綜合化航空電子系統(tǒng)可信訪問控制方法
【專利摘要】本發(fā)明屬于綜合化航空電子系統(tǒng)信息安全【技術(shù)領(lǐng)域】,具體涉及一種綜合化航空電子系統(tǒng)可信訪問控制方法。該方法首先需要搭建可信訪問控制系統(tǒng);然后在可信訪問控制系統(tǒng)的基礎(chǔ)上,進行綜合化航空電子系統(tǒng)的訪問控制;通過本發(fā)明的方法保障了應(yīng)用分區(qū)對系統(tǒng)服務(wù)和系統(tǒng)資源訪問的可控性與安全性,防止惡意代碼泄露敏感信息,為綜合化航電系統(tǒng)可信性提供了有力的保障。
【專利說明】綜合化航空電子系統(tǒng)可信訪問控制方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于綜合化航空電子系統(tǒng)信息安全【技術(shù)領(lǐng)域】,具體涉及一種綜合化航空電 子系統(tǒng)可信訪問控制方法。
【背景技術(shù)】
[0002] 航空信息安全是綜合化航空電子系統(tǒng)極具挑戰(zhàn)性的問題之一,加強機載嵌入式系 統(tǒng)的主動防御水平,構(gòu)建和完善綜合化航空電子系統(tǒng)安全保障體系,防御裝備系統(tǒng)免遭外 來威脅以及提高航空裝備系統(tǒng)的抗毀性都有著重要的意義,受到國內(nèi)外廣泛關(guān)注。在高度 綜合化的航空電子系統(tǒng)中,資源高度共享、數(shù)據(jù)高度融合、軟件高度密集,不同級別的任務(wù) 共享了統(tǒng)一的硬件平臺,對飛機的安全性和可靠性帶來了重大隱患。
【發(fā)明內(nèi)容】
[0003] 為了解決【背景技術(shù)】中的問題,本發(fā)明提出了一種能夠確保系統(tǒng)運行時系統(tǒng)服務(wù)和 資源的訪問權(quán)限,防止分區(qū)應(yīng)用對系統(tǒng)資源與系統(tǒng)服務(wù)的非授權(quán)訪問與使用,提升我國機 載嵌入式系統(tǒng)的主動防御水平的綜合化航空電子系統(tǒng)可信訪問控制方法。
[0004] 本發(fā)明的具體技術(shù)方案是:
[0005] -種綜合化航空電子系統(tǒng)可信訪問控制方法,其特征在于,包括以下步驟:
[0006] 1)搭建可信訪問控制系統(tǒng);
[0007] 所述可信訪問控制系統(tǒng)包括TPM模塊以及訪問控制服務(wù)器;所述TPM提供用于為 主體提供安全密鑰存儲功能,而且提供認證和數(shù)據(jù)加解密服務(wù);
[0008] 所述訪問控制服務(wù)器包括訪問代理、訪問監(jiān)控器、安全信息庫、安全策略庫以及安 全策略管理;
[0009] 所述訪問代理用攔截主體的訪問請求,對該請求要求主體提供身份綁定認證,并 調(diào)用TPM模塊中的認證服務(wù);
[0010] 所述訪問監(jiān)控器用于讀取安全信息庫中主體和客體的安全屬性,根據(jù)安全策略庫 中的安全策略對訪問請求做出裁決;
[0011] 所述安全信息庫定義了主體和客體的安全屬性,安全屬性包括機密性和完整性;
[0012] 所述安全策略庫定義了主體和客體的訪問規(guī)則;
[0013] 所述安全策略管理用于配置和更新安全策略庫;
[0014] 2)根據(jù)可信訪問控制系統(tǒng),進行綜合化航空電子系統(tǒng)的訪問;
[0015] 2. 1)主體發(fā)出訪問請求;所述訪問請求包括訪問客體和請求的訪問類型;
[0016] 2. 2)訪問代理攔截訪問請求,訪問代理要求主體提交身份綁定憑證并調(diào)用TPM模 塊的認證服務(wù)對主體進行身份認證;若身份認證失敗,則訪問代理阻止主體的訪問請求;
[0017] 若身份認證成功,則訪問代理將主體發(fā)出的訪問請求轉(zhuǎn)交訪問監(jiān)控器進行裁決; 裁決結(jié)果返回訪問代理;
[0018] 所述訪問監(jiān)控器監(jiān)控主體和客體之間授權(quán)訪問關(guān)系,保證系統(tǒng)的安全性;從安全 信息庫中讀取主體和客體的安全屬性,根據(jù)安全策略庫中的安全策略對訪問請求做出裁 決;
[0019] 2. 3)訪問代理在接收到訪問監(jiān)控器的決策結(jié)果后,進行決策結(jié)果判斷;
[0020] 若訪問監(jiān)控器返回的是"允許"指令,則訪問代理將根據(jù)請求的操作類型調(diào)用TPM 模塊中的數(shù)據(jù)加解密服務(wù)對客體進行加解密操作,并把操作的結(jié)果返回給用戶;
[0021] 若訪問監(jiān)控器返回的是"拒絕"的指令,則訪問代理將把拒絕訪問的信息直接返回 給主體。
[0022] 上述安全策略庫定義主體對客體的存取控制的訪問規(guī)則;所述訪問規(guī)則分為四類 分別是:
[0023] I) V.v e 5 , Vo e 0, (sRo <-^· (5cJ(.v) > &(〇)λ /?(.ν) < Ιπ(ο)α Vi e /;)).
[0024] 2) e S , Vo e Ο, (.νWo (5cJ(.v) < &(〇)λ In(s)> Jn(o)λ Vi e /))). 9
[0025] 3) V.V e Sy, Vo e Ο, (sRo ^ ^ 5H0))).
[0026] 4) e S1, Vo G Ο, (.slVo <-^· (///(.ν)> Ιη(ο))).
[0027] 其中:S表示主體集合,S = Is1, s2,......,sj,S分為可信主體集St和非可信主 體集S' ;
[0028] 0表示客體集合,0 = Io1, O2,......,O1J ;Se表示機密性級別,;In表示完整性級 另IJ,{彡,彡}表示機密性級別或者完整性級別的關(guān)系A(chǔ)表示訪問類別集,{e#}表示訪 問類別集合的關(guān)系為;A = {R, W}表示訪問方式集;sRo表示允許主體s獲得對客體〇的讀 權(quán)限,sWo表示允許主體s獲得對客體〇的寫權(quán)限。
[0029] 本發(fā)明的優(yōu)點在于:
[0030] 采用本發(fā)明的方法在綜合化航電系統(tǒng)中,每個對系統(tǒng)服務(wù)的調(diào)用或?qū)ο到y(tǒng)資源的 訪問都要被授權(quán),確保只能進行符合控制策略的調(diào)用或訪問?;诳尚旁L問控制系統(tǒng)的訪 問控制保障了應(yīng)用分區(qū)對系統(tǒng)服務(wù)和系統(tǒng)資源訪問的可控性與安全性,防止惡意代碼泄露 敏感信息,為綜合化航電系統(tǒng)可信性提供了有力的保障。
【專利附圖】
【附圖說明】
[0031] 圖1為本發(fā)明的工作流程圖。
【具體實施方式】
[0032] 在綜合化航電系統(tǒng)中,每個對系統(tǒng)服務(wù)的調(diào)用或?qū)ο到y(tǒng)資源的訪問都要被授權(quán), 確保只能進行符合控制策略的調(diào)用或訪問。基于可信訪問控制系統(tǒng)的訪問控制保障了應(yīng) 用分區(qū)對系統(tǒng)服務(wù)和系統(tǒng)資源訪問的可控性與安全性,防止惡意代碼泄露敏感信息,為綜 合化航電系統(tǒng)可信性提供了有力的保障?;诳尚旁L問控制系統(tǒng)的訪問控制模型借鑒了 Bell-LaPadula(BLP)模型和BIBA模型的思想,綜合考慮了機密性和完整性問題,建立了可 信的授權(quán)策略。
[0033] 根據(jù)圖1對本發(fā)明的具體方法進行描述:
[0034] 該可信訪問控制方法的步驟如下:
[0035] 1)搭建可信訪問控制系統(tǒng);
[0036] 該可信訪問控制系統(tǒng)包括TPM模塊(底層可信平臺模塊)以及訪問控制服務(wù)器;
[0037] 其中,TPM提供用于為主體提供安全密鑰存儲功能,而且提供認證和數(shù)據(jù)加解密服 務(wù);
[0038] 具體的說,訪問控制服務(wù)器包括訪問代理、訪問監(jiān)控器、安全信息庫、安全策略庫 以及安全策略管理;
[0039] 進一步地說,訪問代理用攔截主體的訪問請求,對該請求要求主體提供身份綁定 認證,并調(diào)用TPM模塊中的認證服務(wù);
[0040] 進一步地說,訪問監(jiān)控器用于讀取安全信息庫中主體和客體的安全屬性,根據(jù)安 全策略庫中的安全策略對訪問請求做出裁決;
[0041] 進一步地說,安全信息庫定義了主體和客體的安全屬性,安全屬性包括機密性和 完整性;
[0042] 進一步地說,安全策略庫定義了主體和客體的訪問規(guī)則;主體是指發(fā)出訪問請求 的實體,例如分區(qū)、進程等??腕w是指接受訪問請求的實體,例如系統(tǒng)資源、數(shù)據(jù)文件、大容 量存儲設(shè)備等。
[0043] 安全信息庫綜合考慮了信息的機密性和完整性,對每個主體S和客體T定義了相 應(yīng)的安全屬性:機密性級別Se和完整性級別In。在主體S中,有些主體是可信主體(TPM驗 證過具有完整性、可用性、對系統(tǒng)的保密性不會造成破壞的主體),它們的安全屬性是它們 的可信級別,可信主體集合TgS。
[0044] 進一步地說,安全策略管理用于配置和更新安全策略庫
[0045] 2)根據(jù)可信訪問控制系統(tǒng),進行綜合化航空電子系統(tǒng)的訪問;
[0046] 2. 1)主體發(fā)出訪問請求;所述訪問請求包括訪問客體和請求的訪問類型;
[0047] 2. 2)訪問代理攔截訪問請求,訪問代理要求主體提交身份綁定憑證并調(diào)用TPM模 塊的認證服務(wù)對主體進行身份認證;若身份認證失敗,則訪問代理阻止主體的訪問請求; [0048] 若身份認證成功,則訪問代理將主體發(fā)出的訪問請求轉(zhuǎn)交訪問監(jiān)控器進行裁決; 裁決結(jié)果返回訪問代理;訪問監(jiān)控器監(jiān)控主體和客體之間授權(quán)訪問關(guān)系,保證系統(tǒng)的安全 性;從安全信息庫中讀取主體和客體的安全屬性,根據(jù)安全策略庫中的安全策略對訪問請 求做出裁決;
[0049] 2. 3)訪問代理在接收到訪問監(jiān)控器的決策結(jié)果后,進行決策結(jié)果判斷;
[0050] 若訪問監(jiān)控器返回的是"允許"指令,則訪問代理將根據(jù)請求的操作類型調(diào)用TPM 模塊中的數(shù)據(jù)加解密服務(wù)對客體進行加解密操作,并把操作的結(jié)果返回給用戶;
[0051] 若訪問監(jiān)控器返回的是"拒絕"的指令,則訪問代理將把拒絕訪問的信息直接返回 給主體。
[0052] 其中,主體是指發(fā)出訪問請求的實體,例如分區(qū)、進程等??腕w是指接受訪問請求 的實體,例如系統(tǒng)資源、數(shù)據(jù)文件、大容量存儲設(shè)備等。
[0053] 具體的說,安全信息庫綜合考慮了信息的機密性和完整性,對每個主體S和客體T 定義了相應(yīng)的安全屬性:機密性級別Se和完整性級別In。在主體S中,有些主體是可信主 體(TPM驗證過具有完整性、可用性、對系統(tǒng)的保密性不會造成破壞的主體),它們的安全屬 性是它們的可信級別,可信主體集合TgS。
[0054] 安全策略庫定義主體對客體的存取控制的訪問規(guī)則。訪問規(guī)則包括四類,具體 是:
[0055] I) V.v G S , Vo G 0, (sRo λ ln(s)< In(o)λ Vi g /?)) λ
[0056] 2) V.v G S , Vo G Ο, (.ν Wo ?- (.S>(.v) < 6>(〇)λ //;(λ ) > Ιη{ο) λ Vi e. h)), 9
[0057] 3) V.V e S) , Vo e Ο, (sRo ^ (*(Λ ) ^ 5t,(°))).
[0058] 4) e S1, Vo G Ο, {sWo ^ (ln(s)> ///(〇))) 4
[0059] 其中:S表示主體集合,S = {Sl,s2,......,sj,S分為可信主體集St和非可信主 體集S' ;
[0060] 0表示客體集合,0 = Io1, O2,......,〇n} ;Se表示機密性級別,;In表示完整性級 另IJ,{彡,彡}表示機密性級別或者完整性級別的關(guān)系A(chǔ)表示訪問類別集,表示訪 問類別集合的關(guān)系為;A = {R, W}表示訪問方式集;sRo表示允許主體s獲得對客體〇的讀 權(quán)限,sWo表示允許主體s獲得對客體〇的寫權(quán)限。
[0061] sRo表示允許主體s讀客體〇, sWo表示允許主體s寫客體〇。
[0062] 規(guī)則1)表示:非可信主體不能獲取對高密級客體和低完整性客體的讀權(quán)限,以防 破壞其機密性和完整性,也不能非法獲取無關(guān)信息。
[0063] 規(guī)則2)表示:非可信主體不能獲取對低密級客體和高完整性客體的寫權(quán)限,以防 破壞其機密性和完整性,也不能非法泄露高密級信息。
[0064] 規(guī)則3)表示:可信主體中,較低機密信任級別的主體不能獲得高密級客體和無關(guān) 信息的讀權(quán)限,但是可以獲得對低完整性客體的讀權(quán)限,并被信任有能力保證不會破壞其 完整性。
[0065] 規(guī)則4)表示:可信主體中,較低完整性信任級別的主體不能獲取對高完整性客體 的寫權(quán)限,但是可以獲得對低密級客體的寫權(quán)限,并被信任有能力保證不會將高密級客體 的信息泄漏到低密級客體中,也不會將信息泄露給無關(guān)客體。
【權(quán)利要求】
1. 一種綜合化航空電子系統(tǒng)可信訪問控制方法,其特征在于,包括以下步驟: 1) 搭建可信訪問控制系統(tǒng); 所述可信訪問控制系統(tǒng)包括TPM模塊以及訪問控制服務(wù)器;所述TPM提供用于為主體 提供安全密鑰存儲功能,而且提供認證和數(shù)據(jù)加解密服務(wù); 所述訪問控制服務(wù)器包括訪問代理、訪問監(jiān)控器、安全信息庫、安全策略庫以及安全策 略管理; 所述訪問代理用攔截主體的訪問請求,對該請求要求主體提供身份綁定認證,并調(diào)用TPM模塊中的認證服務(wù); 所述訪問監(jiān)控器用于讀取安全信息庫中主體和客體的安全屬性,根據(jù)安全策略庫中的 安全策略對訪問請求做出裁決; 所述安全信息庫定義了主體和客體的安全屬性,安全屬性包括機密性和完整性; 所述安全策略庫定義了主體和客體的訪問規(guī)則; 所述安全策略管理用于配置和更新安全策略庫; 2) 根據(jù)可信訪問控制系統(tǒng),進行綜合化航空電子系統(tǒng)的訪問; 2. 1)主體發(fā)出訪問請求;所述訪問請求包括訪問客體和請求的訪問類型; 2. 2)訪問代理攔截訪問請求,訪問代理要求主體提交身份綁定憑證并調(diào)用TPM模塊的 認證服務(wù)對主體進行身份認證;若身份認證失敗,則訪問代理阻止主體的訪問請求; 若身份認證成功,則訪問代理將主體發(fā)出的訪問請求轉(zhuǎn)交訪問監(jiān)控器進行裁決;裁決 結(jié)果返回訪問代理; 所述訪問監(jiān)控器監(jiān)控主體和客體之間的授權(quán)訪問關(guān)系,保證系統(tǒng)的安全性;從安全信 息庫中讀取主體和客體的安全屬性,根據(jù)安全策略庫中的安全策略對訪問請求做出裁決; 2. 3)訪問代理在接收到訪問監(jiān)控器的決策結(jié)果后,進行決策結(jié)果判斷; 若訪問監(jiān)控器返回的是"允許"指令,則訪問代理將根據(jù)請求的操作類型調(diào)用TPM模塊 中的數(shù)據(jù)加解密服務(wù)對客體進行加解密操作,并把操作的結(jié)果返回給用戶; 若訪問監(jiān)控器返回的是"拒絕"的指令,則訪問代理將把拒絕訪問的信息直接返回給主 體。
2.根據(jù)權(quán)利要求1所述的綜合化航空電子系統(tǒng)可信訪問控制方法,其特征在于:所述 安全策略庫定義主體對客體的存取控制的訪問規(guī)則;所述訪問規(guī)則分為四類,分別是:
其中:S表示主體集合,S= {Sl,s2,......,sn},S分為可信主體集St和非可信主體集 S,; O表示客體集合,O=Io1, 〇2,......,0n} ;Se表示機密性級別,;In表示完整性級別, {彡,彡}表示機密性級別或者完整性級別的關(guān)系;Vi表示訪問類別集,{e,g}表示訪問類 別集合的關(guān)系為;A={R,W}表示訪問方式集;sRo表示允許主體s獲得對客體〇的讀權(quán)限, sWo表示允許主體s獲得對客體〇的寫權(quán)限。
3.根據(jù)權(quán)利要求1所述的綜合化航空電子系統(tǒng)可信訪問控制方法,其特征在于:所述 主體是指發(fā)出訪問請求的實體,所述客體是指接受訪問請求的實體。
【文檔編號】G06F21/31GK104462899SQ201410719370
【公開日】2015年3月25日 申請日期:2014年11月29日 優(yōu)先權(quán)日:2014年11月29日
【發(fā)明者】崔西寧, 周銀萍, 牟明, 李亞暉, 張志為, 王寧, 韓春陽, 習(xí)寧, 張樹兵 申請人:中國航空工業(yè)集團公司第六三一研究所, 西安電子科技大學(xué)