。
步骤三基于上述软件包的级别标记和类别标记的基础之上,对标记后 形成的具有单向依赖关系的层次式应用结构进行应用安全隔离。
可信应用环境的构建要保证信任延伸到每一个应用组件,保障每一个应 用程序在运行的过程中始终维持其可信的状态,通过以上对应用软件包的完 整性标记,可以为每一个应用安装包及其所属的文件进行细粒度的标记,构 建了安装包之间的一种只有单向依赖关系的层次式结构关系,通过基于Biba 模型的强制访问控制与可信计算技术相结合来增强应用层次之间、类别之间 的安全隔离,减少或者排除环境中非预期的干扰。应用的这种层次式结构的 隔离的实现技术特征在于以下两个部分应用层次之间的时间隔离和应用层20091
次之间的空间隔离。
所述的应用层次之间的时间隔离,其具体方法为-
当系统控制权在应用层次之间进行转换时,要经过可信度量,只有校验 关系为真时才能实现系统控制权的可信转换,保证应用在时间执行上的隔离。
当/层的某个应用执行完成,并且通过了对/层(y可能等于/)中某个应 用重要安全组件的可信验证后,系统控制权被转移到y层中。此处/和y也为 大于等于o的整数。
分析各个层中应用的安全组件,可以通过对应用流程的试运行来生成重要 可执行程序和相关重要配置文件的预期值,这些预期值是通过具有保护功能 的硬件来存储。这样系统的控制权在转换的时候,可以建立应用之间的可信 校验关系,只有当可信校验关系为真时,才能实现控制权的可信转换,保证 了应用的初态可信。
所述的应用层次之间的空间隔离,其具体方法为每一层次的应用都不 能随意取访问或者修改其它层次中应用的相关组件,不同的应用被划分成了 不同的安全域,减少或者排除非预期的干扰,通过限制应用对系统资源的使 用来达到应用之间在空间上的隔离,符合最小特权分配原则。
如果存在某些系统资源能够被/层的应用访问而不能被y层(/可能等于 /)中的应用访问,并且/层的应用不能启动/层中的可执行程序,除非有明确 的系统定义入口点。这时称/层和y层中的应用是空间隔离的。
通过强制访问控制策略,基本系统的完整性级别最高,故基本系统层不 会被恶意的篡改,实现了自我的保护机制。对于上层的任何一层中的应用都 不能去干扰比自己完整性级别高的应用,同时也不能干扰完整性类别不包含自己的其它应用。安全策略控制并限制应用使用的系统资源,使得系统资源 得到了合理的分配,有效的限制了应用访问资源的范围,阻止了不同层次应
用之间的恶意干扰,保证了应用之间在空间的隔离。
(四)
图1本发明的构建方法两个应用的层次式结构示意图
图2本发明的构建方法的实现流程图
(五)
具体实施例方式
如图1-2所示,本发明实现的技术方案的特征在于,根据应用安装软件包 之间的依赖关系,利用特定的标记规则对软件包进行安全标记,利用强制访 问控制机制和可信计算技术相结合,达到应用相互之间的在时间和空间上的 严格隔离,限制应用使用的系统资源的范围,减少或者屏蔽应用之间非预期 的干扰,为用户建立了一个安全可信的应用环境。
以Linux的一种发行版一Debian5.0系统为例,这一版本提供一个基础系 统以及大量.deb格式的软件包,这些软件包中提供本软件包正常安装所依赖 的其它软件包列表。系统在安装过程中,调用apt-get命令,可安装特定软件 包以及该软件包所依赖的其它软件包。
本方法首先选定一些常用的应用,如xwindows, kde, mysql,apache,php,http 等等,对这些安装软件包的依赖关系进行分析,建立一个依赖关系数据库。 通过相应的标识算法,标识系统中所有软件包的级别和类别,这样就形成这 些应用及其它们所依赖的其它软件包的单向依赖的层次式结构关系图,参见 图1只有两个应用的标记情况。系统安装运行时,按照层次进行逐层安装, 每安装完一个包,然后得到这个安装包所包括的所有文件进行安全标记,此 时要求文件的标记与该包的标记一致,最后生成相应的安全策略,通过实施 访问控制策略,应用只^访问其有限的资源,实现了应用安全域的划分与应 用之间空间上隔离。其次,每一个应用的特征包安装完后,定位此应用所属的执行程序及其 它重要文f^,然后生成相应的预期值策略,当系统的控制权在应用之间进行 转换时,要进行可信度量,验证应用程序的初态的可信,保证应用在时间上
隔离。具体的实施流程参见图2。
以上是本发明一种基于强制访问控制技术的可信应用环境的构建方法的具体实施方式
,本发明的实施不限于此。
权利要求
1.一种基于强制访问控制技术的可信应用环境构建方法,包括应用安装包的完整性标记和实现应用安全隔离两部分,其特征在于应用安装包的完整性标记部分使用分级分类的标记规则来描述操作系统环境软件包之间的依赖关系,所述标记分为级别标记和类别标记,其具体构建方法如下步骤一级别标记,即将基本系统标为最高级别,根据软件包的依赖关系,从基本系统开始进行逐层遍历,完成对系统所有软件包的级别标记,用级别标记为系统软件包划分完整级别,确保依赖关系只存在于低完整级别和高完整级别之间;步骤二类别标记,即根据级别标记将系统的软件包排序,建立一个符合单向依赖关系的软件包队列,从队列尾部开始,对队列中的每个软件包,将其类别标识添加到与其有直接依赖关系的所有软件包之上,以完成对系统所有软件包的类别标记,用类别标记描述软件包对应用的支撑关系;步骤三安全隔离,即基于上述软件包的级别标记和类别标记的基础之上,对标记后形成的具有单向依赖关系的层次式应用结构进行应用安全隔离。
2. 根据权利要求1所述的一种基于强制访问控制技术的可信应用环境的 构建方法,其特征在于所述步骤三中的安全隔离的现实部分分为应用层次 之间的时间隔离和应用层次之间的空间隔离。
3. 根据权利要求2所述的一种基于强制访问控制技术的可信应用环境的 构建方法,其特征在于所述的应用层次之间的时间隔离,其具体方法为 当系统控制权在应用层次之间进行转换时,要经过可信度量,只有校验关系 为真时才能实现系统控制权的可信转换,保证应用在时间执行上的隔离。
4. 根据权利要求2所述的一种基于强制访问控制技术的可信应用环境的构建方法,其特征在于所述的应用层次之间的空间隔离,其具体方法为 每一层次的应用都不能随意取访问或者修改其它层次中应用的相关组件,不 同的应用被划分成了不同的安全域,减少或者排除非预期的干扰,通过限制 应用对系统资源的使用来达到应用之间在空间上的隔离,符合最小特权分配 原则。
全文摘要
本发明涉及一种利用强制访问技术、可信计算技术等实现可信应用环境的构建方法,该方法不仅能够实现自我保护,而且还能为系统上层应用提供安全、可信运行环境,维持应用的可信状态。包括应用安装包的完整性标记和实现应用安全隔离两部分,应用安装包的完整性标记部分使用分级分类的标记规则来描述操作系统环境软件包之间的依赖关系,标记分为级别标记和类别标记,并通过级别标记步骤、类别标记步骤以及安全隔离步骤以实现对系统所支持不同应用的安全域划分并且进行隔离保护,减少或者屏蔽环境中其它应用非预期的干扰。
文档编号G06F21/22GK101615236SQ200910089839
公开日2009年12月30日 申请日期2009年7月24日 优先权日2009年7月24日
发明者沈昌祥, 申永波, 俊 胡, 勉 蔡 申请人:北京工业大学