本质安全型集中式控制安全操作系统研究

高于客体，当且仅当主体的密级高于客体的密级，且主体的部门集包含客体的部门集；②主体对客体具有读权限，当且仅当主体的安全级高于客体的安全级；③主体对客体具有写权限，当全仅当主体的安全级低于或者等于客体的安全级。
　　
　　安全模型是系统安全特性的描述，是对安全策略的一种数学形式化的表示方法。一般的安全操作系统的设计方法，通常是先设计安全模型，对安全模型进行分析，并且给出数学证明。安全模型的设计是研究安全操作系统的重要成果，可以对安全系统设计提供结构清晰、功能明确的指导。这里主要介绍BLP安全模型。
　　
　　BLP模型是人们对安全策略的形式化描述。它通过系统安全级的划分来保证系统存取的合法性。BLP模型定义了一系列的安全状态和状态转换规则，如果保证系统启动时处于安全状态的话，即可按安全转换规则，在各个安全状态之间转换。下面介绍BLP模型的具体规则。
　　
　　系统的主体和客体均被赋予一定的安全级和部门集。主体安全级包含最高安全级的当前安全级。主体对于客体的访问方式包括：只读、只写、执行、读写。BLP模型定义了两具安全特性，并且证明了只要系统遵循这两个模型，便可认为系统处于安全状态并可在状态之间进行转换，这两个特性是简单安全特性和*特性。
　　
　　（1）简单安全特性（ss-property）
　　
　　如果一个主体对一个客体具有读的权限，则客体的安全级不能比主体的最大安全级高。
　　
　　（2）*特性（*-property）
　　
　　主体对客体有“只写”的权限，则客体的安全级至少和主体的最高安全级一样高。
　　
　　主体对客体有“读”权限，则客体的安全级不会比主体的当前安全级高。
　　
　　主体对客体有“读写”权限，则客体安全级等于主体的当前安全级。
　　
　　人们习惯上将简单安全特性看成限制“向上读”，将*特性看成限制“向下写”。
　　
　　BLP在多年的研究当中被认为可以有效防止特洛伊马病毒的攻击，但是仍然存在两个问题：①系统具有动态的信息处理（例如主体的安全级的变化）都是有可信进程来实现的，但是BLP模型并没有对可信进程进行说明，可信进程也不受BLP模型的限制；②BLP模型不能防止隐通道。
　　
　　2系统实现原理
　　
　　根据上面的分析，我们提出了一种本质安全型，以进程控制为中心，集中式管理方式的安全控制方法。下面结合Linux操作系统说明具体的实现原理，以wolf-Linux来指具有这种控制机制的安全操作系统。
　　
　　本质安全是指一种建立在特殊的硬件设备上（Smart卡），具有特殊的体系结构，可对操作系统本身、进程合法性和运行权利进行验证的安全机制。
　　
　　系统的安全控制分为六部分：进程管理器、安全服务器、文件系统伺服器、进程通信伺服务器、网络伺服器和审计模块。总体结构如图1所示：进程管理器、安全服务器wolf-Linux安全控制的核心部分，审计模块负责对系统的安全性事件进行记录，其它部分是安全控制的执行模块。
　　
　　从图1中可以看出，SIM（SubscriberIdentityModule）卡处于系统的安全模块中，保存系统的关键信息，集中式管理主要体现在进程控制器部分，安全判定和安全执行的分离使得任何存取操作都不可能绕过安全控制机制。系统中所有的安全事件都通过进程控制器来判定是否可行，安全执行模块负责在访问操作发生时抽象主体和客体，

《本质安全型集中式控制安全操作系统研究(第2页)》