一種針對(duì)綜合化航電系統(tǒng)的分區(qū)間安全訪問控制方法
【專利摘要】本發(fā)明提出一種針對(duì)綜合化航電系統(tǒng)的分區(qū)間安全訪問控制方法,能夠根據(jù)安全級(jí)別分離數(shù)據(jù)來保證不同安全級(jí)別的應(yīng)用可以運(yùn)行在同一系統(tǒng)中,保證模塊內(nèi)和模塊間分區(qū)間安全通信。該分區(qū)間安全訪問控制方法,包括以下環(huán)節(jié):(1)配置信息流權(quán)限和安全等級(jí);(2)當(dāng)接收到訪問請(qǐng)求時(shí),MMR判斷是模塊內(nèi)通信還是模塊間通信,然后分別進(jìn)行相應(yīng)的處理流程;(3)Guard判斷源分區(qū)的安全等級(jí)是否小于目的分區(qū)的安全等級(jí),將判斷結(jié)果傳送給MMR:如果是,則允許通信,訪問請(qǐng)求內(nèi)容被路由到目的分區(qū);如果否,則拒絕通信,返回錯(cuò)誤消息;同時(shí)MMR將結(jié)果存在決策緩存中。
【專利說明】一種針對(duì)綜合化航電系統(tǒng)的分區(qū)間安全訪問控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種針對(duì)綜合化航電系統(tǒng)的分區(qū)間安全訪問控制方法。
【背景技術(shù)】
[0002]航空電子系統(tǒng)綜合化后,在提高飛機(jī)作戰(zhàn)能力的同時(shí),各子系統(tǒng)之間相互聯(lián)網(wǎng)通信,資源高度共享、數(shù)據(jù)高度耦合、軟件高度密集,同時(shí)也帶來巨大的安全隱患。主要體現(xiàn)在:由于軟件規(guī)模的急劇膨脹,降低了其可靠性;由于資源高度共享,容易使其受到非法訪問。因此,將安全的集中式管理改為模塊化管理以降低軟件規(guī)模,根據(jù)安全級(jí)別分離數(shù)據(jù)來保證不同安全級(jí)別的應(yīng)用可以運(yùn)行在同一系統(tǒng)中,成為亟需解決的問題。
【發(fā)明內(nèi)容】
[0003]本發(fā)明提出一種針對(duì)綜合化航電系統(tǒng)的分區(qū)間安全訪問控制方法,能夠根據(jù)安全級(jí)別分離數(shù)據(jù)來保證不同安全級(jí)別的應(yīng)用可以運(yùn)行在同一系統(tǒng)中,保證模塊內(nèi)和模塊間分區(qū)間安全通信。
[0004]本發(fā)明的基本技術(shù)方案如下:
[0005]一種針對(duì)綜合化航電系統(tǒng)的分區(qū)間安全訪問控制方法,包括以下環(huán)節(jié):
[0006]( I)配置信息流權(quán)限和安全等級(jí)
[0007](1.1)建立自主安全訪問矩陣,即分區(qū)間是否允許通信;
[0008](1.2)配置分區(qū)的安全等級(jí)信息,根據(jù)分區(qū)的安全等級(jí)給消息添加相應(yīng)等級(jí)的安全標(biāo)簽;
[0009](2)當(dāng)接收到訪問請(qǐng)求時(shí),檢查消息是否有安全標(biāo)簽,如果無安全標(biāo)簽,則MMR根據(jù)(1.2)中的配置信息獲取訪問請(qǐng)求的源分區(qū)的安全等級(jí),給消息貼上安全等級(jí)標(biāo)簽;MMR判斷是模塊內(nèi)通信還是模塊間通信,如果是模塊間通信進(jìn)入(2.1),如果是模塊間通信進(jìn)入(2.2);
[0010](2.1)模塊間通信:如果是源模塊,把消息發(fā)送出去,流程結(jié)束;如果是目的模塊,則MMR直接把消息轉(zhuǎn)發(fā)給Guard,進(jìn)入(3)流程;
[0011](2.2)模塊內(nèi)通信:首先訪問MMR中建立的決策緩存,決策緩存用于記錄分區(qū)間是否允許通信的標(biāo)志,如果緩存中有記錄,根據(jù)記錄直接把消息發(fā)送到目的分區(qū)或者拒絕訪問,流程結(jié)束;如果策略緩存中沒有記錄,MMR首先根據(jù)(1.1)中的配置信息判斷是否允許此分區(qū)間通信,如果允許,發(fā)送消息到Guard,進(jìn)入(3)流程,如果否,拒絕此次通信,流程結(jié)束;
[0012](3)Guard通過消息中帶的安全標(biāo)簽獲取發(fā)送分區(qū)的安全等級(jí),通過(1.2)中的配置信息獲取目的分區(qū)的安全等級(jí);獲取安全等級(jí)后,判斷源分區(qū)的安全等級(jí)是否小于目的分區(qū)的安全等級(jí),將判斷結(jié)果傳送給MMR:如果是,則允許通信,訪問請(qǐng)求內(nèi)容被路由到目的分區(qū);如果否,則拒絕通信,返回錯(cuò)誤消息;同時(shí)MMR將結(jié)果存在決策緩存中。
[0013]在上述步驟(2)中MMR判斷模塊內(nèi)通信和模塊間通信的具體實(shí)現(xiàn)方式可以是:根據(jù)消息接收的通道號(hào)判斷是模塊內(nèi)還是模塊間通信。
[0014]本發(fā)明具有以下優(yōu)點(diǎn):
[0015]本發(fā)明針對(duì)廣泛應(yīng)用于綜合化電子系統(tǒng)的安全嵌入式系統(tǒng)提出了基于分區(qū)系統(tǒng)的訪問控制模型,不僅實(shí)現(xiàn)了自主訪問控制和強(qiáng)制訪問控制相結(jié)合,還解決了策略實(shí)施與決策的分離、不同訪問控制粒度間安全策略分離的問題。為設(shè)計(jì)航電系統(tǒng)安全平臺(tái)提供技術(shù)支持,進(jìn)而便于開發(fā)出一個(gè)成熟、實(shí)用的安全操作系統(tǒng)。
【專利附圖】
【附圖說明】
[0016]圖1為本發(fā)明設(shè)計(jì)的MMR模塊結(jié)構(gòu)。
[0017]圖2示例了實(shí)體A發(fā)送消息到實(shí)體B的路徑。
【具體實(shí)施方式】
[0018]本發(fā)明提出一種針對(duì)綜合化航電系統(tǒng)的分區(qū)間安全訪問控制方法,設(shè)計(jì)了安全組件MILS消息路由器(MMR)和Guard。
[0019]一、MMR
[0020]a)標(biāo)簽管理:這個(gè)模塊的主要功能是給消息打上安全標(biāo)簽,如果是模塊間通信,給消息打上發(fā)送分區(qū)的安全等級(jí)標(biāo)簽。
[0021]b)策略管理:這個(gè)只在模塊內(nèi)通信有用,依據(jù)訪問控制矩陣判斷是否符合分區(qū)間自主安全策略,如果允許,分區(qū)間通信消息路由到Guard進(jìn)行判斷(根據(jù)安全標(biāo)簽),Guard把判斷結(jié)果傳給MMR,MMR根據(jù)Guard的判斷結(jié)果決定是否路由消息到目的分區(qū),并且把判斷結(jié)果記錄在決策緩存中。
[0022]c)路由管理:在允許通信的情況下,如果是模塊內(nèi)通信,消息被路由到目的分區(qū);如果是模塊間通信,消息被路由到指定分區(qū)。
[0023]訪問控制矩陣包括三個(gè)要素:即主體,客體和是否可以通信。主體是發(fā)出請(qǐng)求的分區(qū);客體是接收請(qǐng)求的分區(qū);如果可以通信,對(duì)應(yīng)的通信標(biāo)識(shí)為1,反之為O。
[0024]二、Guard
[0025]Guard根據(jù)分區(qū)MLS (多級(jí)安全)策略執(zhí)行強(qiáng)制訪問控制,MLS策略是:只有源分區(qū)的安全等級(jí)小于目的分區(qū)的安全等級(jí),才允許此分區(qū)間通信。
[0026]圖2說明了實(shí)體A發(fā)送消息到實(shí)體B的路徑。圖中1、2、3、4分別表示以下路徑。
[0027]1:首先MMR判斷是模塊內(nèi)通信還是模塊間通信,如果是模塊間通信并且是源端,通過配置信息獲取發(fā)送分區(qū)的安全等級(jí),給消息貼上安全等級(jí)標(biāo)簽,直接把消息發(fā)送出去,流程結(jié)束;如果是目的端則直接把消息發(fā)送到Guard,執(zhí)行3);如果是模塊內(nèi)通信,執(zhí)行2)。
[0028]2 =MMR首先訪問決策緩存,根據(jù)緩存結(jié)果判斷是否允許通信,如果緩存沒有記錄,首先通過配置獲取自主安全訪問矩陣,判斷分區(qū)間通信是否滿足訪問控制矩陣,如果滿足MMR把消息路由到Guard,否則丟棄消息。
[0029]3:如果是模塊內(nèi)通信,Guard通過配置數(shù)據(jù)獲得源分區(qū)和目的分區(qū)安全等級(jí);如果是模塊間通信,Guard通過消息標(biāo)簽獲得源分區(qū)安全等級(jí),通過配置數(shù)據(jù)獲取目的分區(qū)安全等級(jí),獲取安全等級(jí)后,Guard根據(jù)分區(qū)MLS策略,判斷是否符合分區(qū)間強(qiáng)制安全策略,驗(yàn)證發(fā)送分區(qū)是否有權(quán)發(fā)送消息給接收分區(qū)。[0030]4:判斷后通知MMR訪問是否被允許,如果允許,消息被路由到目的分區(qū),否則返回錯(cuò)誤消息。
[0031]MMR是通信的唯一路由節(jié)點(diǎn)。一個(gè)對(duì)象預(yù)訪問另一個(gè)對(duì)象,它首先要把訪問請(qǐng)求發(fā)送到MMR,MMR再把請(qǐng)求轉(zhuǎn)發(fā)到Guard,并且只有MMR可以訪問Guard,這些過濾對(duì)通信分區(qū)來說不僅是不可繞過的而且是透明的。
[0032]因此,基于以上所述的MMR和Guard,本發(fā)明分區(qū)間安全訪問控制方法,具體包括以下環(huán)節(jié):
[0033]( I)配置信息流權(quán)限和安全等級(jí)
[0034](1.1)建立自主安全訪問矩陣,即分區(qū)間是否允許通信;
[0035](1.2)配置分區(qū)的安全等級(jí)信息,根據(jù)分區(qū)的安全等級(jí)給消息添加相應(yīng)等級(jí)的安全標(biāo)簽;
[0036](2)當(dāng)接收到訪問請(qǐng)求時(shí),檢查消息是否有安全標(biāo)簽,如果無安全標(biāo)簽,則MMR根據(jù)(1.2)中的配置信息獲取訪問請(qǐng)求的源分區(qū)的安全等級(jí),給消息貼上安全等級(jí)標(biāo)簽。MMR根據(jù)消息接收的通道號(hào)判斷是模塊內(nèi)還是模塊間通信,如果是模塊間通信進(jìn)入(2.1),如果是模塊間通信進(jìn)入(2.2)。
[0037](2.1)模塊間通信:如果是源模塊,把消息發(fā)送出去,流程結(jié)束;如果是目的模塊,則MMR直接把消息轉(zhuǎn)發(fā)給Guard,進(jìn)入(3)流程。
[0038](2.2)模塊內(nèi)通信:首先訪問MMR中建立的決策緩存,決策緩存用于記錄分區(qū)間是否允許通信的標(biāo)志,如果緩存中有記錄,根據(jù)記錄直接把消息發(fā)送到目的分區(qū)或者拒絕訪問,流程結(jié)束;如果策略緩存中沒有記錄,MMR首先根據(jù)(1.0中的配置信息判斷是否允許此分區(qū)間通信,如果允許,發(fā)送消息到Guard,進(jìn)入(3)流程,如果否,拒絕此次通信,流程結(jié)束。
[0039](3)Guard通過消息中帶的安全標(biāo)簽獲取發(fā)送分區(qū)的安全等級(jí),通過(1.2)中的配置信息獲取目的分區(qū)的安全等級(jí);獲取安全等級(jí)后,判斷源分區(qū)的安全等級(jí)是否小于目的分區(qū)的安全等級(jí),將判斷結(jié)果傳送給MMR:如果是則允許通信,訪問請(qǐng)求內(nèi)容被路由到目的分區(qū);,如果否則拒絕通信,返回錯(cuò)誤消息;同時(shí)MMR將結(jié)果存在決策緩存中。
【權(quán)利要求】
1.一種針對(duì)綜合化航電系統(tǒng)的分區(qū)間安全訪問控制方法,包括以下環(huán)節(jié): (1)配置信息流權(quán)限和安全等級(jí) (1.1)建立自主安全訪問矩陣,即分區(qū)間是否允許通信; (1.2)配置分區(qū)的安全等級(jí)信息,根據(jù)分區(qū)的安全等級(jí)給消息添加相應(yīng)等級(jí)的安全標(biāo)簽; (2)當(dāng)接收到訪問請(qǐng)求時(shí),檢查消息是否有安全標(biāo)簽,如果無安全標(biāo)簽,則MMR根據(jù)(1.2)中的配置信息獲取訪問請(qǐng)求的源分區(qū)的安全等級(jí),給消息貼上安全等級(jí)標(biāo)簽;MMR判斷是模塊內(nèi)通信還是模塊間通信,如果是模塊間通信進(jìn)入(2.1),如果是模塊間通信進(jìn)入(2.2); (2.1)模塊間通信:如果是源模塊,把消息發(fā)送出去,流程結(jié)束;如果是目的模塊,則MMR直接把消息轉(zhuǎn)發(fā)給Guard,進(jìn)入(3)流程; (2.2)模塊內(nèi)通信:首先訪問MMR中建立的決策緩存,決策緩存用于記錄分區(qū)間是否允許通信的標(biāo)志,如果緩存中有記錄,根據(jù)記錄直接把消息發(fā)送到目的分區(qū)或者拒絕訪問,流程結(jié)束;如果策略緩存中沒有記錄,MMR首先根據(jù)(1.0中的配置信息判斷是否允許此分區(qū)間通信,如果允許,發(fā)送消息到Guard,進(jìn)入(3)流程,如果否,拒絕此次通信,流程結(jié)束; (3)Guard通過消息中帶的安全標(biāo)簽獲取發(fā)送分區(qū)的安全等級(jí),通過(1.2)中的配置信息獲取目的分區(qū)的安全等級(jí);獲取安全等級(jí)后,判斷源分區(qū)的安全等級(jí)是否小于目的分區(qū)的安全等級(jí),將判斷結(jié)果傳送給MMR:如果是,則允許通信,訪問請(qǐng)求內(nèi)容被路由到目的分區(qū);如果否,則拒絕通信,返回錯(cuò)誤消息;同時(shí)MMR將結(jié)果存在決策緩存中。
2.根據(jù)權(quán)利要求1所述的分區(qū)間安全訪問控制方法,其特征在于,在步驟(2)中MMR判斷模塊內(nèi)通信和模塊間通信的具體實(shí)現(xiàn)方式是:根據(jù)消息接收的通道號(hào)判斷是模塊內(nèi)還是模塊間通信。
【文檔編號(hào)】G06F21/62GK103679049SQ201310685362
【公開日】2014年3月26日 申請(qǐng)日期:2013年12月13日 優(yōu)先權(quán)日:2013年12月13日
【發(fā)明者】葉宏, 張燈, 李運(yùn)喜, 任曉瑞, 胡寧, 徐曉光, 周霆, 尹超, 虞保忠, 楊瓊, 何翔, 郝繼鋒, 張勇 申請(qǐng)人:中國航空工業(yè)集團(tuán)公司第六三一研究所