应用类通信安全模型的构造与实现.docxVIP

应用类通信安全模型的构造与实现 1 操作系统安全结构框架 操作系统是所有应用程序正确操作的基础。最初的操作系统主要面向编程用户。随着工程技术和网络技术的发展，出现了大量面向公众的应用程序系统。由于应用程序编辑对用户的安全需求的不确定性，使应用信息系统与操作系统安全分离。为了引导用户，操作系统应该积极为应用程序提供有效的安全机制，这是必须解决的问题。 为描述方便,将操作系统上运行的应用系统抽象为应用类.支持应用类安全的操作系统安全结构框架由安全通道和安全协调器组成.安全通道的主要目标是保证只有授权的用户使用正确的应用类对数据集合进行合法的操作.安全协调器的主要目标是保证应用类接收或发送数据的保密性和完整性,使之符合整个系统的安全需求.在安全框架中,操作系统通过执行为每个应用类建立的安全策略,在用户、应用类以及数据集合间建立一条安全通道.在应用类之间动态和静态交互信息的情况下,通过实施应用类通信安全模型协调应用类之间的通信,保证应用类通信的安全. 2 生成保护函数 约定1.S是主体集合,O是客体集合,A是访问方式集合,ST是可信主体集合,S′是不可信主体集合S′=S-ST,C为保密性等级集合,W为完整性等级集合,CW为安全等级集合,CW∶={(c,w)|c∈C,w∈W}. 定义1. 系统状态v:集合V中元素,v∈V=(B×M×F×I×H). 当前存取集B:B∈(S×O×A). 访问控制集合A:A={r,w,e,a}.其中,r表示可读不可写方式,a表示可写不可读方式,w表示可读且可写方式,e表示不可读且不可写(可执行)方式. 存取控制矩阵:M={M|M是矩阵∧M中元素Mij是主体Si对客体Oj的访问权限集合}. 保密级函数F:由3个分量组成,fs为主体最大保密级函数,fs(s)∈C表示主体s的最大保密级;fc为主体当前保密级函数,fc(s)∈C表示主体s当前的保密级;fo为客体保密级函数,fo(o)∈C表示客体o的保密级. 完整级函数I:由3个分量组成,is为主体最大完整级函数;is(s)∈W表示主体s的最大完整级;ic为主体当前完整级函数,ic(s)∈W表示主体s当前的完整级;io为客体完整级函数,io(o)∈W表示客体o的完整级. 定义2. 完整性规则集合IVP:完整性规则ivp∈IVP是客体到{YES,NO}的映射,其中YES=1,NO=0.YES表示符合完整性规则,NO表示不符合完整性规则. 函数k:k是IVP和CW间的映射. ?ivp∈IVP,有且仅有惟一的k(ivp)∈CW. 安全级cw∈CW对应的完整性规则集合cwivp,cwivp={ivp|k(ivp)=cw,ivp(IVP}. 定义3. 安全代理集合DS:DS∶={DS|DS?S}. 函数m:m是DS和CW间的一一映射. ?ds∈DS,有且仅有惟一的k(ds)∈CW;?cw=(c,w)∈CW,有且仅有惟一的m-1(cw)∈DS. 安全代理ds:安全级cw=(c,w)对应的安全代理为ds:ds=m-1(cw)且fc(ds)=c,ic(ds)=w,fs(ds)=SESYSTEMHIGH,is(ds)=INSYSTEMHIGH.SESYSTEMHIGH:表示系统的最大保密安全级;INSYSTEMHIGH表示系统的最大完整安全级. 约定2.rq(Si?Οj?xˉ)2.rq(Si?Oj?xˉ)表示主体Si对客体Oj的xˉ访问请求. (1) 系统状态#-特性 公理1(ss-特性). 一系统状态v=(b,M,f,i,H)满足简单安全性iff,对任意b=(s?o?xˉ)∈B: ①xˉ=e或a,或 ②xˉ=r或w且fs(s)≥fo(o). 公理2(*-特性). 一系统状态v=(b,M,f,i,H)对于主体集S′?S满足* 性iff,对任意b=(s?o?xˉ)∈B: ①xˉ=a→fc(s)≤fo(o); ②xˉ=w→fc(s)=fo(o); ③xˉ=r→fc(s)≥fo(o). 公理3(ds-特性). 一系统状态v=(b,M,f,i,H)满足自主安全性iff,对每个b=(si?oj?xˉ)∈B?xˉ∈Μij. 公理4(ac-特性)激活公理. 物体可从死去物体中保存 任何主体不能存取死亡客体,即对每个死亡对象o∈Ο?(s?o?xˉ)?B. 新激活对象的重写性 一个新激活对象被赋予一个与其以前活动无关的初始状态. 新激活对象的安全级别 对于每个被主体s激活的客体o,fo(o)≥fc(s). 对象删除规则 对于每个被主体s删除的客体o,fc(s)≥fo(o). (2) 相关规则 公理5(ss-特性). 一系统状态v=(b,M,f,i,H)满足简单安全性iff,对任意b=(s?o?xˉ)∈B: ①xˉ=r或e,或 ②xˉ=a或w且is(s)≥io(o). 公理6(*-特性). 一系统状态v