一種針對綜合化航電系統(tǒng)的分區(qū)間安全訪問控制方法
【專利摘要】本發(fā)明提出一種針對綜合化航電系統(tǒng)的分區(qū)間安全訪問控制方法,能夠根據(jù)安全級別分離數(shù)據(jù)來保證不同安全級別的應用可以運行在同一系統(tǒng)中,保證模塊內(nèi)和模塊間分區(qū)間安全通信。該分區(qū)間安全訪問控制方法,包括以下環(huán)節(jié):(1)配置信息流權限和安全等級;(2)當接收到訪問請求時,MMR判斷是模塊內(nèi)通信還是模塊間通信,然后分別進行相應的處理流程;(3)Guard判斷源分區(qū)的安全等級是否小于目的分區(qū)的安全等級,將判斷結果傳送給MMR:如果是,則允許通信,訪問請求內(nèi)容被路由到目的分區(qū);如果否,則拒絕通信,返回錯誤消息;同時MMR將結果存在決策緩存中。
【專利說明】一種針對綜合化航電系統(tǒng)的分區(qū)間安全訪問控制方法
【技術領域】
[0001]本發(fā)明涉及一種針對綜合化航電系統(tǒng)的分區(qū)間安全訪問控制方法。
【背景技術】
[0002]航空電子系統(tǒng)綜合化后,在提高飛機作戰(zhàn)能力的同時,各子系統(tǒng)之間相互聯(lián)網(wǎng)通信,資源高度共享、數(shù)據(jù)高度耦合、軟件高度密集,同時也帶來巨大的安全隱患。主要體現(xiàn)在:由于軟件規(guī)模的急劇膨脹,降低了其可靠性;由于資源高度共享,容易使其受到非法訪問。因此,將安全的集中式管理改為模塊化管理以降低軟件規(guī)模,根據(jù)安全級別分離數(shù)據(jù)來保證不同安全級別的應用可以運行在同一系統(tǒng)中,成為亟需解決的問題。
【發(fā)明內(nèi)容】
[0003]本發(fā)明提出一種針對綜合化航電系統(tǒng)的分區(qū)間安全訪問控制方法,能夠根據(jù)安全級別分離數(shù)據(jù)來保證不同安全級別的應用可以運行在同一系統(tǒng)中,保證模塊內(nèi)和模塊間分區(qū)間安全通信。
[0004]本發(fā)明的基本技術方案如下:
[0005]一種針對綜合化航電系統(tǒng)的分區(qū)間安全訪問控制方法,包括以下環(huán)節(jié):
[0006]( I)配置信息流權限和安全等級
[0007](1.1)建立自主安全訪問矩陣,即分區(qū)間是否允許通信;
[0008](1.2)配置分區(qū)的安全等級信息,根據(jù)分區(qū)的安全等級給消息添加相應等級的安全標簽;
[0009](2)當接收到訪問請求時,檢查消息是否有安全標簽,如果無安全標簽,則MMR根據(jù)(1.2)中的配置信息獲取訪問請求的源分區(qū)的安全等級,給消息貼上安全等級標簽;MMR判斷是模塊內(nèi)通信還是模塊間通信,如果是模塊間通信進入(2.1),如果是模塊間通信進入(2.2);
[0010](2.1)模塊間通信:如果是源模塊,把消息發(fā)送出去,流程結束;如果是目的模塊,則MMR直接把消息轉發(fā)給Guard,進入(3)流程;
[0011](2.2)模塊內(nèi)通信:首先訪問MMR中建立的決策緩存,決策緩存用于記錄分區(qū)間是否允許通信的標志,如果緩存中有記錄,根據(jù)記錄直接把消息發(fā)送到目的分區(qū)或者拒絕訪問,流程結束;如果策略緩存中沒有記錄,MMR首先根據(jù)(1.1)中的配置信息判斷是否允許此分區(qū)間通信,如果允許,發(fā)送消息到Guard,進入(3)流程,如果否,拒絕此次通信,流程結束;
[0012](3)Guard通過消息中帶的安全標簽獲取發(fā)送分區(qū)的安全等級,通過(1.2)中的配置信息獲取目的分區(qū)的安全等級;獲取安全等級后,判斷源分區(qū)的安全等級是否小于目的分區(qū)的安全等級,將判斷結果傳送給MMR:如果是,則允許通信,訪問請求內(nèi)容被路由到目的分區(qū);如果否,則拒絕通信,返回錯誤消息;同時MMR將結果存在決策緩存中。
[0013]在上述步驟(2)中MMR判斷模塊內(nèi)通信和模塊間通信的具體實現(xiàn)方式可以是:根據(jù)消息接收的通道號判斷是模塊內(nèi)還是模塊間通信。
[0014]本發(fā)明具有以下優(yōu)點:
[0015]本發(fā)明針對廣泛應用于綜合化電子系統(tǒng)的安全嵌入式系統(tǒng)提出了基于分區(qū)系統(tǒng)的訪問控制模型,不僅實現(xiàn)了自主訪問控制和強制訪問控制相結合,還解決了策略實施與決策的分離、不同訪問控制粒度間安全策略分離的問題。為設計航電系統(tǒng)安全平臺提供技術支持,進而便于開發(fā)出一個成熟、實用的安全操作系統(tǒng)。
【專利附圖】
【附圖說明】
[0016]圖1為本發(fā)明設計的MMR模塊結構。
[0017]圖2示例了實體A發(fā)送消息到實體B的路徑。
【具體實施方式】
[0018]本發(fā)明提出一種針對綜合化航電系統(tǒng)的分區(qū)間安全訪問控制方法,設計了安全組件MILS消息路由器(MMR)和Guard。
[0019]一、MMR
[0020]a)標簽管理:這個模塊的主要功能是給消息打上安全標簽,如果是模塊間通信,給消息打上發(fā)送分區(qū)的安全等級標簽。
[0021]b)策略管理:這個只在模塊內(nèi)通信有用,依據(jù)訪問控制矩陣判斷是否符合分區(qū)間自主安全策略,如果允許,分區(qū)間通信消息路由到Guard進行判斷(根據(jù)安全標簽),Guard把判斷結果傳給MMR,MMR根據(jù)Guard的判斷結果決定是否路由消息到目的分區(qū),并且把判斷結果記錄在決策緩存中。
[0022]c)路由管理:在允許通信的情況下,如果是模塊內(nèi)通信,消息被路由到目的分區(qū);如果是模塊間通信,消息被路由到指定分區(qū)。
[0023]訪問控制矩陣包括三個要素:即主體,客體和是否可以通信。主體是發(fā)出請求的分區(qū);客體是接收請求的分區(qū);如果可以通信,對應的通信標識為1,反之為O。
[0024]二、Guard
[0025]Guard根據(jù)分區(qū)MLS (多級安全)策略執(zhí)行強制訪問控制,MLS策略是:只有源分區(qū)的安全等級小于目的分區(qū)的安全等級,才允許此分區(qū)間通信。
[0026]圖2說明了實體A發(fā)送消息到實體B的路徑。圖中1、2、3、4分別表示以下路徑。
[0027]1:首先MMR判斷是模塊內(nèi)通信還是模塊間通信,如果是模塊間通信并且是源端,通過配置信息獲取發(fā)送分區(qū)的安全等級,給消息貼上安全等級標簽,直接把消息發(fā)送出去,流程結束;如果是目的端則直接把消息發(fā)送到Guard,執(zhí)行3);如果是模塊內(nèi)通信,執(zhí)行2)。
[0028]2 =MMR首先訪問決策緩存,根據(jù)緩存結果判斷是否允許通信,如果緩存沒有記錄,首先通過配置獲取自主安全訪問矩陣,判斷分區(qū)間通信是否滿足訪問控制矩陣,如果滿足MMR把消息路由到Guard,否則丟棄消息。
[0029]3:如果是模塊內(nèi)通信,Guard通過配置數(shù)據(jù)獲得源分區(qū)和目的分區(qū)安全等級;如果是模塊間通信,Guard通過消息標簽獲得源分區(qū)安全等級,通過配置數(shù)據(jù)獲取目的分區(qū)安全等級,獲取安全等級后,Guard根據(jù)分區(qū)MLS策略,判斷是否符合分區(qū)間強制安全策略,驗證發(fā)送分區(qū)是否有權發(fā)送消息給接收分區(qū)。[0030]4:判斷后通知MMR訪問是否被允許,如果允許,消息被路由到目的分區(qū),否則返回錯誤消息。
[0031]MMR是通信的唯一路由節(jié)點。一個對象預訪問另一個對象,它首先要把訪問請求發(fā)送到MMR,MMR再把請求轉發(fā)到Guard,并且只有MMR可以訪問Guard,這些過濾對通信分區(qū)來說不僅是不可繞過的而且是透明的。
[0032]因此,基于以上所述的MMR和Guard,本發(fā)明分區(qū)間安全訪問控制方法,具體包括以下環(huán)節(jié):
[0033]( I)配置信息流權限和安全等級
[0034](1.1)建立自主安全訪問矩陣,即分區(qū)間是否允許通信;
[0035](1.2)配置分區(qū)的安全等級信息,根據(jù)分區(qū)的安全等級給消息添加相應等級的安全標簽;
[0036](2)當接收到訪問請求時,檢查消息是否有安全標簽,如果無安全標簽,則MMR根據(jù)(1.2)中的配置信息獲取訪問請求的源分區(qū)的安全等級,給消息貼上安全等級標簽。MMR根據(jù)消息接收的通道號判斷是模塊內(nèi)還是模塊間通信,如果是模塊間通信進入(2.1),如果是模塊間通信進入(2.2)。
[0037](2.1)模塊間通信:如果是源模塊,把消息發(fā)送出去,流程結束;如果是目的模塊,則MMR直接把消息轉發(fā)給Guard,進入(3)流程。
[0038](2.2)模塊內(nèi)通信:首先訪問MMR中建立的決策緩存,決策緩存用于記錄分區(qū)間是否允許通信的標志,如果緩存中有記錄,根據(jù)記錄直接把消息發(fā)送到目的分區(qū)或者拒絕訪問,流程結束;如果策略緩存中沒有記錄,MMR首先根據(jù)(1.0中的配置信息判斷是否允許此分區(qū)間通信,如果允許,發(fā)送消息到Guard,進入(3)流程,如果否,拒絕此次通信,流程結束。
[0039](3)Guard通過消息中帶的安全標簽獲取發(fā)送分區(qū)的安全等級,通過(1.2)中的配置信息獲取目的分區(qū)的安全等級;獲取安全等級后,判斷源分區(qū)的安全等級是否小于目的分區(qū)的安全等級,將判斷結果傳送給MMR:如果是則允許通信,訪問請求內(nèi)容被路由到目的分區(qū);,如果否則拒絕通信,返回錯誤消息;同時MMR將結果存在決策緩存中。
【權利要求】
1.一種針對綜合化航電系統(tǒng)的分區(qū)間安全訪問控制方法,包括以下環(huán)節(jié): (1)配置信息流權限和安全等級 (1.1)建立自主安全訪問矩陣,即分區(qū)間是否允許通信; (1.2)配置分區(qū)的安全等級信息,根據(jù)分區(qū)的安全等級給消息添加相應等級的安全標簽; (2)當接收到訪問請求時,檢查消息是否有安全標簽,如果無安全標簽,則MMR根據(jù)(1.2)中的配置信息獲取訪問請求的源分區(qū)的安全等級,給消息貼上安全等級標簽;MMR判斷是模塊內(nèi)通信還是模塊間通信,如果是模塊間通信進入(2.1),如果是模塊間通信進入(2.2); (2.1)模塊間通信:如果是源模塊,把消息發(fā)送出去,流程結束;如果是目的模塊,則MMR直接把消息轉發(fā)給Guard,進入(3)流程; (2.2)模塊內(nèi)通信:首先訪問MMR中建立的決策緩存,決策緩存用于記錄分區(qū)間是否允許通信的標志,如果緩存中有記錄,根據(jù)記錄直接把消息發(fā)送到目的分區(qū)或者拒絕訪問,流程結束;如果策略緩存中沒有記錄,MMR首先根據(jù)(1.0中的配置信息判斷是否允許此分區(qū)間通信,如果允許,發(fā)送消息到Guard,進入(3)流程,如果否,拒絕此次通信,流程結束; (3)Guard通過消息中帶的安全標簽獲取發(fā)送分區(qū)的安全等級,通過(1.2)中的配置信息獲取目的分區(qū)的安全等級;獲取安全等級后,判斷源分區(qū)的安全等級是否小于目的分區(qū)的安全等級,將判斷結果傳送給MMR:如果是,則允許通信,訪問請求內(nèi)容被路由到目的分區(qū);如果否,則拒絕通信,返回錯誤消息;同時MMR將結果存在決策緩存中。
2.根據(jù)權利要求1所述的分區(qū)間安全訪問控制方法,其特征在于,在步驟(2)中MMR判斷模塊內(nèi)通信和模塊間通信的具體實現(xiàn)方式是:根據(jù)消息接收的通道號判斷是模塊內(nèi)還是模塊間通信。
【文檔編號】G06F21/62GK103679049SQ201310685362
【公開日】2014年3月26日 申請日期:2013年12月13日 優(yōu)先權日:2013年12月13日
【發(fā)明者】葉宏, 張燈, 李運喜, 任曉瑞, 胡寧, 徐曉光, 周霆, 尹超, 虞保忠, 楊瓊, 何翔, 郝繼鋒, 張勇 申請人:中國航空工業(yè)集團公司第六三一研究所